赵精武
北京航空航天大学法学院副教授,法学博士,北京科技创新中心研究基地、工信部工业和信息化法治战略与管理重点实验室研究员
一、问题的提出
我国《个人信息保护法》等法律法规已经明确了个人信息处理者在处理用户个人信息时的义务内容及其充分履行标准,然而,这些义务大多是以个人信息处理者处于正常运营状态为前提,鲜有提及个人信息处理者处于破产清算阶段时对个人信息应当履行何种义务。在国家互联网信息办公室2023年8月公布的《个人信息保护合规审计管理办法(征求意见稿)》附件中的第7条,也仅仅规定了在“被宣告破产”等需要转移个人信息情形时个人信息处理者应当重点审查的三类事项。在优化营商环境以及推动数据要素市场化配置的背景下,不仅仅是企业所持有的个人信息,对于企业所持有的业务数据、客户委托数据如何处理,现行立法均没有作出详细规定。棘手的是,《民法典》等民事法律体系未能对企业数据财产权的内容作出明确规定,这也导致无法在破产法层面先行确定数据财产权内容以及数据市场定价机制。
前述问题的解决远非作出“是或否”的回答那般简单,更涉及破产法与数据安全法之间的内容衔接与条款解释,并且“破产本质所要求的是作为集体性的强制执行,应当以最大化企业的整体价值为主要着眼点”,这种制度衔接的直接目的均是以“最大化企业整体价值”为基本目标。在破产法层面,破产财产通常包括有形财产(如厂房、机器设备等)、无形财产(专利权、商标权、特许权等)、货币和有价证券以及投资权益四类,显然没有将企业数据作为一类新型财产纳入其中。不过,《企业破产法》第30条采用了“破产申请受理时属于债务人的全部财产,以及破产申请受理后至破产程序终结前债务人取得的财产,为债务人财产”之表述,这为企业数据纳入破产财产范围预留了解释空间。另外,《企业破产法》第25条规定在企业破产清算过程中,破产管理人的职责包括“调查债务人财产状况,制作财产状况报告”“管理和处分债务人的财产”等,这里的“调查、管理和处分”也为企业数据管理和出售的责任主体认定提供了相应的法律依据。不过,问题远没有那么简单,破产管理人的“管理”职责并不单单仅以企业数据财产变现为主,可能还涉及数据安全管理义务,但相关的义务履行方式并没有得到现行立法明确。《企业破产法》第61条规定了债权人会议具有“通过债务人财产的管理方案”“通过破产财产的变价方案”“通过破产财产的分配方案”等职权,在发生数据泄露等安全事件后,管理人、债权人会议是否需要对数据安全承担法律责任更是需要明确的内容。
国内围绕数据财产权的理论建构主张“百花齐放”,但财产制度的形成与发展始终离不开交易实践,破产企业数据处理规则是最有可能在实践层面形成相应数据财产制度(包括数据交易、数据定价等)的领域。这是因为,破产制度的创设目的是尽可能拯救经营不善的企业、解决财务危机以及保障债权人的债权实现。无论是何种数据财产权理论设想,不可避免地都需要在实践层面解决数据资源的财产化问题。在“新型数据财产权”建构主义兴起的背后,其暗含的法理逻辑是通过清晰的权属划分保障交易各方能够预见自己可得利益以及可行使的财产权利。这种建构主义固然能够在制度层面彻底解决数据交易机制所存在的诸多难题,但遗憾的是,权利建构主义存在过度沉迷理论建构的倾向,忽视了财产制度是通过交易实践和交易惯例发展和演进的现实。既然理论建构方案很难得到理论界和实务界的普遍认可,倒不如从最有可能实现数据经济价值的领域进行试点性探索。破产企业的数据处理规则既是一个数据安全法与破产法条款适用的法律解释问题,同时也是如何在制度层面最大化企业财产这一新型破产财产的实务型问题。以实践问题为导向,更能为之后的数据财产权制度建构提供直接的实践案例,实现破产财产经济价值最大化与数据要素市场化配置、数据新型生产力生成的协调一致。
诚然,在我国司法实践层面尚无企业破产清算售卖企业数据的典型案例,但并不代表这些问题仅仅是学理层面的设想。事实上,类似问题早已被国外监管机构所重视,如在2015年的“RadioShack破产案”中,由于该公司在隐私政策中承诺不出售或转让客户信息,故而监管机构(FTC)反对该机构出售与破产程序相关的消费者个人信息,认为构成“不公平的商业行为”。这种围绕隐私政策内容判断能否出售消费者个人信息的方式,并不适合我国数据安全监管实践。在破产法领域,如何平衡破产财产经济价值最大化和数据安全保护问题显然是当下亟须解决的现实问题:首先需要明确的是企业数据作为破产财产的范围类型,以便结合数据类型的特殊性确定不同数据的处理规则;其次是明确破产管理人的管理职责是否囊括了企业数据安全,明确破产管理人的数据安全保障义务与数据处理者数据安全保障义务之间的区别;最后是在这两个“明确”的基础上解构企业数据作为破产财产进行变价和转移时,需要遵循何种义务规范或监管要求。
二、企业破产中数据处理规则的研究现状与实践探索
(一)国内破产企业数据处理规则的研究现状
总结企业破产中数据处理规则的相关研究,主要包括三类观点:一是破产制度解释论。该类观点主要从破产法传统制度出发,通过法律解释的方式论证破产程序中的具体规则。如在取回权层面,委托数据处理等数据外包乃是常见的商业合作模式,在作为受托人的企业破产时,委托人有权基于合同约定主张相关数据的取回,具体实现方式则是以“剪切、拷贝或在线传输、下载、删除”为主。再如在破产撤销权层面,鉴于数据所对应的权利尚未明确,可以按照商业秘密的保护逻辑,将无偿转让企业数据的行为视为按照不合理价格交易的行为,允许破产管理人行使撤销权。二是个人信息保护论。该类观点更侧重破产程序中用户个人信息的安全保护问题,一方面主张依据《个人信息保护法》对企业转让、售卖用户个人信息的行为予以限制;另一方面强调在破产程序终结之前,破产企业仍然应当承担个人信息保护义务。三是数据新型财产论。该类学说则是基于现有的数据财产权理论学说论证企业数据纳入破产财产的可能性,如部分学者选择从数据主体与数据控制者之间的信赖关系切入,基于信义义务和破产法领域的团队生产理论,提出数据控制者在破产环节应当承担保密、安全、透明与忠实的受托人义务,并根据“自行数据分析”与“数据外包服务”两类形式,分别提出“企业单独承担责任”和“企业与董事共同承担责任”两类情形。
从上述研究成果来看,国内关于企业破产中的数据处理规则更多侧重如何保护个人信息安全,但鲜有提及如何在满足个人信息保护的前提下将企业数据作为破产财产的理论论述与实践制度设计。在实践中,《个人信息保护法》与《企业破产法》等破产制度之间的规则衔接理应属于研究重心,但同时结合数据要素市场化配置的政策背景,还应当重点解决企业数据在破产程序中如何进行变价、如何实现债权人债权等现实问题。进一步而言,现有研究存在两个方面的问题未曾阐述明确:其一,在我国数据分级分类制度框架内,破产企业的数据资产是否应当进行分类处理。因为不同企业所持有的数据类型、敏感程度均存在差异,其对应的数据安全与数据利用之间的平衡方式同样也会产生一定差异。其二,在数据要素市场化配置视角下,破产企业的数据处理规则问题不仅需要解决破产法与个人信息保护法之间的制度衔接问题,同样需要解决实践层面企业数据资产入表和变价方式问题。法学领域的数据权属问题是数据资产纳入资产负债表的前提条件,同时,破产法所追求的最大化破产企业资产和实现债权的目标也需要通过相应的数据安全管理规则予以支撑。
(二)国外破产实践中企业数据处理现状
1.美国破产实践中企业数据处理现状
《美国破产法》已经明确规定了破产企业的数据处理规则,其中第363(b)(1)条规定,如果公司的隐私政策明确允许出售其客户的数据,则该公司可以出售其客户的数据。但是,如果隐私政策未授权出售客户数据,则必须任命消费者隐私监察员(CPO)审查出售实施和适用的非破产法。根据审查结果,消费者隐私监察员向法院提出是否批准拟议交易的建议。简言之,在美国破产实践中,消费者个人信息被出售时,必须任命一名隐私监察员,并就数据出售活动的合法性提出专门的报告。
谈及美国破产实践中企业持有个人信息的处理问题,“Living.com案”“Borders案”“Toysmart案”以及“Quirky案”这四个案件必然会被提到,因为这些案件基于事前确立的隐私政策认定了截然不同的个人信息转让结果。在允许转让个人信息的破产案件中,“Living.com案”中的破产公司隐私政策明确提及“未经消费者同意,公司不会向第三方出售、交易或出租消费者的个人信息”,但是,德克萨斯州总检察长对此表示担忧,认为该公司在破产阶段处理消费者个人信息的方法可能存在侵害消费者权益的风险,并提出将来可能就此采取法律措施。在达成和解协议后,破产管理人同意销毁包括姓名、住址、信用卡账号等个人信息。同样地,在“Borders案”中,破产企业也被允许出售其所掌握的消费者个人信息,但需要满足几个条件:一是应当以清晰显著的方式告知消费者,允许消费者在合理期限内自行作出是否接受的决定;二是在官方网站公示相关出售活动的信息,确保难以通过电子邮件通知的消费者也能够知晓;三是由计划买卖消费者个人信息双方共同承担在报纸上整页通知的费用;四是买方应当在收到消费者明确拒绝后及时清除从卖方处获得的客户个人信息。而在禁止转让个人信息的破产案件中,美国联邦贸易委员会通常会将类似数据出售变卖行为认定为“不公平的商业活动”。如在“Toysmart案”中,美国联邦贸易委员会注意到该破产公司将数据库一并对外拍卖,且待拍卖的数据库包含了大量儿童个人信息,为此提起诉讼,认为其行为违反事前的隐私承诺和《美国联邦贸易委员会法》第5(a)条,构成“不公平或欺诈行为”。尽管最后的处理结果是由该破产公司彻底销毁消费者个人信息,但在这一过程中,美国联邦贸易委员会在与该公司达成的和解协议中提出,破产实践中个人信息转让的四个标准,即“个人身份信息不能作为独立财产出售”“数据买卖双方的业务具有同质性”“数据买方应当同样遵守破产公司的隐私政策”“如果买方意欲利用个人信息进行其他活动,应当事前征得消费者同意”。之所以设置这样的客户数据转让门槛,其原因是“根据隐私协议收集的客户数据不应拍卖给出价最高的竞标者”,并“通过和解协议可以保护消费者免受破产法庭胜者通吃的影响,确保只有购买整个破产公司且以家庭为导向的网站才有能力获得这些数据”。此外,针对破产企业在宣告破产前变更隐私政策的行为,美国破产实践大多采取“消费者单独同意”作为允许转让个人信息的合法性标准。如在“Quirky案”中,破产企业曾将其隐私政策中的“不得出售个人信息”更改为“允许在破产重组时出售消费者个人信息”,此时,如若消费者未同意修改条款则破产企业不被允许转让其所持有的个人信息。
《美国破产法》将隐私监察员引入破产程序是为了预防类似“Toysmart案”中的“消费者个人数据货币化”做法,但有学者认为《美国破产法》对破产阶段出售消费者个人数据的行为作用有限。理由包括:(1)任命隐私监察员的情形不适用于根据重组计划进行的数据销售活动,因为重组计划所涉的数据处理活动是建立在尽可能延续债务人业务的基础上。(2)《美国破产法》第363条所提及的隐私监察员仅适用于债务人“正常业务活动”之外的消费者数据出售活动,如果债务人本身的业务活动包括消费者数据处理、加工等,那么破产阶段的数据出售活动则可能被允许。(3)《美国破产法》第363条不适用于非个人身份信息的数据出售活动,根据第332(a)条和第363(b)(1)条规定,“个人身份信息”主要是指个人向债务人提供的与从债务人处获取产品或服务相关的信息。(4)有关任命隐私监察员的规定仅适用于债务人存在“禁止转让个人身份信息的隐私政策”的情形,而这也是学者所诟病的“隐私法过度依赖消费者同意的合同模式”。(5)消费者隐私监察员条款的适用前提是“某人从破产案件开始就意识到存在出售个人信息的可能性”,但实际情况却是“出售个人信息的可能性被忽视或从未被发现”。
由此观之,美国模式主要存在三个特征:第一,主要在个人隐私权保护与合同意思自治层面进行利益平衡,决定是否能够转让消费者个人信息的最直接因素是隐私政策的内容。换言之,美国将隐私政策视为消费者与破产企业之间的信息服务合同的组成内容。第二,美国破产实践之所以将个人信息作为单独的数据资产处理,除了保护个人隐私权之外,还因为消费者个人信息类似于“客户清单”,具有显著的商业价值,故而可以成为独立的财产类型。第三,美国破产实践同样没有提及破产企业的业务数据处理规则,其原因是企业业务数据通常与存储的硬件设备一并出售,以便增加其变价的经济价值。
2.荷兰破产实践中企业数据处理现状
自《通用数据保护条例》(GDPR)施行之后,欧盟及其成员国对于欧洲公民的个人信息处理活动始终保持较为严格的监管标准。但在破产实践中,破产企业是否完全被禁止出售其持有的客户数据库并非一概以“禁止”论之。
在个人数据保护层面,荷兰数据保护局曾针对GDPR第6(1)(f)条所提及的“正当利益”提出了“三步检测法”,分别是目的测试、必要性测试和平衡测试。但适用于破产领域时,却存在破产法与个人数据保护法的相关衔接问题。第一,目的测试要回答的问题是“利益是否合法”。《荷兰破产法》第68条明确了破产管理人的任务是“管理和清算”破产公司,亦即最大化破产财产的经济价值,这与荷兰法院对“纯粹的商业利益”或“利益最大化”的否认态度存在明显冲突。仅从破产管理人的法定职责考虑,出售消费者个人数据具有破产法意义上的“正当性”和“合法性”。第二,必要性测试回答的问题是“是否有处理的必要性”。在破产程序中,破产财产的出售往往并不意味着原有业务活动的彻底终止,接收了所有破产财产的第三方可能会延续破产企业的原有业务,此时,出售个人数据的行为对于延续原有业务显然是“必要的”。第三,平衡测试回答的问题是“是否能够平衡所有的利益”。在破产利益架构中,债权人的利益表现为尽可能多地实现债权,管理人的利益表现为实现利益最大化的破产财产管理清算方案,破产企业员工的利益表现为重新获得就业机会,破产财产接收者的利益表现为“一揽子”接收所有破产财产,消费者的利益则表现为保护其个人数据不会在不知情的情况下被擅自出售或者延续既有的业务活动。此时,出售破产企业所持有的个人信息活动可能是平衡这些利益的理想方案,而以“事前同意”作为唯一合法要件则难以平衡这些复杂的利益。
3.国内外破产企业数据处理的研究比较
美国、荷兰等国在企业破产实践中并未以成文法的方式限定企业数据的处理方式,而是更多地侧重破产企业的管理人是否能够出售客户的个人信息。这种制度现象背后实际上反映了两种倾向:其一,美国、荷兰等国实际上默认将非个人信息的企业数据视为破产财产的组成部分。并从会计准则层面来看,企业数据通常难以作为“无形资产”纳入资产负债表,因为数据资产在使用寿命、摊销方法、经济价值等层面具有极大的不确定性,故而作为固定资产的组成部分纳入资产负债表中更为适宜。其二,国外在处理破产企业出售客户个人信息时,主要的法律争议其实还是围绕“知情同意”规则进行讨论。倘若客户并未提出明确的反对意见或者出售客户个人信息后原有的信息服务仍能持续提供,法院或监管机构倾向于允许破产企业出售客户个人信息。更确切地说,国外的破产企业的数据资产处置问题实际上被转化为一般性的个人信息出售行为从而进行合法性判断,更深层次原因是美国数据治理是“商业利益优先”,美国模式下的破产企业可以自由出售作为企业资产组成部分的数据资源,而欧盟数据治理模式是“侧重个人信息保护”,破产企业出售客户个人信息的前提是符合GDPR的基本要求。这两种治理理念虽然有所差异,但两者所导致的直接结果却是相同的,即在企业破产实践中淡化企业数据财产作为特殊破产财产类型的制度论证,而是更侧重纯粹的个人信息保护问题。如,美国2018年的《加利弗尼亚州消费者隐私法》(CCPA)规定,企业应当制定包含客户权利、收集客户个人数据目的等内容的隐私政策。此外,更重要的原因是,在企业破产活动中,尽可能保障债权人债权、实现以及帮助破产企业走出困境才是破产制度的立法目标,故而对于非个人信息的企业数据,国外立法采取更为宽松的处理模式。
相较而言,我国个人信息保护立法体系已经相对成熟,且现阶段立法论或解释论的重心更侧重“破产企业数据资产如何管理和变价”,这也是数据财产权从纯粹学理论述迈向实践探索的必要转变。需要说明的是,在数字法学视角下,数据财产权问题早已不单单是一个法律问题,更是涉及与会计准则、数据安全保护技术等其他学科交叉的综合性问题。因此,在探讨破产企业的数据资产处置规则时,既要关注法律层面的权益保护问题,也要关注到学科交叉视野下的规则衔接问题。
三、企业数据作为破产财产的正当性基础与类型细化
(一)企业破产财产的概念内涵与制度目标
在学理层面,破产财产的特征常被总结为“具有清偿目的性”“可强制执行性”“债务人所有或经营管理”以及“范围动态性”,而这些特征恰是体现了破产财产在破产法领域的核心功能,即平衡各方利益、达成最佳的债权实现方案。在我国破产法体系中,“破产财产”并不是一种限定主义层面的财产范围概念,而是涵盖所有能够履行债务的宽泛财产概念,既包括法定的财产权利,也包括可变价的财产性权益。我国企业破产法的目的在于实现破产财产经济价值的最大化,“把最大化私人利益和最大化社会利益结合起来”。在认定破产财产范围时,大多数问题聚焦于什么阶段哪些财产转变为破产财产范畴以及诸如划拨土地使用权等无偿方式获取的特殊财产性权利能否进入破产财产范围等问题。这些问题的解决往往需回归至其他法律法规的具体规定,并考虑设置该类财产权益是否存在社会公共利益等特殊目的。换言之,破产财产的确认往往依赖于其他法律法规所规定的“财产”范围,而《民法典》第127条将“数据”与“网络虚拟财产”并列,事实上已经默认数据具有承载财产性权益的可能性,即便现行立法并没有规定数据财产权利,但并不妨碍将数据纳入企业破产财产的范畴。同时,从《最高人民法院关于适用〈中华人民共和国企业破产法〉若干问题的规定(二)》第2条规定的四类“不应认定为债务人财产”的情形和《最高人民法院关于审理企业破产案件若干问题的规定》第71条列举的九种“不属于破产财产”的情形来看,均没有将数据这一权利客体排除在破产财产范围之外。
然而,真正的争议在于哪些企业数据能够纳入企业破产财产范围、作为破产财产的企业数据如何转让变价。在传统破产法理论中,从企业资产到破产资产的称谓转变实际上是以最大化清偿为目标的一种法律制度设计,重视这些财产的“可用性”与“可经营性”在破产程序中的保留。目前,企业存储数据的方式大抵可以分为本地存储和异地存储(主要是云存储方式)。在常见的云存储模式中,数据存储具有实时性和高速读取的特征,处于破产程序中的企业数据仍在生成和存储,在宣告破产之前和破产期间新生成的数据同样属于“破产财产”范畴。至于本地存储模式,企业数据是否应当作为独立的财产类型,则需要衡量企业数据与硬件设备的关联程度。从最大化经济价值来说,仅具有存储的“空壳”硬件设备所能变价的金额远不及存储有大量企业数据的硬件设备,并且,对于破产财产购买方而言,购买本地存储的硬件设备及其数据,可能意味着数据泄露的可能性较低,这些企业数据的市场竞争性和稀缺性能够得到保障。因此,本地存储的企业数据是否能够成为独立的破产财产类型,还需要由破产管理人结合数据类型、经济价值等要素进行是否将其确定为独立财产类型的必要性判断。
(二)破产领域数据分级分类的误区审视
数据分级分类保护制度作为我国数据安全保护基本制度,在破产法领域同样适用。国内外现有研究成果普遍更侧重对于客户个人信息的处理规则的探讨,对业务数据等其他数据类型却言之甚少。突出《个人信息保护法》在破产程序中的适用,仅仅解决了个人信息能否出售的问题,而没有解决个人信息如何安全出售的问题,更没有解决企业业务数据的出售问题。
现阶段,数据分级分类的相关学说常以权利归属以及信息内容为依据,将企业数据划分为个人信息和业务数据两类。但这种数据划分模式存在“分类标准”与“分类目的”脱节的问题。在破产领域,这使得原有的“企业数据能否作为破产财产”这一问题又回归到数据安全保护问题层面,重新论证个人信息保护和数据安全的具体内容。
对于个人信息而言,相较于欧美,我国《个人信息保护法》第22条明确规定个人信息处理者因被宣告破产等原因需要转移个人信息的,需要向个人告知相关情况。按照目的限制原则,企业破产之后,自然人同意个人信息处理者数据处理的目的无法实现,此时,自然人可依据《个人信息保护法》第47条主张个人信息删除权,或者根据告知情况单独明确同意其个人信息的转让。即便破产企业在隐私政策、用户协议中存在破产时个人信息转让的相关条款,但如若未能依照《个人信息保护法》第23条获得单独同意,则无法在破产程序中直接转让出售客户的个人信息。个人信息处理活动的合法性要求虽然意味着客户个人信息能够作为企业破产财产,但并不意味着能够当然地完整出售。在破产程序中,破产管理人在履行其管理破产财产责任时,需要设置合理期限获得自然人单独同意,用于确定实际可以变价的客户个人信息范围。值得注意的是,倘若将破产企业所持有的客户个人信息删减部分信息要素,将其法律性质解释为“潜在客户名单”,仍然无法回避“单独同意”这一要求。因为删减后的信息既非《个人信息保护法》所界定的匿名化信息,也存在与其他信息结合识别特定自然人的可能性,其法律性质依然是个人信息。
就企业业务数据而言,因为不存在自然人对该类数据主张个人信息权利,作为破产财产进行变价售卖的前置性要求较少。既然该类数据属于非个人信息,那么理应可以自由处置变卖,如此看来,个人信息和业务数据的分类方式似乎足以解决破产程序中企业数据财产的处理问题。然而,这种分类方式只是在理论层面解释了企业数据能不能作为破产财产,并没有解决企业数据是否应当与存储介质一并售卖的实践问题,而这关系到破产财产经济价值最大化的实现。此外,企业数据与个人信息的二元分类实际上是将企业所持有的全部非个人信息整体性地作为破产财产,这与基于数据分级分类的数据资产评估模式并不相符。除了主营业务数据之外,广义上的企业数据还包括信息系统数据、员工个人信息、网络安全日志数据等,这些数据彼此之间的经济价值存在显著差别,整体性出售同样存在破产财产经济价值减损的现实问题。因此,有必要对非个人信息的企业数据再作进一步细分。
(三)作为破产财产的企业数据分类方式
在破产法领域,数据分级分类的直接目的在于明确三个核心问题:其一,是否所有被认定为破产财产的企业数据均可以变价出售;其二,作为破产财产的企业数据是否具有分级分类的必要性,因为如果这些数据均能对外出售,似乎只需遵循经济价值最大化方案予以售卖即可;其三,企业数据分级分类需要采用何种划分标准,是否有必要进行特别细致的类型划分,例如根据企业数据所反映的内容将其划分为业务结果数据、客户信息数据、业务配置运行数据、财务账目数据等。这些问题不仅关系到破产管理人应当按照何种方式处理这类特殊的数据资产,还关系到数据处理生命周期最后环节的“删除和销毁”。按照这种问题导向,可根据经济价值最大化实现的需求对企业数据类型进行逐层分类。
第一,在重要级别层面,需要将一般企业数据与重要数据、核心数据予以区隔。在一般数据、重要数据以及核心数据的数据分级框架下,《数据安全法》明确了不同重要级别数据所对应的数据安全保障措施,且将具体的行业重要数据目录等数据分类分级实施措施交由行业主管部门确定。但这些数据安全监管要求大多是以企业处于正常运营状态为前提,对正处于破产程序中的企业是否能够出售这些数据尚未予以明确。《数据安全法》第21条是以危害国家安全、公共利益作为重要数据的核心识别要素,而《信息安全技术重要数据识别指南(征求意见稿)》等规范性文件则将识别要素细化为“反映国家战略储备、应急动员能力”等具体标准。之所以要细化重要数据的识别标准,是因为这类数据的对外传输受到严格限制,只有将这些数据与一般企业数据予以区分,相应的破产财产变价方案才能够予以实施。如《关键信息基础设施安全保护条例》第21条明确提及关键信息基础设施运营者发生合并、分立、解散等情况时,应当及时报告保护工作部门,并采取相关安全保障措施。虽然该条未明确提及破产程序中的运营者义务,但从“合并、分立、解散”等表述来看,该条主要是针对运营者的法律主体地位发生重大变化时所设置的特别义务,故而在破产程序中,就企业持有的重要数据、核心数据是否能够纳入可以出售的数据资产,需要事前告知保护工作部门。不过,从《数据安全法》《网络安全审查办法》的相关规定来看,我国现行立法仅是禁止企业存续期间非法转移传输重要数据,并没有当然排除重要数据作为破产财产的可能性。倘若数据接收方继续承担破产企业的信息服务和信息系统,且能够采取同等或者更高的数据安全保障水平,那么此时重要数据作为破产财产予以出售,并不会造成数据安全风险的异常变化,也符合《关键信息基础设施安全保护条例》第21条提及的“确保安全”。至于核心数据,因其高度的敏感性和重要性特征,无论企业处于何种运营状态,这些数据的处理活动均须优先适用核心数据的管理制度。
第二,在具体的数据分类层面,现行立法并未明确规定强制性的分类标准,而是由企业自行在数据资产评估的基础上设置个性化的数据分类方式。在解决了客户个人信息、重要数据、核心数据后,剩余的一般企业数据确实可以一并纳入破产财产的范畴中,但这种粗放式的认定方式并不足以实现破产财产在破产制度中的核心功能,即实现经济价值最大化。从数据资产价值变化来看,“数据价值的减少速度取决于数据的类型或用途”。因此,企业的自主性数据分类业务成为细化破产财产类型的重要考量因素。举例来说,企业主营业务数据与系统安全数据对于同业的数据接收者而言不存在显著的价值差距,但对于专门网络安全企业而言,系统安全数据的经济价值可能高于企业主营业务数据。根据《网络安全法》的相关规定,系统安全数据可能还存在存储期限的限制,用以明确破产企业存续期间的数据安全法律责任。基于此种考虑,还有必要按照功能和内容将企业数据中的特殊数据财产予以区分。不过,这种区分与企业自行的数据精细化不同——精细化分更侧重在经济价值实现层面的类型区分,因为精细划分的直接目的是明确企业的数据资产总值以及对应的数据安全保障措施;而在破产程序中,数据分类的直接目的则是确定需要特别处理的数据类型。例如,《车联网信息服务数据安全技术要求》(YDT
3751-2020)将数据划分为基础属性类、车辆工况类、环境感知类等以及若干子类,《工业数据分类分级指南(试行)》将工业数据分类维度归纳为研发数据域、生产数据域、运维数据域、管理数据域、外部数据域,诸如此类的数据分类方式无需直接纳入破产程序中的财产范围认定,而是可以作为破产财产的类型划分参考。
对于正常经营的企业而言,其数据产生来源主要包括客户维系、主营业务、经营管理、软硬件设备维护四个方面,故而除去客户个人信息之外,企业数据可以分为主营业务数据(如业务结果数据、业务运行配置数据等)、系统安全数据(如防火墙数据、系统安全参数数据、系统运行日志数据等)、经营管理数据(员工个人信息、内部管理架构信息、财务账目数据等)。如《金融数据安全数据安全分级指南》(JR/T0197-2020)将数据分为客户数据、业务数据、经营管理数据、监管数据四类,《证券期货业数据分类分级指引》(JR/T0158-2018)将数据划分为交易、监管、信息披露、其他四类。
第三,作为企业数据中的特殊类型数据,员工个人信息与客户个人信息的处理方式显然不同。一方面,员工个人信息通常包括工龄、工资等情况,属于典型的敏感个人信息,不能当然地作为破产财产予以变价出售;另一方面,从破产法的目的来看,为了帮助企业渡过难关以及保障就业岗位,破产企业的收购方需要雇佣原有的员工并继续维持原有的业务活动,此时员工个人信息可以在不变动存储地点、不对外传输的情况进行变价转让,既符合数据安全的保障要求,也能够帮助破产企业的收购方更好地接手破产企业业务活动。当然,如果破产企业员工选择离职,那么其个人信息则无法纳入企业破产财产之中。
四、破产管理人的法定职责:从管理处分到安全保障
(一)破产管理人的数据财产管理职责
管理人对于破产财产的管理具有相当程度的自主性和独立性,在不明显减损破产财产经济价值以及侵害债权人利益的情况下,可自行决定破产财产的管理方案以及宣告破产后的变价方案。在待履行合同层面,管理人有权选择继续履行或解除合同,尽管学者们主张通过“财产价值最大化、利益平衡、维护公共利益三大基本原则”、“人民法院事前实质审查和批准”或“针对特定类型合同施加专门的解除权限制要求”等方式对这种选择进行限制,但这并不能排除管理人对管理和处分债务人财产的实质性权利。不过,也有学者认为,在不同的破产程序环节,管理人接管财产和经营事务的具体要求并不完全相同,如迥异于和解、清算,管理人在破产重整中需要对企业经营活动作出“更加明确的商业判断”。尤其是《企业破产法》第73条将债务人自行对企业经营管理的前置条件设定为“人民法院批准”和“管理人监督”,管理人实际上获得了破产企业的经营控制权。《企业破产法》第25条还规定了管理人调查债务人财产状况的职责,结合实践中部分企业内部管理混乱等现状,管理人在接管破产企业时,需要对破产企业的经营业务、财务状况等具体事务展开实质性调查。
管理人对于破产财产具有一定程度的管控力,部分学者更是认为破产管理人有权“处分债务人的小额财产”。这就意味着管理人对作为破产财产的企业数据同样具有相应程度的控制能力,具备成为《个人信息保护法》《数据安全法》所规定的“个人信息保护责任人”“数据安全责任人”的可能性。不过,这类“安全责任人”的制度目的是确保正常经营的企业展开独立的业务合规审计,强制性要求企业重视数据安全合规并将其纳入企业主营业务活动之中。而实现这一目标的前提则是所谓的“安全责任人”对企业内部的数据处理活动足够了解,且自身的职位能够独立履行内部的数据安全监督义务。诚然,管理人的确实符合“安全责任人”的独立性要求,且在破产程序中,管理人也在法律层面接管债务人的财产、印章和账簿、文书等资料,负责管理和处分债务人的财产,具备实质性管理企业数据的可能性。但是,这并不能成为其当然作为破产管理人成为“安全责任人”的理由:其一,管理人对于破产财产的接管和调查依赖于债务人的配合,而实践中债务人拒不向管理人移交财产和资料、虚假回答管理人的问询、伪造销毁财产证据材料等情况并不鲜见;其二,破产实践中,管理人大多是由会计师事务所、律师事务所或破产清算事务所等社会中介服务机构担任,并不具备专门从事数据安全技术保障的专业技能;其三,各个企业的数据安全管理机制和技术保障机制并不相同,要求管理人在接管财产的同时履行数据安全保障义务需要进行一定期限的调查和核验,短期内达成与企业内部员工相同水平的数据安全管理未免强人所难。综合来看,管理人既不具备专业的数据安全保障技术,也难以在短期内完全接手债务人的数据安全管理模式,故而管理人对数据资产的管控能力并不能作为其成为“安全责任人”的直接理由。《企业破产法》将了解债务人财产状况作为破产管理人的基础义务,是“为了防止债务人实施逃废债务等不当行为”,因此其承担的数据安全保障义务应当表述为数据安全管理义务更为合适。此外,《个人信息保护法》《数据安全法》所提及的“安全责任人”是以数据处理者的内部员工为前提,管理人所具有的独立性是决定其不能成为“安全责任人”的事实依据。
(二)破产管理人破产财产管理职责的再解释
从破产实践来看,有关数据的安全保障问题大多是通过商业秘密保护等方式予以解决,并且,现行立法也没有规定管理人的数据安全保障义务。因此,需要通过法律解释的方式明确管理人承担数据安全保障义务的正当性基础以及履行方式。
第一,管理人的数据安全保障义务以其法定职责为正当性基础。企业数据的处理规则之所以能够成为破产财产处分领域的新问题,是因为彼时的数据因数据分析技术有限等客观原因并不具备市场认可的经济价值,仅仅属于一种特殊的技术工作,而非独立的财产类型。时至今日,在安全法益层面,财产安全与数据安全指向同一类型法益。管理人所承担的管理和处分破产财产的法定职责,不仅包括确保所有可以用于清偿债务的企业财产的价值、预防债务人擅自处理破产财产,还包括确保特定企业财产的经济价值不发生明显减损。影响数据经济价值的因素除了数据的质量和数量,还包括数据使用需求、数据的稀缺性、安全记录等。因此,管理人确保企业数据经济价值不减损的方式便是确保数据处于安全可用状态,避免出现大规模数据泄露、内部员工擅自对外公开数据等问题。
第二,管理人的数据安全保障义务是以勤勉忠实义务为基础。《企业破产法》第27条规定了管理人应当勤勉尽责,忠实执行职务,但有关“勤勉尽责”的具体标准并未明确规定。主流观点普遍主张借鉴《公司法》对董事、监事以及高管的规定,认为应当解释为管理人履行“善良管理人的注意义务”,并避免债务人的财产损失;也有观点将之细化为工作能力胜任、认真履职以及预见不利后果时能够采取必要措施三类具体标准。此外,还有观点将此类义务的履行标准解释为“管理人的执业行为不得存在作为专业人员的基本错误,确保各方当事人利益不会因其行为遭受损害”。这些观点普遍认可管理人在管理破产财产时不应当出现因违反其专业技能而导致的破产财产经济价值减损。相应地,管理人的数据安全保障义务则应当解释为,管理人应当谨慎地监督债务人维系必要的数据处理业务,妥善管理企业数据,避免企业数据发生泄露、毁损等影响其经济价值的安全事件发生。这种义务的履行标准包括两个方面:一是对于已经停止处理的企业数据,原则上禁止任何人访问、复制或对外传输;二是对于维系必要业务活动而需要处理的企业数据以及企业信息系统运行期间所产生的数据,管理人应当明确要求债务人的安全责任人继续严格履行内部安全管理制度。
(三)破产管理人数据安全保障义务的具体履行方式
管理人的数据安全保障义务在法律性质上属于财产安全保障义务的另一种形式,其义务边界的核心判断标准是相关财产损失风险是否超出管理人的专业技能和执业经验所能预见的范围。在破产实践中,结合前文提及的个人信息、主营业务数据、系统安全数据、经营管理数据的数据分类模式,针对不同数据类型,管理人履行数据安全保障义务的方式具有特殊性。
就客户的个人信息而言,因为涉及破产清算阶段的财产变价以及数据处理目的实质性变更,根据《个人信息保护法》第14条第2款规定,数据处理者应当重新征得自然人的同意,这涉及由谁履行该义务的问题。结合管理人管理和处分破产财产的法定职责来看,重新征得自然人的同意直接决定了企业数据财产的直接范围以及可能变现的实际经济财产,并且,在此阶段,债务人主营业务已处于中止状态,由管理人要求债务人的安全责任人发送通知并征得同意更为合适。一方面,尽管管理人接管了债务人的可执行财产,但管理人并非《个人信息保护法》第73条界定的“个人信息处理者”,并且其对数据财产的管理方式也仅仅是以禁止债务人擅自处理为限,而不涉及具体的数据处理活动。由管理人督促债务人向个人信息主体征得重新同意更为稳妥。另一方面,管理人的法律地位独立于债务人和债权人,并不以债务人的名义对外从事法律行为,管理人管理和处分破产财产是为了保障破产程序参与各方的合法利益,其处理方式始终是以变价拍卖实现债权为限,不涉及具体的经营活动。在破产程序中,债务人尚未被注销或结算,由债务人自行通知获得重新同意属于其履行个人信息保护义务的必然要求;而勤勉忠实义务则要求管理人督促债务人明确可供实现债权的企业数据范围,所以管理人的义务履行方式则是书面要求债务人尽早明确破产财产的实际范围。
就系统安全数据和经营管理数据而言,管理人的义务履行方式表现为决定债务人内部的数据安全管理实施方案。与正常经营相比,处于破产程序中的企业可能面临员工离职等问题,原有的数据安全内部管理制度可能无法继续实施。然而,管理人对于债务人原有的安全管理机制以及数据安全保障业务流程可能难以在短期内全面掌控,故而需要债务人的内部员工继续严格实施内部数据安全管理制度。《企业破产法》第25条第3项提出了管理人的法定职责包括“决定债务人的内部管理事务”,此时,管理人需要按照《数据安全法》的要求,谨慎合理地选择债务人的数据安全责任人,并制定相应的数据安全监督制度。需要说明的是,如果处于破产重整且由债务人自行管理时,管理人在制定监督债务人的具体制度时,需要为企业数据安全设置专门的监督制度。不过,管理人的法定职责也仅仅局限于“决定”权,而非代为运营债务人的原有业务活动,且“决定”的事项是内部管理事务。所以,倘若发生债务人的数据安全负责人未能履行职责时,债务人及其数据安全责任人应依据《数据安全法》第六章的规定承担法律责任,而管理人仅在未能合理选任数据安全责任人或未能制定合理的数据安全监督制度时才独立承担相应的法律责任,因为其并未真正参与到数据安全管理活动的实施中去。
就主营业务数据而言,由于在破产程序中,非必要的主营业务活动已经暂停,故而并不会产生新的业务数据,管理人的数据安全保障义务则是妥善保管和存储这类企业数据财产。除非确有必要,管理人应当禁止债务人再次访问、复制或传输主营业务数据。
此外,破产程序中,管理人还有一项特殊的数据安全保障义务,即制定破产程序期间员工离职的内部管理制度。在实践中,员工离职擅自携带企业数据导致的数据泄露事件并不鲜见,而这类数据泄露事件将会明显影响到企业数据的经济价值,故而管理人在保护破产财产安全时,有必要对破产程序中的员工离职活动制定专门的监督制度,限定可以访问企业数据的员工人数和岗位类型,避免财务或技术等特殊岗位人员携带大量企业数据离职。
五、破产程序中企业数据变价的具体路径与制度衔接
(一)企业数据变价的前置议题:财产权与个人信息权的法益平衡
尽管在破产实践中,企业数据类型具有多样化特征,但是其中最有经济价值的数据类型仍然是个人信息。对于潜在的收购方来说,客户个人信息甚至可能产生比特定固定资产更大的经济效益。因此,在讨论企业数据变价之前,仍然有一个前置议题值得关注:如何在保障个人信息权利的同时最大化实现债权。涉及出售客户个人信息属于《个人信息保护法》所规定的“重新取得自然人同意”之情形,因为个人信息处理者、处理目的等重要事项都将发生实质性变更。然而,实践问题远比理论预设得更为复杂,倘若在破产程序期间内无法及时有效向全体用户“重新获得同意”,无疑会削减可实现的债权范围。即便采用匿名化处理的方式,但由于现行立法并没有明确规定匿名化的技术标准,加之破产管理人也非专业机构,难以确保匿名化技术符合法律要求。
学界有关数据财产权的研究成果大多也是围绕个人信息保护与数据安全利用之平衡予以展开,新型企业财产权、财产交易论、权利束等学说均在试图平衡各方主体的差异性数据权益。新型财产权说认为“个人对个人信息数据享有的合法权益与数据处理者对数据享有的财产权利之间不是母子权利(益)关系”,倾向采用“人财两分”模式,将个人信息中的人格利益分配给个人,并鉴于个人信息中财产的稀薄性等原因,将个人信息中的财产利益分配给数据处理者。权利束说则是将数据客体上的各项权利看作一个束体;并主张个人信息权益属于“母权”,数据权利属于“子权”,虽然两者呈现密不可分之状态,但两者之关系不能简单地割裂论述,而是应当明确三类规则:一是信息主体应当依法行使其个人信息权益,二是数据处理者不得拒绝信息主体的权益主张,三是数据处理者应充分尊重信息主体对其信息权益的合法行使。进一步而言,这种权利束架构也对数据定价机制产生一定影响,因为“初始的个人信息投入和可能的隐私泄露成本均是用户的成本投入”,这便需要从整体数据生态视角判断数据财产权与个人信息保护之间的法益平衡逻辑,进而延伸出特定情形由平台“出让其个人信息的数字化财产价值”。财产交易论的学者则从交易实践出发,认为应当区分数据内容和数据产品,进而区分交易活动中个人信息和数据产品之间的差异性。这些理论学说在一定程度上均反映出数据财产权的基本内容、数据定价方式均受个人信息权利的影响,但却又都担心赋权模式可能造成数据流动受限。换言之,个人信息权益的保护方式并不是唯一的,在能够满足安全目标的前提下,理应对个人信息权益的行使方式或者个人信息处理者的义务履行方式进行适当变更。例如在国外,美国模式更侧重依据破产企业的隐私政策内容确定是否允许出售个人信息,而非必须进行“重新征得自然人同意”;荷兰模式则是考虑到实践的复杂性,基于破产法意义上实现债权等“正当利益”而进行了利益平衡,允许破产企业以“明确反对”方式替代“重新征得同意”。两相比较而言,荷兰模式对我国破产实践更具参考价值:通过向社会公众公示(如新闻公告等),基于“法律不保护躺在权利上睡觉的人”之逻辑,促使自然人在合理的公示期间内作出是否明确反对的意思表示,也能兼顾破产活动的商事效率。
(二)企业数据变价前:数据资产化与匿名化保护
管理人进行数据财产变价之前还有个实践问题需要解决,即解释数据能否按照会计准则列入资产范畴。因为在会计准则中,数据列入财产清单的前提是存在明确的数据权属。而现行立法并未承认过企业对其数据享有“所有权”或者其他类似的权利,仅仅承认企业对其数据享有财产性权益,且司法实践也多以企业的竞争性权益等表述居多。《企业会计准则——基本准则》第20、21条和第22条明确能够列入资产负债表的两个条件是“符合资产定义”和“符合资产确认条件”。虽然企业数据满足“资产定义”,即由过去的交易活动或业务活动形成、由企业自身拥有或控制,并且能够在合理预期内为企业带来经济利益,但并不一定均满足“资产确认条件”。换言之,能够纳入资产负债表的企业数据还需要满足“经济利益很可能已经流入企业”且“能够可靠地计量成本或价值”这两个条件。在法律层面,这些资产认定条件则表现为“可量化价值性”和“可转让性”两项标准,如《最高人民法院关于适用〈中华人民共和国企业破产法〉若干问题的规定(二)》第1条在解释能够认定为债务人财产的财产权益时,将认定标准规定为“债务人依法享有的可以用货币估价并可以依法转让”。因此,前述问题就可转化为如何判断企业数据“是否可转让”和“是否能够可靠估值”两个子问题。在“是否可转让”层面,既然《民法典》已经承认数据作为财产的可能性,而财产本身就具备转让交易的属性,故而企业数据显然符合“可转让”之要求。在“是否能够可靠估值”层面,数据具备可估量的经济价值同样并没有太大争议,但关键在于这种可估量性是否表现为标准统一的价值估量结果。结合2024年1月1日起施行的《企业数据资源相关会计处理暂行规定》以及2023年9月公布的《数据资产评估指导意见》来看,数据财产的计量标准能够得到统一,即符合“可靠估量”之要求。这也意味着破产管理人在制作资产负债表前需要对企业数据资产状况进行事前评估和调查。
此外,在企业数据变价前还有另一个问题需要解决:在未能获得用户重新同意的情况下,能否通过匿名化处理的方式将客户个人信息转变为企业破产财产。在涉及处理客户个人信息时,部分观点认为单独征得用户同意的谈判成本过高,且不符合商业效率的要求,主张通过脱敏处理实现客户个人信息的产品化。其中存在几个问题值得商榷:其一,数据脱敏和匿名化处理属于两个有所区别的概念。数据脱敏主要是在保证数据分析结果准确性的基础上,对原始数据的敏感字段进行处理,降低数据敏感程度,避免隐私泄露。匿名化处理则是强调对原始数据中能够指向个人身份的关键属性进行隐藏或替换,使得处理后的个人信息无法识别到自然人。其二,绝对的匿名化处理效果不可能达成。在数据分析技术持续发展的趋势下,任何匿名化处理方案均存在重新识别到特定自然人的可能性,这与《个人信息保护法》第73条所界定的匿名化标准“无法识别”和“不能复原”的要求显然存在一定差距。其三,破产程序中的数据处理规则不能忽视破产法的立法目标。管理人自身通常并不具备相应的技术能力,如若选择聘请第三方机构进行专业化技术处理,其中的费用会限制可实现债权的范围。一旦管理人所投入的成本高于匿名化信息所能实现的经济利益,将与“破产财产经济价值最大化”这一破产法核心目标相悖。因此,在破产程序中,通过匿名化等技术处理手段规避《个人信息保护法》的业务合规成本并不具有可行性,至少应当在法定的匿名化技术标准明确,且技术成本低于处理后的数据经济利益时,才可以考虑通过技术处理实现客户个人信息的企业资产化。
(三)企业数据变价的具体方式:多元化交易模式
《企业破产法》第112条规定,除非债权人会议另有决议外,破产财产的变价出售方式应当是以拍卖方式为原则。之所以限定为拍卖,是因为通过竞价方式能够实现破产财产经济价值的最大化。管理人在变价出售企业数据时,理应也以拍卖方式为原则。然而,在我国数字经济市场中有关数据交易的具体制度,尤其是数据的市场定价机制,尚未形成统一标准时,《企业破产法》所要求优先采用的拍卖方式在实践中可能存在一定程度的困难。从商业逻辑来看,根据债务人的行业属性和业务规模、企业数据的质量和数量等具体要素的不同,不同的潜在数据买方对这些数据经济价值的估值数额可能存在显著差异,这也意味着数据竞拍方式能否达成破产财产经济价值最大化的目标难以确定。此外,倘若债务人的主营业务并不涉及信息服务,再加上债务人内部管理混乱,数据业务合规不规范,导致企业数据曾发生数次泄露、毁损等安全事件,能够被执行的数据财产结构化程度低,难以确保数据真实性、准确性,那么以拍卖方式处理这类数据财产就无法实现破产财产价值最大化,甚至可能存在流拍的风险。不过,第112条也预留了解释空间,即倘若存在其他优于拍卖变价的方式,管理人可以向债权人委员会提交破产财产处分方案,并说明其他方式优于拍卖变价的理由。
因此,在经济价值最大化的目标导向下,管理人在决定企业数据变价出售时,需要进行三个层面的判断:其一,评估企业数据资产价值,判断是否需要聘请第三方机构对数据资产进行技术处理。管理人管理和处分破产财产的履行标准是以“保值”和“尽可能增值”为主。所谓的“保值”是指管理人应当确保数据财产的经济价值不会因为破产程序期间管理不当而导致数据泄露、毁损或遗失,所谓的“尽可能增值”是指管理人应当根据预期的市场定价以及数据加工处理的前期成本,优先采取更有利于企业数据增值的管理方案,如在合理成本预算内聘请第三方机构进行企业数据结构化整合等。其二,事前评估企业数据的市场定价区间,判断选择“场内交易”还是“场外交易”。在实践中,场内交易与场外交易各有利弊,如竞价拍卖等场内交易模式能够实现数据变价的最高数额,但其局限性在于需要众多竞价参与者;场外交易是指由特定买卖双方所进行的数据交易模式,不需要数据交易所等第三方中介机构的参与,其好处在于有可能达到比场内交易模式更高的变价价款,但局限性在于谈判成本、交易机会、搜索成本等问题无疑对管理人的业务能力提出较高要求。其三,在变价出售企业数据前,要求债务人提供网络安全日志在内的等数据安全信息,用以确认在经营活动中是否存在数据泄露、篡改等安全事件。虽然现行立法并未对此作出明确规定,但是管理人具有对企业资产状况进行调查和清理的工作职责,如《广州市破产管理人工作规程(试行)》第31条在提及管理人接管时应当制作移交清单和接管笔录。此时管理人要求债务人说明数据安全信息,一是为了区隔管理人与债务人有关数据安全保障的责任认定,二是为了在之后变价出售时用以证明企业数据不具有“经济价值瑕疵”,并且在变价出售后,买方主张债务人隐瞒数据泄露等影响数据经济价值的重大事项、卖方可以据此予以抗辩。
(四)企业数据变价后:数据销毁环节
在管理人变价出售企业数据之后,破产程序中的企业数据处理规则还留有最后一个关键环节,即数据销毁环节。在数据全生命周期中,最后的环节并不是删除,因为制度层面的删除既包括数据处理者从自身的数据库中彻底删除数据,也包括通过技术措施使得目标数据处于“不可见”和“不可用”的状态,实现事实意义上的删除效果。学界有关数据删除与数据销毁的概念关系讨论多是认为数据销毁属于更为彻底的数据删除,其目的是防范通过技术恢复还原已经删除的数据。结合我国《个人信息保护法》有关个人信息删除权的表述来看,数据删除实际上是数据销毁的前置性步骤,删除的法定原因是数据处理活动的合法性与必要性基础丧失,而数据销毁则是因为数据处理活动已经步入到最后一个阶段。在破产程序中,数据销毁的直接原因是原有的数据处理者主体资格丧失,相应的数据处理活动也步入到终止阶段,不对债务人数据进行销毁,可能导致包括重要数据等非破产财产类数据与作为企业破产财产的数据共同发生数据泄露的问题,且数据购买方所获得数据的市场稀有度难以得到保障,不利于破产程序中企业数据经济价值的最大化。
现行立法并未对数据销毁作出专门规定,但部分规范性文件则对数据销毁的技术效果、操作流程有所提及。如《工业和信息化领域数据安全管理办法(试行)》第20条要求数据处理者明确销毁对象、规则、流程和技术等内容,并对销毁活动进行记录和留存,且禁止以任何理由或方式恢复数据;国家卫健委、国家中医药管理局、国家疾控局印发的《医疗卫生机构网络安全管理办法》第22条第7项则将“无法还原”作为数据销毁的技术效果,且提出重点预防和控制“数据残留风险”和“数据备份风险”。由此可见,主流观点更倾向于将数据销毁的实现效果解释为“数据的不可恢复”。但也有学者结合德国学者所述的“占有数据、使用数据和销毁数据”三类数据,认为数据销毁不同于物的销毁,因为“数据持有者根本无法消灭数据的原始来源”。这种观点实际上是由于数据销毁在广义和狭义层面的分歧所导致的,狭义的数据销毁通常是指特定的技术处理方案,如“物理粉碎、焚烧、消磁等”,其技术逻辑是存储数据的物理介质及其数据一并销毁;广义的数据销毁还包括通过替换、删除等方式使得原有数据消失,但并不排除通过技术手段恢复数据的可能性。结合破产数据销毁的目的来看,由于实际的数据处理者已经发生变更,债务人在主体资格丧失之前应当使得数据无法被恢复,即满足狭义的数据销毁要求。
在义务主体层面,真正实施数据销毁行为的义务主体是债务人,管理人仅有义务监督债务人按照法定要求销毁数据。债务人在真正丧失法律意义的主体资格前,仍然保有最低限度的数据处分权能,这与管理人所具有的处分破产财产的法定职责并不相悖。首先,管理人确定债务人数据的处分方案并经债权人会议同意后,管理人应当监督债务人制定相应的数据销毁流程,其数据销毁的范围仅包括经同意的客户个人信息、员工个人信息、经营管理数据、主营业务数据、系统安全数据。其次,在债务人企业数据转移、宣告破产之前,应当由内部的安全责任人按照破产程序期间所制定的内部数据安全管理机制,将包括作为破产财产的企业数据(不包括重要数据)一并销毁。最后,针对债务人所持有的重要数据,应按照数据分级分类管理的方式,采取更加严格的数据销毁操作流程。因债务人法律主体资格丧失属于能够引发数据安全风险异常的因素,应当按照《数据安全法》第30条的要求向主管部门报送风险评估报告。
六、结 语
在数据要素市场化配置中,最常被提及的便是数据使用与数据安全之平衡,但这也会被诟病。原因在于这种法益平衡虽然常常被用于各个数据治理领域,但相关研究也仅仅停留于“应当平衡”层面,未深入讨论“如何平衡”这一根本性问题。而在破产领域,企业数据变价所存在的经济价值最大化与安全保障之冲突实际上是数据粗放式管理所导致的。其一,《民法典》第127条所确立的数据财产权益决定了企业数据作为破产财产具有正当性;其二,《破产法》所追求的破产财产经济价值最大化依赖于有效的企业资产整合和管理;其三,作为破产财产的企业数据进行管理和变价时,需要遵循会计准则的基本要求。因此,仅仅是以笼统的方式讨论企业数据在破产程序中的安全和利用之平衡缺乏足够的实践意义,而且,在数据资产类型划分时未考量数据的经济价值、使用功能等要素,只会导致最终的研究成果停留于“应当平衡”等笼统性结论。在推进数据要素市场化的过程中,数据权属明确固然重要,但如何推动数据要素转化为市场认可的经济价值同样重要。既然各类数据财产权理论学说在短期内难以达成共识,倒不如先由市场自行探索多元化的数据交易模式,在交易成熟之后再行提炼和建构相对应的数据财产制度。企业数据作为破产财产进行变价本身就是最典型的数据交易活动,也是最能直接实现数据要素市场化配置的重要环节之一。对此,既需要在理论层面解释债务人和破产管理人所承担的差异化数据安全保障义务,也需要在制度层面规范企业数据变价前后的业务流程。
(原文刊载于《中国法学》2024年第3期)
《数字法治》专题由上海市法学会数字法学研究会特约供稿,专题统筹:秦前松。