栏目主持人池伟宏按：破产法既要实现债权人利益的最大化，亦需要保护其他有价值的利益。个人信息的价值在于卖方可以通过基础信息和消费偏好绘制出消费者的模型，因此个人信息具备资产属性，亦决定了其具有较高的处置价值。但是，个人信息兼具隐私属性，承载着其他主体的利益，破产法也应该予以保护。

 

 

 

大数据时代，个人信息兼具隐私和资产双重属性。隐私政策是横架于信息主体[1]和信息控制者[2]之间的一座双向桥梁——当信息主体通过同意信息控制者制订的隐私政策并享受其提供的产品或者服务时，信息控制者也依据隐私政策收集、使用信息主体的个人信息。经由隐私政策，个人信息逐渐地成为信息控制者用以绘制用户画像、提供与用户需求相匹配的个性化服务的依据，也日趋成为信息控制者资产中不可或缺的一部分，该部分资产的价值甚至远超于信息控制者持有的其它有形资产[3]。

 

当信息控制者进入破产程序，一方面，其所持有的个人信息虽然可能受合同或其他法律所产生的限制，也可能涉及和其他权利的相互调和问题，但是仍归入债务人财产[4]，由管理人予以处置。另一方面，破产程序的功能就在于将所有可能受到破产影响的利益完整地予以考虑，顾客或者消费者的利益可能因企业进入破产程序而程度不同地遭受消极影响，虽然该种利益很难现实地折算成金钱价值，但这种利益损失的客观存在是真实的，因而他们需要得到相应的保护[5]。因此，当信息控制者进入破产程序，在兼顾个人信息保护的前提下，处置其持有的个人信息，既是个人信息保护的要求，亦是破产法功能的彰显。

 

对于破产程序中个人信息的转让，我国现行法律法规未作规定。2020年3月6日，国家市场监督管理总局和国家标准化管理委员会联合发布GB/T 35273-2020《信息安全技术个人信息安全规范》（以下简称《信息安全规范》），相较于2017年的版本，本次修订的规范将信息控制者转让个人信息的特殊情形由“收购、兼并、重组”扩大至“收购、兼并、重组、破产”，并为个人信息控制者新设定了一项义务——如破产且无承接方的，对数据做删除处理[6]。在对于推进供给侧结构性改革、完善优胜劣汰的市场机制，提高市场重组、出清的质量和效率具有重大意义的《加快完善市场主体退出制度改革方案》实施的背景下[7]，《信息安全规范》对破产程序中个人信息转让的规定在一定程度上反映了个人信息保护领域的监管者正从更广的维度考虑对个人信息主体的保护及对个人信息控制者的监管。因此，本文将借鉴美国《联邦破产法典》相关规定和既有判例确立的规则，探讨破产程序中信息控制者转让个人信息的路径。

 

一、隐私政策明确约定可以转让

 

《联邦破产法典》§363（b）（1）规定，在历经通知和听证程序之后，管理人可以出售或出租信息控制者收集的个人信息，只要信息控制者没有在隐私政策中作出不予转让的声明。因此，若信息主体授权同意的隐私政策包含了诸如“在公司涉及破产清算等情形时，个人信息有可能作为此类交易的一部分而被转移……”的条款，当信息控制者进入破产程序，只要履行隐私政策规定的转让义务，其持有的个人信息可以作为资产予以处置。笔者随机选取若干网站和应用软件的隐私政策文本，总结信息控制者为自己设定的转让义务主要涉及以下几类：1.在转让前通知受影响的用户；2.要求受让者继续受本政策的约束，否则受让者需重新征求用户的授权同意；3.确保信息在转移时的机密性。

 

然而，在美国破产法实践中存在这样一种情形：信息控制者的隐私政策历经多次修订，前一版本明确约定“在任何情形下均不会转让用户的个人信息”，而后一版本的隐私政策则为“在破产等情形下，个人信息可以作为资产出售”。虽然后一版本是信息控制者进入破产程序时已发生效力的隐私政策，管理人依据该隐私政策转让个人信息符合《联邦破产法典》的规定，但是既有判例认为，如果信息主体没有明示地或默示地同意后一版本的隐私政策，则信息主体只受其同意授权的隐私政策约束。

 

在In re Borders Group,Inc.[8], 债务人于2008年修订了隐私政策，该隐私政策被认为对在此之前已经提交了个人信息的信息主体不具有拘束力。为转让该部分个人信息，债务人、无担保的债权人及相关利益方达成协议，要求买受人需以发送邮件、刊登报纸公告的形式告知2008年以前的信息主体，并赋予其在一定期限内“选择排除”（opt-out）的权利。在In re Quirky, Inc.[9]，联邦托管人认为，在同意授权前一版本的隐私政策后，许多用户没有再次访问该网站，亦没有同意授权后一版本，因此后一版本的隐私政策对其不生效力，管理人无权转让该部分个人信息。

 

因此，当信息控制者进入破产程序，如果现行有效的隐私政策允许破产情形下转让个人信息，那么管理人有权处置该部分资产。同时，管理人仍需关注隐私政策历经的修订版本，明晰现行有效的版本是否已经取得用户的同意授权，以避免未经授权情形下的转让。

 

二、隐私政策明确约定不予转让

 

当隐私政策中明确约定信息控制者不会在破产情形下转让个人信息，管理人并不当然地受该条款约束。《联邦破产法典》§363（b）（1）（B）引入了消费者隐私监察员（ConsumerPrivacy Ombudsman）对拟转让行为予以评估，既有判例亦确立了此种情形下在满足一定条件时可转让个人信息的规则，同时学理上认为在此种情形下应当考虑信息主体的知情权和选择权。

 

（一）消费者隐私监察员评估拟售行为

 

消费者隐私监察员是由法院任命的中立第三方，负有对各种均衡因素进行考量并向法院报告的职责[10]。通常而言，消费者隐私监察员将考虑以下因素而综合评估拟转让个人信息行为：1.债务人的隐私政策；2.倘若该拟售行为获得法院批准，将会给信息主体的隐私带来何种有利的或不利的影响；3.如果该拟售行为获得法院批准，信息主体本身是否会因此获益或是遭受损失；4.是否存在能够消弭前述不利影响的替代性方案[11]。观乎既有判例，监察员在多数情况下更多地扮演“促成者”的角色——向法庭提供尽可能地让拟售行为落入现行有效的隐私政策的框架内的建议，并对可能造成的损害后果提出解决路径，例如，监察员建议债务人将拟售行为提前告知信息主体[12]，或者建议债务人在转让前取得信息主体的明确同意[13]。此外，监察员还需评估拟售行为是否会违反破产法以外其他相关法律法规的规定，如贸易法、儿童保护法等。

 

（二）Toysmart规则——附条件转让

 

如果信息控制者的隐私政策已明确约定在任何情形下均不会转让其收集的个人信息，但当进入破产程序后，信息控制者又试图将前述个人信息作为资产出售，该拟售行为可能落入贸易法的规制范围之内，被视为是“不公平或具有欺骗性的行为”，联邦贸易委员将以起诉的方式请求法院禁止该拟售行为，Toysmart案即为此例[14]。

 

在该案的后续谈判中，联邦贸易委员会附条件地同意Toysmart公司转让其收集的用户个人信息：1.拟售的个人信息不得单独地作为资产转让，必须和债务人的其他资产打包出售；2.受让方应当是“合格的买方”，即与债务人处于同一行业、营业范围大体一致；3.受让方同意继续依据债务人隐私政策约定的方式使用受让的个人信息；4.如果受让人要将受让的个人信息用于其他目的，必须取得信息主体的同意授权。本案确定的上述规则，又称Toysmart规则，在后续的多个类似案件中被联邦贸易委员会重复适用，逐渐成为在隐私政策明确约定不予转让情形下，允许管理人或债务人例外地转让个人信息的依据之一。

 

（三）同时考虑信息主体的知情权和选择权

 

Toysmart规则为信息控制者的转让方和受让方均设定了额外义务，其目的在于降低破产程序中的转让个人信息对信息主体可能造成的损害。然而，Toysmart规则仍被多方认为是“不充分且不完全的”，该规则被认为是在实质上推翻了信息控制者和信息主体签订的隐私政策的效力，忽视了信息主体的程序参与权，具有将信息控制者利益置于信息主体利益之上的性质[15]。基于此，学者认为应当让信息主体更多地参与到程序中，并且享有决定的权利。具体而言，信息控制者需以合理的方式，例如在网站或者应用软件的醒目位置、通过发送邮件的方式、通过在区域性或者全国性的报纸刊登公告的方式，将拟售行为及可能的影响告知信息主体；同时，信息控制者需赋予信息主体以选择权，由信息主体在一定期限内决定是否同意转让其个人信息。信息主体的选择权有两种形式：1.选择参与（opt-in），即信息主体明确同意信息控制者以特定的方式处置其个人信息。未经信息主体同意授权，信息控制者无权转让该主体的个人信息；2.选择排除（opt-out），即信息主体明确表示排除信息控制者处置其个人信息。

 

综上，当信息控制者进入破产程序，现行有效的隐私政策虽已明确约定对收集的个人信息不予转让，管理人仍可突破该条款。在类似消费者隐私监察员的第三方尚未介入的情形下，管理人可以预先自查，对拟售行为进行评估并形成倾向性意见。倘若管理人认为转让个人信息的行为有利于债务人财产的价值最大化，且能够与信息主体的利益保护达成平衡，管理人或债务人可以通过告知或者征求信息主体授权同意等方式对有争议的拟售行为予以补强，从而达成破产程序中的个人信息转让。

 

三、未制订隐私政策或隐私政策未予约定

 

隐私政策常见于电商平台和应用软件等，而鲜见于实体零售公司；此外，在笔者随机选取的若干隐私政策文本中，大多数并未涉及信息控制者进入破产程序后对收集的个人信息的处置。如前所述，《联邦破产法典》§363（b）（1）仅排除了隐私政策明确约定不予转让的情形，因此，在隐私政策未制订或者隐私政策未予明确规定的情况下，管理人可以转让个人信息。鉴于信息控制者并未事先地通过隐私政策的形式取得信息主体的同意，在拟售行为实施前，管理人应当履行通知的义务——告知信息主体该拟售行为及可能引致的影响。此外，管理人还需关注拟售行为是否可能违反信息控制者所处特定行业的相关规定。

 

个人信息价值遽升的另一面是个人信息保护意识觉醒。在破产程序日渐成为市场化退出机制和个人信息保护法即将出台的背景下，在破产程序中转让个人信息将面临多方利益角力。管理人在拟转让个人信息时，可以借鉴美国《联邦破产法典》相关规定及既有判例确立的规则，从而在遵循债务人财产价值最大化的原则同时兼顾个人信息的保护。

 

注释：

---

[1]根据GB/T25069-2010《信息安全技术术语》，个人信息主体指个人信息所标识或关联的自然人。

[2]根据GB/T25069-2010《信息安全技术术语》，个人信息控制者指有能力决定个人信息处理目的、方式等的组织或个人。

[3]例如，美国第二大电器零售商RadioShack进入破产程序后，以26,200,000.00美元的价格转让了其持有的消费者个人信息。

[4]王卫国：《破产法精义》，法律出版社2007年7月版，第83页。

[5]大卫·爱泼斯坦：《美国破产法》，韩长印等译，中国政法大学出版社2003年版，第13-14页。

[6] GB/T 35273-2020《信息安全技术 个人信息安全规范》9.3 收购、兼并、重组、破产时的个人信息转让：

当个人信息控制者发生收购、兼并、重组、破产等变更时，对个人信息控制者的要求包括:

a）  向个人信息主体告知有关情况；

b）  变更后的个人信息控制者应继续履行原个人信息控制者的责任和义务，如变更个人信息使用目的时，应重新取得个人信息主体的明示同意;

c）  如破产且无承接方的，对数据做删除处理。

[7]池伟宏：破产制度五大改革方案出台，巩固防范和化解金融风险最后一道防线 ——评《加快完善市场主体退出制度改革方案》，载《中国改革报》2019年7月16日。

[8] In re Borders Group, Inc., 462 B.R. 42(Bankr. S.D.N.Y. Dec.7, 2011) (No. 11-10614)

[9] In re Quirky, Inc., No. 15-12596 (Bankr. S.D.N.Y. Oct. 27,2015)

[10]查尔斯.J.泰步：《美国破产法新论》（中册），韩长印等译，中国政法大学出版社2017年版，第506-507页。

[11] 11 U.S. Code §332. Consumer privacy ombudsman

[12]详见：Second Report ofMichael St. Patrick Baxter Consumer Privacy Ombudsman, p49, In re OldBPS US Holdings, Inc., No. 16-12373 (Bankr. D. Del. Feb. 1, 2017)

[13]详见：Second Report ofMichael St. Patrick Baxter Consumer Privacy Ombudsman, p46, In reBorders Group, Inc., 462 B.R. 42(Bankr. S.D.N.Y. Dec. 7, 2011) (No. 11-10614)

[14] Fed. Trade Comm’n v. Toysmart. Com, Inc., No. 00-11341 (D. Mass.July 23, 2004)

[15] Kayla Siam, Coming to a Retailer Near You: Consumer PrivacyProtection in Retail Bankruptcies, 33 EMORY BANKR. DEV. J. 487, 491 (2017),P515-516

 

“破产池语”栏目由池伟宏律师主笔/主持，每周四与“建工衔评”栏目交替发布。我们致力于为“破产圈”学术界、实务界提供分享资讯、碰撞观点、广泛参与的学术平台，为关注“破产圈”的投资者、债权人、债务人提供一个了解破产法、理解破产法的实务平台。如您有任何想法、意见、建议，欢迎点击文末留言。

 

 

向“破产池语”栏目投稿，欢迎发送邮件至：

chiweihong@tiantonglaw.com