程 威
内容提要:破产程序中数据权益保护问题渐受重视,而现行物权、合同、知识产权等适用规则对此面临保护不足、调整失当的困境。比较法所确立的个人控制论立场,从数据主体锁定数据使用流向的视角出发,对数据权益的商品化约束过甚,无法调息数据人格权益与财产权益的内在冲突,并与破产程序中债务人财产价值最大化的理念相悖离。应重视数据主体与数据控制者之间信赖关系的建构,根据信义义务构成要件理论与破产法的团队生产理论,在破产程序中为数据控制者施加保密、安全、透明与忠实的受托人义务,并根据场景化的路径在数据平台企业与经营管理层之间妥善分配责任,通过强制性的法定责任约束,为数据控制者在破产程序中提供行为指引,以强化对数据主体权益在破产程序中的保护。
自2012年全国人大常委会通过《关于加强网络信息保护的决定》以来,对个人数据保护的立法活动不断加快脚步,采取强有力的策略保护个人数据已经成为共识。相关的中文研究成果迅速积累,但有关文献所侧重的场景,主要围绕数据平台企业(数据控制者)在企业正常、健康运转过程中与数据主体之间在法律利益上的配置。当企业因不能清偿到期债务或资产不足以清偿全部债务而面临破产时,如何处理相关数据,对此研究不足。特别是数据平台企业以数据资源为其资产升值的引擎,对数据权益的争夺将使得数据主体与数据控制者陷入紧张关系——平台企业是否以及如何处理数据资产及其权益?近年来,如小鸣单车等储备海量数据资源的企业陷入破产,其核心问题即在于此。(1)参见广州市中级人民法院(2018)粤01破12—1号民事裁定书。
破产程序中,数据权益处理需受重视。事实上,在财务稳健时期,企业数据资源向第三方出售、分享等处理行为已然有之,我国《个人信息保护法》将处理界定为收集、存储、使用、加工、传输、提供、公开等活动,尽管有学者认为这一界定因未对处理行为进行抽象提取且采开放列举,造成概念内涵与外延不甚清晰,(2)参见高富平:《个人信息处理——我国个人信息保护法的规范对象》,载《法商研究》2021年第2期。然而可以明确的是,其覆盖破产程序中使数据在主体之间单向与双向传输等行为。个人数据在传输过程中涉及个人对数据利益的期待,其内容不仅包括敏感信息所附载的隐私利益期待,还有数据主体对数据信息所享有的自决权的期待,即非敏感信息的自我保护。(3)参见叶名怡:《个人信息的侵权法保护》,载《法学研究》2018年第4期。取得数据主体同意是处理行为之前提与神圣法则。然而这一规则对数据权益的商品化约束过甚,不利于破产程序中债务人财产最大化目标的实现。对于这些问题,我国立法上并未给予明复。在《个人信息保护法》推行贯彻,以及《企业破产法》修订工作展开的现实背景下,有必要对此一问题给予立法论上的考量。在中文语境下,个人数据与个人信息可能存在内容与形式的差异,(4)关于数据、隐私、信息之间法理关系的细化分析,参见彭诚信:《数据利用的根本矛盾何以消除——基于隐私、信息与数据的法理厘清》,载《探索与争鸣》2020年第2期。但法律意义上二者内涵相同,具有内在一致性,为便于论述,本文主要使用“个人数据”的表达。
我国2020年《信息安全技术/个人信息安全规范》(以下简称“2020规范”)9.3条规定当个人信息控制者发生收购、兼并、重组、破产等变更时,应当满足以下要求:个人信息控制者应当向个人信息主体告知有关情况;变更后的控制者应继续履行原信息责任与义务,如变更个人信息使用目的,应重新取得信息主体明示同意;如破产且无承接方的,对数据做删除处理。这为解决破产中数据处理提供了原则性指导,但并不能真正解决破产程序中数据权益的处理问题,原因在于:首先,该规范本身的法律效力层级属于部门规章,缺乏对于数据权益性质的定义性规范,并不能产生确权与保护的效果,一定程度上是解决个案问题的权宜之计,难以构造稳定的权利保护预期;其次,如果将之视为在破产状态下的特定处理方式,从而绕开基本权益性质的探讨,尽管具有解释上的合理性,却缺乏法理上的规定性。破产程序作为一种集体清偿机制,其所赖以存在的原理基础是对原权利的默示认同,根据债权人谈判理论,尊重非破产法规范是破产制度的前提,只有当事人保有破产前之权利位序、强度,才得以在破产程序推进过程中展开有效的谈判,从而达致债务人财产价值最大化。(5)See Douglas G.Baird,Thomas H.Jackson,Corporate Reorganization and the Treatment of Diverse Ownership Interests: A Comment on Adequate Protection of Secured Creditors in Bankruptcy,51 University of Chicago Law Review 97,103(1984).除非有特别的理由,否则不应支持对财产权益的调整。(6)不轻易改变规则的主要原因是防止打破原有的实体法规范预期从而扭曲当事人的激励。参见前引〔5〕,Baird、Jackson文,第103页。
相应地,从现有的实体性法律规范出发界定数据权益之于破产程序的意义,属于必要的检验步骤,也是破产法律制度的基本要求。实际上,如后文的检验结果所示,传统物理世界的规范表达并不能够回应数字化时代企业破产时的权利诉求。
适用物权机制理解数据权益必然着眼于权利主体。我国学者在这一论证视角下将其分为两种类型,即数据私有与数据公有,(7)参见韩旭至:《数据确权的困境及破解之道》,载《东方法学》2020年第1期。在此基础上可进一步细化为四种子类型:数据个人所有、数据平台所有、数据个人与平台共有、数据公众所有。(8)参见丁晓东:《数据到底属于谁?——从网络爬虫看平台数据权属与数据保护》,载《华东政法大学学报》2019年第5期。但是将这一分类规范应用到破产法的世界,均会构成无法逾越的解释困境和不利后果。
如果将数据视为个人所有,破产时数据主体可以行使取回权以获取属于己身的权益,而此时别除权的对象是个人在使用平台企业提供服务过程中自行提交的数据信息,还是应当包括平台企业对该信息进行算法挖掘形成的加工数据?对于前者,数据主体并不需要通过行使权利的方式获取,因为该数据内容之于数据主体是不言自明的;而对于后者,设若将加工数据复制传输给所有被利用信息的数据主体,且不说该类信息之于数据主体而言不具实益,传输数据的成本对于陷入破产境地的企业而言更不可欲。
如果将数据视为平台所有,从根本上否定了数据主体提交数据行为时所含有的隐私期待,破产事件触发后将无法回应数据主体的利益保护。当认为数据归个人与平台共有时,个人与平台在破产程序中的权力边界划分仍然无法拆解。尽管我国司法机关在这一观点上走得很远,并发展出“用户授权+平台授权+用户授权”的“三重授权”模式,强调数据主体可以通过两重授权遏制平台不合理的行为,但这一裁判理念是以个案分析为基础,(9)参见北京市海淀区人民法院(2015)海民(知)初字第12602号民事判决书。当进入破产程序时,强行要求平台企业取得所有用户主体的同意并不现实。(10)参见前引〔8〕,丁晓东文。将数据视为公共所有,建立在互联网公共属性认知的基础之上,(11)See Orin S.Kerr,Norms of Computer Trespass,116 Columbia Law Review 1143,1163(2016).但其完全忽视私益保护,因为当企业破产时,该集体利益上的数据主体会产生集体行动的困境,各个主体理性漠视集体权益的维护,最终产生类似于公地悲剧式的权益毁损结果。
适用合同法的立足点是将数据主体与数据控制者之间的关系设定为数据服务合同。在破产程序中,数据服务合同囿于相对性原则的约束,难以回应破产情事所对应的大规模债权清偿的问题,特别是服务合同作为未典型化的无名合同,因其标的之非物质性、劳务行为折算成金钱之不确定性等,造成与传统破产法待履行合同解除权与共益债务规则的冲突。
具言之,数据服务合同非即时性合同,而具有持续履行的特征,在平台企业破产时,可将其纳入待履行合同范畴。对此,《企业破产法》第18条规定管理人享有决定解除或继续履行的选择权,设若管理人选择解除合同(拒绝履行),“合同相对人基于双务合同的原给付非金钱债权便在破产程序中按照数额转化为金钱债权,作为普通债权向管理人申报”(12)庄加园、段磊:《待履行合同解除权之反思》,载《清华法学》2019年第5期,第133页。,此时,数据控制者在数据服务合同履行期间对数据服务本身所享受到的利益,是否得与为数据主体提供服务所转化的利益相抵消,不无疑问;若管理人选择继续履行,则数据主体的普通债权便升级为“共益债务”,获得升级效果,(13)参见前引〔12〕,庄加园、段磊文。但问题在于,此时继续履行之数据服务并未给数据主体造成权益损失,破产企业或经由重整或经由收购至其他同类企业而得以延续,此时按照权益损害的救济逻辑而另行为数据主体提供价金之补偿,难谓有正当性。
知识产权法所适用的具体含义是:数据控制者通过对数据(特别是加工数据)享有汇编意义上的版权而反制爬虫等侵权行为;数据控制者以对数据信息享有商业秘密而获得竞争法与知识产权法上的保护;数据控制者对著作权保护之外的数据可根据数据库保护获得救济。然而破产视角下,知识产权法适用路径的根本缺陷,不仅在于保护范围局限于特定内容,更在于其单独偏向于数据控制者而造成法律天平上对数据主体的保护失衡。
首先,著作权虽然具有人格权与财产权双重属性,但该属性必然指向同一主体。(14)参见王迁:《著作权法》,中国人民大学出版社2015年版,第144页。具言之,在企业破产时,将数据财产权置于数据控制者、将数据人格权置于数据主体的分割思想不合法理,数据主体对数据在人格权意义上的利益期待将会落空。其次,商业秘密的保护实际上是隐私法对商业化保护的延伸,(15)See Daniel J.Solove,Understanding Privacy,Harvard University Press,2008,p.130.尽管注意到其价值意义,但仍然聚焦于数据控制者的利益。更为重要的是,平台企业破产时,商业秘密如严守秘密保护的政策,根本无益于破产企业穷尽一切途径变现增值的追求。最后,数据库保护限定在结构化数据,数据企业破产时是否必然拥有结构化的数据,不具有普遍性,即便针对具有数据库的企业,破产法仍然仅在尊重非破产法规范上保护数据控制者的诉求。
除了以上法律适用路径,对数据的保护尚存在竞争法、消费者保护法、刑法等工具选择。然而此类保护主要在公法层面,具有公共利益导向、社会倾斜性关照的意涵,因其在破产程序中需做例外处理,故不具一般性讨论价值。综上而言,当企业破产时,“不幸的人各有各的不幸”,现有制度无法解答彼时数据权益保护的问题。这也是信息时代对资产属性的界定与工业时代法律制度之间存在冲突的必然结果。企业破产时数据主体的数据隐私期待面临挑战,如何回应这一挑战关系到数据主体能否顺利从数据控制者的经营失败中抽身。比较法上的规则因应或可提供一定的参考。
数字经济语境下,数据信息的资产价值甚至超越有形资产,承载姓名、物理地址、电子邮箱、电话号码、购买历史、个人偏好以及其他类型的数据信息,当破产发生时,平台企业可基于数据分发、算法挖掘等方式实现特定财产化的商业目标,(16)See Walter W.Miller,Jr.,Maureen A.ORourke,Bankruptcy Law v.Privacy Rights:Which Holds the Trump Card?,38 Houston Law Review 777,795(2001).损害个人隐私利益现象较易发生,对此理应提供更为切实的保护。
美国法实践中,在企业破产时产生数据隐私保护问题的案件一般是,债务人企业在收集数据主体信息时作出不会转让、共享的承诺,但在破产之前或破产要件触发不久后修改隐私政策以准允企业转让数据信息。(17)See Michael St.Patrick Baxter,The Sale of Personally Identifiable Information in Bankruptcy,27 American Bankruptcy Institute Law Review 1,2(2019).
1.制定法立场
在2000年左右,伴随着互联网经济的快速发展,收集个人数据并转化为商业利益的盈利模式已经成熟运转,在企业并购、破产中数据主体更换引发的数据权益保护问题,成为美国破产立法的现实议程。当债务人计划出售个人数据时,为了保护消费者,美国国会修改破产法对“个人可识别数据”的出售施加限制,其前提要件是:(1)债务人企业在收集个人数据时,在隐私政策中明确允诺待破产程序开始时禁止转让个人数据;(2)该隐私政策在破产时仍然生效。(18)See 11 U.S.C §363(b)(1).也就是说,在破产申请时,如果债务人企业的隐私政策禁止出售个人数据,或该隐私政策未能明确披露债务人可以出售个人数据,此时债务人企业为了实现数据出售的目的,应满足以下两个条件之一:(1)出售行为与债务人在破产申请时继续生效的隐私政策相一致;(2)经任命的消费者隐私检察员向法院提供相关评估报告,当发现并无证据显示出售行为违反有效的非破产法规范,法院将批准出售。(19)参见前引〔17〕,Baxter文,第4页。
关于第一项条件,隐私政策的效力基础是告知同意规则,当且仅当数据控制者在收集数据过程中明确征得数据主体的同意,方可形成对数据在特定用途与方式中的使用权。从合同关系视角来看,隐私政策的发出视为要约,而数据主体点击同意视为承诺,两者意思合致构成有拘束力的合同。但为了防止“全有全无式”管理架构和信息茧房造成的心理预期偏差,如果无法判断数据主体是否对隐私政策作出了同意的意思表示(如数据主体点击同意仅仅是为了便于使用软件程序),则出于保护用户个人数据权利的立场,应认定数据主体并未同意隐私政策内容。(20)参见王叶刚:《论网络隐私政策的效力——以个人信息保护为中心》,载《比较法研究》2020年第1期。这反映出,当债务人企业出售数据的行为与收集数据主体数据时隐私政策一致时,数据主体对数据隐私权益的预期已经做了肯定性的处分,是对个人权益自行筹划后的理性安排;但凡数据主体在隐私政策签订时并未给定明确同意,当破产开始时,即可要求数据控制者不得出售其数据,或令后者对出售行为承担无权处分的法律责任甚至是可以撤回出售行为。这种对于数据主体权益的保护,根源在于个人控制的强烈立场。
如果说第一项条件直接地反映了个人控制的立场,则第二项条件在一定意义上似乎增加了社会化的考量因素,但循其根本,仍然谨守个人控制的法理基础。具体而言,消费者隐私检察员作为美国联邦托管人(US Trustee)任命的具有公益属性的行政机构事务辅助专员,会提出与可适用的隐私政策相一致的出售方式,以及其他解决隐私问题或减轻隐私损害的手段。就内容上来看,所建议的方式仍然要求拟议出售行为的前提是债务人向消费者通知了转让行为或建议债务人获得受损害消费者的明确同意。(21)See In re Old BPS US Holding,Inc.,No.16-12373(Bankr.D.Del.Feb.1,2017);In re Borders Group,Inc.,462 B.R.42,No.11-10614(Bankr.S.D.N.Y.Dec.7.2011).由是可知,如果债务人破产时,通知后未获得同意或受损害消费者明确表示个人数据从出售的数据包中退出,则数据控制者对此显然须作剔除处理。
制定法的立场虽然考虑到市场效率在债务人破产财产处理中的必要性,但是数据主体的防御性保护仍然是重要的价值判断,增进财产处分便利性不能以牺牲个人控制的期待利益保护为代价。
2.判例法回应
美国第一起处理破产程序中个人数据保护的案件是著名的Toysmart案。Toysmart是一家在线儿童玩具零售商,其隐私政策中承诺将永远不会与第三方分享所收集到的用户数据。然而在破产时,该公司试图出售包括详细的客户数据在内的信息库等所有资产。该行为引起联邦贸易委员会的重视,后者认为其行为违反了《联邦贸易委员会法案》第5条“不公平或欺骗行为”,要求Toysmart公司不得违反隐私政策出售客户数据,最终两者达成和解协议,Toysmart获准在破产程序中出售消费者个人数据,但必须符合以下条件:(1)消费者数据与债务人其他资产一揽子出售而非单独出售;(2)买受人须与债务人处于同一行业,是为合格买受人;(3)买受人同意遵守Toysmart此前对消费者个人数据的隐私政策;(4)买受人将消费者个人数据转用其他任何用途之前,须通知受影响消费者并取得后者的明确同意。(22)See FTC Announces Settlement With Bankrupt Website,Toysmart.com,Regarding Alleged Privacy Policy Violations,FTC:PRESS RELEASES(July 21,2000),available at https://www.ftc.gov/news-events/press-releases/2000/07/ftc-announces-settlement-bankrupt-website-toysmartcom-regarding,last visited on Jan.19,2022.
除Toysmart案所确立的示范性规则之外,破产程序中个人数据出售面临的另一项问题是,当债务人企业早先的隐私政策进行了数次调整,特别是为了迎合商业化需求对个人数据出售从保证不分享转为逐步解锁限制,而消费者通常默示同意隐私政策的修改,有观点认为,先前隐私政策下所设定的限制转让的严格要件并不辖制此时的出售行为,此时条件宽松的修改后隐私政策准允在破产程序中出售个人数据,并不违反破产法的规定。但美国联邦贸易委员会对此明确指出,债务人在破产申请日的隐私政策并不是唯一重要的隐私政策,在某些情况下,债务人收集的隐私政策可能受制于在此之前隐私政策中的规定。(23)See In re Gateway Learning Corp.,FTC Docket No.C-4120(F.T.C Sept.10,2004).
为了回应这一问题,美国的判例法一般会施加相应的限定条件以保证消费者的数据权益在可控范围内。如Borders案中,借助消费者隐私检察员的协助,案涉利益各方在最后达成的拟售决定允许个人数据的出售,而不考虑数据收集的时间点,其前提是:(1)买受人向拟转让其个人识别数据的每个消费者发送一封电子邮件,通知他们要转让的数据信息,并说明他们的个人识别数据将受买受人隐私权政策的约束,并给予15天的时间选择退出与否;(2)在Borders公司和买受人的官网上发布为期30天的转让和退出的通知;(3)债务人在《今日美国》报刊上发布出售与选择退出的通知。(24)See In re Borders Groups,Inc.,No.11-10614(Bankr.S.D.N.Y Sept.27,2011).这种面面俱到的附条件出售限制,均以对数据主体的充分知情保护为前提。
在欧盟法上,隐私权被视为一项基本人权,而数据权益被视为隐私权的延伸。(25)See EU Agency for Fundamental Rights(FRA),Data Protection in the European Union:the Role of National Data Protection Authorities,[2010]14.《欧盟基本权利宪章》(CFR)第8条第1款和《欧盟运行条约》(TFEU)第16条第1款几乎一致地规定“每个人都有权保护自己的个人数据”,欧盟法院(CJEU)同样承认保护数据的权利是一项基本权利。所以在欧盟法层面对于数据保护抱持高压态势,欧盟《通用数据保护条例》(General Data Protection Regulation,以下简称“GDPR”)也是在此观念前提下制定。作为欧盟的二级法律,GDPR的适用必须确保“对自然人的基本权利和自由特别是隐私权的全面有效保护”(26)Art.7,8 of Charter of Fundamental Rights.。对于欧盟破产程序中的数据权益保护问题,并无欧盟层面统一化的破产条例,所以应当具体结合成员国的破产法律进行观察。一般而言,GDPR作为超主权的欧洲法律,其适用上的优先性高于成员国法律,如成员国破产法。这意味着,成员国破产法的原则与规则需要符合GDPR的要求,否则不得强制执行。下文将主要以德国法为例。
根据《德国基本法》第1(1)条以及第2(1)条的“人格自由发展权”,德国联邦宪法法院在1983年创造了个人数据自决权,这一判决被视为德国数据保护法之滥觞。(27)参见杨芳:《个人信息自决权理论及其检讨》,载《比较法研究》2015年第6期;Ronny Hauck,Personal Data in Insolvency Proceedings: The Interface between the New General Data Protection Regulation and Insolvency Law,ECFR 2019:724,731.德国法上,个人数据是人格之一部分,受制于“人是目的”这一先验认知的权威性和人权保护的神圣性,因此,作为人格构成部分的个人数据断不可成为受处分之客体。也就是说,如果债务人进入破产程序,个人数据是不得作为财产转让给第三人的。如果坚守这一人格保护的传统观念,个人数据的商品化利用不具可能,显然脱离现实发展的客观需要。为了缓解这种理论预设与实践应用上的冲突,学者指出,如果仅将视角放在个人数据是否可以转移,则会陷入人格权属性与财产权属性之间的法政策矛盾,应当避开这一途径,转而将个人数据权益与同其类似的权益进行类推比较,进而援用其规范,而对标的合适对象正是著作权。(28)参见前引〔27〕,Hauck文,第732页。著作权与数据权益一样,不仅具有人格权益,也包含巨大的商业价值,虽然因人身专属而不能转让给第三方,但是可以在授权的基础上许可他人使用。根据著作权法原理,享有著作权的意义在于,他人未经许可不得以特定方式利用作品,所以是排他权而非自用权,(29)参见前引〔14〕,王迁书,第12页。类推至数据权益可得,只要数据主体许可他人使用数据,即可形成法律意义上的权益转让。
由上可知,德国法上的数据权益在破产程序中的转让存在解释上的可能性,若不能得到数据主体许可使用的意思表示,数据流转并无它途。此时,应进一步从GDPR的规则层面进行检验。
GDPR第6(1)条规定了6项数据处理合法事由。(30)译文主要参考瑞柏律师事务所译:《欧盟〈一般数据保护条例〉(汉英对照)》,法律出版社2018年版。据此,除了数据主体的同意之外,尚有其他可合法处理数据权益的特定事由,其中,第(3)项法律义务适用于法令或监管所施加的强制性要求,(31)See Peter Carey ed.,Data Protection: A Practical Guide to UK and EU Law,Oxford University Press,2018,pp.55-56.第(4)项重大利益标准主要关乎自然人生命或其他人道主义利益,(32)See GDPR Recital(46);前引〔31〕,Carey书,第56页。第(5)项以公共利益为主,所以在破产程序语境下,如果仅考虑纯粹的市场化破产,则可能适用的合法事由只剩下为履行合同所必需与实现控制者或第三方所追求的合法利益。
在履行合同所必需的合法事由中,数据主体必须是待履行合同的当事方,或者,数据主体必须是为处理其数据所发起的合同之第三方受益人。欧洲数据保护委员会在对该条的指引中明确,进行“必要性”评估时,应当综合考虑网络行为广告、服务改进、私人定制、合同双方预期等,(33)See EDPB: Guidelines 2/2019 on the Proceessing of Personal Data under Article 6(1)(b).数据主体的预期利益保护是必要性论证的核心,这直接显示出与目的限制的关联。换言之,破产程序中,除非数据主体在与数据控制者形成以数据为内容的法律关系时预期到,当数据控制者破产时会基于与交易对手的合同关系处理这些数据,否则该处理行为不应认为有效。这种对数据主体的过分期待已然有违数据主体的本意,因为数据主体在交付数据使用权时的合理期待一般是数据控制者稳健运营背景下的处理行为,而不应包括经营失败特别是破产时的出售行为,是故,该项合法事由在破产程序中的适用并不切实际。(34)参见前引〔27〕,Hauck文,第740页。
最后可能适用于破产程序中的数据处理合法事由是实现数据控制者或第三方合法利益所必需,这一事由越过了数据主体同意的要求,为执法机关提供了较大裁量权。根据立法说明,在数据主体未合理预期到数据将被进一步处理的情况下发生个人数据处理行为的,数据主体的利益和基本权利要优先于数据控制者的利益。(35)See GDPR Recital(47).概言之,该合法事由本质上是利益衡量标准,需要对数据主体与数据控制者或第三人进行利益的平衡测试。对此,数据保护委员会的前身,也就是第29条工作小组曾细化过该指令所要综合考虑的因素,其中包括合法利益的性质与来源、对数据主体以及对数据处理之于合理预期的影响、是否有其他替代性保护措施如数据最小化、隐私增强技术等等。(36)See Article 29 Data Protection Working Party,Opinion 06/2014 on the Notion of Legitimate Interests of the Data Controller under Article 7 of Directive 95/46/EC,available at htttp://ec.europa.eu/justice/data-protection/index_en.htm,last visited on Jan.19,2022.破产程序中,一方是数据控制者与第三人对数据所附载商业价值的经济利益追求,另一方是数据主体的基本权利、基本自由等人格利益诉愿,形式上表现为数据自决权。在这两种利益之间进行权衡的司法与执法努力,显属不易,目前的实践尚未导出可一体适用的判例规则,是故,平衡的标准预期具有不确定性。(37)参见余佳楠:《个人信息作为企业资产》,载《环球法律评论》2020年第1期;前引〔27〕,Hauck文,第742页。特别地,在GDPR第83条的罚款威慑下,破产管理人将个人数据作为有价资产进行出售的动力受到阻遏。由此决定了合法利益事由并不具有破产程序中数据处理的现实意义。
所以,在GDPR第6(1)条规定的6项数据处理合法事由中,仍然是以数据主体的同意为黄金标准,除非获得数据主体的明确同意,否则破产程序中的数据权益出售将面临合法性质疑。
综上所述,破产程序中的数据保护思想渊源即个人控制论,在美国法上体现为公平信息实践,在欧盟法上表述为个人数据自决权。个人控制论是一项富含多元保护原则的价值体系,主要通过为数据主体赋权和施加数据控制者责任的方式保护数据主体的合理预期。(38)参见丁晓东:《论个人信息法律保护的思想渊源与基本原理——基于“公平信息实践”的分析》,载《现代法学》2019年第3期。而在破产程序中,数据主体合理预期的稳定性被打破,围绕个体主义展开的风险防范制度必然以个人控制为核心,简言之,个人对数据的控制意愿决定了数据控制者进行数据处理的限度。
个人控制论的预设前提是,数据主体具备充分理性并有能力权衡损益从而做出谨慎判断。然而在破产程序中,这一先验性的假设不仅高估了个体理性在数据关系中的可能性与必要性,也无法回应市场效率对于数据转让的客观要求。
首先,围绕个人控制的规则处于“主观上有控制意愿而客观上无控制可能”的尴尬境地,这在破产程序内外均属易见。数据主体的有限理性与认知不足,在相当程度上扭曲了个体在面对抉择时进行判断的成本收益结构,进而决定了个人控制无法保障数据主体在进行知情同意的选择之前已经展开充分的利益衡量。基于此,数据控制者通过利用并放大这种行为经济学意义上的不理性,以增加信息覆盖形成信息茧房、强化细节刻画制造阅读障碍,使得数据主体作出失真的判断。(39)参见解正山:《数据驱动时代的数据隐私保护》,载《法商研究》2020年第2期;John A.Rothchild,Against Notice and Choice: The Manifiest Failure of the Proceduralist Paradigm to Protect Privacy Online(or Anywhere Else),66 Cleveland State Law Review 559,615(2018).一个典型的例子是,当数据主体在与数据控制者形成基于数据的法律关系时,很少特别留意后者所提供的隐私政策,仅仅是以便利使用为目的快速勾选同意条款,而忽视隐私政策中所涵括的涉及自身利益处置内容。此外,数据的算法处理被模糊为一种黑箱形态,导致回溯性证据获取几乎不可能,同时万物互联以企业之间的数据关联与共享为典型特征,当数据主体提交一份数据之后,多元化的信息融合令数据控制者身份复杂化和不易识别。(40)See Daniel J.Solove,Introdution: Privacy Self-management and the Consent Dilema,126 Harvard Law Review 1880,1881(2013).这都将限缩数据主体个人控制的成效。
其次,破产程序中的个人控制论无法回应市场效率对于数据转让的客观要求,根源上体现为与债务人财产价值最大化理念的冲突。破产法的立法目的在于扩充可供清偿的债务人财产,以集体性约束机制实现债权人公平受偿,(41)参见前引〔5〕,Baird、Jackson文,第103页。这就要求管理人或经管债务人在自动冻结程序开始之后尽可能地收集债务人财产。此时,数据的财产属性为破产债务人资产整理提供了财产法的理由,而数据的人格属性则限制了将数据作为交易所涉标的。数据主体与数据控制者及受让人之间的利益状态是不均衡的,个人控制论确有缓和、矫正这种不平等的作用,但其减弱了数据流通的合理频度和财产效度,抬高信息流通的成本,反而产生破坏性调整中的新一轮不平等状态。该种内在的冲突应由实定法的规则设计予以调整,而我国相关立法并未对此给予回应,进一步加重了紧张关系。
从破产法的视角来看,个人控制对于数据的处理而言并不具有可欲性,如果强化个人控制,将衍生更多破产法上的难题。例如,在重整程序中,重整计划通过之前的“363出售”一般要求在正常营业范围内,对于绝大多数非以数据处理为业务的企业而言,数据出售显然超出常规营业范围,而必须经过听证程序才能实现。(42)See 11 U.S.C.§363.如果听证程序中,数量庞大的数据主体利益代表人不同意出售方案,以“假马竞价”为基础所实现的趋向最大化资产出售目的将无法达成。另外,如果是按照常规的重整计划表决,基于数据享有权益的索取权人尚无法定依据成为具有法律地位的主体从而划入相应组别,即便法律为此提供了特别保护,现实中的操作也将类似于大规模证券代表诉讼一般复杂,程序参与成本奇高;如果将数据保护官(Data Protection Officer)作为代表人参与破产衍生诉讼,其所代表的权益比重界定将耗费更高的估测成本,反而与债务人财产最大化的目的背道而驰。
综上所述,个人控制论之于破产程序中的数据处理而言确有一定弊端。合适的方案应是对既有的讨论基础进行修正。传统数据保护的学理研究往往侧重个人与数据企业平台之间的对抗性状态,先验地推定后者对于前者权益的侵害,设置“通知—同意”规则可以降低这种侵害可能性。然而一味强调数据控制者会损害数据主体权益的观念,弱化了个人在与数据平台企业建立数据关系时所保有的信任,而且不利于数据控制者自行构建约束性规范、提高问责意识。
从卡拉布雷西与梅拉米德所构建的卡梅框架的角度进行解读,通过法律赋权并控制数据流动的个人控制论属于财产规则,(43)See Guido Calabresi,Douglas Melamed,Property Rules,Liability Rules,and Inalienability: One View of the Cathedral,85 Harvard Law Review 1089,1092(1972).而这一规则适用的核心问题在于行权障碍,特别是当数据主体与数据控制者存在实质上的权力地位不平等时,数据主体的行权成本将据此抬高。在破产程序中,要求数据主体根据数据控制者所提示的处理申请进行选择,其行权成本在于对可选方案进行量化评估和谨慎选择的识别成本,财产规则并不总是能够为数据主体提供妥善的保护。出路在于,当特定的情形发生时,压缩数据主体与数据控制者之间的协商空间,将其转化为半强制性的剥夺行为,并为该行为造成的负面效果提供补偿,是为责任规则。(44)参见前引〔43〕,Guido Calabresi、Douglas Melamed文,第1092页。责任规则引入破产程序中的数据处理,其基本思路是将破产作为特定的事由,要求数据主体允许数据控制者为实现债务人财产最大化等目的处理个人数据,前提是数据控制者为此向数据主体提供充分的补偿。这一思路转向,将规范重点从数据控制者向数据主体请求授权,调整为当破产情事发生时,数据控制者应依循相关义务约束,并在违背义务时向数据主体负担法律上的责任,此时,义务约束内容是为数据主体的利益最大化服务,而法律责任则体现为因违反义务对数据主体承担的补偿性责任。
必须承认,数据平台企业对于现代社会已经不可或缺,特别是COVID-19大流行等灾难性事件更促进了在线生活的常态化。(45)See Yan Xiao,Ziyang Fan,10 Technology Trends to Watch in the COVID-19 Pandemic,WORLD ECON.F.(Apr.27,2020),available at https://www.weforum.org/agenda/2020/04/10-technology-trends-coronavirus-covid19-pandemic-robotics-telehealth,last visited on Jan.19,2022.由于数据主体与数据控制者之间的严重信息不对称,数据主体极易受到数据控制者的伤害,前者必须相信后者不会背叛其信任以操纵之。(46)See Jack M.Balkin,The Fiduciary Model of Privacy,134 Harvard Law Review 11(2020).从信任角度理解数据关系并为数据控制者施加更高的行为标准,成为对个人控制论理念弊端的有效补充。美国学者杰克·巴尔金等将信义法引入数据关系,认为数据主体基于其对数据控制者的信息不对称状态以及信任关系,从而形成信义关系,数据控制者对数据主体负有信义义务,并在违反义务条件下承担责任。(47)See Jack M.Balkin,Information Fiduciaries and the First Amendment,49 U.C.Davis Law Review 1183(2016).印度《个人数据保护法》第26条即引入了数据受托人概念,显示出学理与实践的互动。毫无疑问,这一观点为企业正常运行时数据控制者与数据主体之间的关系构造提出了新的解释,然而在企业破产时能否提供同样的解释力,并非不言自明。
需说明的是,将数据控制者界定为数据受托人的解释模糊了数据平台企业与其运营者之间的身份界定,如印度《个人数据保护法》中将数据受托人界定为“单独或与他人共同决定处理个人数据的目的和手段的任何人,包括邦、公司、任何法律实体或任何个人”(48)印度《个人数据保护法》第2(B)(13)条。。在数据关系中,数据控制者通常指平台企业实体,而具体履行控制职能的则是以公司董事会及管理层(以下合称“董事会”或“董事”)为代表的企业内行政管理团队。本文一体使用这两个概念,因为当数据平台企业作为受托人时,本质上就是董事会履行受托人义务,易言之,当我们在说数据控制者的信义义务,实际上就是指董事的信义义务,下文也主要围绕董事的信义义务展开。而必要的区分在责任分配层面。
传统公司法理论认为,在企业正常运营时,由于所有权与控制权的分离,执掌公司运营权力的董事与暂居消极角色的股东之间形成紧张关系,为避免紧张关系产生的代理成本挫伤公司绩效、损害股东利益,公司法规定董事应对股东/公司负担信义义务,(49)See Stephen Bainbridge,Corporate Law,Foundation Press,2015,p.113.从而保证董事积极履职并维持忠诚。当企业破产时,为了防止董事懈怠必须为其行为提供清晰指引,比较法上进而发展出信义义务转化理论,即根据信托基金、风险负担等理论,认定信义义务受益人从股东转向债权人。(50)参见陈鸣:《董事信义义务转化的法律构造——以美国判例法为研究中心》,载《比较法研究》2017年第5期。然而这一转化理论似乎并不能够为数据主体的利益保护提供同等适用空间,因为,数据关系的定性并不能从债之关系加以把握。换言之,当企业进入破产时,数据主体具有特殊的法律地位,除非法律作了例外规定,否则信义义务转化理论无用武之地。事实上,这一争论的焦点在企业正常运营时便存在,如针对巴尔金的数据信义义务理论,美国反垄断新星丽娜·菡便结合特拉华州公司法的立场认为数据关系中的信义义务将使董事面临在股东与数据主体之间利益权衡的两难。(51)See Lina M.Khan,David E.Pozen,A Skeptical View of Information Fiduciaries,133 Harvard Law Review 497(2019).这一问题在破产程序中更为突出。
证成数据控制者对数据主体的信义义务主要有两种路径,第一种是基于信义义务存在的实质条件,亦即,无论所处情事如何,只要满足信义义务认定的基本要求,即可承认信义义务存在,这也被称为构成要件理论;第二种是限于破产这一特定情形,从既有的理论资源中寻找信义义务涵括数据关系的可能性,笔者认为合适的理论资源是团队生产理论。以下分而述之。
1.信义义务构成要件理论
通常而言,信义关系是信任、信心、信赖的多重结合关系,受益人将其对于特定事项的控制权转移至受托人,以期待受托人基于受益人的利益而行使权利。(52)See Lawrence Mitchell,Fairness and Trust in Corporate Law,43 Duke Law Journal 425,430(1993).塔玛·芙兰珂(Tamar Frankel)教授将信义关系构成要件归结为四项:首先,受托人所提供的主要是劳务服务(相对于商品而言),且其所提供之劳务服务内容,在一般社会观念之期待下,须具备一定专业技能,如提供医疗、法律、公司经营管理等;其次,为能有效提供前述劳务,受托人必须被赋予具有处理财产或授予权利之权限;再次,委托人须负担受托人有无法安全被信赖之风险,意即受托人可能会有违背职务或滥用权限之行为,或无法依所承诺之服务内容适当履行;最后,存在三项风险,(1)委托人在信义关系中,无法为适当之自我保护,(2)市场机制也无法对委托人之风险提供保障,(3)受托人如果要取信委托人,可能必须付出高于其可自信义关系所获利益之成本。(53)See Tamar Frankel,Fiduciary Law,Oxford University Press,2010,pp.4-6.这一构成要件理论已深获学界认许。(54)See Andrew S.Gold,Paul B.Miller,Philosophical Foundation of Fiduciary Law,Oxford University Press,2016,pp.1-17.
破产程序中数据控制者与数据主体之间是典型的信义关系。数据主体基于对数据控制者专业能力和职业操守的信任,将数据提交给控制者,在破产程序中所固定的数据承载着用户的原始期待;数据控制者在企业运行稳健时提供相对应的数字化服务,在破产程序中则根据可能的技术化条件延续或优化服务内容。这一服务在一般社会观念下具有专业性、技术性,数据控制者对于该数据行使相当程度的处理权限,而数据主体无从通过有效的市场机制对控制者行为进行约束,数据控制者滥用权力或怠于提供服务并以牺牲数据主体数据权益为代价增进自身利益的可能性抬升。此时必须借助强有力的私法保护机制约束数据控制者的行为,也就是信义义务规则。
2.破产程序中的团队生产理论
团队生产理论起源于经济学上对生产团队与企业绩效关系的研究,其核心内容是囿于团队成员投入与最终产出之间对应关系的不确定性,将剩余索取权人列为团队监督者有利于实现有效激励。(55)See Armen A.Alchian,Harold Demsetz,Production,Information Cost and Economic Organization,62 American Economic Review 777(1972).公司法学者将其引入公司分析中,指出公司是由不同的参与人为了共同的利益而组成的一个生产团体,各种参与人贡献不同但是地位一样,比如股东出金钱,董事出管理,雇员出劳力等,为了准确地衡量并分配生产绩效,应将独立的董事会制度视为协调性科层安排(mediating hierarchy),进而最大限度鼓励并保证每一位主体均进行资产专用性投资、锁定资本,而向团队成员负担信义义务是董事履职的重要前提。(56)See Margaret M.Blair,Lynn A.Stout,A Team Production Theory of Corporate Law,85 Virginia Law Review 247,248-257(1999).循此思路,数据主体将数据提交给平台企业,从而成为企业生产团队之一员,并与雇员、股东等享受同样的保护,董事对数据主体负担信义义务属于团队生产理论应有之义。
进入破产重整程序,学者发展出重整中的团队生产理论,在这一框架下,团队成员在重整之前成立公司时的契约继续有效,团队成员基本上仍然保留下来参与重整,团队内部的各个成员将以重整程序为博弈空间,从而对团队契约进行一定程度的修正,为了避免团队成员协商的无效率,该理论认为应由董事会代表团队修正该契约。(57)See Lynn M.LoPucki,A Team Production Theory of Bankruptcy Reorganization,57 Vanderbilt Law Review 741(2004).这一理论建构与重整程序中的债务人经管模式相一致,具有解释力。其中,为避免董事会修正团队契约过程消极懈怠或以权谋私,该理论强调应要求其继续负担对团队成员的信义义务。(58)参见前引〔57〕,LoPucki文,第741页。以此为前提,破产重整程序中,数据主体同样依据其投入数据的原始行动而成为团队生产合同的一员,并享有团队权利,数据主体在缺乏特别的保护机制下,无力对抗其他强势权利人如优先级债权人等,所以由董事会居中协调并履行对团队成员的信义义务,将最大限度地保护各类主体权益。
综合两种学说可以发现,尽管数据主体并非债权人,无法用信义义务转化理论加以涵摄,但其因对数据存有期待性法益,可借助信义义务构成要件理论与团队生产理论加以证成。
英美法上,往往以对衡平法益的保护在个案中阐释信义义务,数字平台畛域内要求增加信义义务的适用已经成为英美学界的主流取态,在破产程序中引入数据控制者的信义义务虽尚无判例法实践,但其符合适用语境,可在个案中激活。我国并无衡平法传统,也缺乏个案造法的司法权力,对实施机制的探寻则须另觅他路。
我国《企业破产法》第27条规定了破产管理人应当勤勉尽责,忠实执行职务,但并未对债务人自行经管情形下管理层的信义义务进行说明。前述构成要件理论和团队生产理论均为管理层对数据主体负担信义义务提供了观念资源,实证法应对此做出响应。换言之,在破产法修改之际,创设一部信息时代的破产法的目标决定了应当将对数据主体的保护纳入考虑范围,信义义务是为有益的制定法尝试。不过,我国《民法典》第7条规定的诚实信用原则,因在本质上与信义义务内容相当,(59)参见楼建波、姜雪莲:《信义义务的法理研究——兼论大陆法系国家信托法与其他法律中信义义务规则的互动》,载《社会科学》2017年第1期。均指向对不忠行为与懈怠行为的管制,在现阶段足为破产程序中董事的信义义务提供规范依据。《个人信息保护法》第5—9条从限制欺诈、合理目的、透明化、准确性、保密与安全等方面对个人数据处理行为设定了原则化要求,从所欲规范的行为而言,均与信义义务相符。司法层面,应遵循以上要求探索可供识别的标准,准确对应现实需求。首先,应尝试建立数据受托人的定义性规范,以便在破产程序中清晰地判定责任主体,关键问题在于是否任何涉及数据处理的企业均应负担类似信义义务,或是否应根据数据平台企业的体量进行分类规制。这不仅取决于技术化时代企业的发展态势,更应结合反垄断等竞争性法律对相关平台企业地位的界定。尽管尚无确信的指引,但显而易见,在破产程序中,超级网络平台自然须负担更高标准的信义义务。其次,须明确合理期待标准具体指什么。与侵权法上的注意义务所承担的角色一样,合理期待标准决定了是否构成义务违反。注意义务是行为人的主观状态并通过具体行为予以客观化。细化合理期待标准,则不仅需要明晰企业正常运营时数据主体的期待可能,还应给定破产程序中数据主体的期待利益,将二者加以比较,甚至可以综合多项因素建立量化模型,测试是否违反信义义务。
信义义务二元论是信义法理论的基石,即以忠实义务保证受托人在面临利益冲突时舍弃自身利益,以注意义务要求受托人在知情的基础上勤勉尽职。(60)参见前引〔49〕,Bainbridge书,第113页;前引〔53〕,Frankel书,第52页。破产程序中的数据权益处理,数据主体对数据平台企业的依赖性更强,而且对于数据平台企业所可能采取的危害行为控制力更弱,(61)参见前引〔47〕,Balkin文,第1222页。是故,对数据控制者信义义务的要求也随之提升。信义义务是一个开放的体系,具有伸缩的概念禀赋,能够适应不同语境呈现更为丰富的内涵。
首先,应当将注意义务内容扩充为保密义务与安全义务。注意义务以知情判断为前提,从而勤勉尽职,敦促经营管理层采取合规手段保证内部信息传输系统高效完备,为谨慎的商业判断提供条件。然而在破产程序中,涉及数据处理时,知情判断已非主要诉求,数据主体对平台企业的合理期待中包含着数据保密与数据安全的内容,而这两项均可以在注意义务的文义解释范围内导出。注意,或者谨慎,主要指以一种方式行事或言谈以避免引起冒犯或暴露私人数据的品质,(62)See Discretion,Oxford English Dictionaries,available at http://www.oxforddictionaries.com/us/definition/american_english/discretion,last visited on Jan.19,2022.保密是最有力的注意形式,它确保受托人必须在有限的范围内共享信息,并维持信任。(63)See Neil Richards,Woodrow Hartzog,Taking Trust Seriously in Privacy Law,19 Stanford Technology Law Review 431,460(2016).破产程序中,对数据权益的处理可能涉及多重复制、传输,有泄密的风险,谨慎的保密义务要求受托人保证其处理数据的行为特别是接受数据的第三方是值得信赖的,(64)参见前引〔63〕,Richards、Hartzog文,第461-462页。在技术上可要求受托人采取措施保证通过搜索引擎乃至非法的爬虫等途径无从获得该类数据。安全义务与保密义务是一体两面,它进一步抬升了保护标准,将是否采用安全保障提高到是否采用符合行业标准或用户合理期待的程度。这一保护标准要求,根据用户数据的性质、质量、浓度等作出区分性和同一性保护,即同等数据同等保护,不同数据分类保护。在此项下,还须遵循适应性原则,即根据当前技术的发展水平和企业本身所能承受的成本约束等加以适应性的动态调整,如引入K-匿名、差分隐私等越来越成熟的技术减少重新识别的风险。(65)See Felix T.Wu,Defining Privacy and Utility in Data Sets,84 University of Colorado Law Review 1117(2013).保密义务与安全义务的设置有利于数据主体信任受托人在破产程序中不危害自身,确保接收数据的下游是合法的适格买受人,从而放心大胆地将个人数据交付后者而非进行持续性监督成本投入,避免数据泄露产生的风险与焦虑以及对人格权益的损害。
其次,受托人应履行持续披露义务以实现透明性要求。当事人的有效谈判是破产程序特别是重整的灵魂,但是当事人自发谈判不等于有效谈判,其容易陷入囚徒困境,从而产生损人不利己的结果。(66)参见高丝敏:《重整计划强裁规则的误读与重释》,载《中外法学》2018年第1期。学理上,破产程序中持续披露的意义一方面在于引导当事人展开有效谈判,另一方面则通过当事人异议制度和灵活务实的披露内容设计,令信息披露更契合当事人表决的需要。(67)参见高丝敏:《论破产重整中信息披露制度的建构》,载《山西大学学报(哲学社会科学版)》2021年第3期。如前所述,尽管在个人控制论的视角下,在破产程序中持续性地披露数据处理细节,可能并不能够令数据主体采取行动以保障自身数据安全,但是披露行为本身可以使数据主体感到信赖,正如论者所言,“通过披露行为传递的信任信号,比收集数据时反复允诺不会随意与第三方公司共享的模糊保证,更为直观而实用”(68)前引〔63〕,Richards、Hartzog文,第464页。。进而引出的问题是披露信息的内容与强度为何。应当认为,根据比例原则,披露的内容主要限于非商业秘密以及非加工后的数据,亦即仅仅针对数据主体而言具有保护必要性的数据。此外,在披露过程中应采取手段防范数据主体的恶意利用和非法反向工程,防止部分主体借破产程序推进之名,行盗用数据牟取非法利益之实。至于披露的程度,不应要求令所有数据主体完全了解数据处理细节,而只需要符合基本的商业规范或行业要求,可借鉴证券法上的真实、准确、完整标准。换言之,只要披露行为依循合理的操作规程,满足用户的信赖保护需求,即可认为透明性信义内容的实现。
最后,受托人须履行忠实义务以实现数据主体利益最大化。忠实义务是信义义务的核心,它奠定了数据关系中数据控制者不作恶的理论基础。破产程序中,受托人所面临的利益冲突尤甚,如果在破产程序中面临董事利益与团队生产中其他成员的利益冲突,董事自保的动机可能会促使牺牲其他成员的权益,其中就包括数据主体权益。忠实义务为受托人行为确立了明确的指引,在面临利益冲突时,必须以维护包括数据主体权益在内的团队权益为目的。忠实义务并不意味着受托人不获取利益,(69)参见前引〔47〕,Balkin文,第1225页。而是要求受托人必须进行利益衡量,将数据主体权益置于自身利益之上。例言之,如果在破产程序推进过程中,受托人违背隐私政策与第三方共享数据、根据数据主体类型在维权层面的能力差异歧视性地捏软柿子、通过不当的信息提示误导数据主体选择次优的利益处置方案等,均将构成对忠实义务之违反。
前述关于数据受托人的责任讨论,是从宽泛的视角论证责任承担的条件,在实践中,有必要进一步分析数据平台企业与董事会之间的责任分配。在破产程序中,可能存在的责任分配类型是:(1)数据平台企业单独承担责任;(2)数据平台企业与董事共同承担责任。两种责任分配方式的主要区分在于董事承担连带责任情形。根据学界主流观点,即对于数据保护的规范学说,场景化识别与规制是构建数据保护法律关系的重要原则,亦即,根据场景化分类谨慎识别行为属性并加以控制。(70)See Helen Nissenbaum,Privacy in Context: Technology,Policy,and the Integrity of Social Life,Stanford University Press,2010,pp.1-11.相关中文介绍,参见前引〔8〕,丁晓东文。当前,数据外包产业的迅速发展,(71)See Pierangela Samarati,Sabrina De Capitani di Cimercati,Data Protection in Outsourcing Scenarios: Issunes and Directions,ASIACCS’10: Proceedings of the 5th ACM Symposium in Information,Computer and Communications Security,April 2010 Page 1-14,available at http://doi.org/10.1145/1755688.1755690,last visited on Jan.19,2022.推动形成企业自建数据分析系统与企业外包数据服务两种场景。(72)参见程威:《人工智能介入董事会的董事义务与责任更新》,载《东北大学学报(社会科学版)》2022年第2期。
第一种场景,大型数据平台企业自行研发智能化机器进行数据分析。此时,进入破产程序,董事会应当负总责。责任分配应具体化为以下情形:第一,董事会若积极监督系统是否符合安全标准,以信义义务为指引,谨慎地在推进破产程序中改善、调整数据处理所需的安全技术环境,此时,如若发生数据损害,经过具有行业标准化水平和资质的第三方专业技术机构鉴定发现最终的不利后果由数据分析系统本身的故障所产生,且该故障非可由董事履职所能排除,则认其对最终的数据损害不具有可归责性,应由公司按照破产程序中的正常风险承担责任;第二,如果董事未能确保履职过程中达到信义义务标准、满足用户合理期待,产生了最终的损害后果,且数据分析系统并无设计上的故障,纯粹因董事行为失误所致,董事应当对此结果与公司承担连带赔偿责任。至于董事承担责任的形态应当是仅由技术背景董事担责还是与其他非技术背景董事共同承担连带责任,这一问题与数据处理事项对专业化系统的依赖程度、破产事件对数据处理造成的影响力度、技术董事的解释必要性与清晰度等等因素有关,应根据特定案情加以厘定,不应设定一刀切的规范基准,否则将损及破产程序中董事的行动预期。
第二种场景下,第三方提供数据外包服务。此际,虽然数据外包企业进行数据分析处理,但仍然以董事会指示为依据,两者之间的关系可比照电子代理人行为,令前者行为归诸董事会。(73)参见高丝敏:《智能投资顾问模式中的主体识别与义务设定》,载《法学研究》2018年第5期。关键在于,数据外包企业会基于其成熟的数据处理经验,在破产程序中为董事会提供备选处理方案。在此模式下,首先,如果董事会对于数据外包企业提供的处理方案进行了技术层面的审查,如复盘和检测了记录数据处理过程的相应分析步骤,在保证其符合安全和保密性要求时,可视为已经适当履职,对于最终的数据泄露风险,应由公司承受。其次,如果董事会在未进行合理审查的条件下,误信数据外包公司的处理建议,从而导致数据损害,则需与公司承担连带责任。至于对数据外包公司的追偿,则由二者之间的合同关系加以调整。
通过信义义务为破产程序中数据权益提供实质性保护,与个人控制论的数据保护立场形成合力支撑的体系效用。企业破产对数据保护场景的调整决定了数据主体合理期待应受到更高标准和更为细化的延续,避免数据主体负载在数据之上的人格权益与财产权益的流失。对数据控制者施以信义义务的法定性标准,能在畅通数据财产权益流转和维护数据人格权益正当性之间获得平衡。具体承担信义义务的董事会应与数据平台企业一同负担信义义务,并通过责任约束确保数据主体的合理期待得以满足。我国现行法对信义义务的认知仍有不足,仅通过诚信义务的知识体系提供类似保护固然有益,但仍缺乏信义义务的实质性判定规则。在《个人信息保护法》施行和即将启动的《破产法》修改过程中,应当注意数据控制者在破产程序中履行信义义务的内容,探讨适度追究数据控制者违反义务的责任,在破产程序中创造更为有效的数据主体权益的保护制度。