破产法调整个人信息出售的逻辑与路径
——以美国法为切入点

龚 淋

(北京航空航天大学 法学院，北京 100083)

一、问题的提出

数字经济时代，无形的信息可能比有形的资产更有价值。近年来，越来越多的企业和销售人员把具有相同或类似兴趣的特定人群作为营销目标，消费者的个人信息被高度重视。于是，企业基于线上或线下交易平台，收集到了消费者的姓名、家庭地址、电子邮件、电话号码、购买历史和个人偏好等个人信息。随着企业实体规模的扩大和运营的推广，这些信息逐渐成为了企业最有价值的资产之一。但当企业进入破产程序，无力偿债时，也就不再具备保护个人信息的能力，如果仍然禁止其通过转让这些个人信息来获取高额对价以偿还债务，并苛求其继续履行对这些个人信息的保护义务，不仅会使得其作为债务人的利益无法兼顾，还可能会使这些个人信息丧失获得其他适当有效保护途径的机会。此时，当作为债务人的企业欲转让从消费者处收集到的个人信息时，企业追求资产价值最大化的利益与消费者追求隐私保护的利益之间就会产生矛盾，而其中个人信息的保护是更为重要的一方面[1]。

目前，世界范围内企业对消费者个人信息的保护模式主要体现为隐私政策。隐私政策是横架于企业和消费者之间的桥梁。一方面，消费者通过同意企业制定的隐私政策而享受其提供的产品和服务；另一方面，企业也可以根据隐私政策收集到大量的消费者信息，进而加以使用。实践中，互联网企业一般都会在其网站主页上公布自己的隐私政策，以确保告知和选择机制顺利实现。此种自愿性声明允许消费者自主选择且对市场运作不予干预，业已成为世界上多个国家、地区及其企业的通行做法，如美国的Google和Facebook等。目前，中国大多数互联网企业(如腾讯网、新浪微博等)以及实体企业在自身官方网站的主页上公布了隐私政策。这些隐私政策告知消费者企业是如何收集、使用、分享和转让个人信息的，以及如何确保信息安全等。关于企业隐私政策的性质，国内外学术界存在多种观点，主要包括“合同说”“企业自律规则说”等。前者认为，隐私政策是网络用户提供者和网络用户之间在意思自治基础上缔结的合同[2]；后者则认为，隐私政策是一种市场自律规则(Market Selfregulation)，网络服务提供者违反隐私政策时，行政机关有权对其进行处罚[3]。事实上，不管是前者还是后者，企业端的重点都在于其应该认真履行保护个人信息的义务。然而，在破产程序中，企业对个人信息的转让很大程度上加剧了个人信息泄露，从而增加了个人信息权益受损的风险[4]。

就中国而言，针对企业破产程序中个人信息的出售问题，2020年3月6日，国家市场监督管理总局和国家标准化管理委员会联合颁布了《中华人民共和国国家标准 GB/T 35273—2020 信息安全技术 个人信息安全规范》(以下简称《个人信息安全规范》)。相较于2017年的版本，该规范修订的主要内容是将信息控制者转让信息主体个人信息的特殊情形范围由“收购、兼并、重组”扩大至“收购、兼并、重组、破产”，并为个人信息控制者设定了一项新义务——如破产且无承接方的，可对信息作删除处理。此外，2021年8月20日通过的《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)第22条也规定，个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的，应当向个人告知接收方的名称或姓名以及联系方式，并由接收方继续履行个人信息处理者的义务；若接收方变更原先的处理目的、处理方式的，应当依照本法规定重新取得个人同意。该规定反映了中国对个人信息的保护正从更广的维度实现对个人信息控制者的监管，并对破产程序中个人信息的转让作了一定程度上的指引。但事实上，仅根据该规范并不足以圆满解决破产程序中个人信息的出售问题。主要原因在于，基于破产视角下的个人信息出售不仅关系着消费者隐私信息的保护，还涉及企业的破产问题，如消费者信息在一定程度上也属于企业的破产财产，应该由破产管理人统一分配和处理。实践中，一旦出现法律利益的交叉矛盾，就需要通过法律来调整。2021年，全国人民代表大会已经把《中华人民共和国企业破产法》(以下简称《企业破产法》)的修改纳入立法议程。笔者认为，关于企业在破产程序中出售消费者个人信息的问题也应该纳入其调整范围，从而进一步完善中国的破产法理论。

二、破产程序中对个人信息的保护：以美国法为例

通过对域外立法和实践的考察，对企业在破产程序中转让个人信息有较为全面立法和判例的国家是美国，且判例的影响还更为深远。主要原因在于：一方面，《美国破产法》相关条文并没有阐明一般的消费者隐私期望；另一方面，当前美国各州和特定部门对消费者信息的保护和执法存在差距[5]。然而，美国并不存在统一的隐私立法，个人信息与隐私保护在实践中多是通过行业标准、企业隐私政策等软法的形式进行。因此，在实践中，企业的隐私政策是衡量其合法与否的最重要的标准。可以说，美国在破产程序中形成了以企业隐私政策为核心的个人信息保护模式。但有别于大多数国家通过合同或者行业自律的方式对隐私政策进行调整，美国法主要是以联邦贸易委员会(Federal Trade Commission，FTC)为主导对隐私政策进行调整的。

2017年9月，美国著名的信用报告机构——Equifax发生个人信息泄露事件，涉及1.43亿名美国消费者。FTC和美国联邦储备银行(Federal Reserve Bank)对之分别展开了调查。2019年7月，Equifax与FTC达成和解，并支付4.25亿美元以帮助受信息泄露影响的人[6]。2018年3月，Facebook卷入剑桥分析公司信息丑闻。剑桥分析公司以不当方式访问了8 700万名Facebook用户的个人信息，并将其用于政治目的。Facebook与FTC于是就和解协议进行磋商，而结果是FTC给Facebook开出了数十亿美元的罚单[7]。上述两家案例均是在FTC介入并主导的情况下进行的，FTC对上述两家公司进行罚款的最主要的依据都是认为他们违反了自身的隐私政策。

当然，除了在FTC的主导下对隐私政策进行调整外，在美国司法实践中，也存在合同法约束的情形。这两种调整方法根据企业隐私政策的不同，也有不同的处理方式。

(一)企业隐私政策明确规定禁止转让

一般而言，企业为了扩大用户的容量，会宣称自身将最大限度维护消费者的个人信息。因此，这些企业在自身的隐私政策中会明确表示绝不会将收集到的个人信息与第三方共享，即企业隐私政策明确规定禁止转让。但在美国，即便企业在其隐私政策中明确表明，在破产程序中也不会转让个人信息，但在FTC的主导和干预下，也会出现破产管理人并不当然地受该条款约束，从而进一步转让个人信息的情形。下文将通过两个在美国历史上具有里程碑意义的判例来进行分析：

1. 附条件的个人信息转让：FTC诉Toysmart案

虽然信息控制者的隐私政策已明确约定，在任何情形下均不会转让其收集到的个人信息，但当进入破产程序后却又有可能试图将上述个人信息作为资产出售。此时，作为信息控制者的企业就很可能选择对某些条件进行妥协之后，再次出售收集到的个人信息。在美国，企业准备违背其隐私政策而对个人信息进行拟售的行为，可能会落入美国贸易法的规制范围之内，被视为“不公平或具有欺骗性的行为”，FTC将以起诉的方式请求法院禁止该拟售行为，FTC诉Toysmart案即为此种情形①。

该案中，FTC首次在破产程序中制定了破产债务人出售消费者信息的标准。Toysmart是一家面向儿童的在线教育玩具零售商，收集了包括但不限于消费者姓名、地址、账单信息、购物偏好和家庭简介等个人信息。在Toysmart收集消费者个人信息时，其隐私政策明确规定，消费者自愿提交到其网站的个人信息，如姓名、地址、账单信息和购物偏好等，绝不会与第三方共享，其获得的所有信息仅用于个性化用户的在线体验。由此可知，Toysmart的隐私政策是禁止出售个人身份信息的。

2000年6月，Toysmart因为财务危机申请破产，并试图在破产程序中拟售消费者的个人身份信息。FTC向破产法院提起诉讼，反对Toysmart出售消费者个人信息，认为这种出售有违Toysmart制定的隐私政策，从而可能落入贸易法的规制范围之内，被视为“不公平或具有欺骗性的行为”。在该案的后续谈判中，FTC附条件地同意Toysmart转让其收集到的消费者个人信息：一是个人信息不能作为独立资产出售；二是个人信息的买方必须与卖方从事实质上相同的业务，且必须属于“合格的买家”；三是买方必须明确同意受卖方关于从卖方处获得的个人信息的隐私政策的约束和遵守；四是如果受让人要将受让的个人信息用于其他目的，必须取得信息主体的同意授权。

最终，虽然Toysmart完全放弃了对个人信息的出售，但FTC在最初的和解中提出的条件被确立为Toysmart规则，在后来发生的许多类似案件中被重复适用，逐渐成为在隐私政策明确约定不予转让情形下，允许管理人或债务人例外地转让个人信息的依据之一。

2. 消费者隐私监察员对个人信息的拟评估转让：RadioShack案

《美国破产法》第363条规定了消费者隐私监察员(Consumer Privacy Ombudsman)作为中立的第三方，有权在对各种均衡因素进行考量后向法院报告。通常，被任命后的消费者隐私监察员除了考虑企业本身隐私政策的具体规定外，还需要综合以下因素进行评估：如果该拟售行为获得法院批准，将会给信息主体的隐私带来何种有利的或不利的影响；信息主体本身是否会因此获益或是遭受损失；是否存在能够消弭上述不利影响的替代性方案；等等[8]。在美国司法实践中，因为消费者隐私监察员的介入而促成企业在破产程序中对个人信息的转让的情形也并不鲜见，RadioShack案即为如此②。

2015年2月，美国电子零售商RadioShack根据《美国破产法》第11章申请破产。据统计，RadioShack当时已经获取超过1.17亿消费者的个人信息，约占2015年美国总人口数的37%，其中包括消费者的姓名、地址、电子邮件地址、支付款卡号、购买历史和其他个人信息。根据RadioShack的隐私政策，其不会“向任何人”出售或出租任何消费者个人信息[9]。

在RadioShack申请破产后，却提出拍卖其商标、专利、租约和消费者信息。然而，这一拟售行为遭到了得克萨斯州检察官和诸多消费者保护团体的反对，认为该交易违反了其自身的隐私政策，属于明显违背该州法律的“欺诈行为”。此外，RadioShack以前的附属公司，如AT&T和Verizon，也加入反对其出售消费者信息的行列。主要原因在于：这两家附属公司认为，RadioShack无权获得从其附属公司消费者处收集到的个人信息，既然“无所有权”，就更加无“处分权”。此外，以出售的方式可能会直接导致其消费者信息转移至竞争公司，那么，这些附属公司在以后的市场竞争中将可能处于不利的地位[10]4。

破产法院最后任命了一名消费者隐私监察员，但是FTC在给该监察员的一封信中提出了两种指引：RadioShack必须获得消费者的肯定同意才能转移其个人信息，或遵守特定条件出售消费者个人信息。这里所说的特定条件，其实就是类似于FTC诉Toysmart案中和解所传达的条款。FTC反复使用的这些条件基本上构成了破产法院在未来破产债务人希望出售消费者个人信息的破产案件中应使用的标准[10]5。

综上可知，《美国破产法》下的消费者隐私监察员在多数情况下是扮演“促成者”的角色，通过对各种因素进行综合评估后向法庭提供尽可能让拟售行为落入现行有效的隐私政策的框架内的建议，并对可能造成的损害后果提出解决路径。例如，消费者隐私监察员会建议债务人或破产管理人将拟售行为提前告知信息主体，或者建议债务或破产管理人在转让前取得信息主体的明确同意。此外，为了避免个人信息拟售带来其他法律纠纷，消费者隐私监察员还会调查该拟售行为是否会违反除破产法以外的其他相关法律法规的规定，如美国国会颁布的《医疗法》和《儿童保护法》等[10]5。

(二)企业隐私政策明确约定允许转让

尽管企业为了最大限度展现自己的诚意，一般不会直接对消费者表示自己会在一定条件下转让他们的个人信息，但为了避免后续的冲突和纠纷，企业也会尽可能对各种情况予以考量。《美国破产法》第363条规定，在历经通知和听证程序之后，(破产)管理人可以出售或出租信息控制者收集到的个人信息，只要信息控制者没有在隐私政策中作出不予转让的声明。因此，若信息主体授权同意的隐私政策包含了如“在公司涉及破产清算等情形时，个人信息有可能作为此类交易的一部分而被转移”的条款，当信息控制者进入破产程序，只要履行隐私政策规定的转让义务，其持有的个人信息就可以作为资产予以处置[10]7。

然而，在美国司法实践中还存在这样一种情形：企业的隐私政策因为不断修订而存在多个不同的版本，如果只是收集方式的修订或许不会有太多争论，但从美国司法实践来看，许多企业出现了前一版本隐私政策明确约定“在任何情形下均不会转让用户的个人信息”，而后一版本则修改为“在破产等情形下，个人信息可以作为资产出售”的情形。虽然后一版本是企业进入破产程序时已发生效力的隐私政策，破产管理人依据该隐私政策转让个人信息符合《美国破产法》的规定。但是既有判例认为，如果信息主体没有明示地或默示地同意后一版本的隐私政策，则信息主体只受其同意授权的隐私政策约束，此为合同约束下对隐私政策的调整。下文将用两个判例进行具体说明：

1. Borders案

2011年，美国著名连锁书店Borders因为不敌网络书店和电子书的强势竞争，向纽约的美国破产法院申请破产保护，重整债务③。Borders早期制定的隐私政策中明确规定，只有在征得消费者同意的情况下才能向第三方披露消费者的个人信息。然而，2008年，Borders修订了其隐私政策，允许其在需要“出售、购买、合并或以其他方式重组自身或其他业务”时披露消费者的个人信息。

根据修订后的企业隐私政策，Borders在申请破产后拟售消费者的个人信息。但是，这种拟售并不是理所当然的，Borders作为债务人与无担保的债权人及相关利益方达成协议，允许其出售个人信息的前提如下：一是买方向拟转让个人信息的每位消费者发送电子邮件进行告知，解释这些消费者个人信息将受买方隐私政策的约束，并给予这些消费者15天 时间选择转让或不转让并销毁其个人身份信息；二是在Borders和买方的网站上发布为期 30天 的转让和退出权通知；三是债务人在报纸《今日美国》上公布出售和退出权通知。

2015年，电商平台Quirky因为面临巨大的财务危机而申请破产。Quirky作为一家拥有著名风险投资背景的公司，在破产程序中试图出售其120万名社区成员(即消费者)的信息数据库和相关个人身份信息等资产。Quirky自2009年创立之初，其隐私政策就明确表示禁止个人信息的出售。然而，2011年，其隐私政策变更为允许其在业务出售或重组中出售个人信息④。

针对前后两个版本的隐私政策，联邦破产托管人认为，许多先前同意隐私政策的消费者在政策改变后没有访问过Quirky网站，而且Quirky的服务条款也没有规定隐私政策可以在不通知消费者的情况下更改。因此，Quirky所出售的这些消费者的个人信息与消费者之前同意的隐私政策不一致，需要任命一名消费者隐私监察员。此案最后由债务人Quirky与联邦破产托管人达成协议，Quirky之前的隐私政策继续适用于未同意修改隐私政策的消费者禁止出售其个人身份信息；其他同意修改后的隐私政策的消费者，其个人信息才可予以出售。

通过上述两个案例可知，当信息控制者进入破产程序，如果现行有效的隐私政策允许破产情形下转让个人信息，那么管理人有权处置该部分资产。同时，管理人仍需关注隐私政策历经的修订版本，明晰现行有效的版本是否已经取得消费者的同意授权，如果没有取得相关授权，根据合同约束的相对性原理，消费者不应受未同意版本的隐私政策的约束，从而以维护消费者的信息权益。

综上可知，美国破产立法和实践中对企业隐私政策的调整是灵活的，不会完全禁止企业对个人信息的出售，从而阻碍有价值的信息的流通，而是会进一步在平衡企业债务人利益的情况下保护消费者的个人信息。这些做法皆可为中国后续对破产法的修订提供借鉴。

三、现行法调整破产程序中个人信息出售的现实困境

进入信息数据时代以来，人们不断关注自身的隐私保护问题。纵观中国现行立法，与美国法尽量促进有价值信息数据流通的出发点不同，中国法律对个人信息的出售持谨慎和限制态度，如《中华人民共和国民法典》(以下简称《民法典》)第111条、《个人信息保护法》第10条、《中华人民共和国消费者权益保护法》(《以下简称消费者权益保护法》)第29条 第2款以及《中华人民共和国网络安全法》(以下简称《网络安全法》)第44条的相关规定。然而，中国现行法律的相关规定尚不能很好地解决企业在破产程序中出售个人信息的问题。

(一)企业消费者信息数据库的性质难以认定

《民法典》第1034条第1款明确规定“自然人的个人信息受法律保护”，即意味着个人信息的权利主体限于自然人，而不包括法人和非法人组织。但是企业收集到的个人信息数据属于个人信息的集合体，企业将其加工、归纳之后已经演变成为企业的消费者信息数据库。在破产程序中，企业出售个人信息并不仅仅以单个或单条的形式进行，而是将其已经统计、加工甚至采用了较高技术手段的消费者信息库作为出售对象，此时个人只是自身信息的主体，却不是企业消费者信息数据库的主体。与其说企业出售的是个人信息，在某种意义上也可理解为企业出售的是企业自身的信息数据，在实践中有时还具有商业秘密属性。因此，若完全援引《民法典》或者《个人信息保护法》关于个人信息保护的相关规定来限制企业的此类出售行为，显然值得商榷。

例如，2016年，欧盟颁布的《一般数据保护条例》(General Data Protection Regulation，GDPR)于2018年5月25日生效，这部被誉为史上最严格的个人数据保护方案取代了欧盟于1995年颁布的《关于个人数据处理保护与自由流动指令》。GDPR在扩大个人信息定义范围的基础上，加强了数据主体的权利，包括数据主体有权要求数据控制者对数据的处理进行限制；当数据控制者给予公共利益或官方权威或第三方利益需要而处理数据时，数据主体有权随时反对；等等[11]。但值得注意的是，GDPR约束的主要是个人信息数据，在企业信息数据方面，国外很多学者持否定态度，认为在关于破产程序中个人信息数据出售的问题上，GDPR只是在一定程度上确立了基础性原则和处理方法[12]。

(二)个人信息权益损害救济措施不足

实践中，企业对个人信息的出售越来越受到广泛关注，这不仅在于涉及个人信息保护问题，还在于涉及个人隐私。隐私权发展至今，大致经历了从单一强调个人私密生活不受侵犯到注重个人私生活安宁和个人自主权等的发展历程。然而，把“信息+隐私”放在一起考虑时，隐私权的概念就变得复杂了。在一些国外学者看来，信息隐私是“个人、团体或机构要求自己决定何时、如何以及在多大程度上将有关他们的信息传达给他人”的一种隐私形式，此种隐私比一般隐私更广泛，因为其扩展了一个人的“自我”的概念，包括数字信息和虚拟人格[13]。

为了活化学习形式，提升学习效果，集团广泛开展了社会宣传。各地在主要公路沿线、交通要道路口通过擎天柱广告牌进行宣传，在各办公场所、学校、广场、主要街道，利用条幅、标语、电子屏、宣传栏等媒介广泛宣传，实现了宣传全面覆盖。集团（总局）党委还举办了“学习总书记讲话 推进农垦改革 打造农业航母”知识竞赛，9个管理局和20多个直属企事业单位踊跃参赛，参赛队员具有广泛的代表性，涵盖了管理局、农场、管理区等不同层次和不同年龄。采取笔试、口试相结合的方式，并通过网络和电视传播，取得了很好的学习宣传效果。

当然，即便是作为信息隐私而存在，根据《民法典》第1034条第2款的规定，一旦企业在破产程序中因出售个人信息而给个人利益造成了损害，即可按照“个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定”这一规则适用。而在《个人信息保护法》中，则可以进一步按照其第69条和第70条的规定，由个人向无法证明自身没有过错的信息控制者提起侵权之诉；或在众多个人信息权益受损的情况下，由人民检察院、法律规定的消费者组织和由国家互联网信息部门确定的组织依法向人民法院提起诉讼。尽管存在上述规定，但救济措施仍然还不够全面。例如，即便是在个人信息保护体系较为完善的美国，消费者个人虽然可以在企业破产出售信息之后寻求救济，以侵犯隐私或者个人信息之由控告企业债务人，但现实却是这些消费者几乎从不提起诉讼，因为他们对自己个人信息的估值并不足以抵销诉讼成本[14]。这也导致多数消费者无法与滥用其私人信息的主导数据收集者作斗争。此外，即便个人诉讼成本的问题得以解决，未来实践中也在很大程度上会出现私人诉权的恶意产生，从而出现集体诉讼的狂热，浪费司法资源。因此，健全和完善破产程序中个人信息出售的救济机制，以多元化渠道增强救济的灵活性就显得十分必要。

综上所述，既要在企业收集个人信息时，告诉消费者企业对信息后续将作如何处理，又要避免中国现行法律规定无法与之完全契合适用的现状，使其成为法外空间。笔者认为，一种可能的思路是，直接由破产法作出明确规定，要求所有收集消费者个人信息的企业制定隐私政策，以便让消费者了解企业在收集其个人信息后将如何处理他们的信息。

如前所述，将企业在破产程序中出售个人信息视为破产法调整的范围的还有美国。《美国破产法》第107条、第332条和第363条分别规定了消费者个人信息的商业秘密性、个人信息的出售以及消费者隐私监察员的任命和职责等。当然，之所以由破产法进行规定，主要在于：一方面，中国破产法到目前为止主要调整企业的破产行为，而破产企业出售个人信息，无论是出于资产重组还是偿还破产债权的需要，都应该被视为是破产程序的延伸，所以由破产法进行规定更为适宜。例如，RadioShack根据《美国破产法》第11章在申请破产的过程中，就试图通过拍卖其收集到的消费者个人信息以支付13亿美元 的破产债务。另一方面，虽然《个人信息保护法》第22条也规定了个人信息控制者在破产情形下可以在征得个人同意之后转移个人信息的情形，但这些规定也只是一个“事后”处理的态度，并不能让企业在一开始收集消费者个人信息时，就能让消费者了解这些信息以后的处理方向。因此，有必要在以域外法为参照系的同时，辅以本国实际，并在不断反思的基础上于中国破产法中构建完善的法律适用机制。

四、中国破产法调整个人信息出售的路径

2021年，全国人民代表大会常务委员会把《企业破产法》的修改纳入立法议程。如何在新冠肺炎疫情的影响下，继续优化营商环境，是当前中国破产法修订的重要内容。目前，中国的破产法还是按照传统的相关内容进行规定，对于破产法与其他法律的交叉融合方面鲜有涉猎，从而引发了司法实践的难题。因此，研究破产法与其他法律的协调适用是完善破产法理论的重要内容。关于破产法调整个人信息出售的路径，笔者认为，可主要从以下方面进行：

(一)信息控制者：明确要求制定隐私政策

企业隐私政策尽管在保护个人信息上起着重要作用，但从美国隐私政策的设计中也能看到其局限性。例如，隐私政策的规定并未涵盖所有企业类型。隐私政策常见于电商平台和应用软件等，而鲜见于实体零售公司[15]497，即大多数零售企业并未涉及信息控制者进入破产程序后对收集的个人信息的处置，主要包括未制订隐私政策或隐私政策未予以约定两种情形。如前所述，即便是《美国破产法》也仅仅排除了隐私政策明确约定不予转让的情形，而并未对隐私政策作出明确规定。因此，在隐私政策未制订或者隐私政策未予明确规定的情况下，破产程序中债务人是否可以转让个人信息，法律规定付之阙如。

鉴于美国的上述做法反而造成了实务处理中的难题，中国有必要在破产法中直接进行明确规定，即所有需要收集消费者个人信息的企业应该制定隐私政策。关于企业隐私政策的制定，需要注意两个方面：

第一，允许企业修改自己的隐私政策。如前所述，在美国Borders和Quirky两个案例中，破产债务人都先后进行了隐私政策的修改。企业隐私政策的修改无非是扩大或者缩小对消费者个人信息的保护，当然，实践中主要是后者。企业作为重要的市场主体，有权根据自身的发展制定对自身有利的企业政策。因此，在已经明确规定企业制定隐私政策的前提下，应该允许企业有修改的权利。

第二，消费者只服从他们所同意的隐私政策。即便允许企业可以修改隐私政策，如果信息主体没有明示地或默示地同意后一版本的隐私政策，则信息主体只受其同意授权的隐私政策约束[10]11。此外，若企业在破产程序中出售消费者个人信息，还应该对消费者已经明示的或者默示的同意进行举证。

可以直接让所有需要收集消费者个人信息的企业，在一开始就制定隐私政策或可以成为一条在数据时代强有效保护消费者个人信息隐私的重要途径。为了让消费者对企业有足够的信息隐私保护信赖，从而收集到更多的消费者个人信息，企业往往会在一开始就制定健全的隐私政策，从而形成其在后来处理消费者个人信息时无形的“枷锁”。另外，一旦企业违背了自身的企业隐私政策而肆意处理消费者个人信息，消费者举证也有法可依。

(二)信息主体：赋予知情权和选择权

上文所述FTC诉Toysmart案中，Toysmart规则为信息控制者的转让方和受让方均设定了额外义务，其目的在于降低破产程序中的转让个人信息对信息主体可能造成的损害。然而，尽管Toysmart和FTC达成了协议，但FTC仅仅是以微弱优势批准了和解协议的条款，仍然有许多委员表示反对，认为这项协议是将“商业利益置于消费者隐私之上”“是以明文形式促进企业违背‘对消费者的承诺’”等，即便是同意该协议的委员也认为自身“批准该解决方案的决定并非毫无保留”[10]6。

基于此，笔者认为，一种可能的思路是，应当让信息主体更多地参与到程序中，并且享有决定的权利。2005年，美国国会对《美国破产法》的部分内容进行了修正，破产法院已允许破产债务人向与该债务人相同业务的购买者出售机密的消费者个人信息，但前提仍然是个人有机会选择参与或退出交易⑤。而《个人信息保护法》第44条也规定了个人对其信息的处理享有知情权和决定权，有权限制或者拒绝他人对其信息进行处理。此外，如果要明确规定企业隐私政策，并允许企业修改，那么就更加需要赋予信息主体知情权和选择权。

1. 信息主体之知情权

除了制定企业隐私政策，让信息主体能够进一步了解自己信息的处理走向以外，还需要在企业出售个人信息时，让个人知情。知情是个人对其信息决定的前提和基础。具体而言，信息控制者需以合理的方式，如在网站或者应用软件的醒目位置，通过发送邮件或在区域性、全国性的报纸上刊登公告等方式，将拟售行为及其可能产生的影响告知信息主体。

此外，还可以借鉴《美国破产法》的规定，设立消费者隐私监察员。美国消费者隐私监察员的职责主要是评估个人信息拟售时，消费者可能遭受的损失、收益、成本或利益，以及一旦予以出售，任何可用于减轻潜在隐私损失或消费者成本的替代方案等。而中国其实也有类似规定，《个人信息安全规范》规定，在有需要对个人信息进行共享和转让时，可以事先开展个人信息安全影响评估，并依据评估结果采取有效的保护个人信息主体的措施。此外，还需向个人信息主体告知共享、转让个人信息的目的，数据接收方的类型以及可能产生的后果，并事先征得个人信息主体的授权同意。而《个人信息保护法》在第55条和第56条也明确了该规定，即个人信息处理者在对个人权益有重大影响的个人信息处理活动中，应当事前进行个人信息保护影响评估，并对处理情况进行记录。但与美国不同的是，一方面，《个人信息安全规范》要求的前提为“非因收购、兼并、重组、破产原因”，这就意味着如果是破产的话，不一定需要进行评估；另一方面，《个人信息保护法》将个人信息保护影响评估纳入信息处理者的义务群中，也就排除了由专门的人员进行处理的可能。

美国只要企业在申请破产后拟售个人信息，且破产法院认为可能会违背其隐私政策时，就会任命一个专门的隐私监察员。实践中，为了更好地平衡信息控制者以及信息主体的利益，多在企业拟售之时就由第三方进行综合评估。具体而言，企业破产并出售个人信息，应当属于《个人信息保护法》对个人权益有重大影响的个人信息处理活动，也应当对个人信息保护影响进行评估。但是，“自己不能成为自己比赛的裁判者”，如果由企业自己作评估报告，很难认定其中不存在利己的偏好。因此，应当由第三方进行评估，评估的结果除了向法院进行报告之外，个人也应该有权利知情。所以，在破产程序中，法院可以根据实际情况，将消费者隐私监察员的报告内容通过官网等渠道对个人予以展现。

当然，在破产程序中，即便在类似消费者隐私监察员的第三方尚未介入的情形下，破产管理人也可以预先自查，对拟售行为进行评估并形成倾向性意见。倘若管理人认为转让个人信息的行为有利于债务人财产的价值最大化，且能够与信息主体的利益保护达成平衡，管理人或债务人可以通过告知或者征求信息主体授权同意等方式对有争议的拟售行为予以补强，从而达成破产程序中的个人信息转让。

2. 信息主体之选择权

信息控制者需赋予信息主体以选择权，由信息主体在一定期限内决定是否同意转让其个人信息。目前，世界范围内关于信息主体的选择权主要有两种模式：一是选择参与(Opt-in)模式，即信息主体明确同意信息控制者以特定的方式处置其个人信息。未经信息主体同意授权，信息控制者无权转让该主体的个人信息[15]501。二是选择排除(Opt-out)模式，即信息控制者只要向消费者提供明确的使用目的和各项完整信息，就可以使用消费者的信息，但必须向消费者提供拒绝使用的权利[15]502。该模式的理论基础是企业作为信息控制者享有“有限的财产权”，其可以在一定条件下支配个人信息，并从中获得经济价值。在此种模式下，企业通常明确规定共享、转让个人信息的条件，如合并、并购和破产等情形。因此，在企业申请破产后，其可以不经过当事人同意便处理个人信息。当然，企业必须是在一定条件下处理个人信息，如选择适格的第三方和“一揽子”转让等。若当事人的合法权益因这一行为受到侵害，或者当事人不愿意第三方知晓自己的信息，才可以要求救济。

比较法视域下，选择排除模式为更多国家和企业所采纳。例如，日本《个人信息保护法》第23条规定，关于将个人信息提供给第三方的行为，在原则上，涉及个人信息的经营者，在未事先征得个人本人同意的情况下，不得将个人信息提供给第三方；但是，又规定了如果事先将具体项目告知个人本人，或者以本人容易知晓的状态进行发布，便可以将个人数据提供给第三方。换言之，只要准备了个人可主动退出的手段，并将这些信息以个人本人容易知晓的状态进行发布，即便不征得个人本人同意，也可以向第三方提供个人信息。

而中国在《个人信息保护法》第17条就告知同意规则也作出了详细的规定，要求个人信息处理者在处理个人信息前，应当以显著方式和清晰易懂的语言真实、准确、完整地向个人告知关于处理目的、处理方式和处理的个人信息种类等。由该规定可知，《个人信息保护法》也采取了类似选择排除的模式，且更加注重保护个人的信息权益。例如，第14条第2款规定，如果个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意；第15条 第1款规定，基于个人同意处理个人信息的，个人有权撤回其同意，个人信息处理者应当提供便捷的撤回同意的方式；第29条规定强调，敏感个人信息的同意必须取得信息主体的单独同意等。

事实上，中国采用选择排除模式更为合理。具体而言，企业收集到的个人信息数据库本身不是简单形成、自然生长的，而是企业通过技术开发得到的。其间需要投入大量的资本、人力和时间，才能够形成有价值的信息数据；它与知识产权相似，同样鼓励流动和共享[16]。而选择参与模式几乎阻断了企业出售个人信息的可能，虽然最大限度地保护了个人信息，但却弱化了债权人和债务人的利益保护。如前所述，企业在破产程序中出售个人信息的问题应为破产法适用的关联范围，现代破产法的精髓是平衡债权人、债务人以及社会三方的利益。因而，在破产程序中，既要在公平的前提下保证债权人合法权益得到最大程度的实现，也要使债务人不至于在申请破产后还处于更加不利的状态，同时还要兼顾对公共利益的保护，使企业所承担的社会责任不因破产而免除。由此，采用选择排除模式保护个人信息是破产大利益制衡机制的内在要求。

(三)破产管理人：设定对个人信息保护的特殊义务

在破产程序中，一旦明确了选择排除的个人信息保护模式，则在实质上免除了破产管理人在个人信息作为破产财产时本应负担的告知义务。因此，有必要从其他角度对破产管理人设定义务以维护个人信息权利。

1. 安全保护义务

《个人信息保护法》第51条规定，个人信息处理者要防止个人信息泄露或者被窃取、篡改、删除。但值得注意的是，在没有破产之前，企业当然为适格的个人信息控制者；但在企业申请破产之后，保护个人信息安全的义务就应该从破产人这一主体转移给破产管理人来承担。而其中，匿名个人信息的重新识别问题以及第三方——个人信息的受让方的适格考察成为破产管理人履行安全保护义务的两个重要方面。

首先，破产管理人需要预防匿名个人信息被重新识别的风险。长期以来，人们一直认为匿名消费者的个人信息数据不需要具备与可识别的特定消费者的个人信息数据相同的保护[17]2。例如，美国的《格雷姆-里奇-比利雷法》(Gramm-Leach-Bliley Act，GLBA)虽然明确要求金融机构为消费者提供选择不与第三方共享其非公开个人信息的机会，但如果信息是“不包含账号、姓名或地址等个人标识符的聚合信息或盲数据”等匿名个人信息数据时，则不应将其视为个人信息，并且不受该法规的约束⑥。此外，被誉为美国“最严厉、最全面”的个人隐私保护法案的《加州消费者隐私法案》(California Consumer Privacy Act，CCPA)也将去身份数据排除在了适用范围之外[18]179。日本《个人信息保护法》第2条关于个人信息的定义——所谓个人信息，是指关于生存个人的信息，以及这些信息中所包含的姓名、出生日期及其他一些能够识别特定个人身份的描述,能够容易地与其他信息进行对照，并据此识别特定个人身份的信息也包括在内——一定程度上表明其并不保护匿名的个人信息。例如，像商品的搜索记录、浏览记录和购买记录等行为信息数据，只要无法通过姓名等识别特定的个人，就不属于个人信息的范畴。在这一方面，《个人信息保护法》第4条第1款 明确了个人信息不包括匿名化处理后的信息，这就意味着该法也将匿名化的信息排除在“个人信息”的概念之外。包括中国在内的大多数国家之所以都将匿名化处理后个人信息排除在保护领域之外，主要是为了确保一定程度上的信息数据能够得以利用和流通。

但值得注意的是，由于匿名化个人信息保护规定的付之阙如，即便是具有明确隐私政策的医药公司和药房等医疗保健提供商以及信用卡公司等金融机构，也可能会在将这些个人信息数据去标识化后出售给第三方数据挖掘者[17]3。而这些挖掘者很可能只需要在几个关联数据库之间进行匹配，就能达到重新识别个人信息的目的。例如，2006年，Netflix发布了用户电影排名数据，通过将姓名替换为随机数并删除个人详细信息来进行匿名处理。但研究人员发现，通过将部分排名数据与那些用户在互联网电影数据库(IMDb)中发布的非匿名用户的电影评分进行比较，就可以达到识别该用户的目的[17]4。基于此，破产管理人针对企业匿名化个人信息的拟售行为，应该委托数据中间商对该匿名化技术进行严格测试，从而确保第三方无法根据统计的信息数据识别出个人身份。

其次，应加强对第三方适格能力的考察。破产管理人向第三方出售个人信息时，应当对第三方进行以下因素的考量：一是第三方应当具有不低于破产人原有的个人信息保护能力，如通过对防火墙的使用、员工培训、病毒防范、突发事件等进行评估；二是第三方必须明确同意受卖方关于从卖方处获得的个人信息的隐私政策的约束和遵守，这也是让消费者只服从其所同意的隐私政策的表现，不会因为转让给第三人而给消费者增加额外的负担。

此外，破产管理人还应该使用专业技术，如加密、为信息系统安装防火墙等，对系统的安全性和可操作性进行测试，对公众所知的技术弱点进行持续扫描监控，对企业的网站和服务进行内部和外部的审查等，来保护企业的个人信息。

2. 个人信息的分别管理义务

由于个人信息的敏感性程度不同，在处理个人信息的过程中应当进行分类、分级保护。在企业破产过程中，这一任务需要由破产管理人来承担。

对个人信息实行分级保护制度是很多国家的立法通例。例如，法国将个人记名数据划分为直接个人记名数据、间接个人记名数据、一般个人记名数据和敏感个人记名数据四个层级，且明确规定禁止收集或者处理包括直接或者间接涉及种族、民族、政治观点、哲学、宗教和工会从属等在内的个人信息；美国 Acxiom公司作为信息服务的提供者，在出售他们收集到的个人信息时，严格执行个人信息分类、分级标准，其服务列表中只含有普通性质的数据，不涉及个人纳税编号和信用卡号等敏感信息。可见，个人信息的敏感程度直接影响到对收集、利用、披露和保护的程度与手段，因此，这种分级保护个人信息的模式也应当延续至破产程序中。

《个人信息保护法》第29条对敏感信息的处理作出了规定，且第51条也将对个人信息实行分类管理纳入了信息处理者的义务群中。因此，在破产程序中，破产管理人在意图转让、共享客户个人信息之前，应当对个人信息进行分类和分级管理，即明确哪些个人信息可以转让、共享。对于敏感性较高的个人信息，破产管理人应当取得个人的单独同意，并向个人告知处理敏感个人信息的必要性以及对个人权益的影响。此外，基于个人同意处理个人信息的，破产管理人应该对个人撤回其同意的决定进行认可。

(四)破产法院：建立健全个人信息保护的诉讼机制

破产程序中，企业出售个人信息的影响可能会出现两种情况：一是在破产程序中，当事人反对出售行为而起诉的情形；二是在转让行为发生一段时间后，不特定的个人的合法利益才会受到损害。目前，中国对消费者个人信息保护的诉讼机制主要体现在《个人信息保护法》第69条和第70条中。但是，除了赋予个人以私人诉权和相关部门或组织提起诉讼外，实践中，为了减少诉讼成本和避免司法资源的浪费，一方面，应该由受理破产案件的法院对后续个人信息保护诉讼进行处理；另一方面，还应对破产法院个人信息保护的诉讼机制予以健全和完善。

首先，对于同一企业在破产程序中出售消费者个人信息而使得自身信息权益遭受侵害的多个消费者当事人，可采用集体诉讼的方式进行处理，并由破产法院作出审判结果。审判结果适用于所有被该企业侵害权益的消费者。

其次，对于单一消费者个人信息权益遭受侵害的情况，可采用小额诉讼的方式，减少诉讼成本。当然，为了避免私人诉权的恶意产生，从而出现集体诉讼的狂热。可以借鉴美国CCPA做法，规定相关诉讼在提起前必须满足的条件。例如，如果破产程序正在进行的，给予破产管理人或经济实体30天的提前通知和补救的时间，从而对私人诉讼权加以约束，企业已经宣告破产的除外(这种情况下个人只能向法院提起诉讼)。此外，关于请求损害赔偿的类型和方式，每个消费者还可就个人信息安全时间要求损害赔偿，同时还可以申请禁令救济和宣告性救济[18]182。

最后，个人信息保护监管机构、各类公益组织也应该积极发挥作用，为消费者维权，或针对企业在个人信息保护方面的不当行为提起公益诉讼。目前，在中国地方实务中，也出现了适用《民法典》的个人信息保护民事公益诉讼案件[19]。此种做法也为破产程序终结后，信息权益遭受损害的个人提供了保护路径。

五、结语

数据是信息社会的“石油”，数据是数字经济的生产要素。通过立法强化对个人信息的保护，在此基础上推动信息数据的合理使用，这是数字经济健康发展的必然要求。《个人信息保护法》总结了中国的立法和实践经验，借鉴了域外的立法经验(如GDPR)，强调在严格保护个人信息的基础上，规范信息数据的利用与流通，为数字经济的发展奠定良好的制度基础。但是，《个人信息保护法》只能高度盖然性地解决个人信息保护问题，作为一般法并不能有效解决破产程序中企业对个人信息的出售问题。破产企业对个人信息的出售应当视为破产程序的延伸，应该借鉴美国的做法直接由破产法作出特殊回应，其中包括要求企业制定隐私政策、赋予个人知情权和选择权以及增加破产管理人特殊的个人信息保护义务等。当前，中国破产法的修订已经纳入日程，不仅应该做到自我完善，还应该强调与其他特殊法的衔接适用，从而在完善破产法理论的同时，改善和优化营商环境。

注释：

① Complaint, F.T.C. v. Toysmart.com, No.00-11341-RGS, 2000 WL 34575570 (D. Mass. 2000)。

② In re RadioShack Corp., No.15-10197, 2015 WL757150 (Bankr. D. Del. 2015)。

③ In re Borders Group, Inc., 462 B.R. 42 (Bankr. S.D.N.Y. Dec.7,2011) (No.11-10614)。

④ In re Quirky, Inc., No.15-12596 (Bankr. S.D.N.Y. Oct. 27,2015)。

⑤ Bankruptcy Abuse Prevention and Consumer ProtectionAct of 2005, Pub. L. No.109-8, §231, 11Stat. 23, 2005:72—73。

⑥ Gramm-Leach-Bliley Act of 1999, Pub. L. No.106-102, 11Stat. 1338 (Codified as amended in scattered sections of 12 and 15 U.S.C.2008)。