陈绮倩 华南师范大学法学院硕士研究生
个人信息处理原则上以告知同意为前提,但在企业破产的场景之下,我国个人信息保护法第22条允许破产企业无需经过用户同意,在履行告知义务后即可转移用户的个人信息。在美国的相关实践中,破产法院对于一般个人数据的转让存在无需用户同意和赋予用户选择退出权的不同方案,倾向于禁止敏感个人数据的转让。实质上,破产程序中个人数据转让规则设计的关键在于债权人和个人信息主体之间的利益衡量。一方面,债权人对于其债权的实现具有合理利益,应允许破产企业在特定条件下转让包括用户个人数据在内的数据资产。另一方面,用户享有个人信息权益,转让个人数据应以符合用户合理期待为前提,并赋予用户选择退出的权利。
一、问题的提出
在数字经济发展的背景之下,用户个人数据作为企业数据的重要组成部分,已经成为互联网企业尤其是社交网络平台企业的重要资产。与此同时,用户数据属于个人信息,用户对其个人数据享有个人信息权益和隐私权利,企业对个人信息的处理活动以取得个人同意为前提。由于企业数据与个人数据相互交织,企业和用户各自的权利和利益难以界分,尤其是在企业破产的场景之下。破产程序中的清算、重整或和解,都涉及债务人财产的出售转让。一方面,破产财产处置应当以价值最大化为原则。为使债权人的利益最大化,个人数据应作为企业数据资产的重要组成部分一并转让。另一方面,个人数据兼具人格属性与财产属性,但首先是人格权的属性。个人数据的转让涉及用户的个人信息权益和隐私权,一旦信息发生泄漏,将会给用户带来巨大的风险。破产程序中个人数据转让的个人信息保护问题始于2000年美国的Toysmart案,2002年我国发生的263免费电子邮箱事件也引起了社会的关注,遗憾的是,几乎没有人注意到用户的个人数据安全问题。2018年小鸣单车向法院申请破产清算,是全国首例共享单车进入破产程序的案件,有学者就该案关注到破产财产所包含的个人信息可转让性方面的问题。但总体而言,我国理论界和实务界对破产法领域的数据相关问题讨论较少,在个人信息保护法出台之后的相关研究更是微乎其微。
依据我国破产法的相关规定,对债权人和债务人合法权益的保护是其重要的立法目的。我国个人信息保护法第22条对破产场景下的个人信息转让规则进行了规定,破产企业无需用户同意,在履行告知义务后即可转移个人信息,这种做法有助于清理债务、实现债权,但也存在难以保护个人数据权益的问题:第一,“无需用户同意”是否违背了个人信息处理的同意原则,用户能否对企业转让自己个人数据的行为表示反对?第二,破产场景下个人信息转让的限制条件是否足以保护用户的合法权益,还应当满足何种要求?第三,不区分一般个人信息和敏感个人信息的做法是否合理,是否应当区别对待敏感个人信息的转让?
二、我国个人数据转让规则的现状
个人信息的可转让性已为我国的立法所认可,告知同意原则作为个人信息保护的基本原则,也在民法典和个人信息保护法中得到确立。司法实践中,法院通过设立同意规则界分企业数据权利和个人数据权益之间的关系,并且认可不同类型的同意方式。可见,目前我国立法和司法实践都对数据转让中个人信息保护的问题作出了一定的回应,其中存在哪些问题,又有哪些值得肯定的地方,需要进一步探究。
(一)个人数据转让规则的立法现状
在民法典和个人信息保护法出台以前,个人信息保护方面的法律规范十分零散且不成体系。个人信息转让是个人信息处理的其中一环,随着数字经济的发展,个人数据转让的场景复杂多变,单一的告知同意规则难以满足个人数据在转让过程中的复杂情景,因此区分情景适用差异化的规则似乎是一种较为合理的解决方案,立法上也针对不同的场景规定了差异化的个人数据转让规则。
1. 一般场景下个人数据的转让规则
立法层面,根据民法典第1035条的规定,个人信息处理的原则包括合法、正当、必要原则,并符合征得同意,规则公开以及明示目的、方式和范围等条件。可以看出,个人信息处理原则上以“告知同意”为前提,除非法律、行政法规另外进行规定,否则企业在处理用户的个人数据前必须向用户告知相应的事项并取得其同意。一方面,处理个人信息应当由个人在充分知情的前提下自愿、明确作出。另一方面,个人信息处理者应当向个人告知下列事项:个人信息处理者的名称或者姓名和联系方式,个人信息的处理目的、处理方式,个人信息种类、保存期限,个人行使权利的方式和程序等事项。需要注意的是,告知同意规则受到个人信息敏感程度的影响。依据个人信息保护法第29、30条的规定,处理敏感个人信息应当取得个人的单独同意,除第17条第1款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个*权人**益的影响。国家标准层面,《信息安全技术个人信息安全规范》(GB_T35273-2020)(下文简称为《2020规范》)9.2和9.3以是否属于收购、兼并、重组、破产原因发生的个人信息共享、转让为划分标准,不是因收购、兼并、重组、破产原因共享、转让个人信息的,在告知同意规则方面需要符合下列要求:告知共享、转让个人信息的目的、数据接收方的类型以及可能产生的后果,并事先征得个人信息主体的授权同意;共享、转让敏感个人信息的,还应告知敏感个人信息的类型、数据接收方的身份和数据安全能力,并事先征得个人信息主体的明示同意。
在个人信息转让的一般场景之下,法律规范和国家标准都对告知同意规则进行了明确,并且对一般个人信息和敏感个人信息进行了区分。总而言之,除非法律、行政法规另有规定,企业在转移用户的个人数据前必须履行一定的告知义务并征得用户的同意,如果转让的是个人敏感数据,还应履行更为充分的告知义务,并事先征得用户单独明示同意。
2. 破产场景下个人数据的转让规则
在企业合并、分立与形式变更等场景下,与个人信息保护法意义上的“向他人传输或披露”不同,原则上不会产生个人信息权益受到侵害的问题。但在企业破产的情形下,则真正涉及个人数据的转让问题,故本文主要聚焦在破产场景下个人数据转让是否需要数据主体的同意以及通过何种方式保护用户的个人信息权益,个人信息保护法和《2020规范》对此有所规定。立法层面,将个人信息保护法第22条与第23条对比发现,在企业合并、分立、解散、被宣告破产等情形下转移个人信息,不仅无需取得个人的单独同意,而且无需向个人告知处理目的、处理方式和个人信息的种类。国家标准层面,根据《2020规范》9.3,当个人信息控制者因收购、兼并、重组、破产等原因发生变更时,应满足以下要求:一是向个人信息主体告知有关情况;二是变更后的个人信息控制者继续履行原个人信息控制者的责任和义务,如变更个人信息使用目的,应重新取得个人信息主体的明示同意;三是如破产且无承接方的,对数据做删除处理。显然,因破产等原因转让个人信息的,需要满足的条件远远少于一般情形。
破产场景下个人数据的转让规则,不区分一般个人数据和敏感个人数据,企业只需要告知用户接收方的名称或者姓名和联系方式,而不需要征得用户同意,只有在接收方变更转让个人数据的目的、方式时,才需要取得用户同意。在破产程序中,债务人企业及其债权人固然具有合理的利益,但并不能完全排除相关用户的信息自决权。故企业未经用户同意即转让其个人数据的正当性依据不足,违背了个人信息处理的同意原则。
(二)个人数据转让规则的司法现状
互联网企业通过运营积累或者大数据分析所得的企业数据,其中包括大量的用户个人数据。知情同意作为个人信息处理的基本原则,是企业转让用户个人数据的合法性基础。司法实践中,企业处理个人数据的过程是如何体现知情同意这一原则的,企业对个人数据享有权利是否以用户同意为前提?在同意规则的类型上,我国实践中是否认可默示同意规则的适用?这些问题都有待从相关司法判例中找寻答案。
1. 基于用户同意的企业数据权利
司法实践中,新浪诉脉脉案确立的“三重授权原则”是法院提出的合法收集使用个人数据的同意规则,即网络平台收集和使用用户数据需要取得其同意,第三方获取用户信息,既需要得到该平台授权,也要获得用户授权。一方面,企业数据权利来源于用户的授权,被授权方应在何种范围内使用数据则取决于合同的约定,例如用户协议等。另一方面,根据劳动理论,企业在获取、分析用户数据的过程中付出了大量劳动,因而有权获得相关的财产性权利。在理论界,“三重授权原则”为不少学者所诟病。有学者认为,在大数据的背景之下,“三重授权原则”不但未必加强个人信息保护,也难以促进数据流动。也有学者提出,“三重授权原则”脱离具体的场景与应用去谈隐私利益,将“同意规则”强加其上,不一定符合现状,缺乏正当性与必要性。“三重授权原则”虽不是最佳的界权方案,但“用户授权”+“平台授权”+“用户授权”的模式试图平衡用户的个人数据权益以及企业的竞争利益,尤其强调对用户知情同意权的保护,这一态度值得肯定。某案的法院指出,在用户同意的情况下,在保证用户隐私权等其他合法权益不被侵害的前提下,企业对基于自身经营活动收集并进行商业性使用的用户数据整体同样享有合法权益。综上所述,以维护用户个人信息权益为前提,用户同意是企业对用户数据享有竞争性财产权益的充分条件,但必须结合不同的场景适用差异化的同意规则。
2. 默示同意规则的司法认定
理论上,同意可以分为明示同意和默示同意,特殊情形下,沉默才可以视为同意。明示同意和默示同意的区别在于是否主动征求用户的知情同意,后者凭借用户的不作为表现推定其知情同意,转而赋予用户拒绝的权利,这也是选择加入机制与选择退出机制划分的关键。在朱某诉北京百度网讯科技公司隐私权纠纷案中,法院对默示同意持肯定的态度:百度网讯公司已经明确说明cookie技术、使用cookie技术的可能性后果以及通过提供禁用按钮向用户提供选择退出机制,然而朱某在百度网讯公司已经明确告知相关事项后仍然使用百度搜索引擎服务,应视为对百度网讯公司采用默认“选择同意”方式的认可。选择退出在法律效果上对应着默示同意,在企业已履行告知义务并提供选择退出机制的情况下,用户不作为,没有选择退出或行使反对权,即推定为同意。《信息安全技术公共及商用服务信息系统个人信息保护指南》(GB/Z28828-2012)5.2.3也认可了在收集个人一般信息时默示同意的合法性。早在2005年,谷歌数字图书馆就采用选择退出机制以应对版权纠纷。我国现行法虽尚未明确纳入默示同意规则,但在审判实务中已肯定其合法性。
三、美国破产企业数据转让的实践路径
美国是世界范围内较早对个人信息隐私立法的国家之一,对于进入破产程序同时涉及消费者个人信息隐私权益的案例关注度较高。美国联邦贸易委员会作为专职保护消费者权益的政府机构,通过执法在具体案例中逐渐确立了破产场景下个人数据的转让规则。故本文主要分析美国法上关于破产企业数据转让的典型案例:Toysmart案、RadioShack案和XY案,以供我国的具体实践参考和借鉴。
(一)破产场景下一般个人数据的转让规则
在Toysmart案和RadioShack案中,破产企业转让个人数据的同意规则存在差异。在Toysmart案中,根据美国联邦贸易委员会和Toysmart公司达成的和解协议,Toysmart公司转让用户个人数据无需经过用户的同意,但必须符合特定要求:一是禁止将用户数据单独转让,仅允许资产的整体出售;二是相关数据只能出售给“合格购买者”—来自同一行业的实体;三是合格购买者必须遵守原有的隐私政策,若隐私政策发生实质性变更,必须告知用户并征得用户同意(选择加入opt-in)。在RadioShack案中,破产法院要求收购方应当向用户提供选择退出(opt-out)的机会,若用户在7日内行使了退出权,其个人数据不得被转移。Toysmart案作为开创性的案例,其确立的规则方案在此后相关案例中一直备受重视。事实上,除用户有权选择退出外,破产法院在RadioShack案中遵循了Toysmart方案,对收购方和交易方式的要求基本一致。换言之,法院认可破产场景下个人数据得以转让的同时设置了一系列的条件,其中包括用户数据不得单独转让、收购方为合格购买者和保持隐私政策实质一致。当满足上述条件时,本质上用户数据的使用场景相同,使用的目的和方式一致,不会打破用户对于其个人数据利用的合理预期,用户的个人信息权益能够得到一定程度上的保障。可见,用户数据在具体场景中的使用目的、方式以及是否符合用户在相应场景中的合理期待,是企业破产场景中个人数据转让规则的设定标准。
分析上述两则案例可以发现,美国在企业破产场景下适用的同意规则有两种:一是无需用户授权同意,只要满足一定条件,企业即可转让用户个人数据;二是企业必须要告知用户并向用户提供选择退出的机会。后者相较于前者,企业移转用户数据的条件显然更为严格,要求向用户提供行使退出权的机会。联邦贸易委员会认为,在破产程序中,基于企业恢复经营或者破产财产价值最大化的考虑,法院可能不会采用获取用户同意的方案,此时“无需用户同意”的Toysmart方案具有指导性意义。易言之,“无需用户同意”的方案是从破产企业和债权人的利益出发,考虑其在数据转让中的合理利益。在破产企业数据转让的场景之下,我国应采取哪种同意规则?如前文所述,根据我国现行的法律规范,因破产原因转移个人信息的,个人信息处理者仅负有告知义务而无需取得用户同意。鉴于我国目前个人信息的保护尚未建立较为有效的监管制度,完全无需用户同意的处理方式并非一个合理的选择。在完全不需要得到用户同意以及取得用户明示同意之间,赋予用户选择退出权应是一种折中的方案。
(二)破产场景下敏感个人数据的转让规则
在美国的相关实践中,并非所有的破产企业都能够对用户数据进行转移,如XY案。联邦贸易委员会在向XY杂志和XY.com的致函中表示,哪怕是由现有的所有者继续使用这些信息,也不一定与提供数据时的初始目的相符合,继续使用数据还可能会造成用户意想不到的隐私风险。最后,法院下令销毁所有的用户数据。通过Toysmart案与XY案的比较,可以发现不同类型的个人数据在转让规则上存在差异。在Toysmart案中,联邦贸易委员会将债权人的权益置于用户的隐私利益之上,允许破产法院更改企业的隐私政策,从而用户数据得以转移到第三方。在XY案中,法院则偏向于保护用户的隐私利益,所有的用户数据最终被销毁。Toysmart公司和XY公司都分别承诺不会与第三方共享用户数据,结果却截然相反,主要原因在于XY的用户数据敏感程度较高。学者王利明指出,确定是否属于敏感个人信息,应当根据个人信息处理行为发生的具体场景,对围绕该行为的各个元素(如身份,处理目的,处理场所及其影响的后果等)进行综合评价。这种观点不无道理,例如通讯地址在一般情况下不属于敏感个人信息,但在XY案中,很多用户是与父母或其他可能不知道自己性取向的人住在一起的,XY杂志和网站停运后,搬离原住址的用户无法及时更改地址,一旦XY恢复运营并重新联系原用户,就存在透露用户性取向的风险。据此,应当在具体场景中结合用户的身份、使用的目的方式以及可能带来的隐私风险等,对敏感个人信息进行综合判断。
对于敏感个人数据,美国在实践中倾向于禁止其出售转让。如前文所述,我国个人信息保护法第22条确立的破产场景下的告知同意规则,没有区分一般个人信息和敏感个人信息。从文*解义**释的角度上看,在企业破产的场景中,无论是转让个人数据还是个人敏感数据,都无需征得用户同意。但从体系解释的角度上看,第二章第二节是敏感个人信息处理规则的专节规定,其中不仅没有获得敏感个人信息主体同意的例外条款,还对同意规则提出了更加严格的要求—单独同意。“无需同意”规则在一般个人数据转让的层面上,尚且不利于用户的个人信息权益和隐私权保护,举轻以明重,敏感个人数据转让更加不宜采用“无需同意”的规则。对于破产企业的债权人而言,最大程度地实现债权是其目标,而“单独同意”规则之下转让敏感个人数据需要耗费巨大的成本,未必是合理的选择。
四、我国破产场景下个人数据转让规则的完善建议
个人数据转让在破产这一特殊场景下,不仅要考虑用户可能面临的隐私风险,还要考虑债权人的利益问题,若是在用户个人数据的转让上施加过多限制条件,将难以使债务人财产价值最大化,最终会损害债权人的利益。在符合用户合理期待并且赋予其选择退出权利的前提下,美国破产法院往往允许企业转让用户的一般个人数据,而禁止转让敏感个人数据。我国现行的法律规范对于破产企业数据的转让规则存在不合理之处,有必要借鉴域外的有益经验,加以完善。
(一)默示同意规则的适用
明示同意作为同意规则的一般形态与核心,其对个人信息权益的保护力度高于默示同意。但自进入大数据时代以来,明示同意的有效性备受质疑,主要表现在:一是市场上所有的用户协议或隐私政策几乎都是“一揽子协议”,而且冗长而晦涩,用户往往不予阅读就直接选择同意;二是面对“同意或离开”的授权规则,用户若不同意则无法享受产品和服务,只能被迫选择同意;三是数据的价值随着流通率的提高而增加,而明示同意“一对一”征求用户同意的模式加大了数据流动的难度。明示同意在个人信息权益保护上的作用受到削弱,不仅无法保障用户的知情同意权,而且降低了数据的流通效率。为缓解明示同意的有效性困境,同意规则应从“强同意”模式走向“弱同意”模式。根据民法典和个人信息保护法的相关规定,同意分为三种类型:明确同意、单独同意和书面同意,其中同意是否包括默示同意,还是仅指明示的同意,有待明确。实际上,现行法并没有将处理个人信息取得的同意局限于明示同意,个人在充分知情的前提下自愿、明确作出的同意既可以是明示同意也可以是默示同意,在个人信息保护规范上纳入默示同意并不存在制度上的障碍,但必须要对默示同意的适用范围进行限制,明确其仅适用于特定的个人信息处理场景,包括但不限于破产情形。默示同意在破产程序中的适用,无疑具有一定的价值。一方面,能够节约为寻求用户明示同意而花费的巨大时间和经济成本,增加了企业转让用户数据的可行性。另一方面,用户被赋予选择退出的权利,可以在一定期间内行使反对权,阻止其个人数据流向第三方。总而言之,在破产场景下适用默示同意规则能够较好地平衡债权人的合理利益以及用户的个人信息权益。
(二)合理期待的判定规则
在实践中,美国联邦贸易委员会通常将企业违反其隐私政策的行为视为不公平或欺骗性的行为。随着数字经济的发展,联邦贸易委员会对不公平或欺骗*行为性**的判断并不仅仅局限于隐私政策规定的内容,其关注重点已经转向了用户的合理期待层面,用户的背景、已知事项以及隐私政策的结构设计、用语规范等都是确定用户合理期待的因素。合理期待理论源于美国最高法院1967年的Katz案,就个人信息制度而言,合理期待理论的核心在于,为个人信息主体与个人信息处理者设定权利义务关系时,需考虑信息主体在特定场景下可以合法享有的期待。在企业破产的场景之下,符合用户合理期待是数据得以转让的前提条件,其评判标准为:用户主观上对其个人数据具有期待利益,一般人无法合理地预见到自己的个人数据将以不同的目的和方式进行处理,而这一期待利益客观上在社会看来也是符合情理的。合理期待理论在我国实践中亦有所体现,在2018年的“人人网收购案”中,人人公司宣布将人人网社交平台业务相关资产,包括用户数据,出售给北京多牛传媒,多牛传媒相关负责人表示将继续遵守人人网此前的用户协议和隐私政策。人人网与收购方多牛传媒都属于社交网络平台,收购方也承诺会继续遵守人人网原先的用户协议和隐私政策,因此人人网的出售并没有改变用户数据的使用场景和目的,符合用户对其个人数据使用的合理预期,更不会给用户带来意料之外的隐私风险。与美国通过个案逐渐确立的破产企业数据转让规则相类似,用户数据不得单独转让、收购方来自同一行业和保持隐私政策实质一致,实际上就是破产场景下合理期待的判定条件。除此之外,还需要结合用户的身份、隐私政策的内容、告知同意的方式等因素来综合判断是否符合用户的合理期待。值得注意的是,符合用户合理期待是选择退出机制生效的前提,仅在达到合理期待标准时,才可赋予用户选择退出的权利,否则破产企业的相关个人数据不得转让并应作删除处理。
(三)敏感个人数据的转让规则
我国个人信息保护法首次界定敏感个人信息的概念,明确应当以是否容易导致自然人的人格尊严受到侵害以及人身、财产安全受到危害为判断标准,将个人信息分为一般个人信息和敏感个人信息。国家标准《2020规范》对敏感个人信息进行了更加全面的定义,极易导致歧视性待遇的个人信息也被纳入敏感个人信息的判断标准当中,并且在附录中提供了判定敏感个人信息的角度—泄露、非法提供和滥用,除此之外,还具体列举了敏感个人信息的类型,对我国的实践具有重要指导意义。当然,没有列举的个人信息并非不属于敏感信息,而是需要在具体场景中结合用户的身份、使用的目的方式以及可能带来的隐私风险等进行综合判断。由于对敏感个人信息进行任何不适当的处理,都可能严重侵害自然人的人格尊严和人身财产安全,例如性取向信息的泄露极易导致对相关自然人的歧视,因此在这种情况之下,相对于债权人的利益,用户的人格权益和人身财产安全应得到优先保护。在企业破产场景下,个人信息保护法有必要对一般个人数据和敏感个人数据两种类型的数据转让规则进行区分,企业在移转用户个人敏感数据前,必须要按照法律规定充分地履行告知义务并征得用户的单独同意,不能满足要求的应当禁止其转让并对数据作删除处理。
结语
在破产程序中,为使破产财产价值最大化,破产企业及其债权人对于数据的转让具有合理利益。然而,转让包括个人数据在内的企业数据资产,可能会引发个人信息权益的保护问题。立法层面,仅有个人信息保护法对破产场景下个人数据的转让进行规定,没有区分一般个人信息和敏感个人信息,企业只需要履行一定的告知义务,而且不需要征得用户同意,只有在接收方变更转让个人数据的目的、方式时,才需要取得用户同意。完全无需用户同意的做法排除了用户的个人信息自决权,违背了个人信息处理的原则,并非是合理的方案。为兼顾债权人的合理利益以及用户的个人信息权益,应当给予用户选择退出的权利,在破产场景下适用默示同意规则。除此之外,符合用户合理期待是破产企业的个人数据得以转让的前提条件,合理期待的判定规则包括但不限于用户数据不得单独转让、收购方来自同一行业和保持隐私政策实质一致。在未能达到合理期待标准的情况下,尽管用户没有在规定的期限内选择退出,企业也不得转让用户的个人数据。破产场景下的敏感个人数据转让,用户的人格权益和人身财产安全应得到优先保护。首先,需要在具体场景中结合用户的身份、使用的目的方式以及可能带来的隐私风险等对敏感个人数据进行综合判断;其次,企业必须要严格遵循法律规定的敏感个人数据处理规则,不能满足要求的应当禁止其转让并对数据作删除处理。
