数据资产是指由个人或企业拥有或控制的,能够为企业带来未来经济利益的,以物理或电子方式记录的数据资源。我国现行立法仅规定正常经营企业如何处理数据资产,没有关注企业进入破产程序的特殊状态,使得破产法范畴内缺乏数据资产确权与处理的法源基础,无法回答诸如数据资产能否被认定为“破产财产”、管理人在接管企业后如何处理数据资产及其应当承担何种义务等一些系列问题。随着信息技术的迅猛发展,数据资产已然成为数字经济深化发展的核心引擎与生产要素,识别进而利用破产企业的数据资产将提升破产财产价值,有效维护全体债权人的最大利益。基于此,应以数据安全法与破产法为基础,及时建构一套适用于破产企业的数据资产处理规则,以最大化识别与提升破产企业的数据财产价值,实现破产财产经济价值最大化与数据要素市场化配置、数据新型生产力生成的协调一致。
一、企业数据资产应被纳入破产财产范畴
破产财产是依法可供债权人清偿分配的破产企业财产,根据《企业破产法》第107条的规定,破产财产的范畴应为债务人的全部财产,既包含财产权利又涵盖财产性权益。该种宽泛认定的目的在于提升破产财产的整体价值以最大化维护债权人利益,但这进而造成权益性财产或新型财产的认定争议,数据资产在破产程序中的认定问题由此而来。根据“尊重非破产法规范”原则,非破产法规范在破产法中继续适用,即破产法未规定之事宜均应参照其他法律规定执行,所以数据资产是否能认定为破产财产,应按照破产法以外的其他法律所规定的财产范围而确定。以《民法典》为核心的现行立法并没有明确规定数据财产权利,但根据中共中央与国务院发布的《关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称《数据二十条》)第5条和第20条之规定,数据资产具有财产性权益,应督促建立“保障权益、合规使用的数据产权制度”。所以即便《数据二十条》仅为规范性文件,仍应根据数据资产的财产权益属性而将其纳入破产财产范畴。
并且现行立法也对数据资产的财产属性展现出积极拥抱的肯定态度,首先《民法典》第127条为规范数据资产权益保留了专项立法空间,日后随着各类数据资产司法活动的不断深入,相关法律也将会配套出台。其次《企业破产法》及其司法解释为指引实践,使用负面清单的方式专门规定列举若干类不属于破产财产的情形,但均未将数据排除在外。在此应注意的是,破产企业拥有的数据种类繁多,不同类型数据资产的价值各异,对于低价值的数据资产无需花费大量成本去识别与变价。换言之,应对破产程序中数据资产进行有效分类,识别不同种类数据的财产价值,让对应的数据按照价值最大化原则转让变价。
二、破产程序中企业数据资产的分类标准
关于对破产程序中数据资产的分类分级,根据《数据二十条》《个人信息保护法》《网络安全审查办法》《数据安全法》等法律或规范性文件的规定,企业数据资产因权属主体不同可分类为个人数据和业务数据两类。
首先看企业数据中的个人数据,该部分数据虽然属于企业数据资产,但由于涉及个人隐私安全与信息保护问题,并不能当然的作为破产财产加以利用或出售。根据《个人信息保护法》第22条之规定,破产企业如需转移个人信息,则需向个人告知情况,如果接收方变更原先的处理目的、处理方式的,应当重新取得个人单独同意。如果违反上述规定,自然人可依据《个人信息保护法》第47条之规定行使个人信息删除权。所以囿于《个人信息保护法》中的目的限制原则,个人数据作为破产财产被转让后的后续处理活动必须和先前破产企业与自然人既定的个人信息处理目的保持一致,否则将会受到使用限制,必须再次征得自然人的同意。由此可见,虽然企业持有的个人数据可以被纳入破产财产范畴,但在利用或变价时应严格遵循相关法律规定,预留合理期限以应对自然人的单独同意的情况,并选择适格的买家以保持个人数据原有的适用目的。在此应注意的是对于个人信息匿名化处理的问题。即破产企业为了减少利用成本,试图删除其持有的个人信息中的部分关键要素,例如姓名、性别、出生年月等,以试图规避《个人信息保护法》的约束。但删减后的信息是否属于《个人信息保护法》第73条所指的匿名化信息,应个案综合判断。企业所持有的个人信息均是为了从事特定活动所需要,并非单独割裂的行为,如果删减后的信息和企业其他业务数据相结合对照仍具有识别特定自然人的可能或仍可通过各类信息化手段复原,那么该类数据依旧为个人信息范畴,应《个人信息保护法》的规定受到“单独同意”的约束,反之则亦然。
其次看企业数据中的业务数据。根据《数据安全法》《网络安全审查办法》的相关规定,不同重要级别数据所对应的数据安全保障措施不同,主要表现为对外传输所受到的限制级别不同,所以应按照数据类目将企业的重要数据与一般数据区分开来,分别制定破产财产变价方案,才符合行业主管部门的监管要求。由于企业类型各异,我国现行立法并未明确规定企业数据的普适性分类标准,在破产案件中应结合企业自身状况而设置合理的数据分类,例如从重要性出发,将业务数据则应进一步分类为一般企业数据、重要企业数据。关于一般企业数据,该类数据通常应纳入破产财产范畴,但在变价利用时应注意保护职工隐私,即该类业务数据可能涵盖职工个人信息,应注意筛查敏感内容,并遵循财产最大化原则。关于重要企业数据,我国现行立法当前仅重点规制正常经营企业的非法转移重要数据的行为,虽然未关注破产状态,但仍应时刻保持警惕,在变价利用时重点关注买方和接收方的信息处理能力、信息安全保障能力和是否跨境流通数据等方面。换言之,应将保障数据安全作为重要数据变价出售的核心关注点。
三、破产管理人在数据资产处理过程中的职责范畴
破产程序的启动将扰乱企业的经营管理秩序,员工的大量离职极有可能造成数据泄露事件,所以在破产程序中处理数据资产,更应遵循《个人信息保护法》和《数据安全法》的相关规定,确定数据安全责任人,进行数据安全治理。我国破产法实行管理人管理企业为原则、债务人管理为例外的工作机制,根据《企业破产法》第25条之规定,破产程序启动之时,管理人理应全面接管企业,“决定债务人的内部管理事务”“管理和处分债务人的财产”。这看似是管理人成为新的数据安全责任人的法律据理。但破产管理人作为法律或会计领域的专业中介机构,其并不具有数据安全与治理的相关知识,如果强行让其担任,则会出现破产管理人增加破产费用,聘请第三方机构的情况,这将与“破产财产利益最大化”的原则相违背。所以应让债务人继续承担数据安全责任人的角色,保留维系数据安全的技术职工与规章制度,管理人则以法定职责与勤勉忠实义务为基础,根据自身的专业技能和执业经验,监督债务人与特定职工的履职情况,并建立具体的监督机制,以达到积极防范相关财产损失风险的目标。
具体应包含以下方面内容,第一,管理人应在接管企业后立即盘点破产财产,梳理企业数据资产的种类与数量,确认与数据资产有关的业务经营活动的现状,必要时对特定数据进行资产价值评估,即从提升破产财产价值的角度管理与识别企业数据资产,以实现维护数据资产安全的目标。并且应时刻监督债务人与特定职工,以防范任何私自处置数据资产或使得数据资产价值贬损的不良行为。第二,对于进入破产程序后,处于持续运营状态的数据处理业务,管理人应从保障业务延续性与稳定性方面入手,督促债务人与特定职工严格遵循既有的数据处理规则与标准不松懈,时刻防范诸如数据窃取、数据篡改、数据泄露、数据毁损等危险事件。同时应严格管理运营过程中持续产生的全部数据,以确保数据资产处于安全可用状态。第三,对于进入破产程序后,已经停止处理的企业数据,管理人应督促企业遵循或建立数据存储机制,设立数据访问机制,原则上严禁任何人访问、复制或对外传输。同时应注意数据的存储方式,防止存储设备老化、物理硬件损坏等存储介质风险。第四,关于数据资产的变价转让,首先管理人应监督债务人及时发送重新征求自然人单独同意的通知信息,如重新征求同意确有困难,则可以选择穷尽所有手段公告征求反对意见的方式予以替代,这也是在保障个人信息权利的同时,简化破产程序的实践成本与维护债权人最大化利益合理性变动。其次管理人应根据《企业破产法》第112条之规定,选择拍卖的方式转让数据资产,但应严格筛选数据接收方的数据处理能力与资质,以确保没有数据合规风险。
论数据资产在企业破产程序中的处理模式
作者:张利军 裴海天来源:法德东恒律师

数据资产是指由个人或企业拥有或控制的,能够为企业带来未来经济利益的,以物理或电子方式记录的数据资源。