【域外】企业破产，个人信息该何去何从？

在立法上，《美国破产法》（United States Bankruptcy Code）通过第363条b款初步规定了个人信息在破产程序中转让的规则。该条规定，破产管理人经过通知和听证，可在常规营业范围外使用、出售或出租破产财产。如果债务人与个人之间存在有效的隐私政策，并且该政策明确禁止将个人的可识别信息转让给与该公司无关的人时，破产管理人无权转让个人可识别信息。当然，《美国破产法》也给个人信息转让留下了两条道路：第一，如果符合隐私政策的规定，那么破产管理人可以出售或租赁个人信息。第二，如果隐私政策不允许转让个人信息，破产管理人可以根据第332条，申请适用消费者隐私监察员制度。法院在消费者隐私监察员的帮助下开展听证程序，在充分考虑企业出售或出租个人信息行为的情况和条件后，若认为该转让不会违反其他非破产法律，那么法院就可以批准这种买卖或租赁行为。

在实践中，法院以公平信息实践（Fair Information Practices）为基本原则，强调企业隐私政策的规制作用，并形成了消费者隐私监察员制度。

美国对于个人信息的保护趋势是以加强公司（特别是互联网公司）自我监管为主，要求公司更多地披露使用收集数据的细节。其中，隐私政策是连接公司与行业监管的核心文件。它披露了公司的在线数据收集和使用的具体方式，是指导和监督个人信息收集转让行为的重要抓手。

从2000年开始，美国联邦贸易委员会和各类消费者保护团体开始制定一些隐私政策的推荐指南（Fair Information Practices）。这些指南(统称为“公平信息实践”)描述了隐私政策应该包含哪些内容，以及公司应该做些什么来尊重客户信息。[3]

具体到破产程序，《美国破产法》第363条b款规定：“破产管理人经过通知和听证，可在常规营业范围外使用、出售或出租破产财产。如果债务人与个人之间存在有效的隐私政策，并且该政策明确禁止将个人的可识别信息转让给与该公司无关的人时，破产管理人无权转让个人可识别信息……”[4]可见，《美国破产法》允许企业转让个人信息有两大条件：第一， 债务人企业在收集个人数据时，双方在隐私政策中达成了企业可以转让个人信息的合意；第二，该隐私政策在企业破产时仍然有效。

在寻求消费者同意以正常业务过程之外的方式使用消费者信息时，企业可以选择两种标准的同意方法：第一，“选择-加入”（Opt-In）模式，即消费者通过明确选择允许企业以某种方式处理他们的信息。第二，“选择-退出”（Opt-Out）模式，即消费者通过说明他们不希望企业处理他们的信息，拒绝其转让个人信息。[5]二者最大的区别就在于通知消费者的时间不同，前者要求企业在转让个人信息之前告知消费者，而后者是企业在转让行为发生后告知的模式。

1、“选择-加入”模式——Living.com案

Living.com是一家在线家具零售公司，该公司的隐私政策明确：未经消费者同意，公司不会向他人出售、交易或出租个人信息。2000年8月当该公司资不抵债，根据《美国破产法》第十一章提起重整时，德克萨斯州总检察长对该公司处理客户数据的行为提出了异议，他认为：在受托人出售数据之前，他必须告知客户拟出售的数据，如果客户提出要求，则其必须从出售的数据中删除其个人信息。最终，Living.com没有提起诉讼，而是与德克萨斯州总检察长达成和解协议。根据协议，Living.com的破产管理人同意销毁客户的个人金融数据，包括信用卡信息、客户姓名、家庭住址等。[6]

2、“选择-退出”模式——Borders案

Borders是美国著名连锁书店，于2011年向法院提起重整请求。在申请出售其掌握的消费者个人信息时，债务人与各州总检察长和其他利益相关方同意通过谈判达成协议，要求：

第一，在交割截止日期后的一个工作日内，买方将向所有个人信息被转移的前Borders客户发送电子邮件，通知他们Borders要转让他们的个人信息。买方将向联邦贸易委员会和消费者隐私监察员提供选择退出通知的预发副本。选择退出的通知必须清晰、显著地披露：（1） 个人拥有选择转让和选择退出转让个人信息的机会，他们将有15天的时间选择退出转让并销毁他们的个人信息;（2）个人信息在转让之日将受 Barnes & Noble（买方） 隐私政策的约束。

第二，为了向没有电子邮件地址或无法通过电子邮件收到通知的Borders客户提供切实可行的隐私保护，转移和选择退出权的通知也将在Barnes & Noble（买方）和Borders（卖方）的网站上公示30天。

第三，关于转让和选择退出权的通知也应当在报纸《今日美国》上以整页通知的方式，清晰醒目地发布，该通知应至少包括上述选择退出电子邮件中要求的所有信息，公告费用将有买方和卖方平均分摊。

第四，在选择退出期间，买方应当采用适当的信息控制程序将传输转让的个人信息与买方拥有的其他个人信息隔离开来，不能滥用正在转让中的个人信息。在个人选择退出信息转让后，买方应当在5天内清除从卖方收集到的、与该客户有关的所有个人信息。[7]

1.隐私政策禁止转让个人信息——Toysmart案

Toysmart最初是波士顿郊区的一个小型玩具零售商。得益于出色的管理制度和充足的资金投入，该公司于1997年成功转型为了在线玩具零售商。1999年，迪士尼投资约4500万美元用于现金和促销服务，并获得了该公司的控股权。在迪士尼的注资下，Toysmart一跃成为互联网三大玩具网站之一，并在经营过程中获取了包括消费者姓名、家庭住址、购物偏好等大量客户个人信息。当时，Toysmart在隐私政策中明确其不会与第三方共享其客户数据，其获得的所有信息仅用于实现个性化消费者的在线体验。[8]

2000年春，迪士尼重新评估其互联网战略，决定专注于投资娱乐和休闲时间产品，而不是在线零售服务。2000年5月，Toysmart陷入财务困境，停止运营，债权人的压力迫使其申请破产。该公司的资产包括专门为Toysmart创建的网站开发软件，500万美元的实物资产和库存，有限的知识产权，以及一个由25万个名字组成的客户数据库。

在破产程序中，Toysmart发起了公开拍卖包括其客户数据在内的若干资产的申请。联邦贸易委员会注意到Toysmart客户数据库中包含了大量的儿童客户的数据，并且出售行为违背了其在隐私政策中的承诺。因此，其在联邦地区法院起诉Toysmart公司，指控其销售客户数据的行为属于《联邦贸易委员会法》中“不公平或欺骗性”的商业行为。

在磋商过程中，联邦贸易委员会做出了让步，对Toysmart对个人信息的转让提出了四个条件：第一，个人身份信息不能作为独立资产出售；第二，信息的买方必须与卖方从事实质上相同的业务；第三，买方必须同意遵守Toysmart关于所购买客户信息的隐私政策；第四，如果受让人要将受让的个人信息用于其他目的，必须取得信息主体的同意授权。

联邦贸易委员会认为，如果购买者遵守这些条件，那么购买者就不会被认为是隐私政策下的“第三方”，而是“合格的买家”。他是将其业务集中在与债务人相同的行业的公司，并打算购买债务人的商誉，同意成为债务人的客户信息利益继承人，并同意遵守债务人隐私政策的条款。[9]

最终Toysmart的主要投资者之一迪士尼公司向债务人支付了5万美元，没有转让客户数据，而是要求债务人销毁了相关数据。虽然Toysmart没有成功转让客户数据，但是在案件谈判过程中，联邦贸易委员提出的四个条件为破产程序中个人信息的转让提供了初步标准。

2.隐私政策变更时的个人信息转让规则——Quirky案

Quirky是一家创意产品社区与电子商务平台。2009年时，该公司的隐私政策规定其禁止个人信息的出售转让，而在2011年，Quirky变更了隐私政策，允许其在业务出售和重组过程中出售个人信息。2015年，该公司因为经营困难申请破产，并且提出要出售其掌握的120万名消费者个人信息。

美国联邦破产托管人认为，许多同意了先前隐私政策的消费者，在隐私政策更改之后没有再登陆过Quirky的网站，也没有再使用其服务。因此，对于隐私政策修改前后的消费者个人信息，应该采取不同的处理方法。未同意修改隐私政策的消费者个人信息不允许转让。而同意修改后的隐私政策的消费者个人信息可以在取得其同意之后出售转让。[10]

如果企业转让个人信息的行为存在侵害消费者权益的风险时，《美国破产法》第332条设定了消费者隐私监察员（Consumer Privacy Ombudsman）制度。该条规定，如果根据《美国破产法》第363(b)(1)(B)条的要求举行听证会，法院应命令破产管理人在听证会开始前5天内任命一名无利害关系的人士担任本案中的消费者隐私监察员，并应要求将该听证会通知及时送达给该监察员。消费者隐私监察员可以出席听证会，并应向法院提供资料，协助法院考虑根据第363(b)(1)(B)条拟出售或出租个人可识别资料的事实、情况和条件。消费者隐私监察员一般需要考察：（1）债务人的隐私政策；（2）如果销售被批准，对消费者的潜在损失、收益、成本或利益；（3）如果销售获得批准，是否会违反非破产法律；和（4）任何可用的替代方案，以减轻潜在的隐私损失或客户成本。消费者隐私监察员不得披露其根据本条所取得的任何个人信息资料。[11]在审查相关信息后，消费者隐私监察员可以向法院推荐多种选择，包括：要求信息的购买者与之处于同一行业债务人；要求购买者作为债务人隐私政策的继承者；提出个人信息既可以与其他资产一起出售，也可以作为独立资产出售；或者保证消费者在提出转让前有机会同意或拒绝其个人信息的转让。[12]

需要注意的，监察员的作用并不是代表信息可能被转移的消费者的利益，而是提供建议，协助法院决定如何开展销售。同时，法院在收到监察专员的建议后，可以拒绝所提出的建议。因此，消费者隐私监察员是一个独立的第三方。[13]

实践中，消费者隐私监察员可以作为其他维权者表达破产出售担忧的中介。[14]以美国电子产品零售商RadioShack破产为例，该公司掌握了1.17亿客户的个人信息，它的客户人数占当时美国总人口的近37%。[15]2015年，当RadioShack进入破产程序，其申请出售其掌握的1.17亿客户的个人信息的行为，引起了联邦贸易委员会和37名州检察长的广泛关注。

联邦贸易委员会消费者保护局局长Jessica Rich通过致信消费者隐私监察员Elise Frejka，表达了联邦贸易委员会对RadioShack出售个人信息的担忧，并就如何最好地保护客户数据提供了建议。[16]Jessica Rich重申了Toysmart案的经验，并建议如果RadioShack没有得到客户的肯定同意而出售其信息，那么其需要满足四个条件：(1)客户数据不能作为独立资产出售；(2)买方需要从事与RadioShack基本相同的业务；(3) 买方需要明确同意接受RadioShack隐私政策的约束；（4）对隐私政策的任何实质性修改，买方都需要获得RadioShack客户的同意。

在向法院提交的报告中，Frejka列入了这些准则，但她更进一步，建议当事方向客户提供“选择退出”的机会。类似于Borders案，消费者隐私监察员建议当事方允许客户就其数据的使用作出知情选择的决定。

最终，RadioShack削减了出售的客户个人信息数量，只提供“过去两年里特别要求从RadioShack获得信息的”客户的电子邮件地址。RadioShack案说明了消费者隐私监察员能够通过与其他消费者权益倡导者合作，在推动企业破产财产最大化的同时实现保护客户个人信息的目标。

综上所述，美国破产程序中，个人信息的转让有两大途径。第一，公司之前与消费者达成的隐私协议在破产时仍然有效，并且有公司可以转让个人信息的规定，此时公司可以在经过通知和听证程序之后，处置个人信息。第二，当公司的隐私协议没有约定其可以转让个人信息，或者没有相关的规定，可能侵犯消费者隐私权时，需要消费者隐私监察员对于个人信息转让做出评估。

消费者隐私监察员在识别客户隐私风险、与他人合作评估该风险的严重程度以及寻找缓解这些风险的方法方面发挥着重要作用。[17]勤勉的消费者隐私监察员可以有效推动个人信息的合理转让。

在数字经济背景下，数据信息的资产价值甚至超过有形资产。当破产发生时，企业可以基于数据分发、算法挖掘等手段实现特定的财产化的业务目标。[18]个人信息的人格权属性体现着公民的隐私权益，其财产权属性又体现着商业价值，这与破产法实现债务最大程度清偿目的之间存在辩证统一的关系。

如何在破产程序中合理地兼顾企业与个人的利益，厘清个人信息保护和破产法目的之间的关系？美国在破产程序中关于个人信息保护的实践值得我们思考和借鉴。