企业所持有的数据最终处置途径问题刍议

王浩菲 13546360059  专业特长：公司治理、民商事诉讼、网络数据法律事务及破产清算事务

数据，并非仅仅存在于网络、电商、科技企业中。数据充斥于我们的全部生活和经济活动中，无论是科技企业、亦或传统企业，无论政府管理、亦或医疗卫生、教育餐饮等，均存在着数据的产生、收集、管理、运用等各种各样的行为，进而均可能衍生出数据最终的处置问题（以下或简称“数据处置”问题）。

一方面，随着全球经济的持续下行，各个行业、诸多企业均面临着破产清算或者重整的压力；另一方面，我们已经进入数字经济时代，数据是重要的新型财富，被称为“最有价值的资源”，数据安全与管理利用，成为关系个人权益、公共利益、国家安全的重要因素。虽然我国此前密集颁布了《民法典》、《个人信息保护法》、《数据安全法》、《网络安全法》等各项法律，中共中央及国务院也提出了《关于构建更加完善的要素市场化配置体制机制的意见》，但在企业破产案件办理的过程中，对于数据（包括数据资产，以下或统称“数据”）的忽视依然是普遍的。在此过程中，管理人针对数据的处置缺失，往往会对诸多数据权利主体、债权人的权益产生较大的消极影响，甚至会对国家安全造成威胁和破坏。因此，关于数据处置工作，亟需引起破产参与主体的关注。

一、数据的定义、特征

（一）定义

数据，即任何以电子或者其他方式对信息的记录。

与此同时，以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，形成了法律意义上的个人信息。事实上，个人信息即属于广义数据中的一类。

从不同的行业主体、记载内容等角度讲，数据可以分为工业数据、企业数据、金融数据、政府数据、电信数据、个人信息、运维数据、管理数据、生产运行数据等。

（二）数据的基本特征

从是否可以确认权属和是否具有资产价值的角度来讲，可以将数据中的具有确权基础、行权可能、资产价值的数据，提炼出“数据资产”的细分科目，但在本节中，将不再区分数据与数据资产，而仅从宏观角度去分析广义上的数据（包括数据资产）。

1.非实体性

如上所述，数据并非实物，虽然其记载或记录于特定的实物载体（介质），但真正的价值在于其所记录的信息或内容；从另一个角度讲，既然数据不存在实体，那么理论上数据也就不存在损耗折旧的问题，也意味着可以存储或表现于多个介质之中。

2.多样性

     数据的表现形式极为广泛，包括但不限于文字、影像、光电信号、音频等。

3.可加工性

数据既可以被保存，也可以被补充、调整、减少、更新、删除、提炼、研究等。

4.价值易变性

一方面，数据的价值受多种不同因素的影响，且这类影响因素随着时间的变化而变化。另一方面，数据的特点，决定了数据只有在买受人或承继人需要其的情况下，数据的资产价值才会体现飙升。

（三）数据处置的依据和必要性

1.法律明确了数据全生命周期管理的概念，这就决定了数据处置是必然存在管理环节之一。既然数据有自己的生命周期，那么从逻辑上亦可以简单分为数据收集、使用、存储、加工、传输、提供、披露、销毁、出境、转移等。

2.数据分级分类管理制度，也要求对数据处置进行必要的、严格的跟进管理。我国法律明确了“数据分类分级”管理制度，具体实操规定中，又主要将数据分为一般数据、重要数据、核心数据三级。此外，法律还规定：开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度。具体来讲，对于一般数据，加强数据全生命周期安全管理；重要数据在一般数据保护的基础上进行重点保护；核心数据在重要数据保护基础上实施更加严格的保护；对于不同级别数据同时被处理时，还应当采取“就高”原则，按照其中级别最高的要求实施保护。

二、数据的确权是进行数据处置的前提

所谓数据确权，即通过对数据处理者等主体进行法律权利的确认，进而使其在数据处理过程中对数据享有相应的法律控制手段，同时达到排除或遏止他人侵害的效力。

（一）我国现有的法律制度，尚不能对数据权益予以充分保护

1.个人信息保护法律法规并不能够完全覆盖数据确权

从调整对象的角度来讲，数据确权主要是调整数据处理者与其他市场主体关于数据利用的法律关系；而个人信息保护法律法规所保护的，则是任一数据处理者与信息主体之间的法律关系。

从权益性质的角度来讲，虽然二者都应当首先遵从个人信息保护的规定，但数据确权主要是为了确立数据处理者对数据本身的权益，是对财产权的保护，进而促进数据资产的流通；而个人信息保护法则主要在于对数据来源主体的信息保护，是对人格权的保护。

从权益主体的角度来讲，二者存在分离的可能；个人信息权益相对于数据权益，是先权利，但仅有个人信息，而没有数据处理者的加工，则不会产生数据；个人信息的权益主体，往往也不是数据处理主体（即数据权益主体）。

2.数据权益并非新型物权

网络虚拟财产具有物权属性，其在司法判决中常有体现，数据虽然同样具有虚拟的属性，但不等同于网络虚拟财产，亦不具有物权属性。一方面，我国《民法典》第127条规定“法律对数据、网络虚拟财产的保护有规定的，依照其规定”，这也就意味着法律将数据与网络虚拟财产分开进行保护；另一方面，网络虚拟财产能够符合法律上的“排他支配或管理的可能性及独立的经济性”，所以理所当然被认定为法律上的“物”，而数据却具有无损耗的复制性，理论上没有任何一个人可以对数据进行排他独占的管理，故数据权益并非新型物权。

对此观点，笔者大体持同意态度。

（二）关于数据权益的确权思路——考虑设立“双重权益结构”

所谓双重权益结构，即在同一数据之上，区分数据来源者和数据处理者，而确认不同的权利。其中数据处理者对其处理的数据享有财产权（包括数据资源持有权、加工使用权、数据产品经营权），但不等同于所有权。

一方面，数据处理者对数据和数据产品享有财产权益，数据处理者之外的主体不能主张分享数据和数据产品的财产权益，包括持有权、使用权、收益权、处置权等，而仅对其所提供的个人信息享有查阅、复制、删除等权利。

另一方面，双重权益结构，亦区分了先前有所交叉的人格权和财产权，使不同主体在行使权利过程中如受到侵害，可遵循不同的救济途径。

（三）需要对企业所持有的数据进行最终处置的触发条件和途径、合规要求

1.企业数据进行最终处置的触发条件

参照《深圳市企业数据合规指引》第六十一条第二款规定：当出现以下情形时，企业应当对其持有的全部数据或相关数据进行删除、销毁：（1）企业终止运营、解散或破产，且没有数据承接方的；（2）约定的数据存储期限已经届满的，或发生约定的数据删除、销毁事由的；（3）根据法律、法规规定应当删除、销毁数据的其他情形。

同时，参照该条第一款之规定，还包括数据对处理目的不再具有最低必要限度时，同样应当进行删除或匿名化处理，这本身也与《个人信息保护法》的规定相一致。

此外，参照该指引第六十三条规定，关于个人信息的删除，除上述规定情形外，当个人撤回同意、企业违反法律行政法规或者违反约定处理个人信息、或企业停止提供产品服务、或个人信息保存期限已届满，企业同样需对个人信息进行删除或匿名化处理。

由此可见，除法律法规规定的其他情形外，对于数据进行最终处置（即删除、销毁）的情形，主要包括企业终止运营、破产、解散，且无数据承接方，或者数据存储期限届满、存储内容不符合最低必要限度、个人撤回等上述各类情况。

考虑到数据的转移（承接）涉及数据合规管理、评估、备案、审查、市场交易等连续且复杂的环节，故本文中不做讨论，仅探讨数据删除、销毁的情形。

2.企业数据进行销毁、删除的途径及合规要求

（1）企业应当建立数据存储冗余管理策略，定期对数据进行盘点；此外，工业和信息化领域数据处理者应当建立数据销毁制度，明确销毁对象、规则、流程和技术等要求，对销毁活动进行记录和留存，销毁重要数据和核心数据后，不得以任何理由、任何方式对销毁数据进行恢复，引起备案内容发生变化的，应当履行备案变更手续。

（2）确保被销毁数据不可恢复，并对相关活动进行记录和留存；企业对数据存储设备和介质进行报废处理的，应当事先采取格式化、重复删除、介质消磁等方式删除其中存储的数据，并采取物理损毁等方式对介质进行彻底销毁。

（3）企业对相关个人信息进行删除或匿名化处理，并应当遵循可审计原则记录删除时间、操作人、数据内容等相关信息。