摘  要

近年来，以数据为核心资产的公司数量大幅增加。由此产生了破产程序中合法合规处置数据资产的司法需求。对于破产管理人而言，数据资产处置的核心问题是在实现数据资产最大价值化处置与个人信息隐私保护这两项冲突权益中找到平衡点。另外，破产管理人在数据资产对外出售的过程中需要找到除纯粹商业价值以外的社会价值，从而使数据资产对外出售具有正当性，这一点在跨境破产中尤为重要。我国现行法律已就相关问题制定了原则性法律规定，但对于数据资产处理的个人同意制度、数据资产价值评估等细节方面仍有不足。为此，我国可参考国外的相关司法实践从而建立健全自身在破产程序中处理数据资产的合规制度。

关键词：

数据资产；破产程序；个人信息保护

自《企业数据资源相关会计处理暂行规定》（2023年）实施以来，将数据资产纳入到财务报表的上市公司数量，从一开始的17家增至2024年年底的100家，资产金额从不足1亿元增至22.5亿元[1]。在拥有数据资产的公司蓬勃发展之际，我国却在破产程序中处置数据资产这一领域面临规范欠缺的问题。因此，在整理我国现行法律对相关问题的规定以及目前国内司法实践后，借鉴国外就相关问题的立法及司法实践成果，对于完善我国数据资产破产处置机制有极大帮助。

一、破产程序中处置数据资产法律依据与司法实践

（一）数据资产的定义

数据资产的定义可以参考我国《企业财务会计报告条例》的相关规定，被认定为资产的数据需要同时满足以下核心要素：首先，该数据由企业过去的交易或事项形成，通过企业已完成的数据收集、存储、处理等行为产生；其次，企业对该数据拥有所有权或通过合法途径取得实际控制权，该控制权具有排他性，从而让企业能主导相关数据的使用并从中获取经济利益；最后，相关数据具备为企业创造经济收益的潜力。

数据资产示例如下：电商平台不同客户的消费金额、购买频率及偏好商品类别，这些信息在脱敏后可作为电商平台进一步向目标人群精准推送商品的依据，有利于电商平台优化库存管理以及针对目标人群提供个性化服务。这样的数据直接或间接给企业带来了收益，且被企业控制并独占，相关数据可被认定为数据资产。而国家统计局发布的年度GDP、人口增长率等公开数据则不能被认定为数据资产。因为此类数据任何企业或个人均可在互联网上查询并使用，不具有独占性，与此同时，企业无法使用上述数据给自身带来直接或间接利益，故不能认定上述数据为数据资产。

（二）破产程序处理数据资产的原则性规定

我国尚未出台专门规范破产程序中数据资产管理的法律法规，但可通过分别查阅数据资产与破产相关法律规范，为破产程序中的数据资产处置寻求原则性的规范依据。《中华人民共和国数据安全法》以及《中华人民共和国网络安全法》中均未直接涉及数据资产的认定以及破产程序中如何处理数据资产的相关规定。同时，《中华人民共和国企业破产法》（以下简称“《企业破产法》”）也没有直接规定数据资产应当如何处置。《企业破产法》关于破产财产的认定为，破产申请受理后至破产程序终结前债务人取得的财产均为破产财产[2]。另外，《最高人民法院关于适用〈中华人民共和国企业破产法〉若干问题的规定(二)》（以下简称“《破产法司法解释（二）》”）具体列举破产财产种类，包括除债务人所有的货币、实物外，债务人依法享有的可用货币估价并依法可转让的债权、股权、知识产权、用益物权等财产和财产权益[3]。所以，在我国法律无明文禁止性规定的情况下，数据资产可作为破产财产进行处置，可以对外出售。

相较之下，《中华人民共和国个人信息保护法》（以下简称“《个人信息保护法》”）中对于破产后的个人数据去向有明确规定，企业在合并、分立、解散或被宣告破产时转移个人数据，需向相关人员告知接收方的具体信息。与此同时，接收方变更原有处理目的或处理方式时，也应当履行通知义务[4]。如接收方违反相关规定可能引发民事诉讼。司法实践中已出现因原企业营业执照吊销导致个人档案转移至其他企业后，进而影响养老金发放的案例。尽管该案中法院以原告主张与自身其相关的判决书档案信息不属于《个人信息保护法》规定的“应当告知”范围为由驳回其诉讼请求[5]，但值得注意的是，法院并未对企业破产后，对所持个人信息的告知义务的具体范围作进一步论述。随着以数据为核心资产的企业日益增多，特别是当数据资产来源于对个人信息的加工时[6]，此类公司在解散或破产时引发的与个人信息及数据资产相关的司法问题或将愈发突出。

在财政部发布的两份文件中，《关于加强数据资产管理的指导意见》（以下简称“《数据指导意见》”）与《数据资产全过程管理试点方案》（以下简称“《试点方案》”）就权利主体登记数据资产问题[7]与收益分配问题[8]进行了规定。对于参与试点的中央企业，方案鼓励其在数据资产确权、授权运营等多方面开展试点[9]。另外，在权利主体因合并、分立、收购等方式发生变更时，新的权利主体应继续落实数据资产管理责任[10]。同时，对经认定失去价值、没有保存要求的数据资产需进行安全和脱敏处理后及时有效销毁，严禁擅自处置[11]。

国家市场监督管理总局、国家标准化管理委员会发布的推荐性国家标准《信息安全技术个人信息安全规范》（GB/T35273-2020）中有着与《个人信息保护法》类似的规定：当个人信息控制者发生收购、兼并、重组、破产等情形时，原数据信息持有者应当向个人信息主体告知相关情况，并明确变更后的个人信息控制者需继续履行原控制者的责任与义务。如变更个人信息使用目的，必须重新取得当事主体的明示同意。假设破产后无承接方，相关数据应进行删除处理。该标准虽然属于推荐性国家标准，不具有法律上的强制约束力，但对司法实践中数据资产的处置具有一定的指导意义。

总体而言，我国现行法律、法规、部门规章已提供了破产程序中的数据资产基本处置原则，不过立法滞后、细化程度不足的问题仍需要司法实践进行解决。

（三）破产程序处理数据资产的司法实践情况

在裁判文书网等法律数据库中以“数据资产”和“破产”为关键词进行检索，共获取包含相关关键词的判决书及裁定书约20份。可以看出，2001年前的相关案件仅1件，2001至2020年期间的案件为7件。自2021年至2025年（截至2025年7月）的法律文书为13份[12]，2020年后5年的相关案件数量超过了之前20年的总和，各年案件数量分布详见下表。由此可见，虽然我国在相关问题上的立法存在滞后性，但司法实践已面临企业破产情况下对数据资产处理的现实需求。

（表一：包含“数据资产”“破产”关键词的案件数统计）

（表二：与数据资产及破产有关的判决书、裁定书数量）

数据资产的管理需要专业性，当债务人自身已建立成熟的内部管理体系时，就为法院在破产重整程序中支持债务人自行管理相关数据资产[13]奠定了基础，这也符合《企业破产法》的相关规定[14]。在数据资产清算过程中，如管理不当，可能引发数据贬值甚至毁损灭失的风险。在（2023）沪7101民初938号案件中，原告作为债权人主张被告管理人因疏于维护案涉公司的阿里云账户，未对电商平台软件及数据资产进行妥善保管与处理，导致平台所有软件无法运营，出现了数据永久灭失的情况，造成公司财产严重贬损。原告以此提起诉讼要求管理人承担赔偿责任。法院最终认为，原告未能充分举证证明数据丢失及财产贱卖的事实，在其作为前任清算组成员时也未完全尽到监督义务。最终，法院以此驳回了原告的诉讼请求。本案表明，数据管理不当可能导致债权人以相关数据资产毁损灭失为由向清算义务人、管理人追责。若债权人有证据证明清算义务人、管理人在管理数据资产过程中存在未完全履职的行为导致资产价值贬损时，清算义务人、管理人有可能承担赔偿责任。

可以将上海破产法庭发布的2024年度典型案例与前述案例进行对比[15]。在该案中，管理人通过系统安排实现案涉企业价值重构，同时紧急梳理涉及药房、保险公司及渠道方的合作协议并通知继续履行，维系了数据生态链的完整性。通过市场化招募投资人，将数据资产与经营能力结合，创新性地采用基于药品销售数据精准匹配债权、依托保险客户数据转化债权等非现金清偿方式，将原股东50%的股权保留与数据资产运营权绑定。管理人建立债委会与遴选委双重机制，确保数据资产处置过程中债权人参与决策与权益平衡，最终重整成功。

在保障数据资产不毁损灭失的情况下，如何评估数据资产价值也是管理人需要考虑的问题。在（2021）黔01破12号之三案件中，重整草案引入了与债务人同样具备数据交易能力的同行业投资人，其业务范围与案涉数交所高度相似。该草案通过完善平台运营规则、强化内控管理及职业经理人职权规范等经营方案，确保数据资产在合规、安全的运营中实现价值最大化。管理人也明确披露了偿债基金，结合资产估值与市场投资决策，保障了重整的可行性。

综上所述，在破产程序中，数据资产仍需由专业管理团队进行管理，以避免数据资产贬值或毁损灭失。从典型案例来看，管理人充分发挥数据资产的价值，通过市场化手段引入投资人，将数据资产与债务人的经营模式进行重组整合，这样的思路对于以数据资产为核心资产的企业在破产程序中尽快完成清偿是有益的。

二、数据资产域外处理经验

（一）涉个人信息的处理机制

无论是在我国，还是在美国等国家及欧盟等地区，破产程序中数据资产处置的首要问题为个人信息保护。美国与欧盟的司法价值取向为，对于一定年龄以下未成年人的个人信息，企业有删除义务。就成年人信息而言，假设企业在经营期间曾作出不对外出售信息的承诺，却希望在破产程序中变更该承诺，美国法院将指派隐私专员对出售行为的必要性进行审查，相关企业需向个人信息主体履行告知义务。任何信息出售行为不得仅以商业目的为由，而必须与其他资产捆绑后共同出售，这是对数据资产出售的正当性要求。在数据资产价值评估方面，美国采用公开竞拍机制确定其市场价值。总体而言，国外的司法实践目的在于实现破产企业的商业利益与个人信息权益保护之间的平衡。

以美国“FTC v Toysmart.com”案为例，案件核心争议为，企业破产后能否出售破产前掌握的个人信息作为数据资产清偿债务。案涉出售信息内容包括顾客姓名、地址、银行卡信息、社保号码、购物偏好、购物意向及家庭状况。在这其中，最大的争议为婴幼儿姓名及出生日期是否可以出售。美国联邦贸易委员会（Federal Trade Commission，以下简称“贸易委员会”或“FTC”）起诉线上玩具零售商Toysmart有限责任公司及Toysmart股份有限公司（以下简称“玩具公司”），称其向第三方披露、出售消费者个人信息的行为违反《联邦贸易委员会法》第五条及自身承诺的隐私政策，此举涉嫌虚假陈述，要求其停止侵害[16]。

最终，马萨诸塞州法院就此作出裁定：首先，禁止玩具公司继续虚假陈述行为，未经法院批准不得披露、出售个人信息作为数据资产。其次，如果破产法院未在2001年7月31日前完成信息出售或重组，玩具公司须于2001年8月31日前删除所有客户个人信息并书面报告，如报告内容虚假，玩具公司会面临伪证罪的指控。再次，判决后10日内，玩具公司必须销毁违反《儿童信息保护法》收集方式的13岁以下儿童信息[17]。此外，若一年内发现公司此前声明不实，贸易委员会可保留再次起诉的权利。最后，公司一年内须保留履行裁定、资产出售及相关投诉的文件。

类似争议也出现在Radioshack破产重整案中。美国经销商和特许经营商临时委员会提出异议：债务人出售客户数据时，必须排除经销商及特许经营商的客户数据，或遵守其自身制定的不向第三方披露信息的隐私政策，其法律依据为《美国法典》第十一章（以下简称“美国《破产法》”）第三百六十三条关于财产的使用、出售或租赁的相关规定。尽管双方曾合作联合广告，但经销商及特许经营商的客户数据是其多年积累所得，所有权应归其所有，RadioShack不应将这些包含商业秘密的数据出售给可能直接与之竞争的第三方[18]。

参照美国法院对13岁以下儿童信息的强制销毁要求，建议我国也需要对涉及未成年人的个人数据信息进行必要管控，明确企业在破产清算程序中处置数据资产时，需要重点保护暴露未成年人身份的核心信息，如姓名、住址、身份证号及金融账户，同时赋予其监护人参与信息保留范围认定的权利，确保此类信息不被违规流转。

另外，企业在披露、出售成人个人信息作为数据资产前，除履行告知义务外，若企业本身已承诺不对外出售个人信息，在准备违反该承诺时，出让方需明确获得信息主体的单独同意，受让方要详细披露资质、使用目的及期限。

（二）数据资产的交易范围和估价方式

关于数据资产的价值评估，美国具有代表性的案例是“CELSIUS NETWORK LLC”破产重组案。作为全球最大加密借贷平台，CELSIUS NETWORK LLC（以下简称“加密借贷公司”）主动申请破产重整，拟通过出售资产实现利益最大化。

本案争议焦点为：首先，若交易涉及客户数据出售，需依据美国《破产法》第三百六十三条及第三百三十一条指派个人隐私专员，加密借贷公司以未违反自身隐私政策为由反对，但纽约南区法院仍以案涉客户数据体量过大为由，要求管理人指派个人隐私专员甄别拟售信息；其次，加密货币能否作为数据资产出售，法院认定相关加密货币及数据资产属《破产法》第五百四十一条定义的破产财产[19]，该财产内容包括客户收益账户及代币余额、零售及机构贷款组合、兑换服务、质押平台、CelPay钱包（债务人加密货币支付与转账功能）、CelsiusX（加密货币借贷平台Celsius Network旗下的去中心化金融业务分支，其核心定位是通过技术手段连接中心化金融与去中心化金融的基础设施，实现加密资产在不同生态间的无缝流动），以及债务人持有的任何加密货币或数字资产等多项资产；最后，价值评估方式为竞拍，竞标主体需经法院及隐私专员审查，并向客户披露身份[20]。

本案与 “玩具公司” 案件一样，法院要求设置专门的数据隐私保护主体。区别在于，加密借贷公司并未违反自身承诺的隐私政策，该公司本身有权对外出售数据，因此加密借贷公司以此为由提出抗辩。当我国企业破产涉及数据资产出售时，也建议明确在何种情况下应当让类似隐私专员的人员进入专项小组，并由其承担审查职责。

本案提供了界定数据资产的思路。我国可参考这一点，将运营系统数据、用户信息衍生数据纳入数据资产范围。除此之外，本案中采用竞拍方式处置数据资产。竞拍方式处置破产财产这一方式在我国司法实践中很常见，但以竞拍方式在破产程序中处置数据资产的案例较少。但笔者认为，在数据资产未被我国法律明令禁止或限制交易的情况下，我国也可考虑采用竞拍方式对外出售数据资产。但为了规范数据资产拍卖处置的流程，考虑到数据资产的特殊性和涉密性，在竞拍前，建议法院、破产管理人或专项小组应对竞标主体进行审核，竞标主体应全面披露自身身份信息及获得数据资产后的使用方案，以确保竞拍过程公开透明。

（三）数据资产破产处理不应损害个体正当利益

荷兰皇家足球协会与Talpa Network合资的业余足球视频平台（VoetbalTV），因处理运动员个人数据，被荷兰数据保护局（The Personal Data Authority，以下简称“数据保护局”）以非法处理为由罚款575,000欧元，后荷兰法院判决撤销该罚款，数据保护局以此提起上诉。

本案核心争议是《欧盟通用数据保护条例》（General Data Protection Regulation，以下简称“《欧盟数据条例》”）第6(1)（f）条[21]中“正当利益”能否等同于该平台的商业利益。《欧盟数据条例》中对“正当性”的判断思路为：平台处理数据的方式是否合法，是否侵害他人法益；平台为商业目的处理数据是否必要，即侵害行为与目的是否成比例，是否以最小的侵害达成其目的；数据持有主体和数据客体的利益是否平衡。另外，还要确定平台处理数据是否为自身或第三方正当利益所必需，除非数据主体保护个人数据的利益等更重要，尤其是涉及的儿童数据。

数据保护局认为，平台利用运动员数据谋利属纯粹商业利益，并非正当利益，对未成年运动员数据的使用更不应认定为正当利益。而足球转播平台称，其处理个人数据是为吸引更多足球爱好者观看比赛、方便运动员及教练和俱乐部分析个人能力、为无法现场观看的观众提供观看机会，数据保护局对其出售数据资产行为的纯商业性质认定是狭隘的。法院则认为，平台拍摄比赛图像、视频并提供给第三方以及希望被拍摄的主体，并非纯粹商业利益，数据保护局认定错误。

我国可参考本案中审查数据处理的思路，在整个数据资产处理过程中，需明确破产程序中处理数据资产是否为满足债权人公平受偿、保障破产程序有序推进等正当利益所必需，但假设数据主体对个人信息的核心权益具有更高优先级，则应考虑不出售相关信息，这一点与玩具公司案件的裁判观点一致。

在此基础上，笔者建议设定数据资产的处置的必要限度原则，即法院及破产管理人需审视破产程序中数据资产处置的目的及处理方式是否具有必要限度，尤其在对外出售个人信息时，必须严格考量其正当性与必要性。整体理念是，需权衡破产企业的财产变现需求与数据主体的信息权益，确保二者达成平衡。

三、在破产程序中数据资产处理规则完善的建议

如前所述，数据资产在破产程序中对外出售面临的问题有：个人信息对外出售前的征求同意问题、如何以专业方式管理数据资产以防止其毁损灭失的问题，以及如何评估数据资产价值的问题。针对数据资产处理过程中的主要问题，为规范破产程序中数据资产的处理规则，笔者提出如下建议：

（一）破产程序中数据资产个人信息保护制度的建立

1．明确一般个人信息处置的单独同意原则

我国针对一般成年人个人信息对外出售的同意制度存在缺陷。鉴于个人数据信息承载着人身权与财产权的双重属性，这一缺陷可能引发权益侵害风险，尤其是在面临跨境破产时，相关问题会更为突出，故我国有必要借鉴国外经验，从而制定必要个人信息出售的单独同意原则，设定更严密的保护措施。

设定单独同意原则，并不意味着对数据资产流转时的告知义务和征询义务作简单规定，而应在立法中确立个人信息对外出售中数据信息主体的核心原则。首先应当对涉及个人信息进行原则性区分，并明确哪些个人信息对外出售时应当取得信息主体的单独同意。在司法实践及破产财产处置中需严格执行相关规定，即当破产企业准备将个人信息作为数据资产进行披露、出售或要约出售，且该行为与破产企业成立之初的隐私政策相违背时，除履行常规告知义务外，必须取得相关主体的明示授权[22]。

2．建立未成年人信息的年龄阶梯式保护制度

处理数据资产时，管理人要重点保护特殊群体个人信息。这类群体以未成年人为主，其信息敏感度高，一旦泄露或被滥用，危害极大，易引发社会矛盾。他们自我保护能力弱，个人信息若违规流转，可能导致身份盗用、金融诈骗等严重后果，因此需要对其进行额外的保护。

就未成年人保护而言，欧盟与美国均对13岁以下儿童在使用社交媒体时对外披露数据的行为进行严格管理，但对13至18岁青少年的保护力度相对减小[23]。这种差异源于1989年联合国《儿童权利公约》的规定：各缔约国应保障儿童获取多元信息的权利，对于有助于其社会、精神、道德及身心健康发展的内容，缔约国更不应阻止其获取[24]。由此，欧美对此的立法逻辑和司法价值取向是，随着儿童年龄的增长，对其使用社交媒体对外披露信息的限制应逐渐放开。

我国作为该公约缔约国，建议参考《民法典》的相关规定，在破产程序中处置相关数据资产过程中，对8岁以下无民事行为能力的儿童的个人核心身份信息须彻底删除，同时赋予其监护人参与信息保留范围认定等权利。对8岁以上13岁以下儿童，应允许其披露与智力水平适配的信息，监护人仍可参与信息保留范围的认定。13岁以上18岁以下未成年人，在一定范围内的个人信息则可采用与成年人一致的同意规则，限制较少或完全不限制其信息对外披露。

3．设立与运作隐私保护专项小组

美国司法实践已经表明，当破产企业需突破正常经营期间作出的不对外出售数据的承诺时，法院须指定个人隐私专员进行监管[25]。此外，以下情形亦需指派专员：一是数据出售属于快速变卖而非重组性质；二是处置行为超出日常业务范围；三是涉及用户为购物或享受服务主动提供的信息；四是法院认定的其他必要情形[26]。

数据资产处置涉及债务人、债权人及数据信息主体等多个相关方，笔者建议在破产事务行政管理机构层面有必要设立专门的隐私保护专项小组。若破产案件中涉及数据资产的处置，该小组对数据资产处置全流程实施监督，防范数据资产毁损、灭失。不建议在实践中全权交由原债务人（破产企业）进行管理和处置，当债务人与债权人急于完成债务清偿时，数据信息主体的隐私保护可能会被忽视。

隐私保护专项小组成员应包括数据安全专家、执业律师及参照美国模式设置的个人隐私专员。该小组需核查受让方与出让方的隐私政策是否保持一致的问题，若原债务人承诺明确禁止向第三方出售信息，则需经法院批准并重新征得数据信息主体明示同意后，方可进行对外出售。在交易过程中，专项小组需全程监控，确保交易双方落实告知义务、完成脱敏处理。

数据信息主体的隐私保护并非完全禁止数据资产对外出售，而是要在保障隐私与企业清偿债务之间寻求平衡。

（二）破产程序中数据资产的正当性判定、评估路径及合规体系搭建

1．正当性是数据资产可处置的前提

在《欧盟数据条例》中，判断数据处理是否具备正当性可从三个角度出发：处理方式的合法性、处理行为的必要性，以及数据持有主体与数据主体利益在处理过程中的平衡性。

以前述足球转播平台案件为例，该平台对外出售个人数据的行为因具有吸引球迷观赛、辅助运动员及教练团队开展能力分析、为无法亲临现场的观众提供观赛便利等正当目的，在此基础上追求平台的商业利益，最终获得了法院对其正当性的认可。美国 RadioShack 案也确立了与《欧盟数据条例》规定类似的裁判规则，当数据出让方与受让方经营范围相同且数据使用方式保持一致时，受让方需承诺延续出让方的隐私政策，方可完成数据资产出售交易。假使受让方希望变更交易数据资产用途，则必须重新征得数据信息主体的同意。同时，本案法院强调出让方不得单独将数据资产进行转让，必须与其他资产进行捆绑交易[27]。

就破产企业而言，数据资产处置的正当性应当兼顾服务于企业破产债务清偿或重组的核心目标、保护数据信息主体的个人信息权利，而非单纯谋求商业利益。我国在破产程序中开展数据资产处置时，尤其在跨境破产场景下，有必要借鉴这一理念，审慎评估数据资产的交易方案，以避免因处置程序缺乏正当性导致境外法院叫停数据资产出售。管理人或债务人在接收、管理、处理、评估、出售数据资产的各个环节应当符合法律规定。在制定财产管理方案和处置方案时，应当充分考虑数据资产的特殊性，从促进数据价值实现及是否符合政策导向等角度审慎评估数据资产处理的必要性。数据资产处置需兼顾债权人、数据主体（如用户）等多方利益，通过合法、规范的处置程序，可在保障债权人利益的同时，保护数据主体的个人信息权益，实现各方利益的平衡。

2. 数据资产破产处置中的资产评估方式

“CELSIUS NETWORK LLC”破产重组案为数据资产认定及评估价值提供了思路。案涉加密借贷公司的客户收益账户及代币余额、零售和机构贷款组合、兑换服务、质押平台、CelPay、CelsiusX以及债务人持有的加密货币或数字资产均是以数字化存在并依赖账户记录、交易日志等方式进行权益界定的主体，符合数据资产的核心特征[28]。同时，法院将上述资产纳入破产财产，因其具备法律上的 “可控制性”和 “经济价值”。即债务人可管理账户数据、执行交易并支撑企业业务营利，与此同时，美国《破产法》并未禁止虚拟货币的交易，因此，这一类财产符合美国《破产法》中的财产性要求[29]。同样的，依据我国《企业破产法》以及《破产法司法解释（二）》中的相关条款，债务人合法拥有的、能够用货币来衡量价值且可以依法进行转让的债权、股权、知识产权、用益物权等财产与财产权益，人民法院都应当将其认定为债务人财产。

数据资产的评估，可根据数据质量、价值折损以及数据风险进行估值。数据质量，即数据自身的规范性、完整性、准确性、一致性[30]；价值折损，即数据的可访问性和时效性问题；风险性，即数据毁损灭失的风险以及企业自身管理能力的评估[31]。综合考量后，评估机构可得出完整的评估结果，进而推动数据资产对外出售。

以公开招标的方式吸引符合资质的竞标主体对于债务人及数据主体均是受益的。法院和破产管理人同时对竞标主体的资金实力、履约能力、数据管理能力进行审核。竞标主体需在招标时披露自身身份、数据使用目的及数据安全保障措施，确保信息主体的知情权与监督权，即使在受让后出现争议也给予数据主体救济权利。

这样的模式能够实现数据资产价值最大化，从而保障债权人权益。由于交易过程公开透明，也保障了数据信息主体的权利。

3. 数据资产破产处置中的合规体系构建

综上所述，我国破产程序中的数据资产处理合规体系可遵循如下方式：

首先，明确破产程序中数据资产的权属界定标准，以及可以对外出售的范围。依据《企业破产法》《破产法司法解释（二）》《个人信息保护法》及财政部相关指导意见，在参考国外的司法实践后，制定专业的操作规范。针对个人信息同意的相关问题要组建专项小组，按照未成年人年龄划分处理方式，8岁以下删除，8岁以上13岁以下经过监护人同意后脱敏使用。除此之外，成人信息同意对外出售的制度也要进行合规审查，严格落实个人信息转移的告知义务与同意流程。

其次，在管理过程中要避免数据泄露、毁损、灭失的风险。为此，管理人可列举数据资产管理风险清单并建立相应的应对机制。通过技术手段强化数据脱敏与安全存储方式，引入具备数据资产管理和评估资质的专业机构，结合数据质量、时效性、风险性等因素建立动态估值模型，确保风险防控贯穿整个破产处置流程。

最后，数据资产的处置要建立标准化流程，明确各环节操作要求并记录留存规则，销毁和交易过程也需记录并备案。

通过上述措施，我国可以建立一套属于自己的数据资产管理体系，无论企业是否处于破产程序中。

四、结语

数据资产在破产程序中的处置是当今破产管理的重要议题，相关问题关乎破产企业财产的清偿分配、债权人合法权益的保障以及数据主体隐私权的保护。

我国就此已经进行了原则性的法律规范与初步司法实践探索，针对个人数据对外出售的制度，以及数据资产的管理、评估，仍需进一步细化。结合国内法律规范，在总结国内外的司法实践经验后，可尝试建立一套符合我国国情的数据资产管理体系。

数据资产在破产程序中的处置机制在未来仍需明确个人数据对外出售的同意制度、数据资产价值评估方式以及专项小组合规审查的作用。

参考文献

（一）中文类参考文献

期刊论文类：

① 常柳溪.破产程序中数据资产的确权[J].山西财经大学学报,2024,46(06):43-52.DOI:10.13781/j.cnki.1007-9556.2024.06.004.

② 陈兵,周裕喜.数字经济下企业破产个人数据处置路径再探[J].兰州学刊,2025,(02):110-125.

③ 陈夏红.破产程序中的数据保护与处理[J].法律适用,2023,(12):83-92.

④ 龙卫球.数据新型财产权构建及其体系研究[J].政法论坛,2017,35(04):63-77.

⑤ 罗玫,李金璞,汤珂.企业数据资产化：会计确认与价值评估[J].清华大学学报(哲学社会科学版),2023,38(05):195-209+226.DOI:10.13613/j.cnki.qhdz.003290.

⑥ 闻暮岚.浅谈企业数据的破产清算问题[J].商业观察,2024,10(28):89-93.

⑦ 杨玉英,商硕.数据资产作为破产财产处理的剖释与规则构建[J].内蒙古财经大学学报,2024,22(04):109-114.DOI:10.13895/j.cnki.jimufe.2024.04.018.

⑧ 赵惠妙,彭铎.破产场景下企业数据资产处置路径研究[J].电子知识产权,2024,(03):13-25.

⑨ 赵精武.论破产程序中企业数据财产的处理[J].中国法学,2024,(03):103-123.DOI:10.14111/j.cnki.zgfx.2024.03.004.

（二）外文类参考文献

著作类

⑩ Van, S., Van, B., Schermer, B., & Springerlink (Online Service. (2014). Minding Minors Wandering the Web: Regulating Online Child Safety. T.M.C. Asser Press.

期刊论文类：

⑪ Baxter, M. S. P. (2018). The sale of personally identifiable information in bankruptcy. ABI Law Review, 27, 1–15.

⑫ Bradley, C. G. (2023). Privacy for sale: The law of transactions in consumers’ private data. Yale Journal on Regulation, 40, 127–196.

⑬ Bradley, C. G. (2023). Privacy theater in the bankruptcy courts. UC Law Journal, 74(3), 607–678.

⑭  Bronski, D., Chen, C., Rosenthal, M., & Pluscec, R. (2001). FTC VS. TOYSMART Duke Law & Technology Review, 1.

⑮ Carroll, B. (2002). Price of privacy: Selling consumer databases in bankruptcy. Journal of Interactive Marketing, 16(3), 47–58. https://doi.org/10.1002/dir.10036.

⑯ CONSUMER DATA PRIVACY IN BANKRUPTCY. (n.d.). https://www.bakerdonelson.com/webfiles/Consumer_Data_Privacy_in_Bankruptcy.pdf.

⑰ Harvard Law Review. (2025, March 10). Data privacy in bankruptcy: The consumer privacy ombudsman. Harvard Law Review, 138(5), 1451.

⑱ Hauck, R. (2019). Personal data in insolvency proceedings: The interface between the new general data protection regulation and (German) insolvency law. ECFR, 6/2019, 724–745.

⑲ Statement of Chair Lina M. Khan Joined by Commissioner Alvaro M. Bedoya In the Matter of Drizly. (2022, October 24). Federal Trade Commission. https://www.ftc.gov/legal-library/browse/cases-proceedings/public-statements/statement-chair-lina-m-khan-joined-commissioner-alvaro-m-bedoya-matter-drizly.

注释

[1]参见【财经分析】2024 年上市公司数据资产盘点：入表已从初期试点迈进规模化实践 三大问题亟待解决 [EB/OL]. 东方财富网，2025-05-09. https://finance.eastmoney.com/a/202505093400704564.html.

[2]参见《企业财务会计报告条例》（2001）第九条第一项。

[3]参见《最高人民法院关于适用〈中华人民共和国企业破产法〉若干问题的规定(二)》(2020)第一条。

[4]参见《中华人民共和国个人信息保护法》（2021）第二十二条。

[5]参见(2022)闽0681民初963号。

[6]龙卫球.数据新型财产权构建及其体系研究[J].政法论坛,2017,35(04):63-77.

[7]参见《数据资产全过程管理试点方案》（2024）第三条第二项。

[8]参见《数据资产全过程管理试点方案》（2024）第三条第四项。

[9]参见《数据资产全过程管理试点方案》（2024）第三条第五项。

[10]参见《关于加强数据资产管理的指导意见》（2019）第二条第十二项。

[11]参见《关于加强数据资产管理的指导意见》（2019）第二条第十一项。

[12]搜索结果来自于威科先行法律信息库。

[13]参见(2019)粤1971破53-2号。

[14]参见《中华人民共和国企业破产法》第七十三条。

[15]参见“保险直付药店”互联网公司的营业再生-上海破产法庭2024年度典型案例。

[16]FTC v, Toysmart.com, LLC., et al., Civil Case No.00-11341-RGS (D. Mass., Aug. 21, 2000).

[17]Federal Trade Commission. (2023). Children’s Online Privacy Protection Rule,16 C.F.R. Part 312.

具体信息为父母要求删除的信息、未经父母允许儿童主动提供的信息、超出合理必要保留期限的信息、仅用于一次性响应儿童特定请求后多余的信息以及儿童发布内容中公开前应删除的个人信息。

[18]In re RadioShack Corporation, et al., Chapter 11 Case No. 15-10197 (BLS), Adv. No. 15-50239 (BLS) (Bankr. D. Del., May 11, 2016).

[19]11 U.S. Code § 541 - Property of the estate (2020).

[20]In re Celsius Network LLC, No. 22-10964, 2022.

[21]GDPR. (2024). General Data Protection Regulation.

[22]参见赵精武.论破产程序中企业数据财产的处理[J].中国法学,2024,(03):103-123.DOI:10.14111/j.cnki.zgfx.2024.03.004.

[23]Van, S., Van, B., Schermer, B., & Springerlink (Online Service. (2014). Minding Minors Wandering the Web: Regulating Online Child Safety. T.M.C. Asser Press. Page 135.

[24]Article 17 UN Child Rights Convention 1989.

[25]Bradley, C. G. (2023). Privacy for sale: The law of transactions in consumers’ private data. Yale Journal on Regulation, 40. Page 161.

[26]Bradley, C. G. (2023). Privacy theater in the bankruptcy courts. UC Law Journal, 74(3). Page 620-630.

[27]Bradley, C. G. (2023). Privacy for sale: The law of transactions in consumers’ private data. Yale Journal on Regulation, 40. Page 158.

[28]In re Celsius Network LLC, No. 22-10964, 2022, Page 7.

[29]In re Celsius Network LLC, No. 22-10964, 2022, Page 13-16.

[30]参见国家标准《信息技术 数据质量评价指标》标准号GB/T 36344-2018.

[31]罗玫,李金璞,汤珂.企业数据资产化：会计确认与价值评估[J].清华大学学报(哲学社会科学版),2023,38(05).第205-206页。

（注：本篇文章获得2025年年会暨第九届破产法珞珈论坛优秀论文二等奖）