企业合并分立过程中的个人信息转移与权利滥用的防范——《个人信息保护法(草案)》相关条款的优化建议
作者:吴卫明 2020-11-10企业合并或分立是企业重组中较为常见的方式,通常适用于企业资产剥离或同一控制人所控制企业的重组过程。我国《公司法》规定了公司的合并与分立制度。同时,税务机关对于合并、分立也有税务的特殊处理规则。企业的合并与分立,伴随着法律主体的变更。比如在企业合并中,一般是两个或两个以上的企业合并为一个企业,而在分立过程中,则是一家企业变更为两家以上的企业。
法律主体的变更,意味着对企业原有财产权的处分行为。如企业分立过程中,非常重要的一项内容就是将企业的资产分配给分立后的企业,这一过程伴随着财产权利的转移及权属的变更。如果这种财产权利是不动产或者动产、知识产权等权利,如果上述权利没有设置他项权利,在履行法定程序后,其权属变更一般并无障碍。
但是,在企业所控制的个人信息领域,企业合并与分立却面临法律障碍。对于互联网企业(特别是2C企业)以及其他掌握大量个人信息的企业而言,个人信息是其重要的数据资源,也是企业重要的竞争性财产权益,其价值不言而喻。然而,由于个人信息属于人格权的延伸,企业所控制的个人信息具有双重性。一方面,个人信息是企业所控制的重要资源,具有经济价值;另一方面,个人信息受法律保护,其采集、储存、使用、转移等均需要获得个人信息主体的明示同意。
如果企业的合并、分立涉及个人信息的处理,或者个人信息控制者的变更,按照个人信息保护的一般原理,需要征得个人信息主体的同意。如何平衡企业合并、分立与个人信息保护之间的关系,是法律需要予以解决的问题。
《个人信息保护法(草案)》对于合并分立重组情况下的个人信息处理做了规定。但是,该规定一方面具有积极意义,同时也存在一定的不足。
一、企业合并、分立中资产处理方式 我国《民法典》(2021年1月1日施行)规定了企业的合并于分立制度,《公司法》则规定了公司制企业的合并与分立制度。按照《公司法》第一百七十二条的规定:“公司合并可以采取吸收合并或者新设合并。”按照这一规定,吸收合并意味着被吸收方的主体资格消灭,其财产并入吸收方。而在新设合并情况下,原有多个公司主体均消灭,其财产并入新设立企业。 无论采用吸收合并还是新设合并,被合并企业的财产权利都将转入吸收企业或新设企业。如果涉及房地产,则需要办理房地产权属变更登记手续;对于知识产权,也需要办理变更登记手续;如果是动产,则需要清点造册并计入资产清单。 在企业分立过程中,按照《公司法》第一百七十五条的规定:公司分立,其财产作相应的分割。公司并应当编制资产负债表及财产清单。分立出的新公司可以按照股东会决议或协议约定接收资产,也可以不接受任何资产。如果新设立公司接收资产,则会涉及到财产权利主体的变更问题。 综上,财产权利主体变更是企业合并与分立过程中无法回避的问题。在不动产、动产及知识产权权利变更过程中,由于权利人所拥有的物权、知识产权权利均为排他的财产权利,因此,只要不涉及债权人利益,且经分立企业或合并企业的股东会同意,并有明确的协议安排,这种权利变更一般没有障碍。 但是,这样的一种制度安排,对于企业掌握的个人信息而言,却面临其他的法律问题。 二、个人信息作为企业资源在合并、分立中的法律制约 对于个人信息而言,由于其权利两重性的特点,控制个人信息的主体在处理个人信息过程中,受到诸多法律制约。在业务活动过程中,收集并储存、利用个人信息的企业,虽然实际上控制个人信息,但其拥有的权利与物权、知识产权不同。按照企业分立与合并的一般原理,分立合并通常会有财产权利的转移。虽然在合并或分立场景下,一般理解为财产权利的转移更像一种名称变更,而非实质性的交易行为,对此,在税务处理上也有所体现。 不同的是,物权、债权或知识产权等财产权法律制度,将支持交易作为一般原则,将限制交易作为特殊原则。而个人信息保护的法律制度,则将禁止转移作为一般原则,将允许转移作为特殊原则。 对于个人信息转移,我国相关法律存在诸多特殊的限制。这些限制见于《刑法》、《网络安全法》、《民法典》及相关司法解释。 如《网络安全法》第四十二条规定: “未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。” 《刑法》第二百五十三条之一规定:违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。 即将于2021年施行的《民法典》第一百一十一条规定:“自然人的个人信息受法律保护。不得非法买卖、提供或者公开他人个人信息。” 上述规定,均将禁止个人信息的非法转移作为基本的原则。《网络安全法》对此规定的例外情况是“经过处理无法识别特定个人且不能复原的除外”,即个人信息只有经过充分的脱敏处理,才能进行转移。 按照个人保护法律制度的基本原则,即使是在企业合并、分立等具有正当理由的场景下,个人信息的转移也面临重大的法律不确定性。 三、《个人信息保护法(草案)》对于企业合并、分立的便利化原则 近期发布并向全国征求意见的《个人信息保护法(草案)》(简称《草案》),对于企业以合并、分立方式实施重组的个人信息转移进行了明确的规定。 《草案》第二十三条规定:个人信息处理者因合并、分立等原因需要转移个人信息的,应当向个人告知接收方的身份、联系方式。接收方应当继续履行个人信息处理者的义务。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新向个人告知并取得其同意。 上述规定包含以下三层含义: 其一、在分立合并场景下,进行个人信息转移具有正当性; 其二、这种情况的个人信息转移不需要征得个人同意,但是需要履行充分的告知义务;将接收方的身份、联系方式告知个人; 其三、不得改变信息处理方式,以及不因转移减弱信息处理者的义务。 如果《草案》能够通过并施行,这一条款无疑可以极大的便利互联网企业或其他掌握大量个人信息企业的重组。 四、如何防范滥用合并、分立中的个人信息转移条款及立法建议 《草案》的规定一方面会便利企业合并、分立过程中具有正当商业目的之个人信息转移,但是另一方面也会带来新的问题,甚至是道德风险。笔者认为,《草案》需要在以下几方面进行优化。 1、对合并分立中的个人信息转移方式进一步予以明确 个人信息不同于物权等实体权利,实物资产不存在复制问题,资产权利一旦确定,只能按照约定归属于特定企业。而个人信息具有易复制、虚拟化的特点,信息可以有多个备份。既然合并与分立过程发生了个人信息转移,那么这种转移的性质如何界定呢? 按照信息处理的常见方式[1],笔者认为,有两种可能的操作: 其一、信息转移至新主体,原有主体删除全部信息; 其二、复制个人信息给新主体,原有主体继续保存信息。 对于企业合并而言,上述问题不会带来结果的不同,因为企业合并最终只保留一个主体,不存在信息被复制的问题。 但是,对于企业分立而言,将可能会存在个人信息的复制问题。在企业分立之前,原有企业控制大量个人信息,在分立之时,则需要考虑“个人信息转移”的法律内涵。分立企业需要约定个人信息的控制权问题,如果将信息整体转移给分立后的某个新主体,其特征符合信息转移的特征。但是,如果分立后的两个或多个主体均控制了复制后的个人信息,则这一过程应视为两个法律环节:复制、转移。这种处理方式,是否是《草案》的立法本意,需要立法机关充分关注。 如果允许在分立过程中,不同主体分别控制个人信息的备份,则可能扩大了个人信息处理者的范围,以及增加了个人信息主体的信息保护义务相对人范围,对于个人信息保护是不利的。 因此,对于企业分立过程中的个人信息转移问题,应明确该种转移是否意味着将企业个人信息的控制权明确由其中一个分立后的企业掌控,而另一企业需删除个人信息?(转移+删除)或者明确分立后的企业均可以控制分立前企业所掌握的个人信息?(复制+转移) 2、如何防范以合并分立方式变相转移个人信息 企业合并分立中的个人信息转移条款带来的另一个问题是,如何防范以合并分立的方式进行个人信息的不当转移[2]。 在传统的企业合并、分立过程等中,针对假借企业合并、分立进行资产转让的行为,国家税务总局在税收政策方面进行了约束。如,合并是否发生在同一实际控制人控制下的企业之间,分立后的企业是否仍处于同一控制下;对于合并分立后一定期间的股权转让、资产出售进行限制。以此保证合并、分立出于合理、正当的商业目的,而非通过合并分立实施资产转让、规避税收。 企业合并分立过程中的个人信息转移同样面临这样的问题,由于个人信息具有虚拟属性,企业合并、分立中个人信息转移条款被滥用的可能性大大增加。 如:A企业利用分立方式派生出B企业,约定将A企业所控制的个人信息转移给B企业。在分立完成后,B企业唯一的权益是其所掌握的大量个人信息。然后B企业与C企业签订合并协议,B企业被C企业吸收合并。在上述分立合并过程中,A企业所控制的个人信息将被转移至C企业,从而通过合并、分立条款规避了个人信息不得转让的规定。由于上述分立、合并不涉及财产交易价格、且个人信息难以被估值,税务等重组规则较难适用于此种情况下的重组。 笔者认为,为了防范企业合并、分立中的个人信息转移条款被滥用,应在《草案》中设置一定的约束性条款,或者由《草案》授权相关主管机关制定细则。如企业分立后,一段时间内不应通过合并、股权转让等方式转移控制权。如果在限定期间内通过上述方式转移控制权,则应删除分立过程过所获取的个人信息。 综上,《个人信息保护法(草案)》关于企业合并、分立中的个人信息转移条款,无疑有有利于企业的重组,从而有利于发挥《公司法》中合并、分立条款的制度价值。但与此同时,合并、分立过程中,合理界定个人信息转移的方式,以及防范滥用合并、分立的个人信息转移条款实施个人信息的不当转让,则是立法需要进一步完善的地方。 注释: [1] 吴卫明《数字金融法律实务与风险防范》,法制出版社,2018年版。 [2] 吴卫明,《个人信息保护若干问题思考》,融法法律评论。