破產程序中個人信息出售的基本邏輯結構
——從德國的破產實踐展開

龔 淋

（北京航空航天大學 法學院, 北京 100191）

一、問題的提出

隨著數字經濟的發展，企業對客戶包括姓名、性別、家庭地址、電子郵件、電話號碼、購買歷史、個人偏好等在內的個人身份信息（personally identifiable information ，PII）的電子使用的依賴性日益增加，需要我們重新審視和擴展企業資產的傳統概念。在過去，企業將信息用紙質版文檔記錄并進行倉庫歸檔?？紤]到紙質信息的堆積，倉庫所在地理位置往往并不靠近辦公區。而今天，企業可以通過將信息電子存儲在硬盤驅動器或其他數據存儲設備上，并直接存放于辦公的地方。曾經可能需要幾天才能找到的信息現在可以立即獲得?？梢哉f，電子數據的存儲降低了物理運輸和租賃空間的成本。

正是得益于電子數據的快速、便捷、成本節約和效率的優勢，企業對數字消費者信息產生了極大的重視，越來越多的企業在不考慮成本的基礎上，變得越來越依賴于PII的電子存儲、傳輸和管理。PII不僅僅只是個人信息，更是公司可用于內部營銷目的或出售給其他公司的特殊資源。具體來說，企業收集并使用PII可以帶來雙重優勢，一是它提高了廣告轉化為銷售的可能性，并降低了對不感興趣的消費者的廣告費用；二是使公司能夠通過向特定消費者提供個性化的廣告來吸引新客戶并留住現有客戶。[1]此外，因為企業帶來了更多量身定制的客戶服務，而無需客戶重復提供相同的信息。因此，消費者也受益于企業透明地收集他們的個人信息。

隨著營銷部門越來越了解消費者的偏好信息，定向廣告在增加企業利潤的同時，也催生了一個繁榮的消費者信息市場。因此，PII漸漸具有了可量化的價值，正逐漸達到與傳統金融資產價值相當的水平。這也導致不少公司在維護PII的同時，也在共享和銷售數百萬消費者偏好的檔案。其中在企業面臨財務困境，進入破產程序中體現甚巨。例如在2016年7月，德國Unister GmbH9企業啟動了破產程序，Unister GmbH9是電子商務平臺（旅游網站、保險、貸款等）的前運營商。在此過程中，破產管理人擬將公司的部分資產，包括數百萬客戶的個人信息（電子郵件，家庭地址等）轉移給投資者。[2]

實踐中，當債務人企業欲轉讓其從客戶收集到的個人信息時，企業追求資產價值最大化的利益與客戶作為消費者追求隱私的利益之間就會產生矛盾關系。值得注意的是，當前這種矛盾關系的分析與探究正在成為學術界關注的重點。然而，這種矛盾關系似乎一開始就已經建立在“個人信息理所當然具有可轉讓性”這一前提之上，僅僅只是把著力點放在了轉讓過程中個人和企業之間的利益如何有效平衡或者如何更加有效保護個人信息權益方面，卻很少有人對“個人信息的可轉讓性”提出質疑。具體而言，其中包括兩個方面的邏輯需要證成，一是如果擬出售的是個人信息，那么它與個人數據的關系是什么？二是個人信息需要在何種條件下進行轉讓，還是此種轉讓本就是沒有門檻的？下文將通過對德國破產程序與個人信息出售的法律銜接以及德國破產實踐中個人信息出售模式的考察，進一步分析和厘清破產程序中企業出售個人信息的基本邏輯結構，從而為后續個人信息在出售過程中面臨的各種法律問題的解決奠定基礎。

二、德國破產實踐中個人數據的出售

（一） 德國個人數據的法律屬性：主體人格的延伸

要真正厘清德國個人數據的法律屬性，就需要對“個人信息”和“個人數據”兩大基本概念作出解釋?；ヂ摼W時代，“數據”（Data）和“信息”（Information）是我們經常懸于口頭之上使用的詞匯，許多國家政府的規范性文件經常將二者視為同一概念，進行互換解釋，其中德國便是如此。德國《聯邦數據保護法》（Federal Data Protection Act）第3條規定，個人數據是指“任何關于一個已識別的或者可識別的個人（數據主體）的私人或者具體狀態的信息”。[3]德國這種用“個人信息”解釋“個人數據”的做法，說明德國并沒有將二者嚴格區別，甚至將它們視為同一概念，且在法典中更側重于直接使用個人數據一詞來保持整個法律體系概念的一致性。鑒于德國實踐中更慣常使用個人數據一詞，因此在本部分在論述德國法時，也主要采用個人數據的表達。

圍繞著個人數據的法律性質，德國將其定位為主體人格的延伸。個人數據作為主體人格的一部分，主要來源于德國的判例法實踐。1983年12月，德國聯邦憲法法院在“人口普查案”中作出判決，提出公民有關于個人信息的“信息自決權”（right to informational selfdetermination）。隨后，該項權利作為憲法基本權利之一，上升到實現“人之尊嚴”的憲法基本權利層次。[4]

然而，德國憲法法院并不承認基本權利在私法上的直接效力，而是采用了“基本權利對第三人之見解效力的”的理念，即基本權利在司法領域的效力，應該通過法院對民法上的概括條款或者不確定性概念進行“合憲解釋”而產生，將基本權利轉化為私法規范，從而使得基本權利對司法關系發生間接效力。[5]因此，如果要對個人數據加以保護，就需要將信息自決權轉化為德國私法。德國聯邦最高法院早在1954年就開始了這一關于個人權利的轉變過程。1954年，德國聯邦最高法院在著名的“讀者投書案”中，從《德國基本法》第1條及第2條中推導并創設出了民法上的一般人格權；同時，德國聯邦最高法院在該判決中提出了“秘密領域”的概念，指出“未經同意的公開構成對秘密領域的侵犯”。①Bundesgerichtshof (Federal Supreme Court), 25 May 1954 - I ZR 211/53, Entscheidungen des Bundesgerichtshofes in Zivilsachen 13, 334.依據該判決，一般人格權成為《德國民法典》第823條第1款所規定的“其他權利”。②《德國民法典》第823條（損害賠償義務）第1款規定：“因故意或者過失不法侵害他人生命、身體、健康、自由、所有權或者其他權利著，他人因此而產生損害賠償義務?！彪S后于1958年，在著名的“騎手案”中，德國聯邦最高法院判決被告給予原告精神損害賠償，同時在判決理由中明確指出，“對個人生活領域自我決定的自由”是一種一般人格權。③Vgl. BGH, GRUR 1958，408，409.

隨著判例的增多和規范轉化的成形，在德國，公民的隱私權漸漸被視為人格權中的重要組成部分，人們開始承認這項一般權利包括上述信息自決權，以及其他由特別法律規定的各種具體個人權利，例如姓名、遺傳信息、榮譽、形象、肖像等等。然而這也意味著根據德國法律，個人數據必須被視為數據主體人格的一部分。

在對個人數據進行法律性質界定以后，德國聯邦最高法院不得不對個人權利的商業價值做出判斷。1956年和1958年，法院先后在Paul Dahlke④Bundesgerichtshof (Federal Supreme Court), 8 May 1956 - I ZR 62/54, Entschei dungen des Bundesgerichtshofes in Zivilsachen 20, 345.和Herrenreiter⑤Bundesgerichtshof (Federal Supreme Court), 14 February 1958 - I ZR 151/56, Ent scheidungen des Bundesgerichtshofes in Zivilsachen 26, 349.兩個案例中肯定了個人權利的商業價值。在這兩個案例中，都出現了未經當事人任何形式的同意，其私人照片被用于廣告的情形。在最后的判決中，聯邦最高法院提出了第三方可以附帶條件利用個人權利，這就變相承認了人格權上附屬存在的財產性利益。但真正意義上承認人格權附帶財產屬性是在1999年，德國聯邦最高法院明確認定人格權中存在財產組成部分，該財產部分可以轉讓、繼承，并受許可協議的約束。[6]隨后，經過幾十年的發展，德國漸漸在學理和司法實踐中形成了一般人格權包含財產性內容和精神性內容兩部分的主流觀點。[7]

總結德國隱私和個人數據保護的歷史發展，個人數據是隱私的一部分，因此也是一個人的人格。這項權利以德國憲法為基礎，但也得到德國私法的承認和保護。與其他個人權利，特別是知識產權一樣，這種權利可以具有巨大的商業價值，它不能直接轉讓給第三方，但可以在授權獲得許可的基礎上被其他人利用。

（二） 德國破產實踐中個人數據的出售模式：授權+同意

《德國破產法》第35條所定義的“破產財產”是指債務人自破產程序開始之日起擁有的以及債務人在整個程序期間獲得的所有資產。①《德國破產法》第35條規定（破產財產的定義）：“破產財產應涉及債務人在破產程序開始之日擁有的所有資產以及他在程序期間獲得的所有資產?！比欢渲邢胍C明并確定債務人是否擁有個人數據這一無形資產卻并不容易。主要原因在于，德國對個人數據持主體人格說，在不能對其進行轉讓的前提下，破產債務人即便對個人數據進行了轉讓，受讓方也不能獲得關于個人數據任何形式的權利；反過來推導，這也意味著債務人本身并沒有享有關于個人數據的任何實際的權利。[8]

在此種情況下，很多德國學者認為可以根據《德國破產法》第47條規定，如果認為個人數據不屬于債務人的破產財產，數據主體可以要求將個人數據與債務人實際擁有的資產分開。②《德國破產法》第47條規定（分離權）: “任何有權根據物權或動產要求將物體與破產程序所涉及的資產分離的人，不得構成破產程序債權人的一部分。分離該對象的權利應受破產程序之外適用的法律規定的管轄?！钡磳φ哒J為，這種分離并無必要，一方面因為數據主體可能并不需要他們的數據“原路返回”；另一方面，此種做法可能會使《破產法》第47條規定的分離權利（Right to Separation）變相發展成歐盟《通用數據保護條例》（General Data Protection Regulation，GDPR）中第17條規定的刪除權利（Right to be forgetten），即數據主體可以要求債務人刪除他們的數據。

德國聯邦最高法院在多年前主要采用了上述將二者進行分離的觀點，例如法院于1996年在針對《前聯邦數據保護法》第35條規定時指出，“一旦數據控制主體不再需要實現數據存儲目的，其應立即刪除客戶數據”。③Bundesgerichtshof (Federal Supreme Court), 17 April 1996 - VIII ZR 5/95, Neue Juristische Wochenschrift 1996：2159, 2160。據此，在德國很長一段時間的破產實踐中，破產管理人不能將個人數據出售給第三方。

進入21世紀以來，隨著數字經濟的發展，德國漸漸發現此種做法阻礙有價值數據流通，于是漸漸將目光聚焦于如何證成個人數據合法且合理的流通上。而在破產程序中，德國學者則指出要證明破產管理人能否將個人數據出售給第三方，就要解決破產債務人實際擁有個人數據的什么權利這一問題。[9]為解決此問題，德國法學界漸漸將目光轉移到了版權法的相關規定。

在德國，版權本身是不可轉讓的，其主要由兩種權利構成，一種代表著作者思想的精神權利，又被稱為道德權利（moral right）；另一種則是體現對其“商業剝削”的權利，被稱為商業開發權（the right of exploitation）。[10]這兩個部分不可分割地聯系在一起，共同構建出一個完整的版權。但正因為作為版權構成部分中的精神權利（moral right）屬于作者的人格，不能與作者分離，從而導致版權整體不能轉讓。然而，根據《德國版權和相關權利法案》（German Act on Copyright and Related Rights）第29條的規定，受讓方可以在所謂簡單授權的基礎上使用版權。[11]

這樣一來，借鑒版權法的相關規定，企業在破產程序中擬出售個人數據的關鍵問題不在于個人數據是否可以轉移，而是使用這些數據的權利是否可以轉讓。[12,13]

事實上，通過授權許可產生的個人數據使用權屬于財產性權利，雖然無形，但其蘊涵著巨大的經濟價值，也屬于破產財產。例如《德國破產法》第159條規定，破產管理人的主要職責之一是對于債務人的財產立即清算形成破產財產，除非這種處置與債權人大會作出的任何決定相矛盾。④《德國破產法》第159條規定（破產財產的處理）：“在會議報告后，破產管理人應立即清算構成破產財產的所有資產，除非該等處置與債權人大會作出的任何決定相抵觸?！备鶕摋l款，阻礙個人數據使用權成為破產財產的原因只能是與債權人大會的決議相悖，而通常情況下，鑒于個人數據本身具有巨大的經濟價值，債權人為了減少自身債權完全或者部分不能被清償的風險，一般不會拒絕個人數據使用權成為破產財產。

當然，破產債務人對個人數據使用權的轉讓并不是沒有前提的，由于德國也屬于歐盟成員國，其在這方面主要考量的是GDPR的相關規則，即GDPR在多大程度上阻礙了個人數據的傳輸。GDPR第6條第1款規定，如果“數據主體已同意為一個或多個特定目的處理其個人數據”，則該處理是合法的。根據該規定，要達到合法處理數據的目的，需要滿足兩個條件：一是獲得數據主體的同意；二是必須遵循目的限制原則。

首先，對數據主體的“同意”的認定。根據GDPR第4條的規定，數據主體的 “同意”必須通過有意識和積極的行為來給予。如果缺乏其中一個要求，則該同意無效，從而喪失合法處理個人數據的法律依據。此外，GDPR第7條第1款還規定處理個人數據的同意必須由數據控制者提供證明。例如征求未成年人的同意時，GDPR第8條中規定，只有當對兒童具有父母監護責任的主體同意或授權，此類處理才是合法的；且數據控制者應當采取合理的努力，結合技術可行性，確保此類情形中對兒童具有父母監護責任的主體已經授權或同意。另一方面，如果同意之后表示后悔的，根據第7條第3款規定，數據主體有權隨時撤回其同意。由此觀之，無論基于何種形式處理個人數據時，同意的重要性是顯而易見的。

其次，對“同意的內容”的限定。GDPR要求數據主體必須是基于一項或多項目的的同意，即數據主體許可或授權的內容及其范圍，應當嚴格遵循“目的限制原則”。[12]此項原則也進一步體現在德國《版權和相關權利法案》中，例如第31條規定，“作者可以授予他人以特定方式或任何方式使用該作品的權利（使用權）。使用權可以作為非排他性權利或排他性權利被授予，并且可能在地點、時間或內容方面受到限制”。[13]根據該規定，許可或授權的內容及其范圍取決于數據主體的同意，且如果在授予使用權時沒有明確指定使用類型，則該權利延伸的使用類型應根據合同雙方設想的用途確定。[14]

三、我國破產程序中個人信息出售制度的本土化構建

（一） 破產企業出售的邏輯對象：個人信息

雖然德國在個人數據與個人信息的法律概念上不作詳細區分，但其認為個人數據是主體人格的延伸，卻存在一定的合理性。人格，從哲學的角度通常被解釋為一個是一個人之所以為人根據和證明。[15]而在網絡世界里，個人主體人格的彰顯則是通過個人數據體現的。正如在物理世界里，人理所當然地對其自身的個性特征擁有所有權，那么在網絡世界里，人也應當對表征其個人特征的數據具有所有的權利。[16]因此，個人數據權可視為以人身為載體且歸屬于人格權的一種，其必須依附于數據所指稱的主體，正如姓名權不能脫離姓名所指稱的個體一樣。這樣一來，我們可以認為在網絡世界里，反映人格的個人數據就是一個人之所以為人的資格。也因此，強調個人本位的歐洲國家慣常使用“個人數據”一詞也能解釋得通。

與德國不同，我國網絡世界中的“個人數據”和存在于信息法中的“個人信息”在概念上并不一致。我國《民法典》《網絡安全法》和《個人信息保護法》在立法技術層面，均采用了“個人信息”的表述，特別是《網絡安全法》第76條中對“網絡數據”和“個人信息”的含義專門進行了文意解釋，這就意味著在我國，并沒有將個人數據與個人信息視為同一法律概念。此外，2018年出臺的《信息安全技術個人信息安全規范》不但界定了“個人信息主體”，即“個人信息所標識的自然人”，同時對個人信息進行了明確的定義。在該定義描述中并沒有用個人數據一詞來對其進行互換解釋，而是一直采用信息一詞來保證概念上的統一性。

我國于法律層面上嚴格區分個人數據和個人信息二者概念的做法是合理的。原因在于個人信息保護的目的在于保護具有使用價值的個人信息，而不是所有的單個的個人數據。個人數據是附著于電子信息系統載體的客觀事物記錄，是一個人在網絡世界里最原始且無加工處理的數據。[17]現實中，個人數據總是以孤立、單個零散的形式存在。從這個意義上來講，個人數據無法成為具有價值的信息，在一般情況下將其出售，并不能使企業獲得高額的對價。

此外，考慮到企業在收集個人數據后，在分析處理的過程中一定會產生非個人數據，這些數據以結論、其他符號形式表現出來。因此，個人數據有時并不一定是個人信息獨有完整的表現形式，個人信息也并不一定體現著個人數據完完全全的內容，因為技術加工處理后的個人信息實際上已經“超越”了個人數據，兩者在邏輯上是交叉的關系，即個人信息＝多數個個人數據＋分析處理。

因此，個人數據當且僅當能夠轉換成信息價值時才有保護的意義。數據獲得主體（數據處理主體）需要的是個人信息權，而不是個人數據權。故而從這個意義上，個人信息是企業加工處理后的個人數據，在一定程度上也屬于企業數據。

（二） 破產企業對個人信息享有的權益：財產權

通過對個人數據和個人信息的法律概念進行分析，個人對應的是個人數據，企業對應的是個人信息，且該個人信息屬于企業數據。在進一步對個人信息作為企業數據進行法律定位時，我國學者們大多主張直接從確權角度對企業數據以權益定位，如“數據資產權”說[18]、“數據所有權與用益權”的分離說[19]、“數據公開傳播權”說[20]、“數據塊權利”說[21]等。這些理論主張從信息私權和財產權角度以期將個人信息納入實體權利的框架中。

盡管論者們在企業數據到底分屬于何種具體的權利形式上存在分歧，但堅持的核心理念卻是一致的，即個人信息對企業來說具有重要利益。只是此種利益是否有必要上升到進行產權界定的程度，需要進一步分析。

如前述，個人信息也屬于企業數據的一種，隨著消費者信息市場的繁榮，該數據已經成為企業重要的生產要素和資源，且蘊含著巨大的經濟價值。例如企業掌握了大量的消費者信息，就可以通過技術分析出消費者的偏好，進而為了營銷目的而使用有針對性的廣告和媒體渠道便可轉化為更高的商業收入，減少花費在不感興趣的消費者身上的成本。因此，為了防止個人信息陷入“公地悲劇”之中，有必要給于數據的生產者、處理者一定的激勵，而實現激勵的最有效途徑是確立產權。

現實中，無論是個人還是由個人組成的群體，當他們擁有財物時，只要他們能因善用資源而獲得利益，他們就會努力去經營。產權通過把投資和其他努力與回報捆綁在一起，提供了這樣的激勵機制。[22]但必須說明的是，產權產生的積極激勵，主要適用于產權明晰的情況下。如果對企業之于該個人信息之上的財產性利益不予以產權定位，就無法產生該資源的法定稀缺性，將會加大企業數據被侵害的風險。當然，也有學者認為，一旦出現了企業數據的侵害行為，可直接援引侵權法的相關規定予以解決。[23]但是消費者信息仍然屬于有價值的數據，不加以產權界定，只是被動予以保護，數據無法流通，企業因為得不到有效的激勵反而會阻礙其創新。巴澤爾困境也表明，當產權沒有被清晰界定并得到良好執行時（對可用資產的權利缺失、或沒有對該權利予以詳細說明，或權利的執行不充分時），人們必定爭相攫取稀缺的經濟資源和機會，個體將為權利而競爭，競爭的花費經常達到或超過資產本身的價值，從而降低了市場的效率。[24]

因此，有必要對個人信息予以產權界定，形成企業對其的財產權。當然，此時也會產生質疑，一旦企業可以將個人信息作為他們的財產，那么企業就可以發揮所有權權能完全控制它，從而加大企業盡可能多收集個人數據的激勵，增加個人數據被濫用以及被侵害的風險。因此，我們在界定個人信息的法律屬性時，必須考慮到其上還存在著的人格屬性。

在德國，個人數據之上既包含個人的人格屬性，還包含了財產屬性。這樣的做法為我們在界定個人信息的法律屬性時提供了重要的思路，即雖然肯定了企業對個人信息的財產性權益，但由于個人信息來源于個人數據，而個人數據彰顯著一個人的主體人格，這就意味著該個人信息之上，并不只是存在企業對其的財產性利益，還有個人對自身數據的人格性權益。個人信息具有人格性和財產性的雙重屬性。

當然，個人數據之上本也存在著個人的財產權益，但考慮到以單個、孤立存在的個人數據，其價值微乎其微，故而可以忽略不計。這也是個人數據上不能建立產權，只能視其為人格權的重要原因，正如哈羅德·德姆塞茨所說的那樣，“當內部化的收益大于內部化的成本時，產權才能發展為外部性的內部化?！盵25]顯然，單個個人數據帶給主體的收益尚不足以超過其內部化的成本，個人數據最大的意義是代表了一個人在網絡世界里存在的資格。

綜上，個人信息的形成一方面并不意味著個人和企業之間進行了權益歸屬的轉移，使其成為了與原始主體脫離的商業資源；另一方面，即便是將企業對個人信息的權益予以財產權定位，因為其上存在的人格權益，使得企業獲得的是有限制的財產權，企業將其轉讓還必須滿足其他的條件。

企業對個人信息享有財產權，那么個人信息自然在企業申請破產之日起成為破產財產的一部分，可以由破產管理人予以出售并公平分配給債權人。另一方面，從我國現有的規定來看，我國《個人信息保護法》第13條、14條也規定了在符合一定條件下，個人信息處理者可以對個人數據進行處理，其中“處理”一詞將其理解為出售或轉讓，是屬于允許的擴大解釋。此外，法條著重強調了除特殊情形之外，企業在處理前應該獲得個人的同意。由于個人信息仍然附隨了個人的主體人格，因此，其作為破產財產轉讓時應當獲得個人的知情同意。這也是個人信息作為破產財產與其他破產財產最大的不同點。

（三） 完善同意的規范價值

實踐中，互聯網企業一般都會在網站主頁上公布自己的隱私政策，以確保告知與選擇機制順利實現。例如當數據主體在訪問微信的服務之前點擊“同意”隱私政策時，這被視為表示希望包含明確的肯定行動，即同意。我國在《個人信息保護法》中也非常重視個人對自身數據處理的知情同意，其主要體現在第14條第2款、第15條第1款、第17條以及第29條等規定中。

同意的概念是意思自治原則的核心，自“民法典”制定以來，這一原則一直貫穿民法學說。根據這一原則，合同義務完全以當事人的意愿為基礎，當事人的意愿被視為表達意愿人權利和義務的來源和衡量標準。[26]在經濟學上，這種想法通常反映在一個人主動行動的自由發揮上。因此，人們在管理其活動的自由被認為是在他們之間建立最公平和最有益的社會關系的最佳途徑，因為一方當事人自由同意的合同，他也必然維護其利益。[27]事實上，沒有一個通情達理的人會同意對他不利的承諾。

互聯網時代，同意是數據處理合法化的方法之一。換言之，這是數據處理者使用個人資料的限制性法律理由之一。在數據保護和更廣泛的隱私領域，同意的目的性價值一直被廣泛關注，即絕大部分人認為同意規則將個人及其選擇置于個人數據保護的中心，有利于維護個人的數據權益。但如何去構造一個真正有效的同意，即同意的規范價值卻很少有人去探究，因為僅僅依靠明示等積極行為所展現的“同意”，其是否屬于真正的“同意”，還有待于商榷。尤其是在當前數字環境這樣的背景下，將同意作為一種數據處理合法化的方式是否真的現實，還需要進一步分析。首先，隨著技術的快速發展，技術的復雜性使得人們往往不知道他們的數據正在被收集和處理，或者不知道正在被收集哪些類型的數據以及被收集了多少數據。同樣，他們也沒有意識到收集的潛在風險和可能造成的損害。其次，數據控制主體在收集數據時的聲明，即隱私政策往往的是模糊的，過度形式化的或被隱藏的。最后，數據處理者在擬出售個人個人信息時，經常聲稱他們得到了用戶的同意，而實際卻是用戶的同意很可能是被動的，其沒有真正自由地表示同意。因此，由于數據收集做法的復雜性和新模式的出現，同意的規范性力量受到削弱，個人無法做出真正知情的選擇。

在復雜的網絡世界，僅僅依靠形式的用戶同意并不是真正有效的，結合我國關于個人信息保護的相關規定，一個真正有效的同意可以從以下幾個因素進行考量，從而確立起同意的規范價值。

1. 同意與被同意雙方之間的權力關系

實踐中，數據主體和數據處理者之間的權力關系往往非常不平衡，在許多情況下，計算機系統的用戶在尋求訪問服務時，除了披露數據外，別無選擇。在這種存在重大不平衡的情況下，同意并不構成個人信息合法處理的有效法律依據。

“重大”或“明顯”不平衡的概念是指數據主體對其所需要使用的商品和服務存在強烈的依賴關系，例如在壟斷或寡頭壟斷的情況下，用戶只能被動同意該企業收集其個人數據。[28]換言之，當處理人或控制人在向數據主體提供的產品或服務方面具有市場支配地位，或服務條款的單方面和非實質性變更，使數據主體別無選擇，只能接受該變更時，我們應當認定雙方之間存在重大的不平等。因此，在認定數據主體知情同意的有效性時，特別需要注意的是當事方之間是否存在內在或結構上的不平衡。[29]

當然，也有人認為，過度的不平衡將為所謂的“弱者”或“易受傷害者”建立一個保護制度，從這個意義上看，這種不平衡剛好是促進平等的重要因素。[30]但現實是，破產程序中的個人信息保護尚處于學術和實踐都還在探索的狀態，還沒有更完善的立法和道德規則來彌補企業和個人之間權力關系的不平衡。因此，在未來有必要更詳細地考慮如何建立一套認定同意雙方權力關系存在重大不平衡狀態的標準和機制。

2. 同意撤回的可能性

撤回同意的權利是體現用戶自治和自決原則的一個關鍵機制，即通過給予用戶放棄和退出的可能性來確保其選擇的自由。[31]在醫學領域，拒絕治療的權利以一種壯觀的方式體現了病人的自由，因為病人被置于能夠以他或她認為合適的方式決定和處置他或她的身體的地位。 因此，病人可以在手術前的任何時候撤回同意。

在破產程序中，為了進一步確保用戶同意撤回的可能性，破產企業作為數據處理者應使數據主體能夠獲得關于其撤回權的信息，并在任何時候（關于數據主體最初可能同意的所有數據處理）行使該權利。此外，還應該包括向個人提供全面和易懂的信息、說明其數據的使用情況和影響以及撤回同意本身的后果等等。

3. 同意產生的影響

侵犯個人數據所帶來的的影響因情況而異：從輕微（或根本沒有）到非常嚴重的侵權行為都可能存在。進入21世紀以來，在保護個人數據和隱私領域的研究中，不少學者認為有必要評估個人自愿同意數據處理后的影響，不僅從個人的角度，而且從社會的角度。主要原因在于，“數據自由流動”的影響其實早已超出了數據主體和數據控制者之間的利益，且進一步涉及到了社會和集體價值。這種思想轉變的目的是避免對數據保護問題采取過于“個人主義”或“自由主義”的做法，特別是個人數據保護和隱私的概念不能簡單地歸結為個人偏好的問題，而現實中個人偏好往往通過自由和知情同意來表達。[32]

因此，在同意情況下處理個人信息所帶來的影響不僅涉及當事人雙方，還有第三方。第三方的概念應從廣義上加以理解。例如在某些情況下，個人數據的轉移可能會對家庭成員產生影響，家庭成員即為第三方；當涉及到醫療數據，特別是基因數據時（面部識別），可能會對社交網絡中與其親密的成員帶來影響，那么他們即為第三方[33]；在最廣泛的意義上，第三方代表整個社會，從這個角度來看，個人數據保護和隱私權將被重新概念化為“社會利益”，正如J.Cohen所指出的，“試圖將隱私的概念遠遠超越控制和個人同意，以各種方式將其重新概念化為一種出于個人福利以外的原因值得保護的社會福利”[34]。

綜上，互聯網時代的同意存在其特殊性，因為其所面臨的個人數據侵害的風險是巨大的，應該提高數據主體同意的自主性，使其能夠主動參與到保護自身數據的行動中。因此，一個真正的同意就需要在當事方之間沒有重大不平衡的情況下、確實存在撤銷同意的可能性，且對個人或集體福祉影響不大等因素的考量下進行，從而確立起同意的規范價值。

四、結論

隨著電子數據的發展，消費者信息市場正在逐漸繁榮。企業通過隱私政策收集到了大量的個人數據，并在技術分析之后演變成為個人信息。個人信息的價值在于企業可以通過基礎信息和消費偏好繪制出消費者的模型，因此一旦企業進入到破產程序中，他們很大程度上會出售個人信息以償還債權。在我國目前的法律邏輯框架下，企業在破產程序中出售個人信息尚缺乏具有可實際操作性的基本邏輯結構。在這個方面，德國立法和實踐的經驗對我國具有很大的現實借鑒意義，但部分做法仍然不能與我國實際相結合。

結合我國實際，構建個人出售的基本邏輯結構，首先需要明確出售的對象是個人信息而不是個人數據，個人信息保護的目的在于保護隊友使用價值的個人信息，而不是單一、孤立的所有的個人數據。其次，個人信息之上存在雙重法律屬性，企業對個人信息的權益是財產權益，但用戶對個人信息中的自身數據享有人格權益，因此破產企業擬出售的對象是個人信息上的財產性權益。但也正因為如此，人格屬性就要求企業將個人信息之上的財產權益予以出售時，需要獲得用戶的知情同意，且此種同意需要在考慮用戶與企業之間的權力關系是否平衡、用戶是否具有撤回同意的可能性以及同意產生的影響是否涉及到第三方等因素后進行。建立破產程序中個人信息出售的邏輯結構有利于促進破產法與個人信息保護法的銜接，從而為后續破產企業出售個人信息過程中遇到的各種問題的解決奠定基礎。