當前國內外經濟政治情勢出現超預期現象，未來可能會出現一批平臺企業退場或轉場的情況，如何有效預防和精準規制在企業退場或轉場過程中的數據清理、提存、剝離、轉場變更使用等，是亟待回應和妥當解決的問題。

文｜陳兵 夏迪暘  編輯｜朱弢

來源：財經E法

2022年7月28日，網傳每日優鮮將面臨解散，一時間陷入輿論風波。

每日優鮮向媒體回應稱，該公司“資金斷鏈無法經營”系虛假信息，除了暫時關閉極速達業務外，目前正在努力保障其他幾塊業務運營。

無論每日優鮮“解散”的消息是否屬實，一個問題引人思考，平臺企業退場時，如何實現數據要素安全離場？

《國務院反壟斷委員會關於平臺經濟領域的反壟斷指南》第一條規定，“平臺”是指通過網絡信息技術，使相互依賴的雙邊或者多邊主體在特定載體提供的規則下交互，以此共同創造價值的商業組織形態。其中，信息撮合交易、制定交易規則及提供交易場域，是平臺企業的主要功能和基本商業模式。

在這一過程中，平臺企業傾向於利用數據、算法、技術、資本及平臺規則等競爭優勢，通過對已經持有的大數據和不斷集聚、實時更新數據的分析發現甚或培育用戶的喜好，持續推送相關產品或服務信息。同時，利用數據和算法的雙輪聯動實現跨界競爭，進入新行業，開拓新市場，在幫助其產業數字化轉型升級的同時，也實現數字的產業化開發和利用。

因此，平臺企業的核心生產要素和競爭力來源顯著表現在和浸入於數據及其全週期的行爲過程。基於這個特點，平臺企業手中掌握着大量的用戶數據，既包括個人用戶，也包括經營者用戶。比如，每日優鮮的財報顯示，截至2021年3月31日，其有效用戶數爲789萬。

基於此，當平臺企業面臨退出市場或者轉入其他行業及相關市場時，如何在保障其持有、使用、管理的大量數據安全的同時，實現數據的有序流通和利益分享，保有並釋放數據價值，是當下完成平臺經濟領域整改要求亟待回答的問題，也是促進和支持數字經濟規範健康發展需要補足的制度安排。

01

平臺企業退場

數據安全風險高企

在平臺企業退場時，首先會面臨的風險在於，其持有的大量數據信息不當流出，導致個人用戶隱私和商家用戶商業祕密泄露，從而嚴重威脅數據安全。

首先，平臺企業溝通並連接資源所有者和資源享用者，掌握着大量經營者與消費者數據，一旦這些數據被惡意竊取或被平臺不當利用而泄露，可能帶來個人信息和重要數據被不當使用的風險，侵犯個人和企業權益。

其次，數據是數字經濟的關鍵生產要素，一旦處理不當，將會嚴重危害競爭秩序。平臺企業往往憑藉海量數據資源與技術創新優勢，形成自成一體的生態系統，當其掌握的流量和數據達到一定量級，就可以通過流量和數據變現進一步融資，以擴大平臺規模，提高商品或服務的質量和技術水平，以此獲取更多流量、數據及資本，形成正向反饋效應，這使使得平臺經濟領域成爲“資本無序擴張”的重災區。其掌握的數據資源也爲其實施數據支撐型的壟斷協議行爲、數據主導型濫用市場支配地位行爲，以及數據驅動型經營者集中行爲提供了條件。

同時，也要注意到數據的價值在於流通和複次利用。若是一味出於保障安全的考量，施以較爲嚴格的保護措施，則可能影響數據價值的進一步挖掘。尤其是對於每日優鮮此類規模較大的網絡銷售類平臺，其掌握的數據資源無論是對於企業自身自救、抑或是其他企業的生產經營，都有着巨大的價值

綜上，平臺企業在離場時，應當在保障數據安全的基礎上，促進數據要素的流通，避免發生數據泄露等安全問題，或是造成數據價值的減損，影響數字經濟市場的正常秩序。

02

平衡安全與開發

維護多方主體利益

在平臺企業退場時對其掌握的用戶數據如何處理的問題上，依然要堅持場景化的數據權益動態平衡保護，對數據要素進行科學合理的分類，實現不同場景下的合理配置，在保障數據安全的基礎上，最大限度地挖掘數據的價值，維護數據安全與數據開發的平衡。

具體來講，從橫向度“數據功能”看，可分爲商業數據、工業數據、社會數據、自然數據等，前三類數據主要產生和服務於生產生活各類場景，數據主體包括個人、企業、政府、其他社會團體等；自然數據來自對自然地理環境的特徵和流變、自然資源的分佈等的自然或分析結果。

從縱向度“數據來源”來看，可以分爲原始數據、衍生數據與創生數據。其中，衍生數據是對原始數據進行加工、處理並具有財產價值和增值價值的一類數據，創生數據則是在數據服務行爲或（和）應用行爲中對衍生數據的二次或多次利用或深度加工處理形成的各類數據。

當平臺企業退出市場時，對於不同類型的數據應當採取不同的處理方式，在確保數據安全的基礎上，保障數據要素的流通，實現不同主體間的利益平衡。具體而言：對於原始數據，在處理時應當將用戶隱私作爲保護的重點，若原始數據構成個人信息，則應遵循《個人信息保護法》與平臺隱私政策的相關規定。

依據《個人信息保護法》第22條，個人信息處理者因解散、被宣告破產等原因需要轉移個人信息的，應當向個人告知接收方的名稱或者姓名和聯繫方式。接收方應當繼續履行個人信息處理者的義務。接收方變更原先的處理目的、處理方式的，應當重新取得個人同意。

若是原始數據構成敏感個人信息，則企業在處理時應當取得用戶的單獨同意，還應當向用戶告知處理敏感個人信息的必要性以及對用戶權益的影響。

根據每日優鮮的《隱私政策》， “在涉及合併、收購或破產清算時，如涉及到合併、收購或破產清算時，如涉及到個人信息轉讓，我們會向您告知接收方的名稱或者姓名和聯繫方式並要求新的持有您個人信息的公司、組織繼續接受此隱私政策的約束，否則我們將要求該公司、組織重新向您徵求授權同意”。也就是說，假如每日優鮮破產，該公司很可能將其掌握的用戶數據轉讓給第三方，同時承擔着將第三方的名稱或姓名、聯繫方式告知用戶的義務。第三方若變更處理目的、處理方式，則應重新獲得用戶的授權同意。

在判斷接收方是否變更處理目的、處理方式時，可以結合橫向的“數據功能”分類進行判斷。若是商業數據被用於工業場景，毫無疑問就屬於變更處理目的與處理方式。此外，對“變更”的判斷還可以結合《互聯網平臺分類分級指南（徵求意見稿）》（下稱《平臺分類分級指南》）進一步細化。《平臺分類分級指南》依據平臺的連接對象和主要功能將其分爲六大類：網絡銷售類平臺、生活服務類平臺、社交娛樂類平臺、信息資訊類平臺、金融服務類平臺、計算應用類平臺。根據這一分類，每日優鮮屬於網絡銷售類平臺中的商超團購類平臺，若是其日後將用戶數據出售給其他類型平臺，則屬於變更處理目的與方式。

對於衍生數據，則需要在保障企業競爭性財產權益的同時，保留用戶對仍具有個人信息可識別性的數據享有自決的權益。考慮到企業在數據的收集、利用與分析中付出了大量成本，因此應當強化企業財產權益的保護，實現數據的流通，充分挖掘數據的價值。考慮到衍生數據是由原始數據加工而來，因此當企業退出市場時，應當在對個人隱私予以脫敏或匿名化處理後再進行處理。

創生數據相對而言，其與用戶的個人隱私關聯較弱，因此在處理時，以最大化挖掘數據價值爲原則即可，以公共利益爲先，實現數據的流通與共享。

03

依法合規處理數據

保障數字經濟安全運營

受國際形勢和疫情影響，國內外發展環境發生深刻變化，對於平臺企業的經營也帶來了一定的挑戰。即便如此，平臺企業在收集、使用與處理用戶數據時，仍應當樹立牢固的安全意識與底線意識，堅持“以高水平安全保障高質量發展”，規範開展數據處理活動，保障數據安全，促進數據開發利用。

具體來講，在處理構成個人信息的用戶數據時，應當遵守《個人信息保護法》等法律法規，遵循“告知+同意”這一基本原則，遵循合法、正當、必要和誠信原則，具有明確、合理的目的，並應當與處理目的直接相關，採取對個人權益影響最小的方式，不過度收集個人信息。

同時，應公開個人信息處理規則，明示處理的目的、方式和範圍。在處理敏感個人信息時，應當取得用戶的單獨同意，同時告知處理敏感個人信息的必要性以及對個人權益的影響。只有在具有特定的目的和充分的必要性，並採取嚴格保護措施的情形下，方可處理敏感個人信息。

在數據安全方面，應充分遵循《數據安全法》中的相關規定，履行數據安全管理制度建立、數據安全教育培訓、數據風險監測、數據風險評估等方面的義務，重要數據處理者則應當明確數據安全負責人和管理機構，同時對其數據處理活動定期開展風險評估，並向有關主管部門報送風險評估報告。在處理涉及數據出境的問題時，若企業屬於向境外提供重要數據、作爲關鍵信息基礎設施運營者或處理個人信息達到規定數量的個人信息處理者，在向境外提供個人信息時，應當進行安全評估。

此外，《數據出境安全評估辦法》將於2022年9月1日正式施行，其中對“重要數據”的定義予以了明確的界定：“重要數據”是指，一旦遭到篡改、破壞、泄露或者非法獲取、非法利用等，可能危害國家安全、經濟運行、社會穩定、公共健康和安全等的數據。

《數據出境安全評估辦法》明確，數據處理者有下列情形之一的，應當申報數據出境安全評估：向境外提供重要數據；關鍵信息基礎設施運營者和處理100萬人以上個人信息的數據處理者向境外提供個人信息；自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數據處理者向境外提供個人信息；以及國家網信部門規定的其他需要申報數據出境安全評估的情形。

綜上，平臺企業在處理數據時，應當嚴格遵守法律法規，在保障數據安全的基礎上促進數據流通。尤其是涉及到數據跨境的問題時，關鍵信息基礎設施運營者、重要數據處理者與數據處理量較大的平臺，應當依據相關規定，充分履行相應的安全評估、風險評估義務。

04

嚴格落實主體責任

保障數據處理安全合規

安全是發展的前提，數據處理中依然要堅持“以高水平安全保障高質量發展”的基本原則。目前，中國法律對於數據處理過程中可能出現的信息泄露等問題作出了較爲嚴格的規定，企業或相關負責人一旦出現相關問題，需要承擔刑事責任或行政責任。

依據《刑法》第253條規定，違反國家有關規定，向他人出售或者提供公民個人信息，情節嚴重的，處三年以下有期徒刑或者拘役，並處或者單處罰金；情節特別嚴重的，處三年以上七年以下有期徒刑，並處罰金。單位犯罪的，對單位判處罰金，並對其直接負責的主管人員和其他直接責任人員，依照各該款的規定處罰。

依據《個人信息保護法》的規定，違法處理個人信息或未履行規定的個人信息保護義務，會被責令改正，給予警告，並沒收違法所得。對違法處理個人信息的應用程序，責令暫停或者終止提供服務；若拒不改正，則會對公司和負責人員處以罰款。若情節嚴重，則會被處以數目較大的罰款，並可以責令暫停相關業務或者停業整頓、或吊銷相關業務許可或者吊銷營業執照，同時可以禁止有關負責人在一定期限內擔任相關企業的董事、監事、高級管理人員和個人信息保護負責人。

此外，《個人信息保護法》還規定了個人信息處理者可能承擔的民事責任：個人信息泄露後造成個人信息權益損害的，個人信息處理者不能舉證證明自己沒有過錯的，就應當承擔損害賠償的侵權責任。依據第70條，個人信息泄露後個人信息處理者可能面臨公益訴訟的風險。

依據《數據安全法》的規定，開展數據處理活動的組織、個人不履行數據安全保護、數據風險監測、數據風險評估方面義務的，有關部門應責令改正，給予警告，企業與直接責任人員均可能被處以罰款；若拒不改正或造成大量數據泄露等嚴重後果的，則會被處以金額較大的罰款，同時可能被責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照。

可見，目前對於在數據處理過程中出現信息泄露等問題，企業或相關負責人應當承擔的法律責任主要以刑事與行政責任爲主。這也體現了“以高水平安全保障高質量發展”的基本原則，體現了對於數據安全的重視。而有關主體在數據泄露中應承擔的民事責任，也體現了經濟法“實質正義”的基本理念：企業相對於個人，擁有技術、資源上的優勢，故在歸責時應適用過錯推定原則，避免發生原告舉證困難而無力追責的情形。

值得注意的是，在新《反壟斷法》正式實施之際，最高人民檢察院印發了《關於貫徹執行〈中華人民共和國反壟斷法〉積極穩妥開展反壟斷領域公益訴訟檢察工作的通知》，要求積極穩妥開展反壟斷領域公益訴訟檢察工作，重點關注互聯網、公共事業、醫藥等民生保障領域。對平臺經濟領域來說，不僅涉及反壟斷規制，還爲平臺領域用戶羣體多、聚焦擴散效應強等特徵所引發的多元利益主體維權難提供了參照，即爲當事人提供了公益訴訟這一維權追責渠道。

根據上述分析來看，平臺企業承擔了保障數據安全的主體責任，即使在退場之時，也需要嚴格遵守相關法律法規的要求，避免造成數據信息泄露，給用戶造成二次損害，否則將承擔更爲嚴重的責任。