企业所掌握的用户信息是构成企业价值的重要组成部分。在企业并购时，投资者是否有权出售企业的全部资产，包括用户信息在内？用户如何阻止自己的个人信息流向他人？对于这些问题，我国在立法上还未涉及。本文将从前述问题出发，介绍美国与欧盟的相关规则与法律实践，并试图为我国法律规则和实践提供参考。

用户同意是对个人信息进行收集、使用、披露等操作的一般前提。若持有个人数据的主体发生变动，则具有两方面的意涵：第一，用户此前对于相关主体收集与使用自己个人数据的同意不再适用；第二，两个不同的法律主体间发生了数据的传输或披露。我国在立法上尚未尝试对数据的“传输”进行定义，但可以明确的是，法律意义上的数据传输，不应采取物理上的或技术上的标准。因此，原则上说，只有持有个人数据的主体发生变动，才构成个人信息保护相关法律的适用情形。

对于个人信息保护问题而言，股权收购与资产收购的区分具有显著的法律意义。股权收购只导致持股的变化，而并不影响相关目标企业在法律上的身份。因此，一方面，用户对于该企业作出的数据收集与使用许可，或者法律上对该企业适用的许可，原则上可以继续适用；另一方面，目标公司的法律地位在并购后并不自动地扩展至其母公司或企业集团中的其他成员。如果目标公司将数据与母公司或其他关联公司共享，则很可能发生个人信息保护法上的问题。

根据欧盟法，在股权收购模式下，用户与企业之间的合同、用户对企业作出的数据处理许可以及企业处理数据的法定许可，都保持不变。在美国法上，股权收购有着类似的效果，除非被收购的目标公司在收购时声明改变隐私政策，否则也同样继续保持当前的隐私政策与承诺；并购后，被收购的目标公司也不得在未取得用户同意的情况下，将个人数据与其母公司或其他第三方分享。

除了单纯地形成控股关系外，股权收购还是公司合并或分立时的操作步骤。此时应当主要考虑以下两方面问题：第一，公司合并、分立、形式变更时，法律主体间存在人格和财产上的连续性，因而变动后的公司并非通常意义上的“他人”；第二，合并、分立时，发生的只是公司组织结构的变化，并不存在积极的数据传输行为。因此一般认为，在公司合并、分立、形式变更的场景下，原则上无需就个人信息传输问题征得用户同意。但此时主体身份发生变动的相关企业，应当负有对用户进行通知的义务。

从流程上观察，个人信息保护问题在并购前期就会发生，最主要的是收购方所进行的尽职调查。因为收购方要对目标公司的资产进行查看和审核，所以可能会涉及到个人信息的披露。为避免征求用户同意可能产生的大量无必要开销，可以考虑的处理方式主要有两种：在公开的隐私政策中表明个人信息将用于尽职调查，或者对个人信息进行去识别化处理。

在资产收购的场景下，如果转让的资产中包含用户个人信息，则构成个人信息的披露、传输或处理。原则上，这一行为应征得用户的同意，或者符合公司的隐私政策。但在美国法与欧盟法上，均存在一定条件下的例外。在美国法上，如果并购双方符合一定条件，则可以直接或在事后征得用户同意的前提下转让用户个人数据；欧盟法则允许在履行合同必要的限度内使用个人信息，或者基于利益衡量允许企业出售包含个人信息在内的资产。

美国并不存在统一的隐私立法，个人数据与隐私保护在实践中大多是通过行业标准、企业隐私政策等软法的形式进行，因而在实践中，企业的隐私政策是衡量其行为合法与否的最重要标准。在美国法上，在资产收购中引发隐私问题的案件构成往往是，公司在隐私政策中作出了不向他人披露用户数据的承诺，但却将数据单独或与其他资产一起转让给了收购方，或者至少试图从事上述交易。与此相关的主要有以下三个案例。

资产收购中的个人信息保护问题，始于2000年的Toysmart案。Toysmart公司曾在其隐私声明中承诺绝不与第三方分享用户的个人信息，但该公司于进入破产程序后，试图出售其用户数据库中的内容。之后Toysmart与联邦贸易委员会达成了和解协议，该公司被允许出售客户数据，但必须符合协议要求。

此外，在破产实践中，还存在“退出权方案”，这一处理方式主要成型于Borders案和RadioShake案。2011年Borders公司进入破产程序，其竞争对手B&N公司收购了部分资产，包括用户的个人信息。破产法院许可了这一交易，并对交易事宜作了相关规定，即权利人有选择退出相关变动的权利。此后，RadioShake案也适用了这一退出权方案。

综合上述案例，除事先征得用户同意外，允许目标企业在资产收购中出售用户数据的合法化路径主要有以下两种：（1）Toysmart方案，根据Toysmart案中和解协议的内容，在特定条件下，企业可以转让用户信息，而不需经其同意。其前提是：a.收购方与目标公司来自同一行业；b.用户数据不能单独转让；c.收购方必须采取与目标公司实质相同的隐私政策。（2）退出权方案，即在并购交割后一定期限内，允许用户选择“退出交易”。如果用户选择退出，则收购方应删除其个人信息；如果用户在期限内没有行使该权利或者表示同意，则交易正式完成，收购方可以合法使用相关个人信息。其前提是：a.收购方必须采取与目标公司实质相同的隐私政策；b.充分地提示用户行使退出权。

当然，无论哪种方案，都只能约束并购时收购方采取的隐私政策，如果隐私政策在未来发生实质性变动，则就那些在原隐私政策下收集的个人信息而言，必须征得用户的同意。

到目前为止，两种方案在具体案件中的实质不同只有退出权方案要求收购方向用户提供行使退出权的机会，而Toysmart方案则没有这一要求。在目前的判例中，退出权方案比Toysmart方案更为严格，因为前者在后者的基础上，还要求取得用户的事后同意。

根据《条例》第6条第1款的规定，数据主体的同意是数据处理最基本的合法化事由。除此之外，在并购的场景下，其他的合法事由主要涉及两类，即为履行合同所必需和为实现控制人或第三人的合理利益所必需。

1.为履行合同所必需

在企业转让资产的交易中，往往存在一些未履行完毕的合同。为履行合同需要而处理相关数据是法定事由，不需就此事先征得相关权利人同意。而且合同的转让本身就需要用户的同意与配合，所以一般认为不需要就数据使用问题特别提示用户；只要合同转让本身有效，相关权利人就不能阻止合同受让人处理其数据。

2.收购双方具有合理利益

对于资产收购具有普遍意义的合法事由是数据控制人或第三人的合理利益，这一条文给予司法机关和数据保护执法机关广阔的裁量空间。如果数据相关人的权利和利益不比数据控制人或第三人的合理利益更重要，则保护控制人或第三人的合理利益。

在衡量双方利益时，应当考虑相关人的合理期待，合理期待基于其与控制人之间的关系产生。特别是当相关人在其个人数据被处理的特定环境中，无法合理地预见到自己的个人数据将以其他方式进一步处理时，可以认为相关人的利益和基本权利高于控制人的利益。

在具体的衡量标准上，德国学界的通行观点认为，相关人的权益主要是信息自决权。具体到资产收购的场景下，主要是相关人希望原则上应当由自己来决定是否向他人透露、允许他人使用自己的个人数据，防止自己的个人数据被随意地交给第三方。偏向于收购双方合理利益的具体考虑主要有以下两点：

第一，从资产收购双方的角度来说，用户数据对于保持经营结构和工作岗位有重大意义。破产管理人的职责即在于尽可能将企业财产变价以使债权人获得清偿，将数据拆解出破产财产可能导致资产无法变卖，对企业债权人造成重大不利。

第二，从用户的角度来说，在企业资产整体转让、继续经营的情况下，用户的利益不会 受到太大影响。

3.合理利益下的异议方案

拜仁州数据保护监管局推行的 “异议方案”，实质上是认为在并购双方对于数据转让具有合理利益时，可以弱化法律对于用户同意的要求，即允许以沉默拟制同意。不过，这一处理方式的合理性仍然受到了质疑。质疑的理由主要有以下三方面：第一，该方案架空了法条原本应当具有灵活性的利益衡量机制，在理论上也难以与利益衡量机制互相衔接；第二，《条例》规定了一般性的反对权和同意撤回权，二者均可随时行使，已为数据相关人提供了充分的保护；第三，具体操作持续时间过长，导致增加新的债务，个别情况下相关交易甚至会因为拖延而失败。

我国现行个人信息保护法律规范中，没有为资产收购场合下企业合理利益的考量留下法律空间。虽然同意原则是个人信息收集与使用的基本原则，但也应当在一定情况下考虑企业在并购场合下的合理利益。

资产收购中个人信息范围的把握，应注意如下两点。

第一，敏感信息的处理。我国现行法上对此尚无特别规定。但在欧盟法上，对于敏感信息，原则上禁止任何处理。美国法上没有一般性的规定，但在具体的案件中也会有所区别。

第二，交易涉及信息的范围。美国法在个案中进一步区分允许转让的个人信息类别的做法值得借鉴，而不仅仅是判断是否符合相关要件，进而决定个人信息是否可以转让的“全由全无”式处理。

基于用户的同意而转让其个人数据，是个人数据转让获得许可的基本途径。

在此需要注意的是“同意”的具体实现方式。在意思表示理论中，存在默示与沉默的区分。默示即为推知的意思表示，其效果与明示作出的意思表示并无二致。而单纯的沉默在通常情况下，则不能被认为是意思表示，除非双方合意约定负有积极作出反对表示的义务，或者法律通过特别规定，将其拟制为意思表示。此外，在履行合同必要的范围内允许使用或转让合同相对方的个人信息，同样可以归为事先同意的转让的子类型。

比较法上，用户同意原则的缓和或者例外处理方式，均以利益衡量及合理利益的存在为前提。美欧两法域采取的标准虽然有所不同，但实际上均是对数据使用目的的尊重，是同意原则的延伸，体现的是用户利益的保护。数据使用目的对收购方和买卖的标的进行了约束，以保证即使在数据使用的主体发生改变的情况下，用户数据也仍然被用于其最初许可的目的。反过来，这一约束也正是界定并购双方是否具有合理利益的标准。

我国相关规则的构建，是否可以参考比较法上的处理方案？本文认为，完全无需用户同意的处理方式，在目前并非一个合理的选择。相比之下，拜仁州数据保护监管局的“异议方案”和美国破产法院的退出权方案则更为温和。二者的实质差别在于，同意或拟制的同意，发生在收购交割完成前还是完成后。

综上所述，合理利益规则的具体方案，应根据破产情形与一般情形作区分处理。破产程序中的资产收购，应适用退出权方案。在实践中，资本收购多发生于破产的场合，不过并不排除一般情形下的资产收购也可能符合合理利益的要件。此时应适用异议方案，并允许以沉默拟制同意。

企业并购中的个人信息保护问题，视不同情形而定。在公司合并、分立、形式变更时， 因为法律后果为法定的整体承继，所以原则上不构成个人信息传输或披露；在股权收购的其他情形下，原则上无需用户同意，但目标公司与其母公司或企业集团中的其他成员分享用户信息，同样构成向他人提供用户信息的行为。

而在资产收购中，个人数据的转让应遵循如下规则。

第一，如果收购双方就数据的转让取得了用户同意，则可以转让相关数据。在合同转让的场景下，无需就个人信息将用于合同履行作出特别同意。

第二，收购双方对于数据的转让具有合理利益的，一般情况下，应当由目标公司事先通知用户行使反对权，并设置一定期间；期间届满而未行使权利的，视为同意。企业处于破产程序中时，可以在交割完成后，由收购方通知用户行使退出权，并设定一定期间；期间届满而未行使权利的，视为同意。

第三，收购双方对于数据的转让是否具有合理利益，应通过利益衡量确定。具体的参考标准包括但不限于：（1）资产收购是否过度地改变了数据使用目的，而使用户不再具有其最初许可目标公司收集或使用数据时的利益；（2）数据是否与企业其他资产一并整体转让；（3）收购方与目标公司是否处于同一行业，收购方在收购相关资产后是否计划继续经营。

第四，在收购中，可以根据使用目的与合理利益的判断，对涉及交易的数据类别进行限定。