引言

数字经济时代，数据资产的价值日益凸显，成为企业生存发展的核心竞争力，其在破产清算、重整、和解等程序中的处置效率与规范程度，直接影响破产程序的公平与效率，也关乎广大个人信息主体的合法权益。未成年人作为民事行为能力受限的特殊群体，自我保护意识薄弱，其个人信息具有高度敏感性，一旦在破产程序中发生泄露、滥用或违规流转，极易引发身份盗用、金融诈骗、网络欺凌等一系列风险，严重侵害未成年人的人身权与财产权，甚至影响其健康成长。

当前，多国已通过立法与司法实践，对未成年人使用社交媒体及个人信息保护作出专门规制，其中破产程序中企业数据资产处置的相关规则，直接影响着未成年人个人信息的流转安全。

一、数据信息域外处理经验中未成年人信息保护的核心规则

在全球数字治理体系不断完善的背景下，美国、欧盟等发达国家和地区率先意识到破产程序中个人信息保护的重要性，通过立法规范、司法裁判等方式，形成了一套较为成熟的规则体系，其中未成年人个人信息因其特殊性，成为保护的重点对象。在保障破产程序顺利推进、实现企业资产价值最大化的同时，优先保护未成年人这一特殊群体的合法权益，实现利益平衡。

（一）域外数据信息处理中未成年人信息保护的核心原则

美国与欧盟的司法价值取向为，对于一定年龄以下未成年人的个人信息，企业负有删除义务。就成年人信息而言，若企业在经营期间曾作出不对外出售信息的承诺，却希望在破产程序中变更该承诺，美国法院将指派隐私专员对出售行为的必要性进行审查，相关企业需向个人信息主体履行告知义务。

（二）确立未成年人数据信息处置的严格边界

以美国“FTC v. Toysmart.com”案为例，案件核心争议为，企业破产后能否出售破产前掌握的个人信息作为数据资产清偿债务。案涉出售信息内容包括顾客姓名、地址、银行卡信息、社保号码、购物偏好、购物意向及家庭状况。其中，最大的争议为婴幼儿姓名及出生日期是否可以出售。美国联邦贸易委员会（Federal Trade Commission，以下简称“贸易委员会”或“FTC”）起诉线上玩具零售商Toysmart有限责任公司及Toysmart股份有限公司（以下简称“玩具公司”），称其向第三方披露、出售消费者个人信息的行为违反《联邦贸易委员会法》第五条及自身承诺的隐私政策，此举涉嫌虚假陈述，要求其停止侵害[1]。

最终，马萨诸塞州法院就此作出裁定：首先，禁止玩具公司继续虚假陈述行为，未经法院批准不得披露、出售个人信息作为数据资产。其次，如果破产法院未在2001年7月31日前完成信息出售或重组，玩具公司须于2001年8月31日前删除所有客户个人信息并书面报告，如报告内容虚假，玩具公司会面临伪证罪的指控。再次，判决后10日内，玩具公司必须销毁违反《儿童信息保护法》收集方式的13岁以下儿童信息[2]。此外，若一年内发现公司此前声明不实，贸易委员会可保留再次起诉的权利。最后，公司一年内须保留履行裁定、资产出售及相关投诉的文件。

破产程序中，未成年人个人信息的保护相较于其他主体应予以优先，不得仅以清偿债务、实现商业利益为目的，擅自处置未成年人个人信息。对于违规收集、不符合保护要求的未成年人信息，应当依法予以销毁。法院、监管机构、破产管理人应形成协同监管机制，强化对信息处置行为的全程监督，确保未成年人权益得到切实保障。破产企业不得因破产而单方变更其作出的隐私承诺。

从实践逻辑来看，破产管理人作为数据资产处置的核心主体，其履职过程中必须将未成年人个人信息保护作为重点工作。未成年人自我保护能力弱，其个人信息一旦违规流转，不仅可能遭受身份盗用、金融诈骗等直接损害，还可能面临网络欺凌、心理伤害等潜在风险，甚至导致一系列社会矛盾[3]。因此，域外实践中均明确要求破产管理人履行审慎注意义务，对未成年人个人信息进行单独识别、分类管理，采取必要的安全保护措施，防范处置过程中的各类风险。

二、数据信息域外处理的国际法渊源

就未成年人保护而言，欧盟与美国均对13岁以下儿童在使用社交媒体时对外披露数据的行为进行严格管理，但对13至18岁青少年的保护力度相对弱化[4]。这种差异源于1989年联合国《儿童权利公约》的规定：各缔约国应保障儿童获取多元信息的权利，对于有助于其社会、精神、道德及身心健康发展的内容，缔约国更不应阻止其获取[5]。由此，欧美对此的立法逻辑和司法价值取向是，随着儿童年龄的增长，其认知能力与自我保护能力逐步提升，对其使用社交媒体对外披露信息的限制应逐渐放开，以实现保护隐私与认知教育的平衡。

此外，联合国《儿童权利公约》还强调，各缔约国应采取立法、行政、司法等多种措施，保障未成年人的合法权益，为未成年人提供特殊、优先的保护。这一要求推动各国将未成年人个人信息保护纳入专门立法，在破产程序等特殊场景中，明确未成年人个人信息的保护规则，强化相关主体的义务与责任。例如，欧盟《通用数据保护条例》（General Data Protection Regulation，简称GDPR）、美国《儿童在线隐私保护规则》（Children's Online Privacy Protection Rule，简称COPPA），均是对《儿童权利公约》相关规定的具体落实，形成了“国际法指引、国内法细化”的保护体系。

需要注意的是，域外各国在落实国际法规则的过程中，结合本国法律传统、数字经济发展水平，形成了不同的保护模式：美国以司法裁判为主导，通过典型案例确立规则，注重监管机构的主动介入；欧盟以立法为核心，通过《通用数据保护条例》统一立法，构建了全面、系统的保护体系，注重规则的统一性与可操作性。

三、数据信息保护的实务操作建议

在破产程序中，未成年人数据信息的处理不仅涉及法律合规风险，更关乎企业社会责任与监管机构的审查底线。作为破产管理人、企业法务及外部律师，应当在实务操作中建立系统化、可落地的未成年人数据信息保护机制。结合域外经验与我国现行法律框架，建议从以下五个方面开展实务操作：

（一） 未成年人数据信息的识别与分类管理

破产程序启动后，管理人应第一时间对债务人企业所持有的数据资产进行全面盘点，重点识别其中涉及未成年人的个人信息。识别与分类管理的标准可参照《中华人民共和国个人信息保护法》关于敏感个人信息的定义，结合未成年人年龄、信息类型、使用场景等因素确定：

首先，追溯数据来源。管理人需核查债务人企业是否曾通过网站、APP、线下活动等渠道收集未成年人信息，是否存在第三方数据共享或嵌入SDK（Software Development Kit，软件开发工具包）的信息收集行为；

其次，按年龄阶段提取信息。管理人可在数据库中筛选出生日期、年龄、监护人标识等关键字段，标注未满14周岁、14至18周岁两个层级；

再次，就信息类型进行分级。管理人将未成年人信息区分为“核心身份信息”（如姓名、身份证号、生物识别信息）、“联系信息”（如地址、电话、邮箱）、“行为信息”（如浏览记录、消费偏好）等类别，分别设定处置策略；

最后，建立未成年人信息台账。管理人应形成可追溯、可审计的数据清单，明确数据来源、存储位置、使用目的、保留期限及是否涉及第三方共享。

（二） 未成年人数据信息的处置方案设计

在制定数据资产处置方案时，管理人应当优先遵循“未成年人利益最大化”原则，不得仅以债务清偿或资产变现为主要目的擅自处置未成年人信息。具体处置方式包括删除处理、匿名化处理及附带条件转让。

（1）删除处理

对于未取得监护人有效同意、超过合理保留期限、仅用于一次性响应未成年人或其监护人请求以及信息属于违规收集或超出必要范围的情况，应进行删除处理。

（2）匿名化处理

若企业数据资产整体转让具有合法商业目的，且确实难以完全剥离未成年人个人信息，可采取匿名化处理方式，确保处理后无法识别特定未成年人身份且不可复原。匿名化后的数据不受《中华人民共和国个人信息保护法》中关于删除义务的约束。

（3）附带条件转让

如确有转让必要，管理人应设置转让条件，包括但不限于：受让方书面承诺继续遵守原隐私政策；不得单独以未成年人个人信息为标的进行交易；转让后须继续履行删除义务；接受管理人或法院指定的隐私专员监督。

（三）监护人参与机制的建立与执行

鉴于未成年人行为能力受限，其个人信息处置过程中应充分保障监护人的知情权、决定权与异议权。实务中，建议从完善通知义务、建立异议处理机制、协商确认信息保留范围三个方面落实。

（1）完善通知义务

管理人应在合理期限内，通过可追溯的方式（如挂号信、短信、APP推送等）通知监护人，明确说明拟处置的未成年人个人信息范围、处置方式、法律依据及监护人可行使的权利；

（2）建立异议处理机制

监护人对未成年人个人信息的保留范围、处置方式提出异议的，管理人应在7个工作日内作出明确回应，必要时可向法院申请裁定；

（3）协商确认信息保留范围

对于8周岁以下无民事行为能力未成年人，其核心身份信息须予以删除，监护人无权要求保留；对于8至13周岁未成年人，监护人可参与确认是否保留与其智力水平相适配的信息；对于13至18周岁未成年人，监护人的参与权限适当弱化，但仍可对核心身份信息的处置提出异议。

（四）隐私承诺的延续与变更限制

破产企业不得因进入破产程序而单方变更其在经营期间作出的隐私承诺。若企业曾承诺“不向第三方出售个人信息”或“未经用户同意不披露个人信息”，则该承诺在破产程序中继续有效。

管理人应全面审查债务人企业官网、用户协议、隐私政策等文件，识别是否存在限制数据转让的隐私承诺；如确需变更，须向法院或管理人指定的隐私专员提出申请，说明变更的必要性、对未成年人个人信息的影响及替代方案，获得批准后方可实施。

除此之外，参照美国Toysmart案[6]实践，管理人或法院可指定具有数据合规资质的第三方担任隐私专员，负责监督未成年人信息处置全过程，出具合规意见书。

（五）监管协同与合规留痕

破产程序中未成年人个人信息的处置，涉及法院、网信部门、市场监管部门、教育部门等多方监管主体。管理人应主动构建协同监管机制，确保处置行为可追溯、可审计、可问责。

（1） 实行备案制度

管理人应将未成年人个人信息处置方案报送属地网信部门备案，必要时向其申请合规意见；

（2）信息处置记录

管理人应完整记录未成年人个人信息识别、分类、通知、删除、匿名化、转让等全流程操作，保存期限不少于破产程序终结后3年；

（3）合规报告

管理人应在破产程序关键节点（如债权人会议、资产处置方案表决前）出具未成年人个人信息保护合规报告，供法院、债权人、监管机构审阅；

（4）违规后果提示

管理人应在数据资产处置方案中明确提示，若因管理人履职不当导致未成年人个人信息泄露或违规流转，相关责任人可能面临《中华人民共和国个人信息保护法》第六十六条规定的行政处罚、民事赔偿甚至刑事责任。

通过上述实务操作的落地，破产管理人可在保障破产程序效率的同时，切实履行未成年人个人信息保护的法定职责，平衡商业利益与未成年人基本权利，亦为司法机关与监管机构提供可操作的审查依据。

四、结语

我国作为《儿童权利公约》缔约国，应结合《中华人民共和国民法典》相关规定，在破产程序的数据资产处置工作中，健全未成年人个人信息分层保护机制。对于八周岁以下无民事行为能力未成年人，需彻底删除其核心身份信息，且监护人无权要求保留该类信息；对于八至十三周岁未成年人，可披露与其认知智力水平相适配的个人信息，同时保留监护人参与划定信息留存范围的权限；对于十三至十八周岁未成年人，可参照成年人个人信息知情同意规则，适度放宽其个人信息对外披露的限制。

注释

[1]FTC v, Toysmart.com, LLC., et al., Civil Case No.00-11341-RGS (D. Mass., Aug. 21, 2000).

[2]Federal Trade Commission. (2023). Children’s Online Privacy Protection Rule,16 C.F.R. Part 312.

具体信息为父母要求删除的信息、未经父母允许儿童主动提供的信息、超出合理必要保留期限的信息、仅用于一次性响应儿童特定请求后多余的信息以及儿童发布内容中公开前应删除的个人信息。

[3]参见张莉，吴中中，吴丹丹.强化数字赋能，优化未成年人个人信息网络保护[N]. 未来周刊，2025-04-07.

[4]Van, S., Van, B., Schermer, B., & Springerlink (Online Service. (2014). Minding Minors Wandering the Web: Regulating Online Child Safety. T.M.C. Asser Press. Page 135.

[5]Article 17 UN Child Rights Convention 1989.

[6]FTC v. Toysmart.com, LLC, No. 00-11341-RGS, 2001 WL 345271 (D. Mass. Jan. 31, 2001)

参考文献

（一） 中文类参考文献

期刊论文类：

① 陈兵,周裕喜.数字经济下企业破产个人数据处置路径再探[J].兰州学刊,2025,(02):110-125.

② 赵精武.论破产程序中企业数据财产的处理[J].中国法学,2024,(03):103-123.DOI:10.14111/j.cnki.zgfx.2024.03.004.

③ 吴丹丹，吴中中，张莉.强化数字赋能，优化未成年人个人信息网络保护[N]. 未来周刊，2025-04-07.

④ 朱伟杰，黄嘉洁，刘天礼。破产程序中数据资产处理的域外经验与本土规则完善 [EB/OL].(2025-12-10).https://mp.weixin.qq.com/s/s6-EEOYhOKYzXiYa99wvCg.

（二） 外文类参考文献

⑤ Van, S., Van, B., Schermer, B., & Springerlink (Online Service. (2014). Minding Minors Wandering the Web: Regulating Online Child Safety. T.M.C. Asser Press.