当一家电商公司因经营不善启动注销程序，其服务器里存储的50万条客户姓名、电话、购买记录等个人信息，最终被以废旧设备处置的名义低价出售给数据中介——这并非虚构的案例，而是2023年某省市场监管部门通报的真实事件。公司注销，本是市场新陈代谢的常态，但当清算的尘埃落定，那些曾被企业视为核心资产的客户信息，却可能成为悬在用户头顶的达摩克利斯之剑。客户信息保护，这一在企业存续期被反复强调的合规命题，在注销环节反而成为最容易忽视的灰色地带。究竟企业注销时，客户信息该何去何从？法律、技术与商业利益之间，又该如何平衡？<

>

一、传统认知的误区：注销=信息自然消亡？

在多数企业的注销流程中，客户信息处理往往处于三不管地带。一种根深蒂固的观点认为：企业法人资格注销后，其权利义务终止，客户信息作为企业遗留物，自然可随主体消灭而自然消亡。这种认知的背后，是对数据特殊性的漠视——客户信息并非实体资产，不会因企业注销而自动删除，其存储介质（服务器、硬盘、云端备份）若处置不当，信息泄露的风险将如影随形。

中国信息通信研究院《中国数据泄露风险研究报告（2023）》的数据揭示了问题的严峻性：在2022-2023年发生的132起企业注销后数据泄露事件中，62%的企业承认未对客户信息进行系统性处置，28%的企业仅简单删除本地文件，而真正采用专业数据销毁技术的企业占比不足10%。更值得警惕的是，这些泄露的信息中，83%包含可识别个人身份的敏感数据（如身份证号、家庭住址），其中17%被用于电信诈骗、精准营销等非法活动，直接导致用户财产损失或隐私侵害。

为何企业会在注销时放弃客户信息保护？深层原因在于责任边界的模糊。当企业进入清算阶段，清算组的核心任务是清理债权债务、处理未了结事务，而客户信息保护是否属于未了结事务，法律并无明确指引。正如某破产清算律师所言：我们优先处理的是有形的资产和明确的债务，那些看不见的数据，往往被归为‘无优先级事项’，直到最后被遗忘。这种重有形、轻无形的思维惯性，让客户信息保护在注销流程中沦为被遗忘的角落。

二、合规要求的升级：从自愿承诺到法定义务

随着《个人信息保护法》《数据安全法》的实施，企业注销时的客户信息保护已从道德选择变为法律红线。2023年，某知名连锁餐饮企业因注销时未妥善处理300万条会员信息，被监管部门处以5000万元罚款，创下企业注销后数据处罚的最高纪录。这一案例释放出明确信号：企业注销不能成为数据责任的终点。

金杜律师事务所《企业注销数据合规实务指引（2024）》指出，当前仅28%的企业能准确回答注销后客户信息应如何处理，而欧盟GDPR框架下的要求则更为严格：企业注销时，必须主动向监管机构申报数据处理方案，包括信息存储介质清单、销毁方式、用户告知义务履行情况等，未履行义务的企业可能面临全球年营收4%的罚款。对比之下，我国法律虽未明确要求申报，但《个人信息保护法》第47条规定：处理目的已实现、无法实现或者为实现处理目的不再必要，个人信息处理者应当主动删除个人信息；未删除的，应当停止除存储和采取必要安全保护措施之外的处理。这一条款中的主动删除，在注销场景下应如何解读？是简单删除文件，还是确保数据不可恢复？

这里便存在观点碰撞：一种观点认为，主动删除只需删除用户可见的本地数据，企业无需承担云端备份或员工个人设备中数据的销毁责任，因为这会显著增加企业注销成本；另一种观点则强调，个人信息处理的最小必要原则应贯穿始终，若企业无法确保所有存储介质中的信息被彻底清除，就构成未履行删除义务。笔者更倾向于后者——用户授权企业处理其信息，是基于企业存续期间的安全保障，而非企业注销后的风险转嫁。当企业选择注销，就意味着其不再具备持续保护信息的能力，此时彻底销毁是唯一的合规路径。

三、成本与权益的博弈：中小企业的合规困境与用户的合理期待

企业注销时的客户信息保护，本质是商业成本与用户权益的博弈。德勤咨询《中小企业数据保护成本调研报告（2023）》显示，合规处理每10万条客户信息的平均成本约为15万元（包括专业数据销毁服务、法律咨询、用户告知等费用），而62%的中小企业在注销时流动资产不足50万元。对于这些企业而言，15万元的数据销毁成本可能成为压垮骆驼的最后一根稻草——要么选择违规处置降低成本，要么因无力承担费用而陷入注销停滞。

这种困境引发了更深层的思考：当企业因合规成本过高而放弃客户信息保护时，用户的权益该如何保障？有观点认为，应建立企业注销数据保护基金，由所有企业按营收比例缴纳，基金在企业注销时用于支付数据销毁费用；另一种观点则主张，引入数据信托机制，由第三方专业机构托管企业注销前的客户信息，确保处置合规。但无论是基金模式还是信托模式，都面临操作复杂、监管成本高等问题。

这让我想到一个看似无关的类比：实体公司清算时，法律明确规定职工工资和税款优先于普通债权受偿。那么，客户信息作为数字时代的个人信息，是否应在清算财产分配中享有优先保护地位？换言之，当企业资产不足以覆盖所有债务时，是否应优先拨付资金用于客户信息销毁？这一类比并非简单移植，而是揭示了一个核心逻辑：用户对信息的控制权，本质上是一种人格利益，其优先级应高于普通商业债权。若企业因没钱就放弃信息保护，无异于将成本转嫁给用户，这与《个人信息保护法》保护个人信息权益的立法宗旨背道而驰。

四、立场的转变：从技术可行到必须

最初，笔者倾向于认为，企业注销时的客户信息保护可通过技术手段解决——例如采用数据擦除软件覆盖硬盘、对云端数据进行不可逆加密销毁等。这些技术确实能降低泄露风险，但GDPR下的一个案例让我重新审视这一观点：某企业使用数据擦除软件处理服务器后，仍因员工个人电脑中存有客户信息备份，导致信息泄露，最终被认定为未尽到安全管理义务。这一案例说明，技术只是工具，真正的核心在于企业是否将用户权益置于商业利益之上。

当企业选择注销，意味着其主动退出了市场，但用户对信息的合理期待并不会随之消失。用户当初提供信息，是基于对企业持续运营的信任；而企业注销时，这种信任因信息处置不确定性被打破。企业若仅以技术可行为由，忽视必须，本质上是对用户信任的背叛。正如有学者所言：数据时代的商业，不仅在于‘不做什么’，更在于‘必须做什么’——即使企业即将消失，也必须为曾经收集的信息负责到底。

五、破局之路：法律、技术与责任的协同

解决公司注销时的客户信息保护问题，需构建法律明确底线、技术提供支撑、责任落实到人的三维体系。

法律层面，应明确清算组的数据保护责任，规定其必须在清算方案中包含客户信息处置计划，并报监管部门备案；建立企业注销数据处置保证金制度，要求企业在启动注销时按信息体量缴纳保证金，用于支付后续销毁费用及可能的用户赔偿。

技术层面，推广数据生命周期管理理念，要求企业在信息收集时就预设注销处置方案，例如采用加密分段存储技术，确保信息在不同介质中可同步销毁；鼓励第三方机构开发低成本数据销毁工具，降低中小企业合规负担。

责任层面，强化清算组成员的个人责任，若因故意或重大过失导致信息泄露，应承担连带赔偿责任；明确数据受托方（如承接服务器处置的机构）的资质要求，避免二次泄露风险。

难道企业只能在注销倒闭和天价罚款之间二选一吗？当然不是。当客户信息保护从成本负担变为品牌资产，企业或许能在注销过程中找到新的价值——例如，将合规处置客户信息作为负责任退出的案例，反而能提升用户对行业的信任度。

注销不是终点，责任的延续才是真正的清算完成

公司注销，是市场主体的生命终点，但客户信息的安全旅程不应就此中断。当清算组的笔尖划过最后一笔资产处置清单时，那些被遗忘在服务器里的客户信息，应被妥善安葬。这不仅是法律的要求，更是商业的底线——用户信任的珍贵，远非任何商业利益所能衡量。

正如《数据安全法》所强调的数据安全是国家安全的重要组成部分，而企业注销时的客户信息保护，正是数据安全防线的最后一公里。唯有当企业、法律、社会形成合力，让责任延续成为注销的必修课，才能真正实现数据有序流动与个人信息权益保护的双赢。这，或许才是市场新陈代谢中最动人的人文关怀。