【新闻速递】外资企业注销潮下，客户信息转移成合规必答题 <

>

2024年1月，上海市市场监管局发布《外商投资企业注销客户信息管理指引（试行）》，明确要求WFOE（外商独资企业）在注销过程中，客户信息需通过定向转移+书面承诺方式处理，不得随意删除或泄露。这一政策出台，恰逢近年外资企业战略调整加速——据商务部数据，2023年全国WFOE注销数量同比增长18%，其中零售、科技、咨询行业占比超六成。客户信息作为企业核心资产，其转移合规性不仅关乎企业能否平稳退出，更直接影响消费者权益与数据安全。一时间，WFOE注销后客户信息怎么办成为外资企业法务与合规部门的头号难题。

【个人经验手记】我帮一家外资零售企业搞定数据交接的那些坑

去年我接了个活儿，帮一家做母婴产品的WFOE处理注销事宜。这家企业因为母公司全球战略收缩，要关闭上海总部。客户最急的是：手里有30万宝妈用户的购买记录、联系方式，甚至还有过敏史等敏感信息——这些数据跟着企业一起消失？不行，用户肯定不答应；直接打包给竞争对手？更不行，商业机密和隐私风险全来了。

说实话，一开始我也懵了。翻《个人信息保护法》第71条，写明了处理者注销、合并、分立、解散的，应当对存储的个人信息进行删除或匿名化处理，但匿名化后怎么用能不能转移给第三方，条文里没细说。我们团队先开了个会，有人提议：干脆跟用户发邮件，问他们要不要把数据转到新平台？结果试了试，回复率不到5%，大部分邮件直接进了垃圾箱——谁会在注销时还信你？

后来我们想了个笨办法：先把数据分成纯交易记录（如购买时间、金额）和敏感个人信息（如电话、地址、过敏史）。敏感信息一律做匿名化处理，把姓名、手机号中间四位换成星号，过敏史改成有特殊饮食需求——这样既保留了数据价值，又没法反推到个人。纯交易记录呢？我们找了行业内的另一家母婴企业（非直接竞品），签了《数据转移协议》，约定数据仅用于行业趋势分析，且接收方承诺不用于商业营销。

最麻烦的是用户沟通。我们没发邮件，而是通过企业微信和短信，用老用户专属福利的名义，引导用户扫码填写数据去向确认书——选同意转移的，能领一张50元无门槛券；选要求删除的，系统自动触发删除流程。没想到，一周内有12万用户做了选择，其中8成同意转移。这事儿让我明白：数据转移不是企业单方面决定，而是得让用户有选择权，还得给点甜头。

也踩过坑。比如接收方一开始想多要些用户偏好标签，我们差点答应了，后来查《数据安全法》第32条，发现超出原收集范围的信息转移需要单独同意，赶紧删掉了这部分内容。还有一次，法务同事把《转移协议》里的数据用途写得模糊，结果监管部门来查，要求补充说明——写协议就像写遗嘱，每个字都得抠，不然后患无穷。

【专家视角】数据转移不是甩包袱，而是责任接力

很多企业把客户信息转移当成'注销流程的附加题'，其实这是核心风险点。某律所数据合规部合伙人李律师在《2024外资企业合规白皮书》发布会上强调，WFOE注销时的数据转移本质是数据处理者变更，原企业对数据安全的责任不会因注销而消失。她举例，某外资化妆品企业2022年注销时，将用户肤质数据转移给关联公司，未告知用户用途，结果新公司用数据精准推销高价产品，被用户集体起诉，最终原企业股东承担了连带责任，赔偿金额超2000万元。

数据也印证了合规的重要性。《2023中国企业数据合规实践报告》显示，62%的外资企业在注销过程中因客户信息处理不当收到监管警告，其中38%涉及用户隐私泄露风险。而那些提前制定数据转移方案的企业，不仅注销周期缩短40%，用户投诉率也仅为行业平均水平的1/3。

【你问我答】关于WFOE客户信息转移，最关心的5个问题

Q1：WFOE注销后，客户信息可以直接删除吗？

A：不一定。如果用户在注册时同意企业注销后可删除信息，且数据已无法识别到具体个人，可以删除；但如果数据具有潜在价值（如消费趋势分析），或用户未明确同意删除，需通过转移、匿名化等方式处理，否则可能违反《个人信息保护法》最小必要原则。

Q2：接收方必须是关联公司吗？可以给第三方吗？

A：都可以，但前提是用户同意或为实现处理目的所必需。比如给关联公司，需在用户协议中提前约定数据可在集团内共享；给第三方（如行业平台），必须单独告知用户接收方身份、数据用途，并获得明示同意。偷偷转移？等着吃监管罚单吧（最高可处5000万元或上一年度营业额5%的罚款）。

Q3：数据转移需要哪些书面材料？

A：至少三份：《客户信息转移方案》（说明数据范围、处理方式、接收方信息）、《用户同意书》（或已获得同意的证明材料）、《数据安全责任承诺书》（接收方出具，承诺数据用途、安全措施）。如果涉及数据出境（比如接收方在境外），还得通过数据出境安全评估。

Q4：匿名化处理后的数据还能用吗？

A：能用，但匿名化不是简单去标识。根据《个人信息安全规范》，匿名化需满足无法识别到个人且不可复原——比如把上海市浦东新区张女士改成华东地区女性用户，保留年龄、消费区间，但去掉具体地址和姓名。如果匿名化不彻底，依然可能被认定为个人信息，转移时就得走全套流程。

Q5：用户不同意转移，数据必须删除吗？

A：是的。用户的拒绝权是《个人信息保护法》赋予的核心权利。如果用户明确不同意转移，企业必须在注销前删除其个人信息，除非法律法规另有规定（如为履行法定职责必需保存）。别想着用户不提就算了，现在用户维权意识可强了，一个投诉就能让注销流程卡死。

【反思与展望】数据转移不是终点，而是信任的二次传递

帮那家母婴企业做完注销后，我常想：客户信息转移的本质是什么？不是甩掉数据包袱，而是对用户信任的交接。用户当初把信息给你，是相信你能保护它、用好它；企业注销时，这份信任不能跟着企业一起死掉。

未来，随着《数据资产登记指南》等政策落地，客户信息可能会像固定资产一样被估值、转移甚至交易。但无论怎么变，合规是底线，用户权利是核心。或许有一天，会有数据信托机构专门负责企业注销时的信息管理，就像遗嘱执行人一样，确保数据在安全、合规的前提下活下去。

对企业来说，与其在注销时手忙脚乱地处理数据，不如平时就做好数据遗产规划——明确数据转移预案、定期更新用户同意范围、建立数据安全台账。毕竟，真正的好企业，连注销都要体面。