最近有个老客户张总,开了家贸易公司十几年,这两年生意不好,琢磨着干脆注销算了。结果一翻仓库,好家伙,客户资料堆了半个柜子——从最早的纸质订单、客户身份证复印件,到后来的Excel表格、微信聊天记录,甚至还有几箱没拆封的样品签收单。他当时就挠头了:这些玩意儿咋办?直接扔了怕违法,留着又没用,万一被人拿去干坏事,公司没了还得背锅……这事儿其实特别典型,很多老板注销公司时都犯怵:客户信息处理不好,轻则罚款,重则吃官司。今天我就以20年财税老炮儿的经验,跟大家聊聊注销公司时,客户信息这把双刃剑到底该怎么握。<
.jpg "注销公司如何处理客户信息?")
先搞明白:客户信息到底算啥?为啥不能随便扔?
可能有人会说:客户信息不就是些名字电话吗?公司都注销了,留着也没用啊!这话可大错特错。现在可不是随便扔几张纸就完事儿的,咱们得先给客户信息定个性——它本质上属于个人信息,甚至可能是敏感个人信息。
根据2021年11月1日正式实施的《中华人民共和国个人信息保护法》(下称《个保法》),个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。比如客户的姓名、身份证号、手机号、家庭住址、购买记录、甚至微信聊天里的最近买了啥,这些都算。而敏感个人信息一旦泄露、非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害,比如身份证号、银行账户、行踪轨迹等,处理起来要求更严。
那为啥注销公司时不能随便处理?因为《个保法》明确说了:个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。不管公司还在不在,只要你是这些信息的处理者(比如收集、存储、使用),就得对信息的安全负责。注销公司只是主体没了,法律责任可不会跟着注销——万一你扔的资料里有个客户信息被骗子拿去贷款了,受害者的第一反应就是告原公司,而原公司的股东、法定代表人,可能都要承担连带责任。我见过个极端案例,有个老板注销时把客户资料当废纸卖了,结果买家拿这些信息搞电信诈骗,警方最后顺藤摸瓜找到原公司,虽然公司注销了,但股东因为未尽到个人信息处理安全保护义务,被罚了20万,你说冤不冤?
处理客户信息,分三步走:梳理、分类、销毁
处理客户信息这事儿,不能一蹴而就,得像收拾屋子一样,先断舍离,再打扫干净。我一般建议客户分三步走:第一步全面梳理,第二步分类处理,第三步彻底销毁。每一步都有讲究,别偷懒。
第一步:把家底摸清——客户信息到底有多少?
很多公司压根没系统管理过客户信息,资料东一堆西一堆。所以注销前,必须先来个大扫除,把所有涉及客户信息的载体都找出来。别只盯着档案柜,我见过有客户把客户信息存在:
- 纸质资料:合同、订单、客户登记表、身份证复印件、签收单、售后记录卡;
- 电子设备:电脑里的Excel表格、CRM系统数据、微信/QQ聊天记录、邮件备份、U盘里的旧文件;
- 云端存储:企业微信/钉钉的群聊记录、网盘共享文件、甚至离职员工的私人电脑里可能还有备份。
有一次帮一个餐饮客户注销,我翻遍了服务器,才发现前两年用的点餐系统后台,还存着几万条客户的手机号和消费记录——连老板自己都忘了这茬。所以这一步一定要地毯式搜索,别漏掉任何角落。梳理的时候最好做个清单,比如纸质资料共5箱,涉及客户信息2000条;电子数据存于3台电脑、1个企业微信,共1.5万条,这样后面处理起来才有数。
第二步:分清敌我——哪些必须删?哪些能留?
梳理完不是全扔,得分类。客户信息这东西,有些是烫手山芋,必须赶紧处理;有些可能还有点用,但得脱敏后才能留。我一般按敏感程度分三类:
第一类:敏感个人信息——必须立即删除,彻底清除
身份证号、银行卡号、家庭住址、病历信息、生物识别信息(比如指纹、人脸)这些,属于敏感个人信息,根据《个保法》第32条,处理敏感个人信息应当取得个人的单独同意,注销后你肯定没资格再同意了,所以这些信息必须第一时间删除。
比如有个做母婴产品的客户,注册时收集了妈妈的身份证号(为了奶粉券实名认证),注销时我让他们把系统里的身份证号、关联手机号全部删除,连纸质登记表都碎纸机处理了——这种信息一旦泄露,对客户的伤害太大了,必须零容忍。
第二类:一般个人信息——可匿名化或去标识化后保留
像客户姓名、手机号、购买记录这些一般信息,如果觉得留着可能有参考价值(比如总结下哪些产品卖得好),也不是不能留,但必须做匿名化或去标识化处理。啥意思?就是把能直接识别到个人的信息去掉,变成一堆没用的数据。
举个例子:原来表格里有张三 买了10箱牛奶,处理后可以变成客户A 1XX 购买10箱牛奶——张三变成客户A,手机号只保留前三位,这样就算泄露了,也找不到具体是谁。但要注意,匿名化不是简单打码,得确保无法复原,我见过有客户把手机号中间四位换成,结果被黑客猜出来了,这就不行。
不过说实话,大部分公司注销后根本用不上这些匿名化数据,我一般建议删干净最省心,除非你有明确的、合法的二次利用目的(比如做行业分析,且不涉及个人信息),否则别给自己留麻烦。
第三类:与合同相关的客户信息——可保留至合同履行完毕后
有些客户信息可能涉及未了结的合同,比如售后质保期内的客户信息、未结算的尾款客户信息,这些不能直接删。根据《民法典》第558条,债权债务终止后,当事人应当遵循诚信原则,根据交易习惯履行通知、协助、保密等义务。所以这类信息可以保留,但仅限于履行合同必需的范围,等合同彻底结束了(比如质保期过了、尾款结清了),再按一般个人信息处理。
之前有个做机械设备的客户,注销时还有3台设备在质保期内,我们就保留了购买客户的联系方式和设备序列号,等质保期满了,再把这些信息匿名化删除——这样既履行了合同义务,也没侵犯客户隐私。
第三步:销毁要彻底——别让信息死而复生
不管是纸质还是电子,销毁这一步最关键,不然前面白忙活。纸质资料不能随便扔垃圾桶,得用碎纸机切成条状(最好切成2mm×5mm以下的小碎片),或者找专业的销毁公司处理,让他们给个销毁证明,留着备查。电子资料更麻烦,不能只点删除键,得用专业软件彻底擦除硬盘数据——我见过有客户以为把文件拖进回收站清空就没事了,结果数据恢复软件一跑,全找回来了。
对了,如果公司用的是CRM系统、ERP系统,这些后台数据最好找系统供应商帮忙数据归档并清除,自己瞎操作容易出错。去年有个客户,自己删了CRM数据,结果系统残留了备份,后来被黑客利用,客户找上门索赔,最后股东赔了8万——就是因为销毁不彻底。
两个真实案例:处理不好客户信息,注销也能栽跟头
案例一:图省事的代价:客户信息当废纸卖,股东赔了5万
李姐开了家小超市,注销时觉得客户资料(主要是会员登记表,有姓名、电话、身份证号)没用,就当废纸卖了5块钱。结果买家是个骗子,用这些信息办了十几张信用卡透支。受害者报警后,警方查到了李姐的公司,虽然公司已经注销,但法院认为股东未妥善处理客户信息,导致个人信息泄露,判股东连带赔偿5万元。李姐后来跟我说:早知道扔废纸这么贵,我宁愿花500块钱找碎纸机!
案例二:留一手的教训:匿名化没做好,被罚10万
王总是做电商的,注销时想留点数据以后参考,就把客户订单表里的姓名改成客户编号,但没改手机号——他觉得手机号又不是身份证号,没事。结果他离职的员工用这些手机号群发广告,被客户投诉到市场监管局。市场监管局认定去标识化不彻底,仍可识别到个人,依据《个保法》第66条,对公司原股东罚款10万元。王总后来跟我吐槽:我以为改个编号就安全了,没想到手机号也能‘定位’人啊!
最后说句大实话:注销公司,客户信息处理别想当然
其实客户信息处理,说难不难,说简单也不简单,核心就一个原则:合法、最小必要、安全。啥意思?就是你处理客户信息得有法律依据(比如《个保法》),只保留必须保留的,而且得保证不会泄露。很多老板觉得公司都注销了,谁还查我,现在监管越来越严,市场监管局、税务局甚至网信办,都可能抽查注销公司的资料处理情况——别为了省几百块钱销毁费,搭进去几万块的罚款,甚至征信受损,得不偿失。
对了,除了客户信息,公司注销时还有不少坑,比如财务凭证不完整、知识产权没处理,这些都会影响注销进度和后续风险。比如有个客户,注销时发现公司商标没转让也没注销,结果注销后商标被同行抢注,后来打官司花了大价钱才拿回来。上海加喜财税公司(https://www.110414.com)在处理企业注销时,会先梳理财务凭证,确保税务清算没问题,同时协助客户处理知识产权,要么转让要么注销,避免后续风险。毕竟注销不是一甩手就走,得把尾巴处理干净,才能安心。
.jpg)