近年来,随着新型经济业态与信息网络技术的不断发展,在大数据和人工智能的加持下,个人信息的收集、加工和分析变得愈发简便,个人信息滥用的可能性随之增大,社会公众对于个人信息保护的意识和需求与日俱增。
《中华人民共和国民法典》《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”)相继出台后,各领域对于保护“个人隐私”、“个人信息”的合规需求十分强烈。
在私募基金领域,虽然现有监管规定对于私募基金管理人(以下简称“管理人”)如何管理投资者个人信息仅提出了概括要求,例如《私募投资基金监督管理暂行办法》第二十六条[1]要求管理人妥善保存投资者适当性等方面的资料,《私募投资基金募集行为管理办法》第十条[2]和《基金募集机构投资者适当性管理实施指引(试行)》第十一条[3]要求募集机构对投资者的商业秘密及个人信息严格保密、防止泄露或被不当利用,但在私募基金产品“募、投、管、退”各阶段均会涉及投资者个人信息的处理,且按照《个人信息保护法》第四条的规定,个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等,所以如何具体做到投资者个人信息保护,对于管理人而言意义重大。
“个人信息”与“个人数据”都为实践中常见的概念,但二者在实质与内涵上究竟是何关系?对此,实务界和学术界存在多种不同的观点。有观点认为个人数据与个人信息并无区别,也有观点认为二者在属性和范围上有所区别。
《个人信息保护法》第四条对于“个人信息”的定义为“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”,《中华人民共和国数据安全法》(以下简称“《数据安全法》”)第三条对于“数据”的定义为“任何以电子或者其他方式对信息的记录”。再结合域外立法来看,欧盟《通用数据保护条例》(General Data Protection Regulation)(2016年)第4条对于“个人数据(personal data)”的定义为“任何指向一个已识别或可识别的自然人(‘数据主体’)的信息”。可见,个人信息与个人数据在定义上是高度重合的。
在个人信息保护层面,个人信息与个人数据的混用一般不会产生歧义。但在企业数据合规层面,笔者更倾向于认为个人数据是经商业化处理后的个人信息,二者关系如下(见图一)。
具体而言,个人信息经企业商业化处理后形成个人数据,参与数据要素的市场流通。个人数据作为数据要素,因其包含大量个人信息,从而具有了特殊性。“个人数据保护本质上是对作为数据内容的个人信息的保护。”[4]因此,在企业数据合规中,个人数据合规的核心仍是围绕对于作为数据内容的个人信息的保护而展开。
基于上述特性,企业个人数据合规首先应当依照《个人信息保护法》的相关要求展开,同时,结合其作为生产要素的特性,还应当遵守《数据安全法》《中华人民共和国网络安全法》(以下简称“《网络安全法》”)等法律法规。数据领域的法律法规系从不同角度对个人数据的市场流通进行规制。
目前,部分管理人对于数据合规的发展趋势尚未做好应对,数据合规意识淡薄,仍采用以往粗放式的数据运营和信息使用模式,导致非法使用个人信息、甚至非法贩卖个人信息的乱象,情节严重的可构成侵犯公民个人信息罪。现阶段加强对于个人数据合规的监管尤显迫切。
为了解私募基金涉个人数据合规的监管情况,笔者以2022年3月23日在中国证券投资基金业协会(以下简称“基金业协会”)官网查询到的2017-2021年期间管理人受基金业协会纪律处分的公示信息为基础,得到如图所示的统计结果(见图二):
2017-2021年五年间,共有71家管理人受到基金业协会纪律处分,受处分机构的数量逐年上升,但2021年之前未有涉及个人数据方面的处分。2021年开始出现了四起可能与个人数据相关的处分理由,主要是未妥善保存私募基金相关文件,而相关文件的内容涉及个人数据。以违反资料保管义务为由进行相关监管处分,此前几乎未有提及,或可从中窥见基金业协会对于数据合规严格监管的端倪。这四起纪律处分的具体内容如下(见表一):
此外,笔者于2022年3月24日进一步在中国裁判文书网以“侵犯个人信息”、“私募基金”为关键词进行检索,查询到一份如下的管理人内部工作人员涉侵犯公民个人信息罪的刑事判决书(见表二):
需要指出的是,就上述处分案例,基金业协会对于管理人予以处分的依据目前仍为《私募投资基金监督管理暂行办法》《私募投资基金管理人内部控制指引》等私募基金领域内的相关规定,《数据安全法》《个人信息保护法》等法律法规对个人信息的处理要求尚未完全融入基金业协会对于私募基金的监管要求,相关处分依据是否会升级,尚待实践中进一步观察。
《个人信息保护法》是我国首部个人信息保护方面的专门法律,与《数据安全法》《网络安全法》共同构成我国网络安全与数据合规领域立法的“三驾马车”。三部法律从不同维度对于个人信息的处理进行规制,所依据的具体条文如下(见表三):
就管理人而言,因需处理投资者的个人信息,故管理人的活动属于《数据安全法》下的“数据处理活动”,应履行《数据安全法》下的义务。同时,如管理人系网络的所有者、管理者和网络服务提供者,则管理人应履行《网络安全法》下的义务。而在互联网金融日益发达的背景下,管理人多数情况下会利用网络将传统的私募基金业务延伸至线上,从而成为网络运营者。所以,通常情况下,就上述数据领域三大立法下的数据合规义务,管理人均应遵守。
以下笔者以《个人信息保护法》为主,辅以《数据安全法》《网络安全法》等相关法律法规,就管理人如何做好投资者个人数据合规提出如下注意要点(见图三):
如前文所述,《个人信息保护法》第四条对个人信息作了概括性的界定,界定个人信息的关键在于其是否具有指向特定个人的“可识别性”。
就金融领域的个人信息,参考中国人民银行2020年9月23日发布的《金融数据安全数据安全分级指南(JR/T0197-2020)》,个人信息包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息等。
细化到私募基金领域的个人信息,管理人可着重关注投资者的以下信息:基本身份信息、资产状况证明、投资经验证明、相关领域的专业资质、投资风险偏好、诚信记录、适当性管理过程中形成的录音录像材料[5]、基金账户信息、使用管理人运营的网络产生的记录等。
同时注意,根据《个人信息保护法》第二十八条的规定,敏感个人信息包括“生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息”。因此,投资者的基金账户信息以及管理人提供服务时获取的生物识别信息(如利用面容ID登录管理人运营的系统或App)属于敏感个人信息,处理该等信息的利用合规要求更高,下文亦有提示。
《个人信息保护法》第十三条至第十八条明确了处理个人信息的核心规则——“告知—同意”规则。所谓“告知”是指“以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:(一)个人信息处理者的名称或者姓名和联系方式;(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;(三)个人行使本法规定权利的方式和程序;(四)法律、行政法规规定应当告知的其他事项。前款规定事项发生变更的,应当将变更部分告知个人。”需要注意的是,即使是针对该法第十三条第(二)至第(七)项不需取得个人同意的“豁免”情形(以下简称“豁免情形”)[6],也不当然排除管理人的告知义务。除豁免情形外,管理人在处理个人信息前须获得个人同意,该同意应在个人充分知情的前提下自愿、明确作出,且个人有权撤回其同意。
此种情形所针对的个人信息,仅限于为订立或履行合同、为履行法定职责或义务、为公共利益等所必需的情形。具体而言,管理人在与个人投资者签订合同时获取的身份信息、银行账户信息等应属于私募基金业务中订立或履行合同所必需,无需事先获得个人投资者的同意。另外,管理人“为履行特定对象确定、投资者适当性管理、备案信息报送、非居民金融账户涉税信息尽职调查等法定职责”[7]而必须处理投资者个人信息的情形,也无需事先获得同意。
根据《个人信息保护法》第二十八条的规定,个人信息处理者“只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下”方可处理敏感个人信息。故管理人只有在满足上述前提时,方可处理投资者的敏感个人信息。处理时,除前文所述告知事项外,还应向投资者告知处理敏感个人信息的必要性以及对个人权益的影响。同时,管理人还须取得投资者个人的单独同意,若法律、法规另有要求取得书面同意的,依其规定。
此外,基于《个人信息保护法》第十三条系个人信息处理规则的一般规定,笔者认为该条所规定的豁免情形同样适用于敏感个人信息,即豁免情形下对于敏感个人信息同样无需取得投资者个人同意,当然亦无需取得上述投资者个人的单独同意。
举例而言,一是管理人可考虑在履行合格投资者确认程序时,将其制定的个人信息处理规则一并书面提供给投资者签收查阅,作为其向投资者的告知,并在《募集说明书》或《基金产品合同》等文件内明确列示管理人对投资者个人信息处理的权限并作重点提示[8]。如涉及敏感个人信息,还需注意获取投资者的单独同意等前文所述的特殊处理。二是在管理人运营网络或App的场景下,可考虑在所运营的网站或App中内置预先告知模块,提示投资者操作前需先行浏览网站或App的个人信息处理规则,并在投资者确认已浏览后才能进行相关操作,以此落实线上的“告知—同意”规则。
一般情况下,管理人处理的机构投资者的大部分信息不属于个人信息,但不能排除因业务需求或身份识别需求而收集机构投资者的法定代表人信息、受益所有人信息以及经办人信息等[9]。该等信息属于个人信息,故在涉及此类信息的情况下,管理人应同样落实“告知—同意”规则。
在涉及QDLL、QDLP等跨境投资时,管理人因业务需求或合规要求而需向境外机构提供境内投资者的个人信息,《数据安全法》《网络安全法》《个人信息保护法》均对数据出境提出了管控要求。管理人需着重注意以下三个方面,警惕违反法定义务。
《数据安全法》《网络安全法》《个人信息保护法》均对“关键信息基础设施运营者”的数据出境提出了要求(见表四):
《网络安全法》第三十一条对“关键信息基础设施”的范围作出了规定,即“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。”鉴于目前私募基金管理人是否属于金融机构尚无定论,所以本文仅论及管理人提供服务、交易的网络设置、信息系统是否构成“一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施”。
根据2021年7月30日国务院颁布的《关键信息基础设施安全保护条例》第九条的规定,认定关键信息基础设的主要考虑因素包括“(一)网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度;(二)网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度;(三)对其他行业和领域的关联性影响。”所以,据此尚难以完全排除管理人存在构成关键信息基础设施运营者的可能性,但笔者认为一般管理人构成的可能性较小。具体的判定规则仍有待关键信息基础设施相关认定细则的出台。
根据全国信息安全标准化技术委员会2022年1月13日发布的《<信息安全技术重要数据识别指南>(征求意见稿)》(以下简称“数据识别指南征求意稿”),“重要数据”的定义为“以电子方式存在的,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。注:重要数据不包括国家秘密和个人信息,但基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据。”
值得注意的是,数据识别指南征求意稿明确将非海量个人信息形成的数据排除在重要数据的范围之外,笔者认为,基于目前的业务模式,管理人仅向境外机构提供境内投资者的个人数据很难构成重要数据。但若管理人将海量个人信息通过技术手段整理成统计数据、衍生数据,则对此类数据应谨慎提供,并结合我国目前仍在征求意见的《个人信息和重要数据出境安全评估办法》《数据出境安全评估办法》的后续出台情况予以考量。
根据国家互联网信息办公室于2017年4月11日发布的《关于<个人信息和重要数据出境安全评估办法(征求意见稿)>公开征求意见的通知》第九条第(一)、(二)项的规定,出境数据若含有或累计含有50万人以上的个人信息或数据量超过1000GB的,网络运营者应报请行业主管或监管部门组织安全评估。虽然《个人信息和重要数据出境安全评估办法》仍处于征求意见阶段,但就征求意见稿提出的数据量标准,管理人可结合自身业务规模予以重视。
《个人信息保护法》赋予了投资者包括但不限于知情权、撤回权、查阅权、删除权、可携权等一系列的权利,面对投资者行使相应的权利,管理人应建立相应的响应机制,保障投资者实现自身的合法权益。例如,投资者请求查阅、复制其个人信息时,管理人应提供相应的渠道受理投资者的诉求。再如,在投资者赎回基金份额或者基金产品兑付完毕的情况下,应建立相应的信息删除机制[10]。
就完善个人数据合规的管理机制而言,可以从处理个人信息的三个维度完善,分别是事前风险评估,事中定期合规审计、个人信息分级管理、从业人员培训,及事后对于个人信息泄露、篡改、丢失风险的补救措施。管理人应重点关注如何将上述要点内化至管理人的业务规则和管理规定中,从制度入手进行个人数据合规管理。
管理人在基金产品运作过程中,通常需要与外部机构进行合作,常见的如代销机构、托管机构、登记机构、信息技术服务机构等。《个人信息保护法》第二十条、第二十一条和第二十三条分别对个人信息的共同处理、委托处理及向他人提供作出了规定。
因合作事项的多样性,管理人与外部合作机构之间可能形成一种或多种法律关系。管理人应根据具体情形,在合作协议中厘清各自在处理投资者个人信息过程中的权利义务,避免产生纠纷。
并且,在遴选外部合作机构之时,管理人应将其个人数据合规情况作为考量因素之一。同时在后续合作过程中,管理人可根据数据的重要程度,定期对合作机构进行监督和评估,确保合作机构妥善处理投资者个人数据,以便合作机构发生不当行为危及投资者个人数据时及时补救,避免损失扩大。
在企业数据合规层面,个人信息经企业商业化处理后形成个人数据,个人数据是经商业化处理后的个人信息,个人数据合规的核心仍是围绕对作为数据内容的个人信息的保护而展开。当前私募基金领域,基金业协会的监管规范虽尚未对《个人信息保护法》《数据安全法》《网络安全法》提出的个人数据保护要求进行引入和细化,但私募基金行业对于数据合规予以严格监管已现端倪。行稳方能致远,管理人应围绕投资者个人数据,提高合规意识,落实管理措施,预防合规风险,以促进个人数据的合法利用、保证基金产品的持续健康运作。
[1]《私募投资基金监督管理暂行办法》(中国证券监督管理委员会令第105号,2014年8月21日发布)第二十六条:“私募基金管理人、私募基金托管人及私募基金销售机构应当妥善保存私募基金投资决策、交易和投资者适当性管理等方面的记录及其他相关资料,保存期限自基金清算终止之日起不得少于10年。”
[2]《私募投资基金募集行为管理办法》(中基协发[2016]7号,2016年04月15日发布)第十条:“募集机构应当对投资者的商业秘密及个人信息严格保密。除法律法规和自律规则另有规定的,不得对外披露。”
[3]《基金募集机构投资者适当性管理实施指引(试行)》(中基协发〔2017〕4号,2017年6月28日发布)第十一条:“基金募集机构及其销售人员要对履行投资者适当性管理职责过程中获取的投资者信息、投资者风险承受能力评价结果等信息和资料严格保密,防止该等信息和资料泄露或被不当利用。”
[4]参见陈敬根,朱昕苑:《论个人数据的法律保护》,载《学习与实践》2020年第6期,第58页。
[5]参见张东,许蓉:《<个人信息保护法>在私募基金领域的适用》,载北大法宝网2021年12月8日,https://www.pkulaw.com/lawfirmarticles/db811de45cdc4c15c28a074acab87b4abdfb.html。
[6]《个人信息保护法》(中华人民共和国主席令第91号,2021年11月1日发布)第十三条:“符合下列情形之一的,个人信息处理者方可处理个人信息:(一)取得个人的同意;(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;(三)为履行法定职责或者法定义务所必需;(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;(七)法律、行政法规规定的其他情形。依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。”
[7]参见陆文昕,李超:《<个人信息保护法>时代私募资管行业合规要点分析》,载海华永泰律师事务所网2021年11月22日,https://www.hiwayslaw.com/CN/07/4783f07e4aa35439.aspx。
[8]参见陈轶琛、叶佳舟:《浅议<个人信息保护法(草案)>对私募投资基金募集行为及行业监管带来的变化及影响》,载北京大成(宁波)律师事务所网2020年1月28日,http://ningbo.dachenglaw.com/researchs/research/139865.html。
[9]参见吕红,杨迅,陈颖华:《<个人信息保护法>对资产管理行业的影响》,载微信公众号“通力律师”,2021年11月2日。
地址:上海市徐汇区虹桥路1号港汇恒隆广场办公楼1座11层
原文始发于微信公众号(隆安律师事务所):隆安法言|当私募基金遇到个人数据合规
隆安律师事务所
