作者:付璟玉律师
在金融市场中,私募基金是一个重要的参与者,在私募基金的“募投管退”过程中,要处理和使用大量投资者的个人信息,甚至是敏感信息。根据中国证券投资基金业协会(以下简称“基金业协会”)官方数据,截至2023年7月末,存续私募基金管理人有22114家,管理基金数量152322只,管理基金规模20.77万亿元。这意味着,私募基金领域有大量个人数据亟待合规管理。本文将围绕私募基金领域中个人数据合规问题进行探讨,并提出实务建议。
一、私募基金领域个人数据处理的范围、环节及处理者
(一)私募基金涉及的投资者个人数据范围
因单个投资者购买私募基金的最低金额必须不少于100万元,为保证仅针对合格投资者募集资金,基金业协会要求必须进行投资者适当性审查,在这个过程中,往往需要收集大量的投资者个人信息。
结合《民法典》第1034条、《个人信息保护法》第4条、《私募投资基金监督管理暂行办法》第12条、第18条、《私募投资基金募集行为管理办法》第19条、第27条等法律法规、自律规则,以及私募基金备案操作实践来看,私募基金涉及的个人数据包括但不限于:
1.投资者基本信息。主要包括姓名、住址、出生年月、职业、联系方式、学历及毕业院校、职务和工作单位等。
2.资产状况证明资料。主要包括个人金融资产状况、最近三年个人年均收入、收入来源、收入中可用于金融投资的比例及对应的证明文件。
3.投资者投资经验证明资料。主要包括投资相关的学习、工作经历、投资经验(如投资期限、投资产品类型、投资金融产品的数量等)及对应的证明文件。
4.投资风险偏好。主要包括投资目标(如投资目的、投资期限、品种、期望收益等)、风险偏好及可承受的损失。
5.诚信记录。主要包括个人征信信息、资本市场相关诚信记录。
6.投资者适当性管理过程中形成的录音录像材料。
7.投资者购买基金产品所生成的金融资产相关信息。主要包括所持有的基金份额的数量、净值等信息,因认购/申购、赎回、转让、质押、冻结、清算等产生的基金份额变动信息。
8.敏感个人信息。按照《个人信息保护法》第28条的规定,敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。私募基金信息处理过程中涉及的敏感个人信息主要包括投资者的特定身份、金融账户信息,部分采用生物识别登陆系统的还可能涉及人脸、指纹等生物识别,行踪轨迹等信息。
(二)涉及投资者个人数据处理的主要业务环节及处理者
根据私募基金监管规则,结合私募基金业务流程,投资者个人数据主要获取于募集环节,在基金运作的信息披露、投资退出等环节中也得以沿用。
1.基金推介与投资者适当性管理环节
私募基金仅能向合格投资者非公开推介,基金募集机构(包括私募基金管理人及其委托的基金代销机构)在向投资者进行推介前,应进行不特定对象的特定化程序,即通过收集投资者个人数据,以确定其是否符合私募基金合格投资者标准。
在这个过程中,基金募集机构除需收集投资者基本信息、资产状况、金融资产投资情况等个人数据外,还要对收集的证明文件进行分析认定,确定投资者的风险识别能力和风险承担能力,并对投资者适当性调查过程进行录音录像。整个适当性管理过程都涉及投资者个人数据的处理。
2.份额登记、认/申购、赎回、转让、分配、清算等环节
私募基金管理人为份额登记义务人,负责为投资者开立基金账户,并根据投资者的认/申购、赎回、转让申请以及基金的分配、清算等,为投资者进行份额登记、基金份额变动,并提交至基金托管人。该环节除涉及投资者基础个人数据使用外,还涉及私募基金投资者所持有的金融资产变动、基金份额变动、金融账户信息使用等个人数据。
前述环节的个人数据处理者主要为基金募集机构(包括私募基金管理人及其委托的基金代销机构)、基金托管人。
3.信息披露环节
根据《私募投资基金信息披露管理办法》的规定,私募基金管理人需要定期向投资者进行信息披露,而所披露的信息中就包括投资者账户信息(如实缴出资额、未缴出资额以及报告期末所持有基金份额总额等),向投资者信息披露的过程,也涉及投资者个人信息处理。
在具体处理过程中,私募基金管理人向投资者进行信息披露,私募基金托管人需对信息披露报告进行复核,基金销售机构从管理人处获取信息披露报告并提供给其代销的投资者。因此,信息披露环节的个人数据处理者主要为基金募集机构(包括私募基金管理人及其委托的基金代销机构)、基金托管人。
4.外包服务环节
实践中,部分私募基金管理人会根据《私募投资基金服务业务管理办法(试行)》的规定聘请基金运营外包服务机构,提供基金募集、投资顾问、份额登记、估值核算、信息技术系统等服务。虽然私募基金外包服务机构与投资者不存在直接的法律关系,但会在提供服务的过程中获取并处理投资者个人数据。
5.投资退出环节
根据《基金募集机构投资者适当性管理实施指引(试行)》、《私募投资基金服务业务管理办法(试行)》、《私募投资基金监督管理暂行办法》的相关规定,私募基金管理人、私募基金托管人及外包服务机构应当妥善保存私募基金投资决策、交易和投资者适当性管理等方面的记录及其他相关资料,保存期限自基金清算终止之日起不得少于10年。因此,基金募集机构(私募基金管理人及其委托的基金销售机构)、基金托管人、外包服务机构在投资退出后仍需长期保管投资者个人数据。
二、私募基金领域投资者个人数据合规的监管现状
(一)法律层面
2016年4月,基金业协会发布了《私募投资基金募集行为管理办法》,其中第10条、第19条要求私募基金管理人、从业者应对投资者个人信息履行善管义务,具体要求包括:募集机构应当对投资者的商业秘密及个人信息严格保密,除法律法规和自律规则另有规定的,不得对外披露;募集机构应建立科学有效的投资者问卷调查评估方法,确保问卷结果与投资者的风险识别能力和风险承担能力相匹配,募集机构应当在投资者自愿的前提下获取投资者问卷调查信息。
前述办法仅是基金业协会的自律规则,未上升到法律法规规章的层面,且仅是关于投资者个人数据保护的原则性要求。
2016年11月,全国人大常委会颁布《网络安全法》,对网络运营者在中国境内建设、运营、维护和使用网络时的数据保护提出了要求,但是,由于私募的特性,大部分管理人并未运营网站或App,该法律规定不能适用于所有私募基金管理人,私募基金领域的个人数据合规仍处于法律灰色地带。
在此之后的数年间,私募基金行业个人数据保护还相对薄弱,缺乏更为具体的规范依据,实践中,也不乏出现私募基金产品销售人员私购、贩卖投资者个人信息的违法犯罪活动。
2021年,全国人大常委会先后颁布了《数据安全法》《个人信息保护法》,与《网络安全法》一起与共同构成了我国网络安全与数据合规领域立法的“三驾马车”,三部法律从不同维度对于个人数据的处理进行了较为系统的规制。
(二)监管层面
截至目前,证监会和基金业协会官网上,尚未出现明确体现涉及违反个人数据保护义务方面的处分,但是,近两年在证监会的监管措施中,已多次出现因“未妥善保存个别投资者的投资者适当性管理材料”,而被采取出具警示函、记入证券期货市场诚信档案等监管措施的私募基金管理人。
证监会对私募基金行业个人数据合规予以严格监管的态势已现端倪。
三、私募基金领域投资者个人数据合规的实务建议
关于个人数据保护的措施,《个人信息保护法》第51条已提供了基本思路,考虑到私募基金行业的特殊性,笔者认为可以从以下几方面完善个人数据合规路径:
(一)私募基金管理人自身的合规路径
1.限定个人数据收集范围
私募基金管理人应当重新审核现有基金募集文件,确认收集的投资者个人信息是否符合合法、正当、必要、不过度的原则,收集的敏感个人信息是否具有特定的目的和充分的必要性,是否为确认合格投资者及进行投资者适当性管理而必须收集处理的信息。
2.建立个人数据保护管理制度和操作规程
首先,私募基金管理人应明确内部负责个人数据保护的具体部门、人员及其职责、操作权限与补救措施,并定期对从业人员进行安全教育和培训。
其次,可以从事前风险评估、事中定期合规审计、事后补救措施三个维度完善管理制度和操作规程。私募基金管理人应重点关注如何将上述要点内化至自身业务规则和管理规定中,从制度入手进行个人数据合规管理。
3.落实“告知—同意”规则
《个人信息保护法》第13条至第18条明确了处理个人信息的核心规则,即“告知—同意”规则。所谓“告知”是指“以显著方式、清晰易懂的语言,真实、准确、完整地向个人告知下列事项:①个人信息处理者的名称或者姓名和联系方式;②个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;③个人行使本法规定权利的方式和程序;④法律、行政法规规定应当告知的其他事项。前款规定事项发生变更的,应当将变更部分告知个人。”
完成告知义务后,私募基金管理人在处理个人信息前必须获得个人同意,该同意应当由个人在充分知情的前提下自愿、明确作出,且个人有权撤回其同意的权利。
私募基金管理人落实“告知—同意”规则时需注意如下要点:
(1)无需获得同意的豁免情形
《个人信息保护法》第13条第(二)至第(七)项规定了不需取得个人“同意”的“豁免情形”,“豁免情形”仅限于为订立或履行合同、为履行法定职责或义务、为公共利益等所必需的情形。
具体到私募基金,私募基金管理人在与投资者签订合同时获取的身份信息、银行账户信息等应属于私募基金业务中订立或履行合同所必需,无需事先获得投资者的同意。另外,管理人为履行特定对象确定、投资者适当性管理、备案信息报送等法定职责而必须处理投资者个人数据的情形,笔者认为也无需事先获得同意。但是,豁免同意并不当然排除管理人的“告知”义务。
(2)敏感信息需特殊处理
根据《个人信息保护法》第28条的规定,个人信息处理者“只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下”方可处理敏感个人信息。故在处理投资的金融账户信息、人脸指纹等敏感信息时,除前文所述告知事项外,私募基金管理人还应向投资者告知处理敏感个人数据的必要性以及对个人权益的影响,并取得投资者个人的单独同意。
(3)设置“告知—同意”流程
笔者认为,在私募基金管理人网站、微信公众号、app的投资者登陆界面,以及投资者适当性管理文件中,可以新增个人信息处理的告知与同意信息、告知其处理个人信息、处理个人敏感信息、委托处理或向第三方提供的个人信息、保存期限及进行录音录像等事项,并获得投资者同意确认,以此落实“告知—同意”规则。
4.制定个人数据安全事件应急处理预案
私募基金管理人可结合自身的能力和资源,提前做好个人数据泄露、篡改、丢失的应急处理预案,必要时,还可进行应急演练。
尽可能在个人信息安全事件发生时立即采取补救措施,并通知履行个人数据保护职责的部门和个人,最大程度减少事件对于个人的影响。
(二)委托外包的合规路径
私募基金管理人除了自行管理私募基金外,还可能委托外包服务机构,提供基金募集、投资顾问、份额登记、估值核算、信息技术系统等服务,此时私募基金管理人需要注意以下合规要点:
1.应当对外包服务机构进行事前评估
私募基金管理人委托他人处理个人数据、向其他个人数据处理者公开个人数据的,应当事前对外包服务机构进行个人数据保护影响评估,并保存相关评估报告。评估内容主要包括核实外包服务机构个人数据处理的目的、方式等是否合法、正当、必要,对个人权益的影响及安全风险,所采取的保护措施是否合法、有效并与风险程度相适应等。
2.订立委托合同监督外包服务机构的个人数据处理活动
在完成前述评估后,私募基金管理人应当与受托的外包服务机构订立委托合同,明确约定委托处理的目的、期限、处理方式、个人数据的种类、保护措施以及双方的权利和义务、违约责任等,并对第三方销售机构的个人数据处理活动进行监督。
3.及时返还或删除
如果私募基金管理人与受托的外包服务机构订立的委托合同不生效、无效、被解除,或者因履行完毕而终止的,私募基金管理人应当敦促外包服务机构及时返还其基于委托所处理的个人数据或者予以删除,不能继续保留。
4.禁止转委托
私募基金管理人应在委托合同中明确要求,外包服务机构在未经管理人同意的情况下,不得转委托他人处理个人数据。
(三)涉外基金个人数据出境的合规路径
QDLP、QDII、QDIE等跨境基金,因募集和客户管理的需要,会收集、处理中国境内投资者的相关信息,并提供给境外机构。《数据出境安全评估办法》施行后,我国企业对出境数据必须依法进行风险自评估;若触发申报条件,则必须申报数据出境安全评估,通过评估的重要数据及个人信息方可合法出境。
因此,私募基金管理人在处理个人数据出境时应先行完成如下评估:
1.评估是否构成“重要数据”
《数据出境安全评估办法》中,国家互联网信息办公室将“重要数据”定义为“一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据”。
笔者认为,基于目前的业务模式,私募基金管理人仅向境外机构提供境内投资者的个人数据很难构成重要数据,但管理人仍应当在每次数据出境前,结合具体情况进行自评估。
2.评估是否构成“关键信息基础设施运营者”
《网络安全法》中将“关键信息基础设施”定义为“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施”。
笔者认为,目前私募基金管理人未被定性为金融机构,其使用的信息系统构成“一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施”的可能性也较小,一般不会将私募基金管理人认定为“关键信息基础设施运营者”。若管理人自身难以进行判断的,也可以向当地公安部门进行咨询。
3.评估是否达到“国家网信部门规定数量”
根据《数据出境安全评估办法》第4条的规定,处理100万人以上个人信息的数据处理者,以及自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者,向境外提供个人信息的,数据处理者应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。
私募基金管理人应结合自身业务规模对此予以重视。
目前,我国对于个人数据的保护与监管才刚刚起步,配套的法规、标准还有待完善,法律的实施情况和监管口径也需要进一步在实操中领会。我们将持续关注数据保护与监管对于私募基金运作的持续影响,以及后续相关配套细则、规定的落地和具体实施情况。
