浅议《个人信息保护法(草案)》对私募投资基金募集行为及行业监管带来的变化及影响

发布时间:2020-10-29来源:发布者:管理员浏览次数:1808打印本页

近年来,伴随着新经济业态的不断发展,社会大众关于个人信息保护或个人隐私保护的需求与日俱增。2016年,欧盟颁布了《通用数据保护条例》(General Data Protection Regulation,简称GDPR),对个人信息的收集和使用等相关事项作出了严格的规定。国内法学界及法律工作者也不断呼吁中国版的“GDPR”能够尽快出台,并且能够在《民法典》及《网络安全法》的基础上进一步搭建中国个人信息保护法律框架。2020年10月21日,中国人大网公布《中华人民共和国个人信息保护法(草案)》(以下简称“《个人信息保护法(草案)》”)全文并对其公开征求意见。本文作者作为私募基金领域的专业律师,敏感的意识到未来《个人信息保护法》的正式出台将对私募基金行业的部分自律行为和内部控制活动,特别是投资者个人信息的保护带来重要影响和变化。

根据现行的《私募投资基金募集行为管理办法》,涉及投资者个人信息的条款主要包括:“第十条:第十条 募集机构应当对投资者的商业秘密及个人信息严格保密。除法律法规和自律规则另有规定的,不得对外披露。”、“第十九条 募集机构应建立科学有效的投资者问卷调查评估方法,确保问卷结果与投资者的风险识别能力和风险承担能力相匹配。募集机构应当在投资者自愿的前提下获取投资者问卷调查信息。问卷调查主要内容应包括但不限于以下方面:(一)投资者基本信息,其中个人投资者基本信息包括身份信息、年龄、学历、职业、联系方式等信息;机构投资者基本信息包括工商登记中的必备信息、联系方式等信息;”。此外,并没有具体细则规定私募基金管理人或从业人员如何确保投资者个人信息的保护,留下了法律空白。然而实践中,私募产品销售人员私藏、贩卖投资者个人联系方式的现象屡见不鲜。因此,本文作者在阅读完《个人信息保护法(草案)》后认为本法案将从以下几点规范并调整现有《基金合同》、《募集说明书》、《风险揭示书》等法律文件中有关投资者权利义务的约定,对未来私募投资基金募集行为的合法合规要求带来新的变化。

一、明确私募基金管理人有权对投资者的个人信息进行处理;

条文:

第九条  个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。

解读:

本条明确了个人信息处理者对个人信息处理活动的责任承担,这就意味着“谁处理谁负责”。这就要求管理人应采取必要措施保障所处理的个人信息安全,包括技术措施、制度措施、管理措施等。这也意味着管理人需要从整体上对投资者个人信息保护措施进行优化和更新,以适应未来对个人信息保护的法律要求。

二、明确私募基金管理理人处理投资者个人信息的前提;

条文:

第十三条  符合下列情形之一的,个人信息处理者方可处理个人信息:(一)取得个人的同意;(二)为订立或者履行个人作为一方当事人的合同所必需;(三)为履行法定职责或者法定义务所必需;(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;(五)为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理个人信息;(六)法律、行政法规规定的其他情形。

第十四条 处理个人信息的同意,应当由个人在充分知情的前提下,自愿、明确作出意思表示。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。

解读:

上述两条确定了处理个人信息的合法性依据,且明确了处理个人信息的同意,应当由个人在充分知情的前提下,自愿、明确作出意思表示。实践中,管理人对于投资者个人信息的收集主要用于核实投资者是否符合中基协对合格投资者的要求,以履行投资者适当性义务。上述行为也因投资者签署了必要文件视为投资者同意管理人对其个人信息的收集及保存。因此,未经书面同意处理个人信息,或变更处理目的、处理方式和处理的个人信息种类的行为,是属于违反《个人信息保护法(草案)》的行为,应受到相应的处罚。

实践中,管理人违背上述要求侵犯个人信息的案例大量存在。如李铮、王成龙等侵犯公民个人信息罪一案[endnoteRef:1]中,被告人张雪檬于2018年5月至6月间先后三次花费了670元在被告人李铮经营的“胜达网络科技”淘宝店铺购买了三份名为“天津.xls”文档的公民个人信息共计53718条,并将上述部分公民个人信息提供给同事张某丙用于推销公司私募基金业务。又如王丽丽非法吸收公众存款罪一案[endnoteRef:2]中,被告人王丽丽非法获取客户财产信息100余条,客户姓名、联系方式等信息上万条。将部分信息提供给上海中云资产管理有限公司宁波鄞州分公司业务员用于推销该公司的产品。同时,实务中也确实存在私募基金工作人员倒卖客户资料等类似情形。这就需要管理人对于投资者信息的收集、保管、调用提出更完善的管理、操作规范。

三、建议《基金合同》、《募集说明书》等募集文件应明示投资者个人信息保护相关内容

条文:

第十八条 个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言向个人告知下列事项:(一)个人信息处理者的身份和联系方式;(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;(三)个人行使本法规定权利的方式和程序;(四)法律、行政法规规定应当告知的其他事项。前款规定事项发生变更的,应当将变更部分告知个人。个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理规则应当公开,并且便于查阅和保存。

第二十九条  个人信息处理者具有特定的目的和充分的必要性,方可处理敏感个人信息。

敏感个人信息是一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息,包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。

第三十条 基于个人同意处理敏感个人信息的,个人信息处理者应当取得个人的单独同意。法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。

第三十一条 个人信息处理者处理敏感个人信息的,除本法第十八条规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人的影响。

解读:

从以上条文可知,管理人收集的个人信息主要为投资者的财产信息、金融账户信息等,属于《个人信息保护法(草案)》规定的敏感信息。因此,管理人在收集及处理投资者信息时,应当向投资者示明收集、处理信息的必要性及对投资者可能产生的影响。考虑到操作层面,管理人履行上述告知事项时可以通过自身网站发布公告、App内通知、短信点对点的方式进行,对于处理个人信息的规则应当公开,便于查阅、保存。综上,本文作者建议管理人应在《基金合同》、《募集说明书》、《风险揭示书》等法律文件中明确列示有关管理人对投资者个人信息处理的权限并作相关风险的重点提示。

四、明确代销机构等外包服务机构的权利与义务

条文:

第二十二条  个人信息处理者委托处理个人信息的,应当与受托方约定委托处理的目的、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托方的个人信息处理活动进行监督。

受托方应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息,并应当在合同履行完毕或者委托关系解除后,将个人信息返还个人信息处理者或者予以删除。

未经个人信息处理者同意,受托方不得转委托他人处理个人信息。

解读:

现实中管理人会委托销售渠道或代销机构销售私募基金产品,也由此不可避免地需要销售机构对投资者信息进行必要的收集和处理。上述处理个人信息的方式即属于本条“个人信息处理者委托处理个人信息的”情形。从本条的要求来看,管理人应当就代销机构对于投资者个人信息的收集方式、保护措施、移交及删除等在双方的相关协议文本中予以体现,同时应当对代销机构在销售及后续保管中的情况予以监督。

五、明确私募基金投资者对个人信息的删除权

条文:

第四十七条  有下列情形之一的,个人信息处理者应当主动或者根据个人的请求,删除个人信息:(一)约定的保存期限已届满或者处理目的已实现;(二)个人信息处理者停止提供产品或者服务;(三)个人撤回同意;(四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息;(五)法律、行政法规规定的其他情形。法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止处理个人信息。

解读:

根据本条,管理人应当建立有效机制,在投资者赎回基金,或基金全部兑付完毕后主动删除个人信息,并将上述删除行为进行留痕备查。

六、明确私募基金管理人针对投资者个人信息保护应制定相应内控体系和规章制度

条文:

第五十条 个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人的影响、可能存在的安全风险等,采取必要措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露或者被窃取、篡改、删除:(一)制定内部管理制度和操作规程;(二)对个人信息实行分级分类管理;(三)采取相应的加密、去标识化等安全技术措施;(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;(五)制定并组织实施个人信息安全事件应急预案;(六)法律、行政法规规定的其他措施。

第五十三条 个人信息处理者应当定期对其个人信息处理活动、采取的保护措施等是否符合法律、行政法规的规定进行审计。履行个人信息保护职责的部门有权要求个人信息处理者委托专业机构进行审计。

第五十四条  个人信息处理者应当对下列个人信息处理活动在事前进行风险评估,并对处理情况进行记录:(一)处理敏感个人信息;(二)利用个人信息进行自动化决策;(三)委托处理个人信息、向第三方提供个人信息、公开个人信息;(四)向境外提供个人信息;(五)其他对个人有重大影响的个人信息处理活动。风险评估的内容应当包括:(一)个人信息的处理目的、处理方式等是否合法、正当、必要;(二)对个人的影响及风险程度;(三)所采取的安全保护措施是否合法、有效并与风险程度相适应。

第五十五条  个人信息处理者发现个人信息泄露的,应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项:(一)个人信息泄露的原因;(二)泄露的个人信息种类和可能造成的危害;(三)已采取的补救措施;(四)个人可以采取的减轻危害的措施;(五)个人信息处理者的联系方式。个人信息处理者采取措施能够有效避免信息泄露造成损害的,个人信息处理者可以不通知个人;但是,履行个人信息保护职责的部门认为个人信息泄露可能对个人造成损害的,有权要求个人信息处理者通知个人。风险评估报告和处理情况记录应当至少保存三年。

解读:

本次《个人信息保护法(草案)》从事前的风险评估、事中可以采取的手段、发生个人信息泄露时的补救措施和通知义务三个方面对个人信息处理者的权利义务进行了规范。从管理人角度出发,应当尽快将上述条文结合私募基金投资者信息的特点在运行制度上进行内化和修改,同时也应当对从业人员进行系统性、日常性的培训和教育,从制度、管理入手在源头上完成对投资者信息的全面保护。同时,基金管理人亦需要制定评估机制或内审制度,确保管理人能及时回顾并评估对投资人信息处理活动、保护措施是否合规,以进一步配合法律法规的合规要求。


结语:本次《个人信息保护法(草案)》汲取了包括欧盟GDPR等先进立法经验及理念,切实回应了现实生活中个人信息保护领域存在的突出问题。应当说,《个人信息保护法(草案)》是国家针对个人信息保护的专门性立法,其秉承《民法典》设立的个人信息权的保护原则,从体系上建立了“民法典-个人信息保护法-其他规范性法律文件”的个人信息保护体系,对于市场主体的信息合规工作提供了充分的法律依据。在私募基金领域,相信后续监管部门必然会根据正式出台的《个人信息保护法》的有关条款制定相应的行业自律规则,建立并完善有利于私募基金行业健康发展的营商环境。



来源:大成(宁波)所 陈轶琛、叶佳舟

扫一扫在手机打开当前页