文/北京国枫(上海)律师事务所  刘倩、顾忻媛
近年来,随着世界各国对数据安全和个人信息保护的日趋重视,我国对于数据安全和个人信息的保护力度也不断加大,《中华人民共和国网络安全法》(以下简称“《网络安全法》”)《中华人民共和国数据安全法》(以下简称“《数据安全法》”)和《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”)在呼声中陆续出台,《中华人民共和国民法典》(以下简称“《民法典》”)中也专门设置隐私权和个人信息保护专章。有关个人信息的处理(包括但不限于个人信息的收集、存储、使用、加工、传输、提供、公开、删除等)有了逐步明确的保护和监管。
在私募基金管理人进行基金募集时,通常需要处理投资者的信息,可能触及到数据安全和个人信息保护的相关规定。因此近期也有不少私募基金管理人前来咨询,在现行个人信息保护的规定下,处理投资者信息时需要注意哪些要点?因此,本文主要结合《个人信息保护法》《民法典》及其配套法规和规定,对于实务中私募基金募集时通常处理个人信息的行为进行合规提示。
一、个人信息的范围
在分析个人信息保护之前,首先需要厘清个人信息的范围,辨析法律中对于个人信息的边界。目前,与个人信息相关的主要有以下三个概念:
(一)个人信息
现行法律中,对于个人信息的定义,主要经过了以下转变:2016年颁布的《网络安全法》第76条规定,个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。2020年颁布的《民法典》第1034条规定,个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。可以看到,《民法典》与《网络安全法》对于个人信息的认定主要聚焦于“可单独或与其他信息结合识别”,且《民法典》在《网络安全法》的基础上又对列举进行了一定的扩充。而在2021年颁布的《个人信息保护法》第4条中规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。《个人信息保护法》对于个人信息的定义已经作出了一定程度的扩张,在“可识别性”的基础上又增加了“相关性”的范围,个人信息未必仅限于可识别到特定自然人,只要与已识别或者可识别的自然人有关,即属于《个人信息保护法》项下定义的个人信息,但是如果个人信息已经过处理无法识别特定自然人且不能复原的除外。
私募基金管理人在募集基金时,为识别投资者及进行投资者适当性判断,对于个人投资者,通常会收集其姓名、出生日期、身份证件号码、住址、电话号码、电子邮箱等信息并进行储存、分析等信息处理工作。因此,《个人信息保护法》颁布可能会影响到私募基金管理人处理个人信息的标准和范围,私募基金管理人需要注意对于个人信息处理的监管要求,并加强处理个人信息的合规意识。
(二)敏感个人信息
特殊于“个人信息”,《个人信息保护法》中还提出了“敏感个人信息”的概念。根据《个人信息保护法》第28条规定,敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。在《信息安全技术个人信息安全规范》(标准号:GB/T 35273-2020)(以下简称“《个人信息安全规范》”)中,个人敏感信息是指,一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。个人敏感信息包括身份证件号码、个人生物识别信息、银行账户、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下(含)儿童的个人信息等。《个人信息安全规范》附录还列举了以下个人敏感信息:
私募基金管理人在募集基金时,通常需要个人投资者提供银行账户信息及身份证件进行相关的业务操作;在进行合格投资者认定时,需要个人投资者告知存款信息等财产信息;在进行投资者适当性评估时,也会对个人投资者的风险承受能力等进行调查;部分私募基金公司还会对收集个人投资者的指纹或收集人脸识别信息,以限定投资者的身份及私募的范围。
(三)隐私权中的私密信息
同时,《民法典》第1032条还规定了对“隐私”进行了规定,隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。事实上,隐私权中的私密信息和个人信息、敏感个人信息会存在一定程度的重合,尤其与敏感个人信息重合度较高。就其保护程度而言,隐私也有着相对高的优先级,根据《民法典》第1034条规定,如果在处理个人信息时落入隐私权保护的“私密信息”,需要首先适用隐私权的规定,如果没有相关规定的,方可适用个人信息保护的相关规定。
需要注意的是,如果私募基金管理人未经个人投资者同意,即通过电话、短信、即时通讯工具、电子邮件、传单等方式进行私募基金推介的,可能属于《民法典》第1033条项下侵犯隐私权的行为。
此外,根据中国证券投资基金业协会发布的《私募投资基金募集行为管理办法》第三十条规定,如果由私募基金管理人自行募集的,其应当在投资冷静期满后,以录音电话、电邮、信函等适当方式进行投资回访。虽然《民法典》第1033条排除法律另有规定的情形,但由于《私募投资基金募集行为管理办法》不属于法律法规,为避免落入《民法典》规定侵犯隐私权之嫌,私募基金管理人应在向个人投资者推介基金时、或在基金合同中明确回访制度,并取得个人投资者的同意。
二、基金募集中处理个人信息的原则和要求
(一)个人信息保护的一般原则
如前文所述,在私募基金的募集过程中,如果涉及个人投资人,势必会收集、处理个人信息,在《民法典》和《个人信息保护法》中,也分别对于处理个人信息的主体提出了保护的要求和原则,概括来说,即合法、正当、必要、不过度原则。在处理个人信息前,个人信息处理者需要显著方式、清晰易懂的语言真实、准确、完整地向个人告知以下事项,并取得该自然人或监护人的同意
1.处理信息的规则;
2.处理信息的范围;
3.个人信息处理者的名称或者姓名和联系方式;
4.个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;
5.个人行使《个人信息保护法》规定权利的方式和程序;
6.法律、行政法规规定应当告知的其他事项。
需要注意的是,私募基金管理人向个人投资者告知上述事项,既是一项单独的合规义务,也是取得投资者同意的前提。因此,在私募基金管理人进行基金募集的时候,如果涉及处理个人信息的,需要提前向投资者清晰、完整地说明上述事项,如果前述事项发生变更的,私募基金管理人应当将变更部分告知投资者。
此外,《个人信息保护法》第13条也明确,如私募基金管理人为下述目的处理个人信息的,无需取得投资者个人同意:
1.为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;
2.为履行法定职责或者法定义务所必需;
3.为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
4.为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;
5.依照《个人信息保护法》规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;
6.法律、行政法规规定的其他情形。
(二)个人信息保护的单独同意
需要注意的是,根据《个人信息保护法》的规定,私募基金管理人在处理投资者个人信息时,除了遵守前述的保护原则,即提前告知信息并取得个人同意外,对于几项特殊的情形,还需要取得个人的单独同意。
1.处理敏感个人信息
《个人信息保护法》第28条规定,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。前文中我们提到,私募基金管理人在募集基金时,很有可能收集个人投资者的银行账户、存款信息、指纹、身份证等敏感个人信息并进行存储等处理,根据《个人信息保护法》第29条的规定,私募基金管理人处理敏感个人信息的,应当取得个人的单独同意。
还有一些私募基金管理人可能会收集人脸信息作为解锁软件和进行支付的密钥,需要注意的是,根据《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第2条规定,私募基金管理人也需要在征得自然人或者其监护人的单独同意的前提下处理人脸信息,且司法解释对“单独同意”做了排除性解释,以下几种情形下投资者的同意都不属于“单独同意”:
(1)信息处理者要求自然人同意处理其人脸信息才提供产品或者服务的,但是处理人脸信息属于提供产品或者服务所必需的除外;
(2)信息处理者以与其他授权捆绑等方式要求自然人同意处理其人脸信息的;
(3)强迫或者变相强迫自然人同意处理其人脸信息的其他情形。
2.向第三方提供个人信息
在实践中,私募基金管理人可能会存在集团化运作的情形,可能根据集团的规定将其处理的个人信息提供给集团总部或关联方,然而,鉴于法人人格的独立性,集团总部和关联方就属于《个人信息保护法》中的第三方。根据《个人信息保护法》第23条规定,私募基金管理人向其他个人信息处理者提供其处理的个人信息的,除了需要取得个人的单独同意外,还应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。
3.其他需要取得个人单独同意的情形
除上述两种情形外,《个人信息保护法》第25条、第26条和第39条还分别规定,个人信息处理者在以下三种情况下,也需要取得个人的单独同意:
(1)公开个人信息;
(2)在公共场所安装图像采集、个人身份识别设备,且所收集的个人图像、身份识别信息不用于维护公共安全的目的;和
(3)向境外提供个人信息。
由于在私募基金募集过程中,前两种情况相对少见,向境外提供个人信息又在本文第五章中分析,受篇幅所限,此处不再多做赘述。
三、私募基金管理人在募集基金时的合规要点
既然私募基金管理人在募集基金时可能处理较多个人信息,那么如何落实《个人信息保护法》的要求、妥善保护投资者的个人信息,就是亟待解决的问题。我们结合《个人信息保护法》的规定以及实务中的常规操作,提出以下合规建议。
(一)建立个人信息保护管理制度和操作规程
对于私募基金管理人而言,首先需要在内部建立个人信息保护管理制度和操作规程。比如,在内部对个人信息实行分类管理,合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训。
(二)框定收集个人信息范围
私募基金管理人应当审核基金募集文件,根据《个人信息保护法》等法律的规定,确认收集的个人投资者信息是否符合合法、正当、必要、不过度原则,收集的敏感个人信息是否具有特定的目的和充分的必要性,是否为确认合格投资者及投资者适当性要求的必要而收集处理。
(三)调整基金募集文件及流程
根据前文介绍,个人信息根据适用场景和信息性质有不同等级的保护措施。因此,建议私募基金管理人审阅私募基金的募集文件及募集流程,在不同场景下,告知个人其所需要处理的个人信息并取得个人同意,并在收集敏感个人信息、向第三方提供个人信息、跨境传输信息前履行必要的告知义务,并取得个人的单独同意。
(四)采取必要的安全技术措施
私募基金管理人还可以采取提升网络安全保护等级、加密、去标识化等安全技术措施对于个人信息的传输、存储、处理进行数据保护。需要注意的是,《个人信息保护法》中个人信息的定义排除了“匿名化”处理后的信息,而在该法中还提到了“去标识化”的概念,这二者虽然有一定的相似性,但还是存在概念上的不同。去标识化,是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程。因此,去标识化更类似于对信息加密,在一定信息的辅助下,仍然可以恢复识别到特定自然人。而匿名化处理则无法识别且不能复原,只有在这种情况下,才不属于《个人信息保护法》定义的个人信息。
(五)制作并组织实施个人信息安全事件应急处理预案
对于如果发生个人信息泄露、篡改、丢失的情形,私募基金管理人应当提前做好应急处理预案,结合自身的能力和资源,尽可能在个人信息安全事件发生时立即采取补救措施,并通知履行个人信息保护职责的部门和个人,最大程度减少事件对于个人的影响。
四、委托外包机构销售基金的合规要点
在私募基金募集阶段,私募基金管理人除了自行募集销售基金外,也可能委托第三方机构进行基金销售。因此,私募基金管理人委托第三方销售机构销售基金时,根据《个人信息保护法》的相关规定,还需要注意以下几点合规要求:
(一)事前评估
私募基金管理人委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息的,应当事前对第三方销售机构进行个人信息保护影响评估。需要注意,对于第三方销售机构进行个人信息保护影响评估的内容至少需要包括以下三点:
1.个人信息的处理目的、处理方式等是否合法、正当、必要;
2.对个人权益的影响及安全风险;
3.所采取的保护措施是否合法、有效并与风险程度相适应。
此外,私募基金管理人如对第三方销售机构进行个人信息保护影响评估的,该评估报告和处理情况记录应当至少保存三年。
(二)订立委托合同
在完成前述个人信息保护影响评估报告后,私募基金管理人应当与受托的第三方销售机构订立委托合同,约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对第三方销售机构的个人信息处理活动进行监督。同时,第三方销售机构应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息。如果是为了某一私募基金管理人委托之目的收集投资者个人信息的,未经该等自然人同意,不能将其个人信息再作其他目的和用途。
(三)事后返还或删除
如果私募基金管理人与受托的第三方销售机构订立的委托合同不生效、无效、被撤销或者终止的,私募基金管理人应当敦促第三方销售机构返还其基于委托所处理的个人信息或者予以删除,不能继续保留。
(四)禁止转委托
根据《个人信息保护法》第21条的规定,未经私募基金管理人同意,第三方销售机构也不得转委托他人处理个人信息。这也与《民法典》中关于转委托的要求一致。
五、涉外基金的跨境传输
在实务过程中,不少美元基金以及QDLP、QDII、QFII、QFLP等跨境基金和金融产品因募集和客户管理需要,会收集、处理中国境内投资者的相关信息,而外资私募基金管理人(PFM)、中外合资私募基金管理人出于集团要求和反洗钱监管要求等原因,也会有收集、处理中国境内投资者相关信息的要求。根据《个人信息保护法》第三条第二款的规定,以向境内自然人提供产品或者服务为目的、或分析、评估境内自然人的行为,在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,适用《个人信息保护法》的规定。而私募基金投资者也不仅限于自然人,在募集中,也会涉及处理大量的机构投资者,如果需要向境外传输相关的数据,则可能落入《数据安全法》和《网络安全法》的监管范围。
在信息数据领域有一个现象,数据是越用越多的,而人们对于数据和个人信息的保护需求也是越来越高的。目前,我国对于个人信息的监管才刚刚起步,还有许多配套的法规、标准有待出台,法律的实施情况和监管口径也需要进一步在实操中领会。我们将持续关注数据、信息的监管对于私募基金运作的持续影响,以及后续相关配套细则、规定的落地和具体实施情况。
刘倩  北京国枫(上海)律师事务所  合伙人
 业务专长
涉外收购与兼并业务、基金业务、金融业务
顾忻媛  北京国枫(上海)律师事务所  律师
 业务专长
私募基金、涉外法律、公司并购
继续阅读
阅读原文