近些年,数据合规逐渐成为私募投资领域的热门话题,大家的关注焦点主要集中在投资标的的数据合规上,而私募基金本身的数据合规问题却鲜受关注。直到2021年下半年,随着《个人信息保护法》的颁布实施,投资者个人信息保护问题越来越受到业内重视。事实上,从数据来源来看,私募基金至少在投资者、投资标的、从业人员等三个维度均面临数据合规问题。针对来源于投资标的、从业人员的数据,私募机构同其他一般的投资类企业相比,所面临的数据保护责任大同小异。特殊之处在于,相较于一般投资类企业,私募基金管理人能够向合格投资者募集资金,并以保护投资者权益作为核心义务之一。因此,投资者数据保护成为私募机构数据合规的核心问题。
针对投资者数据保护问题的讨论,目前主要集中在自然人投资者的个人信息保护层面,鲜有涉及机构投资者的数据保护问题,且在“告知-同意”这一个人信息保护核心规则的适用方面还存在不小争议。本文将以上述问题为重点,主要从管理人境内展业的角度(本文暂不讨论托管、销售、份额登记、估值核算等基金服务机构,亦暂不讨论数据出境问题),就私募基金自身的数据合规问题进行初步探讨。
(一)什么是数据 根据《数据安全法》第三条,数据“是指任何以电子或者其他方式对信息的记录”。可见,数据的范畴非常广泛,而个人信息也是数据中的一种。 《个人信息保护法》第四条将个人信息进一步界定为“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”。 相较于《民法典》等此前颁布的法律法规将个人信息界定为“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息”,《个人信息保护法》将原来“相关+识别”的界定标准(即任何信息,即便与个人的相关性极低,只要跟其他信息结合后能够识别特定自然人,就属于个人信息)改造为“识别+相关”的界定标准(即首先要达到可识别的程度,然后与之相关的信息才能被界定为个人信息),有利于我们更加准确地界定哪些是自然人投资者的个人信息。 (二)私募基金涉及哪些投资者数据 根据私募基金行业实际,管理人主要基于特定对象确定程序、投资者适当性管理、基金备案信息报送、基金合同签订履行等场景,处理投资者数据。 1.私募基金涉及的自然人投资者个人信息 一是通过《投资者基本信息表》收集的个人信息,包括姓名、性别、年龄、证件号码、国籍、职业、职务、联系方式、金融资产和收入状况及相关证明、投资经历、诚信记录等。 二是通过《风险测评问卷》收集的个人信息,包括财务状况、金融投资知识的掌握情况及投资经验、投资目标、风险偏好等,以及风险测评结果。 三是管理人对自然人投资者的“个体画像”信息。包括普通投资者风险承受能力分类结果、普通投资者转化为专业投资者申请结果等,均系管理人以投资者个人信息为“原料”,依据特定“算法”构建的“个体画像”,仍属于《个人信息保护法》界定的个人信息范畴。 四是“双录”(即录音、录像)信息。 五是基金账户、银行账户等金融账户信息。 六是基于非居民金融账户涉税信息尽调取得的个人信息。 七是基金份额数量、净值、交易、收益分配、基金清算等其他环节涉及的投资者个人信息。 在上述投资者个人信息中,证件号码、金融账户信息、金融资产和收入状况及相关证明等可能构成敏感个人信息。 2.私募基金涉及的机构投资者数据 一是通过《投资者基本信息表》收集的数据,包括名称、类型、资质、统一社会信用代码、经营范围、注册地址、注册资本、控股股东或实控人、法定代表人或负责人(及其个人信息)、资产规模及相关证明、诚信记录等。 二是通过《风险测评问卷》收集的数据,包括单位性质、资产和收入状况、债务状况、金融产品投资能力、金融投资经验、投资目标、风险偏好等,以及风险测评结果。 三是“双录”(即录音、录像)数据。 四是基金账户、银行账户等金融账户信息。 五是基于非居民金融账户涉税信息尽调取得的机构投资者数据。 六是基金份额数量、净值、交易、收益分配、基金清算等其他环节涉及的机构投资者数据。 “告知-同意”是《个人信息保护法》确立的核心规则,据此个人信息处理者在处理个人信息前应充分告知并取得个人同意。针对告知和同意,法律均规定了相应的豁免情形。而对于私募基金管理人处理投资者个人信息是否属于法定的豁免同意情形,业内尚存在争议。 (一)反对方的理由 反对派认为,从法律依据来看,私募基金管理人基于特定对象确定程序、投资者适当性管理、基金备案信息报送等场景处理投资者个人信息,系为履行《证券期货投资者适当性管理办法》等规定所必需,属于《个人信息保护法》第十三条第一款第(三)项规定的“为履行法定职责或者法定义务所必需”,故依据该条第二款的规定,不需取得个人同意。 从实践障碍来看,如允许投资者对管理人处理其个人信息拥有不同意或撤回同意的权利,当投资者不同意管理人处理其个人信息时,依据《个人信息保护法》第十六条的规定,管理人“不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务”,但管理人继续提供服务又无法按照私募基金相关监管要求履行前述投资者适当性管理等义务,由此管理人将陷入两难局面。当投资者在私募基金成立后撤回同意时,一方面,管理人将陷入上述两难局面;另一方面,如私募股权投资基金的投资者以此为由同意退出,又可能违反封闭运作要求。 (二)支持方的考量 如前所述,管理人主要基于特定对象确定程序、投资者适当性管理、基金备案信息报送、签订和履行基金合同等场景,处理投资者个人信息。其中,因签订和履行基金合同而处理投资者个人信息,属于《个人信息保护法》第十三条第一款第(二)项规定的“为订立、履行个人作为一方当事人的合同所必需”,不需取得个人同意;在其他场景下,收集和处理投资者个人信息主要系依据《证券期货投资者适当性管理办法》等证监会部门规章和中基协相关自律规则,其不是法律或行政法规,据此收集和处理投资者个人信息不属于“为履行法定职责或者法定义务所必需”,仍应取得个人同意。需要特别说明的是,尽管作为《证券期货投资者适当性管理办法》上位法的《证券法》、《证券投资基金法》属于法律,但其并未具体规定投资者数据处理的范围、方式等,且非证券类的私募基金也一直被主流观点排除在上述法律的适用范围之外。当然,《私募投资基金监督管理条例》正式出台后,还需结合这一行政法规的具体内容,进一步判断“告知-同意”规则的适用问题。 从所谓实践障碍来看,如投资者不同意管理人处理其个人信息,将导致管理人无法按照监管要求履行相关适当性义务,即“处理个人信息属于提供产品或者服务所必需”,系《个人信息保护法》第十六条规定的除外条款,管理人据此有权拒绝向相关投资者提供服务。如投资者在私募基金成立后撤回同意,一方面,其身份信息、账户信息等属于“为订立、履行个人作为一方当事人的合同所必需”,不需取得个人同意,不存在撤回同意问题;另一方面,鉴于遵守私募基金相关监管规定是包括投资者在内的基金合同各方的共同义务,管理人对撤回同意的投资者适用违约除名规则,亦不违反封闭运作要求。 (三)结论 管理人处理签订和履行基金合同所必需的投资者个人信息,比如投资者身份信息、账户信息等,不需取得投资者同意。但需要注意的是,第一,私募基金收集投资者个人信息的主要阶段是在特定对象确定阶段,此时尚不确定能否签订基金合同,还谈不上履行基金合同所必需;第二,即便能够豁免“同意”,也并不等于豁免“告知”。 管理人在其他场景下处理投资者个人信息,一般不能构成《个人信息保护法》第十三条第一款第(三)项规定的情形,应当取得投资者同意。 综上,从谨慎角度出发,管理人处理各类投资者个人信息时,均应全面适用“告知-同意”规则。 (一)私募基金管理人处理自然人投资者个人信息的合规建议 1.完善制度 建议管理人制定并实施关于投资者个人信息处理的内部管理制度和操作规程,合理确定投资者个人信息处理的操作权限;制定并实施个人信息安全事件应急预案。 2.优化文件 一是完善《基金合同》,建议明确约定投资者承诺遵守并配合管理人执行《证券期货投资者适当性管理办法》等私募监管领域部门规章、自律规则和规范性文件,并相应约定除名退出等违约责任。由此,管理人可在满足封闭运作要求的基础上,对因撤回同意而导致管理人无法继续提供服务的投资者予以除名退出;并通过意思自治,尽量弥合投资者个人信息删除权与信息保存期限的监管要求之间的冲突。 二是制定《投资者个人信息处理告知同意函》和《投资者个人信息处理规则》。针对一般个人信息处理,应按照《个人信息保护法》第十七条规定的内容,结合私募业务实际,向投资者进行充分告知并取得签字同意;针对敏感个人信息处理和中基协备案信息报送,除应告知上述内容外,还应向投资者告知处理敏感个人信息的必要性以及对个人权益的影响,并应参照《风险揭示书》的签署模式,要求投资者逐项签字同意。管理人还可将告知内容制成《投资者个人信息处理规则》并在公司公众号或网站长期公示,供《投资者个人信息处理告知同意函》直接引述。 3.健全机制 一是采取加密、去标识化等安全技术措施,初期可与公司保密工作统筹考虑,同部署、共实施。 二是建立从业人员投资者个人信息安全教育培训机制,定期开展相关培训并留痕。 三是建立合规审计机制,初期可与合规检查、内部审计等工作合并进行,一果多用。 四是建立投资者个人信息保护影响事前评估机制,主要适用于处理敏感个人信息、进行自动化决策(适当性匹配)等情形,妥善保存评估报告和处理情况记录。 五是建立投资者行使权利的申请受理和处理机制,为投资者提供行使《个人信息保护法》项下各项权利的通道。 六是规范自动化决策操作机制。鉴于普通投资者风险承受能力分类结果、普通投资者转化为专业投资者申请结果等可能构成“个体画像”,在此基础上进行的适当性匹配则可能在某种程度上构成自动化决策。管理人应当遵守自动化决策的限制规定,向投资者充分解释适当性匹配规则,允许投资者主动要求购买与其风险承受能力不匹配的产品,不得对不同投资者予以差别待遇。 (二)私募基金管理人处理机构投资者数据的合规建议 在完善制度方面,私募基金管理人应建立健全全流程数据安全管理制度,其中既应包含投资者个人信息处理的内容,也应包含机构投资者数据处理的内容;管理人应建立健全数据安全事件应急管理制度,其中既应包含个人信息安全事件应急预案,也应包含机构投资者数据安全事件的管理机制,据此加强风险监测,一旦发生风险事件,立即采取处置措施,及时告知投资者并向有关主管部门报告。 在健全机制方面,管理人对机构投资者数据也应采取相应的技术措施,以保障数据安全;同时定期组织开展覆盖个人信息保护和机构投资者数据安全的教育培训,并做好留痕。 此外,管理人还应跟踪关注适用于私募基金行业的重要数据目录,相应履行重要数据处理者的相关法律义务。
信息来源:基小律
