浙江证监局防非宣传月系列宣传(二)——恪守私募基金管理人义务 做好投资者个人信息保护

· 法治天地

 近期,第十三届全国人民代表大会常务委员会第三十次会议表决通过了《中华人民共和国个人信息保护法》(以下简称《个保法》),并已于2021年11月1日正式实施。这是我国首部针对个人信息保护的系统性、综合性法律,是个人信息保护领域的基本法,对于规范包括私募基金行业在内的各行业均具有里程碑式的意义。投资者个人信息保护是投资者权益保护的重要组成,在《个保法》实施后,私募基金管理人应当严格按照《个保法》规定,恪守自身对投资者的信义义务,加强合规内控,从而落实《个保法》具体要求,做好投资者个人信息处理的相应规范工作,加强投资者个人信息的保护。 

一、《个保法》实施对私募基金管理人提出的要求

《个保法》共分八章七十四条,主要内容包括个人信息处理的一般规则、个人信息跨境提供规则、个人在信息处理过程中的权利、个人信息处理者的义务、履行个人信息保护职责的部门及法律责任等,旨在规范个人信息处理活动。结合私募基金行业的具体情况,私募基金管理人应当从以下方面落实《个保法》的具体要求。

(一)梳理私募基金业务中涉及的投资者个人信息种类及处理行为类型

《个保法》第四条对个人信息及个人信息处理行为进行了界定。私募基金管理人作为投资者个人信息处理者,应根据该等界定,按照“识别+关联”的判断路径,明确其在资金募集、基金运营管理、基金清算等基金业务全流程中涉及的投资者个人信息的范围及处理行为的具体场景或种类。

(二)遵循合法、正当、必要和诚信原则

私募基金管理人在处理投资者个人信息时,应确认其信息处理行为具备《个保法》第十三条规定的合法性基础。对于私募基金管理人为履行法定义务、法定职责所必需或为履行与投资者之间的基金合同所必需而处理投资者的个人信息的行为,管理人无需另行取得投资人的同意。对于不具备《个保法》第十三条规定的可豁免同意的合法性基础的,基金管理人在处理该等投资者信息前,均需另行依照《个保法》规定的形式取得投资者同意。

基金管理人应确保其各项信息处理行为均具备合理的处理目的。基金管理人应系统梳理为实现该等处理目的需要处理的个人信息,根据处理目的的不同,区分必要信息和非必要信息,将其处理的投资者个人信息种类限定在各项处理目的所必要的最小范围内,并确保对投资者个人信息的保存期限为实现该等处理目的所必要的最短时间。法律法规、部门规章、行业自律规则对信息保存期限有规定的,应当从其规定。

(三)加强内控,形成个人信息处理及保护机制

私募基金管理人应结合自身的实际情况,制定个人信息处理和保护机制,对个人信息实行分类管理,采取相应的加密、去标识化等安全技术措施,合理确定个人信息处理的操作权限,制定并组织实施个人信息安全事件应急预案,根据《个保法》规定就投资者个人信息处理行为进行事先个人信息保护影响评估、定期开展合规培训、进行合规审计。

(四)制定投资者个人信息处理规则

私募基金管理人应加强对个人投资者信息处理和保护的普法教育,向投资者告知《个保法》第十七条规定的事项;就敏感个人信息向投资者告知《个保法》第三十条规定的事项;处理不满十四周岁未成年人个人信息的专门规则;防止信息泄露、篡改、丢失的措施;个人信息出境的处理原则;个人信息泄露、篡改、丢失的补救措施等。

(五)加强投资者敏感个人信息保护

在处理自然人投资者个人信息时,私募基金管理人应当对其基金业务中可能涉及的投资者银行账户、基金账户等金融账户信息、继承或赠与等非交易过户场合可能涉及的不满十四周岁未成年人的个人信息等“敏感个人信息”持更为谨慎的态度,确保其处理行为具有《个保法》第十三条规定的合法性基础,并告知投资者“处理敏感个人信息的必要性以及对个人权益的影响”。需处理不满十四周岁未成年人个人信息的,基金管理人应当取得未成年人的父母或者其他监护人的同意,并应当制定专门的个人信息处理规则。

(六)厘清基金业务中各合作机构之间的法律关系和权利义务

基金业务中涉及基金代理销售机构、基金服务机构等第三方机构处理投资者个人信息时,基金管理人应厘清各方在投资者信息处理过程中的关系,是各自作为独立的个人信息处理者,亦或是属于相关合作方共同处理或委托处理的情形,并通过签署书面协议明确各方之间的法律关系及权利义务。基金管理人基于基金业务协同的需要,向其他独立个人信息处理者提供其处理的投资者个人信息的,应当具备《个保法》第十三条的合法性基础,并向投资者告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类。

(七)谨慎对待投资者个人信息的跨境提供

私募基金管理人应筛选存在跨境提供投资者个人信息的具体业务场景,仅在因业务等需要确需向境外提供个人信息的情形下,跨境提供个人信息,且应当符合《个保法》及其他相关法律规范关于跨境提供个人信息的条件。私募管理人应尽可能采用匿名化、去标识化处理的方式提供有关信息。对于不符合相关法定条件的,基金管理人应当对该等跨境提供个人信息的行为进行整改或不再跨境提供个人信息。

(八)强化信息安全方面的技术支持

私募基金管理人应提高风险防范意识,慎重使用各类系统、软件,对自身信息系统进行安全检查,强化信息安全方面的技术防控,尽量减少公司系统网络与开放式互联网络之间的信息交互,采取IT系统手段防止各类个人信息的泄露、篡改和丢失。

(九)完善智能投顾服务流程

私募基金管理人对投资者提供智能投资顾问服务,涉及利用投资者个人信息进行自动化决策的,应当保证决策的透明度和结果的公平、公正,不得对投资者在交易价格等交易条件上实行不合理的差别待遇,并应当同时提供不针对投资者个人特征的选项,或者向投资者提供便捷的拒绝方式。

(十)做好有关信息披露或告知工作

为更好地维护投资者权益,私募基金管理人有必要就个人信息处理相关事项向投资者出具告知书,并在基金产品合同中以显著的标识向投资者提示个人信息处理涉及的相关权利义务及信息处理相关风险。如涉及第三方处理投资者个人信息的,为使投资者充分了解基金产品涉及的各方经营主体对其个人信息的处理,基金管理人宜将各方的法律关系及权利义务一并向投资者披露。 

二、私募基金管理人未妥善履行《个保法》相关义务的法律风险

《个保法》对个人信息处理者等相关主体违反其规定,根据情节严重程度,明确了相应的法律责任,包括行政责任或刑事责任,造成损害的还应承担民事赔偿责任。私募基金管理人应关注由此带来的法律风险。

(一)行政责任及刑事责任

对于个人信息处理者违反《个保法》规定的行为或者处理个人信息不符合《个保法》规定的行为,《个保法》第六十六条规定“由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款”;“有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人”。

《个保法》第七十一条还规定“违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任”。

(二)民事赔偿责任

1、采取过错推定的归责原则

《个保法》第六十九条第一款规定“处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任”。该表述确立了个人信息侵权的归责原则,即“过错推定责任”。当发生私募基金管理人的个人信息处理行为对投资者权益造成损害时,投资者无需自己来举证基金管理人的信息处理行为存在过错,而反过来由私募基金管理人对于其行为没有过错承担举证责任,如举证不能,则应对投资者的损害承担赔偿责任。这就加重了私募基金管理人在投资者个人信息保护方面的义务。私募基金管理人有必要做好各项事前告知、取得同意以及记录留痕等工作,加强合规内控,方能应对事后一旦出现风险事件时的举证和免责,否则就会承担被动不利的后果。

 2、赔偿金额

《个保法》第六十九条第二款规定“前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额”。由此来看,即便侵害个人权益的行为无法转化为明显的客观损害或未给基金管理人带来明显收益,或损害、收益的金额无法确定,司法机关仍可根据实际情况酌情确定赔偿数额。这方面的法律风险和自由裁量不确定性也非常大,在逻辑上,相关民事责任没有赔偿金额的上限。私募基金管理人对此也需要按从严标准做好事前的各项防范。

3、连带责任

《个保法》第二十条第二款还规定了共同处理个人信息的连带责任,即“个人信息处理者共同处理个人信息,侵害个人信息权益造成损害的,应当依法承担连带责任”。据此,在基金业务中涉及其他第三方处理投资者个人信息的,如该第三方与基金管理人均被界定为个人信息处理者,且被认定为共同处理个人信息,则基金管理人与该第三方机构均应对另一方行为造成的投资者的损失承担连带赔偿责任。为规避该法律风险,私募基金管理人有必要事先通过协议明确界定其与合作方各自在投资者信息处理过程中的法律关系及权利义务,明确是否要承担连带责任。

(三)信用档案制度

对于违反《个保法》的行为,私募基金管理人除承担上述行政责任、刑事责任或民事赔偿责任外,《个保法》第六十七条还规定相关违法行为会“依照有关法律、行政法规的规定记入信用档案,并予以公示”。信用档案的公示惩戒虽不会给基金管理人造成直接经济损失,但其产生的公开效应将严重损害私募基金管理人的声誉,对私募基金管理人的未来经营造成更持久的负面影响,对此也不可不察。 

三、结语

《个保法》的正式实施标志着我国对个人信息保护的全面升级。在数字经济不断向纵深发展的今天,这是平衡个人正当民事权利和社会经济整体发展两个维度价值的必要举措,具有深远而重要的时代意义,私募基金管理人对此应高度重视。

私募基金管理人面对的自然人客户都是高净值的合格投资者或专业投资者,其对个人信息及其承载的个人人格尊严非常敏感和关注,会要求私募基金管理人对此严加注意、勤勉忠实。私募基金管理人应坚守对客户恪尽职守、依法合规的商业伦理,从而建立起负责任的声誉和口碑,并经时间的沉淀转化为客户的高度信任和专业依赖。个人信息保护应当作为私募基金管理人日常经营的一项基础性工作。如果发生个人信息的不当泄露,会给管理人带来重大的声誉风险,影响客群的稳定性、获客的有效性和客户质量,进而影响长期经营。同时,如未能遵守《个保法》相关条文,也会触发相关法律合规风险,承担如上文所述的各种法律责任,给管理人造成众多的负面影响。

因此,私募基金管理人应根据《个保法》各项规定,结合自身业务经营的实际情况,做好法律实施的各项衔接准备。对照自身现有的业务流程,梳理排查由此产生的新增法律风险点,未雨绸缪,提前应对;起草必要的告知函、授权书;完善IT系统等各项措施,履行好自身在《个保法》项下的各项义务,依法合规展业,由此完善和加强投资者的权益保护工作,在各方面树立起尽职、专业形象,为“基业长青”等长远发展目标奠定坚实的基础。 

注:本文内容引自中国基金业协会微信公众号。