編者按：近年來，隨著數字經濟的快速發展和資料主權概念的強化，資料作為生產要素的地位日益突出，資料安全、個人資訊保護等領域層出不窮的法規和案例更是將資料合規推至社會關注的焦點。

2023年12月6日下午，受廣汽資本邀請，國浩上海合夥人鄒菁就私募基金募集管理資料合規問題開展專題講座。鄒菁律師以《當私募基金遇到資料合規》為主題，介紹了資料合規對於私募機構的影響，並對私募機構如何完善資料合規措施以適應監管要求提出了細緻周全的建議。以下與您分享鄒菁律師的精彩演講。

目 錄

一、關於資料合規的法律監管框架體系

二、《個人資訊保護法》對私募基金的影響

三、私募基金領域資料合規的相關規定

四、私募基金管理人如何落實和完善個人資訊保護

五、個人資訊保護的相關案例解析

隨著資料監管的發展，私募基金行業的資料問題在這兩年得到更多重視。從基金端的角度，資料合規到底對私募基金業務的開展有何影響，以及我們應該怎樣合規化以適應當下監管要求，是必須面對和思考的問題。

一

關於資料合規的法律監管框架體系

(一) 法律監管框架

資料合規在法律層面上的框架體系是「三法一條例」——這幾部法律的實施時間都還不長，其中《網路安全法》於2017年實施，《資料安全法》《個人資訊保護法》以及《關鍵資訊基礎設施安全保護條例》（以下簡稱《關基條例》）均於2021年實施。《關基條例》從關鍵資訊基礎設施的認定、完善監督管理體系、運營者責任義務、保障和促進措施與法律責任等多個方面細化了《網路安全法》在關鍵資訊基礎設施上的監管要求，與《網路安全法》一起構建了國家關鍵資訊基礎設施安全保護體系的頂層設計。

(二) 三部法律的主要內容及關係

《網路安全法》是我國網路安全支柱的綜合性立法，規定了 「網路運營者」和「關鍵資訊基礎設施運營者」（以下簡稱「CIIO」）的定義和安全保護義務。《資料安全法》涵蓋個人或非個人資訊，著重規制資料處理活動和資料安全兩大方面。《個人資訊保護法》則針對個人資訊這類特殊的資料，對個人資訊主體權利和個人資訊處理者的合規義務等作出規定。

關於三部法律的關係，《網路安全法》更側重保護傳播資料、資訊的網路的安全性，《資料安全法》和《個人資訊保護法》則側重於保護資料、個人資訊本身。《資料安全法》保護的資料範圍更大，《個人資訊保法》保護的個人資訊屬於一種特殊資料，因此《個人資訊保護法》類似《資料安全法》的特別法。舉例而言，匿名化後的個人資訊不屬於個人資訊，不再受《個人資訊保護法》的保護，但仍屬於資料，受《資料安全法》的約束。三部法律中均規定了國家網信部門，即網信辦是資料的監管部門。

二

《個人資訊保護法》對私募基金的影響

談及資料合規對私募基金的影響，重點在於《個人資訊保護法》對私募基金業務的影響。因為《網路安全法》強調網路運營方面的安全，《資料安全法》針對一般性資料，私募基金一般很少遇到，私募基金行業中遇到的大部分是需要特殊保護的、一個個個體的資訊，所以最終落腳到個人資訊保護。

(一) 私募基金管理人涉及的個人資訊

私募基金管理人可能會涉及到的個人資訊包括兩類，第一是內部人士的資訊，包括股東、員工、董監高等等；第二是關於自然人投資者、交易方相關自然人的資訊。

內部人士資訊源於股東/合夥人自身履職、勞動關係的訂立和履行，包含姓名、出生日期、性別、籍貫、教育經歷、工作經歷、家庭關係、銀行賬號、股票賬號等。考慮到私募基金從業人員有依法申報上述資訊的要求，基金管理人處理這些資訊的合法性基礎可以落入《個人資訊保護法》第十三條所規定的「為履行法定職責或法定義務所必須」的範圍。

關於自然人投資者、交易方相關自然人的資訊，即私募基金管理人在投資者適當性管理中需要了解的自然人投資者的基本資訊以及基金投資交易活動交易對手提供的相關自然人基本資訊、聯繫資訊。

(二) 私募投資者個人資訊

從資訊的內容來看，投資者個人資訊包括基本資訊、資產狀況、投資經驗、專業資質、投資風險偏好、誠信記錄、金融資產相關的資訊等等，這些資訊都是在做投資者適當性管理的時候會涉及到的。

隨著私募基金業務的網際網路化，需要特別關注部分敏感個人資訊，尤其是生物識別資訊也成為管理人處理的資訊內容，如指紋、頭像等。而對於這些敏感個人資訊，《個人資訊保護法》規定了特別的注意義務，如單獨同意、開展個人資訊保護影響評估等。

(三) 私募基金管理中涉及的資訊處理主體

「處理」是《資料安全法》和《個人資訊保護法》中明確規定的定義，包括收集、儲存、使用、加工、傳輸、提供、公開、刪除等環節。若不能正確理解個人資訊處理的內涵，將非常容易導致忽略相應的合規義務，如基金從業人員將投資者的個人資訊下載保存在電腦裡就是一種處理行為，一旦攜帶電腦去境外出差，就構成資料出境，需要遵循資料出境的規定。

私募基金管理中涉及的個人資訊處理主體很多，包括管理人、託管人、代銷機構、服務外包機構等。不同主體基於不同需求處理個人資訊：

基金管理人為履行法定職責以及基金合同的義務，必須收集使用投資者的個人資訊；

基金託管人與基金管理人共同簽署基金合同或託管合同，出於履行該等合同的需要，其從基金管理人處獲得投資者的個人資訊，並加以處理；

基金代銷機構理論上是私募基金管理人的受託方，受託處理投資者的個人資訊，但是實踐中，基金代銷機構都是直接對接投資者並將投資者視為自己的客戶，亦在很大程度上具有處理投資者個人資訊的自主決定權，因而實質上也屬於個人資訊處理者；

私募基金外包服務機構受私募基金管理人委託履行部分職責，負責份額登記、賬戶監督、提供資訊技術平臺等，在此過程中獲取並處理投資者個人資訊，其與投資者不存在直接的法律關係，系基於私募基金管理人的委託處理投資者個人資訊，履行受託人對應的法律義務。

(四) 有關個人資訊處理活動是否需要獲得資訊權利主體的同意

1. 處理個人資訊的合法性基礎

《個人資訊保護法》第十三條規定可以處理個人資訊的情形有三類：

第一，取得個人同意，這是獲得處理個人資訊許可權應用最廣、最為重要的方式；

第二，符合豁免個人同意的例外，包括（1）為訂立、履行個人作為一方當事人的合同所必需，如上文所述為履行基金合同必須收集投資者個人資訊；以及按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理必需，比如為與員工籤勞動合同必須收集個人資訊；（2）為履行法定職責或者法定義務所必需，比如私募基金管理人做CRS核查、填報中基協的材料；（3）為應對突發公共衛生事件，或者緊急情況下為保護自然人的生命健康和財產安全所必需；（4）為公共利益實施新聞報道、輿論監督等行為，在合理的範圍內處理個人資訊；（5）在合理的範圍內處理個人自行公開或者已經合法公開的個人資訊。

第三，法律、行政法規另有規定。

2. 私募基金管理人處理投資者個人資訊的場景分析

對於自然人投資者，基金管理人在募集階段要收集其大量的個人資訊，例如特定對象確定（即KYC）、投資者適當性管理、基金備案資訊報送、非居民金融賬戶涉稅資訊盡職調查等；在基金運營過程中也會涉及部分個人資訊，如基金賬戶中的申贖記錄、基金申贖涉及的銀行賬戶資訊等。就這些個人資訊而言，一方面投資者在購買基金時需要主動提供並簽署協議，等同於已經獲得「同意」；另一方面亦可以依據《個人資訊保護法》中的履行合同義務所必需、履行法定職責/法定義務所必需之規定進行處理。

需要注意的是，在涉及敏感個人資訊時，從合規審慎的角度出發，建議應取得資訊權利主體同意。敏感個人資訊和一般個人資訊對個人權利的影響不同，法律要求的合規義務也不同。對於敏感個人資訊，《個人資訊保護法》規定要：（1）取得個人單獨同意；（2）履行一般告知義務之外，還應當向個人告知處理敏感個人資訊的必要性以及對個人權益的影響；（3）處理不滿十四周歲未成年人個人資訊的，應當取得未成年人的父母或者其他監護人的同意；（4）法律、行政法規對處理敏感個人資訊規定應當取得相關行政許可或者作出其他限制的，從其規定。

基金管理人處理的敏感個人資訊很多，包括自然人投資者的銀行賬戶、基金賬戶等金融賬戶資訊；在繼承、贈與等非交易過戶場合可能涉及不滿十四周歲未成年人的個人資訊；員工個人的銀行賬戶、社保個人賬戶、公積金賬戶資訊；可能會採集的指紋、臉部辨識等生物識別資訊、行蹤軌跡資訊等(如部分企業採取指紋或人臉考勤打卡制度)；員工報備的證券賬戶賬號等金融賬戶資訊等。

3. 關於員工個人資訊

如前所述，員工的一般個人資訊可基於人力資源管理所必需進行處理；指紋、人臉等敏感個人資訊，按照《個人資訊保護法》關於敏感個人資訊的規定獲得同意後處理。

在私募基金行業，比較特殊的是員工個人交易申報資訊，可按照私募基金管理人應當履行的合規管理法定職責加以處理。如要求員工配偶也進行申報，從合規審慎出發，仍建議先取得配偶的書面同意。

4. 個人資訊的跨境提供

根據我國關於資料出境的規定，向境外提供個人資訊，需通過資料出境安全評估、簽訂標準合同並備案或經個人資訊保護認證。私募基金在三方理財業務中可能會涉及向境外提供個人資訊，應視情況遵循一系列的要求，此處不再贅述。

三

私募基金領域資料合規的相關規定

(一) 一般性規定

1. 《證券投資基金法》

《證券投資基金法》禁止公開募集基金的基金管理人及其董事、監事、高級管理人員和其他從業人員洩露因職務便利獲取的未公開資訊、利用該資訊從事或者明示、暗示他人從事相關的交易活動。

從資訊安全的角度，《證券投資基金法》主要對於提供資訊技術服務的基金服務機構提出了要求，包括對機構資格、資料保存、應急機制和備份系統等方面的要求。

2.《私募投資基金監督管理暫行辦法》和《私募投資基金募集行為管理辦法》

《私募投資基金監督管理暫行辦法》在資訊和資料安全方面，要求中基協建立備案管理資訊系統。

《私募投資基金監督管理暫行辦法》和《私募投資基金募集行為管理辦法》均禁止私募基金管理人、私募基金託管人、私募基金銷售機構及其他私募服務機構及其從業人員從事私募基金業務洩露因職務便利獲取的未公開資訊，利用該資訊從事或者明示、暗示他人從事相關的交易活動。此外，《私募投資基金募集行為管理辦法》規定為了解投資者的風險識別能力和風險承擔能力，募集機構應當在投資者自願的前提下獲取投資者問卷調查資訊（包括投資者基本資訊、財務狀況等個人資訊），且募集機構對投資者的個人資訊嚴格保密。

3.《基金募集機構投資者適當性管理實施指引（試行）》

該指引提到，為了識別投資者的風險承受能力，募集機構要提供具有針對性的投資者資訊表、風險測評問卷，並根據投資者資訊表、風險測評問卷以及其它相關材料，對普通投資者風險等級進行綜合評估。該指引還在建立自查制度、檔案管理制度、銷售人員考核制度、糾紛投訴處理制度等方面對募集機構提出了要求。

(二)《證券期貨業網路和資訊安全管理辦法》

1. 基礎介紹

2023年5月1日實施的《證券期貨業網路和資訊安全管理辦法》（以下簡稱《辦法》）對證券公司、期貨公司、基金公司等主體的網路和資訊安全、投資者個人資訊保護、資訊系統分類分級管理等提出明確要求。

需要特別說明的是，《辦法》直接適用於證券公司、期貨公司和基金公司，參照適用於從事證券期貨業務活動的經營機構子公司、藉助自身運維管理的資訊系統從事證券投資活動且存續產品涉及基金份額持有人賬戶合計一千人以上的私募證券投資基金管理人。當然，私募股權基金管理人可以參照《辦法》的要求建立資料合規體系。

2. 核心內容及亮點

亮點一，緊密銜接上位法最新要求。《辦法》緊密銜接「三法一條例」的要求，健全了證券期貨行業的網路和資訊安全管理監管制度體系。

亮點二，明確主體的分類分級責任設置。明確核心機構和經營機構的網路和資訊安全管理工作責任主體及部門或機構設置要求，將核心機構和經營機構的主要責任人、網路和資訊安全工作分管領導分別設置為第一責任人和直接責任人，要求核心機構和經營機構領導層充分重視並且負責網路和資訊安全工作。

亮點三，設置資訊系統的分類分級保護原則和要求。基於資訊系統重要程度和業務影響情況從低到高區分為一般資訊系統、重要資訊系統以及CII，並在不同的章節明確核心機構和經營機構針對一般資訊系統、重要資訊系統和CII的不同的網路和資訊安全管理要求。

亮點四，安全要求和內控體制的細化。對核心機構、經營機構、證券期貨業CIIO、資訊技術系統服務機構設置的合規義務要求更加具體、細化，尤其針對核心機構和經營機構，通過量化資訊系統技術要求、合規義務履行時間要求等方式進行精細化監管。

亮點五，嚴格上下游供應商管理。對提供資訊技術產品和服務的供應商，包括但不限於重要資訊系統(如開戶、交易、結算、通訊等系統)相關技術和產品服務供應商，臉部辨識服務供應商、身份認證服務供應商、網站或App等產品開發供應商分別提出不同的合規義務要求。

亮點六，加強投資者個人資訊保護。《辦法》結合證券期貨業的特點，設置了「投資者個人資訊保護」專章，並從以下六個方面加強投資者個人資訊保護：（1）健全保護體系，明確崗位職責要求；（2）明確告知處理目的，不得超範圍處理個人資訊；（3）確保資訊處理安全；（4）向第三方機構提供資訊應取得投資者同意；（5）防護邊界外需要脫敏、加密處理措施；（6）生物特徵資訊收集應開展安全評估。

亮點七，精細靈活設置法律責任。《辦法》基於《網路安全法》進行處罰，但規定金融創新容錯相關制度安排，明確了從輕、減輕或免於處罰的情形，體現了對金融科技創新機制和資訊技術應用創新機制的包容和鼓勵。

四

私募基金管理人如何落實和完善個人資訊保護

(一) 制定《個人資訊保護內控管理制度》並在機構內部發布

內控制度需要包含個人資訊處理的總體原則；對個人資訊的具體處理規則，負責部門、負責崗位；加強安全的技術力量，防止資訊的洩露、丟失和篡改的措施；投資者個人資訊出境的內部管理流程；合規評估、合規審計、合規培訓要求；應急管理規定等內容。

內控制度還應針對投資者和員工兩類資訊，分別設置處理方式。

(二) 制定《投資者個人資訊處理規則》並給予公開

私募基金管理人應針對自然人投資者制定《投資者個人資訊處理規則》並公開發布，公開的路徑包括公司網站、公眾服務號、業務APP、小程序等。

個人資訊處理規則的主要內容應當有：投資者個人資訊處理的總體原則；向投資者告知相關事項，比如處理者、處理目的、處理方式、資訊種類、保存期、個人行使權利方式等；對於敏感個人資訊，要單獨告知資訊主體處理敏感個人資訊的必要性以及對個人權益的影響；處理不滿十四周歲未成年人個人資訊的專門規則；防止資訊洩露、篡改、丟失的措施；個人資訊出境的處理原則；個人資訊洩露、篡改、丟失的補救措施等。

(三) 梳理私募基金業務流程，與投資者補籤相關檔案或條款

首先，建議在募集環節統一設置需由投資者簽署的《投資者個人資訊處理告知函》，現在有部分機構已經採取了該措施。該告知函的內容主要包括私募基金管理人作為資訊的處理者如何收集、使用、共享、轉讓和披露資訊，以及投資者擁有哪些權利和救濟方式等。

特別關注的是：（1）部分事項需要單獨取得投資者同意；（2）如果向第三方提供個人資訊或者向境外提供個人資訊，需要告知相應細節，如接收方的名稱、提供的目的、必要性、方式、資訊內容、對個人的影響等；（3）要預留一些與基金運營相關的、後續可能發生的其他與個人資訊相關的授權，比如就提供投資諮詢等投資者服務、就後續基金募集向投資者開展路演推介等處理目的活動，一併取得投資者的同意。

其次，建議在《風險揭示書》中補充如下條款：「投資者投資本基金及簽署《合夥協議》應向基金管理人提供相應材料與資訊，其中可能涉及投資者個人資訊；基金管理人有權根據投資者適當性程序、底層投資項目要求、中基協或主管部門監管等要求，對相關資訊進行收集、使用、共享、轉讓和公開披露；基金管理人應盡一切合理努力對投資者資訊進行保護，但仍存在投資者資訊權益在前述收集、使用、共享、轉讓、公開披露過程中遭受損害的風險」。通過提前告知風險，為管理人減輕或免除相關責任。

(四) 梳理私募基金業務流程，與第三方補籤相關檔案或條款

除了在投資者方面「打補丁」之外，還可以梳理私募基金管理人在上下游第三方的合作中存在哪些可以「打補丁」的地方。比如與代銷機構合作中，在互相提供資訊時就要明確各自對於個人資訊保護的保護責任和邊界；與託管機構、外包服務機構都可以參照處理，對託管合同、服務協議進行相應修改。

(五) 強化資訊安全方面的技術支持

網路安全保護最終一定是通過技術來落地的，所以，加強資訊安全方面的技術支持是不可或缺的。如提升IT系統相關功能，加強匿名化和去標識化的處理；強化資訊安全方面的技術防控，防止各類個人資訊的洩露、篡改和丟失等。

五

個人資訊保護的相關案例解析

近些年，關於個人資訊保護，民事糾紛案件、行政處罰案件、刑事案件層出不窮，不乏具有廣泛社會影響力的案件或典型案例，如某滴因違法處理個人資訊被罰案、ZX銀行被銀保監會罰款案、杭州市餘杭區人民檢察院訴某網路科技有限公司個人資訊民事公益訴訟案、田某等侵犯公民個人資訊罪二審案件等等（因篇幅所限，案件情況不再詳述）。

通過這些案例可以看出，個人資訊保護的法律體系不僅僅是《個人資訊保護法》這麼簡單，而是上到《憲法》《民法典》《刑法》等基本法律，再到《網路安全法》《資料安全法》《電子商務法》《消費者權益保護法》《關基條例》等法律法規，下到司法解釋、部門規章等，因此，在開展個人資訊保護工作時，需要全面了解相關規定。

對於私募基金管理人來說，需要高度關注：

第一，個人資訊保護方面的法律責任包括民事賠償責任、行政責任甚至是刑事責任；

第二，個人資訊保護和資料安全的監管是「九龍治水」「多頭監管」，除網信辦之外，行業主管部門（如國家金融監管局、證監會）、市場監管部門、公安部門都在資料安全、個人資訊保護方面有相關的監管要求和執法權；

第三，私募證券基金管理人目前已經受到了《辦法》的行業規制，需嚴格遵守《辦法》的要求；

第四，私募基金管理人雖非「持牌機構」，但就私募基金領域而言，投資者權益的保護一直是監管的重點，投資者個人資訊保護與資料安全自然是投資者權益保護的應有之義。

作者簡介

鄒菁

國浩上海合夥人

業務領域：私募基金、併購重組

郵箱：[email protected]