《中华人民共和国个人信息保护法》(以下简称“《个保法》”)已经于2021年11月1日正式施行。该法的出台势必会对社会各行各业产生深远的影响。具体到私募资管行业,可以说继《资管新规》之后,私募资管行业正式迎来“个人信息保护法”的时代。私募资管行业监管规定框定了私募资管从业者对投资者必须履行的善管义务,对于投资者个人信息的管理与保护当为善管义务的应有之义。在个保法未出台之前,私募资管行业在这方面的工作还相对薄弱,早年也缺乏更为具体的规范依据。但《个保法》施行后,将直接为私募资管行业提供直接的上位法规范性指引。基于此,我们拟以私募资管行业管理人(以下简称“管理人”)应当履行的个人信息保护义务为视角,结合私募资管行业的具体实践以及我们既有的业务经验,就私募资管行业管理人如何落实《个保法》,如何合规的收集、管理以及使用投资者个人信息提出一些建议,以供业内参考。
一、私募资管行业涉及个人信息的类型
《个保法》第4条的规定,个人信息是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。从上述规定来看,《个保法》对“个人信息”的概念做了非常宽泛的界定。从私募资管行业对于信息处理的实践来看,管理人基于履行法定职责、法定义务收集的投资者信息包含诸多个人信息,包括但不限于:投资者姓名、性别、身份证件类型、证件号码、国籍、职业、职务等身份基本信息;投资者手机号、电子邮箱、通信地址、住址等通讯联络信息;投资者风险测评问卷及结果、资产证明、收入证明、投资经历、征信信息/诚信记录等与投资者适当性管理程序相关的个人信息;投资者的税收居民身份等相关信息;反洗钱、反恐怖融资等所需要的信息;各种告知、回访的录音、录像资料信息(如需要);相关查询网站/APP的用户登录信息;基金账户、银行账户等金融账户信息。
二、私募资管行业落实《个保法》的合规建议
1、关于个人信息的处理规则
《个保法》确立以“告知-同意”为核心的个人信息处理一系列规则,要求处理个人信息应当在事先充分告知的前提下取得个人同意,并且个人有权撤回同意;重要事项发生变更的应当重新取得个人同意;不得以个人不同意为由拒绝提供产品或者服务。具体到私募资管行业,就管理人而言,需要重点关注的是对自然人投资者信息的处理,要从以下三个方面把握:
(1)因履行法定职责或订立业务合同所必需使用的信息无需事先取得投资者个人同意。
如上所述,管理人处理自然人投资者的个人信息收集多是基于履行法定职责、法定义务的需要。以私募基金行业为例,私募基金管理人为履行特定对象确定、投资者适当性管理、备案信息报送、非居民金融账户涉税信息尽职调查等法定职责,必须收集、处理自然人投资者的大量个人信息,私募基金管理人为履行法定职责而处理的信息,属于《个保法》第十三条第一款第(三)项“为履行法定义职责或者法定义务所必须”的情形,因此无需实现取得投资者本人的同意。
在自然人投资者的个人信息中,还有一部分信息如银行账户信息、居民身份信息等属于私募资管业务中订立合同所必需具备的信息,这类信息属于《个保法》第十三条第一款第(二)项“为订立、履行个人作为一方当事人的合同所必需”的情形。因此,按照《个保法》第十三条的规定,因订立业务合同所必需使用的信息无需事先取得投资者个人同意。
(2)投资者敏感个人信息的,应当分情形处理
《个保法》以一节的内容加强对敏感个人信息的保护,并在第二十八条对什么是“敏感个人信息”进行了规定。结合私募资管业务实践以及《个保法》对敏感个人信息的界定,我们理解私募资管行业会涉及的“敏感个人信息”主要是指自然人投资者的银行账户、基金账户等金融账户信息。对于敏感个人信息的处理规则是:第一,如果该等信息本身属于《个保法》第十三条第一款第(二)至(七)项情形的,仍可依照《个保法》第十三条第二款的规定,无需再取得个人的同意。如果该等信息并不在《个保法》第十三条第二款“同意豁免”的情形之内,那么管理人处理个人敏感信息,应当取得个人的同意。第二,处理个人敏感信息的,管理人应当履行《个保法》第十七条的一般告知义务。即管理人在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向投资者告知下列事项:(1)管理人的基本信息(包括名称、住所以及联系方式等);(2)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;(3)个人行使本法规定权利的方式和程序(个保法规定了个人对于信息处理的知情权、决定权、限制权、拒绝权、删除权等,管理人应当告知个人行使上述权利的方式和程序);(4)法律、行政法规规定应当告知的其他事项。第三,根据《个保法》第三十条的规定,处理个人敏感信息的,管理人还需要就“处理敏感个人信息的必要性以及对个人权益的影响”向个人进行告知。
(3)个人信息的跨境提供应当严格按照《个保法》第三十八条的规定执行
私募资管业务除了通过投资境内品种实现资产管理以外, 符合特定资质的经营机构还可以通过QDII(合格境内投资者)以及QDLP(合格境内有限合伙人)等机制投资境外品种, 为投资人配置海外资产。对于该等境外投资, 可能涉及海外机构为履行其当地的反洗钱、制裁名单监控等义务, 要求境内资产管理机构提供其底层投资者的个人信息。
就此管理人应当注意, 要严格根据《个保法》第三十八条的规定, 个人信息处理者因业务等需要, 确需向中华人民共和国境外提供个人信息的, 应当具备下列条件之一:(一)依照《个保法》第四十条的规定通过国家网信部门组织的安全评估(即适用于机构被认定为关键信息基础设施运营者或处理个人信息达到国家网信部门规定数量);(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;(三)按照国家网信部门制定的标准合同与境外接收方订立合同, 约定双方的权利和义务;(四)法律、行政法规或者国家网信部门规定的其他条件。
值得注意的是:从我国已经有的立法框架来看,我们理解个人信息的跨境提供目前落地还存在很大的法律障碍。一方面,《个保法》相关条文使用了包括“关键信息基础设施运营者”在内的一些特定概念,但对这些概念的具体界定目前尚不明确,仍待国家相关部门具体认定标准和细则的出台;另一方面,《个保法》提及的专业机构认证及标准合同等配套规则及合同版本亦未落地。这些待定事项导致跨境提供的规则如何落地还需进一步观望。
2、落实个人信息的合规审计的要求
《个保法》第五十四条和第六十四条规定了针对个人信息处理活动的合规审计制度。在《个保法》出台之前,现行法律、行政法规层面并未出现“合规审计”的概念,和“合规审计”相似的概念有“合规性审计”“合规审查”和“安全审计”,这些概念之间存在一定的重合。对于私募资管管理人来说,我们理解,不必过分拘泥于概念之间的界限,在《个保法》的体系下,“合规审计”指审计机构和审计人员通过审计以确定被审计单位的个人信息处理活动是否遵循我国相关法律、行政法规,属于被审计单位合规管理体系的重要构成要素。
从《个保法》对于合规审计的规定来看,目前较为粗疏,实际上是相当于一般性规定,缺乏具体的可操作的细则,目前对于私募资管行业管理人来说,其明确三点内容即可:首先,关于合规审计的主体,《个保法》规定了主动定期合规审计以及被动临时性合规审计两种情形。对于上述两种情形的合规主体,我们理解:对于个人信息处理者主动定期合规审计,个人信息处理者的内部部门如审计部门、法务部门、合规部门、监察稽核部门等都有可能参与到未来的定期合规审计工作当中。在被动临时性合规审计中,履行个人信息保护职责的部门要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计,此处的专业机构可能会包括律师事务所、会计师事务所等。不过目前对于被动临时性合规审计下的“专业机构”,还有待于法律法规或权威解释的进一步明确。其次,关于合规审计的内容,包括“处理个人信息遵守法律、行政法规的情况”,建议管理人对此处的“法律、行政法规”进行汇编整理,以全面的了解法律、行政法规对于个人信息监管保护的要求。最后,关于合规审计的频率。《个保法》第五十四条规定个人信息处理者应当“定期”进行合规审计,在未有明确规定及权威解释“定期”该适用何种频率前,对于一般的个人信息处理者,我们建议至少每年开展一次合规审计。
3、建立投资者个人信息的分类分级标准
《个人信息保护法》将投资者的个人信息分为敏感信息和非敏感信息,对于敏感信息的处理要求需要遵循更为严格的规则,包括但不限于敏感信息的处理需要有“特定的”目的和“充分的”必要性、需要采取“严格的”保护措施、需要取得“个人的单独同意”。
目前,私募资管行业管理人通过各类业务办理平台或者App取得投资者个人信息时,更多是通过《隐私协议》《个人信息保护政策》等文件以一揽子的方式对拟获取投资者的个人信息、处理投资者个人信息的目的等进行揭示或取得同意。在《个人信息保护法》的规定下,通过上述文件取得的处理投资者个人敏感信息的同意,很难被认定为取得了投资者“个人的单独同意”,或需要在实际涉及处理投资者敏感信息时,通过弹窗提醒等方式取得投资者个人的单独同意。上述取得投资者同意的方式,除了需要技术手段上的开发完善,还需要管理人内部制定投资者个人信息分类分级的管理机制,对于何类信息属于投资者个人的敏感信息进行明确并采取更高水平的安全措施予以保护。
4、加强与合作机构的管理、注重对投资者个人信息保护的权责义务
《个保法》对于投资者个人信息的共同处理、委托处理以及向他人提供的有关要求进行了规定。管理人在后续与第三方的合作中,应当注重对投资者个人信息保护的权责义务的约定、结合双方的地位、个人信息处理活动的边界等约定相适应的权利和义务,并依据合作关系所涉及的个人信息处理活动的风险程度。(例如,是否涉及投资者个人敏感信息的处理),酌情采取审计、持续监控等措施,以避免后续纠纷。
5、建立投资者个人权利的申请受理和处理机制
《个保法》第四章对于投资者个人在个人信息处理活动中的权利进行了全面的介绍,包括但不限于投资者的知情权、决定权、限制权、拒绝权、删除权等。作为管理人,响应投资者个人行使上述权利就成为义务。《个保法》亦明确“个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制”。因此,管理人在今后的业务开展中,应当对《个保法》第四章对于投资者个人在个人信息处理活动中的权利进行落实,这将是未来私募资管行业合规监管的重要内容。
总结
《个保法》的出台给私募资管行业的合规工作带来不小的挑战,在一定程度上加重了行业负担,我们寄望未来行业监管机构能够从规范行业统一管理,降低经营机构管理探索成本的角度,在行业层面出台统一的个人信息保护管理规定,明确投资者个人信息保护的各项管理要求。但在上述行业统一管理规定未落地之前,目前私募资管行业对于《个保法》的落实宜“从严掌握”。
