突發!中基協進一步落實電子合同業務規范和管理工作 ———《私募投資基金電子合同業務管理辦法》(試行)(征求意見稿)評析
作者:傅蓮芳 岳巍 陳凌 劉昀東 2020-10-292020年10月28日,中國證券投資基金業協會(下稱“中基協”)通過其官方網站,發布《私募投資基金電子合同業務管理辦法》(試行)(征求意見稿)(下稱“《辦法》”)。根據中基協所作說明,其出于規范私募投資基金電子合同業務活動,促進基金行業健康發展,保護投資者及相關當事人合法權益之目的,根據《中華人民共和國證券投資基金法》、《中華人民共和國電子簽名法》、《私募投資基金監督管理暫行辦法》及中基協相關服務業務自律規則而制定辦法,并就相關內容向社會公開征求意見。
《辦法》分為總則、服務機構展業要求、業務規范、自律管理和附則五個章節,共三十二條,明確了電子合同涵義及法律效力、基金當事人及電子合同業務服務機構法律關系和各方權利義務等,規范了電子合同業務服務機構展業和報送材料要求,明確了電子合同業務基本業務范圍、關鍵運營環節和技術、數據管理等要求。由于當前私募投資基金行業中關于電子合同和電子簽名使用所存在的亂象和問題,促使相關監管部門和行業協會不得不基于法律盡快推出相關規范,采取相應的措施。縱觀《辦法》(征求意見稿),各條各款均遵循和落實了2005年4月1日就已正式實施并歷經兩次修訂的《電子簽名法》的相關要求,從而更好地規范私募基金合同簽署的場景,對私募投資基金電子合同業務規范所作出的要求格外引人注目。筆者能夠深刻體會中基協重申法律的相關規定,落實私募投資基金監管的各項要求,優化行業內各項業務管理工作的良苦用心。
一、電子合同業務的主要范圍
根據《辦法》第九條之規定,電子合同業務應當至少包括以下內容:(一)基金當事人身份管理,包括身份的識別、認證、變更和注銷等;(二)電子合同簽署,包括合同簽署、合同補充、合同驗證、合同終止及合同解除等;(三)電子合同數據查閱,包括但不限于對電子合同的在線查閱、下載等;(四)法律法規、自律規則規定的其他業務。本辦法所稱合同驗證,是指為用戶提供電子合同驗簽服務,幫助用戶鑒別文件電子簽名是否有效、文件內容是否被篡改。本辦法所稱電子簽名,是指數據電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認可其中內容的數據。
私募投資基金行業現狀是,各基金發行方和銷售方(下稱“賣方機構”)開展的電子合同業務類別并不完整。很多“賣方機構”的“頭等要務”,就是盡快讓基金投資人支付基金投資款從而獲取利益。至于合同是否提前閱看、是否通過適當程序簽署、是否有驗證、是否可以補充、是否可以在線查閱或下載都非“賣方機構”關心的事項,“管殺不管埋”甚至成為行業內通行做法。以筆者正在代理的某基金爆雷案件為例,在2018年、2019年認購該基金時,眾多基金投資人沒有在線下簽署書面紙質合同和風險告知書,而是通過理財師發送的手機軟件應用程序(下稱“APP”)的下載鏈接,下載APP后在APP上操作,因此,認購過程中不但沒有“合同簽署”和“合同驗證”環節,更不能奢望“賣方機構”向基金投資人逐頁展示基金合同和風險告知書,并由其對合同重點條款進行逐項解讀和風險告知。同時,該基金存在理財師對產品的夸大介紹,如“**應收賬款,300萬年化7.7%,額度有限,僅此一天”等情形,誘使基金投資人在“搶購稀缺品”心態的驅使下,先支付認購款,再按銷售人員指示在APP的流程上點擊“確認”進行認購。有部分基金投資人是在支付基金認購款數月后才收到電子基金合同的打印件,亦有不少基金投資人認購時根本不知如何進行合同的在線查閱和下載,在該基金“爆雷”之前,都沒有見過電子基金合同。
二、電子合同業務中的身份識別服務
根據《辦法》第十一條、十二條之規定,電子合同業務服務機構提供基金電子合同業務服務前,應當與相關基金當事人簽訂服務協議,明確服務范圍、服務內容、各方權利和義務、收費方式、費用標準、信息交互方式及數據存儲等。電子合同業務服務應當包括識別、認證基金當事人身份。身份識別包括但不限于證件類型、證件號碼、姓名、手機號碼等四要素驗證、銀行卡號驗證、生物特征識別技術或其他安全有效的技術手段。
傳統紙質合同以手寫簽名或物理印章作為合同成立要件,而傳統簽名或印章由于其天然屬性,能夠鎖定合同當事人的身份(確認/識別功能),體現受到合同相對性約束力雙方的身份情況。而電子合同與傳統合同不同,只能通過合同相關方認可意思表示的數據,如可以使用電子簽名來確認是否簽署。因此,身份識別服務在電子合同業務中尤為重要。而私募投資基金行業的募集現狀是,提供電子合同業務服務的機構,通常為“賣方機構”實際控制的企業,其并不一定與基金投資人簽署服務合同,而僅與“賣方機構”建立法律關系。基金投資人所做的不過是先點擊“賣方機構”發送過來的下載鏈接,下載安裝APP,使用某一手機號注冊后,按照基金銷售方的銷售人員指導,上傳證件號碼和銀行卡號信息,鮮見生物特征識別技術或其他安全有效的技術手段,服務機構甚至在證件類型、證件號碼、姓名、手機號碼四要素驗證環節,都未做到一致性驗證,導致驗證可靠性存在重大疑問。還是以上述某基金為例,委托筆者代理案件的基金投資人中有一位70歲的老年人,文化程度很低,自己名字不會寫,手機不會用,居然也能夠被APP程序認證為實名注冊用戶,還顯示該基金投資人已通過銷售公司和管理人的適當性測試,基金管理人甚至只拿出打印的基金合同企圖證明該老人已經與基金管理人簽署了電子基金合同。而庭審中查明的事實是,基金銷售方并未向該老人銷售過該基金產品,注冊APP帳號的手機系他人手機,下載APP、登錄和操作APP的也是另有其人。從該案例中,可以看出哪怕是所謂“頭部”財富管理機構的APP軟件,其在實名認證和電子簽約環節中仍然存在巨大的系統風險,因為投資人的身份識別、合格投資人認定、電子簽約程序非獨立的第三方完成,亦非有特定資質的機構完成,識別與認定工作就有可能被管理人一方所左右和控制。上述《辦法》在第十二條規定中明確提出“生物特征識別技術或其他安全有效的技術手段”,可以說為明確簽約主體的特定身份、控制身份識別環節的風險指出了方向。同時,《辦法》第十三條明確了電子合同業務服務機構應當“確保電子認證服務安全可靠并具有獨立性”,其中“安全可靠”和“獨立性”都無疑是防范身份認證產生問題的應有之義。
三、電子合同業務相關數據保密、傳輸、存儲等管理要求
根據《電子簽名法》第十三條、第十四條之規定,電子簽名同時符合下列條件的,視為可靠的電子簽名:(一)電子簽名制作數據用于電子簽名時,屬于電子簽名人專有;(二)簽署時電子簽名制作數據僅由電子簽名人控制;(三)簽署后對電子簽名的任何改動能夠被發現;(四)簽署后對數據電文內容和形式的任何改動能夠被發現。可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力。由此可見,可靠的電子簽名制作是系統性工程,需要結合多重技術手段和管理要求予以實現。
正是為了實現《電子簽名法》的上述要求,《辦法》規定了更為細致的實現路徑。《辦法》首先通過第十四條規定,要求電子合同業務服務機構對登陸口令等關鍵數據采用密文存儲,并向基金當事人明確數字證書的意義和功能、使用方式、密鑰管理、丟失數字證書的后果和處理措施及法律責任等。然后,《辦法》第十五條和第十六條又在技術具體要求的細節層面作出規定,電子合同業務服務機構應當使用國家密碼主管部門認可的密碼算法,包括但不限于雜湊算法、非對稱密碼算法、對稱密碼算法等。電子合同業務服務機構應當采用國家授時中心認可的時間戳,滿足防重放要求。所謂“密碼算法”,指的是用于加密和解密的數學函數,密碼算法是密碼協議和數字認證的基礎。所謂“時間戳”,是使用數字簽名技術產生的主要用于表示簽名時間的數據,對簽名對象進行數字簽名產生時間戳,以證明原始文件在簽名時間之前已經存在。所謂“防重放”,是指防止“重放攻擊”。“重放攻擊”指攻擊者發送一個目的主機已接收過的包,來達到欺騙系統的目的,主要用于身份認證過程,破壞認證的正確性。這一系列技術手段綜合運用的最終目的,就是要解決電子合同應用中身份真實性、內容完整性、行為不可否認性等核心問題。
而在私募投資基金募集和管理實務中,鮮見“賣方機構”向基金投資人提供數字證書、密鑰管理等服務,其與基金投資人的主要溝通媒介就是銷售人員和APP,而APP相關服務后臺所采用的技術類型、技術標準,也很少出現在向基金投資人所披露的信息中。再次以上述某基金為例,認購該基金的投資人并沒有獲得任何數字證書,也未被要求安裝任何數字證書或密鑰管理軟件,唯一的交互端口就是認購基金前所安裝的APP軟件,而該APP軟件一直依“賣方機構”的意志頻繁更新。這就導致即使基金投資人已經依法制作和生產電子簽名,其對電子簽名也并不具有唯一控制權,投資人無法發現對電子簽名的任何改動,也無法發現數據電文內容和形式的任何改動,客觀上無法滿足“可靠電子簽名”的法定成立條件。
電子合同業務相關數據保密、傳輸、存儲等管理要求的落實,是“可靠電子簽名”能夠有效制作的前提,也是電子合同業務規范化的重要基礎,《辦法》相關規定仍有進一步深化和完善的空間。
當前,某基金系列案件有的投資人起訴至法院審理。我們注意到,部分法院并沒有深入研究《電子簽名法》,而是在看到管理人一方提交的基金合同打印件后,就認為投資人通過APP軟件與基金管理人形成了基金認購關系,并認可雙方電子合同成立并生效,并據此認可基金合同約定的仲裁條款對雙方當事人約束力,法院沒有案件的管轄權。這樣的認定,其內在邏輯與《合同法》、《電子簽名法》嚴格規范電子合同的成立與生效之立法目的和追求是相悖的。筆者認為,基金投資人在基金認購法律關系中屬于金融消費者,跟“賣方機構”相比明顯處于弱勢地位。根據《中華人民共和國證券投資基金法》、《私募投資基金監督管理暫行辦法》及中基協相關服務業務自律規則,基金發行方、銷售方和管理人本應向基金投資人充分介紹基金風險,解釋重點合同條款(包括爭議解決條款),由基金投資人本人充分理解條款和風險后,簽署電子基金合同和風險告知書,但發行方、銷售方和管理人為了節省自身成本,提升營業利潤,將其自身控制的APP程序中自動生成的、投資人未事先閱讀、未被事先解釋和說明的格式電子合同強加于基金投資人并要求司法機關認可該等合同全部內容已成立已生效的行為,顯然不符合法律規定,亦有悖于公平原則。
結語
中基協為規范發展私募投資基金電子合同業務,保護基金投資者權益,發布《辦法》,順應監管部門精細化監管的大趨勢和大原則,對促進私募投資基金行業整體的健康發展,具有非凡的積極意義。我們也衷心期待,《辦法》正式實施后,私募投資基金行業實務中所存在的亂象和問題有望得以整頓和解決。
