中國《個人信息保護法》與海外基金
作者:繆毅 楊薈茜 2021-12-08不知各位讀者朋友有沒有注意到,近期我們的手機里的應用軟件頻頻彈出新的隱私政策彈窗,請求用戶確認——是的,2021年11月1日正式生效的《個人信息保護法》正悄然影響著我們的生活。《個人信息保護法》的落地可不僅僅對互聯網企業提出了新的合規挑戰,也對海外基金募集中國投資者資金的活動產生管轄效力,影響不可小覷。下面就由小編帶著大家一探究竟吧!
天高地不遠,《個人信息保護法》中的長臂管轄與海外基金募集運營 有讀者可能會問:中國的《個人信息保護法》怎么會管到海外基金?如果您這樣想,可就大意了。《個人信息保護法》第三條第二款已然將這部境內法律的效力“領土”拓展到了海外: “在中華人民共和國境外處理中華人民共和國境內自然人個人信息的活動,有下列情形之一的,也適用本法: (一)以向境內自然人提供產品或者服務為目的; (二)分析、評估境內自然人的行為; (三)法律、行政法規規定的其他情形。” 可見,即便設立于海外,私募基金只要符合“處理個人信息的活動”,且存在 “以向境內自然人提供產品或者服務為目的”或“分析、評估境內自然人的行為”的情形,就會受到中國《個人信息保護法》的管轄。 個人信息是什么? 《個人信息保護法》對個人信息的定義十分寬泛,其第四條第一款規定:個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,不包括匿名化處理后的信息。因此,對于海外基金而言,投資人的個人身份信息,如姓名、地址、職業、財務狀況、財富來源、投資偏好等都屬于個人信息。 為何海外基金要收集境內自然人的個人信息? 各國反洗錢法都要求包括基金和基金管理人在內的反洗錢義務人對洗錢風險進行評估,并根據風險評估結果實施相應的客戶盡職調查。洗錢交易風險評估一般涉及三個方面:客戶自身的風險、地域風險以及金融產品和交易渠道帶來的風險。為了建立對客戶的全面了解,反洗錢義務人需要了解客戶的國籍、身份、職業、聲譽等個人信息。經過洗錢交易風險評估后,反洗錢義務人將綜合評估結果,選擇適用于該客戶的客戶盡職調查措施。在實施客戶盡職調查措施時,反洗錢義務人應當對客戶進行身份識別與核驗,收集客戶姓名和曾用名,地址,出生日期,國籍,職業,開立基金賬戶的目的,收益期待和資金來源,是否為政治人物及其家庭關系等信息。 投資者適當性評估 基金管理人或基金募集機構亦須對投資者的投資經驗和風險承擔能力進行評估,以決定其是否屬于適合特定基金的投資者,為此須了解投資人的財務狀況、投資知識、投資經驗、風險偏好等個人信息。 基金管理人怎么辦? 看完上文,相信各位讀者已經意識到海外基金滿足《個人信息保護法》合規要求的必要性了,那么基金管理人應該怎么辦?小編整理了海外基金在《個人信息保護法》下進行合規工作的四個注意事項,分別是: (a) 確定信息出境路徑并滿足信息出境合規條件; (b) 為個人提供行使個人信息保護法下各項權利的途徑; (c) 修改基金文件,披露信息出境相關信息,獲取客戶單獨同意;以及 (d) 完善個人信息保護相關的內控制度。 確定信息出境路徑 海外基金首先應根據收集境內個人信息的信息出境路徑,以確定該基金在《個人信息保護法》適用哪些監管要求。 海外基金一般通過兩條路徑收集中國個人信息,其一是由境內信息處理者收集境內個人信息后再跨境提供給海外基金;其二是由海外基金直接收集境內個人信息。請看下圖: 通過路徑一收集個人信息的,相關境內信息處理者應確保是因業務等需要確需向境外提供個人信息,并應采取必要措施,保障境外接收方處理個人信息的活動達到《個人信息保護法》規定的個人信息保護標準,還需滿足下列條件之一: (一)依照《個人信息保護法》第四十條的規定通過國家網信部門組織的安全評估; (二)按照國家網信部門的規定經專業機構進行個人信息保護認證; (三)按照國家網信部門制定的標準合同與境外接收方訂立合同,約定雙方的權利和義務。 上述三個條件的合規流程和成本顯然不同,小編認為其適用范圍也將各有側重,但《個人信息保護法》尚未對此做出詳細規定,僅要求如果個人信息處理者為關鍵基礎設施運營者或者處理個人信息達到國家網信部門規定數量的個人信息處理者必須滿足條件一,即通過國家網信部門的安全評估。對于海外基金收集處理境內個人信息可選擇哪個合規措施這個問題,我們還須密切關注后續陸續出臺的《個人信息保護法》實施辦法或細則。根據《個人信息保護法》第五十三條,海外基金作為最終收集中國境內個人信息的主體,還須在境內設立專門機構或者指定代表,負責處理個人信息保護相關事務,并將有關機構的名稱或者代表的姓名、聯系方式等報送履行個人信息保護職責的部門。 另一條路徑則是由海外基金直接收集境內個人信息,在此情況下,海外基金亦須根據《個人信息保護法》第五十三條在境內設立專門機構或者指定代表。這條規定雖然簡單清晰,但背后暗藏著許多不確定性:專門機構和指定代表有何區別?其設立或指定應履行哪些行政手續?須符合哪些資質要求?將履行哪些合規義務?是否可以委托境內第三方服務機構擔任?海外基金這類非互聯網性質的境外信息處理者應接受哪個境內個人信息保護職責部門的監管?是負責統籌個人信息保護工作的國家網信部門,還是業務主管部門如中國證監會?這些問題亦須密切關注個保法配套法律法規的出臺。 為個人提供行使《個人信息保護法》下各項權利的途徑 《個人信息保護法》第十七條規定個人信息處理者應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知個人行使本法規定權利的方式和程序。《個人信息保護法》規定的個人權利眾多,包括知情權、決定權、限制或者拒絕他人對其個人信息進行處理的權利、查閱復制和請求轉移的權利、請求補充更正的權利、刪除和請求刪除的權利、要求個人信息處理者對其個人信息處理規則進行解釋說明的權利、查閱死者信息的權利等。個人信息處理者還應建立便捷的個人行使權利的申請受理和處理機制和信息提供者撤回同意的方式。關于個人信息保護權利的文章已經汗牛充棟,小編在此就不再贅述了。 增補基金文件中的個人信息保護披露內容 《個人信息保護法》對信息處理者的披露義務提出諸多要求。海外基金管理人應重新審閱現行基金發售文件中關于信息私隱政策的披露是否足夠充分。盡管目前多數開曼和BVI基金的發售文件中已經根據當地信息保護法律披露了信息私隱政策,但根據小編的對比研究,該等披露并不足以涵蓋中國《個人信息保護法》的披露要求,故在中國投資者發售的海外基金應增加中國《個人信息保護法》所要求的披露內容。 取得個人單獨同意 《個人信息保護法》規定個人信息處理者應就下述三種處理個人信息的行為須征得有關個人的單獨同意:(i) 收集和處理敏感個人信息;(ii) 將個人信息提供給其他個人信息處理者;和 (iii) 將個人信息傳輸到境外。敏感個人信息包括有關個人的生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息。故依賴投資者簽署基金認購協議給予“一攬子同意”老做法已不足以符合《個人信息保護法》的要求,面向中國投資者進行募集的海外基金應適當修改基金文件,要求中國投資者對該等事項做出單獨同意和授權。 建立個人信息保護內控制度 《個人信息保護法》要求信息處理者依據處理目的、處理方式、個人信息的種類以及對個人權益的影響、可能存在的安全風險等,采取相應措施確保個人信息處理活動符合法律、行政法規的規定,防止未經授權的訪問以及個人信息泄露、篡改、丟失。除此之外,信息處理者還應當定期對其處理個人信息遵守法律、行政法規的情況進行合規審計。 結語:海外不是法外 海外不是法外,私募基金不僅須注重其注冊地的法律合規要求,須亦兼顧募集地、管理人注冊地或所在地、投資人來源地、投資目標所在地的法律合規要求。作為全球第二大經濟體,中國在海外私募基金領域已成為日益重要的投資人來源地、管理人來源地和資金募集市場。縱觀美國、歐盟等大經濟體在私募基金領域的立法體系,多會采取屬地管轄和屬人管轄并行的方式進行監管,小編相信中國法律也終將對海外基金的境內募集行為、境內管理人管理海外基金的行為、境內投資人投資海外基金的權益保護問題、中國稅務問題等諸多方面進行監管,完善立法。《個人信息保護法》是端倪初顯,而大幕才剛剛拉開一角。
