私募基金 托管人资格。公司董事长王永刚先生、总经理李建军先生因个人原因辞去公司董事长、董事职务,同时一并辞去公司第四届董事会战略委员会委员员职务。辞职后,王永刚先生、李建军先生不再担任公司任何职务。截至本公告披露日,王永刚先生、李建军先生直接持有公司股份2,500万股股,占公司股份总数的0.66%,累计质押股份2,500万股,占其所持股份比例为100%。
一:私募基金托管人必须是银行吗
申请取得基金托管资格,应当具备下列条件,并经国务院证券监督管理机构和国务院银行业监督管理机构核准: 1、 设有专门的基金托管部; 2、实收资本不少于80亿元; 3、取得基金从业资格证的专职人员达到法定人数; 4、具备安全保管基金全部资产的条件; 5、 具备安全、高效的清算、交割能力; 6、 有符合要求的营业场所、安全防范设施与基金托管业务有关的其他设施; 7、有完善的内部稽核监控制度和风险控制制度; 8、 法律、行政法规规定的和经国务院批准的国务院证券监督管理机构、国务院银行业监督管理机构规定的其他条件。二:私募基金托管人职责
基金管理人是管理基金财产的人,基金托管人是托管基金财产的人。他们都是证券投资基金法律关系的当事人之一。基金管理人的职责主要有以下几个方面:依据《证券投资基金管理暂行办法
》的规定,基金管理人的职责主要有以下几个方面:
1. 按照基金契约的规定运用基金资产投资并管理基金资产;
2. 及时、足额的向基金持有人支付基金收益;
3. 保存基金的会计账册、记录15年以上;
4. 编制基金财务报告,及时公告,并向中国证监会报告;
及每一基金单位资产净值;
6. 基金契约规定的其他职责。
另外,《开放式基金管理办法》规定,基金管理人除应当遵守上述规定外,还应当履行下列职责:
1. 依据基金契约,决定基金收益分配方案。
2. 编制并公告季度报告、中期报告、年度报告等定期报告。
3. 办理与基金有关的信息披露事宜。
4. 确保需要向基金投资人提供的各项文件或资料在规定时间内发出,并且保证投资人能够按照基金契约规定的时间和方式,随时查阅到与基金有关的公开资料,并得到有关资料的复印件。
三:私募基金 托管人 信息披露
【编者按】在中闻品牌部的支持下,商务法律部私募基金全流程法律实务中心组织5位均有基金从业资质且都执业10年以上的中闻律师(周成翰、陈金荣、贾虹、张杨、方勇),分别从私募基金的管理人登记、政府监管、个人信息保护、商事仲裁、刑事等视角,专业解读私募基金法律实务。
一前言
近年来,伴随着移动互联网以及线上各种业态的发展,个人信息成为各类企业竞相争取的重要内容,违规收集个人信息甚至侵犯隐私的活动也频繁出现,大众对个人信息保护的呼声和需求与日俱增,随着欧盟GDPR的公布,全球都在加强个人信息保护,我国也相应的不断加大、加快有关立法的速度和频度。
我国个人信息保护的相关规定始于2005年的《刑法修正案(五)》,其将“非法窃取、收买或者非法提供他人信用卡信息资料”纳入刑事处罚;随后,在2009年的《刑法修正案(七)》中,补充“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”(统称“侵犯公民个人信息罪”)的规定;再后,在2013年对《消费者权益保护法》进行修正,增加了对消费者个人信息保护的相关规定(2014年实施)。
可以看出,在2013年之前,对个人信息的保护主要还是在刑法领域中,也就是侵犯个人信息需要达到一定严重程度才会受到打击。
2017年6月1日《网络安全法》生效后,国家越来越重视个人信息的保护,相关规定的出台越来越快,后续又出台了2017年的《民法通则》(已失效),2019年的《电子商务法》,2021年1月1日的《民法典》、2021年9月1日的《数据安全法》,这些规定都包含个人信息保护的相关内容。
2021年11月1日,《个人信息保护法》(以下简称“《个信法》”)开始实施,《个信法》搭建了个人信息保护的原则及个人信息收集、使用的规则,并规定了个人在个人信息处理活动中的权利,以及个人信息处理者的义务和法律责任。
二行业现状
1、行业动态
截至2022年7月末,中国证券投资基金业协会(以下简称“基金业协会”)数据显示,存续私募基金管理人24,304家;管理基金数量135,836只;管理基金规模20.39万亿元。
截至目前,基金业协会官网上,尚未体现涉及违反个人信息善管义务方面的处分,但协会在近年来公示了涉及违反资料保管义务的处分,资料范畴包含数据和个人信息,私募基金行业对个人信息保护和数据合规予以严格监管已现端倪。
2022年7月,财联社报道,多地证监局向辖区内包括券商、基金公司、投顾公司等在内的多类机构下发通知并做出系列要求,要求机构应提高内控管理水平,进一步加强投资者信息安全防护,以切实防范泄露信息违法违规行为的出现。并把投资者个人信息保护纳入日常重点监管范畴,对辖区内机构的投资者个人信息保护情况开展专项排查,针对严重违反相关法律法规的行为,坚决依法查处,从严处罚。
2、行业现状
私募基金作为金融市场的重要参与者,在私募基金产品“募、投、管、退”各阶段均会涉及投资者个人信息的处理。
私募基金行业监管的相关办法框定了私募基金管理人、从业者应对投资者个人信息履行善管义务,2016年发布且现行有效的《私募投资基金募集行为管理办法》中,包含涉及投资者个人信息的条款,主要为:
“第十条 募集机构应当对投资者的商业秘密及个人信息严格保密。除法律法规和自律规则另有规定的,不得对外披露”;
“第十九条 募集机构应建立科学有效的投资者问卷调查评估方法,确保问卷结果与投资者的风险识别能力和风险承担能力相匹配。募集机构应当在投资者自愿的前提下获取投资者问卷调查信息。问卷调查主要内容应包括但不限于:个人投资者身份信息、年龄、学历、职业、联系方式等信息;以及个人金融资产状况、最近三年个人年均收入、收入中可用于金融投资的比例等信息……。”
但在《个信法》出台之前,私募基金行业个人信息保护方面的工作还相对薄弱,也缺乏更为具体的规范依据,实践中,不乏出现私募产品销售人员私购、贩卖投资者个人信息的违法犯罪活动。
2021年《个信法》的出台,为私募基金行业提供了上位法的规范性指引,对于个人信息的保护,亦将作为私募基金管理人和从业者在业务开展过程中重点
三个人信息保护范围
1、个人信息
个人信息是以电子或者其他方式记录的,与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
匿名化处理是指个人信息经过处理无法识别特定自然人且不能复原的过程,匿名化不同于去标识化,匿名化是无法辨识且不能复原的信息,而去标识化虽不能直接辨识,但可在借助额外信息下恢复辨识。
由此可以看出,界定个人信息的关键在于:是否具有与特定人有关的“可识别性”。
在私募基金投资运作过程中,由于涉及投资金额较大,且出于合格投资者和适当性审查之目的,私募基金管理人往往需要收集个人投资者大量的个人信息,主要包括:姓名、住址、出生年月、学历及毕业院校、职业、职务和工作单位、联系方式、相关领域的专业资质、银行账户、金融资产信息、近三年收入情况等等。
2、敏感个人信息
敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。
基于合格投资者以及投资者适当性审查要求,私募基金管理人可能会涉及到下列敏感信息:投资者的身份证信息、银行账户、金融资产信息(包括资金数量、流水记录等)、 近三年收入情况、信贷记录、征信信息等,私募基金管理人还可能会在登记或签约时采集投资者的指纹和人脸信息等敏感个人信息。
3、私密信息
个人信息中的私密信息属于个人隐私,不仅要遵守个人信息相关规定,还要遵守对隐私权的相关规定。
隐私是指自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。隐私侧重保护人们对身体和家庭以及对私密空间和私人生活安宁的自主权和决定权。
个人信息侧重保护人们对收集、存储、使用、加工、传输、提供、公开、删除可识别自然人的信息以及有关信息的知情权和决定权。
私募基金的募集对象是少数特定投资者,在筛选、邀约特定对象时,需要避免非法获取投资者的个人信息,亦要避免未经同意即直接利用投资者联系方式的相关信息,通过电话、短信、即时通讯工具等频繁联系投资者,这样做可能会影响到个人投资者的生活安宁,涉嫌侵犯投资者的隐私权。
此外,在筛选、邀约过程中一定要注意合法获得投资者信息,否则还可能构成侵犯公民个人信息罪,例如:2017年8月至12月间,周XX在任上海XX股权投资基金管理有限公司副总经理期间,伙同时任该公司部门经理的余XX,在该公司位于上海市天山路XXX号XXX幢XXX室的办公室内,将非法获取的包含姓名、住址、联系方式、身份证号及保险业务信息等内容的公民个人信息资料提供给其分管部门的业务人员,用于打电话为公司产品招揽客户,从而牟利。后周XX和余XX均以犯侵犯公民个人信息罪被刑事处罚。
四个人信息的处理规则
1、单独的个人信息处理者
个人信息处理者在处理个人信息时须遵循合法、正当、必要和诚信原则,并仅限于实现处理目的之最小范围内。
个人信息处理者处理个人信息的前置程序是“告知-同意”,即个人信息处理者需要基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。
但在一些情形下,个人信息处理者处理个人信息可不需取得个人同意:
(1) 为订立、履行个人作为一方当事人的合同所必需;
(2) 为履行法定职责或者法定义务所必需;
(3) 为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
(4) 为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;
(5) 依法在合理范围内处理个人自行公开或者其他已经合法公开的个人信息;
根据《个信法》17条规定,个人信息处理者在处理个人信息前,还应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:
(1) 个人信息处理者的名称或者姓名和联系方式;
(2) 个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;
(3) 个人行使本法规定权利的方式和程序;
(4) 法律、行政法规规定应当告知的其他事项。
如果上述事项发生变更的,个人信息处理者应当将变更部分告知个人。
个人信息处理者通过制定个人信息处理规则的方式告知上述事项的,处理规则应当公开,并且便于查阅和保存
个人信息处理者在处理敏感个人信息时,需要取得个人的单独同意,如果有规定要求需要取得个人的书面同意,还须取得书面同意。
个人信息处理者处理敏感个人信息时,除依法不得告知的之外,还应当向个人告知收集敏感个人信息的必要性以及对个人权益的影响。
2、多位个人信息处理者
多位个人信息处理者处理个人信息时,常见的有委托处理、信息共享(注:是向其他个人信息处理者提供个人信息、公开个人信息)与共同处理三种场景。
区分三种场景主要是看由谁来决定个人信息怎么用:委托处理是由委托人决定,信息共享是各处理者可各自独立决定,共同处理是多个处理者共同决定。
按《个信法》规定,多位个人信息处理者之间在不同的场景下,其对个人的告知义务不同:
在委托处理场景下,在委托人已向个人履行《个信法》17条的告知义务后,原则上无需再就委托处理向个人额外告知,但委托人要确保受托人的处理范围是在其已向个人告知的范围内,且受托人未经委托方同意,不得转委托他人处理个人信息,委托处理结束后,受托人还应将个人信息返还委托方或者删除。
在信息共享的场景下,合规要求最高,需要就信息共享向个人进行一个单独的“告知-同意”:个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。
在共同处理的场景下,个人信息处理者除《个信法》17条的基本告知外,还至少应该告知个人在共同处理的场景下所有参与的共同处理者,他们的名称和联系方式等,共同处理只是增加处理者,对个人信息的处理目的、处理方式等没有变化。
除了向个人告知之外,多位个人信息处理者在处理敏感个人信息时,以及在委托处理和信息共享的场景下,还应当事前进行个人信息保护影响评估,并对处理情况进行记录。
个人信息保护影响评估所需评估的内容有:
(1) 个人信息的处理目的、处理方式等是否合法、正当、必要;
(2) 对个人权益的影响及安全风险;
(3) 所采取的保护措施是否合法、有效并与风险程度相适应。
个人信息保护影响评估报告和处理情况记录应当至少保存三年。
五私募基金合规要点
1、从严合规
在私募基金募集阶段,基于合格投资者和投资者适当性审查,管理人需要了解投资者的真实情况,那么,在投资者个人信息调查、合格投资者判断和认定、投资者经验和特定身份证明收集与认定、投资者风险偏好测评或调查问卷、投资者身份核实时的影像收集、收付资金所涉的账户信息收集、投后回访(若有)、资金
私募基金管理人在与个人投资者合作过程中,不仅收集处理着投资者的个人基础身份信息,还涉及个人财产信息及金融账户等敏感个人信息。
而私募基金管理人或合
因此,在无明确结论和无明确监管指引的情况下,建议私募基金管理人在个人信息的收集、保存、处理和使用等全生命周期管理流程中从严合规,即在处理个信人前需要履行“告知-同意”的前置程序。
私募基金管理人不仅要在收集个人信息前须征得个人投资者同意,并明确告知投资者相关信息的使用范围和使用目的;并且在收集完成后,严格规范使用程序,确保按约定和规定处理相关信息;在业务办理过程中,需要保障投资者可根据个人最新个人情况及时更正其个人信息;在业务结束后,确保投资者能够及时注销个人账户及有关个人信息。
此外,私募基金管理人应在合格投资者审查、适当性管理等文件,以及在《基金合同》、《募集说明书》、《风险揭示书》中新增个人信息处理的“告知-同意”条款,或者附加一份附件,告知个人投资者被处理的个人信息种类、处理目的、处理方式等。
如涉及需要录音录像或提供金融账户信息等敏感个人信息的,私募基金管理人需要单独告知个人投资者处理目的、处理方式之外,还需要告知收集的必要性和对个人权益的影响。
2、区分场景合规
在私募基金认/申购、赎回、转让、分配、清算等环节中,涉及基金管理人、基金销售机构、基金托管人、外包服务机构(若有)等个人信息处理者。
私募基金管理人作为私募投资基金的受托人,参与私募基金募、投、管、退全部环节,可能存在直接向个人收集处理个人信息以及与其他合
基金销售机构是私募基金管理人的受托人,其可能存在直接向个人收集处理个人信息以及与基金管理人存在委托处理、信息共享的场景。
私募基金托管人是私募基金法律关系的一方,其出于基金合同履职的需要,可能会从基金合同、从私募基金管理人提供的信息中获取个人投资者信息,会涉及委托处理。
私募基金外包服务机构受私募基金管理人委托履行部分职责,例如:负责份额登记、账户监管、提供信息技术支持等,外包机构基于与私募基金管理人间的协议约定处理投资者个人信息,其与基金管理人间可能是委托处理、信息共享或共同处理。
私募基金管理人需要先区分其与其他个人信息处理者之间的场景或关系,然后按照委托处理,共享信息或共同处理的不同场景的进行有针对性的合规。例如:一般情况下,基金销售机构是受基金管理人委托处理个人信息的受托方,为委托处理场景,基金销售机构应在代销协议终止时,将个人信息返还私募基金管理人或删除,不得保留。但实操中,基金销售机构在终止后仍会将个人信息作为其客户信息保留,此情况下基金销售公司不再是委托处理,而是信息共享,需要按照信息共享的场景履行单独的“告知-同意”程序,还应当事前进行个人信息保护影响评估,并对处理情况进行记录。
3、采取风控措施
私募基金管理人应根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取风控措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失,包括但不限于:
(1) 制定内部管理制度和操作规程;
(2) 对个人信息实行分类管理;
(3) 采取相应的加密、去标识化等安全技术措施;
(4) 合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;
(5) 制定并组织实施个人信息安全事件应急预案;
六过错推定原则和应对
《个信法》第69条规定:处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。
《个信法》采用过错推定原则,过错推定是指《个信法》推定个人信息处理者有过错,个人信息处理者如不能证明其没有过错的,应当承担侵权责任。
在过错推定原则下,私募基金管理人要如何证明自己没有过错?
私募基金管理人需要对个人信息保护合规进行留底留痕,基金管理人在通过加强内部组织建设与制度完善,设置多重个人信息保障措施,提高技术支持、技术安全防范,定期内部监测和外部评估等措施的同时,还需要随时对其采取的个人信息保护合规措施进行记录和留档。
在方某与北京金色世纪商旅网络科技股份有限公司、中国东方航空集团有限公司合同纠纷一案中,东方航空充分举证“没有过错”成功,具有一定的借鉴意义:
案情为:方某通过「金色世纪」平台订购东方航空的往返机票,在机场候机时收到“XX航班被取消,请联系客服退改签”的诈骗短信,致使被诈骗7万多元。方某认为,金色世纪公司与东方航司存在重大过错,泄露方某的航班信息及个人隐私信息,侵犯了原告的隐私权,对犯罪分子成功诈骗起了重要的作用,遂诉至法院。
被告东方航空就其已采取了多重信息安全保障措施,其对个人信息泄露不存在过错进行大量举证,举证证明其建设了严密的安全管理制度、设计了订单查询系统、数据存储安全进行了专门认证、与专业第三方进行超出国家标准的合作,提供企业数据安全水平、重视并主动执行了个人信息保护和数据安全方面最严格的相关国际规范。
法院认为,东方航空提交了一系列证据证明其针对可查看订单信息的“东航B2C会员专区后台管理系统”进行了数据脱敏设置,确保任何人都无法通过该系统查询到订单信息所对应的订票人身份证号、手机号及联系人手机号;并制订了严密的安全管理制度,对数据存储安全进行专门认证、执行个人信息保护和数据安全方面最严格的国际规范等等。基于东方航空已充分举证,结合案件的其他情况,法院认为东方航空在其自身掌握信息阶段不存在泄露方某信息的事实。
七结语
行稳方能致远,保护个人信息安全,建立良好的私募基金信誉,对私募基金管理人来说意义重大,私募基金管理人需在保护投资者个人信息安全的基础上,合理且合规的使用个人信息,为投资者提供更为优质的服务,保证基金产品的持续健康运作。