《2022年《个人信息保护法》对私募基金合规实务的影响》由会员分享,可在线阅读,更多相关《2022年《个人信息保护法》对私募基金合规实务的影响(35页珍藏版)》请在金锄头文库上搜索。
1、个人信息保护法 对私募基金合规 实务的影响目 录个人信息保护法的背景介绍一个人信息保护法法律责任规定二个人信息保护法对私募基金的影响三个人信息保护法对基金管理人的要求四个人信息保护法的背景介绍一2017年6月1日,网络安全法正式施行,是规范网络空间安全管理问题的基础性法律。2021年9月1日,数据安全法正式施行,是数据领域的基础性法律,也是国家安全领域的一部重要法律。2021年11月1日,个人信息保护法(以下简称“个保法”) 正式施行,个人信息保护法为个人信息权益保护、信息处理者的义务以及主管机关的职权范围提供了全面的、体系化的法律依据。截至目前,我国关乎信息安全的三驾马车均已部署完毕,即网络
2、安全法、数据安全法和个人信息保护法。三部法律虽然都涉及信息安全,但是可以从以下三个方面做区分:区分点网络安全法数据安全法个人信息保护法立法目的网络安全与网络空间的国家主权数据安全以及基于数据安全所体现的国家安全个人信息的保护调整范围在中华人民共和国境内建设、 运营、维护和使用网络,以及网络安全的监督管理在中华人民共和国境内开展数据处理活动及其安全监管在中华人民共和国境内处理自然人个人信息的活动规范对象网络运营者、网络产品与服务的提供者以及关键信息基础设施的运营者一切从事数据处理活动的主体一切处理个人信息的主体三者的关系网络安全保护传播数据、信息的网络的安全性个人信息保护规范特殊数据-个人信息的
3、处理数据安全规范所有数据的处理小结如上所述,网络安全更侧重于保护传播数据、信息的网络的安全性,个人信息保护和数据安全则侧重于保护数据、个人信息本身。而数据安全所保护的数据为一般的数据,个人信息保护的个人信息属于特殊的数据,个人信息保护类似一部数据安全的特别类型。个人信息保护法对个人信息的定义十分宽泛,其第四条第一款规定:个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。因此,投资人的个人身份信息,如姓名、地址、职业、财务状况、财富来源、投资偏好等都属于个人信息。个人信息保护法法律责任规定二法律依据 个保法第六十九条:“处理个人信息侵害个人信息
4、权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任”。前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额”。小结在民事责任方面,个保法项下,个人信息民事侵权采用过错推定责任。当发生个人信息侵权行为时,应当由个人信息处理者来举证证明自己处理个人信息的过程没有过错,如举证不能,个人信息处理者将承担赔偿责任,这就加重了私募基金管理人在投资者个人信息保护方面的义务。同时个保法 还规定了共同处理个人信息的连带责任,共同处理的各方侵害个人信息权益造成损害的,需要承
5、担连带责任。案例一基本情况(2016)粤0115民初463号隐私权纠纷案件当事人原告:娄XX被告:XX银行XX支行审理法院XX法院裁判日期2016年03月21日裁判理由个人银行账户历史交易事实属于交易人、账户开户银行知悉的事实,如相关交易不违反法律规定且未经公开,则属于隐私范畴,银行未经允许不得泄露或使用。侵害隐私权的,应当承担相应的侵权责任,用人单位的工作人员因执行工作任务造成他人损害的,由用人单位承担侵权责任,故XX支行应在本案中承担相应的侵权责任。裁判结果一、被告XX银行XX支行应于本判决发生法律效力之日起 10日内向原告娄XX送达书面道歉信,道歉信内容由本院核定;否则,本院将本案判决书
6、 主要内容刊登于相关媒体上,费用由被告XX银行XX支行 承担。二、被告XX银行XX支行应于本判决发生法律效力 之日起10日内,一次性向原告娄XX赔偿100元。法律依据个保法第六十六条:“ 违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者
7、上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和 个人信息保护负责人。第六十七条 有本法规定的违法行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示”。小结行政责任方面,个保法对于违反该法者规定了几档行政处罚,从“责令改正,给予警告,没收违法所得”到“处一百万元以下罚款”,再到“责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停
8、业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照”。同时个保法对于直接负责人员也有相应的行政处罚规定。案例二基本情况银保监罚决名(2021)5号处罚文书被处罚当事人 XX银行处罚机关银保监一、客户信息保护体制机制不健全:柜面非密查询客户账户明细缺乏规范、统一的业务 操作流程与必要的内部控制措施,乱象整治自查不力主要违法违规 事实(案由)二、客户信息收集环节管理不规范:客户数据访问控制管理不符合业务“必须知道”和 “最小授权”原则;查询客户账户明细事由不真实;未经客户本人授权查询并向第三方 提供其个人银行账户交易信息三、对客户敏感信息管理不善,致其流出至互联网,违规储存客户敏感信息四、系
9、统权限管理存在漏洞,重要岗位及外包机构管理存在缺陷处罚决定罚款450万元日期2021年3月17日法律依据个保法第七十一条:“ 违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任”。小结刑事责任方面,非法获取、向他人出售或者提供个人信息,情节严重的,单位和个人都可以构成“侵犯公民个人信息罪”,面临刑事处罚。案例三基本情况案号(2019)苏04刑终49号案由田X、聂XX等侵犯公民个人信息罪二审审理法院江苏XX中级人民法院裁判日期2019年03月13日裁判理由银行员工利用其具有银行内部信息系统公民个人征信的查询权限,为他人查询公民个人的征信信息(包含公民个人基本
10、信息、手机号码、居住地、贷款还款记录等内容)的,构成侵犯公民个人信息罪。裁判结果驳回上诉,维持原判。判决如下:被告人田X犯侵犯公民个人信息罪,判处有期徒刑五年,并处罚金人民币十六万元。被告人聂XX犯侵犯公民个人信息罪,判处有期徒刑五年,并处罚金人民币五十万元。被告人张X犯侵犯公民个人信息罪,判处有期徒刑四年,并处罚金人民币三十五万元。被告人赵XX犯侵犯公民个人信息罪,判处有期徒刑五年,并处罚金人民币三十万元。被告人袁XX犯侵犯公民个人信息罪,判处有期徒刑三年九个月,并处罚金人民币十二万元。被告人陈XX犯侵犯公民个人信息罪,判处有期徒刑三年,并处罚金人民币十二万元。被告人曾XX犯侵犯公民个人信息
11、罪,判处有期徒刑三年六个月,并处罚金人民币十五万元。被告人张X犯侵犯公民个人信息罪,判处有期徒刑二年六个月,缓刑三年,并处罚金人民币五万元。被告人瞿XX犯侵犯公民个人信息罪,判处有期徒刑一年六个月,缓刑二年,并处罚金人民币三万元。小结从上述案例中,个人信息的保护一直也是法律规范的要点,但之前散落在不同的法律法规的规定中, 比如民法通则、商业银行法及刑法,目前,个人信息保护法的出台,可以看出国家监管部门对个人信息保护的重视,对于私募基金管理人从事的私募基金领域而言,投资者权益的保护一直是监管的重点,而投资者个人信息保护毫无疑问是投资者权益保护的重要组成部分。但私募基金管理人在个人信息保护方面一般
12、做得比较薄弱,而现个保法则成为了私募基金管理人做好投资者个人信息保护的规范指引及约束。个保法对相关主体在个人信息保护方面的法律责任,包括民事赔偿责任、行政责任甚至是刑事责任,亦值得私募基金管理人予以关注。个人信息保护法对私募基金的影响三问题:1.私募基金涉及的个人信息有哪些?2.谁是信息处理的主体?1.私募基金管理人在基金管理中,可能涉及的个人信息主要为:自然人股东/合伙人、员工等内部人士的信息自然人股东/合伙人、员工个人信息,主要源于股东/合伙人自身履职、劳动关系订立及履行中所必要提供的信息,主要包括人员的姓名、出生日期、性别、籍贯、教育经历、工作经历、家庭关系等 基础信息,按照个保法第十三
13、条的规定,这类信息属于“为履行法定职责或者法定义务所必需”或“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”的信息。自然人投资者、交易方相关自然人的信息私募基金管理人在投资者适当性管理中需要了解的自然人投资者的基本信息以及基金投资交易活动交易对手提供的相关自然人基本信息、联系信息。个人信息种个人信息种类类说说明明投投资资者基本信息者基本信息自然人的姓名、住址或邮寄地址、学历、职业、年龄、联系方式(邮箱及手机号码)、有效身份证件、出生地 出生日期、性别、国籍等。投投资资者者资产资产状况状况收入来源和数额、资产、债务等财务状况及对应的证明文件。投投资资者投者投资经验资经验投
14、资相关的学习、工作经历、投资经验(包括投资期限、实际投资产品类型、投资金融产品的数量、参与投资 的金融市场情况)及对应的证明文件。相关相关专业资质专业资质包括获得职业资格认证的从事金融相关业务的注册会计师和律师等资格及对应的证明文件。投投资风险资风险偏好偏好投资目的、投资期限、品种、期望收益等投资目标;风险偏好及可承受的损失。诚诚信信记录记录包括征信信息、资本市场相关诚信记录查询。金融金融资产资产相关信息相关信息包括但不限于所持有的基金份额的数量、净值等信息;基金份额变动信息,包括认购/申购、赎回、转让、质押 冻结、清算等。其他其他适当性管理过程相关录音录像材料、法律法规、自律规则规定的投资者
15、准入要求相关信息,以及其他必要信息敏感个人信息敏感个人信息私募基金信息处理除一般个人信息外,还涉及投资者的敏感个人信息,主要包括投资者的特定身份、金融账户 部分采用生物识别登录系统的还可能涉及生物识别、行踪轨迹等信息。2. 私募基金管理人基金管理中,可能涉及的信息处理主体如下:信息处理主体种类说明基金管理人为履行其法定职责以及基金合同的义务,基金管理人必须收集使用投资者的个人信息,其性质固然是自主决定的,因而属于个人信息处理者。基金托管人基金托管人与基金管理人共同签署基金合同或托管合同,出于履行该等合同的需要,其从基金管理人处获得投资者的个人信息,并加以处理,属于个人信息处理者。基金代销机构理
16、论上,基金代销机构是私募基金管理人的受托方,受托处理投资者的个人信息,但是实践中,基金代销机构都是直接对接投资者,将其视为自己的客户,因而实质上也是自主处理投资者的个人信息的,亦属于个人信息处理者。基金外包服务机构私募基金外包服务机构受私募基金管理人委托履行部分职责,负责份额登记、账户监督、提供信息技术平台等职责,在此过程中获取并处理投资者信息,私募基金外包服务机构与投资者直接不 存在直接的法律关系,其基于私募基金管理人的委托处理投资者个人信息,因而不属于个人信息处理者。小结对于上述二类个人信息,原则上,私募基金管理人均可以自行处理(包括收集、存储、使用、加工、传输、提供、公开、删除等),无需取得相关人员的事先同意。(个保法第十三条第一款第(二)项和第(三)项)但需要注意的是:(1)私募基金管理人在处理上述人员个人信息时,应仅限于明确的职务目的或合同目的;(2)对于自然人投资者在参与私募基金投资中涉及的金融账户、资产信息等敏感个人信息,容易触发财产安全问题,因此,需遵循个保法的处理要求,取得个人的单独同意,并向 个人告知处理敏感个人信息的必要性以及对个人权益的影响。此外,应当取得个人的
