作者：通力律师事务所   杨迅

通常来说, 外资私募管理人比较倾向于采用组织化的结构以运营业务, 这一般而言会体现在其会组建一个小型的中国本土队伍以专注于本土发生的业务, 这些业务会包括基金的投资配置与投资计划的执行、下单交易等; 同时将一些后端的办公功能交给离岸团队来处理, 他们会负责包括合规审查, IT设施维护与行政管理等的职能。为了实现这样的运营模式, 外资私募管理人通常将会采取以下的IT设置架构:

(1)外资私募管理人的当地员工将会使用在中国内地的本地终端设施以提交投资计划和下发投资指令。通常这些终端设施会先连接本地端的服务器, 再通过VPN连接到全球端的服务器;
(2)处于海外的合规团队会进行合规、风控核查, 同时通过连接到全球端服务器的终端进行合规审查 ; 以及
(3)处于海外的IT团队会维护IT设施和提供远程的IT技术支持。

中华人民共和国网络安全法(以下简称“网络安全法”)于2016年11月17日公布, 自2017年6月1日起正式生效。网络安全法以及随后一系列的配套法律法规和指南引起了大量行业的关注, 这其中就包括金融服务业。私募基金行业, 作为金融服务业的一部分, 也毫无疑问的将受到影响。

网络安全法要求网络运营者承担大量的法律义务以维护其运营的网络系统和存储于其网络系统中信息的安全; 在这里的“网络运营者”的定义非常宽泛, 包括任何类型的计算机系统(包括互联网网站和企业内部的局域网)的所有者和管理者。外资私募管理人通常都会设置一个网络系统, 通过这个系统他们可以储存客户信息和处理投资交易, 还有管理其内部事务。在这样的情况下, 外资私募管理人作为“网络运营者”将受到网络安全法的规制, 并应当履行网络安全法下的相应的法律义务。

通常而言, 外资私募管理人非常依赖其自身的网络系统以保存客户的个人信息、处理交易以及和海外的总部进行联系。因此, 就外资私募管理人需要履行的安全保护义务而言, 则必须与其所控制网络系统的重要程度相适应。换言之, 即外资私募管理人的安全保护义务随着其控制的网络系统的重要性的提高而随之加强。

网络安全法明确规定了一系列的针对个人信息保护方面的原则。这些原则与欧盟的数据保护相关的法律而言差异并不大. 但是, 外资私募管理人仍然需要注意以下的几个问题:

·  全球化的数据保护政策, 在中国进行“落地”前必须要进行本地化。

·  根据境外的反洗钱相关的法律要求, 就从企业客户获取背景审核信息包括企业客户的董事的个人身份信息, 外资私募管理人需要知悉该些董事并不是其客户本身, 因此, 外资私募管理人必须保证他们的企业客户有权提供其董事的身份信息。

·  外资私募管理人有时会自愿地向其客户或者潜在的客户提供投资机会, 外资私募管理人可能需要考虑其是否已经获得了客户对于收取该等投资计划的同意, 并且该等同意是否是充分的。

正如我们描绘的前述商业模式, 外资私募管理人可能会将其在中国境内因客户背景审核而收集的个人信息和在中国境内产生的待批准的交易信息向其在境外的总部进行传输。

在《个人信息和重要数据出境安全评估办法(征求意见稿)》(以下简称“数据出境办法”)的要求下, 网络运营者(除了CII运营者之外的网络系统运营者)在对个人信息和重要数据进行跨境传输的时候仍然需要进行安全评估程序。虽然数据出境办法仍然是一个草案, 其多少反映了目前有关主管部门持的是加强对数据出境进行监管的态度。因此, 外资私募管理人, 作为一个网络运营者, 在将客户信息和交易信息进行跨境传输时, 仍然需要通过风险评估程序。

私募基金管理人通常习惯于将外资私募管理人收集和产生的大部分客户信息和交易数据储存于境外的服务器, 同时尽可能少的在中国本地的服务器上进行数据留存。这样的模式可以减少IT成本和因保留数据而产生的管理负担。不过, 从网络安全的角度来看, 这可能并不会是一个非常理想的储存模式。

证监会已经颁布了一系列针对证券和期货机构的信息安全的监管规则。根据这些规则的要求, 客户信息和交易记录则必须要在中国境内进行储存。当然目前这些监管规则可能只适用于公募证券基金管理人而不适用于私募基金管理人。无论如何, 我们至少可以认为这些规则反应了监管部门的观点, 即其认为在留存备份在中国境内可能是更安全的选择。

外资私募管理人通常利用VPN以确保其与海外总部的通讯和数据传输的安全性和稳定性。此外, 外资私募管理人通常使用VPN以连接海外的代理服务器, 这可以帮助其在中国雇佣的员工可以绕过政府审查的情况下访问互联网。技术的便利性使得外资私募管理人的本地员工可以访问一些中国政府在中国境内已经禁止访问的网站。

实际上, 在中国境内, 使用VPN是受到严格规制的。通常而言, 在现行的法律体系下, VPN仅仅适用于一定范围内的群组内部成员的沟通, 而非是对公共互联网的连接。换言之, 在理论上, 外资私募管理人仅仅被允许使用VPN以向海外总部传输客户信息和交易信息, 而并不能使用VPN在未进行政府审查的情况下访问公共互联网。

外资私募管理人通常使用加密技术以保护其与总部的通讯安全。而根据《商业密码管理条例》(以下简称“密码条例”), 通常而言, 企业只可以使用在中国生产并经中国政府认证的密码产品和密码技术 。不过, 作为例外情况, 如果跨国企业之间内部的通讯交流是可以使用境外生产的密码产品或者密码技术的, 不过上述产品或者技术和其使用情况则必须要向政府进行备案。外资私募管理人作为外资企业当然也适用这个例外情形, 不过其同时也需要遵守备案的规定。

就网络安全要求和维护网络安全而产生的成本而言, 我们建议外资私募管理人采取以下的措施以减轻网络风险。

根据目前的网络安全法和相关法规的要求下, 外资私募管理人(作为网络运营者)有必要制定IT相关的政策以便管理其使用的IT设备。这些策略可能包括: 

1) IT使用手册, 其将表明员工和承包商将如何使用外资私募管理人的IT设备, 比如禁止将个人设备连入公司的IT系统, 同时只使用由外资私募管理人提供的软件程序;
2) 安全设置政策, 其将表明外资私募管理人将如何从技术方面保护其网络安全, 比如病毒扫描, 脆弱性测试, 恶意网站屏蔽功能等;
3) 灾备政策, 其将表明外资私募管理人将如何备份在IT系统中的数据, 数据的储存地以及如何恢复这些数据; 以及
4) 偶然事件计划, 其将表明外资私募管理人将如何应对突发的网络事件。

根据网络安全法和相关的指南的相关要求, 网络运营者在一系列场景下被要求或者被推荐进行风险调查和风险评估, 包括: (1)个人信息和重要商业数据的跨境传输; (2)采购IT服务和相关的设备; (3)重大的服务外包程序。这些风险评估和调查程序或许可以帮助网路运营者控制风险, 同时一旦在以上的场景下发生数据泄露或者网络瘫痪的情况下, 可以作为减轻其行政责任(甚至可能是刑事责任)的一种抗辩理由。

外资私募管理人是否需要等到具体的指导意见颁布之后才采取行动, 还是其应当在目前的原则性条文的要求下就开始积极行动。

这个问题的答案将取决于多种因素, 包括这些原则性条文的可操作性和遵守这些条文的成本。显而易见, 我们不会建议任何的外资私募管理人采取远远超越业内通行的做法以实施相应的合规行为。但是, 我们确实建议不仅仅是遵守现行的法律规范, 同时要有前瞻性的进行合规实践, 即将商业行为趋近于可见的立法态度。其中内含的动因是, 一方面, 政府机构有时候会通过引用没有约束力的指导性规范中的“立法精神”(甚至还在其未生效的情况下)以管理网络安全的相关事项; 而在另一方面, 一个新法规或者部门规章在其颁布和正式生效之间的时间间隔都十分短暂, 通常是几个月甚至更短的时间, 在这样的情况下, 外资私募管理人将会发现其难以在如此短暂的期间内调整其商业实践进, 以符合新的法规或者部门规章的规制要求。

如需阅读全文, 请联系通力律师事务所。

联系人：

长按下图识别二维码关注我们

© 通力律师事务所

本微信所刊登的文章仅代表作者本人观点, 不代表通力律师事务所的法律意见或建议。我们明示不对任何依赖该等文章的任何内容而采取或不采取行动所导致的后果承担责任。如需转载或引用该等文章的任何内容, 请注明出处。