守护数据

对外商独资私募证券投资基金管理人而言，中国网络安全法的哪些法律要求需要特别留意？杨迅为您分析

截至2018年5月，共计11家外资机构在中国证券投资基金业协会办理完成了外商独资私募证券投资基金管理人（外资私募管理人）登记，获准开展私募证券投资基金管理业务 。这对于中国而言，将成为其开放基金行业的里程碑式的一步。

在实际设立与运行私募基金的过程中，会涉及到大量的法律问题，而其中比较特别的一个问题是，日益加强监管的网安领域下的网络安全保护问题。本文将要讨论的是在现行法律体系下，外资私募管理人需要特别注意的网络安全义务。

通常来说，外资私募管理人比较倾向于采用组织化的结构以运营业务，这一般而言会体现在其会组建一个小型的中国本土队伍以专注于本土发生的业务，这些业务会包括基金的投资配置与投资计划的执行、下单交易等；同时将一些后端的办公功能交给离岸团队来处理，他们会负责包括合规审查、IT设施维护与行政管理等的职能。为了实现这样的运营模式，外资私募管理人通常会采取以下的IT设置架构：

（1）外资私募管理人的当地员工会使用在中国内地的本地终端设施以提交投资计划和下发投资指令。通常这些终端设施会先连接本地端的服务器，再通过VPN连接到全球端的服务器；

（2）处于海外的合规团队会进行合规、风控核查，同时通过连接到全球端服务器的终端进行合规审查 ；以及

（3）处于海外的IT团队会维护IT设施和提供远程的IT技术支持。

主要义务

中国《网络安全法》于2016年11月17日公布，自2017年6月1日起正式生效。作为第一部在网络安全方面的综合性立法，其不仅对网络运营者设置了一系列的义务，而且还使得大量现存的但过去执行情况不尽如人意的网络安全义务得以重新适用。

网络安全法以及随后一系列的配套法律法规和指南引起了大量行业的关注，这其中就包括金融服务业。私募基金行业，作为金融服务业的一部分，也毫无疑问的将受到影响。

维护网络安全的义务。网络安全法要求网络运营者承担大量的法律义务以维护其运营的网络系统和存储于其网络系统中信息的安全。在这里的“网络运营者”的定义非常宽泛，包括任何类型的计算机系统（包括互联网网站和企业内部的局域网）的所有者和管理者。

外资私募管理人通常都会设置一个网络系统，通过这个系统他们可以储存客户信息和处理投资交易，还有管理其内部事务。在这样的情况下，外资私募管理人作为“网络运营者”将受到网络安全法的规制，并应当履行网络安全法下的相应的法律义务。这些法律义务包括：

首先，制定和实施IT安全管理政策，同时按照这些政策的要求采用适当的技术措施和管理措施以维护网络系统的安全性，还需要根据该网络系统的重要性以确定技术措施和管理措施的安全级别；

第二，制定灾备政策和突发事件计划，同时按照这些计划对日常商业运营中产生的数据进行日常备份，以在意外事件发生时减轻该等事件的影响；

第三 ，根据法律要求制定和实施个人数据保护政策，同时按照这些政策保护个人信息；以及

最后，考虑安全相关的问题，例如在采购IT设备和IT相关的服务的时候考虑其可靠性、依赖程度和技术冗余。

通常而言，外资私募管理人非常依赖其自身的网络系统以保存客户的个人信息、处理交易以及和海外的总部进行联系。因此，就外资私募管理人需要履行的安全保护义务而言，必须与其所控制网络系统的重要程度相适应。换言之，即外资私募管理人的安全保护义务随着其控制的网络系统的重要性的提高而加强。

个人信息的保护。网络安全法明确规定了一系列的针对个人信息保护方面的原则。这些原则与欧盟的数据保护相关的法律而言差异并不大，其中包括：就收集个人信息征得数据主体的知情同意；采取适当的措施以保护收集的个人信息；只收集“必要”范围内的个人信息；以及不在未经数据主体同意的情况下使用或者泄露其个人信息。

[ihc-hide-content ihc_mb_type=”show” ihc_mb_who=”reg” ihc_mb_template=”1″ ]

以上的原则很少会给外资私募管理人带来严重的问题，因为通常其总部会根据欧洲标准而制定相应的数据保护政策。但是，外资私募管理人仍然需要注意以下的几个问题：

首先，全球化的数据保护政策在中国进行“落地”前必须要进行本地化。这些“本地化”的实践可能包括：（1）根据中国法下特殊的要求进行个人信息保护政策的修订，例如网络事故上报制度和客户投诉回应制度；（2）该等政策应体现中国独特的技术使用特征，比如社交媒体的广泛使用情况下如何保护信息安全；（3）将该等政策翻译成易于理解的中文。

第二，根据境外的反洗钱相关的法律要求，就从企业客户处获取的背景审核信息（包括企业客户的董事的个人身份信息），外资私募管理人需要知悉该些董事并不是其客户本身，因此，外资私募管理人必须保证他们的企业客户有权提供其董事的身份信息。

第三，外资私募管理人有时会自愿地向其客户或者潜在的客户提供投资机会，然而该等信息是否属于“投资介绍服务”或者单纯的只是一个商业广告，则成为了一个问题。如果是后者，外资私募管理人则需要考虑其是否已经获得了客户对于收取该等投资计划的同意，并且该等同意是否是充分的。

数据出境的限制。正如我们描绘的前述商业模式，外资私募管理人可能会将其在中国境内因客户背景审核而收集的个人信息和在中国境内产生的待批准的交易信息向其在境外的总部进行传输。

根据网络安全法的要求，关键信息基础设施（CII）运营者在中国境内收集或者产生的个人信息和重要商业信息，原则上是不允许向境外传输的；除非是在商业必要的情况下，经过严格的审查程序后，该等数据才可以出境。目前为止，“CII”这个术语尚未在网络安全法下被定义，而规定CII相关法律义务的指南也还未出台。然而，鉴于目前外资私募管理人运营的大多数网络系统主要涉及到个人利益而非国家利益，我们认为，外资私募管理人一般而言不太可能被认为是CII的运营者。

但是，在《个人信息和重要数据出境安全评估办法（征求意见稿）》（数据出境办法）的要求下，网络运营者（除了CII运营者之外的网络系统运营者）在对个人信息和重要数据进行跨境传输的时候仍然需要进行安全评估程序。虽然数据出境办法仍然是一个草案，其多少反映了目前有关主管部门持的是加强对数据出境进行监管的态度。因此，外资私募管理人，作为一个网络运营者，在将客户信息和交易信息进行跨境传输时，仍然需要通过风险评估程序，这其中需要考虑到拟出境数据的敏感性，信息滥用的可能性以及可能采取的适当的保护信息安全的措施。

目前来看，进行风险评估不仅仅是一个实践性意义上对数据安全的保证措施，同时，如果在数据跨境传输的过程中发生任何数据泄露事件的话，这也可以构成一个外资私募管理人对泄露事件免责的合法“抗辩”，因为这可以表明外资私募管理人已经勤勉地履行了相关的法律义务。

数据保留义务。私募基金管理人通常习惯于将外资私募管理人收集和产生的大部分客户信息和交易数据储存于境外的服务器，同时尽可能少的在中国本地的服务器上进行数据留存。这样的模式可以减少IT成本和因保留数据而产生的管理负担。不过，从网络安全的角度来看，这可能并不会是一个非常理想的储存模式。

证监会已经颁布了一系列针对证券和期货机构的信息安全的监管规则。根据这些规则的要求，客户信息和交易记录必须要在中国境内进行储存。当然目前这些监管规则可能只适用于公募证券基金管理人而不适用于私募基金管理人。无论如何，我们至少可以认为这些规则反应了监管部门的观点，即其认为信息留存备份在中国境内可能是更安全的选择。

除此之外，在中国境内留存副本也可以作为一种减少数据出境相关风险的措施，因为在中国境外储存的数据一旦发生损毁，外资私募管理人至少可以在中国境内有相应的备份以进行数据恢复，以防止产生业务中断等不利情况。因此，虽然对于外资私募管理人而言，数据的本地化备份并不是一个强制性的法律义务，我们仍然推荐在中国境内，至少需要对和客户相关的重要信息以及在中国进行的投资相关的信息进行本地备份。

商业用途下的VPN适用。外资私募管理人通常利用VPN以确保其与海外总部的通讯和数据传输的安全性和稳定性。此外，外资私募管理人通常使用VPN以连接海外的代理服务器，这可以帮助其在中国雇佣的员工在绕过政府审查的情况下访问互联网。技术的便利性使得外资私募管理人的本地员工可以访问一些中国政府在中国境内已经禁止访问的网站。

实际上，在中国境内，使用VPN是受到严格规制的。通常而言，在现行的法律体系下，VPN仅仅适用于一定范围内的群组内部成员的沟通，而非是对公共互联网的连接。换言之，在理论上，外资私募管理人仅仅被允许使用VPN以向海外总部传输客户信息和交易信息，而并不能使用VPN在未进行政府审查的情况下访问公共互联网。

然而，政府部门也了解到特定商业机构的运营者，像外资私募管理人，可能有访问特定网站（例如Financial Times）的商业需求，所以在事实上容忍了在合法的商业理由之外利用VPN的行为，比如访问禁止访问的互联网网站。

而这实际上要求外资私募管理人制定相关的VPN使用规则，以管理因此而产生的风险。例如，外资私募管理人可以允许在必要的范围内使用VPN，但是禁止一切通过技术和管理上的措施的滥用VPN的行为。如此一来，即使其员工被发现了确实是在非法滥用VPN，外资私募管理人也可以有理由进行抗辩。

加密技术的使用。外资私募管理人通常使用加密技术以保护其与总部的通讯安全。而根据《商业密码管理条例》（密码条例），通常而言，企业只可以使用在中国生产并经中国政府认证的密码产品和密码技术 。不过，作为例外情况，跨国企业之间内部的通讯交流是可以使用境外生产的密码产品或者密码技术的，只是上述产品或者技术和其使用情况必须要向政府进行备案。外资私募管理人作为外资企业当然也适用这个例外情形，只是其同时也需要遵守备案的规定。

不过，迄今为止这个备案程序的要求被没有很好的被执行。但是，上述的情况可能在未来即将发生改变，因为国务院正在起草“密码管理法”，其中将赋予密码管理部门对密码市场进行规制的同时设置审批与备案义务。如果该法律在目前的框架底下被全国人大通过，“密码管理相关的法律法规”的义务则有可能获得严格执行。

根据以上情况，我们建议，无论是从实践角度还是法律角度来看，外资私募管理人都应当为其与总部联系而使用的密码产品或者密码技术，向政府进行备案。

实践建议

虽然主管部门正在日益加强其对网络空间的控制，使得在中国的网络运营者需要承担更多的义务。但我们认为，这样的控制和义务设置并不会导致外资私募管理人无法在商业上公平地开展其商业活动。不过这也意味着，外资私募管理人应当勤勉地履行其法律义务以维护其网络和掌握的信息的安全。

就网络安全要求和维护网络安全而产生的成本而言，我们建议外资私募管理人采取以下的措施以减轻网络风险。

制定本地化的IT政策，并付诸实践。根据目前的网络安全法和相关法规的要求，外资私募管理人（作为网络运营者）有必要制定IT相关的政策以便管理其使用的IT设备。这些策略可能包括：

（1）IT使用手册，以表明员工和承包商将如何使用外资私募管理人的IT设备，比如禁止将个人设备连入公司的IT系统，同时只使用由外资私募管理人提供的软件程序；（2）安全设置政策，以表明外资私募管理人将如何从技术方面保护其网络安全，比如病毒扫描，脆弱性测试，恶意网站屏蔽功能等；（3）灾备政策，以表明外资私募管理人将如何备份在IT系统中的数据，数据的储存地以及如何恢复这些数据；以及（4）偶然事件计划，以表明外资私募管理人将如何应对突发的网络事件。

这些IT政策主要有三个功能。第一，这些政策的制定和实施是外资私募管理人的法律义务，如果不履行这些义务，外资私募管理人和其直接责任人都可能会被处以罚款。第二，如果这些IT政策制定和实施得当，外资私募管理人将很大几率不会遭到重大的网络事件，即使发生了重大的网络事件，他们也能更有准备地处理以减少损失。第三，当重大的网络事件发生时，制定和实施IT政策可以作为减轻其行政责任（甚至可能是刑事责任）的一种抗辩理由。

对于那些实施全球统一的IT政策的外资私募管理人而言，他们必须将其全球政策本地化，以反映中国的特殊监管需求，同时，将其以可读的形式记载于书面文件之上。此外，外资私募管理人必须定期对其有权使用IT系统的职员、管理人员以及承包商进行培训，以提高其IT安全意识。

设立风险评估和调查程序。根据网络安全法和相关的指南的相关要求，网络运营者在一系列场景下被要求或者被推荐进行风险调查和风险评估，包括：（1）个人信息和重要商业数据的跨境传输；（2）采购IT服务和相关的设备；（3）重大的服务外包程序。

这些风险评估和调查程序或许可以帮助网络运营者控制风险，同时一旦在以上的场景下发生数据泄露或者网络瘫痪的情况下，可以作为减轻其行政责任（甚至可能是刑事责任）的一种抗辩理由。

值得注意的是，风险评估或者调查并不是IT部门单独的责任。相反，董事或者高级别的经理同样应当参与到评估和决策制定的过程中。此外，评估、调查和决策制定的过程应当被适当地记载下来，否则，抗辩的效果将大大减低。

展望未来

《网络安全法》下的条文大部分规定的并不是非常具体的，就其本质而言大多是原则性的规定。同时，自2016年的《网络安全法》公布之后，已经有超过10部法规、管理办法与指导意见等被制定出来以阐述和实施《网络安全法》下的网络安全法律要求。其中，仍然有一些法律法规处于起草阶段。所以，这里的问题是外资私募管理人是否需要等到具体的指导意见颁布之后才采取行动，或者其应当在目前的原则性条文的要求下就开始积极行动。

这个问题的答案将取决于多种因素，包括这些原则性条文的可操作性和遵守这些条文的成本。显而易见，我们不会建议任何的外资私募管理人采取远远超越业内通行的做法以实施相应的合规行为。但是，我们确实建议不仅仅是遵守现行的法律规范，同时要有前瞻性地进行合规实践，即将商业行为趋近于可见的立法态度。其中内含的动因是：一方面，政府机构有时候会通过引用指导性规范中的“立法精神”以管理网络安全的相关事项；另一方面，一个新法规或者部门规章在其颁布和正式生效之间的时间间隔都十分短暂，通常是几个月甚至更短的时间，在这样的情况下，外资私募管理人将会发现其难以在如此短暂的期间内调整其商业实践，以符合新的法规或者部门规章的规制要求。

[/ihc-hide-content]