通力法律评述 | 网络安全法对外资私募机构的影响及应对策略 | 自由微信

通力法律评述 | 网络安全法对外资私募机构的影响及应对策略

原创 2017-08-14 通力律师 通力律师

作者：通力律师事务所吕红 | 潘永建 | 罗黎莉

导读

2016年6月30日, 经中国证券监督管理委员会(“中国证监会”)同意, 中国证券投资基金业协会(“基金业协会”)发布《私募基金登记备案相关问题解答(十)》(“《问答十》”)允许境外金融机构在中国境内设立外商投资企业开展私募证券投资基金管理业务, 相当数量的境外金融机构已积极推进外商独资私募证券投资基金管理机构(“外资私募机构”)的落地工作, 富达、瑞银等机构相继完成了在基金业协会的外资私募机构登记并开展业务。

与此同时, 《中华人民共和国网络安全法》(“《网安法》”, 2017年6月1日起施行)及其后陆续出台的《网安法》配套规定及指南对外资私募机构开展业务的影响不容忽视。《网安法》适用于网络运营者在中国境内建设、运营、维护和使用网络的行为, 规定了网络运营者安全运营规范、网络安全等级保护制度、应急预案与应急处置机制、关键信息基础设施的运行安全保护、个人信息及重要数据出境的安全评估要求等内容。如何在遵守《网安法》与满足集团合规风控要求、共享集团优势资源间实现有效平衡, 成为外资私募机构亟待思考和解决的问题。

Part 1

外资私募机构投资交易模式

《问答十》要求外资私募机构“在境内从事证券及期货交易, 应当独立进行投资决策, 不得通过境外机构或者境外系统下达交易指令。中国证监会另有规定的除外。” 相较于内资私募机构, 外资私募机构需考虑集团层面的法律合规及风险控制要求, 以满足境内外法律及监管要求, 包括但不限于客户身份识别、反洗钱、投资交易风险控制、合并权益披露等, 同时也希望共享集团已有的优势及资源(例如证券研究、量化模型、风控系统等)。为此, 部分外资机构提出了适用于外资私募机构的FIX[1]模式设想。

具体而言, 外资私募机构应设投资决策责任人和交易执行责任人, 若采用FIX模式, 应在境内安装集团全球投资管理交易系统终端, 该终端可通过FIX专线与中国证券经纪商连接。投资管理人员做出初步投资决策后, 可将其提交全球投资管理交易系统进行合规风控核查, 并基于核查结果做出最终投资决策, 外资私募机构的交易执行人员通过FIX专线(或电话、邮件、传真等方式)向中国证券经纪商下达交易指令, 做到交易路径透明可追、交易数据完整可查、交易流程清晰可控、交易记录全程留痕和本地备份。

FIX模式不可避免地涉及投资交易数据的境外存储和数据出境。此外, 外资私募机构为遵守集团层面对客户身份识别、反洗钱等合规风控要求, 需要将其客户信息录入集团系统, 亦涉及客户信息的数据出境。

Part 2

《网安法》对外资私募机构的影响

1. 《网安法》的主要规定

《网安法》及配套规定、指南

《网安法》项下与外资私募机构密切相关的定义

“网络”是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。外资私募机构的投资管理交易系统及其其他网络系统、网站属于“网络”范畴。

“网络运营者”是指网络的所有者、管理者和网络服务提供者。外资私募机构若拥有及/或管理网络, 则成为网络运营者。

“关键信息基础设施”是指国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域, 以及其他一旦遭到破坏、丧失功能或者数据泄露, 可能严重危害国家安全、国计民生、公共利益的关键信息基础设施, 在网络安全等级保护制度的基础上, 实行重点保护。

“个人信息”是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息, 包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

“重要数据”, 参考《个人信息和重要数据出境安全评估办法(征求意见稿)》, 是指与国家安全、经济发展, 以及社会公共利益密切相关的数据, 具体范围参照国家有关标准和重要数据识别指南。全国信息安全标准化技术委员会起草的国家标准《信息安全技术数据出境安全评估指南(草案)》附录A对重要数据范围做了列举。

“数据出境”, 参考《个人信息和重要数据出境安全评估办法(征求意见稿)》, 是指网络运营者将在中华人民共和国境内运营中收集和产生的个人信息和重要数据, 提供给位于境外的机构、组织、个人。

《网安法》项下适用于外资私募机构的主要内容

(1) 适用范围: 《网安法》适用于在中华人民共和国境内建设、运营、维护和使用网络, 以及网络安全的监督管理。外资私募机构使用的投资管理交易系统属于《网安法》所定义的“网络”。即便外资私募机构在FIX模式下使用服务器在境外的全球投资管理交易系统, 由于外资私募机构在中国境内使用该系统, 我们理解也应当受到《网安法》的规制。(《网安法》第二条)

(2) 网络安全等级保护制度: 《网安法》提出“网络安全等级保护制度”, 网络运营者应当按照网络安全等级保护制度的要求, 履行安全保护义务, 包括: 制定内部安全管理制度和操作规程, 确定网络安全负责人, 落实网络安全保护责任; 采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施; 采取监测、记录网络运行状态、网络安全事件的技术措施, 并按照规定留存相关的网络日志不少于六个月; 采取数据分类、重要数据备份和加密等措施等。(《网安法》第二十一条)

(3) 网络运营者应当制定网络安全事件应急预案、开展网络安全认证、检测、风险评估等活动。(《网安法》第二十五条及第二十六条)

(4) 关键信息基础设施: 根据《网安法》第三章对“关键信息基础设施”的范围、更严格的安全保护义务、网络产品和服务采购的安全审查及安全保密协议签订、关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据的境内存储及确需向境外提供时的安全评估、年度检测评估做出规定。(《网安法》第三十一条、第三十四至三十八条)

(5) 个人信息保护: 网络运营者收集、使用个人信息, 应当明示收集、使用信息的目的、方式和范围, 并经被收集者同意。网络运营者不得泄露、篡改、毁损其收集的个人信息; 未经被收集者同意, 不得向他人提供个人信息。但是, 经过处理无法识别特定个人且不能复原的除外。(《网安法》第四十一条及第四十二条)

(6) 法律责任: 《网安法》第六章“法律责任”明确规定了网络运营者违反相关责任和义务的法律责任, 包括责令改正、给予警告、罚款、暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照、对直接负责的主管人员处以罚款等措施。

2. 外资私募机构与“关键信息基础设施”

《网安法》及《关键信息基础设施安全保护条例(征求意见稿)》采用列举和后果概括的方式对关键信息基础设施作了定义, 所列举的“金融”行业和领域与外资私募机构最为相关, 就后果概括而言, 关键信息基础设施系对国家安全、国计民生和社会稳定至关重要的网络。

目前, 私募基金管理机构是否属于金融机构尚无定论。根据中国人民银行2014年9月19日发布的《金融机构编码规范》(JR/T 0124-2014), “证券投资基金管理公司”指经中国证券监督管理委员会批准, 在中华人民共和国境内设立, 从事证券投资基金管理业务的企业法人。由于外资私募机构是在基金业协会完成私募基金管理人登记以开展私募基金管理业务, 似不属于中国人民银行的金融机构编码规范所涵盖的金融机构。根据国民经济行业分类国家标准(GB/T 4754-2011), “金融业-资本市场服务-基金管理服务”(代码: 6713)是指在收费或合同基础上为个人、企业及其他客户进行的资产组合和基金管理活动, 包括证券投资基金、企业年金、社保基金、专户理财、国内资本境外投资管理(QDII)等活动。据此定义, 私募证券投资基金管理业务或可属于“金融业”领域。

需说明的是, 属于关键行业领域的机构, 其运行和管理的网络设施和信息系统并不必然属于关键信息基础设施, 而是需要根据其网络设施和信息系统对其关键业务的支撑程度以及发生网络安全事件后造成的危害后果与程度加以判断。外资私募机构的投资管理交易系统等核心业务系统是否会被认定为“关键信息基础设施”, 尚待《关键信息基础设施识别指南》出台后做进一步分析。

倘若外资私募机构的投资管理交易系统等核心业务系统被认定为“关键信息基础设施”, 外资私募机构作为关键信息基础设施运营者, 按照《网安法》及《关键信息基础设施安全保护条例(征求意见稿)》, 其责任和义务要远远超过一般的网络运营者。具体包括:

(1) 单位的主要负责人应为关键信息基础设施安全保护工作第一责任人, 应设置专门网络安全管理机构和网络安全管理负责人, 并对该负责人和关键岗位人员进行安全背景审查;

(2) 定期对从业人员进行网络安全教育、技术培训和技能考核;

(3) 对重要系统和数据库进行容灾备份, 及时对系统漏洞等安全风险采取补救措施;

(4) 制定网络安全事件应急预案并定期进行演练;

(5) 建立健全关键信息基础设施安全检测评估制度, 每年至少进行一次检测评估;

(6) 在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要, 确需向境外提供的, 应当按照个人信息和重要数据出境安全评估办法进行评估;

(7) 关键信息基础设施的运行维护应当在境内实施。因业务需要, 确需进行境外远程维护的, 应事先报国家行业主管或监管部门和国务院公安部门;

(8) 采购、使用的网络关键设备、网络安全专用产品, 应当符合法律、行政法规的规定和相关国家标准的强制性要求, 通过网络安全审查, 与提供者签订安全保密协议。

上述责任义务中的第(6)、(7)、(8)项内容对FIX模式是否继续可行有至关重要的影响。倘若外资私募机构的投资管理交易系统属于关键信息基础设施、客户信息及投资交易数据属于“重要数据”, 上述第(6) 、(7)、(8)项的强制要求可能导致FIX模式不再可行, 外资私募机构需要从境内采购符合要求的投资管理交易系统, 或者将全球投资管理交易系统按照法规要求进行本地化部署。外资私募机构可密切关注后续将出台的《关键信息基础设施识别指南》以及《关键信息基础设施安全保护条例》正式生效版本的内容, 以做好相应的合规准备。

3. 外资私募机构与“重要数据”

虽然《网安法》仅提及关键信息基础设施运营者对个人信息和重要数据的境内存储、确需向境外提供时应进行安全评估的要求, 但《个人信息和重要数据出境安全评估办法》的上位法除了《网安法》外, 还包括《中华人民共和国国家安全法》, 根据《个人信息和重要数据出境安全评估办法》的公开征求意见稿, 需要境内存储的“重要数据”和出境时需要进行安全评估的“重要数据”包括一般网络运营者在境内收集和产生的重要数据, 而不仅限于关键信息基础设施运营者在境内收集和产生的重要数据。

参考《信息安全技术数据出境安全评估指南(草案)》, 附录A - A.19. 金融, 与金融业领域相关的重要数据包括但不限于:

A.19.1 金融机构安全信息

a) 新产品研发方案以及研发过程中产生的相关记录和数据;

b) 技术方案、电路设计、计算机软件、源代码和目标码、数据库、研究开发记录、技术报告、检测报告、实验数据、实验结果、图纸等技术文档;

c) 产品销售信息、市场调研信息、市场营销计划、财务资料、业务分析研究成果等经营资料;

d) 客户名单、客户身份资料、客户交易记录等客户资料;

e) 内部安全保卫制度、操作细节、银行业务使用的密押、编制方案及专用暗记、代号、指令密码;

f) 其他一经泄露会对各金融机构安全和利益造成损害的信息。

A.19.2 自然人、法人和其他组织金融信息

a) 个人财产信息。包括个人收入状况、拥有的不动产状况、拥有的车辆状况、纳税额、公积金缴存金额等;

b) 账户信息。包括银行结算账户和支付账户的信息。主要要素为: 账号名称、账号、账户类型、账户开立时间、开户机构、绑定账户信息、账户验证信息(含客户身份外部渠道验证信息)、账户映射的敏感介质信息(如银行卡有效期、验证码、磁道信息等)、账户余额、账户交易情况等;

c) 个人信用信息。包括信用卡还款情况、贷款偿还情况以及个人在经济活动中形成的, 能够反映其信用状况的其他信息;

d) 自然人、法人和其他组织金融交易信息。包括银行业金融机构、证券业金融机构、保险业金融机构、交易及结算类金融机构、非银行支付机构等各类金融机构办理业务时获取的自然人、法人和其他组织交易信息;

e) 身份信息。包括个人身份信息和单位身份信息。其中个人身份信息包括个人姓名、性别、国籍、民族、身份证种类号码及有效期限、职业、联系方式、婚姻状况、家庭状况、住所或工作单位地址及照片等。单位身份信息包括单位名称、统一社会信用代码、类型、法定代表人(负责人)姓名及身份证件号码、经营场所、联系方式等;

f) 衍生信息。包括个人消费习惯、投资意愿等对原始信息进行处理、分析所形成的反映特定个人某些情况的信息;

g) 在与自然人、法人和其他组织建立业务关系过程中获取、保存的其他自然人、法人和组织信息。

由上可见, 外资私募机构除了需要关注上文第2点所提及的“关键信息基础设施”事项外, 还要关注最终公布生效的《个人信息和重要数据出境安全评估办法》规定的“重要数据”存储和出境安全审查的义务主体范围以及最终公布生效的《信息安全技术数据出境安全评估指南》规定的“重要数据”的范围。即便外资私募机构最终不属于关键信息基础设施运营者范畴, 仍可能因为收集的信息是“重要数据”而要严格遵守《个人信息和重要数据出境安全评估办法》的规定。

4. “个人信息”和“重要数据”数据出境的安全评估

根据《个人信息和重要数据出境安全评估办法(征求意见稿)》, 外资私募机构作为网络运营者, 对其在境内运营收集和产生的个人信息和重要数据出境, 均应进行安全评估, 通常情况下, 外资私募机构只需按照相关法规、指南的要求制定并实施内部安全评估办法, 个人信息出境还应获得个人信息主体同意, 但若涉及以下情形, 则应报请监管部门(中国证监会)组织安全评估:

(1) 含有或累计含有50万人以上的个人信息;

(2) 数据量超过1000GB; (《个人信息和重要数据出境安全评估办法(修改稿)》已删除此项)

(3) 包含核设施、化学生物、国防军工、人口健康等领域数据, 大型工程活动、海洋环境以及敏感地理信息数据等;

(4) 包含关键信息基础设施的系统漏洞、安全防护等网络安全信息;

(5) 关键信息基础设施运营者向境外提供个人信息和重要数据; (《个人信息和重要数据出境安全评估办法(修改稿)》已删除此项)[3]

(6) 其他可能影响国家安全和社会公共利益, 行业主管或监管部门认为应该评估。

Part 3

美国、欧盟“关键信息基础设施”概述及可借鉴性

1. 美国法相关制度

美国法下并不存在“关键信息基础设施”的特定称谓, 而是界定为支持关键基础设施的信息系统。关键基础设施, 通常指任何在在国家安全和社会正常运转体系中起到关键作用的系统或者设施。2002年, 美国通过《国土安全法》, 国土安全部成为关键基础设施的主管部门, 使关键基础设施的保护与国土安全紧密相连。《关键基础设施保护法案》规定, “关键基础设施为对美国至关重要的系统和资产, 不论实体的还是虚拟的, 重要到如果这类系统或资产不运作或是遭到破坏将会对国家安全、国家经济安全、国家公众健康或安全, 或这些事项的任何组合造成削弱影响。”[4]

在2003年和2008年, 关键基础设施所覆盖的行业领域均发生过变化, 直至2013年第21号总统令[5]最终确定了16类关键基础设施领域 : 化学、商业设施、通讯、关键制造、水利、国防工业基地、应急服务、能源、金融服务、食品和农业、政府设施、医疗保健和公共卫生、信息技术、核反应堆、材料和废弃物、运输系统、水及污水处理系统。2017年5月11日, 特朗普签发总统令, 要求加强对联邦的关键基础设施的保护[6]。

国土安全部就各关键基础设施网络安全保护指定了相应的主管部门。按照国土安全部的行业指南, 金融服务业包括“长期和短期的投资基金”, 金融服务业的网络安全保护工作的主管部门为美国财政部。按照《金融服务业行动计划-2015》, 由金融行业主要机构组成的金融服务行业协调理事会协助国土安全部通过“信息分享”“最佳实践”“事故响应与恢复”与“政策支持”等项目促进金融服务行业的关键基础设施的网络安全[7]。

2. 欧盟法相关制度

2008年《关于欧盟理事会制定识别、指定欧洲关键基础设施, 并评估提高保护必要性的指令》[8]规定, 关键基础设施指位于某一成员国的财产或系统或其某一部分, 对保障社会关键领域(如居民健康、安全、稳定、经济或社会福利)至关重要的基础设施, 其中断或损坏会对欧盟成员国产生重大影响。欧盟各国普遍把金融行业列入到关键基础设施范围之中。

针对关键基础设施, 欧洲网络与信息安全局(ENISA)倡导欧盟各国实施国家网络信息安全国家战略, 具体措施类似于中国的关键基础信息设施运营者管理制度, 诸如制定网络应急预案、组织网络安全演习、制定网络安全基本安全标准、建立事故报告机制和事故响应能力等。

特别值得注意的是, 欧盟多年的实践经验证明, 关键信息基础设施安全管理要注重公、私利益之间的平衡。ENISA报告指出, “为了更好地了解不断变化中的环境, 在公、私利益相关者之间建立信息共享机制。在公、私利益相关者之间的战略合作中, 信息共享是形式之一。关键设施的所有者, 可以同公共利益相关者分享他们在减轻新型风险、威胁和漏洞方面信息, 而公共利益相关者, 则可以提供与国家安全状况有关的, 有必要获悉的信息, 包括收集到的信息情报和涉嫌网络犯罪的单位。”出于公、私利益的平衡, 欧盟特别强调“在一个共同的范围和目标下, 各司其职, 公私合作以达到一个共同的目的[9]”。

Part 4

外资私募机构的应对策略分析

在网络安全已上升到国家“空间主权”层面予以规范的前提下, 外资私募机构如何在《网安法》下审慎合法合规展业已是不容忽视的问题。我们就外资私募机构目前阶段可采取的应对策略给出以下几点建议:

1. 密切关注《网安法》配套规定及指南的立法进度及过渡期安排;

2. 做好合规准备, 例如, 结合已有法规及相关征求意见稿, 起草网络安全保护制度、应急预案及应急处置机制、个人信息和重要数据出境安全评估制度和流程、进行个人信息收集程序梳理;

3. 与国家网信部门(即, 中华人民共和国国家互联网信息办公室)、监管部门(中国证监会)、基金业协会保持沟通, 关注立法进度的同时, 积极提供建议, 例如:

(1) 《关键信息基础设施识别指南》在界定关键信息基础设施范围时, 参考美国、欧盟经验, 倡导公私合作以实现公私利益的平衡, 鼓励行业自律机构(基金业协会)根据自身业务特点制定相应规则, 既考虑行业性质(是否为金融机构、金融业)、系统的重要性(是否为核心业务系统), 也考虑运营者是否已拥有一定的客户数量、数据量、资产管理规模等, 实现动态监管以及法律合规的可预期性, 以便外资私募机构提前做好合规准备;

(2) 为了合规风控之目的, 限于集团内的个人信息和重要数据出境, 是否可以豁免或简化安全评估程序;

(3) 若触发监管部门组织安全评估需求, 监管部门考虑基金管理业务的实时交易等特性, 进行定期评估, 而不是逐笔数据出境评估;

(4) 若外资私募机构属于关键信息基础设施运营者、投资管理交易系统属于关键信息基础设施, 可否对已采用FIX模式的外资私募机构给予较长的过渡期, 使其可以进行全球投资管理交易系统的本地化部署, 或者采购境内系统并进行升级、对接以满足集团的合规风控要求。

【注释】

[1] FIX全称是金融信息交换协议(Financial Information eXchange), 是一种在全球范围内被广泛使用的电子化交易指令传输协议, 可被理解为统一的信息传输“语言”。FIX专线传输方式在全球范围内已被证券交易买方、卖方、交易平台及证券监管机构、证券交易所普遍采纳和使用, 符合全球通用交易习惯。外资私募机构所使用的集团全球投资管理交易系统基本都支持FIX专线连接, 并且FIX专线连接在QFII/RQFII业务、内地与香港股票市场互联互通业务中已被广泛使用, 境内大部分券商的交易执行系统可支持FIX专线连接。

[2] 目录内容详见: http://www.cac.gov.cn/2017-06/09/c_1121113591.htm

[3] 《网安法》第三十七条已明确规定关键信息基础设运营者对“个人信息”、“重要数据”在境内存储和履行出境安全审查的义务。因此, 《个人信息和重要数据出境安全评估办法(修改稿)》删除此项不影响关键信息基础设运营者在《网安法》第三十七条项下的义务。

[4] Critical Infrastructures Protection Act of 2001, https://www.congress.gov/bill/107th-congress/senate-bill/1407/text?q=%7B%22search%22%3A%5B%22critical+infrastructure+protection+act%22%5D%7D&r=4

[5] 2013年第21号总统令《提高关键基础设施的安全性和恢复力》, https://obamawhitehouse.archives.gov/the-press-office/2013/02/12/presidential-policy-directive-critical-infrastructure-security-and-resil

[6] https://www.whitehouse.gov/the-press-office/2017/05/11/presidential-executive-order-strengthening-cybersecurity-federal

[7] https://www.dhs.gov/financial-services-sector

[8] 2008年12月8日, 2008/114/EC,《关于欧盟理事会制定识别、指定欧洲关键基础设施, 并评估提高保护必要性的指令》, http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2008:345:0075:0082:EN:PDF

[9] 欧洲网络与信息安全局《国家网络安全战略: 制定和实施的实践指南》报告http://www.gisti-thinkbank.ac.cn/admin/upload/20131113-20130823.pdf

作者简介：

吕红律师

合伙人

通力律师事务所

潘永建 律师

合伙人

通力律师事务所

罗黎莉 律师

顾问

通力律师事务所

往期分享