对外商独资私募证券投资基金管理人而言,中国网络安全法的哪些法律要求需要特别留意?杨迅为您分析

至2018年5月,共计11家外资机构在中国证券投资基金业协会办理完成了外商独资私募证券投资基金管理人(外资私募管理人)登记,获准开展私募证券投资基金管理业务 。这对于中国而言,将成为其开放基金行业的里程碑式的一步。

在实际设立与运行私募基金的过程中,会涉及到大量的法律问题,而其中比较特别的一个问题是,日益加强监管的网安领域下的网络安全保护问题。本文将要讨论的是在现行法律体系下,外资私募管理人需要特别注意的网络安全义务。

通常来说,外资私募管理人比较倾向于采用组织化的结构以运营业务,这一般而言会体现在其会组建一个小型的中国本土队伍以专注于本土发生的业务,这些业务会包括基金的投资配置与投资计划的执行、下单交易等;同时将一些后端的办公功能交给离岸团队来处理,他们会负责包括合规审查、IT设施维护与行政管理等的职能。为了实现这样的运营模式,外资私募管理人通常会采取以下的IT设置架构:

(1)外资私募管理人的当地员工会使用在中国内地的本地终端设施以提交投资计划和下发投资指令。通常这些终端设施会先连接本地端的服务器,再通过VPN连接到全球端的服务器;

(2)处于海外的合规团队会进行合规、风控核查,同时通过连接到全球端服务器的终端进行合规审查 ;以及

(3)处于海外的IT团队会维护IT设施和提供远程的IT技术支持。

主要义务

中国《网络安全法》于2016年11月17日公布,自2017年6月1日起正式生效。作为第一部在网络安全方面的综合性立法,其不仅对网络运营者设置了一系列的义务,而且还使得大量现存的但过去执行情况不尽如人意的网络安全义务得以重新适用。

网络安全法以及随后一系列的配套法律法规和指南引起了大量行业的关注,这其中就包括金融服务业。私募基金行业,作为金融服务业的一部分,也毫无疑问的将受到影响。

维护网络安全的义务。网络安全法要求网络运营者承担大量的法律义务以维护其运营的网络系统和存储于其网络系统中信息的安全。在这里的“网络运营者”的定义非常宽泛,包括任何类型的计算机系统(包括互联网网站和企业内部的局域网)的所有者和管理者。

外资私募管理人通常都会设置一个网络系统,通过这个系统他们可以储存客户信息和处理投资交易,还有管理其内部事务。在这样的情况下,外资私募管理人作为“网络运营者”将受到网络安全法的规制,并应当履行网络安全法下的相应的法律义务。这些法律义务包括:

首先,制定和实施IT安全管理政策,同时按照这些政策的要求采用适当的技术措施和管理措施以维护网络系统的安全性,还需要根据该网络系统的重要性以确定技术措施和管理措施的安全级别;

第二,制定灾备政策和突发事件计划,同时按照这些计划对日常商业运营中产生的数据进行日常备份,以在意外事件发生时减轻该等事件的影响;

第三 ,根据法律要求制定和实施个人数据保护政策,同时按照这些政策保护个人信息;以及

最后,考虑安全相关的问题,例如在采购IT设备和IT相关的服务的时候考虑其可靠性、依赖程度和技术冗余。

通常而言,外资私募管理人非常依赖其自身的网络系统以保存客户的个人信息、处理交易以及和海外的总部进行联系。因此,就外资私募管理人需要履行的安全保护义务而言,必须与其所控制网络系统的重要程度相适应。换言之,即外资私募管理人的安全保护义务随着其控制的网络系统的重要性的提高而加强。

个人信息的保护。网络安全法明确规定了一系列的针对个人信息保护方面的原则。这些原则与欧盟的数据保护相关的法律而言差异并不大,其中包括:就收集个人信息征得数据主体的知情同意;采取适当的措施以保护收集的个人信息;只收集“必要”范围内的个人信息;以及不在未经数据主体同意的情况下使用或者泄露其个人信息。

You can register for free to enjoy selected content, including this article, or subscribe to unlock all content.

If you are already a registered user or subscriber, login here.

该部分内容仅提供予《商法》注册用户。你可以免费注册去浏览该部份内容(包括这篇文章)。你也可以订阅去解锁所有内容。

如果你已经是我们的注册用户或者订阅会员,请在此登录:

作者:通力律师事务所驻上海合伙人杨迅