2024年12月17日下午，为保护投资者权益，防范和化解金融风险，助力基金行业合规前行，由上海律协公司与商事专业委员会（以下简称“公司委”）、上海市基金同业公会纠纷调解专业委员会联合举办的“个人信息保护相关业务培训”在上海浦东金茂大厦30层陆家嘴会客厅召开。基金同业公会各会员单位、基金同业公会纠纷调解专业委员会委员及上海律协公司委委员共计95人参加本次培训。培训由公司委委员丁峰律师就“基金行业的个人信息保护问题”进行了深入分享。

一、基金行业个人信息保护法律法规体系

（一）法律法规体系介绍

丁峰律师首先概括梳理了我国涉及人格尊严、通信秘密、通信自由以及隐私等相关权益保护的法律体系不断发展与完善的过程。早在1954年宪法及后续几次修订中，就涉及到人格尊严等相关内容，2004年宪法修订提到了人格保护方面的内容。1988年，最高院民法通则试行意见指出，侵犯他人隐私需公然宣扬才以侵害名誉权论，当时隐私未作为单独的人格权予以保护，而是依附于侵害名誉权相关规定。1993年审理名誉权若干问题的解释再次强调了侵害隐私须以宣扬为行为要件，1998年我国签订《公民权利和政治权利的国际公约》，明确了对私生活等方面不得非法侵扰及人人有受法律保护的权利，此后法律逐步细化规范。

2001年是重要分水岭，最高院出台《关于确定民事侵权精神损害赔偿责任若干问题的解释》，将隐私作为一项人格利益单独进行保护。2010年侵权责任法出台，2012年《关于加强网络信息保护的决定》发布，后续《民法典》出台，并在合规与刑事层面有《网络安全法》、《数据安全法》和《个人信息保护法》这 “三法” 以及《关键信息基础设施安全保护条例》和《网络数据安全管理条例》（2025.1.1实施）相关 “两条例”，构建起相应个人信息保护法律合规体系。

此外，还有诸如《电子商务法》《未成年人保护法》等诸多法律法规共同构成大的法条体系，且在证券期货业也有相关信息安全保障、客户资料管理、数据分类分级等方面的规定不断更新完善，所以，尽管《个人信息保护法》出台较晚，但此前已存在大量与之相关的规范。

（二）《个人信息保护法》重点条款介绍

在介绍《个人信息保护法》重点条款时，丁律师阐释了其适用范围，为后续内容做铺垫。其一，从行为空间角度来看，在中华人民共和国境内进行个人信息（包含外国人的个人信息）处理活动的，需适用本法。其二，对于在境外处理我国境内自然人个人信息的情况，比如境外的旅行社、酒店等处理境内自然人的个人信息时，同样要适用我国的这部法律，这体现了典型的“长臂管辖”或“域外管辖”特点，即只要涉及我国境内自然人的个人信息，就应当遵守本法规定。

丁律师同时提醒到，在个人信息保护职责的相关体系中，存在着几个极为关键的部门。其中，网信办、工信部以及公安部当属重中之重。这三大部门在个人信息保护领域扮演着核心角色，其重要性体现在它们对所有行业均拥有处罚权。需明确的是就基金公司而言，在一般业务违规情境下，通常是由证监局或者证监会来实施处罚。然而，一旦涉及个人信息保护方面的违规行为，那么除了证监局与证监会具备处罚权限之外，工信部、公安部以及网信办同样有权进行处罚。由此可见，在个人信息保护的管理格局中，呈现出一种多头管理的模式。

通过对比《民法典》1034条第2款和《个人信息保护法》第四条，丁律师认为对于“个人信息”的界定产生了一定的变化与演进，增加了“可识别性”认定要素，强化了对个人信息的保护。同时，根据《个人信息保护法》第五条至第九条、第十七条的规定，丁律师总结了个人信息处理中的四项基本原则，合法、正当、必要、诚信原则，目的明确、最小必要原则，公开透明原则，质量和确保安全原则。

对于个人信息的提供、共享、委托等问题是个人信息处理中最核心的问题之一，根据《个人保护法》第这部分内容需要个人单独同意，但是实务中如何操作一致是一个难点，对此，丁律师根据其丰富的执业经验给出了行之有效的建议，即在大的文件处理过程中，若存在某些特定内容需要相关方单独同意，可将其设置为独立的加粗加黑条款。如此一来，能够使其在众多内容中更为醒目突出，易于识别。与此同时，在该条款的邻近位置标注要求其签名的指示，这样既可以清晰地向相关方表明此条款的重要性与特殊性，又能为后续可能涉及的确认流程提供明确依据，有效保障文件执行的规范性与合法性，避免因条款混淆或未明确授权而引发的潜在纠纷与风险，确保各方权益得到妥善维护与界定。同时，《个人保护法》第十三条规定了当提供和收集个人信息是订立合同所必须或为公共利益等需求时不需要征得个人单独同意。

《个人信息保护法》第五十一条、第五十四至五十八条规定了个人信息处理者的义务，包括安全保障、合规审计、个人信息保护影响评估、安全事件通知义务以及针对平台的特殊义务等。

丁律师重点讲述了个人信息处理的全流程管控，在个人信息保护的全流程管控方面，首先需明确个人信息的主体享有相应权利，即个人信息所标识或关联的自然人。此过程中，敏感个人信息亦涵盖其中。而关于个人信息的处理过程，依据个人信息保护法，存在单独处理以及多方处理等情形。需注意的是，多方处理虽不限于特定三种模式，但在实务中，共同处理、委托处理和向第三方提供这三种模式最为常见。

对于企业而言，其作为个人信息处理者，在处理过程中有自主决定处理目的与处理方式的权限，但同时也可能对外开展合作。在此，丁律师以委托处理为例阐述了多方处理中在实务里较为重要的几个方面。在常见的业务场景中，如基金公司在开展相关业务时，不可避免地会收集与处理个人信息，然而其自身技术能力或许相对薄弱，此时便会将技术部分分包或外包给一家技术公司。在此情况下，该技术公司就成为受托处理者。针对委托处理，重点在于合同签订环节，所签订的合同并非普通的软件开发合同之类，而是委托合同，且必须在其中植入个人信息相关条款。具体而言，应当与受托人明确约定委托处理个人信息的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等内容。从这一过程可以看出，最原始的权利义务主体通过合同要求实现全链条的长臂管辖延伸与管控。这也是我国借鉴西方一些较为先进的法律长臂管辖理念在个人信息保护中的应用体现。因此，丁律师提醒在委托处理中，委托范围的明确至关重要，实务中合同条款的精心设计意义非凡，而受托人的义务则较为明晰，即按照约定范围处理，不得超出约定的处理目的与处理方式，并且在业务结束后还需及时返还个人信息。

（三）《证券期货业网络和信息安全管理办法》重点条款介绍

根据上述分析，丁律师以《个人信息保护法》、《证券期货业网络和信息安全管理办法》中的相关规定归纳了个人信息保护全生命周期处理的合规要点，具体划分为事前防范、事中控制与事后处理三个阶段。在事前防范阶段，主要涵盖培训工作的开展、影响评估以及安全评估的施行。培训旨在提升相关人员对个人信息保护的认知与技能水平，而影响评估和安全评估则是从多维度对可能涉及个人信息处理的风险与安全性进行预估与分析，以此为后续工作筑牢坚实基础。此外，还需制定完善的应急预案，以便在突发状况下能够迅速且有效地做出响应。

进入事中控制阶段，关键在于实施一系列保护措施，严格进行数据流动的管控与监测工作。通过实施保护措施确保个人信息在处理过程中的安全性与完整性，而数据流动管控与监测则能够跟踪个人信息的流向、使用情况等，及时发现并处理可能存在的异常与风险，保障个人信息处理过程的合规性与稳定性。

至于事后处理阶段，主要包括合规审计以及应急方案的启动。合规审计可对整个个人信息处理过程进行全面审查与评估，查找可能存在的合规漏洞与不足之处，为后续改进提供依据。而一旦发生紧急情况，迅速启动应急方案，及时止损并妥善处理相关事宜，最大程度降低可能造成的负面影响，从而确保个人信息保护工作在全生命周期内形成完整且有效的闭环管理体系。

二、基金行业个人信息保护法律适用

（一）基金行业涉及的个人信息范围和个人信息处理者

对于基金行业主要涉及投资者基本信息，包括姓名、住址、学历、执业、年龄等基本信息，法人或其他组织的名称、注册地址、办公地址等，以及基金产品成立、备案证明文件等资料、税收居民身份证明、基金账户信息、实际控制投资者的自然人和交易的实际受益人等信息。对于投资者资产状况、投资者投资经验、相关专业自治、投资风险偏好、诚信记录等均属于基金行业中需要保护的个人信息范围。另外，基金行业的个人信息处理者也即个人信息保护的义务主体主要是基金管理人、基金销售机构、基金托管人和基金外包服务机构。

（二）基金行业涉及个人信息处理的主要场景

丁律师指出在个人信息保护于基金业务场景的应用中，存在诸多关键环节与要点，并对各个环节分别进行了详细分析。

对于推荐与适当性管理环节，涉及基金管理人及其委托的基金销售机构。二者在个人信息处理方面存在委托处理与共同处理的区别界定。若为基金管理人主导决定处理范围，则偏向委托处理；若基金销售公司也需参与数据处理决策，则倾向于共同处理。例如，在非公募集基金业务里，仅能面向合格投资者非公开推荐，故而在推荐前需开展不特定对象的特定化程序，在此过程中收集投资者个人信息，以判定其是否符合基金合格投资标准。

在适当性管理进程中，涵盖一系列对投资者个人信息的处理操作。诸如投资者个人信息的深入调查、合格投资者信息的全面收集与精准认定、合格投资者资产证明文件的收集与严谨认定、普通投资者与专业投资者分类投资经验相关证明的处理、特定身份证明信息的收集与认定、投资者风险测评及其与投资产品的匹配分析、普通投资者录音录像资料的处理、付款账户信息的收集以及回访工作、税收居民信息与反洗钱信息的收集等。近期反洗钱新法的通过，对包括律师事务所、房产中介等中介机构在资金流程中的义务提出了新要求。尽管在反洗钱具体措施实施过程中，可能与个人在储蓄或转账等方面的权利产生一定冲突，且可能涉及费用承担等问题，但反洗钱工作在金融行业的重要性不言而喻。

募集后的投资者信息动态管理阶段，尤为强调信息的主动与被动变更管理。针对普通投资者，需进行定期或不定期的抽查回访等操作，以实现投资者个人信息的补充和变更管理工作的有效推进。

随后进入信息披露环节，其主要处理者包含基金的募集机构、基金管理人、外包服务机构以及基金托管人。例如投资者年报披露信息涵盖投资账户信息、实缴出资与未缴出资情况以及报告期末所持经营份额总额等；基金管理人在投资基金的信息披露备份系统上备份的股权创投基金半年度报告亦包含基金投资者情况。在此环节，无论是报告本身对投资者信息的使用，还是向投资者进行信息披露的过程，均涉及个人信息处理工作，相关要点需清晰明确。

在基金代销环节，基金销售机构作为受托方，应严格依据代销协议所约定的处理目的与处理方式来处理投资者个人信息。基金管理人则需对代销机构的履约行为予以监督。若代销协议出现无效、被撤销或终止等情形，受托人务必将个人信息返还给个人信息处理者或者予以删除，不得留存。在实际操作中，投资者虽为基金销售机构的客户，但依据不同业务场景，需综合判断谁是委托人、谁是最原始的权利主体。基金销售机构在个人信息告知及同意环节，应当清晰明确上述商务责任关系，向投资者进行必要的告知说明。

再者是外包服务环节，基金管理人委托基金外包服务进行份额登记等服务属于受托行为，应按照协议约定执行。由此可见，各类协议，如App上的隐私政策、与投资人签订的投资合同以及与外包机构之间的合同等，均需对个人信息处理相关内容进行细致化规定。以往许多合同可能未涉及个人信息处理条款，但如今无论是对公业务还是对私业务，都需重视数据安全与个人信息保护，因为个人信息是数据的一种特殊形式。数据是以电子方式或其他方式对信息的记录，在我国数安网络安全、数据安全和个人信息保护方面的法律体系中，虽存在重合、交叉与不重合之处，但建立体系性保护的合规意识至关重要。对于外包服务机构而言，其对个人信息的处理源于委托方，如基金管理人，且需将基金管理人的个人信息处理流程及实施情况纳入自身经营范围，并在合同中明确双方权利义务条款，再次凸显合同在个人信息保护业务流程中的关键地位。

三、违反个人信息保护的相关法律责任

丁律师进一步指出，数字化时代，个人信息保护相应的法律责任体系也逐步完善。众多执法部门各司其职，共同守护公民个人信息安全的防线。

其中，网信部门作为个人信息保护工作的统筹协调者，在网络信息安全的监督管理方面肩负重任。其不仅负责制定个人信息保护的详细规则与标准，还对各类网络平台及信息处理者在个人信息收集、存储、使用以及传输等全流程环节的合规性予以全面监管与悉心指导，密切留意网络平台是否切实履行个人信息保护义务，例如是否存在违规收集用户信息或未依规定加密存储等情形。

工信部聚焦于电信与互联网行业的个人信息保护事务。在APP及SDK的监管方面着重审查此类应用及工具包是否存在违规或超范围收集个人信息以及是否有个人信息泄露的违法情况。

公安部门则主要打击侵犯公民个人信息的犯罪行为。一方面，其对涉嫌侵犯个人信息的违法犯罪活动展开深入侦查，诸如非法获取、出售、提供公民个人信息等犯罪行径均在其严厉打击之列；另一方面，公安部门在日常工作中亦对各类机构与场所展开细致检查，全力防范个人信息泄露风险，确保公民个人信息处于安全无虞的状态。对于 APP 及第三方 SDK 等涉及个人信息的关键领域，公安部门重点关注其中是否存在可能构成犯罪的非法收集、滥用或泄露个人信息等行为，并依据法律规定予以坚决打击与严肃处理。

证监部门将目光聚焦于投资者个人信息安全的保障工作。在证券期货市场的监管框架内，对证券公司、基金公司等各类机构在业务开展过程中涉及的投资者个人信息处理活动实施严格监督。着重强调投资者信息的规范处理以及最小权限控制原则，要求相关机构构建健全的投资者个人信息保护制度体系，坚决防止投资者个人信息被违规泄露、篡改或肆意滥用，对违规泄露投资者个人信息的违法违规行为予以严厉惩处，以此维护证券市场的平稳有序运行以及投资者的合法权益。

国家金融监督管理局主要致力于金融消费者权益保护工作，确保金融机构在处理金融消费者个人信息时严格遵循法律法规的要求。通过监督金融机构建立完备且严谨的个人信息保护机制，有效防止金融消费者的个人信息遭受泄露、滥用或不当交易等风险，为金融消费者的隐私权与财产安全筑牢坚实屏障，有力促进金融市场的稳定健康发展态势。

国家市场监督管理局在市场监管的广阔领域中发挥着不可或缺的作用。针对各类市场主体的经营活动实施全面监督管理，其中涵盖对涉及个人信息处理的企业的监管工作。密切关注企业在商业运营活动中是否存在侵犯消费者个人信息的不当行为，例如在市场营销、客户服务等环节中是否存在未经授权擅自收集、使用消费者个人信息等违法情形，以维护市场的正常秩序以及消费者的合法权益。

讲解过程中，丁律师通过一则典型处罚案例提示对于信息安全保护和处罚上日益严格的趋势。该案例中，由核心处罚机构证监会对做出了一份对个人采取出具警示函的处罚决定，决定称：身为公司当时的首席信息官，鉴于在公司违规行为中涉及信息系统的部分负有领导责任。依据《证券基金经营机构信息技术管理办法》第五十七条之规定，对其实施出具警示函的行政监管举措。由此案例可以明显看出，此次事件聚焦于信息安全问题。在证监会体系下的这些机构，以往其受到的处分多与合规性相关，毕竟证监会本就是强监管单位，合规内容繁多。然而，如今着重强调信息安全，这属于新增的监管要点。就像前年银保监专门开展了整治金融机构侵犯个人信息乱象的专项行动，由此推测，证监会在未来大概率也会推进类似工作。当下所提及的仅仅是《证券基金经营机构信息技术管理办法》，但可以预见，未来针对信息安全方面的要求必然会持续提升，标准也会日益严格。

四、基金行业合规建议

丁律师结合其丰富的执业经验，为基金行业个人信息保护的合规建设提出了完善的建议。一方面要建立完善严格的内控制度，另一方面要完善个人信息处理流程。

其中，构建完备且严谨的内控制度堪称重中之重。首先是内部管理制度及操作规程，包括基金管理人及其委托和基金销售机构外包服务机构、基金托管人等。在履职过程当中，如果均涉及了个人信息处理，应当建立个人信息保护内部管理制度，指导个人信息保护制度实施。第二是制定个人信息的处理规则，严格按照个人信息保护法第四条相关规定，做好一些要做好并且做好公开准备，以便投资者查阅和保存。第三是个人信息的处理的同意和确认。这里面不仅包括了一般个人信息，还包括了敏感个人信息。第四是进行内部安全保护升级处理。

完善个人信息处理流程方面，丁律师从四个维度提出具体的建议。一是基金募集过程植入个人信息处理前置程序，做好事前评估与记录。新增个人信息处理的告知与同意，对于涉及名按个人信息的，还需拓展告知的范围，像个人告知处理敏感个人信息的必要性以及对个人权益的影响，并取得投资者的单独同意。同时新增个人信息处理规则公示，在公司营业场所、网站、公众号、APP等登录浏览界面新增公示页面，明确投资者在个人信息处理活动中的权利。二是建议委托募集和委托提供外包服务时，在代销合同等中明确多重关系及对基金销售机构个人信息保护的要求；在运用服务合同或备忘录中明确基金管理人委托外包服务机构处理的目的、期限、处理方式、个人信息的种类、保护措施及双方权利义务等，并对受托方履约进行监督。三是在基金运作中涉及投资者信息的更新与补充情况时，也要依据前述标准保护个人信息安全。四是注重投资者赎回或基金清算后的个人信息处理。对此，基金相关法律法规、监管规则、自律规则对个人信息处理者、个人信息受托处理者提出了不一样的保存及删除要求，各市场参与者出于合规考虑，必须保存相应业务数据，待个人信息保存期限届期后，信息处理者应主动删除上述信息。 

（注：以上嘉宾观点，根据录音整理，未经本人审阅）

供稿：上海律协公司与商事专业委员会

执笔：许硕 浙江京衡（上海）律师事务所