从近期私募违规实例谈管理人资金募集实操流程合规要点 附个人信息保护视角下私募基金募集的合规要点.docx

经中基协、证监会、各地证监局网站查询，2020年1月1日至9月30日，共有80家 私募违规实例。80家私募违规实例中，8成以上均存在募集违规情形。根据私募投资基金募集行为管理办法（“募集办法”），私募基金募集应当履行下列程 序：特定对象确定、投资者适当性匹配、基金风险揭示、合格投资者确认、投资冷静期、回 访确认。本分享将结合近期私募违规实例解读募集实操流程中的合规要点，期望对私募机构 合规募集有所帮助。宣传管理人品牌及团队实操中，在进行特定对象确定程序前，一般管理人会进行管理人品牌及团队的宣传。违规实例1：局7月27日号警示函在募集资金过程中，管理人存在通过发放宣传单方式向不特定对象宣传推介的情形。违规实例2：中基协2月28日12号处分管理人主要通过如下方式向不特定投资者公开宣传推介私募产品：一是通过盲打电话、 盲发短信等方式进行推介；二是要求客户将产品转介绍给其他亲友；三是管理人网站未设置 必要的合格投资者调查问卷等前期确认程序，不特定投资者留下联系方式后，销售人员向其 推介；四是管理人通过网站或微信公众号推送宣传推介材料。合规要点1、管理人品牌、发展战略、投资策略、管理团队、高管信息及中基协公示的私募基金 信息可以通过合法途径公开宣传。未经特定对象确定程序，不得推介基金产品。2、未经特定对象确认程序，在封闭场所对参与人固定有限的人宣传，一对一线下或线 上推介私募基金，均属违规。3、私募机构向特定对象宣传私募基金后，投资者通过口 口相传方式转介绍，私募机构 未进行特定对象确定推介基金也属违规。特定对象确定及投资者适当性匹配特定对象确定与投资者适当性匹配程序一般同一时间先后进行。特定对象确定指通过问 卷调查方式，对投资者风险识别能力和风险承担能力进行评估；投资者适当性匹配指投资者 的风险类型应与推介的私募基金评级相匹配。（一）特定对象确定该程序需要的文件是投资者信息表、风险调查问卷、风险承受能力评分标准、合格投资 者承诺函。违规实例1：陕西局8月Il 2020 18号警示函管理人未对自行销售的私募基金投资者的风险识别能力和风险承担能力进行评估。违规实例2：大连局7月30日202015号责令管理人存在对部分投资者的风险识别能力和风险承担能力评估不到位.违规实例3：湖南局8月4 B202025号警示函未由投资者曾某、郭某书面承诺符合合格投资者条件，并确保投资资金来源合法，未非 法汇集他人资金投资私募基金。（二）投资者适当性匹配该程序需要的文件是私募基金风险评级标准及评级结果、投资者类型及风险匹配告知书 及投资者确认函，风险不匹配警示函及投资者确认书。违规实例1：陕西局8月Il日202023号警示函市区金创投资发展基金合伙企业（有限合伙）部分投资者风险识别和承担能力与基金风 险等级不匹配。违规实例2：局8月4 B202028号警示函管理人未对基金产品“红钻创投基金-私募学院菁英253号基金”进行风险评级。()特定对象确认及投资者适当性匹配均存在违规实例违规实例1 ： 2020年8月5日责令改正管理人自行销售基金盛影一号、盛影二号、盛影三号3只基金时，未采取问卷调查等方 式，对投资者的风险识别能力和风险承担能力进行评估，未要求投资者书面承诺符合合格投 资者条件；也未对基金产品进行风险评级。违规实例2： 8月IO日2020 12号责令改正管理人未对私募基金进行风险评级；未对投资者的风险识别和风险承担能力进行评估。合规要点1、投资者信息表、风险调查问卷、投资者风险匹配告知书、风险不匹配警示函可参考 中基协模板制定。2、投资者分为C1-C5级，对应分值表管理人自行制定，评估结果有效期不得超过3年。3、基金产品风险等级为R1-R5级，评级标准参考中基协模板制定，对应分值表管理人 自行制定。基金推介该程序所需文件是招募说明书等募集推介材料，推介材料内容应与基金合同实质一致。违规实例1： 8月4日口号警示函管理人微信公众号帮助关联公司投资管理有限公司公开宣传购买产品的有关信息。违规实例2： 8月4日2020 16号责令改正管理人部分基金产品向投资者承诺投资本金不受损失或者承诺最低收益。违规实例3： 2020年7月27日警示函管理人部分基金在募集宣传过程中存在“基础收益有保障”等不恰当表述。合规要点1、不得通过下列媒介渠道推介私募基金公开出版资料；面向社会公众的宣传单、布告、手册、信函、传真；海报、户外广告； 电视、电影、电台及其他音像等公共传播媒体；公共、门户网站链接广告、博客等；未设置 特定对象确定程序的官方网站、微信朋友圈等互联网媒介；未设置特定对象确定程序的讲座、 报告会、分析会；未设置特定对象确定程序的电话、短信和电子邮件等通讯媒介。2、私募基金推介时禁止的情形宣传“预期收益”、“预计收益”、“预测投资业绩”等；违规使用“安全”、“保证”、“承 诺”、“保险”、“避险”、“有保障”、“高收益”、“无风险”等措辞；使用“欲购从速”、“申购 良机”等措辞；节选少于6个月的过往基金产品业绩；登载祝贺性、恭维性或推荐性的文字; 任意使用“业绩最佳”、“规模最大”等措辞；恶意贬低同行；非本机构雇佣人员进行私募基 金推介；推介非本机构的私募基金。基金风险揭示、合格投资者确认及基金合同签署基金风险揭示、合格投资者确认及基金合同签署一般同一时间先后进行。基金风险揭示 指向投资者揭示私募基金风险；合格投资者确认指完成风险揭示后，管理人要求投资者提供 资产证明或收入证明；完成合格投资者确认程序后方可签署基金合同。(一)基金风险揭示该程序所需文件为风险揭示书。违规实例1：中基协9月23日151号处分管理人未向投资人进行风险揭示，经查，“盈聚六号理财计划”投资合同的风险揭示书 仅有募集机构签章，未由投资者签字确认。违规实例2：湖南局8月4 029号警示函管理人未与祝某、冯某签订风险揭示书。合规要点1、根据中基协风险揭示书模板制定风险揭示书，模板规定了 H项特殊风险与7项一般 风险，应参考模板对投资者进行充分的风险揭示；向普通投资者进行风险揭示时应录音或录 像。2、若存在关联交易、单一投资标的、通过特殊目的载体投向标的等情形，应进行特殊 风险揭示。3、若存在收取双重管理费、业绩报酬收取比例过高；或未设置回访，建议也向投资者 进行风险揭示。（二）合格投资者确认该程序机构投资者所需文件为近期财务报告；自然人投资者所需文件为资产证明或收入 证明。违规实例1：年7月31日责令改正管理人新三板定增基金通过关联方投资合伙企业（有限合伙）向非合格投资者募集资金， 管理人未按要求开展穿透核查。违规实例2： 2020年7月31日警示函管理人募集过程中未合理审慎地审查投资者提供的资产证明文件。违规实例3：青岛局7月9 B20205号责令改正管理人未留存投资者符合合格投资者条件的证明文件。合规要点1、投资者为机构应净资产不低于1000万元；投资者为自然人应金融资产不低于300 万或者最近三年年均收入不低于50万。2、自然人资产证明需要提供认购产品前一定时期内（至少三个月以上）的金融资产； 收入证明需要提供近三年内超过150万元的银行收入流水或纳税单。3、机构投资者若为有限合伙应穿透核查下层投资者是否为合格投资者。（H）基金合同签署该程序所需文件为基金合同，认购申请书。有限合伙型基金合同为合伙协议，公司型基 金合同为公司章程。违规实例1 ： 2020年7月3日警示函管理人部分基金与投资者签署补充协议约定预期收益率，并按照预期收益率定期向 投资者支付收益。管理人部分基金未按基金合同约定的方式向投资者进行信息披露，未将基 金通过管理人及其控制的公司、合伙企业对外投资情况如实向投资者披露。管理人部分基金 未按合同约定的投资范围进行投资。违规实例2： 2020年8月5日责令改正管理人管理的长藤基金、明田基金、云鼎基金、同盛基金、盈坛基金、数云基金6只产 品合伙协议未明确向投资者进行信息披露的方式、披露责任、渠道等事项。合规要点1、基金合同应当约定在管理人丧失继续管理能力时的维持机制及基金合同终止、解除 及基金清算的安排。2、合伙型及公司型基金如无托管，应约定保障财产安全和纠纷解决机制，并向投资者 披露基本账户信息。3、基金涉及关联交易，应约定风险控制机制；若基金投向房地产领域，应约定遵守4 号文规定。投资冷静期及回访确认该程序所需文件是募集回访确认书、认购确认书。基金合同应当约定给投资者设置不少 于二十四小时的投资冷静期；回访确认指在投资冷静期满后，非募集人员以录音电话、电邮、 信函等方式进行投资回访。违规实例：2020年4月24日责令改正管理人部分基金未按合同约定在初始募集期间落实投资冷静期要求和对投资者进行投 资回访。合规提示1、冷静期必须设置，但中基协尚未正式要求管理人必须根据募集办法基金合同约定募 集回访制度及未回访投资者可要求返还认购款这两项内容。若未设置,应在基金合同中写明， 并建议向投资者进行风险揭示。2、专业投资机构可不适用冷静期及募集回访制度。3、适当性回访与募集回访不同，适当性回访是在私募基金募集完成后一定时期内进行 的回访，根据适当性管理办法必须进行。豁免募集程序的投资者以下投资者无需进行募集程序，即不进行特定对象确认、投资者适当性匹配、基金风险 揭示、合格投资者确认、投资冷静期及回访确认程序，即可推介私募基金并签署基金合同。（一）社会保障基金、企业年金等养老基金，慈善基金等社会公益基金；（二）依法设立并在中国基金业协会备案的私募基金产品；（H）受国务院金融监督管理机构监管的金融产品；（四）投资于所管理私募基金的私募基金管理人及其从业人员。个人信息保护视角下私募基金募集的合规要点近年来，随着世界各国对数据安全和个人信息保护的日趋重视，我国对于数据安全和个 人信息的保护力度也不断加大，中华人民共和国网络安全法（以下简称”网络安全法"） 中华人民共和国数据安全法（以下简称”数据安全法”）和中华人民共和国个人信 息保护法（以下简称”个人信息保护法”）在呼声中陆续出台，中华人民共和国民法典 （以下简称”民法典中也专门设置隐私权和个人信息保护专章。有关个人信息的处理 （包括但不限于个人信息的收集、存储、使用、加工、传输、提供、公开、删除等）有了逐 步明确的保护和监管。在私募基金管理人进行基金募集时，通常需要处理投资者的信息，可能触及到数据安全 和个人信息保护的相关规定。因此近期也有不少私募基金管理人前来咨询，在现行个人信息 保护的规定下，处理投资者信息时需要注意哪些要点？因此，本文主要结合个人信息保护 法民法典及其配套法规和规定，对于实务中私募基金募集时通常处理个人信息的行为 进行合规提示。一、个人信息的范围在分析个人信息保护之前，首先需要厘清个人信息的范围，辨析法律中对于个人信息的 边界。目前，与个人信息相关的主要有以下三个概念：（一）个人信息现行法律中，对于个人信息的定义，主要经过了以下转变：2016年颁布的网络安全 法第76条规定，个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结 合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、 个人生物识别信息、住址、电话号码等。2020年颁布的民法典第1034条规定，个人信 息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息， 包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、 健康信息、行踪信息等。可以看到，民法典与网络安全法对于个人信息的认定主要 聚焦于"可单独或与其他信息结合识别”，且民法典在网络安全法的基础上又对列举 进行了一定的扩充。而在2021年颁布的个人信息保护法第4条中规定，个人信息是以 电子或者其他方式记录的与己识别或者可识别的自然人有关的各种信息,不包括匿名化处理 后的信息。个人信息保护法对于个人信息的定义己经作出了一定程度的扩张，在”可识别 性”的基础上又增加了“相关性”的范围，个人信息未必仅限于可识别到特定自然人，只要与 己识别或者可识别的自然人有关，即属于个人信息保护法项下定义的个人信息，但是如 果个人信息已经过处理无法识别特定自然人且不能复原的除外。私募基金管理人在募集基金时，为识别投资者及进行投资者适当性判断，对于个人投资 者，通常会收集其姓名、出生日期、身份证件号码、住址、电话号码、电子邮箱等信息并进 行储存、分析等信息处理工作。因此，个人信息保护法颁布可能会影响到私募基金管理 人处理个人信息的标准和范围，私募基金管理人需要注意对于个人信息处理的监管要求，并 加强处理个人信息的合规意识。（二）敏感个人信息特殊于“个人信息”，个人信息保护法中还提出了“敏感个人信息”的概念。根据个 人信息保护法第28条规定，敏感个人信息是一旦泄露或者非法使用，容易导致自然人的 人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特 定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。 只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方 可处理敏感个人信息。在信息安全技术个人信息安全规范（标准号：GBZT 35273-2020） （以下简称”个人信息安全规范”）中，个人敏感信息是指，一旦泄露、非法提供或滥用 可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信 息。个人敏感信息包括身份证件号码、个人生物识别信息、银行账户、通信记录和内容、财 产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下（含）儿 童的个人信息等。个人信息安全规范附录还列举了以下个人敏感信息：个人财产信息银行账户, 鉴别信息（口令）、存款信息（包括资金数量、支付 收款记录等）、房产信息、信贷记录、征信信息、交易和消费记 录、流水记录等，以及虚拟货币、虚拟交易、游戏类兑换码等 虚拟财产信息个人健康生理信息个人因生病医治等产生的相关记录，如病症、住院志、医嘱单、 检胎报告、手术及麻醉记录、护理记录、用药记录、药物食物 过敏信息、生育信息、以往病史、诊治情况、家族病史、现病 史、传染病史等个人生物识别信息个人基因、指纹' 声纹、掌纹、耳廓、虹膜、面部识别特征等个人身份信息身份证' 军官证、护照、驾驶证、工作证、社保卡、居住证等其他信息性取向、婚史、宗教信仰、未公开的违法犯罪记录、通信记录 和内容、通讯录、好友列表、群组列表、行踪轨迹、网页浏览记录、住宿信息、精准定位信息等私募基金管理人在募集基金时，通常需要个人投资者提供银行账户信息及身份证件进行 相关的业务操作；在进行合格投资者认定时，需要个人投资者告知存款信息等财产信息；在 进行投资者适当性评估时，也会对个人投资者的风险承受能力等进行调查；部分私募基金公 司还会对收集个人投资者的指纹或收集人脸识别信息，以限定投资者的身份及私募的范围。(H)隐私权中的私密信息同时，民法典第1032条还规定了对“隐私”进行了规定，隐私是自然人的私人生活安 宁和不愿为他人知晓的私密空间、私密活动、私密信息。事实上，隐私权中的私密信息和个 人信息、敏感个人信息会存在一定程度的重合，尤其与敏感个人信息重合度较高。就其保护 程度而言，隐私也有着相对高的优先级，根据民法典第1034条规定，如果在处理个人 信息时落入隐私权保护的“私密信息”，需要首先适用隐私权的规定，如果没有相关规定的， 方可适用个人信息保护的相关规定。需要注意的是，如果私募基金管理人未经个人投资者同意，即通过电话、短信、即时通 讯工具、电子邮件、传单等方式进行私募基金推介的，可能属于民法典第1033条项下 侵犯隐私权的行为。此外，根据中国证券投资基金业协会发布的私募投资基金募集行为管理办法第三十 条规定，如果由私募基金管理人自行募集的，其应当在投资冷静期满后，以录音电话、电邮、 信函等适当方式进行投资回访。虽然民法典第1033条排除法律另有规定的情形，但由 于私募投资基金募集行为管理办法不属于法律法规，为避免落入民法典规定侵犯隐 私权之嫌，私募基金管理人应在向个人投资者推介基金时、或在基金合同中明确回访制度， 并取得个人投资者的同意。二、基金募集中处理个人信息的原则和要求(一)个人信息保护的一般原则如前文所述，在私募基金的募集过程中，如果涉及个人投资人，势必会收集、处理个人 信息，在民法典和个人信息保护法中，也分别对于处理个人信息的主体提出了保护 的要求和原则，概括来说，即合法、正当、必要、不过度原则。在处理个人信息前，个人信 息处理者需要以显著方式、清晰易懂的语言真实、准确、完整地向个人告知以下事项，并取 得该自然人或监护人的同意：1 .处理信息的规则；2 .处理信息的范围；3 .个人信息处理者的名称或者姓名和联系方式；4 .个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；5 .个人行使个人信息保护法规定权利的方式和程序；6 .法律、行政法规规定应当告知的其他事项。需要注意的是,私募基金管理人向个人投资者告知上述事项,既是一项单独的合规义务, 也是取得投资者同意的前提。因此，在私募基金管理人进行基金募集的时候，如果涉及处理 个人信息的，需要提前向投资者清晰、完整地说明上述事项，如果前述事项发生变更的，私 募基金管理人应当将变更部分告知投资者。此外，个人信息保护法第13条也明确，如私募基金管理人为下述目的处理个人信息 的，无需取得投资者个人同意：1 .为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度 和依法签订的集体合同实施人力资源管理所必需；2 .为履行法定职责或者法定义务所必需；3 .为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必 需；4 .为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；5 .依照个人信息保护法规定在合理的范围内处理个人自行公开或者其他已经合法公 开的个人信息；6 .法律、行政法规规定的其他情形。(二)个人信息保护的单独同意需要注意的是，根据个人信息保护法的规定，私募基金管理人在处理投资者个人信 息时，除了遵守前述的保护原则，即提前告知信息并取得个人同意外，对于几项特殊的情形, 还需要取得个人的单独同意。1 .处理敏感个人信息个人信息保护法第28条规定，只有在具有特定的目的和充分的必要性，并采取严 格保护措施的情形下，个人信息处理者方可处理敏感个人信息。前文中我们提到，私募基金 管理人在募集基金时，很有可能收集个人投资者的银行账户、存款信息、指纹、身份证等敏 感个人信息并进行存储等处理，根据个人信息保护法第29条的规定，私募基金管理人 处理敏感个人信息的，应当取得个人的单独同意。还有一些私募基金管理人可能会收集人脸信息作为解锁软件和进行支付的密钥，需要注 意的是，根据最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法 律若干问题的规定第2条规定，私募基金管理人也需要在征得自然人或者其监护人的单独 同意的前提下处理人脸信息，且司法解释对“单独同意”做了排除性解释，以下几种情形下投 资者的同意都不属于“单独同意”：(1)信息处理者要求自然人同意处理其人脸信息才提供产品或者服务的，但是处理人 脸信息属于提供产品或者服务所必需的除外；(2)信息处理者以与其他授权捆绑等方式要求自然人同意处理其人脸信息的；(3)强迫或者变相强迫自然人同意处理其人脸信息的其他情形。2 .向第三方提供个人信息在实践中，私募基金管理人可能会存在集团化运作的情形，可能根据集团的规定将其处 理的个人信息提供给集团总部或关联方，然而，鉴于法人人格的独立性，集团总部和关联方 就属于个人信息保护法中的第三方。根据个人信息保护法第23条规定，私募基金 管理人向其他个人信息处理者提供其处理的个人信息的，除了需要取得个人的单独同意外， 还应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种 类，并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范 围内处理个人信息。接收方变更原先的处理目的、处理方式的，应当依照本法规定重新取得 个人同意。3 .其他需要取得个人单独同意的情形除上述两种情形外，个人信息保护法第25条、第26条和第39条还分别规定，个人 信息处理者在以下三种情况下，也需要取得个人的单独同意：(1)公开个人信息；(2)在公共场所安装图像采集、个人身份识别设备，且所收集的个人图像、身份识别 信息不用于维护公共安全的目的；(3)向境外提供个人信息。由于在私募基金募集过程中，前两种情况相对少见，向境外提供个人信息又在本文第五 章中分析，受篇幅所限，此处不再多做赘述。三、私募基金管理人在募集基金时的合规要点既然私募基金管理人在募集基金时可能处理较多个人信息，那么如何落实个人信息保 护法的要求、妥善保护投资者的个人信息，就是亟待解决的问题。我们结合个人信息保 护法的规定以及实务中的常规操作，提出以下合规建议。(一)建立个人信息保护管理制度和操作规程对于私募基金管理人而言，首先需要在内部建立个人信息保护管理制度和操作规程。比 如，在内部对个人信息实行分类管理，合理确定个人信息处理的操作权限，并定期对从业人 员进行安全教育和培训。（二）框定收集个人信息范围私募基金管理人应当审核基金募集文件，根据个人信息保护法等法律的规定，确认 收集的个人投资者信息是否符合合法、正当、必要、不过度原则，收集的敏感个人信息是否 具有特定的目的和充分的必要性，是否为确认合格投资者及投资者适当性要求的必要而收集 处理。（H）调整基金募集文件及流程根据前文介绍，个人信息根据适用场景和信息性质有不同等级的保护措施。因此，建议 私募基金管理人审阅私募基金的募集文件及募集流程，在不同场景下，告知个人其所需要处 理的个人信息并取得个人同意，并在收集敏感个人信息、向第三方提供个人信息、跨境传输 信息前履行必要的告知义务，并取得个人的单独同意。（四）采取必要的安全技术措施私募基金管理人还可以采取提升网络安全保护等级、加密、去标识化等安全技术措施对 于个人信息的传输、存储、处理进行数据保护。需要注意的是，个人信息保护法中个人 信息的定义排除了“匿名化''处理后的信息，而在该法中还提到了“去标识化”的概念，这二者 虽然有一定的相似性，但还是存在概念上的不同。去标识化，是指个人信息经过处理，使其 在不借助额外信息的情况下无法识别特定自然人的过程。匿名化，是指个人信息经过处理无 法识别特定自然人且不能笈原的过程。因此，去标识化更类似于对信息加密，在一定信息的 辅助下，仍然可以恢复识别到特定自然人。而匿名化处理则无法识别且不能复原，只有在这 种情况下，才不属于个人信息保护法定义的个人信息。（五）制作并组织实施个人信息安全事件应急处理预案对于如果发生个人信息泄露、篡改、丢失的情形，私募基金管理人应当提前做好应急处 理预案，结合自身的能力和资源，尽可能在个人信息安全事件发生时立即采取补救措施，并 通知履行个人信息保护职责的部门和个人，最大程度减少事件对于个人的影响。四、委托外包机构销售基金的合规要点在私募基金募集阶段，私募基金管理人除了自行募集销售基金外，也可能委托第三方机 构进行基金销售。因此，私募基金管理人委托第三方销售机构销售基金时，根据个人信息 保护法的相关规定，还需要注意以下几点合规要求：（一）事前评估私募基金管理人委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信 息的，应当事前对第三方销售机构进行个人信息保护影响评估。需要注意，对于第三方销售 机构进行个人信息保护影响评估的内容至少需要包括以下三点：1 .个人信息的处理目的、处理方式等是否合法、正当、必要；2 .对个人权益的影响及安全风险；3 .所采取的保护措施是否合法、有效并与风险程度相适应。此外，私募基金管理人如对第三方销售机构进行个人信息保护影响评估的，该评估报告 和处理情况记录应当至少保存三年。（二）订立委托合同在完成前述个人信息保护影响评估报告后，私募基金管理人应当与受托的第三方销售机 构订立委托合同，约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及 双方的权利和义务等，并对第三方销售机构的个人信息处理活动进行监督。同时，第三方销 售机构应当按照约定处理个人信息，不得超出约定的处理目的、处理方式等处理个人信息。 如果是为了某一私募基金管理人委托之目的收集投资者个人信息的，未经该等自然人同意， 不能将其个人信息再作其他目的和用途。(H)事后返还或删除如果私募基金管理人与受托的第三方销售机构订立的委托合同不生效、无效、被撤销或 者终止的，私募基金管理人应当敦促第三方销售机构返还其基于委托所处理的个人信息或者 予以删除，不能继续保留。(四)禁止转委托根据个人信息保护法第21条的规定，未经私募基金管理人同意，第三方销售机构 也不得转委托他人处理个人信息。这也与民法典中关于转委托的要求一致。五、涉外基金的跨境传输在实务过程中，不少美元基金以及QDLP、QDIk QFlL QFLP等跨境基金和金融产品 因募集和客户管理需要，会收集、处理中国境内投资者的相关信息，而外资私募基金管理人 (PFM)、中外合资私募基金管理人出于集团要求和反洗钱监管要求等原因，也会有收集、 处理中国境内投资者相关信息的要求。根据个人信息保护法第三条第二款的规定，以向 境内自然人提供产品或者服务为目的、或分析、评估境内自然人的行为，在中华人民共和国 境外处理中华人民共和国境内自然人个人信息的活动，适用个人信息保护法的规定。而 私募基金投资者也不仅限于自然人，在募集中，也会涉及处理大量的机构投资者，如果需要 向境外传输相关的数据，则可能落入数据安全法和网络安全法的监管范围。在信息数据领域有一个现象，数据是越用越多的，而人们对于数据和个人信息的保护需 求也是越来越高的。目前，我国对于个人信息的监管才刚刚起步，还有许多配套的法规、标 准有待出台,法律的实施情况和监管口径也需要进一步在实操中领会。我们将持续关注数据、 信息的监管对于私募基金运作的持续影响，以及后续相关配套细则、规定的落地和具体实施 情况。