一、开门见山—DPL
对开曼基金有哪些
潜在影响?
面对生效后的《开曼数据保护法》,开曼基金或其管理公司可能需要视情况采取以下一项或多项措施:
1. 审阅基金合伙协议(LPA)、认购文件(Subscription Documents)、私募发售备忘录(PPM)(如有)等基金文件中涉及个人数据处理的内容,并视情况进行更新或补充,确保不会与《开曼数据保护法》冲突;
<section style="margin: 0px; padding: 0px; max-width: 100%; box-sizing: border-box !important; word-wrap: break-word !important; color: rgb(51, 51, 51); font-family: -apple-system-font, BlinkMacSystemFont, " data-role="paragraph" sans-serif;="" arial,="" yahei",="" "microsoft="" ui",="" yahei="" gb",="" sans="" "hiragino="" sc",="" "pingfang="" neue",="" helvetica="" initial;="" 255,="" rgb(255,="" 0px;="" 2;="" normal;="" none;="" justify;="" 0.544px;="" 400;="" 17px;="" 255);"="">
2. 向现有及将来的投资者发出(或视情况更新)隐私通知(privacy notice),声明如下内容:(1)数据主体的个人数据;(2)数据处理的目的;(3)可能披露个人数据的对象;(4)数据控制者拟直接或间接转移个人数据的国家或地区;(5)为遵守数据安全、完整及保密原则(即下文数据保护原则中的第7项)而采取的措施;(6)其他开曼信息专员(Information Commissioner)要求说明的信息;
3. 审查内部关于个人数据处理的政策和程序是否符合《开曼数据保护法》的要求,并视情况建立或完善相关政策和程序;以及
4. 确保与外部服务提供者(如注册代理、基金行政管理人等)签署的相关服务协议中涉及个人数据处理的内容符合《开曼数据保护法》的要求。
下文详细介绍了《开曼数据保护法》的几个核心概念、数据保护原则及罚则、对开曼基金的适用以及与欧盟《通用数据保护条例》(General Data Protection Regulation,“GDPR”)的关系,供广大业内人士卓参。
二、初窥门径—
你需要了解的DPL
核心概念
《开曼数据保护法》保护的是数据控制者或数据处理者所处理的个人数据。从保护对象上看,《开曼数据保护法》保护的数据主体是自然人,而非机构。且《开曼数据保护法》将个人数据分为两类:个人数据和敏感个人数据,并对后者规定了更严格的保护措施。
三、登堂入室—DPL
关于数据保护原则
及罚则的规定
(一) 数据保护原则
根据《开曼数据保护法》的规定,个人数据保护应遵从以下八项原则:
1. 公平合法处理原则(fair and lawful processing),即数据处理的方式应该是人们合理期待的方式,而不是可能对数据主体产生不利影响的方式。
2. 目的限制原则(purpose limitation),即数据处理的目的应该是一个或多个特定的合法目的,且数据处理的方式不应与数据处理的目的冲突。
3. 数据最小化原则(data minimization),即处理的个人数据应该是充分、相关但不过量的。
4. 准确原则(data accuracy),即要求采取合理措施确保处理的个人数据是正确的、不具有误导性的,并及时更新个人数据;当发现个人数据有误或者具有误导性的时候,应采取合理措施纠正或消除。
5. 限期保存原则(storage limitation),即数据保存的期限不应超过必要期限,期限届满后数据应被消除。
6. 尊重个人权利原则(respect for the individual’s rights),即数据处理应尊重和保障数据主体的权利,尤其是知情权、获取、纠正、停止/限制处理个人数据、停止直接营销、涉及决策自动化、申诉和索赔等权利。
7. 安全、完整及保密原则(security – integrity and confidentiality),此原则要求采取适当的技术和组织性措施以防止未经授权或违法处理个人数据的情况,并防止意外个人数据丢失、损毁、或破坏数据的情况。
8. 数据跨境保护原则(international transfers),此原则禁止将个人数据转移到不能为数据主体提供其在《开曼数据保护法》下享有的同等权利和自由的国家或地区。
违反《开曼数据保护法》相关规定的人士,可能被(单独或并罚)处以10万开曼元(约12万美元)的罚款及最长5年监禁。情节严重的,罚金可高达25万开曼元(约30万美元)。需要特别注意的是,如法人团体(body corporate)违反《开曼数据保护法》系由其董事、秘书、管理人员或履行同等职责的人士导致的,该等个人也将受到相应处罚。
四、融会贯通—DPL
对开曼基金的适用
(一) 是否需要遵守《开曼数据保护法》?
如果基金设立在开曼境内,无论数据处理行为是否发生在开曼境内,都要适用《开曼数据保护法》。尽管《开曼数据保护法》规定了若干豁免规则,但主要适用于公司金融服务、国家安全、犯罪、健康、教育、社会工作、新闻、历史或科学研究目的,或根据法律规定进行数据披露等情况,通常无法适用于私募基金。
(二) 是否涉及个人数据的处理?
基金在募集及运营过程当中,会通过认购文件、反洗钱核查(KYC)材料等渠道获取投资者很多个人数据,例如投资者姓名、出生日期、住址、联系方式、职业以及资金信息等。该等个人数据的处理需要符合《开曼数据保护法》的各项要求。
(三) 谁是数据控制者和数据处理者?
大部分情况下,开曼基金本身是数据控制者,其管理公司如代表基金处理数据,则会成为数据处理者。实操中,一些开曼基金的日常管理职能是委托给外部服务提供者(例如基金行政管理人)履行的,则该服务提供者为数据处理者。开曼基金或其管理公司在选任外部服务提供者承担数据处理义务时,应与外部服务提供者签订书面协议,确保外部服务提供者仅为约定目的处理数据,能安全储存数据,并确保外部服务提供者遵守《开曼数据保护法》的规定。
(四) 如何获得个人投资者的有效同意?
根据《开曼数据保护法》附件2的规定,只有至少满足下列条件之一的,数据控制者才有权处理个人数据:(1)取得数据主体的同意;(2)为订立或履行数据控制者作为缔约方的合同处理数据;(3)为履行数据控制者的法律义务处理数据;(4)为保护数据主体的重大利益处理数据;(5)为执行公共职能处理数据;(6)为数据控制者或接收数据的第三方的合法利益处理数据。而对开曼基金而言,最行之有效的条件是取得个人投资者的同意,包括在投资者签署的基金认购文件中声明其同意。
根据《开曼数据保护法》附件5的规定,构成有效的“同意”需要满足以下条件:(1)数据控制者应承担证明数据主体同意处理其个人数据的责任;(2)如果数据主体表达同意的书面声明中同时包含其他内容,那么该同意应该与其他内容有明确区分;(3)数据主体有权在任何时候撤回其同意,但该撤回不具有溯及力;以及(4)如果在数据主体和数据控制者之间出现重大的利益不平衡,则该同意不构成数据处理的合法依据。
五、追本溯源—
DPL和GDPR
GDPR于2018年5月25日正式生效,旨在更新和完善欧盟境内以及任何与欧盟成员国进行交易或持有其公民数据的公司处理个人数据的规则。《开曼数据保护法》总体上是以GDPR为蓝本制定的,其主要定义和规定也大体沿用了GDPR的规则,甚至建议对《开曼数据保护法》未明确作出规定的内容,可参考GDPR的要求行事,以保障开曼与欧盟之间个人数据的顺利流动。
注释:
1:《开曼数据保护法》颁布于2017年5月18日,并授权开曼政府另行决定生效日期。
