你的数据,我来守护——开曼版GDPR正式生效
本文作者:王勇 卢羽睿 金文斌 张艳芳
2019年9月30日,开曼群岛《数据保护法(2017)》(Data Protection Law, 2017)(“《开曼数据保护法》”或“DPL”)正式生效[1]。该法适用于设立在开曼境内或在开曼境内处理个人数据的几乎所有实体,故在开曼设立的基金、管理公司及相关服务提供者也要遵守《开曼数据保护法》的规定。
一、开门见山—DPL
对开曼基金有哪些
潜在影响?
1. 审阅基金合伙协议(LPA)、认购文件(Subscription Documents)、私募发售备忘录(PPM)(如有)等基金文件中涉及个人数据处理的内容,并视情况进行更新或补充,确保不会与《开曼数据保护法》冲突;
2. 向现有及将来的投资者发出(或视情况更新)隐私通知(privacy notice),声明如下内容:(1)数据主体的个人数据;(2)数据处理的目的;(3)可能披露个人数据的对象;(4)数据控制者拟直接或间接转移个人数据的国家或地区;(5)为遵守数据安全、完整及保密原则(即下文数据保护原则中的第7项)而采取的措施;(6)其他开曼信息专员(Information Commissioner)要求说明的信息;
3. 审查内部关于个人数据处理的政策和程序是否符合《开曼数据保护法》的要求,并视情况建立或完善相关政策和程序;以及
4. 确保与外部服务提供者(如注册代理、基金行政管理人等)签署的相关服务协议中涉及个人数据处理的内容符合《开曼数据保护法》的要求。
下文详细介绍了《开曼数据保护法》的几个核心概念、数据保护原则及罚则、对开曼基金的适用以及与欧盟《通用数据保护条例》(General Data Protection Regulation,“GDPR”)的关系,供广大业内人士卓参。
二、初窥门径—
你需要了解的DPL
核心概念
《开曼数据保护法》保护的是数据控制者或数据处理者所处理的个人数据。从保护对象上看,《开曼数据保护法》保护的数据主体是自然人,而非机构。且《开曼数据保护法》将个人数据分为两类:个人数据和敏感个人数据,并对后者规定了更严格的保护措施。
(一) 数据控制者数据控制者(data controller)指单独或与他人共同决定数据处理的目的、条件及方式的人士,包括在开曼境内设立或在开曼境内处理数据的法团(corporation)、俱乐部(club)、社团(society)、协会(association)、公共机关(public authority)或其他组织机构。如有开曼境外的实体在开曼境内收集个人数据,该境外实体还需要在开曼委托当地代表(local representative),在此情形下,该当地代表也属于数据控制者。(二) 数据处理者数据处理者(data processor)指代表数据控制者处理个人数据的人士,但不包括数据控制者的雇员。数据处理者仅能根据数据控制者的指示以及与数据控制者签订的书面协议处理个人数据。(三) 数据处理处理(processing)指获取、记录、持有个人数据,或对个人数据采取的任何操作,包括:(1)组织、改编或修改个人数据;(2)检索、查阅或使用个人数据;(3)披露个人数据;(4)调整、合并、拦阻、清除或销毁个人数据。(四) 数据主体数据主体(data subject)指(1)已被识别的自然人(identified living individual)或(2)可以被数据控制者或其他任何人士通过合理方式直接或间接识别的自然人。(五) 个人数据个人数据(personal data)指与可被识别的自然人相关的数据,包括(1)其位置信息,在线标识(online identifier),或与其相关的身体、心理、基因、精神、经济、文化或社会身份等因素;(2)对相关数据主体的意见表达;(3)数据控制者或任何其他人士关于相关数据主体意图的表示。敏感个人数据(sensitive personal data)指包含以下内容的个人数据:(1)种族或民族;(2)政治观点;(3)宗教或其他类似信仰;(4)是否为工会成员;(5)基因数据;(6)身体或精神健康或状况;(7)医疗数据;(8)性生活;(9)刑事犯罪或刑事指控;或(10)刑事程序或其裁判。三、登堂入室—DPL
关于数据保护原则
及罚则的规定
根据《开曼数据保护法》的规定,个人数据保护应遵从以下八项原则:
1. 公平合法处理原则(fair and lawful processing),即数据处理的方式应该是人们合理期待的方式,而不是可能对数据主体产生不利影响的方式。
2. 目的限制原则(purpose limitation),即数据处理的目的应该是一个或多个特定的合法目的,且数据处理的方式不应与数据处理的目的冲突。
3. 数据最小化原则(data minimization),即处理的个人数据应该是充分、相关但不过量的。
4. 准确原则(data accuracy),即要求采取合理措施确保处理的个人数据是正确的、不具有误导性的,并及时更新个人数据;当发现个人数据有误或者具有误导性的时候,应采取合理措施纠正或消除。
5. 限期保存原则(storage limitation),即数据保存的期限不应超过必要期限,期限届满后数据应被消除。
6. 尊重个人权利原则(respect for the individual’s rights),即数据处理应尊重和保障数据主体的权利,尤其是知情权、获取、纠正、停止/限制处理个人数据、停止直接营销、涉及决策自动化、申诉和索赔等权利。
7. 安全、完整及保密原则(security – integrity and confidentiality),此原则要求采取适当的技术和组织性措施以防止未经授权或违法处理个人数据的情况,并防止意外个人数据丢失、损毁、或破坏数据的情况。
8. 数据跨境保护原则(international transfers),此原则禁止将个人数据转移到不能为数据主体提供其在《开曼数据保护法》下享有的同等权利和自由的国家或地区。
(二) 罚则违反《开曼数据保护法》相关规定的人士,可能被(单独或并罚)处以10万开曼元(约12万美元)的罚款及最长5年监禁。情节严重的,罚金可高达25万开曼元(约30万美元)。需要特别注意的是,如法人团体(body corporate)违反《开曼数据保护法》系由其董事、秘书、管理人员或履行同等职责的人士导致的,该等个人也将受到相应处罚。
四、融会贯通—DPL
对开曼基金的适用
如果基金设立在开曼境内,无论数据处理行为是否发生在开曼境内,都要适用《开曼数据保护法》。尽管《开曼数据保护法》规定了若干豁免规则,但主要适用于公司金融服务、国家安全、犯罪、健康、教育、社会工作、新闻、历史或科学研究目的,或根据法律规定进行数据披露等情况,通常无法适用于私募基金。
(二) 是否涉及个人数据的处理?
基金在募集及运营过程当中,会通过认购文件、反洗钱核查(KYC)材料等渠道获取投资者很多个人数据,例如投资者姓名、出生日期、住址、联系方式、职业以及资金信息等。该等个人数据的处理需要符合《开曼数据保护法》的各项要求。
(三) 谁是数据控制者和数据处理者?
大部分情况下,开曼基金本身是数据控制者,其管理公司如代表基金处理数据,则会成为数据处理者。实操中,一些开曼基金的日常管理职能是委托给外部服务提供者(例如基金行政管理人)履行的,则该服务提供者为数据处理者。开曼基金或其管理公司在选任外部服务提供者承担数据处理义务时,应与外部服务提供者签订书面协议,确保外部服务提供者仅为约定目的处理数据,能安全储存数据,并确保外部服务提供者遵守《开曼数据保护法》的规定。
(四) 如何获得个人投资者的有效同意?
根据《开曼数据保护法》附件2的规定,只有至少满足下列条件之一的,数据控制者才有权处理个人数据:(1)取得数据主体的同意;(2)为订立或履行数据控制者作为缔约方的合同处理数据;(3)为履行数据控制者的法律义务处理数据;(4)为保护数据主体的重大利益处理数据;(5)为执行公共职能处理数据;(6)为数据控制者或接收数据的第三方的合法利益处理数据。而对开曼基金而言,最行之有效的条件是取得个人投资者的同意,包括在投资者签署的基金认购文件中声明其同意。
根据《开曼数据保护法》附件5的规定,构成有效的“同意”需要满足以下条件:(1)数据控制者应承担证明数据主体同意处理其个人数据的责任;(2)如果数据主体表达同意的书面声明中同时包含其他内容,那么该同意应该与其他内容有明确区分;(3)数据主体有权在任何时候撤回其同意,但该撤回不具有溯及力;以及(4)如果在数据主体和数据控制者之间出现重大的利益不平衡,则该同意不构成数据处理的合法依据。
五、追本溯源—
DPL和GDPR
GDPR于2018年5月25日正式生效,旨在更新和完善欧盟境内以及任何与欧盟成员国进行交易或持有其公民数据的公司处理个人数据的规则。《开曼数据保护法》总体上是以GDPR为蓝本制定的,其主要定义和规定也大体沿用了GDPR的规则,甚至建议对《开曼数据保护法》未明确作出规定的内容,可参考GDPR的要求行事,以保障开曼与欧盟之间个人数据的顺利流动。
注释:
1:《开曼数据保护法》颁布于2017年5月18日,并授权开曼政府另行决定生效日期。
如您对本期《法律评述》内容
有任何问题或建议
请与竞天公诚律师事务所王勇先生联系:
010-5809 1510 / 021-5404 9930
185 1188 0418(微信)
wang.yong@jingtian.com
境内基金系列往期文章
1. 粤港澳大湾区QFLP再下一城——简评《广州QFLP指引》
2. 中国私募基金监管与运营实务指南2019年5月版3. 上海市创投支持政策破土而出境外基金系列往期文章
3. 君子爱财,取之有道 ——浅析基金缴资信用贷款
010- 5809 1510
021- 5404 9930
wang.yong@jingtian.com
王律师拥有在国内外多家顶级律所近18年的从业经验,为数百家基金客户和资管机构组建了一千多支境内外基金和资管产品,亦代表众多客户从事私募投融资和资本市场交易。
王律师为中国保险资产管理业协会入库专家、上海市金融办QFLP/QDLP试点项目专家评委、厦门市政府产业基金专家评委,亦经常受托为中国证监会、基金业协会等就各种法律法规和行业规则的制定提供咨询意见,连续多年被Chambers、IFLR1000、Who’s Who Legal、Legal 500、Asialaw Leading Lawyers、Asialaw Profiles、《银行、金融、交易法律全球顶级律师指南》《亚洲律师》《商法》、LEGALBAND等知名律师评级机构和媒体评为中国“投资基金”、“私募股权/创业投资”第一级别律师。
王勇律师毕业于北京大学(法学士/文学士)和哥伦比亚大学(法学博士),亦为特许金融分析师(CFA)和特许另类资产分析师(CAIA)。
顾问
010- 5809 1506
lu.yurui@jingtian.com
卢羽睿律师毕业于中国政法大学,获得管理学学士,并从北京大学以及加州大学洛杉矶分校分别获得法律硕士以及LL.M.学位。
卢律师拥有多年的法律从业经验,主要业务领域为基金设立与资产管理、私募股权/风险投资及境内外投资。
通过长期为一线头部私募机构提供基金设立、资产管理等服务,卢律师积累了丰富实践经验,擅长为各类境内外知名的私募基金管理机构在设立、管理和运营美元和人民币私募股权投资基金、创业投资基金等各方面提供法律服务。
律师
021- 2613 6120
jin.wenbin@jingtian.com
金文斌律师毕业于华东政法大学,获得法学学士学位,并从上海外国语大学获得文学(德语辅修)学士学位。
金律师拥有多年的法律从业经验,主要业务领域为基金设立和私募股权投融资交易。
通过长期为境内外各类资产管理机构提供基金设立专项及常年法律顾问服务,金律师积累了丰富的实践经验,擅长为私募基金管理机构在设立、管理和运营美元对冲基金、私募股权/风险投资基金和人民币基金等各方面提供法律服务。
律师助理
010- 5809 1511
zhang.yanfang@jingtian.com
张艳芳毕业于武汉大学,先后获得法学学士和法学硕士学位。
张艳芳的主要业务领域为私募基金及管理实体设立与资产管理、私募基金管理人登记及基金备案、风险投资与私募股权投资,主要负责尽职调查、交易文件起草与审阅、交易架构设计、商业谈判以及法律和政策研究等工作。
声明 DISCLAIMER
本文观点仅供参考,不可视为竞天公诚律师事务所及其律师对有关问题出具的正式法律意见。如您有任何法律问题或需要法律意见,请与本所联系。
This article is for your reference only and not to be deemed as formal legal advice given by Jingtian & Gongcheng or its lawyers. Please contact us directly for formal legal advice or further discussion about the relevant issues.