维尔京群岛数据保护法案(Virgin Islands Data Protection Act,2021)于2021年颁布,旨在保护居民和企业的个人数据隐私和安全。该法案规定了一系列数据处理的规则和要求,包括数据的收集、使用存储、保护、删除等方面。
该法案下,直接责任主体被称为“数据控制者”(data controller)——在BVI,任何符合“数据控制者”定义的人士必须遵守与数据控制者处理的任何个人数据有关的七大数据保护原则。
如果数据控制者聘请第三方——即“数据处理者”(data processor)——代表其处理个人数据,数据控制者必须确保该第三方遵守数据保护原则。
数据控制者
处理、控制或授权处理个人数据的人士。
数据处理者
代表数据控制者处理个人数据的人士,但不包括数据控制者的雇员。
法案的适用范围
符合以下条件之一的数据控制者和/或数据处理者:
a)于BVI设立;或
b)在BVI境外设立,但使用BVI境内的设备以处理个人数据,为传输过境BVI目的的除外。
图中的文字内容如下:
处理 | 就个人数据而言,是指收集、记录、持有或储存个人数据,或对个人数据进行任何操作或一系列的操作,包括:a) 组织、改编或更改个人数据;b)检索、咨询或使用个人数据;c) 通过传输、转移、传播或其他方式提供个人数据;或d)对个人数据进行调整、组合、更正、删除或销毁 |
个人数据 | 指与可识别的自然人(无论其是否在世)直接或间接有关的、商业交易方面的任何信息(数据主体不需要在BVI),这些信息a) 全部或部分地通过响应为此目的发出的指令而自动运行的设备来处理;b) 记录的目的是为了全部或部分地通过这种设备进行处理;或c) 被记录为相关档案系统的一部分,或打算成为相关档案系统的一部分。 |
个人敏感数据 | 指关于数据主体的任何以下个人数据:a) 身体或精神健康;b)性取向;c) 政治观点;d)宗教信仰或其他类似性质的信仰;e) 刑事定罪,犯下或被指控犯下任何罪行;或部长可能通过决定规定的任何其他个人数据。 |
私募基金的数据合规义务
根据BVI数据保护法案的规定,注册在BVI的私募基金、管理人或普通合伙人均符合其下数据控制者的定义;
其投资人、高管或雇员 (不论是否BVI国籍或身居BVI) 所提供的个人身份信息 (比如姓名、地址、出生日期、银行信息等)均属于个人数据; 上述主体在处理相关个人数据时需遵守法定的数据保护原则。
由于BVI当前的数据保护法案规定比较原则性,且尚未有配套规定出台,建议参考其他法域 (特别是欧盟或者英国)的数据保护规则、以及当前行业通常做法,采取适当的措施以满足合规要求。
据此,BVI私募基金及相关人士所需要遵守的义务包括但不限于:
a) 关于个人数据的处理,获得数据主体的同意;
b) 在获得同意的情况下,确保个人数据被用于数据主体同意的目的 (除某些有限的情况外) ;
c) 采取切实可行的步骤,保护个人数据免遭任何损失、滥用、修改、未经授权或意外的访问或披露、更改或销毁;
d) 确保个人数据的保存时间不超过必要的时间;以及
e) 确保个人数据准确、完整、无误导性并保持更新。
BVI私募基金如何应对BVI数据保护法案的合规要求呢?
针对BVI数据保护法案的监管合规要求,我们对BVI私募基金及相关主体可以采取的应对措施建议如下:
根据BVI数据保护法案的规定,隐私声明中应说明如下内容:### 起草或更新隐私声明a) 数据控制者的身份及其收集和处理个人数据的目的; b) 个人数据的来源信息; c) 数据主体可享有的权利(包括投诉); d) 个人数据的第三方接受者信息; e) 数据主体是否有义务或自愿提供个人数据; f) 如数据主体有义务提供,不提供的后果是什么。 隐私声明应当发送给全部现有投资人;针对新投资人,可以作为基金认购文件的一部分,请他们一并签署。 如上所述,由于基金认购过程中所收集的大量个人数据,基金认购文件中应包含隐私声明内容。并且,考虑到投资人主体可能为机构,并非个人数据的直接拥有主体,建议在基金认购文件中增加投资人的陈述与保证,以确保其所提供的个人数据的数据主体已知晓隐私声明内容。### 2. 更新基金认购文件
如上所述,由于基金认购过程中所收集的大量个人数据,基金认购文件中应包含隐私声明内容。并且,考虑到投资人主体可能为机构,并非个人数据的直接拥有主体,建议在基金认购文件中增加投资人的陈述与保证,以确保其所提供的个人数据的数据主体已知晓隐私声明内容。
审阅和调整与第三方服务者的服务协议
对于基金而言,其第三方服务者(例如基金行政管理人、基金管理人、注册代理、投资顾问等)构成数据处理者,因此基金应审阅和调整与这些服务提供者的协议,以确保它们符合BVI数据保护法案的规定,不论它们是否注册或居住在BVI。我们建议,在与第三方服务者的服务协议中明确第三方服务者(及其任何分承包者)应提供保护个人数据所需的技术和制度保证,并采取适当措施符合数据保护法案的规定。
梳理和更新基金内部的个人数据保护制度
尽管BVI数据保护法案未明确要求数据控制者制定内部制度或委任数据合规官,但为在基金内部和日常运营中落实数据保护原则,我们建议起草并完善基金的内部化数据合规制度,明确包括但不限于以下内容: a) 如何获得、存储、保护和处理个人数据; b) 数据保留政策和数据保留时间表; c) 数据主体访问流程,以便对数据主体的访问和投诉作出适当和合规的回应; d) 以及数据突发事件的应对计划,包括在发生个人数据泄露时的责任、措施和报告义务。
就数据合规进行基金层面的培训为了让私募基金、管理人及其工作人员、投资人等各方对于BVI数据保护法案有更好地认识和了解,同时增强私募基金层面数据合规的意识和敏感度,我们建议BVI私募基金可以就数据合规进行内部或外部培训,甚至可以考虑设置一个全面的数据合规计划。
如需了解更多详情内容,欢迎咨询我们工作人员。
🌍 微信号|diyang_sh
🕴 手机|+86 186 2162 0853(小笛)
✉ 邮件|diyang_ben@yeah.net
🚡 网站:www.diyangsh.com
📠 Telegram:diyangsh
🤝商务合作:support@diyangsh.com
🛒淘宝店铺:搜索“笛杨企业服务”
/ 笛杨咨询 /
笛杨咨询是一家专注于离岸跨境领域的咨询机构。我们具备企业家思维,全方位关注客户需求,为客户提供专业且量身定制的个性化企业服务。企业注册咨询业务涵盖香港、新加坡、英属维尔京群岛、开曼群岛、塞浦路斯、卢森堡、百慕大、安圭拉和泽西岛等地。
我们深耕国际市场,客户群包含全球顶尖律师事务所、金融机构、投资基金和私人客户。我们携手最大的离岸律师事务所中心,在欧洲、亚洲、美洲和加勒比地区的主要金融中心设有办事处,确保按照客户的工作语言和时区提供最为优质的服务。
本网站发布的内容仅为交流讨论之目的,不构成我们的任何法律意见,因此不能依赖或据此替代我们的法律意见。
