网络安全和数据保护

沃克合伙人露西•弗鲁（Lucy Frew）撰文–数据保护和网络安全机制的重大发展，以及投资者意识的增强，意味着这些都是对冲基金业务在2018年的关键问题。

技术的进步为另类投资基金行业带来了巨大的机遇和效率，但同时也带来了以前无法想象的风险，而与地理位置无关。

随着采用《 2017年数据保护法》（DPL）形式的新国内立法，以《通用数据保护条例》（GDPR）形式出现的新国际法规以及开曼群岛金融管理局（CIMA）加强了监管审查，投资者的需求以及对商业和声誉风险的敏感性，意味着数据保护和网络安全已成为2018年对冲基金业务优先事项的首位。

规

在包括开曼群岛在内的世界各地，政府和监管机构一直在稳步增加对网络安全的关注和资源。具有讽刺意味的是，由于新的国际数据共享机制以及网络安全问题和创新技术的部署，收集个人数据也是法律和监管义务，这使得对个人数据的监管比以往任何时候都更加复杂。

CIMA已于2016年5月宣布，它将网络攻击视为当今数字环境中金融业面临的主要风险之一。

CIMA强烈鼓励被许可方评估其网络安全风险，重新评估其策略，以确保其对于当前环境而言是全面且最新的，并测试其安全程序以识别其系统的漏洞。CIMA已经明确表示将审查被许可方的数据安全风险管理方法，并检查技术控制，事件响应和人员培训。作为审查的一部分，CIMA还将考虑被许可人保护敏感客户和其他信息的机密性，完整性和可用性的能力。

包括CIMA在内的金融监管机构通常在制定替代性投资基金行业企业必须遵守的规则和标准时并没有规定。考虑到复杂的网络攻击和防御步伐，这是有道理的。但是，CIMA肯定会越来越关注该行业内的网络风险和网络安全问题，尤其是在该行业在为经济融资方面发挥越来越重要的作用的情况下。

通用数据保护条例和开曼群岛

从2018年5月25日开始，GDPR将取代当前的欧盟数据保护制度。它不仅适用于欧盟内的组织，也适用于欧盟以外的组织，如果它们收集或处理欧盟个人的个人数据；例如，在资金方面，在收集反洗钱时，FATCA或CRS信息。

开曼群岛不属于欧盟，也未执行GDPR。尽管如此，GDPR的主要变化之一是领土范围的扩展，以包括不在欧盟内部建立但其数据处理活动与“向欧盟内个人提供商品和服务”或“监控行为”有关的数据控制器和处理器。发生在欧盟。

现在将收购许多不在前任体制范围之内的另类投资基金部门业务，并将需要确保其流程符合GDPR。

就“要约”的含义而言，重要的是要区分GDPR的应用和AIFMD的应用。如果实际处理了个人数据，则报价仅在GDPR范围内。换句话说，如果第三国经理将一份非个人化的要约文件交给欧盟的潜在投资者，则根据AIFMD，该经理可能会被视为市场营销人员，但不一定要更多，因为出于以下目的处理个人数据： GDPR。但是，任何有关个人数据的处理都将构成与在欧盟提供商品和服务有关的处理活动。

相反，即使AIFMD范围内没有任何行销活动，出于GDPR的目的，活动也可能构成对个人数据的处理。例如，经理可以收集投资者的联系方式，以期将来进行资金筹集，而无需尝试与此类投资者进行交流。但是，这种个人数据收集可能会构成根据GDPR进行的个人数据处理。

可能将没有欧盟机构，也没有欧盟投资者的对冲基金业务纳入范围的另一个基础与“在欧盟发生的监控行为”有关。

应该考虑进行处理活动，以监视欧盟数据主体在“互联网上”的追踪位置。这包括可能随后使用获取的数据以“对自然人进行剖析，特别是为了做出有关他或他的决定，或者分析或预测他或他的个人喜好，行为和态度”。例如，在欧盟以外的经理使用替代数据或基于欧盟数据主体行为监控的数据分析时，这是相关的。

与实体投资者以及个人投资者的关系可能涉及自然人个人数据的处理。通常，投资基金的个人必须提供大量个人数据。通常，基金的公司，合伙企业或信托投资者必须提供有关其个人董事，成员，股东和其他实益拥有人的个人数据。因此，即使所有投资者都位于欧盟以外，也不能排除入职会涉及欧盟个人数据的可能性。

2017年《数据保护法》

DPL将首次在开曼群岛引入数据保护制度。DPL于2017年6月5日在宪报上刊登，并将于内阁令设定的日期生效，预计将于2019年1月生效。同时，将针对DPL的各种规定制定法规。由于DPL基于英国和欧盟的数据保护法规，因此对于英国或欧盟的经理或开曼群岛对冲基金的服务提供商而言，其定义和概念将非常熟悉。

与之前的立法类似，GDPR限制将个人数据传输到欧盟以外，以确保将其发送到提供适当数据保护的国家。通过实施DPL，开曼群岛正在开始实现“对等”地位的过程。同时，在各种情况下（包括个人同意的情况下），在没有充分决策的情况下可以进行个人数据的传输。

数据保护与网络安全

对冲基金企业的网络安全措施在很大程度上遵守了GDPR和DPL。管理员必须采取适当的技术和组织措施，以确保在处理和传输过程中保护个人数据，并防止未经授权或非法处理个人数据以及意外丢失或破坏个人数据或损坏个人数据。

未能保护个人数据和执行的制裁

DPL包含重大的财务处罚，但与GDPR规定的罚款额相比并没有太大的罚款。在GDPR规定中，不遵守GDPR数据安全要求的企业可能面临最高2000万欧元的罚款或占全球年总收入的4％；以较大者为准。欧盟当局将对没有设立欧盟机构的组织进行调查并采取执法行动的程度还有待观察，尤其是在对冲基金很可能对零售公众几乎没有损害的情况下。