对冲基金越来越多地受到国际和本地数据保护法规的约束。对冲基金和服务提供商持有的个人数据量持续增长。随着FATCA对冲基金管理人和其他服务提供商等新规定的收集数据的义务增加，必须注意数据保护法律法规。

　　对冲基金，投资经理和服务提供商有义务保护与投资者相关的机密信息，避免违反数据隐私法规，这一点越来越受到关注。长期以来，对冲基金一直被要求通过反洗钱/了解您的客户要求和投资者适合性目的来获取其投资者的个人数据。包括FATCA在内的新法规将要求投资经理，基金和服务提供商获得额外数量的个人数据。随着要求获得更多的个人数据，加上违反数据隐私立法所涉及的处罚和声誉风险，这是一个不容忽视或忽视的领域。本文将研究有关此主题的一些问题，

　　由于对冲基金业务本质上属于多司法管辖区，因此至少有两个或更多司法管辖区(如果不是更多)的数据保护法可能适用。欧盟(“欧盟”)被广泛认为是在这一领域通过1995年通过的欧盟数据保护指令(“欧盟数据保护指令”)立法的最先进的政治实体。因为它以表格形式通过根据指令的规定，欧盟成员国遵守指令中规定的最低标准，并可能实施几个州所做的更高标准。因此，在分析适用于持有个人数据的标准和要求的注册或通知的规则时，应考虑欧盟成员国的法律。其中一个要点是欧盟数据保护指令的域外性质，该指令要求个人数据在某些例外情况下不得传输到欧盟不具备足够保护水平的司法管辖区。在美国，情况更为复杂，因为通常没有联邦法律以与欧盟数据保护指令相同的方式规范数据保护，并且由各州通过该领域的立法。马萨诸塞州是一个值得注意的司法管辖区，它采用了一些最严格的数据保护法规，如果在马萨诸塞州居民身上持有个人数据，对冲基金经理和服务提供商应该了解这些法律。

　　范围内有哪些数据?

　　被视为范围的数据和数据所涉及的各方在不同的司法管辖区之间存在差异。根据欧盟数据保护指令，数据被描述为“个人数据”。个人数据包括标识“数据主体”的信息，“数据主体”是数据适用的人。数据主体是自然人，因此该指令不适用于公司实体的数据。它当然适用于与公司实体(例如董事或股东)取得的有关自然人的个人资料。

　　由于该领域的许多规则都遵循数据所适用的人，因此了解您在投资者所在的司法管辖区可能承担的义务至关重要。举例来说，马萨诸塞州已经在美国颁布了一些最严格的数据保护法。根据马萨诸塞州的规定，一个实体只需通过持有马萨诸塞州居民的个人数据就可以遵守其规则。这些规则所涵盖的一方不需要在州内建立营业地或与州有其他关系(其他州的法规要求适用)。将实体纳入马萨诸塞州法规范围的数据是持有居民的名字和姓氏或第一个姓名以及与此类居民相关的以下任何一个或多个数据元素：(a)社会安全号码; (b)驾驶执照号码或国家颁发的身份证号码; 或(c)金融帐号，或信用卡或借记卡号，有或没有任何所需的安全代码，访问代码，个人识别号码或密码，可以访问居民的金融帐户。

　　对数据的使用有什么限制?

　　对冲基金或服务提供商不太可能使用收到的个人数据，而不是为了处理投资和履行其合法的报告和记录保存义务。在这方面，欧盟对个人数据的处理和使用施加了最严格的用途。欧盟数据保护指令对数据处理规定了许多原则，包括要求公平合法地处理数据并用于特定的合法目的。根据欧盟数据保护指令适用的其他原则要求仅收集相关信息(即获得不直接要求的附加信息)，重要的是，不再需要时销毁个人数据。此外，如果要进一步处理或使用数据，在遵守原则数据时，这可能仅在数据主体同意或法律或其他公共利益排除适用的其他例外情况下进行。此外，欧盟数据保护指令要求持有数据的一方根据要求向数据主体披露他们持有的数据。

　　违反数据保护规则的通知要求是什么?

　　美国大多数州都实施了数据泄露通知法规，包括加利福尼亚州，亚利桑那州，马萨诸塞州等。通常，数据泄露通知法将要求将与数据相关的人员通知违规行为。通常也要求国家通知(例如司法部长)。数据泄露的程序，处罚，所需行动和责任因州而异。在欧盟，某些国家还制定了数据泄露通知要求，欧盟委员会已提议将与此类违规有关的规则纳入欧盟数据保护指令的修正案中。

　　数据保护规则对合同谈判有何影响?

　　在与第三方(例如管理员等服务提供商)谈判合同或协议时，各方应注意要求服务提供商确保他们遵守相关的数据保护法律，并保护他们收到或将要收到的数据。处理。应审查对责任条款和赔偿金的仔细审查，以确定哪一方在发生违约时将承担责任。某些司法管辖区要求实施文书工作，包括出口或数据转移(参见下面对欧盟示范合同的参考)。此外，作为示例，马萨诸塞州数据保护法规要求各方在合同中包括合同条款，以实施和维护用于保护个人信息的适当安全措施。

　　产品备忘录或订购文件中应包含哪些条款以涵盖数据保护?

　　在准备发行备忘录和认购文件中的披露时，应考虑包括风险披露，以便将信息转移到没有可比数据保护标准的司法管辖区，选择加入或选择退出条款，以便投资者决定是否想要在与第三方共享信息的情况下分享他们的信息(或同意)和同意。

　　欧盟数据出口有哪些限制?

　　在欧盟，关键术语是出口信息的第三国必须具有“足够”的数据保护措施。注意使用术语“足够”而不是“等同”。欧盟目前承认有限数量的司法管辖区拥有适当的数据保护措施。辖区为阿根廷，加拿大，根西岛，马恩岛和瑞士。出于欧盟数据保护指令的目的，这些管辖区域的处理方式与欧盟成员国之间传输的数据相同。对于那些未被认可具有适当数据保护标准的国家(包括美国)，必须采取额外步骤将数据输出到这些第三国。

　　欧盟和美国同意了一项特殊安排，即从欧盟向美国的数据传输可能被视为受“安全港”规定的约束。根据安全港的条款，如果美国的某个实体希望处理欧盟数据主体的数据，他们必须自我证明符合欧盟数据保护指令中规定的某些数据保护原则(类似于适用于欧盟的数据处理器)。

　　转移到其他没有足够数据保护标准的国家，可以根据欧盟数据保护指令的条款签订“示范合同”，逐案实现。欧盟已同意“示范合同”的形式。模型合同的条款是非常标准的，但是，应该注意的是，可能需要指定关于输出信息类型的选择。此外，一些欧盟成员国要求注册示范合同，而其他成员国则不需要。因此，重要的是要验证相关成员国的法律要求使模型合同下的数据输出有效。

　　您是否拥有适当的数据保护系统或需要进一步的建议?