不知各位读者朋友有没有注意到，近期我们的手机里的应用软件频频弹出新的隐私政策弹窗，请求用户确认——是的，2021年11月1日正式生效的《个人信息保护法》正悄然影响着我们的生活。《个人信息保护法》的落地可不仅仅对互联网企业提出了新的合规挑战，也对海外基金募集中国投资者资金的活动产生管辖效力，影响不可小觑。下面就由小编带着大家一探究竟吧！

有读者可能会问：中国的《个人信息保护法》怎么会管到海外基金？如果您这样想，可就大意了。《个人信息保护法》第三条第二款已然将这部境内法律的效力“领土”拓展到了海外：

“在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动，有下列情形之一的，也适用本法：

（一）以向境内自然人提供产品或者服务为目的；

（二）分析、评估境内自然人的行为；

（三）法律、行政法规规定的其他情形。”

可见，即便设立于海外，私募基金只要符合“处理个人信息的活动”，且存在 “以向境内自然人提供产品或者服务为目的”或“分析、评估境内自然人的行为”的情形，就会受到中国《个人信息保护法》的管辖。

《个人信息保护法》对个人信息的定义十分宽泛，其第四条第一款规定：个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。因此，对于海外基金而言，投资人的个人身份信息，如姓名、地址、职业、财务状况、财富来源、投资偏好等都属于个人信息。

各国反洗钱法都要求包括基金和基金管理人在内的反洗钱义务人对洗钱风险进行评估，并根据风险评估结果实施相应的客户尽职调查。洗钱交易风险评估一般涉及三个方面：客户自身的风险、地域风险以及金融产品和交易渠道带来的风险。为了建立对客户的全面了解，反洗钱义务人需要了解客户的国籍、身份、职业、声誉等个人信息。经过洗钱交易风险评估后，反洗钱义务人将综合评估结果，选择适用于该客户的客户尽职调查措施。在实施客户尽职调查措施时，反洗钱义务人应当对客户进行身份识别与核验，收集客户姓名和曾用名，地址，出生日期，国籍，职业，开立基金账户的目的，收益期待和资金来源，是否为政治人物及其家庭关系等信息。

基金管理人或基金募集机构亦须对投资者的投资经验和风险承担能力进行评估，以决定其是否属于适合特定基金的投资者，为此须了解投资人的财务状况、投资知识、投资经验、风险偏好等个人信息。

看完上文，相信各位读者已经意识到海外基金满足《个人信息保护法》合规要求的必要性了，那么基金管理人应该怎么办？小编整理了海外基金在《个人信息保护法》下进行合规工作的四个注意事项，分别是：

(a) 确定信息出境路径并满足信息出境合规条件；

(b) 为个人提供行使个人信息保护法下各项权利的途径；

(c) 修改基金文件，披露信息出境相关信息，获取客户单独同意；以及

(d)  完善个人信息保护相关的内控制度。

海外基金首先应根据收集境内个人信息的信息出境路径，以确定该基金在《个人信息保护法》适用哪些监管要求。

海外基金一般通过两条路径收集中国个人信息，其一是由境内信息处理者收集境内个人信息后再跨境提供给海外基金；其二是由海外基金直接收集境内个人信息。请看下图：

通过路径一收集个人信息的，相关境内信息处理者应确保是因业务等需要确需向境外提供个人信息，并应采取必要措施，保障境外接收方处理个人信息的活动达到《个人信息保护法》规定的个人信息保护标准，还需满足下列条件之一：

（一）依照《个人信息保护法》第四十条的规定通过国家网信部门组织的安全评估；

（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；

（三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务。

上述三个条件的合规流程和成本显然不同，小编认为其适用范围也将各有侧重，但《个人信息保护法》尚未对此做出详细规定，仅要求如果个人信息处理者为关键基础设施运营者或者处理个人信息达到国家网信部门规定数量的个人信息处理者必须满足条件一，即通过国家网信部门的安全评估。对于海外基金收集处理境内个人信息可选择哪个合规措施这个问题，我们还须密切关注后续陆续出台的《个人信息保护法》实施办法或细则。根据《个人信息保护法》第五十三条，海外基金作为最终收集中国境内个人信息的主体，还须在境内设立专门机构或者指定代表，负责处理个人信息保护相关事务，并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。

另一条路径则是由海外基金直接收集境内个人信息，在此情况下，海外基金亦须根据《个人信息保护法》第五十三条在境内设立专门机构或者指定代表。这条规定虽然简单清晰，但背后暗藏着许多不确定性：专门机构和指定代表有何区别？其设立或指定应履行哪些行政手续？须符合哪些资质要求？将履行哪些合规义务？是否可以委托境内第三方服务机构担任？海外基金这类非互联网性质的境外信息处理者应接受哪个境内个人信息保护职责部门的监管？是负责统筹个人信息保护工作的国家网信部门，还是业务主管部门如中国证监会？这些问题亦须密切关注个保法配套法律法规的出台。

《个人信息保护法》第十七条规定个人信息处理者应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人行使本法规定权利的方式和程序。《个人信息保护法》规定的个人权利众多，包括知情权、决定权、限制或者拒绝他人对其个人信息进行处理的权利、查阅复制和请求转移的权利、请求补充更正的权利、删除和请求删除的权利、要求个人信息处理者对其个人信息处理规则进行解释说明的权利、查阅死者信息的权利等。个人信息处理者还应建立便捷的个人行使权利的申请受理和处理机制和信息提供者撤回同意的方式。关于个人信息保护权利的文章已经汗牛充栋，小编在此就不再赘述了。

《个人信息保护法》对信息处理者的披露义务提出诸多要求。海外基金管理人应重新审阅现行基金发售文件中关于信息私隐政策的披露是否足够充分。尽管目前多数开曼和BVI基金的发售文件中已经根据当地信息保护法律披露了信息私隐政策，但根据小编的对比研究，该等披露并不足以涵盖中国《个人信息保护法》的披露要求，故在中国投资者发售的海外基金应增加中国《个人信息保护法》所要求的披露内容。

《个人信息保护法》规定个人信息处理者应就下述三种处理个人信息的行为须征得有关个人的单独同意：(i) 收集和处理敏感个人信息；(ii) 将个人信息提供给其他个人信息处理者；和 (iii) 将个人信息传输到境外。敏感个人信息包括有关个人的生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息。故依赖投资者签署基金认购协议给予“一揽子同意”老做法已不足以符合《个人信息保护法》的要求，面向中国投资者进行募集的海外基金应适当修改基金文件，要求中国投资者对该等事项做出单独同意和授权。

《个人信息保护法》要求信息处理者依据处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取相应措施确保个人信息处理活动符合法律、行政法规的规定，防止未经授权的访问以及个人信息泄露、篡改、丢失。除此之外，信息处理者还应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。

海外不是法外，私募基金不仅须注重其注册地的法律合规要求，须亦兼顾募集地、管理人注册地或所在地、投资人来源地、投资目标所在地的法律合规要求。作为全球第二大经济体，中国在海外私募基金领域已成为日益重要的投资人来源地、管理人来源地和资金募集市场。纵观美国、欧盟等大经济体在私募基金领域的立法体系，多会采取属地管辖和属人管辖并行的方式进行监管，小编相信中国法律也终将对海外基金的境内募集行为、境内管理人管理海外基金的行为、境内投资人投资海外基金的权益保护问题、中国税务问题等诸多方面进行监管，完善立法。《个人信息保护法》是端倪初显，而大幕才刚刚拉开一角。