Hvis dette er det asiatiske århundrede, er det for finansielle institutioner ved at blive århundredet for asiatisk databeskyttelsesregulering. Hvis der er en enkelt største barriere for at implementere digitale strategier, er det denne regions kludetæppe af markeder og regler omkring data.
Kina er ikke alene om at opføre flere barrierer og regler, der skal opbevare data i landet. Men dens tilgang er den mest gennemgribende. Og som verdens næststørste økonomi er den for stor til at ignorere.
Banker og kapitalforvaltere kæmper med regler for datasuverænitet. For industrien som helhed vil situationen sandsynligvis blive sværere, ikke nemmere, og dette vil begrænse virksomhedernes evne til at vokse eller servicere deres kunder, som de ønsker.
Deres bedste svar er at engagere forskellige regulatorer, finde ud af, hvad der er en prioritet eller missionskritisk, når det kommer til deling og beskyttelse af data, og finde fælles fodslag – uanset hvor snævert det end er.
Fragmenteringen af datalovgivningen
Forordninger om data kom i centrum på en nylig konference arrangeret af Asia Securities and Investments and Financial Markets Association (ASIFMA). Beskeden: Der er ingen nem løsning på dette problem.
Industrien håbede oprindeligt, at internationale rammer for databeskyttelse ville styre grænseoverskridende strømme.
Disse standarder blev imidlertid udviklet af vestlige eller rige landes institutioner såsom OECD. Asiatiske og emerging markets-regeringer kom til at føle, at de blev udnyttet, med rådata, der forlod deres grænser til servere i den udviklede verden, hvor de ville blive behandlet og beriget og gjort værdifulde.
Regulatorer i mange lande begyndte at skrive deres egne regler.
"Dette har resulteret i at gøre databeskyttelse og grænseoverskridende data til en nøglerisiko for finansielle institutioner," sagde Tauseef Hussain, direktør for global compliance og operationel risiko hos Bank of America i Singapore.
Dette er kun den tidlige fase af denne tendens, ikke konklusionen. Regulatorer fortsætter med at ændre deres regler for at udvide deres anvendelsesområde og øge håndhævelsen.
Regionale udfordringer stiger
Globale institutioner kæmper for at følge med. Definitioner af personlige data findes nu overalt på kortet, hvilket gør det vanskeligt at opbygge et skalerbart kontrolmiljø for privatlivets fred. Compliance bliver ved med at blive dyrere.
Ud over compliance følger virksomheder, der er afhængige af cloud-centrerede modeller udviklet i USA og Europa, en forretningsmodel, hvor data indsamles, behandles og opbevares forskellige steder. Den model fungerer ikke længere for et stigende antal markeder, hvilket betyder, at virksomhedernes drift også bliver dyrere.
Nogle nye markeder, såsom Malaysia, manglede kapaciteten til korrekt at administrere virksomheders datakontrol, så de vedtog meget restriktive love, der krævede, at enhver offshoring skulle være godkendte myndigheder fra sag til sag. Gradvist kan sådanne regimer udvikle sig i retning af en mere regelbaseret tilgang, men ingen ved hvornår.
Globale virksomheder har råd til at behandle undtagelser på størrelse med Malaysia med lokale løsninger, da disse er små markeder. Men så sluttede store lande som Indien sig til. Ikke alene vedtager disse lande brede regler, men de gør det uden detaljeret vejledning om, hvordan virksomhederne skal implementere dem - endnu en kilde til forvirring for globale virksomheder.
I dag er selv finansielle hubs som Hong Kong og Singapore - den slags steder, der normalt ville passe pænt ind i globale standarder - enten opbygge deres egne datasuverænitetsregler eller studere dem.
Virksomheder kæmper for at vise regulatorer, at de tager datarelaterede bekymringer alvorligt, og forklarer, under hvilke omstændigheder det er afgørende for dem at tage data offshore. Det vigtigste argument er, at globale virksomheder skal rapportere om lokale data til deres regulatorer derhjemme.
"Du kan vise, hvordan eksporterede data forbedrer firmaets compliance og risikostyring og hjælper derfor den lokale regulator," rådede Hussain.
Kinas ekspansive regler
Ingen steder er denne tankegang vigtigere – og sværere at komme igennem – end Kina.
Eugenie Shen, administrerende direktør og leder af asset-management-gruppen hos ASIFMA i Hong Kong, siger, at Beijing siden 2016 har udstedt en stadig mere udfordrende række lovgivning: cybersikkerhedslove, datasikkerhedslove og i år privatlivslovgivning. Disse dækker enhver information i elektronisk eller anden form.
"Vi taler om et bredt univers," sagde hun ved ASIFMA-arrangementet.
Dette skaber problemer for globale fondshuse, der opererer på det kinesiske fastland, der driver lokale porteføljer og administrerer lokale kunders penge.
Globale virksomheder i klemme
Deres hjemlands hovedkvarter vil normalt forvente, at datterselskaber leverer en masse data vedrørende lokale aktiviteter: bestyrelsesmødeprotokoller, ledelsesrapporter, finansielle og regnskabsmæssige oplysninger, overholdelsesrapporter og klientpersonlige oplysninger.
Globale kapitalforvaltere og deres datterselskaber skal vise deres egne tilsynsmyndigheder, at de arbejder i deres kunders interesser og opfylder globale KYC- og anti-hvidvask-checks.
Globale investeringsteams vil også have information om de børsnoterede virksomheder i deres porteføljer – for det første skal de vide, om deres ejerskabsniveauer kan udløse oplysningskrav.
I Kina, siger Shen, kan kapitalforvaltere ikke dele kundeoplysninger med deres hovedkvarter. Selv forskningsanalytikeres rapporter, der ofte er baseret på kæmning af offentligt tilgængelige oplysninger, kan ikke sendes til PM'er i udlandet. "Der er en bekymring for, at deling af disse oplysninger med offshore-enheder på en eller anden måde kan skade den offentlige interesse eller den nationale sikkerhedsinteresse," sagde Shen.
Dette sætter globale virksomheder i klemme, fordi videregivelse af sådanne oplysninger til deres egne aktionærer normalt er påkrævet ved lov i vestlige lande, såsom amerikansk lov om bankholdingselskaber eller skatteregler.
Kinas offentlige tilgang til data
Xun Yang, partner hos Llinks Law China i Shanghai, siger på overfladen, at Kinas dataregler ligner privatlivsbestemmelserne i Vesten. Men kinesiske myndigheder rammer privatlivets fred i sammenhæng med den offentlige interesse og markedsstabilitet.
Globale virksomheder står over for to sæt datareguleringer i Kina. Først er personlig beskyttelse.
I Vesten er en forbrugers eller klients samtykke alt, hvad der kræves for at dele deres data. Det er ikke tilfældet i Kina, som siger, at der er en offentlig dimension ved at eksportere sådanne data i bulk.
Det andet regelsæt vedrører, hvordan kinesiske finansielle regulatorer fører tilsyn med personlige og transaktionsdata, som ikke kan frigives, fordi det kan give udenlandske regeringer og multinationale selskaber for meget information. Beijing stoler ikke på ideen om juridisk eller tillidsadskillelse af interesser. (Det hjælper måske ikke, at vesterlændinge omtaler disse som "kinesiske vægge".)
Mange kinaer
Denne situation kompliceres af mangfoldigheden af kinesiske regulatorer. Finansielle tjenesteydelser har flere regulatorer på nationalt plan. Men provins- og kommunalregeringer har også indflydelse.
"Der er få detaljer om implementering, ingen tidslinjer og forskellige synspunkter blandt lokale regulatorer," sagde James Zhang, partner for finansielle tjenester hos KPMG.
Derfor ønsker tilsynsmyndigheder alle data gemt på land. "Det er ikke umuligt at eksportere disse data, men det er meget svært," sagde Yang.
På den anden side ønsker Beijing at tiltrække udenlandsk kapital og multinational virksomhed og forblive involveret i globale markeder. "Så der er en vej ud," tilføjede Yang.
At finde fælles grund
Hvis banker beskæftiger sig med detailpersonoplysninger, er der meget lille chance for, at tilsynsmyndigheder vil tillade disse oplysninger at rejse. Der er spillerum, hvis globale virksomheder kan vise, at det er for institutionelle eller erhvervskunder, især hvis disse er kinesiske banker eller virksomheder, der allerede opererer i udlandet. Hvis de er noteret i USA, Hong Kong eller andre markeder, så offentliggør de allerede en masse information i deres årsrapporter, hvilket kan være tilstrækkeligt.
Globale virksomheder skal også se på de pågældende data og sparke den vane med blot at sende alt til et oversøisk datacenter. De bliver nødt til at finde ud af, hvilke overholdelsesproblemer de står over for derhjemme, hvis de ikke eksporterer Kina-lokale data, hvad de har råd til at beholde på land, hvad der sandsynligvis vil blive betragtet som det mest følsomme over for regulatorer, og hvad de tror, de kan vinde gennem lobbyvirksomhed.
De skal også overbevise myndighederne om, at virksomhedens kontrol er robust, at den respekterer Kinas love, og at den har en proces på plads til at håndtere hacks eller datalæk.
"Regulatorer vil overveje arten af modparten," sagde KPMG's Zhang, hvilket giver virksomhederne en chance for at argumentere for deres sag. "Kina forsøger ikke at afkoble sig fra verden, så jeg tror, vi vil se nogle ændringer. Men det er en smertefuld situation lige nu.”
Sagen til regulatorer
Yang hos Llinks Law siger, at kinesiske tilsynsmyndigheder hilser virksomheder velkommen, der beder om afklaringer. De forstår, at deres regler er vidtspændende, og de er åbne over for praktiske resultater. Regulatorer giver muligvis ikke en generel undtagelse til dataoffshoring, men de kan arbejde sammen med virksomheder for at finde en måde at hjælpe dem med at overholde på deres hjemmemarkeder.
ASIFMA's Shen sagde: "Jeg taler over for [Kina] regulatorer om, hvorfor vi har brug for visse oplysninger. Hvis jeg ikke får oplysningerne, overtræder jeg udenlandsk lovgivning. Så jeg forklarer, hvad disse love er. Det handler om at finde en balance.” Hun tilføjede, at kinesiske regler anerkender data, der anses for at være kritiske, så det er ikke én størrelse, der passer til alle. Regulatorer har endnu ikke udgivet detaljer om, hvordan de klassificerer data, men over tid vil sådanne detaljer hjælpe finansielle virksomheder med at finde ud af, hvilke data de kan forsøge at få fritaget.
"Vi forsøger at bygge bro over kløften," sagde Shen. "Jeg håber, at vi en dag kan have rundbordssamtaler med kinesiske myndigheder til en åben diskussion."
- ant finans
- ASIFMA
- Asset & Wealth Management
- Bank of America
- blockchain
- blockchain konference fintech
- klokkespil fintech
- Kina
- coinbase
- coingenius
- Compliance
- kryptokonference fintech
- Cybersecurity
- data
- databeskyttelse
- DigFin
- featured
- fintech
- fintech-app
- fintech innovation
- KPMG
- LLinks
- OpenSea
- PayPal
- paytech
- betalingsvej
- plato
- platon ai
- Platon Data Intelligence
- PlatoData
- platogaming
- razorpay
- Regtech
- Revolut
- Ripple
- firkantet fintech
- stribe
- tencent fintech
- Xero
- zephyrnet
