Finantsfirmad maadlevad Hiina karmide andmeseadustega

Kui käes on Aasia sajand, siis finantsasutuste jaoks on sellest saamas Aasia andmekaitse reguleerimise sajand. Kui digitaalsete strateegiate rakendamisel on üksainus suurim takistus, on see selle piirkonna turgude ja andmetega seotud reeglite laiguline segadus.

Hiina ei ole üksi, kes kehtestab rohkem tõkkeid ja reegleid, mis on mõeldud andmete hoidmiseks riigis. Kuid selle lähenemine on kõige ulatuslikum. Ja kuna see on maailma suuruselt teine ​​majandus, on see liiga suur, et seda ignoreerida.

Pangad ja varahaldurid on hädas andmete suveräänsuse reeglitega. Tööstuse jaoks laiemalt läheb olukord tõenäoliselt raskemaks, mitte lihtsamaks, ja see vähendab ettevõtete võimet kasvada või teenindada oma kliente nii, nagu nad soovivad.

Nende parim lahendus on kaasata erinevaid reguleerivaid asutusi, selgitada välja, mis on andmete jagamisel ja kaitsmisel prioriteetne või missioonikriitilise tähtsusega, ning leida ühisosa – olgu see nii kitsas.

Andmeseaduste killustatus

Andmeid käsitlevad määrused olid Aasia väärtpaberite ja investeeringute ning finantsturgude assotsiatsiooni (ASIFMA) hiljutisel konverentsil kesksel kohal. Sõnum: sellele probleemile pole lihtsat lahendust.

Tööstusharu lootis algselt, et piiriüleseid vooge reguleerivad rahvusvahelised andmekaitseraamistikud.

Need standardid töötasid aga välja lääne või rikaste riikide institutsioonid, näiteks OECD. Aasia ja arenevate turgude valitsused tundsid, et neid kasutatakse ära, kuna toorandmed lahkuvad nende piiridest arenenud maailma serveritesse, kus neid töödeldakse, rikastatakse ja muudetakse väärtuslikuks.

Paljude riikide regulaatorid hakkasid ise oma reegleid koostama.

"See on muutnud andmete privaatsuse ja piiriülesed andmed finantsasutuste jaoks peamiseks riskiks," ütles Singapuri Bank of America ülemaailmse vastavus- ja operatsiooniriski direktor Tauseef Hussain.

See on vaid selle suundumuse algusfaas, mitte järeldus. Reguleerivad asutused jätkavad oma eeskirjade muutmist, et laiendada nende reguleerimisala ja tõhustada jõustamist.

Piirkonnaülesed väljakutsed suurenevad

Globaalsed institutsioonid näevad vaeva, et sammu pidada. Isikuandmete määratlused on nüüd kõikjal kaardil, mis muudab privaatsuse tagamiseks skaleeritava juhtimiskeskkonna loomise keeruliseks. Vastavus läheb aina kallimaks.

Lisaks nõuetele järgimisele järgivad USAs ja Euroopas välja töötatud pilvekesksetele mudelitele tuginevad ettevõtted ärimudelit, mille kohaselt andmeid kogutakse, töödeldakse ja säilitatakse erinevates kohtades. See mudel ei tööta enam kasvaval hulgal turgudel, mis tähendab, et ka ettevõtete tegevus muutub kallimaks.

Mõnedel arenevatel turgudel, nagu Malaisia, puudus suutlikkus ettevõtete andmekontrolli nõuetekohaseks haldamiseks, mistõttu nad kehtestasid väga piiravad seadused, mis nõuavad, et mis tahes offshoring'i puhul oleks iga juhtumi puhul eraldi heakskiidetud ametiasutus. Järk-järgult võivad sellised režiimid areneda reeglipõhisema lähenemisviisi suunas, kuid keegi ei tea, millal.

Ülemaailmsed ettevõtted võiksid endale lubada Malaisia-suuruste erandite käsitlemist kohalike lahendustega, kuna need on väikesed turud. Kuid siis ühinesid sellega suured riigid nagu India. Need riigid mitte ainult ei kehtesta laiaulatuslikke eeskirju, vaid teevad seda ilma üksikasjalike juhisteta selle kohta, kuidas ettevõtted peaksid neid rakendama – see on veel üks segaduse allikas ülemaailmsetes ettevõtetes.

Tänapäeval kehtestavad isegi sellised finantskeskused nagu Hongkong ja Singapur – sellised kohad, mis tavaliselt sobiksid hästi ülemaailmsete standarditega – kas kehtestavad oma andmete suveräänsuse reegleid või uurivad neid.

Ettevõtted püüavad näidata reguleerivatele asutustele, et nad võtavad andmetega seotud probleeme tõsiselt, ja selgitada, millistel asjaoludel on nende jaoks ülioluline andmete offshore-sse viimine. Kõige olulisem argument on see, et ülemaailmsed ettevõtted peavad oma kodu reguleerivatele asutustele kohalikest andmetest aru andma.

"Saate näidata, kuidas eksporditud andmed parandavad ettevõtte vastavust ja riskijuhtimist ning aitavad seega kohalikku regulaatorit," soovitas Hussain.

Hiina ekspansiivsed reeglid

See arutluskäik pole kusagil tähtsam – ja raskemini läbipääsetav – kui Hiina.

Hongkongi ASIFMA tegevdirektor ja varahaldusgrupi juht Eugenie Shen ütleb, et alates 2016. aastast on Peking välja andnud üha keerukamaid õigusakte: küberturvalisuse seadused, andmeturbe seadused ja sel aastal privaatsusseadused. Need hõlmavad mis tahes teavet elektroonilisel või muul kujul.

"Me räägime laiast universumist," ütles ta ASIFMA üritusel.

See tekitab probleeme Mandri-Hiinas tegutsevatele ülemaailmsetele fondimajadele, mis haldavad kohalikke portfelle ja haldavad kohalike klientide raha.

Ülemaailmsed ettevõtted on sunnitud

Nende koduriigi peakorter eeldab tavaliselt, et tütarettevõtted esitavad kohalike tegevuste kohta palju andmeid: juhatuse koosolekute protokollid, juhtimisaruanded, finants- ja raamatupidamisteave, vastavusaruanded ja kliendi isikuandmed.

Ülemaailmsed varahaldurid ja nende tütarettevõtted peavad näitama oma reguleerivatele asutustele, et nad tegutsevad oma klientide huvides ning täidavad ülemaailmseid KYC ja rahapesuvastaseid kontrolle.

---

---

Ülemaailmsed investeerimismeeskonnad soovivad teavet ka oma portfelli kuuluvate börsiettevõtete kohta – esiteks peavad nad teadma, kas nende omanditasemed võivad käivitada avalikustamisnõuded.

Sheni sõnul ei saa varahaldurid Hiinas oma peakorteriga klienditeavet jagada. Isegi uurimisanalüütikute aruandeid, mis põhinevad sageli avalikult kättesaadava teabe läbikammimisel, ei saa saata välisministritele. "On mure, et selle teabe jagamine offshore-üksustega võib kahjustada avalikku huvi või riikliku julgeoleku huvisid," ütles Shen.

See seab ülemaailmsed ettevõtted raskustesse, sest sellise teabe avaldamine oma aktsionäridele on tavaliselt lääneriikide seadusega nõutav, näiteks USA pankade valdusettevõtte seadus või maksureeglid.

Hiina avalik lähenemine andmetele

Xun Yang, Llinks Law China partner Shanghais, ütleb pealtnäha, et Hiina andmereeglid näevad välja sarnased lääne privaatsuseeskirjadega. Kuid Hiina võimud lähtuvad privaatsusest avalike huvide ja turu stabiilsuse kontekstis.

Ülemaailmsed ettevõtted seisavad Hiinas silmitsi kahe andmemäärusega. Esiteks on isikukaitse.

Läänes piisab oma andmete jagamiseks ainult tarbija või kliendi nõusolekust. See ei kehti Hiinas, kus öeldakse, et selliste andmete hulgiekspordil on avalik mõõde.

Teine reeglistik puudutab seda, kuidas Hiina finantsregulaatorid teostavad järelevalvet isiku- ja tehinguandmete üle, mida ei saa avaldada, kuna see võib anda välisriikide valitsustele ja rahvusvahelistele ettevõtetele liiga palju teavet. Peking ei usalda õigusliku või usaldusliku huvide lahususe ideed. (See ei pruugi aidata, et läänlased nimetavad neid "Hiina müürideks".)

Paljud Hiinad

Selle olukorra muudab keeruliseks Hiina reguleerivate asutuste mitmekesisus. Finantsteenustel on riiklikul tasandil mitu reguleerivat asutust. Kuid sõna on ka provintsi- ja omavalitsusüksustel.

"Rakendamise kohta on vähe üksikasju, ajakavasid pole ja kohalikel reguleerivatel asutustel on erinevaid seisukohti," ütles KPMG finantsteenuste partner James Zhang.

Seetõttu soovivad reguleerivad asutused, et kõik andmed säilitataks maismaal. "Nende andmete eksportimine pole võimatu, kuid see on väga raske," ütles Yang.

Teisest küljest tahab Peking meelitada ligi väliskapitali ja rahvusvahelist äri ning jääda globaalsetel turgudel seotuks. "Seega on väljapääs," lisas Yang.

Ühise keele leidmine

Kui pangad tegelevad jaemüügi isikuandmetega, on väga väike võimalus, et reguleerivad asutused lubavad sellel teabel levida. Kui globaalsed ettevõtted saavad näidata, et see on institutsionaalsetele või äriklientidele mõeldud, on mänguruumi, eriti kui need on Hiina pangad või ettevõtted, mis juba tegutsevad välismaal. Kui nad on noteeritud USA-s, Hongkongis või muudel turgudel, avaldavad nad juba oma aastaaruannetes palju teavet, millest võib piisata.

Ülemaailmsed ettevõtted peavad ka kõnealuseid andmeid vaatama ja loobuma harjumusest saata kõik lihtsalt ülemere andmekeskusesse. Nad peavad välja selgitama, milliste vastavusprobleemidega nad kodus kokku puutuvad, kui nad ei ekspordi Hiina kohalikke andmeid, mida nad saavad endale lubada maismaal hoida, mida peetakse reguleerivate asutuste suhtes tõenäoliselt kõige tundlikumaks ja mida nad arvavad, et saavad teha. võita lobitööga.

Samuti peavad nad veenma ametiasutusi, et ettevõtte kontrollid on tugevad, et see austab Hiina seadusi ja et tal on sissemurdmiste või andmelekete käsitlemiseks protsess.

"Reguleerivad asutused võtavad arvesse vastaspoole olemust," ütles KPMG Zhang, mis annab ettevõtetele võimaluse oma seisukohta vaielda. "Hiina ei ürita maailmast lahti siduda, nii et ma arvan, et me näeme mõningaid muutusi. Aga praegu on see valus olukord.»

Juhtumi esitamine reguleerivatele asutustele

Yang Llinksi seadusest ütleb, et Hiina regulaatorid tervitavad ettevõtteid, kes küsivad selgitusi. Nad mõistavad, et nende reeglid on laiaulatuslikud ja on avatud praktilistele tulemustele. Reguleerivad asutused ei pruugi anda andmete offshoringule üldist erandit, kuid nad võivad teha koostööd ettevõtetega, et leida viis, kuidas aidata neil oma koduturgudel järgida.

ASIFMA Shen ütles: "Ma räägin [Hiina] reguleerivatele asutustele, miks me vajame teatud teavet. Kui ma infot ei saa, rikun välisriigi seadusi. Nii et ma selgitan, mis need seadused on. See on tasakaalu leidmine." Ta lisas, et Hiina reeglid tunnistavad andmeid, mida peetakse kriitiliseks, nii et see ei sobi kõigile. Reguleerivad asutused ei ole veel avaldanud üksikasju andmete klassifitseerimise kohta, kuid aja jooksul aitavad sellised üksikasjad finantsettevõtetel välja selgitada, milliseid andmeid nad võivad proovida vabastada.

"Püüame lõhe ületada," ütles Shen. "Loodan, et ühel päeval saame Hiina võimudega ümarlauad avatud aruteluks."