Hvis dette er det asiatiske århundret, er det for finansinstitusjoner i ferd med å bli århundret for asiatisk databeskyttelsesregulering. Hvis det er en enkelt største barriere for å implementere digitale strategier, er det denne regionens lappeteppe av markeder og regler rundt data.
Kina er ikke alene om å bygge flere barrierer og regler for å holde data i landet. Men dens tilnærming er den mest omfattende. Og som verdens nest største økonomi er den for stor til å ignorere.
Banker og kapitalforvaltere sliter med datasuverenitetsregler. For bransjen for øvrig vil situasjonen sannsynligvis bli vanskeligere, ikke lettere, og dette vil begrense bedriftenes evne til å vokse eller betjene kundene slik de ønsker.
Deres beste svar er å engasjere ulike regulatorer, finne ut hva som er en prioritet eller oppdragskritisk når det gjelder deling og beskyttelse av data, og finne felles grunnlag – uansett hvor smalt det er.
Fragmenteringen av datalover
Forskrifter om data sto i sentrum på en nylig konferanse arrangert av Asia Securities and Investments and Financial Markets Association (ASIFMA). Meldingen: det er ingen enkel løsning på dette problemet.
Bransjen håpet i utgangspunktet at internasjonale rammeverk for personvern ville styre grenseoverskridende flyter.
Disse standardene ble imidlertid utviklet av vestlige eller rike institusjoner som OECD. Asiatiske og fremvoksende markeder begynte å føle at de ble utnyttet, med rådata som forlot grensene for servere i den utviklede verden, hvor de ville bli behandlet og beriket og gjort verdifulle.
Regulatorer i mange land begynte å skrive sine egne regler.
"Dette har resultert i å gjøre datavern og grenseoverskridende data til en nøkkelrisiko for finansinstitusjoner," sa Tauseef Hussain, direktør for global compliance og operasjonell risiko i Bank of America i Singapore.
Dette er bare den tidlige fasen av denne trenden, ikke konklusjonen. Regulatorer fortsetter å endre reglene for å utvide omfanget og øke håndhevelsen.
Regionale utfordringer øker
Globale institusjoner sliter med å henge med. Definisjoner av personopplysninger er nå over hele kartet, noe som gjør det vanskelig å bygge et skalerbart kontrollmiljø for personvern. Overholdelse blir stadig dyrere.
Utover overholdelse, følger firmaer som er avhengige av skysentriske modeller utviklet i USA og Europa en forretningsmodell der data samles inn, behandles og oppbevares på forskjellige steder. Den modellen fungerer ikke lenger for et økende antall markeder, noe som betyr at bedriftenes virksomhet også blir dyrere.
Noen fremvoksende markeder som Malaysia manglet kapasiteten til å administrere bedrifters datakontroller på riktig måte, så de vedtok svært restriktive lover som krever at all offshoring skal være godkjente myndigheter fra sak til sak. Gradvis kan slike regimer utvikle seg mot en mer regelbasert tilnærming, men ingen vet når.
Globale firmaer har råd til å behandle unntak i Malaysia-størrelse med lokale løsninger, da dette er små markeder. Men så sluttet store land som India seg. Ikke bare vedtar disse landene brede regler, men de gjør det uten detaljert veiledning om hvordan firmaer bør implementere dem – en annen kilde til forvirring for globale virksomheter.
I dag oppretter til og med finansknutepunkter som Hong Kong og Singapore – den slags steder som normalt sett pent inn i globale standarder – enten sine egne datasuverenitetsregler eller studerer dem.
Bedrifter streber etter å vise regulatorer at de tar datarelaterte bekymringer på alvor, og forklarer under hvilke omstendigheter det er avgjørende for dem å ta data offshore. Det viktigste argumentet er at globale firmaer må rapportere om lokale data til sine regulatorer hjemme.
"Du kan vise hvordan eksporterte data forbedrer firmaets overholdelse og risikostyring, og hjelper derfor den lokale regulatoren," sa Hussain.
Kinas omfattende regler
Ingen steder er dette resonnementet viktigere – og vanskeligere å komme over – enn Kina.
Eugenie Shen, administrerende direktør og leder for kapitalforvaltningsgruppen ved ASIFMA i Hong Kong, sier Beijing siden 2016 har utstedt en stadig mer utfordrende rekke av lovgivning: cybersikkerhetslover, datasikkerhetslover og i år personvernlover. Disse dekker all informasjon i elektroniske eller andre former.
"Vi snakker om et bredt univers," sa hun på ASIFMA-arrangementet.
Dette skaper problemer for globale fondshus som opererer på fastlands-Kina, driver lokale porteføljer og forvalter lokale klientpenger.
Globale firmaer i klem
Deres hjemlandshovedkvarter vil vanligvis forvente at datterselskaper gir mye data om lokale aktiviteter: styremøteprotokoller, ledelsesrapporter, finansiell og regnskapsinformasjon, overholdelsesrapporter og klientpersonlig informasjon.
Globale kapitalforvaltere og deres datterselskaper må vise sine egne regulatorer at de opererer i kundenes interesser og oppfyller globale KYC- og anti-hvitvaskingssjekker.
Globale investeringsteam vil også ha informasjon om de børsnoterte selskapene i deres porteføljer – for det første må de vite om deres eierskapsnivåer kan utløse offentlighetskrav.
I Kina, sier Shen, kan kapitalforvaltere ikke dele kundeinformasjon med hovedkontoret sitt. Selv forskningsanalytikeres rapporter, ofte basert på å finkjemme offentlig tilgjengelig informasjon, kan ikke sendes til statsminister i utlandet. "Det er en bekymring for at det å dele denne informasjonen med offshore-enheter på en eller annen måte kan skade den offentlige interessen eller den nasjonale sikkerhetsinteressen," sa Shen.
Dette setter globale firmaer i bånd, fordi avsløring av slik informasjon til sine egne aksjonærer vanligvis er lovpålagt i vestlige land, for eksempel lov om bankholdingselskaper i USA eller skatteregler.
Kinas offentlige tilnærming til data
Xun Yang, partner ved Llinks Law China i Shanghai, sier på overflaten at Kinas dataregler ligner på personvernregler i Vesten. Men kinesiske myndigheter setter inn personvern i sammenheng med allmennhetens interesse og markedsstabilitet.
Globale firmaer står overfor to sett med dataforskrifter i Kina. Først er personlig beskyttelse.
I Vesten er en forbruker eller klients samtykke alt som kreves for å dele dataene deres. Det er ikke tilfelle i Kina, som sier at det er en offentlig dimensjon ved å eksportere slike data i bulk.
Det andre settet med regler gjelder hvordan kinesiske finanstilsynsmyndigheter overvåker personlige og transaksjonelle data, som ikke kan frigis fordi det kan gi utenlandske myndigheter og multinasjonale selskaper for mye informasjon. Beijing stoler ikke på ideen om juridisk eller fidusiær separasjon av interesser. (Det hjelper kanskje ikke at vestlige omtaler disse som "kinesiske vegger".)
Mange kinesere
Denne situasjonen er komplisert av mangfoldet av kinesiske regulatorer. Finansielle tjenester har flere regulatorer på nasjonalt nivå. Men også provinsielle og kommunale myndigheter har et ord.
"Det er få detaljer om implementering, ingen tidslinjer og ulike synspunkter blant lokale regulatorer," sa James Zhang, partner for finansielle tjenester i KPMG.
Derfor ønsker regulatorer at all data lagres på land. "Det er ikke umulig å eksportere disse dataene, men det er veldig vanskelig," sa Yang.
På den annen side ønsker Beijing å tiltrekke seg utenlandsk kapital og multinasjonal virksomhet, og forbli involvert i globale markeder. "Så det er en vei ut," la Yang til.
Finne felles grunn
Hvis banker har å gjøre med personopplysninger for detaljhandel, er det svært liten sjanse for at regulatorer vil tillate at informasjonen reiser. Det er spillerom hvis globale selskaper kan vise at det er for institusjonelle eller bedriftskunder, spesielt hvis disse er kinesiske banker eller selskaper som allerede opererer i utlandet. Hvis de er notert i USA, Hong Kong eller andre markeder, publiserer de allerede mye informasjon i sine årsrapporter, noe som kan være tilstrekkelig.
Globale firmaer må også se på de aktuelle dataene og ta en vane med å bare sende alt til et utenlandsk datasenter. De må finne ut hvilke overholdelsesproblemer de møter hjemme hvis de ikke eksporterer Kina-lokale data, hva de har råd til å beholde på land, hva som sannsynligvis anses som det mest følsomme overfor regulatorer, og hva de tror de kan vinne gjennom lobbyvirksomhet.
De må også overbevise myndighetene om at firmaets kontroller er robuste, at det respekterer Kinas lover, og at det har en prosess på plass for å håndtere hacks eller datalekkasjer.
"Regulatorer vil vurdere motpartens natur," sa KPMGs Zhang, som gir firmaer en sjanse til å argumentere for sin sak. "Kina prøver ikke å koble seg fra verden, så jeg tror vi vil se noen endringer. Men det er en smertefull situasjon for øyeblikket."
Henvender seg til regulatorer
Yang ved Llinks Law sier kinesiske regulatorer ønsker firmaer velkommen som ber om avklaringer. De forstår at reglene deres er omfattende, og de er åpne for praktiske resultater. Regulatorer gir kanskje ikke et generelt unntak for dataoffshoring, men de kan samarbeide med firmaer for å finne en måte å hjelpe dem med å overholde kravene i hjemmemarkedene sine.
ASIFMAs Shen sa: "Jeg retter saken til [Kina] regulatorer om hvorfor vi trenger viss informasjon. Hvis jeg ikke får informasjonen, bryter jeg utenlandske lover. Så jeg forklarer hva disse lovene er. Det handler om å finne en balanse." Hun la til at kinesiske regler anerkjenner data som anses som kritiske, så det er ikke én størrelse som passer alle. Regulatorer har ennå ikke utgitt detaljer om hvordan de klassifiserer data, men over tid vil slike detaljer hjelpe finansfirmaer med å finne ut hvilke data de kan prøve å få fritatt.
"Vi prøver å bygge bro over gapet," sa Shen. "Jeg håper vi en dag kan ha rundebordssamtaler med kinesiske myndigheter for en åpen diskusjon."
- maur økonomisk
- ASIFMA
- Asset & Wealth Management
- Bank of America
- blockchain
- blockchain konferanse fintech
- klokkespill fintech
- Kina
- coinbase
- coingenius
- samsvar
- kryptokonferanse fintech
- Cybersecurity
- dato
- personvern
- DigFin
- kjennetegnet
- fintech
- fintech-app
- fintech innovasjon
- KPMG
- Lkoblinger
- OpenSea
- PayPal
- paytech
- utbetalingsvei
- plato
- plato ai
- Platon Data Intelligence
- PlatonData
- platogaming
- razorpay
- Regtech
- Revolut
- Ripple
- firkantet fintech
- stripe
- tencent fintech
- Xero
- zephyrnet
