Om detta är det asiatiska århundradet, för finansiella institutioner håller det på att bli århundradet för asiatisk dataskyddsreglering. Om det finns en enda största barriär för att implementera digitala strategier så är det denna regions lapptäcke av marknader och regler kring data.
Kina är inte ensamt om att skapa fler barriärer och regler för att hålla data inom landet. Men dess tillvägagångssätt är det mest svepande. Och som världens näst största ekonomi är den för stor för att ignorera.
Banker och kapitalförvaltare kämpar med regler för datasuveränitet. För branschen i stort kommer situationen sannolikt att bli svårare, inte lättare, och detta kommer att begränsa företagens förmåga att växa eller betjäna sina kunder som de vill.
Deras bästa svar är att engagera olika tillsynsmyndigheter, ta reda på vad som är en prioritet eller uppdragskritiskt när det gäller att dela och skydda data, och hitta en gemensam grund – hur smal som helst.
Uppsplittringen av datalagar
Regler om data stod i centrum vid en nyligen genomförd konferens som anordnades av Asia Securities and Investments and Financial Markets Association (ASIFMA). Budskapet: det finns ingen enkel lösning på det här problemet.
Branschen hoppades till en början att internationella ramverk för datasekretess skulle styra gränsöverskridande flöden.
Dessa standarder har dock utvecklats av västerländska eller rika länders institutioner som OECD. Asiatiska och tillväxtmarknadsregeringar kom att känna att de utnyttjades, med rådata som lämnade sina gränser till servrar i den utvecklade världen, där den skulle bearbetas och berikas och göras värdefull.
Tillsynsmyndigheter i många länder började skriva sina egna regler.
"Detta har resulterat i att datasekretess och gränsöverskridande data har blivit en nyckelrisk för finansinstitutioner", säger Tauseef Hussain, chef för global efterlevnad och operativ risk på Bank of America i Singapore.
Detta är bara den tidiga fasen av denna trend, inte slutsatsen. Tillsynsmyndigheter fortsätter att ändra sina regler för att utöka deras räckvidd och öka tillämpningen.
Regionövergripande utmaningar ökar
Globala institutioner kämpar för att hänga med. Definitioner av personuppgifter finns nu över hela kartan, vilket gör det svårt att bygga en skalbar kontrollmiljö för integritet. Efterlevnad blir allt dyrare.
Utöver efterlevnad följer företag som förlitar sig på molncentrerade modeller utvecklade i USA och Europa en affärsmodell där data samlas in, bearbetas och lagras på olika platser. Den modellen fungerar inte längre för ett växande antal marknader, vilket innebär att företagens verksamhet också blir dyrare.
Vissa framväxande marknader som Malaysia saknade kapacitet för att korrekt hantera företags datakontroller, så de antog mycket restriktiva lagar som kräver att all offshoring ska vara godkända myndigheter från fall till fall. Gradvis kan sådana regimer utvecklas mot en mer regelbaserad strategi, men ingen vet när.
Globala företag har råd att behandla undantag i Malaysia-storlek med lokala lösningar, eftersom dessa är små marknader. Men sedan anslöt sig stora länder som Indien. Dessa länder antar inte bara breda regler, utan de gör det utan detaljerad vägledning om hur företagen bör implementera dem – en annan källa till förvirring för globala företag.
Idag upprättar till och med finansiella nav som Hongkong och Singapore – den sortens platser som normalt skulle passa in i globala standarder – antingen sina egna regler för datasuveränitet eller studerar dem.
Företag försöker visa tillsynsmyndigheter att de tar datarelaterade problem på allvar och förklara under vilka omständigheter det är avgörande för dem att ta data offshore. Det viktigaste argumentet är att globala företag måste rapportera om lokal data till sina tillsynsmyndigheter hemma.
"Du kan visa hur exporterad data förbättrar företagets efterlevnad och riskhantering och hjälper därför den lokala tillsynsmyndigheten," rådde Hussain.
Kinas expansiva regler
Ingenstans är detta resonemang viktigare – och svårare att komma fram – än Kina.
Eugenie Shen, verkställande direktör och chef för kapitalförvaltningsgruppen på ASIFMA i Hong Kong, säger att Peking sedan 2016 har utfärdat en alltmer utmanande mängd lagstiftning: cybersäkerhetslagar, datasäkerhetslagar och i år integritetslagar. Dessa omfattar all information i elektronisk eller annan form.
"Vi pratar om ett brett universum", sa hon vid ASIFMA-evenemanget.
Detta skapar problem för globala fondbolag som är verksamma på Kinas fastland, driver lokala portföljer och hanterar lokala kunders pengar.
Globala företag i kläm
Deras huvudkontor i hemlandet förväntar sig vanligtvis att dotterbolag tillhandahåller mycket information om lokala aktiviteter: styrelsemötesprotokoll, ledningsrapporter, finansiell information och redovisningsinformation, efterlevnadsrapporter och personlig information om kunder.
Globala kapitalförvaltare och deras dotterbolag måste visa sina egna tillsynsmyndigheter att de verkar i sina kunders intressen och uppfyller globala KYC-kontroller och anti-penningtvätt.
Globala investeringsteam kommer också att vilja ha information om de börsnoterade företagen i sina portföljer – för det första behöver de veta om deras ägarnivåer kan utlösa upplysningskrav.
I Kina, säger Shen, kan kapitalförvaltare inte dela kundinformation med sitt huvudkontor. Även forskningsanalytikers rapporter, ofta baserade på att kamma allmänt tillgänglig information, kan inte skickas till PM utomlands. "Det finns en oro för att på något sätt dela denna information med offshore-enheter kan skada det allmänna intresset eller det nationella säkerhetsintresset," sa Shen.
Detta försätter globala företag i en bindning, eftersom att avslöja sådan information till sina egna aktieägare vanligtvis krävs enligt lag i västerländska länder, som amerikansk lag om bankholdingbolag eller skatteregler.
Kinas offentliga inställning till data
Xun Yang, partner på Llinks Law China i Shanghai, säger på ytan att Kinas dataregler liknar integritetsbestämmelserna i väst. Men kinesiska myndigheter inramar integritet i samband med allmänintresset och marknadsstabilitet.
Globala företag står inför två uppsättningar dataregleringar i Kina. Det första är personligt skydd.
I väst är en konsuments eller klients samtycke allt som krävs för att dela deras data. Det är inte fallet i Kina, som säger att det finns en offentlig dimension i att exportera sådan data i bulk.
Den andra uppsättningen regler handlar om hur kinesiska finanstillsynsmyndigheter övervakar person- och transaktionsdata, som inte kan släppas eftersom det kan ge utländska regeringar och multinationella företag för mycket information. Peking litar inte på idén om juridisk eller förtroendeingivande separation av intressen. (Det kanske inte hjälper att västerlänningar kallar dessa "kinesiska murar".)
Många Kina
Denna situation kompliceras av mångfalden av kinesiska tillsynsmyndigheter. Finansiella tjänster har flera tillsynsmyndigheter på nationell nivå. Men även läns- och kommunstyrelserna har att säga till om.
"Det finns få detaljer om implementering, inga tidslinjer och olika åsikter bland lokala tillsynsmyndigheter", säger James Zhang, partner för finansiella tjänster på KPMG.
Därför vill tillsynsmyndigheter att all data lagras på land. "Det är inte omöjligt att exportera denna data, men det är väldigt svårt," sa Yang.
Å andra sidan vill Peking attrahera utländskt kapital och multinationella företag och förbli involverad i globala marknader. "Så det finns en väg ut," tillade Yang.
Hitta gemensam mark
Om banker sysslar med personuppgifter för detaljhandeln, är det mycket liten chans att tillsynsmyndigheter kommer att tillåta den informationen att resa. Det finns spelrum om globala företag kan visa att det är för institutionella eller företagskunder, särskilt om dessa är kinesiska banker eller företag som redan är verksamma utomlands. Om de är noterade i USA, Hong Kong eller andra marknader publicerar de redan mycket information i sina årsrapporter, vilket kan räcka.
Globala företag måste också titta på uppgifterna i fråga och ta för vanan att bara skicka allt till ett utländskt datacenter. De kommer att behöva ta reda på vilka efterlevnadsproblem de möter hemma om de inte exporterar Kina-lokal data, vad de har råd att behålla på land, vad som sannolikt anses vara mest känsligt för tillsynsmyndigheter och vad de tror att de kan vinna genom lobbyverksamhet.
De måste också övertyga myndigheterna om att företagets kontroller är robusta, att det respekterar Kinas lagar och att det har en process på plats för att hantera hackar eller dataläckor.
"Tillsynsmyndigheter kommer att överväga motpartens natur", sa KPMG:s Zhang, vilket ger företagen en chans att argumentera för sin sak. "Kina försöker inte frikoppla från världen, så jag tror att vi kommer att se några förändringar. Men det är en smärtsam situation just nu.”
Att göra ärendet till tillsynsmyndigheter
Yang på Llinks Law säger att kinesiska tillsynsmyndigheter välkomnar företag som ber om förtydliganden. De förstår att deras regler är omfattande och de är öppna för praktiska resultat. Tillsynsmyndigheter kanske inte ger ett generellt undantag för dataoffshoring, men de kan samarbeta med företag för att hitta ett sätt att hjälpa dem att följa efterlevnaden på sina hemmamarknader.
ASIFMA:s Shen sa: "Jag talar om för [Kina] tillsynsmyndigheter om varför vi behöver viss information. Om jag inte får informationen bryter jag mot utländska lagar. Så jag förklarar vad dessa lagar är. Det handlar om att hitta en balans.” Hon tillade att kinesiska regler erkänner data som bedöms vara kritiska, så det är inte en enda storlek som passar alla. Tillsynsmyndigheter har ännu inte utfärdat detaljer om hur de klassificerar data, men med tiden kommer sådana detaljer att hjälpa finansiella företag att ta reda på vilken data de kan försöka få undantag från.
"Vi försöker överbrygga klyftan," sa Shen. "Jag hoppas att vi en dag kan ha rundabordssamtal med kinesiska myndigheter för en öppen diskussion."
- myra finansiellt
- ASIFMA
- Asset & Wealth Management
- Bank of America
- blockchain
- blockchain konferens fintech
- chime fintech
- Kina
- coinbase
- coingenius
- Efterlevnad
- kryptokonferens fintech
- Cybersäkerhet
- datum
- dataintegritet
- DigFin
- skisserat
- fintech
- fintech-app
- fintech-innovation
- KPMG
- Llänkar
- OpenSea
- PayPal
- paytech
- payway
- plato
- plato ai
- Platon Data Intelligence
- PlatonData
- platogaming
- razorpay
- regtech
- Revolut
- Ripple
- fyrkantig fintech
- rand
- tencent fintech
- Xero
- zephyrnet
