如果这是亚洲世纪,那么对于金融机构来说,它正在成为亚洲数据保护监管的世纪。 如果说实施数字战略有一个最大的障碍,那就是该地区围绕数据的市场和规则的拼凑。
中国并不是唯一一个为了将数据保留在国内而设置更多障碍和规则的国家。 但它的方法是最全面的。 而且作为世界第二大经济体,它太大了,不容忽视。
银行和资产管理公司正在努力应对数据主权规则。 对于整个行业来说,情况可能会变得更难,而不是更容易,这将削弱公司按照自己的意愿发展或服务客户的能力。
他们最好的反应是让各种监管机构参与进来,确定在共享和保护数据方面什么是优先事项或关键任务,并找到共同点——无论多么狭窄。
数据法的碎片化
在亚洲证券投资和金融市场协会(ASIFMA)最近组织的一次会议上,数据监管成为焦点。消息:这个问题没有简单的解决办法。
该行业最初希望数据隐私的国际框架能够管理跨境流动。
然而,这些标准是由西方或富裕国家机构(如经合组织)制定的。 亚洲和新兴市场国家的政府开始感觉到它们被利用了,原始数据离开了它们的边界,送到了发达国家的服务器上,在那里它们将被处理和丰富,并变得有价值。
许多国家的监管机构开始编写自己的规则。
“这导致数据隐私和跨境数据成为金融机构面临的主要风险,”美国银行驻新加坡全球合规与运营风险总监 Tauseef Hussain 表示。
这只是这一趋势的早期阶段,而不是结论。监管机构继续修改其规则,以扩大其范围并加强执行力度。
区域范围内的挑战越来越多
全球机构都在努力跟上。 个人数据的定义现在无处不在,因此很难建立一个可扩展的隐私控制环境。 合规成本越来越高。
除了合规性之外,依赖美国和欧洲开发的以云为中心的模型的公司还遵循在不同地方收集、处理和保留数据的商业模型。这种模式不再适用于越来越多的市场,这意味着公司的运营成本也变得越来越高。
马来西亚等一些新兴市场缺乏适当管理公司数据控制的能力,因此他们制定了非常严格的法律,要求任何离岸外包都必须根据具体情况获得批准。 逐渐地,此类制度可能会演变为更加基于规则的方法,但没有人知道何时。
全球公司有能力通过本地解决方案来处理马来西亚规模的例外情况,因为这些市场规模较小。但随后印度等大国也纷纷效仿。这些国家不仅制定了广泛的规则,而且没有就企业应如何实施这些规则提供详细指导——这也是全球企业困惑的另一个根源。
如今,即使是香港和新加坡等金融中心 — — 这些通常会完全融入全球标准的地方 — — 也正在制定自己的数据主权规则,或者正在研究这些规则。
公司争先恐后地向监管机构表明他们认真对待与数据相关的问题,并解释在什么情况下将数据转移到海外对他们来说至关重要。 最重要的论点是,全球公司需要向本国监管机构报告当地数据。
“您可以展示导出的数据如何增强公司的合规性和风险管理,从而帮助当地监管机构,”Hussain 建议道。
中国的扩张规则
没有什么地方比中国更重要,也更难理解。
香港 ASIFMA 董事总经理兼资产管理组负责人 Eugenie Shen 表示,自 2016 年以来,北京颁布了一系列越来越具有挑战性的立法:网络安全法、数据安全法,以及今年的隐私法。 这些涵盖电子或其他形式的任何信息。
“我们谈论的是广阔的宇宙,”她在 ASIFMA 活动上说道。
这给在中国大陆运营、运营本地投资组合和管理本地客户资金的全球基金公司带来了问题。
全球企业陷入困境
他们的母国总部通常希望子公司提供有关当地活动的大量数据:董事会会议记录、管理报告、财务和会计信息、合规报告和客户个人信息。
全球资产管理公司及其子公司必须向自己的监管机构表明,他们的运营符合客户利益,并通过了全球 KYC 和反洗钱检查。
全球投资团队还需要有关其投资组合中上市公司的信息——一方面,他们需要知道其所有权水平是否会触发披露要求。
沉说,在中国,资产管理公司不能与其总部共享客户信息。 即使是研究分析师的报告,通常基于梳理公开可用的信息,也不能发送给海外的 PM。 “有人担心以某种方式与离岸实体共享这些信息可能会损害公共利益或国家安全利益,”沉说。
这使跨国公司陷入困境,因为西方国家的法律通常要求向自己的股东披露此类信息,例如美国银行控股公司法或税务规则。
中国对数据的公开态度
上海通联律师事务所合伙人杨勋表示,从表面上看,中国的数据规则与西方的隐私法规相似。 但中国当局在公共利益和市场稳定的背景下构建隐私。
跨国公司在中国面临两套数据法规。 首先是个人防护。
在西方,共享数据只需要消费者或客户的同意。 中国的情况并非如此,中国表示批量导出此类数据存在公共层面。
第二套规则涉及中国金融监管机构如何监管个人和交易数据,这些数据不能公开,因为它可能会给外国政府和跨国公司提供太多信息。 北京不相信法律或信托利益分离的想法。 (西方人将这些称为“中国墙”可能无济于事。)
许多中国人
这种情况因中国监管机构的多样性而变得复杂。 金融服务在国家层面有多个监管机构。 但省市政府也有发言权。
毕马威金融服务合伙人詹姆斯·张(James Zhang)表示:“实施细节很少,没有时间表,地方监管机构意见不一。”
因此,监管机构希望所有数据都存储在岸上。 “导出这些数据并非不可能,但非常困难,”杨说。
另一方面,北京确实希望吸引外资和跨国企业,并继续参与全球市场。 “所以有一条出路,”杨补充道。
找到共同点
如果银行正在处理零售个人数据,监管机构允许这些信息传播的可能性很小。 如果全球公司可以证明它是为机构或企业客户服务的,则存在回旋余地,特别是如果这些是中资银行或已经在海外开展业务的公司。 如果他们在美国、香港或其他市场上市,那么他们已经在年报中发布了很多信息,这可能就足够了。
全球公司还必须查看有问题的数据,并改掉仅将所有内容运送到海外数据中心的习惯。 他们将不得不弄清楚如果他们不出口中国本地数据,他们在国内会面临哪些合规问题,他们可以负担在国内保留哪些内容,哪些内容可能被监管机构认为最敏感,以及他们认为自己可以做哪些事情通过游说取胜。
他们还需要让当局相信该公司的控制是强有力的,它尊重中国的法律,并且它有一个处理黑客或数据泄露的流程。
“监管机构会考虑交易对手的性质,”毕马威的张说,这让公司有机会为自己的案子辩护。 “中国并没有试图与世界脱钩,所以我认为我们会看到一些变化。 但目前这是一个痛苦的情况。”
向监管机构提出理由
通力律师事务所的杨先生表示,中国监管机构欢迎企业要求澄清。他们了解自己的规则范围广泛,并且对实际结果持开放态度。监管机构可能不会对数据离岸提供全面豁免,但他们可能会与企业合作,找到一种方法来帮助它们遵守本国市场的规定。
ASIFMA 的沉说:“我向 [中国] 监管机构说明我们为什么需要某些信息。 如果我没有得到这些信息,我就违反了外国法律。 所以我解释了这些法律是什么。 这是关于找到一个平衡点。” 她补充说,中国的规则承认被认为是关键的数据,所以它不是一刀切的。 监管机构尚未公布他们如何对数据进行分类的细节,但随着时间的推移,这些细节将帮助金融公司弄清楚他们可以尝试获得哪些数据豁免。
“我们试图弥合差距,”沉说。 “我希望有一天我们可以与中国当局举行圆桌会议,进行公开讨论。”
