El principal regulador de internet de China acaba de establecer nuevas normas sobre cómo las empresas financieras deben clasificar, etiquetar y proteger los datos. Las directrices, emitidas el 13 de junio por la Administración Estatal de Ciberespacio de China (CAC), representan el último ladrillo en la creciente pared de regulaciones de ciberseguridad de Pekín.
El marco se centra en la calificación y clasificación de datos dentro del sector de servicios financieros. Ahora, cada entidad financiera que opera en China tiene instrucciones más claras sobre qué se considera datos sensibles, qué se considera datos muy sensibles y qué deben hacer con cada categoría.
Qué requieren realmente las pautas
Las nuevas normas se centran en cómo las instituciones financieras clasifican la información, con especial énfasis en identificar lo que los reguladores llaman “datos importantes”. Ese término tiene peso legal en el ecosistema regulatorio de China, activando obligaciones específicas de cumplimiento en torno al almacenamiento, el procesamiento y especialmente las transferencias transfronterizas.
Los proveedores de servicios de información financiera, incluidas las plataformas que ofrecen datos y análisis de mercado, caen claramente dentro del alcance.
Las directrices refuerzan el cumplimiento de los tres pilares de la ley china de datos: la Ley de Ciberseguridad, la Ley de Seguridad de Datos y la Ley de Protección de Información Personal.
Las transferencias transfronterizas de datos reciben atención especial. Los reguladores han dejado claro que compartir datos financieros críticos fuera de las fronteras de China requiere una navegación cuidadosa, con la seguridad nacional y la protección del consumidor como preocupaciones principales.
Una pila regulatoria que ha estado acumulándose durante años
La Autoridad Nacional de Regulación Financiera (NFRA) introdujo reglas sobre datos bancarios y de seguros en diciembre de 2024. Estas establecieron requisitos específicos del sector para cómo las instituciones financieras tradicionales manejan los datos de clientes y operativos.
El Banco Popular de China (PBOC) entró en escena con sus propias medidas de seguridad de datos, que entrarán en vigor el 30 de junio de 2025.
Para el 24 de enero de 2026, el CAC ya había distribuido un borrador dirigido específicamente a proveedores de servicios de información financiera. Ese borrador establecía normas para clasificar los datos por nivel de riesgo, lo que señalaba que las directrices finales emitidas en junio estaban por llegar.
Qué está notablemente ausente y qué significa para los inversores
Las directrices no mencionan específicamente los tokens de criptomoneda ni los activos digitales. La omisión sugiere que Pekín continúa tratando los servicios financieros tradicionales y los activos digitales como dominios regulatorios separados. El marco de clasificación de datos se aplica a bancos, aseguradoras, proveedores de datos de mercado y entidades similares.
Para las empresas financieras tradicionales, la carga de cumplimiento es real y creciente. Las empresas extranjeras que operan en China enfrentan desafíos particulares, ya que las restricciones sobre la transferencia de datos transfronterizos podrían complicar todo, desde los informes rutinarios a las empresas matrices hasta el intercambio de análisis con equipos globales.
La capa regulatoria, las normas de la NFRA, las medidas del PBOC y ahora las directrices del CAC crean una matriz de cumplimiento compleja.