O principal regulador de internet da China acabou de estabelecer novas regras sobre como as empresas financeiras devem classificar, rotular e proteger dados. As diretrizes, emitidas em 13 de junho pela Administração do Ciberespaço da China (CAC), representam o último tijolo na crescente parede de regulamentações de cibersegurança de Pequim.
O framework concentra-se na classificação e categorização de dados dentro do setor de serviços financeiros. Agora, todas as entidades financeiras operando na China têm instruções mais claras sobre o que é considerado dado sensível, o que é considerado dado muito sensível e o que devem fazer em relação a cada categoria.
O que as diretrizes realmente exigem
As novas regras focam na forma como as instituições financeiras categorizam informações, com ênfase particular em identificar o que os reguladores chamam de “dados importantes”. Esse termo possui peso legal no ecossistema regulatório da China, acionando obrigações específicas de conformidade em relação ao armazenamento, processamento e, especialmente, transferências transfronteiriças.
Provedores de serviços de informações financeiras, incluindo plataformas que fornecem dados e análise de mercado, estão claramente dentro do escopo.
As diretrizes reforçam a conformidade com os três pilares da lei chinesa de dados: a Lei de Segurança Cibernética, a Lei de Segurança de Dados e a Lei de Proteção de Informações Pessoais.
As transferências transfronteiriças de dados recebem atenção especial. Os reguladores deixaram claro que compartilhar dados financeiros críticos fora das fronteiras da China exige navegação cuidadosa, com segurança nacional e proteção do consumidor citados como as principais preocupações.
Uma pilha regulatória que vem se acumulando há anos
A Autoridade Nacional de Regulação Financeira (NFRA) introduziu regras sobre dados bancários e de seguros em dezembro de 2024. Essas regras estabeleceram requisitos específicos por setor sobre como as instituições financeiras tradicionais lidam com dados de clientes e operacionais.
O Banco Popular da China (PBOC) entrou em cena com suas próprias medidas de segurança de dados, programadas para entrar em vigor em 30 de junho de 2025.
Até 24 de janeiro de 2026, o CAC já havia divulgado um rascunho especificamente voltado para provedores de serviços de informação financeira. Esse rascunho estabelecia regras para classificar dados por nível de risco, sinalizando que as diretrizes finais, emitidas em junho, estavam por vir.
O que está notavelmente ausente e o que isso significa para os investidores
As diretrizes não mencionam especificamente tokens de criptomoeda ou ativos digitais. A omissão sugere que Pequim continua a tratar os serviços financeiros tradicionais e os ativos digitais como domínios regulatórios separados. O quadro de classificação de dados aplica-se a bancos, seguradoras, provedores de dados de mercado e entidades semelhantes.
Para empresas financeiras tradicionais, a carga de conformidade é real e crescente. Empresas estrangeiras operando na China enfrentam desafios específicos, pois as restrições à transferência de dados transfronteiriças podem complicar desde relatórios rotineiros para empresas-mãe até o compartilhamento de análises com equipes globais.
A camada regulatória, as regras da NFRA, as medidas do PBOC e agora as diretrizes do CAC criam uma matriz de conformidade complexa.