Найвищий інтернет-регулятор Китаю ввів нові правила щодо того, як фінансові компанії мають сортувати, позначати та захищати дані. Ці рекомендації, видані 13 червня Адміністрацією кіберпростору Китаю (CAC), є останнім кирпичем у зростаючій стіні кібербезпеки Пекіна.
Фреймворк зосереджений на оцінці та класифікації даних у секторі фінансових послуг. Кожна фінансова структура, що діє в Китаї, тепер має чіткі інструкції щодо того, що вважається конфіденційними даними, що вважається дуже конфіденційними даними, і що вони повинні робити щодо кожної категорії.
Що насправді вимагають ці рекомендації
Нові правила зосереджуються на тому, як фінансові установи класифікують інформацію, зокрема на визначенні того, що регулятори називають «важливою даними». Цей термін має юридичну вагу в регуляторній екосистемі Китаю і викликає певні обов’язки щодо дотримання вимог щодо зберігання, обробки та особливо транскордонних переказів.
Постачальники фінансової інформації, включаючи платформи, що надають ринкові дані та аналіз, повністю підпадають під дію цього регулювання.
Рекомендації підсилюють дотримання трьох основних принципів китайського законодавства про дані: Закону про кібербезпеку, Закону про безпеку даних та Закону про захист особистої інформації.
Міжнародні перекази даних отримують особливу увагу. Регулятори чітко зазначили, що обмін критичною фінансовою інформацією за межами Китаю вимагає обережного підходу, з посиланням на національну безпеку та захист споживачів як на основні проблеми.
Регуляторний стек, який накопичувався роками
Національна фінансова регуляторна влада (NFRA) ввела правила щодо банківських та страхових даних у грудні 2024 року. Вони встановили специфічні для галузі вимоги щодо того, як традиційні фінансові установи обробляють дані клієнтів та операційні дані.
Національний банк Китаю (PBOC) ввійшов у картину зі своїми заходами з безпеки даних, які вступлять у силу 30 червня 2025 року.
До 24 січня 2026 року CAC вже розіслав проект, спрямований на постачальників фінансової інформаційної послуги. Цей проект встановлював правила класифікації даних за рівнем ризику, що свідчило про те, що остаточні рекомендації, які будуть випущені у червні, вже підготувалися.
Чого відсутньо та як це впливає на інвесторів
У напрямках не згадуються криптовалютні токени чи цифрові активи. Ця прогалина свідчить про те, що Пекін продовжує розглядати традиційні фінансові послуги та цифрові активи як окремі регуляторні сфери. Каркас класифікації даних поширюється на банки, страхові компанії, постачальників ринкових даних та подібні суб’єкти.
Для традиційних фінансових компаній обов’язки щодо відповідності є реальними і зростають. Іноземні компанії, які діють у Китаї, стикаються з особливими викликами, оскільки обмеження на транскордонний переказ даних можуть ускладнити все — від регулярних звітів батьківським компаніям до обміну аналітикою з глобальними командами.
Регуляторне шарування, правила NFRA, заходи PBOC та тепер рекомендації CAC створюють складну матрицю відповідності.