Der jüngste Regulierungsvorschlag kommt zu einer Zeit, in der eine Reihe von westlichen Investmentbanken und Vermögensverwaltern ihre Präsenz in China ausbauen, entweder durch die Gründung von hundertprozentigen Einheiten oder durch die Übernahme eines größeren Anteils an bestehenden Joint Ventures.
Die chinesische Wertpapieraufsichtsbehörde (China Securities Regulatory Commission, CSRC) hat am 29. April den Entwurf der Verwaltungsmaßnahmen für die Verwaltung der Netzwerksicherheit in der Wertpapier- und Futures-Branche veröffentlicht und eine einmonatige öffentliche Konsultation zu den Vorschlägen angeboten.
Der Entwurf sieht vor, dass Investmentbanken, Vermögensverwalter und Futures-Firmen, die in China tätig sind, Daten mit der CSRC austauschen, Tests unter der Leitung der Aufsichtsbehörde zulassen und bei der Einrichtung eines zentralen Zentrums für die Datensicherung helfen müssen.
Morgan Stanley und HSBC gehören zu denjenigen, die in den letzten Monaten von Chinas Öffnung des Finanzsektors für Ausländer profitiert haben, nach Goldman Sachs und JPMorgan, die im letzten Jahr die Genehmigung erhielten, lokale Einheiten zu betreiben.
Die Asia Securities Industry and Financial Markets Association (ASIFMA), eine Lobbygruppe, hat in einem Schreiben vom 27. Mai an die CSRC die Bedenken ihrer Mitglieder über den Entwurf der Regeln geäußert, da sie Risiken bei der Weitergabe sensibler Daten befürchten.
Über den Inhalt des Briefes, der von Reuters eingesehen wurde, wurde bisher nicht berichtet.
Die ASIFMA, der mehr als 160 Mitglieder angehören, darunter führende Finanzinstitute der Käufer- und Verkäuferseite, Banken, Anwaltskanzleien und Anbieter von Marktinfrastrukturdienstleistungen, hat den Brief nicht bestätigt und lehnte es ab, den Inhalt zu kommentieren.
Auf Anfrage von Reuters erklärte die CSRC, dass die ASIFMA ihre Stellungnahme am 31. Mai, zwei Tage nach Ablauf der Konsultationsfrist, eingereicht habe.
"Die CSRC fügte hinzu, dass die Regulierungsbehörde "die Meinungen und Vorschläge sorgfältig prüft" und weiterhin mit den Verbänden kommunizieren wird.
Die vorgeschlagenen neuen Datenregeln für Finanzunternehmen kommen auch vor dem Hintergrund der verschärften Aufsicht Pekings über die Datensicherheit vor allem im Tech-Sektor als Teil einer breiteren regulatorischen Razzia, die die Aktienmärkte des Landes in Aufruhr versetzt und die Börsennotierung von Offshore-Unternehmen ins Stocken gebracht hat.
RIESIGE RISIKEN
Die Lobbygruppe ist jedoch besorgt, dass die Weitergabe sensibler Daten die Unternehmen des Sektors anfällig für "Hacker und andere schlechte Akteure" macht.
Globale Banken und Vermögensverwalter wehren sich auch gegen die Forderung, ein branchenweites Datensicherungszentrum einzuführen.
"Dies birgt nicht nur enorme Risiken für alle Kerninstitute und operativen Institutionen auf individueller Basis, sondern birgt angesichts der Verflechtung des globalen Finanzsektors auch erhebliche systemische Risiken für den Sektor in China und weltweit, wenn die Daten kompromittiert werden oder durchsickern", heißt es in dem Schreiben der ASIFMA.
Der Regelentwurf sieht auch vor, dass die CSRC Penetrationstests - einen simulierten Cyberangriff auf das operative System - und System-Scans bei Wertpapier-, Futures- und Fondsfirmen durchführen kann.
Die ASIFMA wies jedoch auf die Bedenken globaler Banken hin, dass Penetrationstests, die von der Aufsichtsbehörde durchgeführt oder in Auftrag gegeben werden, "aufgrund des potenziell störenden Charakters von Penetrationstests und der Sensibilität der Testergebnisse echte Risiken für die Unternehmen darstellen".
"Das Testen von Systemen und Anwendungen ohne operativen Kontext könnte zu erheblichen Störungen des Geschäftsbetriebs führen", so die Lobbygruppe weiter.
Die Aufsichtsbehörde hat keinen Zeitplan für die Veröffentlichung der endgültigen Regeln oder für deren Umsetzung festgelegt.
