Dự thảo quy tắc an ninh mạng của Trung Quốc đặt ra rủi ro cho các công ty tài chính
HÔNG KÔNG — Các quy tắc an ninh mạng mà Trung Quốc đề nghị cho các công ty tài chính có thể gây rủi ro cho hoạt động của các công ty phương Tây bằng cách làm cho dữ liệu của họ dễ bị tấn công bởi những bên khác, theo một nhóm vận động hành lang hàng đầu.
Đề nghị quy tắc mới nhất này được đưa ra vào thời điểm một loạt ngân hàng đầu tư và nhà quản lý tài sản phương Tây đang mở rộng sự hiện diện của họ ở Trung Quốc, bằng cách thành lập các đơn vị thuộc sở hữu toàn bộ hoặc bằng cách chiếm cổ phần lớn hơn trong các liên doanh hiện có.
Hôm 29/04, Ủy ban Điều tiết Chứng khoán Trung Quốc (CSRC) đã công bố dự thảo Các biện pháp Hành chính để Quản lý An ninh Mạng trong Ngành Chứng khoán và Giao dịch Tương lai, và tiến hành một cuộc tham vấn công khai kéo dài một tháng về các đề nghị này.
Bản dự thảo quy tắc này tìm cách bắt buộc các ngân hàng đầu tư, nhà quản lý tài sản, và các công ty tương lai có hoạt động tại Trung Quốc phải chia sẻ dữ liệu với CSRC, cho phép các cuộc kiểm tra do cơ quan quản lý tiến hành, và giúp thiết lập một trung tâm sao lưu dữ liệu tập trung.
Cả hai ngân hàng Morgan Stanley và HSBC đều nằm trong số những doanh nghiệp được hưởng lợi trong những tháng gần đây từ việc Trung Quốc mở cửa lĩnh vực tài chính cho người ngoại quốc, theo sau các ngân hàng Goldman Sachs và JPMorgan, vốn giành được sự đồng ý để điều hành các đơn vị địa phương từ năm ngoái.
Hôm 27/05, nhóm vận động hành lang, Hiệp hội Thị trường Tài chính và Ngành Chứng khoán Á Châu (ASIFMA), trong một bức thư gửi tới CSRC, đã bày tỏ mối lo ngại của các thành viên của mình về bản dự thảo quy tắc này khi họ lường trước được rủi ro trong việc chia sẻ dữ liệu nhạy cảm.
Nội dung bức thư trên đã được Reuters xem xét và chưa từng được đưa tin trước đây.
ASIFMA, có hơn 160 thành viên gồm các tổ chức tài chính hàng đầu từ cả bên mua và bên bán, các ngân hàng, công ty luật, và nhà cung cấp dịch vụ cơ sở hạ tầng thị trường, đã không xác nhận bức thư này và từ chối bình luận về nội dung của nó.
Các quy tắc dữ liệu mới được đề nghị cho các công ty tài chính cũng xảy ra trong bối cảnh Bắc Kinh thắt chặt việc giám sát bảo mật dữ liệu chủ yếu trong lĩnh vực công nghệ như một phần của cuộc đàn áp quy định rộng hơn, vốn đã làm chao đảo thị trường chứng khoán nước này và làm đình trệ việc niêm yết các công ty ở ngoại quốc.
‘Rủi ro rất lớn’
Bản dự thảo các quy tắc này yêu cầu chia sẻ dữ liệu của các công ty tài chính cho các mục đích khác nhau, nhưng nhóm vận động hành lang đang lo ngại việc chuyển dữ liệu nhạy cảm sẽ khiến các công ty trong lĩnh vực này dễ bị tấn công bởi “tin tặc và các tác nhân xấu khác.”
Các ngân hàng toàn cầu và các nhà quản lý tài sản cũng đang phản đối một yêu cầu giới thiệu một trung tâm sao lưu dữ liệu toàn ngành.
Bức thư của ASIFMA cho biết, “Điều này không chỉ gây rủi ro rất lớn cho tất cả các tổ chức cốt lõi và các tổ chức hoạt động trên cơ sở cá nhân, mà còn mang lại rủi ro hệ thống đáng kể cho ngành ở Trung Quốc và toàn cầu do tính liên kết của ngành tài chính toàn cầu, nếu dữ liệu đó bị xâm phạm hoặc rò rỉ.”
Bản dự thảo các quy tắc cũng quy định rằng CSRC có thể tiến hành kiểm tra thâm nhập — một cuộc tấn công mạng mô phỏng chống lại hệ thống vận hành này — và thực hiện quét hệ thống về chứng khoán, các giao dịch tương lai, và các công ty quỹ.
Tuy nhiên, ASIFMA đã chú trọng vào lo ngại của các ngân hàng toàn cầu rằng kiểm tra thâm nhập do cơ quan quản lý dẫn đầu hoặc do cơ quan quản lý ủy quyền sẽ gây ra “rủi ro thực sự cho các công ty do tính chất có khả năng gây gián đoạn của kiểm tra thâm nhập và sự nhạy cảm của các kết quả kiểm tra.”
Nhóm vận động này cũng cho biết thêm: “Việc kiểm tra các hệ thống và ứng dụng mà không có bối cảnh hoạt động có thể sẽ tạo ra sự gián đoạn đáng kể cho các hoạt động của công ty.”
Cơ quan quản lý này chưa đặt ra bất kỳ mốc thời gian nào cho việc ban hành các quy tắc cuối cùng hoặc việc thi hành các quy tắc này.
