Aturan perbankan terbuka CFPB: Empat hal yang harus diperhatikan pada 1033

Peraturan perbankan terbuka yang sangat dinanti-nantikan oleh Biro Perlindungan Keuangan Konsumen diharapkan secara radikal mengubah cara konsumen mengakses data keuangan mereka. Aturan terakhir, yang diperkirakan akan dikeluarkan CFPB pada hari Senin, akan berdampak pada seluruh ekosistem perbankan dari Wall Street hingga Main Street.

Perbankan terbuka adalah praktik berbagi data keuangan yang disimpan di bank secara aman dengan bank lain atau perusahaan pihak ketiga. Itu usulan CFPB akan mewajibkan bank untuk berbagi data pada rekening giro, kartu prabayar, kartu kredit, dan dompet digital dengan tujuan mendorong persaingan sekaligus melindungi privasi konsumen.

Bank-bank khawatir peraturan ini akan membuat mereka menghadapi tanggung jawab yang lebih besar atas potensi pelanggaran data dan penipuan, dan juga memerlukan pengawasan yang mahal terhadap perusahaan fintech pihak ketiga. Berdasarkan proposal yang dikeluarkan CFPB setahun yang lalubank tidak akan memiliki kemampuan untuk menutup biaya. Kelompok perdagangan bank telah meminta CFPB untuk membiarkan mereka membebankan biaya namun Direktur CFPB Rohit Chopra kemungkinan tidak akan melakukan hal tersebut karena ia telah memicu badai dengan industri. atas apa yang disebut “biaya sampah.“

“CFPB menyediakan peraturan yang berlaku, dan meningkatkan potensi privasi konsumen dan keamanan data,” kata Corey Stone, penasihat senior di Financial Health Network dan mantan asisten direktur dan penasihat senior di CFPB. “Setiap orang harus menyesuaikan diri.”

CFPB diberi wewenang oleh Kongres berdasarkan Pasal 1033 Undang-Undang Dodd-Frank tahun 2010 untuk memberlakukan aturan hak data konsumen. Penyusunan peraturan sebenarnya tidak dimulai dengan sungguh-sungguh sampai Chopra mengambil alih badan tersebut pada tahun 2021. Awal yang terlambat ini telah memungkinkan lebih banyak pertukaran data dan inovasi di AS dibandingkan dengan Inggris dan Uni Eropa, di mana peraturan akses data lebih bersifat preskriptif. kata Batu.

Aturan terakhir ini diharapkan dapat menghapuskan praktik screen-scraping, sebuah cara yang umum dilakukan konsumen untuk memberikan akses terhadap data mereka kepada lembaga non-bank dengan membagikan kredensial login perbankan mereka. Aturan CFPB akan melanjutkan penerapan API (antarmuka pemrograman aplikasi) yang aman.

“CFPB berupaya memastikan keseragaman dan kepastian akses di satu sisi, dan mendorong inovasi serta mencegah screen scraping di sisi lain,” katanya. “Mereka melihat risiko terbesar yang terkait dengan pembagian informasi keuangan dan juga manfaat terbesarnya.”

CFPB berencana membatasi penjualan atau penyalahgunaan data, melarang perusahaan memasukkan data konsumen ke dalam algoritma atau kecerdasan buatan untuk aktivitas yang tidak diizinkan oleh konsumen, seperti pemasaran yang ditargetkan. Ribuan perusahaan akan terkena dampaknya termasuk bank regional dan komunitas, penerbit kartu kredit, perusahaan teknologi keuangan, dan agregator data.

Berikut adalah beberapa isu utama yang diantisipasi bank dalam aturan final perbankan terbuka 1033:

Perlindungan dari penipuan

Itu Usulan CFPB Oktober lalu tidak menjawab pertanyaan tentang tanggung jawab, sehingga menempatkan bankir dalam bahaya jika konsumen dirugikan. Proposal CFPB memperjelas bahwa bank bertanggung jawab untuk mengawasi mitra fintech mereka panduan antarlembaga mengenai risiko pihak ketiga.

Para bankir telah meminta CFPB untuk menyatakan secara eksplisit bahwa tanggung jawab ada pada pihak ketiga atau agregator data jika kredensial konsumen disalahgunakan atau dicuri dalam pelanggaran data dan konsumen menderita kerugian.

“Sayangnya, banklah yang diharapkan dapat memenuhi kebutuhan nasabahnya,” kata Mickey Marshall, asisten wakil presiden dan dewan regulasi di Independent Community Bankers of America. “Bahkan dalam kasus di mana pelakunya bukan pelaku kejahatan dan pihak ketiga melakukan penipuan yang sah atau pelanggaran data yang mengakibatkan informasi disusupi, nasabah akan berkata kepada bank, ‘Hei, uang saya dicuri,’ dan bank membuat pelanggan utuh.”

Bank juga ingin CFPB mengamanatkan bahwa pihak ketiga dan agregator data menyatakan bahwa mereka mempunyai modal yang cukup dan memiliki asuransi ganti rugi yang memadai – dan bahwa mereka menerima kewajiban tanggung jawab. Bank juga ingin CFPB mempublikasikan model pengungkapan dengan bahasa tertentu yang menyatakan pihak ketiga menyatakan penerimaan tanggung jawab mereka dalam keadaan tertentu seperti pelanggaran data.

Sebagian besar ahli berpendapat CFPB akan mematuhi usulannya dan tidak melakukan perubahan spesifik terhadap ketentuan pertanggungjawaban.

Berdasarkan proposal tersebut, CFPB hanya menyatakan bahwa semua perusahaan diharuskan mematuhi persyaratan keamanan data Gramm-Leach-Bliley Act untuk melindungi informasi sensitif. Penyedia data yang tidak tunduk pada Gramm-Leach-Bliley harus mematuhi standar Komisi Perdagangan Federal untuk melindungi informasi pelanggan.

Marshall membandingkan kurangnya tanggung jawab dengan cara bank saat ini menangani masalah penipuan cek yang meluas.

“Dalam penipuan cek, bank yang nasabahnya dicuri ceknya itulah yang menjadikan nasabah tersebut utuh dan kemudian mereka harus pergi dan mencari uang dari bank yang menerima cek palsu tersebut,” kata Marshall. “Hal yang sama terjadi di sini. Bank membuat nasabahnya utuh dan sekarang mereka sedang mengantri untuk mencoba pulih dari fintech itu, yang mungkin tidak akan bisa mereka lakukan.”

Penggunaan data sekunder

Direktur CFPB Rohit Chopra mengatakan bahwa perusahaan tidak boleh mendapatkan akses ke data konsumen untuk melakukan penjualan silang produk atau layanan lain atau untuk mendapatkan keuntungan dari penjualan data. Namun, banyak ahli merekomendasikan agar CFPB mengizinkan beberapa penggunaan data sekunder terutama untuk tujuan penelitian dan penggunaan terbatas untuk pengujian produk model penjaminan emisi.

“Model harus belajar, dan untuk belajar, model harus mendapatkan data,” kata Stone. “Dan di situlah kegunaan sekunder berperan.”

Jason Rosen, pendiri dan CEO Prism Data, sebuah perusahaan penjaminan arus kas yang berbasis di New York, mengatakan proposal CFPB membatasi penggunaan sekunder tetapi banyak akademisi dan pendukung konsumen, serta pelaku industri, mendukung penggunaan data pada dasar yang tidak teridentifikasi untuk mengembangkan produk dan layanan baru atau meningkatkan produk dan layanan yang sudah ada.

“Jika Anda melihat tujuan yang dinyatakan biro untuk pembuatan peraturan seputar persaingan yang lebih besar, saya pikir standar yang lebih masuk akal mengenai penggunaan sekunder benar-benar diperlukan agar tujuan tersebut dapat tercapai,” kata Rosen. “Hal ini memberi saya alasan untuk optimis bahwa peraturan akhir akan lebih permisif dibandingkan rancangan peraturan awal.”

Misha Esipov, salah satu pendiri dan CEO Nova Credit, sebuah perusahaan penjaminan arus kas yang berbasis di San Francisco, mengatakan petugas risiko kredit ingin melihat kinerja data dari waktu ke waktu untuk menyempurnakan model dan kebijakan kredit mereka.

“Saya pikir jika digunakan secara ekstrem, penggunaan sekunder dapat dengan cepat menjadi pelanggaran privasi. Hanya karena saya menautkan data saya satu kali, tidak berarti data tersebut dapat digunakan di mana pun, kapan pun,” kata Esipov. “Tetapi menurut saya ada kasus penggunaan sekunder yang penting bagi keamanan dan kesehatan sektor perbankan kita. Jika Anda tidak dapat menggunakan kembali informasi ini untuk memahami seberapa baik informasi tersebut dapat memisahkan risiko dan untuk mengembangkan produk analitis, maka kemampuan Anda untuk meyakinkan risiko petugas yang pertama kali menggunakannya akan mengalami hambatan yang signifikan dan hal ini akan sangat memperlambat penerapannya oleh industri,”

Kemampuan untuk membebankan biaya yang wajar

Bank telah meminta CFPB untuk dapat membebankan biaya yang wajar dan proporsional kepada fintech pihak ketiga dan agregator data untuk mengakses data. Bank-bank mengatakan mereka perlu mengimbangi biaya implementasi yang signifikan dalam menciptakan antarmuka pengembang dan menanggapi potensi membanjirnya permintaan data. Bank juga diharapkan menanggung biaya untuk menanggapi pertanyaan dan litigasi layanan pelanggan jika konsumen menggugat bank dengan mengklaim bahwa bank tidak melindungi data mereka dari pelanggaran atau pencurian pihak ketiga.

Bank telah mengatakan kepada CFPB bahwa mereka mungkin harus membebankan biaya kepada konsumen melalui biaya pemeliharaan rekening yang lebih tinggi atau bahkan secara tidak langsung melalui pengurangan layanan.

“Membebankan biaya kepada konsumen atau mengurangi layanan akan menjadi hasil buruk yang melemahkan tujuan pembuatan peraturan Pasal 1033,” kata Brian Fritzsche, wakil presiden dan penasihat umum asosiasi di Consumer Bankers Association.

Pembenaran untuk mengenakan biaya adalah untuk mendistribusikan biaya berbasis pasar dan alokasi risiko, dan mengimbangi biaya operasional penyediaan data dalam ekosistem akses data baru, kata kelompok perdagangan bank. Mereka memperkirakan bahwa berbagi data akan merugikan beberapa bank hingga puluhan juta dolar.

Kelompok perdagangan bank juga mencatat adanya ketidakseimbangan dalam usulan CFPB mengenai pembebanan biaya.

Proposal CFPB memperbolehkan agregator data mengenakan biaya namun bank tidak dapat melakukan hal tersebut. Dalam surat komentar atas proposal tersebut, kelompok perdagangan bank mengatakan bahwa pihak ketiga kemungkinan besar akan membebankan biaya yang dibebankan oleh agregator data kepada konsumen, sehingga menciptakan rejeki nomplok anti persaingan bagi agregator data dengan mengorbankan pasar yang kompetitif.

Menanggapi permintaan data

Bank juga akan melihat apakah CFPB mengubah persyaratannya agar bank merespons permintaan dalam waktu 3,5 detik (secara teknis proposal CFPB mengatakan 3.500 milidetik.) Biro juga mensyaratkan tingkat respons yang akurat sebesar 99,5%. Mengirim paket data berisi data transaksi bank selama dua tahun bukanlah hal yang mudah untuk dilakukan dalam jangka waktu tersebut dan dengan tingkat akurasi seperti itu, kata para bankir.

Bank diwajibkan untuk mengautentikasi dan mengidentifikasi permintaan konsumen, namun saat ini belum jelas apakah proses tersebut akan mudah bagi konsumen atau akan menimbulkan hambatan tertentu.

Namun, bank dapat menanggapi permintaan data dengan mengirimkan SMS, email, atau panggilan telepon ke pelanggannya untuk memeriksa ulang apakah pelanggan tersebut benar-benar mengizinkan data mereka dibagikan.

“Itu adalah sesuatu yang bagus dalam proposal tersebut, yaitu bank dapat memiliki respon yang valid untuk mengecek nasabahnya,” kata Marshall. “Ada pro dan kontra mengenai hal ini. Di satu sisi, hal ini menimbulkan lebih banyak gesekan karena ini merupakan langkah lain dari proses tersebut, namun setidaknya bank dapat memastikan bahwa nasabah mereka memang berniat untuk membagikan informasi tersebut.”

Berdasarkan proposal tersebut, fintech atau bank pihak ketiga akan mendapatkan otorisasi dari pelanggan dan memberikan pengungkapan, dan pelanggan merespons dengan menandatangani atau memverifikasi persetujuan mereka, yang kemudian dikirim oleh pihak ketiga ke bank konsumen.

“Bank tentu saja merasa perlu mengambil langkah dalam proses yang mengatakan, ‘Tidak,’ kata Stone. ‘Bagaimana hal itu akan terjadi adalah sebuah pertanyaan terbuka.’