Apa pengaruh aturan perbankan terbuka CFPB terhadap privasi dan keamanan data

Biro Perlindungan Keuangan Konsumen (CFPB) merilis peraturan perbankan terbuka finalnya pada hari Selasa, yang mewajibkan bank selama enam tahun ke depan untuk mengizinkan pelanggan berbagi informasi keuangan mereka dengan pihak ketiga seperti penyedia aplikasi penganggaran, pemberi pinjaman, dan bahkan lembaga keuangan lainnya.

Peraturan ini dirancang untuk memberi orang Amerika hak yang lebih besar atas data keuangan mereka, mendorong privasi data melalui peraturan transparansi baru dan keamanan data dengan standar yang ada dari Komisi Perdagangan Federal dan regulator yang berhati-hati.

Sementara perbankan mengeluhkan hal itu aturan tersebut membuat mereka bertanggung jawab atas penanganan data konsumen oleh pihak ketiga, aturan ini juga membahas masalah keamanan dan privasi lainnya. Kedua, menurut CFPB, peraturan tersebut memberikan hak privasi yang lebih besar kepada konsumen dan keamanan yang lebih besar dengan membatasi cara yang dapat digunakan pihak ketiga untuk mengakses data ini hanya pada opsi paling aman yang tersedia. Ketiga, peraturan ini memperjelas dan mengembangkan standar keamanan data yang berlaku pada bank dan perusahaan jasa keuangan non-bank.

Berikut tiga cara Aturan Akhir Hak Data Keuangan Pribadi CFPB akan mempengaruhi privasi data dan keamanan data di bank:

Bank, pihak ketiga akan berhutang lebih banyak kendali kepada konsumen atas data

Ketika konsumen mengizinkan pihak ketiga mengakses data perbankan mereka, aturan baru biro tersebut memberikan hak kepada konsumen untuk mengetahui data keuangan apa yang dikumpulkan pihak ketiga, di mana data tersebut disimpan, dan kepada siapa data tersebut dibagikan. Bank, fintech, dan perusahaan mana pun yang memberikan akses ke datanya kepada konsumen akan berbagi tanggung jawab untuk memberikan hak-hak ini kepada konsumen.

Konsumen juga akan mendapatkan hak hukum untuk mencabut akses ini kapan saja. Ketika seseorang mencabut aksesnya, aturan tersebut mengamanatkan penghentian segera akses data dan penghapusan data tersebut.

Aturan tersebut juga memungkinkan konsumen untuk mentransfer data banknya ke bank lain. Konsumen tidak perlu membayar biaya atau mengatasi hambatan dari perusahaan yang mempersulit peralihan penyedia layanan, kata biro itu.

Rob Nichols, presiden dan CEO American Bankers Association, mengajukan beberapa keberatan terhadap aturan baru tersebut.

“Meskipun kami masih mengevaluasi rincian peraturan akhir, jelas bahwa kekhawatiran lama kami mengenai cakupan, tanggung jawab, dan biaya sebagian besar masih belum terselesaikan,” kata Nichols. “Ini mengecewakan setelah bertahun-tahun upaya itikad baik dari semua pihak untuk meningkatkan hasil konsumen.”

Menurut salah satu advokat konsumen, Aturan Hak Data Keuangan Pribadi yang diselesaikan pada hari Selasa didasarkan pada perlindungan privasi data konsumen sebelumnya dan memfasilitasi persaingan dengan biro kredit. Menurut Chi Chi Wu, pengacara senior di National Consumer Law Center (NLCL), biro kredit telah menerapkan “oligopoli” yang membuat konsumen tidak punya banyak pilihan.

“Aturan baru ini juga memberi konsumen kendali lebih besar atas data apa yang digunakan dan bagaimana caranya,” kata Wu. “Ini harus menjadi model bagi semua rezim privasi data di Amerika Serikat. Ini jauh melebihi perlindungan undang-undang privasi yang lebih lemah yang mendahuluinya, seperti Undang-Undang Gramm-Leach-Bliley.”

Berdasarkan standar privasi data GLBA dan FTC

Di bawah aturan baru biro tersebut, perusahaan non-bank yang terlibat dalam akses data harus mematuhi peraturan Komisi Perdagangan Federal (FTC). Standar untuk Menjaga Informasi Pelanggandan bukan standar yang menjadi pedoman bank dan credit unions: Bagian 501 dari Undang-Undang Gramm-Leach-Bliley (GLBA).

“Penyedia data harus menerapkan program keamanan informasi pada antarmuka pengembang yang memenuhi aturan berlaku yang dikeluarkan sesuai dengan pasal 501 GLBA,” bunyinya aturan akhir setebal 594 halaman. “Atau alternatifnya,” lanjutnya, “jika penyedia data tidak tunduk pada pasal 501 GLBA, penyedia data harus menerapkan program keamanan informasi yang diwajibkan oleh Standar FTC untuk Perlindungan Informasi Pelanggan pada antarmuka pengembangnya.”

Meskipun peraturan akhir itu sendiri sangat luas, sebagian besar peraturan tersebut merupakan apa yang disebut CFPB sebagai “pembukaan” — tanggapan terhadap komentar yang disampaikan mengenai peraturan yang diusulkan biro tersebut, dan penjelasan mengapa biro tersebut melakukan atau tidak mengubah peraturan tersebut sebagai tanggapan terhadap peraturan tersebut. . Peraturannya sendiri adalah Panjangnya 38 halaman.

Standar yang berbeda untuk bank dan non-bank berlaku untuk antarmuka pengembang penyedia data dan sistem pihak ketiga untuk mengumpulkan, menggunakan, dan menyimpan data dari antarmuka ini. Dengan kata lain, baik bank atau non-bank menyediakan atau mengambil data, standar FTC berlaku untuk non-bank, dan standar GLBA berlaku untuk bank.

Meskipun isi kedua standar tersebut berbeda dalam hal tingkat detail dan preskriptifnya, perbedaan utamanya adalah pengawasan. Regulator yang berhati-hati menegakkan GLBA dengan pemeriksaan proaktif, FTC menegakkan peraturannya melalui investigasi dan tindakan penegakan hukum yang lebih responsif.

Selain persyaratan ini, agregator data besar harus menjalani pemeriksaan pengawasan oleh CFPB, sesuai dengan aturan akhir. Pemeriksaan ini, kata biro tersebut, sedang berlangsung.

Agregator data, menurut aturan, berfungsi sebagai fasilitator antara penyedia data dan pihak ketiga. Meskipun tidak secara eksplisit disebutkan sebagai contoh agregator data besar dalam aturan tersebut, Plaid adalah pemain utama dalam hal ini.

Pengikisan layar secara efektif akan dilarang

Meskipun aturan terakhir tidak secara eksplisit melarang screen scraping, aturan tersebut menetapkan aturan yang secara efektif akan melarang praktik tersebut dalam banyak situasi.

Aturan terakhir mengamanatkan bahwa penyedia data (misalnya bank) membangun dan memelihara antarmuka pengembang (misalnya API) untuk berbagi data yang aman dan terstandarisasi dengan pihak ketiga yang berwenang. Biro tersebut memilih istilah “antarmuka pengembang” yang sengaja dibuat lebih luas dan menghindari penggunaan API secara khusus, sebagai respons terhadap kekhawatiran bahwa peraturan tersebut tidak seharusnya membatasi bank untuk menggunakan teknologi tertentu.

Aturan terakhir melarang penyedia data “mengandalkan penggunaan kredensial konsumen oleh pihak ketiga untuk mengakses antarmuka pengembang.” Dengan kata lain, pihak ketiga tidak dapat menggunakan kata sandi perbankan online konsumen untuk mengakses antarmuka pengembang bank.

Biro tersebut memperingatkan dalam aturan terakhirnya bahwa, setelah penyedia data telah membuat antarmuka pengembang, upaya screen scraping oleh pihak ketiga “dapat dibatasi” oleh larangan Undang-Undang Perlindungan Keuangan Konsumen atas tindakan atau praktik yang tidak adil, menipu, dan kasar karena pihak ketiga akan “menyebabkan kerugian yang tidak perlu” dengan menyimpan kredensial akun pengguna.

Akan ada pengecualian di mana pengikisan layar diperbolehkan, sesuai dengan aturan akhir. Salah satu contoh yang disoroti CFPB adalah kasus di mana konsumen mengizinkan pihak ketiga untuk mengakses data di lembaga keuangan yang tidak memerlukan antarmuka pengembang. Institusi yang tidak tercakup dalam aturan ini dan tidak diwajibkan untuk memelihara antarmuka pengembang termasuk institusi yang memiliki aset kurang dari $850 juta.