Aturan final perbankan terbuka CFPB tahun 1033 memperluas cakupan aplikasi pembayaran

Biro Perlindungan Keuangan Konsumen menambahkan aplikasi pembayaran dan produk keuangan lainnya ke dalam peraturan perbankan terbuka finalnya dan untuk menjaga fokusnya pada inovasi, disediakan untuk beberapa penggunaan data sekunder.

CFPB diperkirakan akan merilis aturan finalnya pada hari Selasa, namun materi yang menjelaskan aturan final tersebut telah tersedia bagi American Banker sebelum dirilis.

Aturan terakhir ini sangat mirip dengan usulan CFPB tahun lalu, namun tampaknya mencakup beberapa perubahan substantif pada ruang lingkup aturan, penggunaan sekunder, dan periode kepatuhan, yang telah diperpanjang 10 bulan untuk bank-bank terbesar. Aturan perbankan terbuka disebut oleh industri sebagai “1033” untuk bagian dalam Undang-Undang Dodd-Frank tahun 2010 yang memberikan wewenang kepada CFPB untuk menerapkan cara konsumen mengontrol data keuangan mereka sendiri.

Aturan CFPB, yang diambil dari Pasal 1033 Dodd-Frank, mengharuskan bank secara aman berbagi data keuangan pada rekening giro, kartu prabayar, kartu kredit, dompet seluler, aplikasi pembayaran, dan produk keuangan lainnya. Aplikasi pembayaran dan produk keuangan lainnya ditambahkan dalam aturan terakhir, sehingga memasukkan Apple Pay, Google Pay, PayPal, Zelle dan Venmo serta aplikasi lain ke dalam cakupan aturan tersebut. Perubahannya adalah bukti lebih lanjut bahwa aplikasi pihak ketiga merupakan kekuatan dominan di bidang perbankan dan pembayaran. Banyak yang mengira rekening Transfer Manfaat Elektronik, atau EBT, dan manfaat Program Bantuan Gizi Tambahan, yang dikenal sebagai SNAP, juga akan disertakan.

Bagi bank, perubahan terbesar adalah tanggung jawab atas penipuan dan pelanggaran data yang dilakukan oleh fintech pihak ketiga. Bank khawatir peraturan ini akan membuat mereka mempunyai tanggung jawab yang lebih besar dan juga membutuhkan pengawasan yang mahal terhadap perusahaan fintech pihak ketigasebuah tugas berat dalam ekosistem yang dipenuhi data dan banyaknya perusahaan rintisan fintech. Sebagai penyedia data utama, bank mempunyai kemampuan untuk menolak akses pihak ketiga terhadap data konsumen jika suatu perusahaan menimbulkan risiko terhadap sistem keuangan.

Direktur CFPB Rohit Chopra memberi isyarat dalam sambutannya bahwa biro tersebut terus berkomunikasi dengan regulator keuangan lainnya untuk memajukan perbankan terbuka.

“Aturan terakhir memperjelas bahwa ketika konsumen mengizinkan perusahaan untuk mendapatkan data keuangan pribadi atas nama mereka, maka perusahaan tersebut berhak melakukannya bukan bertindak sebagai penyedia layanan bagi lembaga keuangan yang menyimpan data konsumen – perusahaan-perusahaan tersebut bertindak atas nama konsumen,” kata Chopra dalam sambutannya. Pernyataan tersebut berarti bank mungkin tidak dapat mengandalkan pertimbangan manajemen risiko pihak ketiga untuk menolak akses. kepada pihak ketiga.

CFPB tidak mengeluarkan aturan peserta yang lebih besar untuk agregator data, seperti yang diharapkan beberapa pihak. Sebaliknya, semua perusahaan yang terlibat dalam akses data – tidak hanya bank – harus mematuhi persyaratan keamanan data Gramm-Leach-Bliley Act.

Dalam perubahan lain dari proposal diluncurkan pada bulan Oktober laluaturan terakhir akan mengizinkan beberapa penggunaan sekunder atas data resmi konsumen oleh pihak ketiga untuk meningkatkan produk atau layanan yang diminta konsumen tanpa memperoleh otorisasi terpisah. Penyedia Fintech dan beberapa pendukung konsumen meminta CFPB untuk menyediakan penggunaan sekunder data untuk melatih model penjaminan emisi dan untuk alat anti-penipuan serta penelitian dan pengembangan produk.

“Aturan ini dirancang untuk memastikan bahwa perbankan terbuka tidak menjadi saluran data baru yang memicu penetapan harga pengawasan atau kejahatan manipulatif lainnya,” kata Chopra dalam pidato yang disiapkan untuk pidato yang akan disampaikan pada konferensi Fintech Week yang diselenggarakan oleh Federal Reserve Bank of Bank of America. Filadelfia.

Aturan terakhir juga membuat beberapa penyesuaian terhadap persyaratan kinerja yang harus dipenuhi oleh bank dan penyedia data lainnya untuk akses data. Berdasarkan proposal tahun lalu, institusi diharuskan memenuhi 99,5% permintaan data hanya dalam waktu 3,5 detik – target yang menurut beberapa ahli terlalu sulit untuk dipenuhi oleh CFPB. Apa sebenarnya penyesuaian tersebut tidak disebutkan secara spesifik.

Aturan terakhir juga mengklarifikasi bahwa nomor rekening yang diberi token — nomor yang dibuat secara acak untuk menggantikan nomor rekening pelanggan yang sebenarnya guna mengurangi risiko penipuan finansial — diizinkan selama tidak digunakan dengan cara yang anti-persaingan.

Chopra mengatakan aturan tersebut bertujuan untuk mengatasi konsentrasi pasar yang membatasi pilihan konsumen dan memungkinkan konsumen mengakses informasi transaksi rekening bank mereka sendiri – atau memberi wewenang kepada pihak ketiga untuk mengaksesnya tanpa memungut biaya.

“Data keuangan pribadi bersifat sensitif, dan ada perlindungan dan hak dasar yang harus disertakan dalam mengakses informasi semacam ini,” katanya dalam sambutannya.

Aturan tersebut dirancang khusus untuk memastikan bahwa data dikumpulkan dan “digunakan secara minimal, disimpan dengan aman, ditransfer secara akurat, dan dihapus ketika tidak lagi diperlukan atau ketika konsumen mencabut aksesnya,” kata Chopra.

Chopra telah mengatakan proposal tersebut akan meningkatkan persaingan dengan membantu konsumen lebih mudah berpindah bank. Aturan tersebut menciptakan standar keamanan dan privasi data yang kuat dan Chopra menegaskan kembali bahwa data keuangan konsumen hanya dapat digunakan untuk tujuan tertentu.

Penasihat Ekonomi Nasional Lael Brainard menggemakan sentimen tersebut dalam pernyataan yang telah disiapkan, dengan mengatakan bahwa peraturan tersebut “akan memudahkan konsumen untuk berpindah bank dan menggunakan layanan keuangan yang lebih sesuai dengan kebutuhan mereka, memberikan peluang lebih besar bagi bisnis baru yang inovatif untuk bersaing, dan menurunkan biaya. bagi konsumen.”

Aturan tersebut menetapkan perlindungan privasi yang kuat, yang mengharuskan data keuangan pribadi saja

digunakan untuk tujuan yang diizinkan oleh konsumen. Aturan terakhir melarang pengumpulan data — melarang pihak ketiga mengumpulkan, menggunakan, atau menyimpan data konsumen untuk iklan bertarget, penjualan silang produk, atau alasan bisnis apa pun yang tidak terkait. Aturan tersebut tidak melarang penggunaan data tertentu, namun mengharuskan semua penggunaan didorong oleh apa yang diperlukan untuk menghasilkan produk yang diinginkan konsumen.

CFPB mengatakan akan mengembangkan aturan tambahan untuk menangani produk, layanan, dan kasus penggunaan lain yang menurut banyak orang akan melibatkan pinjaman hipotek dan mobil.

CFPB memberi waktu kepada bank-bank terbesar hingga tanggal 1 April 2026, untuk mematuhi peraturan tersebut, sedangkan bank-bank terkecil memiliki waktu hingga tanggal 1 April 2030. Hanya bank-bank dan serikat kredit dengan aset lebih dari $850 juta dan entitas non-penyimpanan dengan ukuran berapa pun yang diwajibkan untuk memberikan data. di bawah aturan. Bank-bank kecil dan credit unions tertentu tidak tunduk pada aturan ini.

Konsumen telah berbagi data transaksi bank mereka selama bertahun-tahun dengan menggunakan praktik “screen scraping” yang umum namun berisiko, yakni memberikan nama pengguna dan kata sandi kepada pihak ketiga. CFPB mengatakan bahwa screen scraping membawa risiko yang melekat, seperti pengumpulan data yang berlebihan, pembagian data yang tidak akurat, dan penyebaran kredensial login.

Aturan ini akan mendorong penerapan lebih lanjut antarmuka pemrograman aplikasi yang aman, atau API, dengan memungkinkan pertukaran data dalam format standar. CFPB telah menerima permohonan dari Bursa Data Keuangan untuk diakui badan penetapan standar industri standar format data.

Berdasarkan aturan terakhir, konsumen memiliki hak hukum untuk mengetahui data apa yang dikumpulkan, di mana data disimpan, dengan siapa data tersebut dibagikan – dan untuk mencabut akses kapan saja. Ketika seseorang mencabut akses, aturan tersebut mengharuskan akses data segera diakhiri, dengan data tersebut dihapus. Akses data dapat dipertahankan selama satu tahun kecuali konsumen setuju untuk memperluas akses lebih lanjut.

Beberapa ahli berpendapat Aturan 1033 akan memberdayakan bank komunitas dan fintech agar lebih mampu bersaing dengan bank-bank besar dan mengubah cara konsumen menggunakan data keuangan pribadi mereka. Perbankan terbuka juga diharapkan mempercepat penggantian laporan bank kertas – dan berpotensi menghilangkan kebutuhan akan cek. Pengiriman aliran data digital mempunyai potensi untuk mengurangi penipuan secara signifikan, kata para ahli yang telah mengerjakan peraturan ini selama bertahun-tahun.

Larangan bank mengenakan biaya ini sejalan dengan larangan di negara lain. Tidak ada negara lain dengan rezim perbankan terbuka – termasuk Inggris, Uni Eropa, Australia, India dan Singapura – yang mengizinkan bank mengenakan biaya.