Aturan CFPB 1033 memicu kemarahan bank atas keamanan data

Peraturan perbankan terbuka yang dikeluarkan oleh Biro Perlindungan Keuangan Konsumen tidak memberikan perlindungan tanggung jawab tambahan bagi bank, sehingga menempatkan lembaga keuangan pada risiko potensi penipuan dan pelanggaran data fintech pihak ketiga dan menimbulkan konflik dengan biro tersebut.

JPMorgan Chase, Asosiasi Bankir Amerika, Institut Kebijakan Bank, dan Asosiasi Bankir Konsumen semuanya mengeluarkan pernyataan singkat yang mengkritik aturan tersebut, yang diambil dari pasal 1033 dalam Undang-Undang Dodd-Frank yang memberi CFPB wewenang pada tahun 2010 untuk menerapkan data keuangan pribadi. hak.

“Ini bukan perbankan terbuka – ini adalah musim terbuka bagi lebih banyak penipuan dan penipuan,” kata Trish Wexler, juru bicara JPMorgan Chase. “Dengan mewajibkan bank harus menyerahkan data rekening nasabah yang sensitif kepada pihak ketiga mana pun yang membuat seseorang mengeklik ‘Saya setuju’ di aplikasi mereka, aturan ini memborgol kemampuan bank untuk menuntut standar keamanan yang tinggi dari pihak ketiga.”

CFPB aturan perbankan terbuka akhir mewajibkan bank untuk secara aman membagikan data keuangan pada rekening giro, kartu prabayar, kartu kredit, dompet seluler, aplikasi pembayaran, dan produk keuangan lainnya atas permintaan pelanggan.

Biro tersebut membuat beberapa perubahan besar pada aturan tersebut dari proposalnya setahun yang lalu. Perjanjian ini mengecualikan bank-bank komunitas dengan aset di bawah $850 juta dari kepatuhan, memperpanjang tanggal kepatuhan untuk bank-bank terbesar selama 10 bulan hingga awal tahun 2026, dan hanya mengizinkan sedikit penggunaan data sekunder, tidak termasuk penggunaan untuk penelitian. Sebaliknya, biro tersebut membuat batasan dengan mendefinisikan penggunaan utama data untuk melibatkan pihak ketiga dalam meningkatkan produk yang sudah ada tetapi tidak mengembangkan produk baru.

Bank telah meminta rezim pertanggungjawaban karena kekhawatiran tentang penipuan dan penipuan dan apa yang mereka anggap sebagai tindakan keamanan yang tidak memadai dalam peraturan akhir. CFPB mengubah bahasa dari proposal yang menjelaskan bagaimana bank dapat menolak akses terhadap pihak ketiga berdasarkan pertimbangan manajemen risiko.

“CFPB memberikan sedikit ruang gerak ketika bank dapat menolak permintaan data, namun hal ini masih belum terbuka dan tertutup dengan cara apa pun,” kata David Silberman, penasihat senior di Financial Health Network dan Center for Responsible Lending and a mantan penjabat wakil direktur di CFPB.

Dalam penampilan di CNBC Selasa pagi, Direktur CFPB Rohit Chopra ditanyai tentang potensi penipuan.

“Ya, hal itu akan terjadi dalam situasi apa pun dalam ekonomi digital,” kata Chopra. “Kita harus memastikan adanya peraturan tertentu. Dan pada akhirnya, kita harus merangkul persaingan. Kita harus menggunakan teknologi digital untuk memungkinkan orang beralih dengan lebih mudah.”

Para bankir mengatakan komentar Chopra tidak banyak memberikan kepercayaan terhadap komitmen CFPB terhadap tujuan intinya untuk melindungi konsumen. Komentar dari kelompok perdagangan bank menunjukkan bahwa mereka kemungkinan akan menuntut CFPB agar peraturan tersebut tidak berlaku, dan mengklaim bahwa biro tersebut melampaui kewenangannya.

Kelompok perdagangan juga mencatat bahwa CFPB menciptakan situasi yang rumit Aturan 594 halaman padahal undang-undang yang mengesahkan hak data konsumen hanya sepanjang 335 kata.

Lindsey Johnson, presiden dan CEO Asosiasi Bankir Konsumen, mengatakan CFPB “telah mengubah undang-undang yang sangat jelas dan terbatas ini menjadi memungkinkan ribuan pihak ketiga mengakses data konsumen. Dengan melakukan hal tersebut, CFPB jauh melampaui kewenangan undang-undangnya.”

Semua perusahaan yang terlibat dalam akses data – tidak hanya bank – harus mematuhi persyaratan keamanan data Gramm-Leach-Bliley Act. Bank khawatir bahwa sebagian besar kendali dan pengawasan pihak ketiga akan dialihkan ke bank dan penyedia data lainnya. Namun bank-bank besar sangat khawatir terhadap kemampuan para penipu untuk mengakali aturan 1033.

Bank-bank besar telah menegosiasikan perjanjian bilateral dengan agregator data dan mengharapkan agregator tersebut mengawasi pihak ketiga. Namun peralihan ke dunia hak-hak konsumen menciptakan paparan tambahan. Bank masih diperbolehkan untuk menolak akses ke entitas mana pun yang belum tersertifikasi memiliki standar keamanan data yang memadai.

“CFPB melepaskan segala tanggung jawab pengawasan terhadap pihak ketiga ini untuk memastikan mereka mematuhi standar keamanan apa pun,” kata Wexler di JPM. “Tidak masuk akal jika CFPB memiliki ‘harapan’ sebagai strategi pengawasan bagi ribuan pihak ketiga yang kini memiliki akses terhadap informasi rekening keuangan sensitif.”

Rob Nichols, presiden dan CEO American Bankers Association, menyebut aturan tersebut mengecewakan dan mengatakan CFPB gagal mengatasi kekhawatiran bank mengenai tanggung jawab dan biaya.

“Sayangnya, apa yang dimulai dua pemerintahan lalu sebagai upaya kolaboratif dalam mengamankan data keuangan pribadi konsumen telah berubah menjadi upaya politik yang didorong oleh siaran pers berdasarkan premis yang salah bahwa konsumen tidak memiliki pilihan dan kesalahpahaman apakah Dodd-Frank memberikan CFPB wewenang untuk secara radikal membentuk kembali pasar jasa keuangan,” kata Nichols.

Greg Baer, ​​presiden dan CEO Bank Policy Institute, mengatakan aturan tersebut masih mempertahankan banyak “kekurangan dan kelalaian yang mengganggu” proposal biro yang dikeluarkan setahun lalu.

“Bank telah bekerja selama bertahun-tahun untuk menciptakan cara yang aman untuk berbagi data nasabah kapan pun nasabah memintanya,” kata Baer dalam siaran persnya. “Peraturan CFPB mengganggu proses yang sudah ada ini, mengharuskan bank untuk berbagi data keuangan dengan pihak ketiga mana pun tanpa perlindungan yang memadai untuk memastikan data terlindungi dari penipuan, penyalahgunaan, dan penyalahgunaan.”

Chopra mengatakan bank menghalangi konsumen untuk berpindah rekening meskipun adanya gesekan yang disebabkan oleh debet otomatis atau setoran langsung yang telah diprogram sebelumnya.

“Mengalihkan rekening bank atau kartu kredit Anda bisa sangat menyusahkan, dan aturan baru ini akan mempermudah peralihan dan memecat bank atau perusahaan keuangan yang tidak melayani Anda dengan baik,” katanya di CNBC pada hari Selasa. . “Bank bertanggung jawab mengamankan data, begitu pula fintech. Baik bank maupun nonbank wajib memiliki standar keamanan data.”

Chopra mengatakan aturan tersebut memberikan perlindungan privasi yang kuat yang memungkinkan konsumen mengontrol data keuangan mereka. Dia menegaskan kembali bahwa aturan tersebut mengatasi hambatan yang ada dalam perpindahan bank.

“Pasar penuh dengan praktik monopoli yang memperkaya jaringan lama dengan mengorbankan konsumen, bisnis, dan pencipta. Dampaknya adalah Anda membayar lebih banyak untuk pinjaman dan Anda mendapat lebih sedikit uang dari simpanan Anda,” kata Chopra dalam sambutannya pada hari Selasa di sebuah fintech. konferensi yang diselenggarakan oleh Federal Reserve Bank of Philadelphia. “Para petahana tidak ingin kehilangan basis pelanggan mereka. Dan seperti di sektor ekonomi lainnya, perusahaan-perusahaan besar sering kali hanya mempunyai sedikit insentif untuk memudahkan Anda mentransfer dan membagikan data Anda. Salah satu cara terbaik untuk mendukung perusahaan pasar yang dinamis adalah untuk menghilangkan hambatan persaingan.”

Jim Nussle, presiden dan CEO Serikat Kredit Amerika, mengatakan CFPB telah mengubah perbankan terbuka menjadi perampasan aset paling berharga dari lembaga keuangan.

“Dari beberapa baris teks mengenai portabilitas data konsumen di Dodd-Frank, CFPB telah membuat aturan penting yang dimaksudkan untuk merekayasa ulang persaingan sektor keuangan,” kata Nussle dalam sebuah pernyataan. “Peraturan tersebut menuntut serikat kredit untuk berbagi, tanpa biaya, informasi dengan fintech dan pihak ketiga lainnya yang mendapat izin dari konsumen. Dengan melakukan hal ini, CFPB mengurangi salah satu aset paling berharga dari lembaga keuangan – datanya – menjadi komoditas , yang kemungkinan besar akan memberikan tekanan persaingan yang lebih besar pada serikat kredit untuk melakukan merger.”

Dengan menjamurnya perusahaan online, beberapa ahli melihat peraturan tersebut sebagai undangan bagi penjahat yang menyamar sebagai perusahaan pihak ketiga untuk membujuk konsumen yang naif agar menunjuk mereka sebagai perwakilan mereka untuk mengakses data.

“Saya pikir sejumlah besar konsumen akan menderita akibat peraturan ini,” kata Joe Lynyak, partner di Dorsey & Whitney. “Pihak ketigalah yang akan menyalahgunakan data dan setiap penipu akan mengirimkan ucapan terima kasih kepada CFPB.”