CFPB ingin negara-negara agar bank tunduk pada undang-undang privasi data

Minggu ini, Biro Perlindungan Keuangan Konsumen memperingatkan bahwa pengecualian terhadap undang-undang privasi data yang dinikmati oleh bank, serikat kredit, dan pemberi pinjaman melemahkan hak-hak konsumen dan menyarankan agar negara mengambil tindakan.

Laporannya adalah salah satu dokumen terakhir yang akan dikeluarkan CFPB sebelum Rohit Chopra, ketua biro Partai Demokrat, mengeluarkannya hampir pasti diganti ketika Presiden Terpilih Donald Trump mulai menjabat pada bulan Januari. Namun, laporan tersebut mungkin akan mendorong beberapa dari sekitar 20 negara bagian yang memiliki undang-undang privasi data, terutama California, yang memiliki undang-undang tersebut sebuah kegemaran karena melawan Trump selama masa jabatan pertamanya dan telah melakukannya sudah bertindak untuk melanjutkan tren.

Laporan CFPB tidak menunjukkan bahwa biro tersebut akan mengubah penegakan atau penafsiran undang-undang yang ada. Kalaupun ada, perubahan ini dapat diubah oleh sutradara berikutnya. Sebaliknya, laporan tersebut menyimpulkan bahwa negara-negara mempunyai alasan dan kemampuan untuk mewajibkan bank tunduk pada undang-undang privasi data, dan bahwa mereka harus mempertimbangkan untuk melakukan hal tersebut.

Perundang-undangan diperkenalkan di Dewan Perwakilan Rakyat tahun lalu akan mengatasi beberapa kekhawatiran yang dibahas dalam laporan CFPB yang dirilis minggu ini, sebagian dengan mendahului undang-undang privasi data negara bagian dengan versi federal.

Namun, RUU tersebut belum mendapat suara penuh dari seluruh majelis, dan Patrick McHenry, legislator Partai Republik, menerima suara tersebut disponsori tagihan dan dikenal sebagai pembuat kesepakatan, tidak akan berada di Kongres istilah berikutnya.

Cara kerja pengecualian negara untuk bank

Negara-negara mengecualikan bank dari undang-undang privasi data mereka dalam dua cara. Yang pertama adalah di tingkat entitas. Semua kecuali satu entitas yang dikecualikan dari negara bagian yang diatur oleh Undang-Undang Gramm-Leach-Bliley, menurut CFPB, berarti bank tidak harus mematuhi undang-undang ini untuk tujuan apa pun. Banyak juga yang mengecualikan afiliasi lembaga keuangan, seperti vendor pihak ketiga yang menyediakan layanan pergudangan data.

Yang kedua adalah pada tingkat data. Daripada mengecualikan semua bank dan afiliasinya, satu negara bagian memberikan pengecualian untuk “informasi pribadi yang dikumpulkan, diproses, dijual, atau diungkapkan sesuai dengan Undang-Undang Gramm-Leach-Bliley federal,” menurut undang-undang negara bagian tersebut.

Satu negara bagian itu adalah California.

Konsekuensi dari pengecualian tingkat data di California adalah bank harus melacak data konsumen mana yang mereka gunakan untuk aktivitas pemasaran dan fungsi non-keuangan lainnya, melacak tujuan pengumpulannya, menanggapi permintaan pengguna untuk mengakses atau menghapus data tersebut. , dan memenuhi semua tugas kepatuhan lainnya yang ditetapkan oleh California Privacy Rights Act (CPRA), menurut Tinjauan Identitassebuah wadah pemikir yang berfokus pada privasi, identitas, dan keamanan.

Dimana privasi data saat ini tidak mencukupi, menurut CFPB

Menurut CFPB, Undang-Undang Gramm-Leach-Bliley (GLBA) memiliki sejumlah kekurangan yang tidak dapat diatasi oleh pengecualian undang-undang privasi data negara bagian. Di dalamnya siaran pers mengenai laporan mengenai masalah tersebut, CFPB menyebut pengecualian ini sebagai “pengecualian”.

Salah satu contoh yang menjadi fokus laporan CFPB adalah pendekatan opt-out yang dilakukan GLBA dalam memberikan informasi kepada konsumen tentang cara bank menggunakan data mereka.

“Pendekatan opt-in yang melarang bisnis berbagi informasi sampai konsumen menyetujuinya bisa lebih melindungi informasi sensitif konsumen,” tulis laporan tersebut.

Selain itu, meskipun sebagian besar konsumen (lebih dari 85%, menurut survei tahun 2021) percaya bahwa bank mereka memberikan akses ke data pribadi mereka kepada perusahaan lain adalah tindakan ilegal, terutama untuk tujuan pemasaran, pendukung konsumen dan anggota Kongres telah menyuarakan kekhawatiran bahwa bank melakukan hal tersebut.

Dalam laporannya, CFPB bahkan secara khusus menyebut PayPal dan Chase sebagai dua contoh perusahaan jasa keuangan yang telah meluncurkan platform periklanan yang dapat digunakan pemasar berdasarkan data yang dikumpulkan perusahaan tersebut tentang konsumen.

Chase Media Solutions mendukung “kampanye pemasaran berbasis transaksi”, menurut bank, yang mana itu harapan akan membantu bank mengembangkan lebih banyak program loyalitas kartu kredit dan debit. Pemimpin PayPal telah digembar-gemborkan akses perusahaan terhadap data transaksi sebagai keunggulan utama platform periklanan perusahaan.

Data keuangan yang dikumpulkan dan dijual oleh bank dan fintech – bahkan ketika pemasar tidak memiliki akses langsung untuk melihat konsumen mana yang membeli produk mana – “dapat digunakan untuk menyusun ‘pola gelap’ yang lebih efektif yang mengarahkan konsumen ke produk yang tidak mereka inginkan atau tidak mampu mereka beli. ,” menurut laporan CFPB.

Bagaimana California mengatur praktik privasi data bank pada tahun 2023

CPRA, undang-undang privasi data terbaru California, juga dikenal sebagai California Consumer Privacy Act (CCPA) versi 2.0. CPRA menggantikan pendahulunya pada awal tahun 2023, sehingga menimbulkan beban kepatuhan baru bagi bank, menurut Chris Napier, mitra di firma hukum Mitchell Sandler, dan Shelby Schwartz, penasihat di firma yang sama.

Sebelum tahun 2023, “fintech dan bank mitranya pada umumnya hanya perlu mempertimbangkan kumpulan data pribadi terbatas yang dikumpulkan dari penduduk California dalam pemasaran dan komunikasi pra-akuisisi,” Kata Napier dan Schwartz dalam postingan blog yang mengulas perubahan yang dibawa oleh CPRA. “Mengingat rendahnya volume data dan terbatasnya minat konsumen terhadap jenis pengumpulan data ini, fintech dan bank mitra melihat tingkat permintaan CCPA yang relatif rendah dan dapat mengandalkan proses manual.”

Namun, jenis data umum lainnya yang dikumpulkan bank adalah kontak pribadi yang terkait dengan akun komersial – nama, nomor telepon, dan terkadang nomor Jaminan Sosial pemilik bisnis dan karyawan di fintech atau perusahaan tempat bank tersebut bekerja. Berdasarkan CPRA, data ini kini memiliki hak yang sama dengan yang dimiliki data konsumen lainnya — tidak terkecuali GLBA.

Bagi fintech dan bank mitra mereka, perubahan ini “mungkin mengharuskan lembaga-lembaga ini untuk mengevaluasi kembali teknologi mereka, penggunaan data, formulir orientasi dan pengungkapan, dan banyak lagi,” kata Napier dan Schwartz.

Potensi perubahan pada tahun 2025

Anggota parlemen California belum mengumumkan rencana apa pun untuk mengganti undang-undang privasi data negara bagian tersebut, atau menghapus pengecualian yang diterapkan bank. Selain itu, dengan tidak lagi menjabatnya anggota parlemen dari Partai Republik, McHenry, pada Kongres berikutnya, rancangan undang-undang yang diusulkannya untuk menempatkan bank-bank di bawah pengawasan privasi data yang lebih ketat tampaknya akan gagal sebelum disetujui oleh DPR.

Meskipun demikian, lebih dari 15 negara bagian lain telah menerapkan undang-undang privasi data sejak California meloloskan undang-undang privasi data pertama pada tahun 2018, dan negara bagian lainnya mungkin akan menerapkan undang-undang tersebut – bahkan mungkin mengindahkan saran CFPB untuk mengatur praktik privasi data bank.