2024年10月22日,美国消费者金融保护局(CFPB)发布关于个人金融数据权利的最终规则。该规则旨在确保消费者能够安全、可靠地访问和授权第三方访问他们的金融数据,并定义了第三方的数据访问义务。
该规则将赋予消费者对其个人金融数据更大的权利、隐私和安全保障。该规则要求金融机构、信用卡发行方及其他金融服务提供商在消费者要求下,免费解锁其个人金融数据并将其转移至另一提供商。消费者将能更轻松地转向提供更优利率和服务的提供商。通过激发竞争和增强消费者选择权,该规则将有助于降低贷款价格,并改善支付、信贷及银行市场的客户服务。希望借此为拥有 4000 多家贷款机构的市场注入更多竞争,并使消费者更容易将其银行账户与新的应用程序关联。以下是该监管政策的一些关键内容:摘要:该规则根据《2010年消费者金融保护法》(CFPA)实施个人金融数据权利,要求银行、信用社等金融服务提供商向消费者和授权第三方提供他们的数据,确保安全可靠地传输。第三方在访问消费者数据时必须遵循隐私保护措施,确保数据使用得当,不会滥用或保留数据用于不正当目的。规则的范围:该规则涵盖的金融产品和服务主要包括信用卡、交易账户等,数据提供者(如银行)需向消费者和授权第三方提供数据。其中,授权第三方必须遵守规定的授权程序,并确保只在消费者授权范围内收集、使用和保留数据。数据访问要求:规则要求数据提供者以标准化的机器可读格式向授权第三方提供数据,并确保提供的数据准确、传输可靠。规则还禁止使用屏幕抓取技术获取数据,并禁止数据提供者收取与数据访问相关的费用。第三方的义务:授权第三方必须遵循多个义务,例如确保数据安全、只收集和使用必要的数据,并提供消费者数据访问和撤销授权的渠道。规则还规定第三方需要与其他第三方分享数据时,必须通过合同确保其他第三方遵守同样的数据安全和隐私保护义务。市场背景:文件指出,开放银行(Open Banking)系统的逐步发展使得消费者授权的金融数据共享在全球范围内成为热点,但系统的安全性和竞争性仍然是挑战。该规则通过推动标准化,解决了第三方数据访问的安全、透明性和竞争问题。法律依据:该规则基于《2010年消费者金融保护法》第1033条的授权,CFPB有权制定规则确保数据提供者向消费者和授权的第三方提供电子数据。“太多美国人被困于利率和服务糟糕的金融产品之中,”CFPB局长Rohit Chopra表示,“今日之举将让人们更有能力在银行账户、信用卡等方面获得更好的利率和服务。”该规则确保消费者能够访问和分享与银行账户、信用卡、移动钱包、支付应用及其他金融产品相关的数据。该规则旨在解决限制消费者选择金融产品和服务的市场集中问题。消费者将能够访问,或授权第三方访问,包括交易信息、账户余额信息、发起支付所需信息、即将到账的账单信息以及基本账户验证信息在内的数据。金融服务提供商必须免费提供这些信息。该规则使美国更接近于建立一个竞争性强、安全、可靠且开放的“开放银行”系统。今日的规则是CFPB为最终激活2010年由国会颁布的《消费者金融保护法》第1033节这一沉睡法律权威所作努力的一部分。这是CFPB在美国加速推进负责任的开放银行的首项重大规则,CFPB将继续制定更多规则以涵盖更多产品、服务和应用场景。这些规则将通过赋予人们更多自由来更换银行或提供商以及货比三家,从而增强竞争。这种增加的选择将激励金融机构提供改进的产品,以吸引新客户并留住老客户。该规则还建立了强大的隐私保护机制,要求个人金融数据仅能用于消费者请求的目的。它确保第三方不得将消费者数据用于消费者不希望的其他目的,即使这些目的对第三方有利。该规则还有助于推动行业摆脱“屏幕抓取”这一仍然普遍但存在风险的做法,该做法通常涉及消费者向第三方提供其账户密码,由第三方通过网上银行门户无差别地访问数据。通过赋予消费者对其金融数据的更多控制权,《个人金融数据权利》最终规则将通过以下方式激发更多选择和增强竞争:退出提供糟糕服务的金融科技公司和银行:消费者将能够将其银行数据转移至另一家银行,确保消费者在转换金融机构时能够保留大部分银行历史记录。人们无需支付费用或克服公司设置的转换障碍。寻求更优的产品和信贷利率:消费者将能够进行比较购物,并转向提供更好利率(如更高的存款利息或更低的贷款利息)的竞争对手。它还可以帮助包括信用记录较短的年轻人在内的消费者获得信贷或以更优条件获得信贷,因为贷款机构可以使用其他机构持有的数据(如收入和支出信息)来发放贷款。实现安全支付,包括“银行支付”:该规则确保消费者能够安全地共享支付信息,这有助于实现通常所称的“银行支付”。此类产品使消费者能够向商家、同行及其他人付款,以及在其自己的账户之间转账。该规则将有助于为长期以来存在反竞争行为的支付市场带来更大的竞争。最终规则通过以下方式加强了消费者数据的保护:禁止“诱饵与转换”数据收集:第三方仅能为提供消费者所请求的产品而收集、使用或保留数据。他们不能秘密地为自身无关的商业目的(例如,通过使用消费者数据提供贷款,同时也用于定向广告)收集、使用或保留消费者的数据。该规则并不禁止任何特定用途的数据使用,但要求所有使用都必须以提供消费者所求产品所必需为依据。设立撤销和删除权利:当个人撤销访问权限时,该规则要求立即终止数据访问,且默认做法为删除数据。除非明确重新授权,否则访问权限的保持不得超过一年。为防止出现“暗模式”,撤销访问的过程必须简单明了。该规则的遵守将分阶段实施,大型提供商将比小型提供商更早受到规则约束。金融机构将根据其规模被要求遵守规则;最大机构须于2026年4月1日前遵守,而最小覆盖机构则须于2030年4月1日前遵守。某些小型银行和信用社不受此规则约束。评论指出,美国消费者金融保护局(CFPB)本次宣布的这些规则使美国更符合英国和欧洲的情况,英国和欧洲此前已经将金融数据共享规则编纂成法。消费者金融保护局八年来一直在致力于所谓的第 1033 条改革,这些改革源于 2010 年具有里程碑意义的金融监管《多德 - 弗兰克法案》中的一项条款。自该法律通过以来,与个人银行账户相关联的第三方应用程序大量涌现,但对于如何最好地共享信息却没有明确的规则。信息可以通过应用程序编程接口(API)进行共享,该接口允许两个网站轻松相互通信。但是,“屏幕抓取”—— 消费者分享其银行登录详细信息以便机器人复制其金融信息,这种做法受到监管机构的诟病 —— 在美国仍在使用。消费者金融保护局的规则将迫使银行建立系统,方便消费者获取其金融数据,如交易历史、账户余额和支付细节。消费者金融保护局表示,要求免费提供这些数据,并希望这些规则能阻止屏幕抓取的使用。银行是否可以向第三方收取数据共享费用一直是一个有争议的问题。银行游说者认为,鉴于建立促进数据共享的系统成本,银行应该有权选择收取费用。这些规则的一个目的是使消费者更容易使用第三方应用程序,并刺激银行之间更多的竞争。美国大约有 4000 家银行,从拥有超过 2 万亿美元(1.8 万亿欧元)存款的摩根大通等巨头到拥有数千万美元存款的地方贷款机构不等。资产超过 8.5 亿美元的银行和金融科技公司将受这些新的数据共享规则约束。
来源 数据要素社综合整理自清华大学智能法治研究院,转载请注明来源