数据要素治理|美国拟议消费者数据权利新规,促进金融数据共享流通
2022年10月27日,美国消费者金融保护局(CFPB)发布了一份正在制定的关于消费者数据权利的新规大纲,该新规为《消费者金融保护法》(Dodd-Frank Wall Street Reform and Consumer Protection Act)第1033条实施条例。《消费者金融保护法》第1033条规定了消费者有权以消费者可用的电子形式获取其金融信息,并规定了权利的例外:商业秘密、正常业务中无法检索到的信息等。CFPB局长Chopra表示,拟议的消费者金融数据保护新规旨在推动消费者数据权利保护、推动市场竞争。
1. 立法动机:促进金融数据市场竞争
Chopra表示制定消费者金融数据权利实施规则是为了“寻求创造更多竞争的催化剂。”数据技术与金融服务的结合一方面使得消费者获得更多便利与金融创新服务;另一方面也使得大型金融企业通过收集大量的个人数据垄断个人金融数据的控制与使用,构筑起数据壁垒。而消费者也因个人数据携带转移不便产生粘性,从而阻止竞争对手产品和服务的发展,扼杀了金融服务市场的竞争。因此,该新规旨在通过要求金融企业将消费者的金融数据转移给第三方,提高金融数据的流动性,从而促进市场竞争,倒逼金融企业通过改进产品和服务来吸引客户,保护消费者的选择权。
2. 拟议的消费者金融数据权利
实施规则
2022年10月27日CFPB发布了两份文件,一份为拟议的落实消费者金融数据权利的实施规则提案和备选方案大纲(以下简称“大纲”),另一份为对前述大纲的高级摘要和讨论指南。大纲描述了CFPB根据《1996年小企业监管执法公平法案》需要与受法规影响的小企业协商并获得反馈,CFPB拟议的第1033条实施规则提案以及对小企业潜在的经济影响。
2.1. 立法计划
为了实施《消费者金融保护法》第1033条,CFPB从2016年开始着手消费者金融数据权利保护相关规则的制定。2016年10月,CFPB在联邦公报上发布信息,以征求公众对消费者获取此类信息的意见;2017年10月,CFPB发布了名为“消费者保护原则:消费者授权金融数据共享和聚合”的文件,介绍了数据获取、数据范围和使用、控制和同意、授权支付、安全性、透明性、准确性、异议和争议解决、问责机制等内容;2020年2月,CFPB举办了消费者获取金融记录的研讨会,旨在听取利益相关者的意见,并审查CFPB对消费者授权第三方访问财务记录的方法;2020年10月,CFPB在联邦公报上发布了制定拟议规则的预告通知;2022年10月27日,CFPB发布了实施规则大纲。
接下来,CFPB将组织召开小型企业咨询审查小组(Small Business Advisory Review Panel)会议,征求关于小企业的意见,并于2023年1月15日结束意见征集。CFPB预计将于2023年第1季度发布一份关于通过该流程收到的意见的报告,之后发布拟议规则,并于2024年最终确定该规则且落地实施。
2.2 拟议的消费者金融数据权利
实施新规内容
围绕要求金融企业允许向消费者和授权第三方共享消费者金融数据,本次拟议的新规包括五部分,分别为(1)数据提供者的覆盖范围;(2)信息接收者;(3)需要提供的信息类型;(4)提供信息的方式;(5)第三方义务。
在数据提供者方面,主要涵盖范围为“金融机构”与“发卡机构”。CFPB正在考虑豁免某些数据提供者的义务,以适当平衡消费者权益与数据提供者的负担。在豁免的标准方面,目前CFPB主要考虑两种方案,一是根据资产规模设定进行划分,二是根据活跃水平,例如账户数量进行划分,或将不同标准相结合。这一规定体现了分类监管的思路,以更好保护中小企业发展。
在信息接收者方面,主要包括消费者和第三方。获取信息的第三方需要提供“授权披露书”、告知消费者关键的访问条款、获得带有消费者签名或电子签名的知情和明示同意,并向消费者证明将遵守特定义务。
在需要提供的信息类型方面,拟议新规中考虑包括六个类别的信息:已结算的交易和存款信息;尚未结算的交易和存款信息;未记载于定期报表或数据门户上的历史交易信息;消费者已提起但尚未发生的网银交易信息;账户身份信息;其他资料。而提供信息的法定例外情况将包括四类:(1)商业机密和算法;(2)为防止欺诈或洗钱或发现具有违法行为的信息;(3)其他法律规定需要保密的信息;(4)正常业务中无法检索到的信息。
在提供信息的方式上,拟议新规将要求数据提供者要以人和机器可读的格式导出所涉信息,以便利数据的利用和创新。在向第三方提供信息方面,要求数据提供者建立基于数据共享协议的第三方数据门户,使第三方可以在不拥有或保留消费者凭证(如密码)的情况下进行访问,以避免通过使用消费者识别凭证和屏幕抓取等手段抓取数据所带来的数据安全风险,并促进标准化信息格式的开发和使用。
在第三方义务方面,拟议新规对消费者金融数据的保护作了一系列规定。包括限制消费者金融信息的收集、使用和保存;要求授权第三方满足一定的数据安全标准,制定、实施和维护一个全面的数据安全计划;确保数据准确性,提供争议解决的程序;向消费者披露收集使用保存信息的情况等。
此外,拟议修规还要求数据提供者和第三方都应当具有记录保存义务,以便接受CFPB监督和评估合规状况。
3. 预期对金融市场竞争的影响
CFPB局长Chopra对拟议新规充满信心,认为该新规将“使人们能够与提供不良服务的银行分手,并引发更多的市场竞争”,“将降低现有企业建立护城河和中间商充当看门人的能力,为那些提供最好产品、服务和价格的人提供巨大优势。”
3.1. 提高消费者的选择权
Chopra以电信领域“携号转网”为例进行类比,认为联邦通信委员会允许客户将电话号码转移到新的运营商,从而降低转换成本,引发了更多的竞争。本次拟议新规将使得消费者在对现有金融机构不满意的情况下能够便捷地携带自身的账目和交易数据一同转移至另一家机构,继续获得个性化的便捷服务,而无需担心“重新开始”。基于此,消费者在面对金融机构时的议价能力也将获得加强,以获得更好的产品和服务。消费者金融数据的共享也使得对消费者的承保和信用评分更加透明公平。
3.2. 提高消费者金融数据安全性
在过去,由于缺乏有效的数据共享机制,第三方往往通过获取消费者密码等凭证登录数据提供商的在线财务账户管理门户,然后通过自动爬虫软件抓取数据,这种数据获取方式引发了隐私泄露、超越授权、数据准确性不足等数据安全风险。拟议新规提出建立第三方门户,以使获得授权的第三方能在不掌握消费者身份凭证的情况下直接获取数据,该方式不仅解决了上述问题,同时还将提高数据的准确性和可用性。
3.3. 构建金融领域去中心化、
开放的生态系统
拟议新规将通过促进金融数据要素流通加强数据共享、打破数据壁垒,从而改善竞争环境,在金融领域形成去中心化、开放的生态系统,为创新者和消费者带来最大的利益。该生态系统的存在将促使现有金融机构在产品和服务上开展竞争,而非依赖数据的捆绑。此外,新兴企业也能够通过消费者数据来改进业务,提供定制化的产品和服务。
4 . 小结
数据价值的发挥依赖于数据全流程的处理。在数据产业链上,数据收集方、数据使用方、数据消费方等各方投入的成本和获得的收益难以计算。因此,“不愿共享”是阻碍各个行业数据要素化、市场化的主要因素之一。
虽然信奉“市场秩序”的美国已基本形成了以“数据经纪人”为主体的数据交易市场,但仍然面临因企业“不愿共享”数据而引发的“数据垄断”问题。本文中的“消费者数据权利制度”拟通过“个人数据可携带权”路径营造更加有效竞争的金融数据流通市场,推动金融市场建立去中心化、开放的竞争生态体系。
参考文献
[1]Rohit Chopra: Director Chopra’s Prepared Remarks at Money 20/20, CFPB(Oct. 25, 2022), https://www.consumerfinance.gov/about-us/newsroom/director-chopra-prepared-remarks-at-money-20-20/.
[2]CFPB Kicks Off Personal Financial Data Rights Rulemaking, CFPB(Oct. 27, 2022), https://www.consumerfinance.gov/about-us/newsroom/cfpb-kicks-off-personal-financial-data-rights-rulemaking/.
[3]Required Rulemaking on Personal Financial Data Rights, CFPB, https://www.consumerfinance.gov/personal-financial-data-rights/.
[4]Chery R. Cooper: Open Banking, Data Sharing, and the CFPB’s 1033 Rulemaking, Congressional Research Service(Sept. 9, 2021), https://crsreports.congress.gov/product/pdf/IN/IN11745.
[5]Small Business Advisory Review Panel For Required Rulemaking On Personal Financial Data Rights Outline Of Proposals And Alternatives Under Consideration, CFPB(Oct. 27, 2022), https://files.consumerfinance.gov/f/documents/cfpb_data-rights-rulemaking-1033-SBREFA_outline_2022-10.pdf.
[6]Dodd-Frank Wall Street Reform and Consumer Protection Act, http://uscode.house.gov/statutes/pl/111/203.pdf.
[7]美国消费者金融保护局:https://files.consumerfinance.gov/f/documents/cfpb_data-rights-rulemaking-1033-SBREFA-high-level-summary-discussion-guide_2022-10.pdf,2022年11月3日访问。
[8]美国政府信息网:https://www.govinfo.gov/content/pkg/FR-2016-11-22/pdf/2016-28086.pdf。2022年11月3日访问。
[9]美国消费者金融保护局:https://files.consumerfinance.gov/f/documents/cfpb_consumer-protection-principles_data-aggregation.pdf,2022年11月3日访问。
[10]美国消费者金融保护局:https://www.consumerfinance.gov/data-research/research-reports/bureau-symposium-consumer-access-financial-records-summary-proceedings/,2022年11月3日访问。
[11]美国消费者金融保护局:https://www.consumerfinance.gov/personal-financial-data-rights/,2022年11月3日访问。
[12]美国消费者金融保局:https://www.consumerfinance.gov/about-us/newsroom/director-chopra-prepared-remarks-at-money-20-20/,2022年11月3日访问。
(完)
往期文章
1、产业数据治理
2、中心数据治理动态
3、我国数据跨境流动治理
香港个人资料私隐专员公署就《数据出境安全评估办法》生效发布提醒
《个人信息出境标准合同规定(征求意见稿)》适用要点解读
4、欧盟数据治理模式
全文首发|欧盟委员会《关于欧洲共同数据空间》工作文件(中译本)
对数据的监管如何培育数字经济创新和竞争 ——GDPR提供的共同监管工具
EDPB《关于行为守则作为数据跨境传输工具的04/2021号指南》简评(附征求意见前后对比中译本全文)
EDBP《关于对处理者具有约束力的公司规则的工作文件》中译本全文
EDBP《关于对控制者具有约束力的公司规则的工作文件》中译本全文
5、全球数据治理观察
6、全球数据跨境流动治理
印度拟发布新的数据保护法草案,或放宽数据本地化要求
数据跨境流动 | 俄罗斯更新充分性保护国家名单,中国被列入其中
G7国家数据跨境流动政策演进
英国“数据 新方向”咨询结果|促进贸易和减少数据跨境传输壁垒(第三章)
欧盟GDPR vs. APEC CBPR:数据跨境传输机制比较分析(下)
欧盟GDPR vs. APEC CBPR:数据跨境传输机制比较分析(上)
数据跨境流动的规则监管与多元治理
7、国际数据空间
【域外执法】欧盟EDPB:发布“欧洲健康数据空间”联合意见——必须确保对电子健康数据的有力保护(附意见原文)
全文首发|EDPB和EDPS就《欧洲健康数据空间条例》提案发布联合意见(中译本)
全文首发|欧盟委员会《关于欧洲共同数据空间》工作文件(中译本)
合作发布|国际数据空间IDS China Research Lab正式启动
8、数据权属与数据治理之争