作者 | Penny Crosman
來源 | AmericanBanker
編譯 | Rik
銀行賬戶資料共享的支持者們已經備好了論據,開始發起進攻。
資料聚合公司和一些 Fintech 公司的業務模式與產品離不開消費者的銀行賬戶資料。資料聚合公司的盈利模式是收集客戶資訊並將其分給其它公司,通常是一些 Fintech 公司,銀行也有涉及。它透過螢幕抓取(使用客戶的使用者名稱和密碼登入網上銀行,將交易資訊複製並貼上到資料庫中),或直接與銀行資料庫相連來聚合資料。Fintech 公司,例如那些提供機器人顧問和個人財務管理軟體的公司,還依靠這些資料來提供服務,其資料獲取方式是向資料聚合公司購買,或自己進行螢幕抓取/直接連線。
最近,31 個資料聚合公司和 Fintech 公司聯合設立了一個新進集團 Consumer Financial Data Rights。該集團認為,銀行所交付的資料量還沒有達到其應有的標準。它正在會晤銀行監管機構以申訴權益,並試圖讓消費者代為請願,敦促他們發推特:「.@ CFPB 保護美國人授權訪問其財務資訊的能力。# handsoffmyfinancialdata。」2016 年 11 月,CFPB 發起了一項調查,以期瞭解消費者在獲取、使用和安全地分享其財務記錄方面所面臨的挑戰。
當你分別與銀行家、Fintech 公司和資料聚合公司進行談話時,你會發現他們的意見一致:都聲稱自己知道消費者的需求,是客戶權利最佳捍衛者和資料保護方;都贊成開放 API 來共享資料;都說自己的動機是為了幫助消費者。然而,每個陣營似乎都主要在關注自己的商業利益。
CFDR 的領導人指責銀行推動雙邊協議,限制可被共享的資料型別以及能夠被共享的用例。他們還說大型銀行甚至拒絕與他們討論這些問題。他們希望看到金融行業可以圍繞一套共同的原則而聯合起來,比如歐盟的通用資料保護規則(General Data Protection Rule)。
「想一想,醫療保健領域的所有重要進展都依賴於你的資料、你的 DNA、你的醫療記錄,」Betterment 公司 CEO Jon Stein 說道。「如果所有這些都是由一個醫生擁有,而你沒有權利訪問、擁有、轉移它,這就會引發強烈的抗議。」
銀行表示,他們無意限制資料共享,並希望讓客戶自己決定與誰共享其銀行賬戶資料,他們想要確保資料的安全。
「我完全同意應該由客戶來掌控自己的銀行資訊,」當富國銀行(Wells Fargo Virtual Channels)宣佈其與 Intuit 公司簽訂的資料共享協議時,該公司數字部門負責人 Brett Pitts 說道。「資料安全對客戶來說極為重要。」除了富國銀行,BBVA Compass、花旗、大通和矽谷銀行也設立了 API 用於與第三方共享客戶資料。
類似爭端也出現在其它行業。本週,一家叫 HiQ 的分析公司起訴 LinkedIn 侵犯其抓取資料的永久權利,法官裁定 LinkedIn 必須允許該公司繼續利用螢幕抓取使用者配置檔案。LinkedIn 申辯稱 HiQ 的自動抓取工具在未徵得其許可的情況下,非法繞過其反抓取保護,免費獲得了使用者和機構的個人資訊。LinkedIn 與其它幾家分析公司有正式的資料共享協議。
CFDR 與銀行間還有幾個具體的爭議點:
雙邊協議
CFDR 對銀行最大不滿在於,後者與資料聚合公司和 Fintech 公司制定的是一次性的資料共享協議。大通銀行和富國銀行最近都宣佈了其各自與 Intuit 公司和 finicity 公司簽署的協議。
「問題在於,一些金融機構制定雙邊協議讓人不安:限制客戶的個人資料檢視許可權和資料使用情況,」Envestnet Yodlee(財富管理軟體公司 Envestnet 於 2015 年收購了資料聚合公司 Yodlee)公司 CEO Anil Arora 說道。「而且銀行間所提議的技術並不一致,它們很貴、不可規模化,且是一次性的,這些技術在某些情況下並不那麼安全,甚至可能導致意外的結局。」
例如,Betterment 等公司會向客戶提供分析、建議和規劃服務,而銀行正在限制這些公司的資料使用許可權,Arora 說到。
「銀行將會憑藉自己的聰明才智,決定消費者可以傳遞的資料型別,」他說。
「資料限制意義重大。銀行還限制了使用者被允許共享應用程式的用例型別。」
「想象一下:我們基本上是在對消費者說,你不能擅自決定如何使用資料,必須透過第三方銀行。」
此外,每家銀行都有一套自己的限制標準,Arora 說。
「想像一下,在理論上和現實中,這會對 Fintech 公司、技術公司和資料聚合公司造成什麼樣的影響,它們不得不一次性與每家銀行簽訂一套不同的資料和限制協議,」Arora 說道。「由於資料不一致,這打破了公司原有解決方案和服務的執行模式。」
富國銀行和大通銀行高管拒絕接受與此話題相關的採訪。過去,他們對公司與資料聚合公司的協議不予置評,將其稱為法律事務。
「我們的原則從來沒有變過,這些舉措不是為了限制資料,而是為了保證客戶行駛資料權利的安全性與透明性,」Pitts 在早先的採訪中就富國銀行與 Intuit 公司簽訂的協議如是說道。
將客戶資料轉售給第三方
另一個問題是:資料被共享給資料聚合公司或 Fintech 公司會產生哪些影響?
據報導,Yodlee 公司將自己蒐集到的部分銀行和信用卡交易資料賣給投資者、研究機構和對沖基金,比如從 Steven A. Cohen 的 Point72 公司那裡賺得了數百萬美元。對沖基金挖掘尋找能推動股票價格走勢的線索資訊。這背離了 GDPR 原則:未告知消費者其個人資料的使用情況,也沒有事先徵詢消費者的意見。沒有線索表明該公司在資料使用方面徵求過客戶的同意和許可。
Yodlee 說,它不出售可識別的個人資訊;資料都是匿名的。然而,匿名資料可被解匿,且 GDPR 中專門將「銀行資訊」列為需要保護的資料。
大型銀行(特別是大通銀行)稱,不轉售客戶資料是本行的基本政策。
當大通銀行於一月份宣佈其與 Intuit 公司制定的資料共享協議時,兩家公司表示他們不會將資料出售給第三方。他們說,客戶將被明確徵求資料分享意見,決定是否讓 Intuit 公司及其應用程式使用特定的帳戶資訊,並有權開啟和關閉 Intuit 公司應用程式的資料訪問許可權。
「其中最重要的部分是使用者賦權,」JP 摩根大通銀行董事長兼 CEO Jamie Dimon 當時在一份宣告中說道。「客戶將決定他們想要分享的內容和時機——而不必交出密碼。」
富國銀行執行副總裁兼數字解決方案的業務負責人 Secil Tabli Watson 在今年夏初接受記者採訪時指出,轉售客戶資料存在安全性方面的問題。
「任何資料都可能遭到破壞,所以你要儘可能保證資料的安全性,」她說。「僅僅因為它是匿名的,並不意味著不存在損失的空間,如果有人能夠竊取的話。」矽谷銀行的開放平臺和研發部門 API 銀行業務主管 Dan Kimerling 指出,很難界定資料再利用的合法性違規操作之間的界限。例如,一些信用卡機構出於研究目的而轉售交易資料。
「如果你有一些有價值的資料,有人想買,而你想賣,」他說。「那麼總會有一個合適的價格。」
他說,在轉售資料之前徵求消費者的同意是沒有意義的,因為沒有人會閱讀條款和條件。
開放 API 介面
這場辯論的雙方都支援使用開放 API 來共享銀行和第三方之間的資料。但他們似乎對「開放」這個詞有不同的解釋。資料聚合和 Fintechs 想「開放」的意思,對所有人開放。銀行希望它的意思是,開放給任何同意的人。
富國銀行建立了一個 API 閘道器入口網站和幾個基於 JSON 和 REST 的 API,它們專為特定目的而設計,比如賬戶聚集(被 Intuit 和 Xero 所採用)、外匯和現金管理。閘道器是用於受審企業客戶;該銀行表示,它鼓勵 Fintech 夥伴使用其資料來創造新產品,尤其歡迎與富國銀行擁有許多共同客戶的公司建立 API 合作關係。
Watson 說:「很顯然,我們不只是去回覆來自宏都拉斯(拉丁美洲國家)等一些未知的 API 訪問者的電子郵件邀約,」她說,將來可能會有一些 API 對所有人開放,比如銀行 ATM 和分行的位置資料。「我們不需要對訪問者做客戶審查。」
Kimerling 認為 API 應該對符合最低標準的所有公眾開放,該標準將被公開審查並出版。
「從字面上說,我不認為為每個 Tom、Dick 和 Harry 賦予資料訪問許可權是為了公共利益,」Kimerling 說。
呼籲公開對話
CFDR 的另一個不滿是,銀行不與資料聚合公司和 Fintech 公司開展相關對話。
「為什麼我們金融業還沒有像歐洲或亞洲團體那樣,就各個選項進行公開透明的辯論並進行評估?」Arora 說道。「提議的內容有什麼秘密可言?如果我們公開討論各個選項及其利弊,那麼你就可以得出符合你處境與觀點的結論,但現實並沒有這樣發展。」
Kimerling 表示同意。
「沒有一個嚴格的公共辯論去討論正確的資料處理方式——它現在是封閉而秘密的,」他說。「你可以聲稱自己在維護客戶利益,而實際上是在維護自己的業務,這很容易辦到。」在 Kimerling 看來,賬戶和交易資料應屬於消費者。
「銀行正在努力以一種缺乏邏輯的方式來控制這些資料,」他說道。「消費者並不認為其銀行資料有價值。消費者希望可以自由地提供他們的資料,並分享出資料以增加客戶的價值。
Kimerling 承認,當客戶資料被聯合起來時,銀行有理由關注自己所面臨的責任。「但無論他們願意與否,資料都會被聯合起來。」
Arora 和 CDFR 視歐洲為榜樣。「我認為 GDPR 將會很好地替代現行的雙邊協議,」他說。
不過,這很可能需要立法,請參考華盛頓最近的新聞 GOP Obamacare repeal bill fails in dramatic late-night vote。
即使首都沒有出現僵局,Kimerling 也並不確定在美國嘗試推行 GDPR 的可行性,因為美國有成千上萬個大中小型銀行以及千差萬別的技術資源。
高收入、高活力的新興「超級群體」(福特汽車公司將其小型、緊湊型和中型系列車型 Fusion、Focus, Escape、C-Max 和 Fiesta 命名為 super-segment,原文指代該系列產品的市場受眾)正在成為銀行業的消費者。
「很難制定出相關標準,因為其背後的規範正在迅速發展,」Kimerling 說道。「現在看來非法目的可能在五年後是合法的。有一點可以確定的是,這些規範標準正在迅速發展,我們必須保持密切注意。我們不應該假設甚至希望它們處於靜態之中。」
最重要的是,沒有人真正以最好、最實際的資料共享方式為出發點來進行思考,而且沒有任何一方當事人秉持純粹的動機。如果能有一個獨立而公正的人或團體來解決問題就好了。這項工作可能會落入 CFPB 或另一個調解人手中。