作者 | Penny Crosman
来源 | AmericanBanker
编译 | Rik
银行账户数据共享的支持者们已经备好了论据,开始发起进攻。
数据聚合公司和一些 Fintech 公司的业务模式与产品离不开消费者的银行账户数据。数据聚合公司的盈利模式是收集客户信息并将其分给其它公司,通常是一些 Fintech 公司,银行也有涉及。它通过屏幕抓取(使用客户的用户名和密码登录网上银行,将交易信息复制并粘贴到数据库中),或直接与银行数据库相连来聚合数据。Fintech 公司,例如那些提供机器人顾问和个人财务管理软件的公司,还依靠这些数据来提供服务,其数据获取方式是向数据聚合公司购买,或自己进行屏幕抓取/直接连接。
最近,31 个数据聚合公司和 Fintech 公司联合设立了一个新进集团 Consumer Financial Data Rights。该集团认为,银行所交付的数据量还没有达到其应有的标准。它正在会晤银行监管机构以申诉权益,并试图让消费者代为请愿,敦促他们发推特:「.@ CFPB 保护美国人授权访问其财务信息的能力。# handsoffmyfinancialdata。」2016 年 11 月,CFPB 发起了一项调查,以期了解消费者在获取、使用和安全地分享其财务记录方面所面临的挑战。
当你分别与银行家、Fintech 公司和数据聚合公司进行谈话时,你会发现他们的意见一致:都声称自己知道消费者的需求,是客户权利最佳捍卫者和数据保护方;都赞成开放 API 来共享数据;都说自己的动机是为了帮助消费者。然而,每个阵营似乎都主要在关注自己的商业利益。
CFDR 的领导人指责银行推动双边协议,限制可被共享的数据类型以及能够被共享的用例。他们还说大型银行甚至拒绝与他们讨论这些问题。他们希望看到金融行业可以围绕一套共同的原则而联合起来,比如欧盟的通用数据保护规则(General Data Protection Rule)。
「想一想,医疗保健领域的所有重要进展都依赖于你的数据、你的 DNA、你的医疗记录,」Betterment 公司 CEO Jon Stein 说道。「如果所有这些都是由一个医生拥有,而你没有权利访问、拥有、转移它,这就会引发强烈的抗议。」
银行表示,他们无意限制数据共享,并希望让客户自己决定与谁共享其银行账户数据,他们想要确保数据的安全。
「我完全同意应该由客户来掌控自己的银行信息,」当富国银行(Wells Fargo Virtual Channels)宣布其与 Intuit 公司签订的数据共享协议时,该公司数字部门负责人 Brett Pitts 说道。「数据安全对客户来说极为重要。」除了富国银行,BBVA Compass、花旗、大通和硅谷银行也设立了 API 用于与第三方共享客户数据。
类似争端也出现在其它行业。本周,一家叫 HiQ 的分析公司起诉 LinkedIn 侵犯其抓取数据的永久权利,法官裁定 LinkedIn 必须允许该公司继续利用屏幕抓取用户配置文件。LinkedIn 申辩称 HiQ 的自动抓取工具在未征得其许可的情况下,非法绕过其反抓取保护,免费获得了用户和机构的个人信息。LinkedIn 与其它几家分析公司有正式的数据共享协议。
CFDR 与银行间还有几个具体的争议点:
双边协议
CFDR 对银行最大不满在于,后者与数据聚合公司和 Fintech 公司制定的是一次性的数据共享协议。大通银行和富国银行最近都宣布了其各自与 Intuit 公司和 finicity 公司签署的协议。
「问题在于,一些金融机构制定双边协议让人不安:限制客户的个人数据查看权限和数据使用情况,」Envestnet Yodlee(财富管理软件公司 Envestnet 于 2015 年收购了数据聚合公司 Yodlee)公司 CEO Anil Arora 说道。「而且银行间所提议的技术并不一致,它们很贵、不可规模化,且是一次性的,这些技术在某些情况下并不那么安全,甚至可能导致意外的结局。」
例如,Betterment 等公司会向客户提供分析、建议和规划服务,而银行正在限制这些公司的数据使用权限,Arora 说到。
「银行将会凭借自己的聪明才智,决定消费者可以传递的数据类型,」他说。
「数据限制意义重大。银行还限制了用户被允许共享应用程序的用例类型。」
「想象一下:我们基本上是在对消费者说,你不能擅自决定如何使用数据,必须通过第三方银行。」
此外,每家银行都有一套自己的限制标准,Arora 说。
「想像一下,在理论上和现实中,这会对 Fintech 公司、技术公司和数据聚合公司造成什么样的影响,它们不得不一次性与每家银行签订一套不同的数据和限制协议,」Arora 说道。「由于数据不一致,这打破了公司原有解决方案和服务的运行模式。」
富国银行和大通银行高管拒绝接受与此话题相关的采访。过去,他们对公司与数据聚合公司的协议不予置评,将其称为法律事务。
「我们的原则从来没有变过,这些举措不是为了限制数据,而是为了保证客户行驶数据权利的安全性与透明性,」Pitts 在早先的采访中就富国银行与 Intuit 公司签订的协议如是说道。
将客户数据转售给第三方
另一个问题是:数据被共享给数据聚合公司或 Fintech 公司会产生哪些影响?
据报道,Yodlee 公司将自己搜集到的部分银行和信用卡交易数据卖给投资者、研究机构和对冲基金,比如从 Steven A. Cohen 的 Point72 公司那里赚得了数百万美元。对冲基金挖掘寻找能推动股票价格走势的线索信息。这背离了 GDPR 原则:未告知消费者其个人数据的使用情况,也没有事先征询消费者的意见。没有线索表明该公司在数据使用方面征求过客户的同意和许可。
Yodlee 说,它不出售可识别的个人信息;数据都是匿名的。然而,匿名数据可被解匿,且 GDPR 中专门将「银行信息」列为需要保护的数据。
大型银行(特别是大通银行)称,不转售客户数据是本行的基本政策。
当大通银行于一月份宣布其与 Intuit 公司制定的数据共享协议时,两家公司表示他们不会将数据出售给第三方。他们说,客户将被明确征求数据分享意见,决定是否让 Intuit 公司及其应用程序使用特定的帐户信息,并有权打开和关闭 Intuit 公司应用程序的数据访问权限。
「其中最重要的部分是用户赋权,」JP 摩根大通银行董事长兼 CEO Jamie Dimon 当时在一份声明中说道。「客户将决定他们想要分享的内容和时机——而不必交出密码。」
富国银行执行副总裁兼数字解决方案的业务负责人 Secil Tabli Watson 在今年夏初接受记者采访时指出,转售客户数据存在安全性方面的问题。
「任何数据都可能遭到破坏,所以你要尽可能保证数据的安全性,」她说。「仅仅因为它是匿名的,并不意味着不存在损失的空间,如果有人能够窃取的话。」硅谷银行的开放平台和研发部门 API 银行业务主管 Dan Kimerling 指出,很难界定数据再利用的合法性违规操作之间的界限。例如,一些信用卡机构出于研究目的而转售交易数据。
「如果你有一些有价值的数据,有人想买,而你想卖,」他说。「那么总会有一个合适的价格。」
他说,在转售数据之前征求消费者的同意是没有意义的,因为没有人会阅读条款和条件。
开放 API 接口
这场辩论的双方都支持使用开放 API 来共享银行和第三方之间的数据。但他们似乎对「开放」这个词有不同的解释。数据聚合和 Fintechs 想「开放」的意思,对所有人开放。银行希望它的意思是,开放给任何同意的人。
富国银行创建了一个 API 网关门户网站和几个基于 JSON 和 REST 的 API,它们专为特定目的而设计,比如账户聚集(被 Intuit 和 Xero 所采用)、外汇和现金管理。网关是用于受审企业客户;该银行表示,它鼓励 Fintech 伙伴使用其数据来创造新产品,尤其欢迎与富国银行拥有许多共同客户的公司建立 API 合作关系。
Watson 说:「很显然,我们不只是去回复来自洪都拉斯(拉丁美洲国家)等一些未知的 API 访问者的电子邮件邀约,」她说,将来可能会有一些 API 对所有人开放,比如银行 ATM 和分行的位置数据。「我们不需要对访问者做客户审查。」
Kimerling 认为 API 应该对符合最低标准的所有公众开放,该标准将被公开审查并出版。
「从字面上说,我不认为为每个 Tom、Dick 和 Harry 赋予数据访问权限是为了公共利益,」Kimerling 说。
呼吁公开对话
CFDR 的另一个不满是,银行不与数据聚合公司和 Fintech 公司开展相关对话。
「为什么我们金融业还没有像欧洲或亚洲团体那样,就各个选项进行公开透明的辩论并进行评估?」Arora 说道。「提议的内容有什么秘密可言?如果我们公开讨论各个选项及其利弊,那么你就可以得出符合你处境与观点的结论,但现实并没有这样发展。」
Kimerling 表示同意。
「没有一个严格的公共辩论去讨论正确的数据处理方式——它现在是封闭而秘密的,」他说。「你可以声称自己在维护客户利益,而实际上是在维护自己的业务,这很容易办到。」在 Kimerling 看来,账户和交易数据应属于消费者。
「银行正在努力以一种缺乏逻辑的方式来控制这些数据,」他说道。「消费者并不认为其银行数据有价值。消费者希望可以自由地提供他们的数据,并分享出数据以增加客户的价值。
Kimerling 承认,当客户数据被联合起来时,银行有理由关注自己所面临的责任。「但无论他们愿意与否,数据都会被联合起来。」
Arora 和 CDFR 视欧洲为榜样。「我认为 GDPR 将会很好地替代现行的双边协议,」他说。
不过,这很可能需要立法,请参考华盛顿最近的新闻 GOP Obamacare repeal bill fails in dramatic late-night vote。
即使首都没有出现僵局,Kimerling 也并不确定在美国尝试推行 GDPR 的可行性,因为美国有成千上万个大中小型银行以及千差万别的技术资源。
高收入、高活力的新兴「超级群体」(福特汽车公司将其小型、紧凑型和中型系列车型 Fusion、Focus, Escape、C-Max 和 Fiesta 命名为 super-segment,原文指代该系列产品的市场受众)正在成为银行业的消费者。
「很难制定出相关标准,因为其背后的规范正在迅速发展,」Kimerling 说道。「现在看来非法目的可能在五年后是合法的。有一点可以确定的是,这些规范标准正在迅速发展,我们必须保持密切注意。我们不应该假设甚至希望它们处于静态之中。」
最重要的是,没有人真正以最好、最实际的数据共享方式为出发点来进行思考,而且没有任何一方当事人秉持纯粹的动机。如果能有一个独立而公正的人或团体来解决问题就好了。这项工作可能会落入 CFPB 或另一个调解人手中。