学生博客:财务数据保护
作者:Zachary Zehner, RBFL学生编辑
如果我是个赌徒,我猜一般的读者都有银行账户、信用卡,有些人甚至还有投资组合。 为了应付所有这些账户,并试图坚持自己的财务预算,许多消费者选择了像M在t.com这样的第三方服务提供商。 M在t提供了一个平台,将所有这些账户整合到一个地方,并提供一个人的财务健康的更全面的画面。 但M在t是怎么知道你所有这些账户的财务状况的? 就像在美国使用M在t和许多其他第三方金融服务一样,你给他们你的用户名和密码来登录你的金融账户并记录你的金融数据。 这个过程叫做屏幕刮擦。 用户将其登录凭据提供给数据聚合器(通常是代表第三方服务提供商的独立公司),该公司使用专有软件收集您的帐户余额、交易、费用和利息费用。 考虑到数据聚合器访问的性质,它们不仅可以完全控制您的财务帐户,还可以控制其他数据,包括您可能添加到帐户中的非必要个人数据,如家庭住址、电话号码和生日。 事实上,你的银行机构很难追踪到底是你还是数据聚合器登录了你的账户。 虽然这一切看起来相当可怕,但由于数据聚合器使用屏幕抓取技术,还没有出现任何数据泄露。 更可怕的是,在美国,一些金融机构已经单方面封锁了一些第三方服务。 因此,消费者可能会觉得他们实际上并不拥有自己的财务数据,因为金融机构决定谁可以访问这些数据。 金融机构认为,屏幕抓取存在严重的安全问题,同时也存在一些后勤问题,以此来合理化封锁第三方服务提供商。
在欧盟,修订后的支付服务指令(PSD2)结束了对消费者金融数据的垄断,并将其重新置于消费者手中。 它还几乎完全放弃了屏幕抓取,选择使用应用程序编程接口(api)。 使用api,数据聚合器可以通过金融机构网站上的专门门户访问消费者数据,而不是像使用屏幕抓取技术那样使用面向消费者的界面。 api允许更好地控制与数据聚合器共享的个人数据范围,并减轻金融机构在屏幕抓取方面的许多后勤问题。 虽然从表面上看,api似乎是美国金融数据监管方向的明确答案,但实际情况要复杂得多。 api价格昂贵,许多社区银行无法像通过屏幕抓取那样为消费者提供额外的服务。 api看起来不可攻破,但Equifax的漏洞证明并非如此。 最后,许多第三方服务提供商长期依赖于屏幕抓取,因此转换到api会给他们的业务带来困难。
目前,消费者金融保护局还没有采取任何积极澳门威尼斯人注册行动来规范我们的金融数据。 这个行业是自我调节的,希望这能让我们度过难关,直到我们对欧盟新颁布的PSD2的结果进行评估。
来源
- 金融科技:审视数字化、数据和技术:美国众议院银行、住房和城市事务委员会听证会,第115届会议,第31期(2018年9月18日),https://www.gov在fo.gov/c在tent/pkg/CHRG-115shrg27749/pdf/CHRG-115shrg27749.pdf
- 消费者金融保护局,《消费者保护原则:消费者授权的金融数据共享和汇总》(2010年10月) 17, 2018), https://files.c在sumerf在ance.gov/f/documents/cfpb_c在sumer-protecti在-pr在ciples_data-aggregati在.pdf
- 美国财政部部长。非银行金融、金融科技和创新向唐纳德·j·特朗普总统提交的澳门威尼斯人注册监管美国金融体系核心原则的第13772号行政命令报告, at 25, https://home.treasury.gov/sites/default/files/2018-07/A-F在ancial-System-that-Creates-Ec在omic-Opportunities—N在bank-F在anci….pdf
- Er在 F在te & Brenna McGee, 欧盟法律为美国金融公司提供数据共享指导。, Law360 (June 29, 2018), https://www.law360.com/articles/1056977/eu-law-br在gs-data-shar在g-po在ters-for-us-f在ancial-cos