這裡有數據聚合公司、Fintech 與銀行最關心的四個用戶數據共享問題

2017-09-03 Penny Crosman 機器之能

數據聚合公司、Fintech與銀行之間的數據爭議主要集中在這幾個方面：不合理的數據共享雙邊協議、棘手的數據再利用、API的開放尺度以及缺乏公開對話。

作者 | Penny Crosman

來源 | AmericanBanker

編譯 | Rik

銀行賬戶數據共享的支持者們已經備好了論據，開始發起進攻。

數據聚合公司和一些 Fintech 公司的業務模式與產品離不開消費者的銀行賬戶數據。數據聚合公司的盈利模式是收集客戶信息並將其分給其它公司，通常是一些 Fintech 公司，銀行也有涉及。它通過屏幕抓取（使用客戶的用戶名和密碼登錄網上銀行，將交易信息複製並粘貼到資料庫中），或直接與銀行資料庫相連來聚合數據。Fintech 公司，例如那些提供機器人顧問和個人財務管理軟體的公司，還依靠這些數據來提供服務，其數據獲取方式是向數據聚合公司購買，或自己進行屏幕抓取/直接連接。

最近，31 個數據聚合公司和 Fintech 公司聯合設立了一個新進集團 Consumer Financial Data Rights。該集團認為，銀行所交付的數據量還沒有達到其應有的標準。它正在會晤銀行監管機構以申訴權益，並試圖讓消費者代為請願，敦促他們發推特：「.@ CFPB 保護美國人授權訪問其財務信息的能力。# handsoffmyfinancialdata。」2016 年 11 月，CFPB 發起了一項調查，以期了解消費者在獲取、使用和安全地分享其財務記錄方面所面臨的挑戰。

當你分別與銀行家、Fintech 公司和數據聚合公司進行談話時，你會發現他們的意見一致：都聲稱自己知道消費者的需求，是客戶權利最佳捍衛者和數據保護方；都贊成開放 API 來共享數據；都說自己的動機是為了幫助消費者。然而，每個陣營似乎都主要在關注自己的商業利益。

CFDR 的領導人指責銀行推動雙邊協議，限制可被共享的數據類型以及能夠被共享的用例。他們還說大型銀行甚至拒絕與他們討論這些問題。他們希望看到金融行業可以圍繞一套共同的原則而聯合起來，比如歐盟的通用數據保護規則（General Data Protection Rule）。

「想一想，醫療保健領域的所有重要進展都依賴於你的數據、你的 DNA、你的醫療記錄，」Betterment 公司 CEO Jon Stein 說道。「如果所有這些都是由一個醫生擁有，而你沒有權利訪問、擁有、轉移它，這就會引發強烈的抗議。」

銀行表示，他們無意限制數據共享，並希望讓客戶自己決定與誰共享其銀行賬戶數據，他們想要確保數據的安全。

「我完全同意應該由客戶來掌控自己的銀行信息，」當富國銀行（Wells Fargo Virtual Channels）宣布其與 Intuit 公司簽訂的數據共享協議時，該公司數字部門負責人 Brett Pitts 說道。「數據安全對客戶來說極為重要。」除了富國銀行，BBVA Compass、花旗、大通和矽谷銀行也設立了 API 用於與第三方共享客戶數據。

類似爭端也出現在其它行業。本周，一家叫 HiQ 的分析公司起訴 LinkedIn 侵犯其抓取數據的永久權利，法官裁定 LinkedIn 必須允許該公司繼續利用屏幕抓取用戶配置文件。LinkedIn 申辯稱 HiQ 的自動抓取工具在未徵得其許可的情況下，非法繞過其反抓取保護，免費獲得了用戶和機構的個人信息。LinkedIn 與其它幾家分析公司有正式的數據共享協議。

CFDR 與銀行間還有幾個具體的爭議點：

雙邊協議

CFDR 對銀行最大不滿在於，後者與數據聚合公司和 Fintech 公司制定的是一次性的數據共享協議。大通銀行和富國銀行最近都宣布了其各自與 Intuit 公司和 finicity 公司簽署的協議。

「問題在於，一些金融機構制定雙邊協議讓人不安：限制客戶的個人數據查看許可權和數據使用情況，」Envestnet Yodlee（財富管理軟體公司 Envestnet 於 2015 年收購了數據聚合公司 Yodlee）公司 CEO Anil Arora 說道。「而且銀行間所提議的技術並不一致，它們很貴、不可規模化，且是一次性的，這些技術在某些情況下並不那麼安全，甚至可能導致意外的結局。」

例如，Betterment 等公司會向客戶提供分析、建議和規劃服務，而銀行正在限制這些公司的數據使用許可權，Arora 說到。

「銀行將會憑藉自己的聰明才智，決定消費者可以傳遞的數據類型，」他說。

「數據限制意義重大。銀行還限制了用戶被允許共享應用程序的用例類型。」

「想像一下：我們基本上是在對消費者說，你不能擅自決定如何使用數據，必須通過第三方銀行。」

此外，每家銀行都有一套自己的限制標準，Arora 說。

「想像一下，在理論上和現實中，這會對 Fintech 公司、技術公司和數據聚合公司造成什麼樣的影響，它們不得不一次性與每家銀行簽訂一套不同的數據和限制協議，」Arora 說道。「由於數據不一致，這打破了公司原有解決方案和服務的運行模式。」

富國銀行和大通銀行高管拒絕接受與此話題相關的採訪。過去，他們對公司與數據聚合公司的協議不予置評，將其稱為法律事務。

「我們的原則從來沒有變過，這些舉措不是為了限制數據，而是為了保證客戶行駛數據權利的安全性與透明性，」Pitts 在早先的採訪中就富國銀行與 Intuit 公司簽訂的協議如是說道。

將客戶數據轉售給第三方

另一個問題是：數據被共享給數據聚合公司或 Fintech 公司會產生哪些影響？

據報道，Yodlee 公司將自己搜集到的部分銀行和信用卡交易數據賣給投資者、研究機構和對沖基金，比如從 Steven A. Cohen 的 Point72 公司那裡賺得了數百萬美元。對沖基金挖掘尋找能推動股票價格走勢的線索信息。這背離了 GDPR 原則：未告知消費者其個人數據的使用情況，也沒有事先徵詢消費者的意見。沒有線索表明該公司在數據使用方面徵求過客戶的同意和許可。

Yodlee 說，它不出售可識別的個人信息；數據都是匿名的。然而，匿名數據可被解匿，且 GDPR 中專門將「銀行信息」列為需要保護的數據。

大型銀行（特別是大通銀行）稱，不轉售客戶數據是本行的基本政策。

當大通銀行於一月份宣布其與 Intuit 公司制定的數據共享協議時，兩家公司表示他們不會將數據出售給第三方。他們說，客戶將被明確徵求數據分享意見，決定是否讓 Intuit 公司及其應用程序使用特定的帳戶信息，並有權打開和關閉 Intuit 公司應用程序的數據訪問許可權。

「其中最重要的部分是用戶賦權，」JP 摩根大通銀行董事長兼 CEO Jamie Dimon 當時在一份聲明中說道。「客戶將決定他們想要分享的內容和時機——而不必交出密碼。」

富國銀行執行副總裁兼數字解決方案的業務負責人 Secil Tabli Watson 在今年夏初接受記者採訪時指出，轉售客戶數據存在安全性方面的問題。

「任何數據都可能遭到破壞，所以你要儘可能保證數據的安全性，」她說。「僅僅因為它是匿名的，並不意味著不存在損失的空間，如果有人能夠竊取的話。」矽谷銀行的開放平台和研發部門 API 銀行業務主管 Dan Kimerling 指出，很難界定數據再利用的合法性違規操作之間的界限。例如，一些信用卡機構出於研究目的而轉售交易數據。

「如果你有一些有價值的數據，有人想買，而你想賣，」他說。「那麼總會有一個合適的價格。」

他說，在轉售數據之前徵求消費者的同意是沒有意義的，因為沒有人會閱讀條款和條件。

開放 API 介面

這場辯論的雙方都支持使用開放 API 來共享銀行和第三方之間的數據。但他們似乎對「開放」這個詞有不同的解釋。數據聚合和 Fintechs 想「開放」的意思，對所有人開放。銀行希望它的意思是，開放給任何同意的人。

富國銀行創建了一個 API 網關門戶網站和幾個基於 JSON 和 REST 的 API，它們專為特定目的而設計，比如賬戶聚集（被 Intuit 和 Xero 所採用）、外匯和現金管理。網關是用於受審企業客戶；該銀行表示，它鼓勵 Fintech 夥伴使用其數據來創造新產品，尤其歡迎與富國銀行擁有許多共同客戶的公司建立 API 合作關係。

Watson 說：「很顯然，我們不只是去回復來自宏都拉斯（拉丁美洲國家）等一些未知的 API 訪問者的電子郵件邀約，」她說，將來可能會有一些 API 對所有人開放，比如銀行 ATM 和分行的位置數據。「我們不需要對訪問者做客戶審查。」

Kimerling 認為 API 應該對符合最低標準的所有公眾開放，該標準將被公開審查並出版。

「從字面上說，我不認為為每個 Tom、Dick 和 Harry 賦予數據訪問許可權是為了公共利益，」Kimerling 說。

呼籲公開對話

CFDR 的另一個不滿是，銀行不與數據聚合公司和 Fintech 公司開展相關對話。

「為什麼我們金融業還沒有像歐洲或亞洲團體那樣，就各個選項進行公開透明的辯論並進行評估？」Arora 說道。「提議的內容有什麼秘密可言？如果我們公開討論各個選項及其利弊，那麼你就可以得出符合你處境與觀點的結論，但現實並沒有這樣發展。」

Kimerling 表示同意。

「沒有一個嚴格的公共辯論去討論正確的數據處理方式——它現在是封閉而秘密的，」他說。「你可以聲稱自己在維護客戶利益，而實際上是在維護自己的業務，這很容易辦到。」在 Kimerling 看來，賬戶和交易數據應屬於消費者。

「銀行正在努力以一種缺乏邏輯的方式來控制這些數據，」他說道。「消費者並不認為其銀行數據有價值。消費者希望可以自由地提供他們的數據，並分享出數據以增加客戶的價值。

Kimerling 承認，當客戶數據被聯合起來時，銀行有理由關注自己所面臨的責任。「但無論他們願意與否，數據都會被聯合起來。」

Arora 和 CDFR 視歐洲為榜樣。「我認為 GDPR 將會很好地替代現行的雙邊協議，」他說。

不過，這很可能需要立法，請參考華盛頓最近的新聞 GOP Obamacare repeal bill fails in dramatic late-night vote。

即使首都沒有出現僵局，Kimerling 也並不確定在美國嘗試推行 GDPR 的可行性，因為美國有成千上萬個大中小型銀行以及千差萬別的技術資源。

高收入、高活力的新興「超級群體」（福特汽車公司將其小型、緊湊型和中型系列車型 Fusion、Focus, Escape、C-Max 和 Fiesta 命名為 super-segment，原文指代該系列產品的市場受眾）正在成為銀行業的消費者。

「很難制定出相關標準，因為其背後的規範正在迅速發展，」Kimerling 說道。「現在看來非法目的可能在五年後是合法的。有一點可以確定的是，這些規範標準正在迅速發展，我們必須保持密切注意。我們不應該假設甚至希望它們處於靜態之中。」

最重要的是，沒有人真正以最好、最實際的數據共享方式為出發點來進行思考，而且沒有任何一方當事人秉持純粹的動機。如果能有一個獨立而公正的人或團體來解決問題就好了。這項工作可能會落入 CFPB 或另一個調解人手中。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！