2019年11月19日,巴塞尔银行监管委员会(BCBS)发布了 报告 关于开放银行及其对银行和银行监管的影响。该报告基于BCBS在其2018年关于开放银行和应用程序编程接口(API)的先前调查结果 报告 (“关于金融科技发展对银行和银行监管者的影响的合理做法”)。我们从下面的数据保护角度突出显示该报告的发现。

背景

该报告(包括2018年报告)认识到,技术进步和客户对更多信息和服务的需求已改变了传统银行业务,并可能在现有银行,专业金融科技公司和新的中介机构之间造成鸿沟。

由于开放式银行所带来的服务的多样性,第三方安排中的数据共享变得越来越普遍:财务管理工具,银行之间的无缝支付传输,垂直集成的金融服务–清单还在继续。 BCBS专注于“客户许可的数据共享”,即客户将许可授予第三方公司以通过客户的银行访问其数据。这些第三方公司将通过数据聚合器收集此类数据,这些数据聚合器可能会采用多种技术(例如屏幕抓取或逆向工程)来访问和存储客户凭证。

突出问题

  • 开放式银行框架–通常, “规定性”方法 (欧盟,印度)要求银行共享客户允许的数据,并且第三方访问此类数据以向当地监管机构进行注册。当局采用 “促进”方法 (香港,新加坡)将发布指南/建议,而不是规则,并公开API标准和技术规范;而一个 “市场驱动”的方法 (中国,美国)没有任何明确的规则/指南来规范银行与第三方共享客户允许的数据。
  • 数据隐私法为基础–尽管报告承认调查的辖区之间的法律框架有所不同,但无论是寻求客户同意的银行,还是通过第三方提供的确认接受客户同意的银行,客户同意仍然是基础。几乎所有司法管辖区都限制第三方出于初始同意范围之外的目的使用/转售数据,并要求第三方在使用/转售数据之前获得客户的进一步同意。此外,如果合同安排中有规定并且在修订的《支付服务指令》(针对欧盟)的条件下,则可以与第三方共享数据。
  • API –第三方使用数据聚合器通过屏幕抓取或逆向工程等技术来访问客户凭证。为了更安全地进行交互,银行已通过API转向了令牌化的授权方法,从而无需进行屏幕抓取。在某些辖区还制定了反屏幕抓取法律,鼓励使用此类API,并在银行的API不可用的情况下开发修改的客户界面。但是,开发此类API所需的时间和成本构成了障碍,特别是对于没有较大规模经济的小型银行。一些司法管辖区正在发布有关开放API框架(例如OAuth 2.0)的指南,以帮助采用和进一步阻止屏幕抓取。
  • 第三方风险管理–在没有合同关系或第三方未在单独机构注册的情况下,很难监督和监视第三方。管辖权规则有所不同,因为某些规则赋予银行确保第三方合规的责任,而在其他情况下,注册的第三方则受银行监管机构本身的授权。如果第三方既没有对银行的合同义务,也没有得到任何机构的授权,则可能存在监管缺口,这将使向第三方施加风险控制要求变得困难。

评论

随着开放式银行业务随着下一代客户的不断增长,我们看到API的使用呈上升趋势,并且需要在全球范围内为开放式银行开发开放式API标准。银行应提前考虑一些步骤,并考虑与API相关的操作和网络安全风险,例如DOS攻击,基础设施故障和IP地址欺骗,并拥有适当的系统来应对这些威胁。尽管我们认识到不同的司法管辖区对开放银行监管持有不同的态度,但我们期望国际组织和监管机构在此快速发展的空间中发挥更大的领导作用。

我们正在密切监视更新,因此请经常检查。