قانون جدید CFPB برای دادههای مالی شخصی: پایان «اسکرین اسکرپینگ» و آغاز بانکداری باز مبتنی بر API
یک قانون مهم از سوی سازمان حمایت مالی مصرفکننده (CFPB)، بانکداری آمریکا را با جایگزینی روش پرخطر «اسکرین اسکرپینگ» با اشتراکگذاری امن دادهها بر اساس API، متحول میکند. این تغییر، حق مصرفکنندگان را برای انتقال سوابق مالی خود به برنامهها و رقبای جدید تضمین کرده و عصر جدیدی از بانکداری باز را آغاز میکند.
به قلم تیم سردبیری کوهستان
این خبر را به اشتراک بگذارید
- مدافعان حقوق مصرفکننده
- این قانون را به عنوان یک پیروزی بزرگ برای حریم خصوصی و رقابت میبینند که به رویه خطرناک اشتراکگذاری رمز عبور پایان میدهد.
- نوآوران فینتک
- دستور API را به عنوان کاتالیزوری برای رشد میبینند که دسترسی قابل اعتماد به دادهها را بدون مسدود شدن توسط بانکهای قدیمی تضمین میکند.
- مؤسسات سنتی
- از حرکت به سمت APIهای امن حمایت میکنند اما در مورد هزینههای انطباق و مسئولیتپذیری در صورت نقض داده توسط یک برنامه شخص ثالث ابراز نگرانی میکنند.
زوایای پوششدادهنشده
- · بانکهای کوچک محلی که با هزینههای بالای پیادهسازی فنی مواجه هستند
- · دلالان داده که دسترسی به جریانهای داده مالی ثانویه را از دست میدهند
چرا مهم است
برای دههها، تغییر بانک یا استفاده از برنامههای مدیریت بودجه به معنای تحویل رمزهای عبور و از دست دادن سوابق تراکنشها بود. این قانون مالکیت قانونی دادههای مالی شما را به شما میدهد و دستیابی به سود بالاتر، نرخ وام بهتر و مدیریت پولتان را بدون به خطر انداختن امنیت، آسانتر میکند.
نکات کلیدی
- قانون CFPB «اسکرین اسکرپینگ» را ممنوع میکند و نیاز مصرفکنندگان به اشتراکگذاری رمزهای عبور بانکی با برنامههای شخص ثالث را از بین میبرد.
- بانکها اکنون باید اتصالات API امن برای اشتراکگذاری دادهها را بدون هیچ هزینهای برای مصرفکنندگان فراهم کنند.
- برنامههای شخص ثالث از استفاده از دادههای مالی برای اهداف ثانویه مانند تبلیغات هدفمند منع شدهاند.
- مصرفکنندگان باید هر ۱۲ ماه یکبار به طور فعال دسترسی به دادهها را مجدداً تأیید کنند تا از جمعآوری دادههای «زامبی» جلوگیری شود.
- این قانون تغییر بانک یا استفاده از دادههای جایگزین جریان نقدی برای تضمین وامها را برای مصرفکنندگان آسانتر میکند.
برای بخش عمدهای از دو دهه، رونق فناوری مالی آمریکا بر اساس یک آسیبپذیری امنیتی آشکار بنا شده بود: مصرفکنندگان نامهای کاربری و رمزهای عبور بانکی خود را در اختیار برنامههای شخص ثالث قرار میدادند. چه برای اتصال یک ابزار بودجهبندی، یک سرویس آمادهسازی مالیات، یا یک پلتفرم پرداخت همتا به همتا، کاربران به طور معمول اعتبارنامههای اصلی خود را به جمعآوریکنندگان داده تسلیم میکردند. اکنون، یک اصلاح نظارتی گسترده توسط سازمان حمایت مالی مصرفکننده (CFPB) رسماً به آن دوران پایان میدهد و آن را با یک چارچوب امن و با مجوز مصرفکننده جایگزین میکند.[1][6]
راهحل تاریخی به عنوان «اسکرین اسکرپینگ» شناخته میشد—یک فرآیند خودکار که در آن یک سرویس شخص ثالث با استفاده از اعتبارنامههای واقعی مصرفکننده وارد حساب بانکی او میشد، در رابط کاربری طوری حرکت میکرد که گویی یک انسان است، و دادههای تراکنش نمایش داده شده روی صفحه را کپی میکرد. در حالی که این روش موج اول نوآوری فینتک را ممکن ساخت، اما خطرات امنیتی عظیمی ایجاد کرد، منجر به قطعیهای مکرر اتصال هنگام بهروزرسانی وبسایتها توسط بانکها شد و کنترل اساسی مصرفکننده بر دادههای برداشته شده را از بین برد.[2][6]
قانون حقوق دادههای مالی شخصی CFPB، که بخش ۱۰۳۳ قانون داد-فرانک سال ۲۰۱۰ را اجرا میکند، اساساً این عمل را ممنوع میکند. در عوض، این قانون مؤسسات مالی را موظف میسازد که دادهها را از طریق رابطهای برنامهنویسی کاربردی (API) امن ارائه دهند. یک API به عنوان یک پل دیجیتالی اختصاصی و استاندارد بین دو سیستم نرمافزاری عمل میکند و به آنها اجازه میدهد تا قطعات خاصی از اطلاعات را بدون افشای اعتبارنامههای ورود کاربر مبادله کنند.[3][4]
مکانیک این انتقال API بر «توکنسازی» متکی است. تحت قانون جدید، هنگامی که یک مصرفکننده میخواهد حساب بانکی خود را به یک برنامه بودجهبندی متصل کند، به پورتال امن خود بانک هدایت میشود تا احراز هویت کند. سپس بانک یک توکن دیجیتال برای برنامه صادر میکند. این توکن فقط به دادههای خاصی که مصرفکننده مجاز کرده است—مانند موجودی حساب جاری و سوابق تراکنشها—اجازه دسترسی میدهد و مصرفکننده میتواند در هر زمان آن را لغو کند.[1][5]
فراتر از امنیت، این قانون برای شکستن آنچه اقتصاددانان «قفل شدن دادهها» مینامند، طراحی شده است. از نظر تاریخی، مصرفکنندگان تمایلی به تغییر به یک بانک جدید که نرخ بهره بالاتر یا کارمزد کمتری ارائه میدهد، نداشتند، زیرا این کار به معنای رها کردن سالها سابقه تراکنش بود. با تضمین قانونی قابل حمل بودن دادهها، CFPB اطمینان میدهد که مصرفکنندگان میتوانند سوابق مالی خود را به همان آسانی که یک شماره تلفن همراه را به یک اپراتور جدید منتقل میکنند، به یک رقیب ببرند.[3][6]
این قابل حمل بودن پیامدهای عمیقی برای دسترسی به اعتبار دارد. یک مصرفکننده با سابقه اعتباری سنتی ضعیف اکنون میتواند به راحتی به یک وامدهنده جدید اجازه دهد تا دادههای جریان نقدی او—پرداختهای اجاره، قبوض آب و برق، و سپردههای درآمد ثابت—را برای تضمین وام مسکن یا وام خودرو تجزیه و تحلیل کند. از آنجا که دادهها از طریق APIهای استاندارد جریان مییابند، وامدهندگان میتوانند این دادههای اعتباری جایگزین را فوراً و به صورت امن دریافت و تأیید کنند.[2][6]
برای اطمینان از اینکه این اکوسیستم قابل دسترس باقی میماند، قانون CFPB شامل یک الزام سختگیرانه مبنی بر «کارمزد صفر» است. مؤسسات مالی از دریافت هزینه از مصرفکنندگان یا برنامههای شخص ثالث برای ایجاد این اتصالات پایه API منع شدهاند. این امر از استفاده بانکهای قدیمی از کارمزدهای دسترسی به عنوان یک مانع رقابتی برای خفه کردن رقبای نوظهور فینتک جلوگیری میکند.[3][4]
برای اطمینان از اینکه این اکوسیستم قابل دسترس باقی میماند، قانون CFPB شامل یک الزام سختگیرانه مبنی بر «کارمزد صفر» است.
این قانون همچنین محدودیتهای شدیدی را در مورد نحوه استفاده اشخاص ثالث از دادههایی که جمعآوری میکنند، اعمال میکند. تحت چارچوب جدید، جمعآوریکنندگان داده و برنامههای فینتک محدود به استفاده انحصاری از دادههای مصرفکننده برای محصول یا خدماتی هستند که مصرفکننده درخواست کرده است. آنها صراحتاً از استفاده از آن دادهها برای اهداف ثانویه، مانند تبلیغات هدفمند یا فروش پروفایلها به دلالان داده، بدون رضایت صریح و جداگانه منع شدهاند.[1][3]
برای جلوگیری از «دسترسی زامبی»—جایی که یک برنامه سالها پس از توقف استفاده مصرفکننده همچنان دادهها را دریافت میکند—CFPB محدودیت مجوز یک ساله را الزامی میکند. مصرفکنندگان باید هر ۱۲ ماه یکبار به طور فعال دسترسی را مجدداً تأیید کنند، و اطمینان حاصل شود که اشتراکگذاری دادهها یک انتخاب فعال و عمدی باقی میماند، نه یک فرآیند پسزمینه فراموش شده.[3][4]
اجرای این قانون به صورت مرحلهای انجام میشود تا از شوکهای سیستمی جلوگیری شود. بزرگترین مؤسسات مالی، آنهایی که بیش از ۵۰۰ میلیارد دلار دارایی دارند، موظف شدند ابتدا APIهای سازگار را مستقر کنند. بانکها و اتحادیههای اعتباری با اندازه متوسط، مهلتهای انطباق طولانیتری تا سال ۲۰۲۷ دریافت کردهاند، که نشاندهنده بار فنی مورد نیاز برای بازسازی سیستمهای اصلی بانکداری قدیمی است.[1][4]
برای تسهیل این انتقال فنی گسترده، صنعت حول نهادهای استاندارد مانند تبادل دادههای مالی (FDX) متحد شده است. FDX طرحهای فنی برای این APIها را فراهم میکند و تضمین میکند که یک برنامه بودجهبندی مجبور نیست ۴۰۰۰ اتصال مختلف برای ۴۰۰۰ بانک مختلف بسازد، بلکه میتواند از یک زبان واحد و قابل تعامل برای درخواست داده استفاده کند.[5][6]
در سطح جهانی، این حرکت ایالات متحده را با استانداردهای بینالمللی «بانکداری باز» همسو میکند. برای سالها، ایالات متحده از حوزههای قضایی مانند بریتانیا و اتحادیه اروپا عقب بود، که بانکداری باز مبتنی بر API را از طریق دستورالعمل PSD2 در سال ۲۰۱۸ الزامی کردند. با این حال، رویکرد ایالات متحده، الزامات نظارتی را با استانداردهای فنی تحت رهبری صنعت ترکیب میکند.[2][6]
در حالی که مدافعان حقوق مصرفکننده به طور جهانی این قانون را ستودهاند، بانکهای سنتی نگرانیهایی را در مورد مسئولیتپذیری مطرح کردهاند. اگر یک مصرفکننده به یک برنامه شخص ثالث اجازه دسترسی به دادههای خود را بدهد و آن برنامه متعاقباً دچار نقض داده شود، بانکها استدلال کردهاند که باید از پیامدهای نظارتی و اعتباری ناشی از آن مصون بمانند. قانون نهایی تلاش میکند با الزام اشخاص ثالث به رعایت استانداردهای سختگیرانه امنیت سایبری، این تعادل را برقرار کند.[1][6]

برای مصرفکننده عادی، این انتقال عمدتاً نامرئی اما بسیار تأثیرگذار خواهد بود. اصطکاک اتصال حسابها کاهش مییابد، قابلیت اطمینان آن اتصالات بهبود مییابد و اضطراب ناشی از به اشتراک گذاشتن رمزهای عبور از بین میرود. مهمتر از آن، پویایی قدرت در بانکداری خرد در حال تغییر است.[2][6]
با تبدیل دادههای مالی از یک دارایی اختصاصی که توسط بانکها احتکار میشود به یک دارایی قابل حمل که متعلق به مصرفکننده است، CFPB در حال ایجاد زیرساختی برای یک سیستم مالی رقابتیتر، شفافتر و امنتر است. دوران اشتراکگذاری داده با رویکرد «خریدار آگاه باشد» به پایان میرسد و با حق قانونی محافظت شده برای تحرک مالی جایگزین میشود.[3][6]
روند رویداد
2010
کنگره قانون داد-فرانک را تصویب میکند، شامل بخش ۱۰۳۳ که حقوق دادههای مصرفکننده را تعیین میکند اما اجرای آن را به CFPB واگذار میکند.
Oct 2023
CFPB رسماً قانون حقوق دادههای مالی شخصی را برای الزامی کردن بانکداری باز مبتنی بر API پیشنهاد میکند.
2024
قانون نهایی در ثبت فدرال منتشر میشود، که رسماً اسکرین اسکرپینگ را ممنوع کرده و مهلتهای انطباق را تعیین میکند.
2026
اولین موج مهلتهای انطباق فرا میرسد و بزرگترین مؤسسات مالی ایالات متحده را ملزم به ارائه دسترسی امن API میکند.
بررسی عمیق دیدگاهها
مدافعان حقوق مصرفکننده
این قانون را به عنوان یک پیروزی بزرگ برای حریم خصوصی و رقابت میبینند که به رویه خطرناک اشتراکگذاری رمز عبور پایان میدهد.
گروههای حمایت از مصرفکننده مدتهاست هشدار دادهاند که اسکرین اسکرپینگ یک آسیبپذیری سیستمی ایجاد میکند و مصرفکنندگان را به تحویل حساسترین اعتبارنامههای خود عادت میدهد. مدافعان استدلال میکنند که با الزامی کردن APIها و ممنوعیت فروش دادههای ثانویه، CFPB سرانجام سیاست ایالات متحده را با اصول اولیه بهداشت امنیت سایبری هماهنگ کرده است. علاوه بر این، آنها تأکید میکنند که شکستن «قفل شدن دادهها» بانکها را مجبور میکند تا بر اساس نرخ بهره و خدمات مشتری رقابت کنند، نه اینکه برای حفظ مشتریان به اصطکاک ناشی از تغییر حسابها تکیه کنند.
نوآوران فینتک
دستور API را به عنوان کاتالیزوری برای رشد میبینند که دسترسی قابل اعتماد به دادهها را بدون مسدود شدن توسط بانکهای قدیمی تضمین میکند.
برای برنامههای بودجهبندی، وامدهندگان جایگزین و پلتفرمهای پرداخت، این قانون اطمینان نظارتی را فراهم میکند. از نظر تاریخی، بانکهای بزرگ میتوانستند خودسرانه رباتهای اسکرین اسکرپینگ را مسدود کنند، که منجر به قطع شدن اتصالات و نارضایتی کاربران میشد. فینتکها استدلال میکنند که دسترسی تضمین شده و بدون کارمزد API، زمین بازی را برابر میکند و به آنها اجازه میدهد محصولات قابل اعتمادتر بسازند و برای جمعیتهای محروم با استفاده از دادههای جریان نقدی در زمان واقعی، به جای نمرات اعتباری سنتی، وام تضمین کنند.
مؤسسات سنتی
از حرکت به سمت APIهای امن حمایت میکنند اما در مورد هزینههای انطباق و مسئولیتپذیری در صورت نقض داده توسط یک برنامه شخص ثالث ابراز نگرانی میکنند.
در حالی که بانکهای بزرگ موافقند که APIها به مراتب بهتر از اسکرین اسکرپینگ هستند، اما در مورد خطرات نامتقارن بانکداری باز هشدار دادهاند. گروههای لابیگر بانک استدلال میکنند که اگر یک مصرفکننده به یک برنامه شخص ثالث با امنیت ضعیف اجازه دسترسی به دادههای خود را بدهد و آن برنامه متعاقباً هک شود، بانک اغلب متحمل آسیبهای اعتباری و هزینههای حل و فصل کلاهبرداری میشود. علاوه بر این، بانکهای کوچک محلی و اتحادیههای اعتباری تأکید کردهاند که ساخت و نگهداری این APIهای مورد نیاز، یک هزینه عظیم و جبران نشده فناوری اطلاعات است.
آنچه نمیدانیم
- CFPB تا چه حد ممنوعیت استفاده ثانویه از دادهها را در میان هزاران برنامه فینتک کوچکتر اجرا خواهد کرد.
- آیا هزینههای فنی پیادهسازی API ادغام بانکها و اتحادیههای اعتباری کوچک محلی را تسریع خواهد کرد یا خیر.
- با قابل حمل شدن دادهها، مصرفکنندگان با چه سرعتی از روشهای جایگزین تضمین وام بر اساس جریان نقدی برای وامهای مسکن و خودرو استفاده خواهند کرد.
اصطلاحات کلیدی
- Screen Scraping
- یک روش منسوخ شده که در آن یک برنامه شخص ثالث از نام کاربری و رمز عبور شما برای ورود به حساب بانکی شما و کپی کردن دادههای نمایش داده شده روی صفحه استفاده میکند.
- API (Application Programming Interface)
- یک پل نرمافزاری امن که به دو سیستم مختلف (مانند بانک شما و یک برنامه بودجهبندی) اجازه میدهد بدون افشای رمز عبور، ارتباط برقرار کرده و دادههای خاصی را به اشتراک بگذارند.
- Tokenization
- یک فرآیند امنیتی که اعتبارنامههای حساس (مانند رمز عبور) را با یک توکن دیجیتال منحصر به فرد جایگزین میکند که دسترسی محدود و قابل لغو به دادههای خاص را فراهم میکند.
- Open Banking
- یک چارچوب مالی که در آن مصرفکنندگان حق قانونی دارند تا دادههای بانکی خود را به صورت امن با ارائهدهندگان خدمات مالی شخص ثالث به اشتراک بگذارند.
- Data Portability
- توانایی مصرفکننده برای انتقال آسان دادههای شخصی خود از یک ارائهدهنده خدمات به یک ارائهدهنده خدمات رقیب.
پرسشهای متداول
آیا برنامههای بودجهبندی فعلی من از کار خواهند افتاد؟
خیر، اما نحوه اتصال آنها تغییر خواهد کرد. به احتمال زیاد از شما خواسته میشود که حسابهای خود را از طریق پورتال امن بانک خود مجدداً احراز هویت کنید، زیرا برنامهها از اسکرین اسکرپینگ به API منتقل میشوند.
آیا این قانون برای مصرفکنندگان هزینه دارد؟
خیر. قانون CFPB صراحتاً بانکها را از دریافت کارمزد از مصرفکنندگان یا برنامههای شخص ثالث برای دسترسی به این دادههای مالی استاندارد منع میکند.
آیا برنامهها اکنون میتوانند دادههای مالی من را بفروشند؟
خیر. این قانون به شدت اشخاص ثالث را از استفاده از دادههای شما برای اهداف ثانویه، مانند تبلیغات هدفمند یا دلالی داده، بدون رضایت صریح و جداگانه شما منع میکند.
اگر استفاده از یک برنامه را متوقف کنم چه اتفاقی میافتد؟
این قانون محدودیت مجوز یک ساله را الزامی میکند. اگر پس از ۱۲ ماه به طور فعال برنامه را مجدداً تأیید نکنید، دسترسی آن به دادههای بانکی شما به طور خودکار لغو میشود.
منابع
[1]American Bankerمؤسسات سنتی
CFPB Finalizes Open Banking Rule, Banning Screen Scraping
مطالعه در American Banker →[2]CNBCمدافعان حقوق مصرفکننده
What the CFPB's new data rule means for your bank account and budgeting apps
مطالعه در CNBC →[3]Consumer Financial Protection Bureauمدافعان حقوق مصرفکننده
Personal Financial Data Rights Final Rule
مطالعه در Consumer Financial Protection Bureau →[4]Federal Registerمؤسسات سنتی
12 CFR Part 1033: Personal Financial Data Rights
مطالعه در Federal Register →[5]Financial Data Exchangeنوآوران فینتک
FDX API Specifications and Open Banking Standards
مطالعه در Financial Data Exchange →[6]Factlen Editorial Teamنوآوران فینتک
Synthesis by Factlen editorial team
مطالعه در Factlen Editorial Team →
بیشتر در مالی
مشاهده همه 5 خبر →داراییهای توکنیزهشده
تحول در امور مالی: بلاکچین جدید رابینهود و سهام توکنیزهشده چگونه تجارت خردهفروشی را بازتعریف میکنند.
9 sources
زیرساخت شبکه
سازوکار فروپاشی زیرساخت: چگونه محدودیتهای اضطراری بزرگترین شبکه برق آمریکا باعث جهش ۶۰ برابری قیمت در مرکز دادههای هوش مصنوعی شد
6 sources
مقررات استیبلکوین
مکانیسمهای یکپارچگی پولی: چگونه قانون GENIUS اولین چارچوب فدرال استیبلکوین را برای بانکهای آمریکا ایجاد میکند
6 sources
هر زاویه. هر روز.
دریافت مالی اخبار همراه با پوشش کامل منابع و تحلیل دیدگاهها، مستقیم در صندوق ورودی شما.











