GDPR против открытого банкинга: две стороны одной и той же монеты
Две, горячо ожидаемые законодательные новинки 2018 года, PSD2 и GDPR, являются продуктами нового цифрового рассвета. Первый был встречен искренними объятиями со стороны множества финтех-стартапов и более широкого банковского сообщества, которые предполагали, что появится более ориентированный на клиента и конкурентоспособный сектор открытых банковских услуг, готовая почва для здоровых инноваций.
Регуляторы PSD2 и инициаторы открытого банкинга стараются изо всех сил, чтобы дать клиентам более широкий контроль над своими финансовыми данными.
Так же, как и GDPR, введенный в действие 25 мая 2018 года, имеет благородную цель консолидировать контроль над собственными данными, а офис Комиссара по информации в Великобритании продвигает активную информационную кампанию по этому вопросу.
По крайней мере, такова теория.
В последнее время конфиденциальность данных стала мэйнстримом и заняла умы людей. Но мало кто знает, какой это было головной болью в течение многих лет для руководства компаний, оказывающих финансовые услуги, многие из них ночами не спали, ломая голову над тем, как подготовить свои организации к 25 мая. Недавний отчет Veritas смещает этот фокус.
«Причина, по которой мы создали этот отчет, состояла в том, что мы выяснили, что многие организации сосредоточились на GDPR для организации, а не на том, как потребители будут ее воспринимать», — объясняет Джейсон Тоули, вице-президент Veritas.
«Мы хотели понять, что думают потребители, а также будут ли они пользоваться своими правами определенными GDPR? Финансовые услуги оказались в верхней части списка, когда речь зашла о реализации прав GDPR (56% из 1000 взрослых в Великобритании), — говорит Тоули.
Исследование Veritas-2018 GDPR, также показало, что 40% запланировали осуществление своих потребительских прав в первые шесть месяцев (71% право на забвение и 65% запросы на доступ к объектам), причем 56% заявили, что им было не комфортно иметь свои личные данные в системе, которую они не контролировали. Интересно, что 27% заявили, что хотят использовать запросы GDPR, чтобы проверить компанию, чтобы узнать, ценит ли она права своих потребителей.
Согласование данных является четким пересечением между GDPR и открытым банкингом, хотя согласование этих двух понятий, конечно, менее понятно.
«Существует требование и директива, которые выглядят противоречивыми. Одним из двух ключевых вопросов является согласие делиться конфиденциальными данными с третьими сторонами», — объясняет Тоули.
«Вторая проблема заключается в том, что не существует последовательного определения того, что представляют собой конфиденциальные данные о платежах или, аналогично, технические стандарты европейских властей», это то, что может занять некоторое время для уточнения.
В то же время, Тоули обращает внимание на ближайшие шесть месяцев после GDPR: «Запрос потребителя на разрешение, изначально, скорее всего, поступает от стороннего поставщика услуг (TTP), который, в свою очередь, должен будет запросить дополнительное согласие из банка. Это потенциально приводит к двухэтапному контрактному процессу в обеспечении согласия, что замедлит процесс и будет противоречить тому, что регуляторы хотят поощрять, гораздо более открытые и гибкие, персонализированные финансовые услуги», — говорит Тоули.
Но банки слишком озабочены тем, чтобы подстроиться под правила GDPR и PSD2, когда они должны быть сосредоточены на том, чтобы заставить себя оставаться совместимыми и адаптироваться к изменениям, — говорит Ник Уайт из Fiserv.
Существует четкий сигнал о том, что регуляторы будут задавать темп перемен. Банкам нужна эта адаптивность, чтобы соответствовать нормативной дорожной карте, требующей больше изменений.
Аналогичным образом, Франческо Симонески, генеральный директор компании TrueLayer, говорит: «Возможно, некоторые могут использовать GDPR как дымовую завесу, чтобы уменьшить скорость и масштабы открытого банкинга».
«Самая большая проблема, может заключаться в желании банков работать с финтех компаниями для продвижения инноваций и развития новых финансовых продуктов и услуг», — говорит Симонески.
Но то, как они это делают, все еще повод для обсуждения.
«Мой совет, банки должны сейчас отреагировать на то, чтобы объединить эти две инициативы и последовательно рассматривать их подходы, стратегии и политику, которых могут придерживаться сторонние поставщики финансовых услуг и банки», — говорит Тоули.
Отчасти проблема заключается в том, что заинтересованные стороны для GDPR и заинтересованные стороны для PSD2 редко являются одними и теми же людьми. Тем не менее, они должны смотреть на GDPR и PSD2 скоординированным образом.
Особенно в последние три месяца, стало заметно, что клиенты действительно начинают думать о том, как они могут использовать технологии для автоматизации GDPR. Раньше это все крутилось вокруг договорных соглашений между политиками и поставщиками услуг, теперь же потребители спрашивают, как я могу использовать технологию для ее практического применения?
Но Уайт из Fiserv, идет еще дальше, чтобы сказать, что одни лишь технологии не будут гармонизировать эти два законодательства.
«Вы не можете просто изменить технологию, вам нужно изменить свою культуру» — говорит Уайт.
«Речь идет о людях, процессах и технологиях, работающих таким образом, чтобы вы продвигались быстрее. Основой нашего FinKit для открытого банкинга стало сочетание современных технологий для содействия изменениям, а также для создания новых моделей работы.
Банки должны начать рассматривать API как продукт».