В ноябре 2019 года Базельский комитет по банковскому надзору (BCBS) опубликовал свой протокол на тему открытого банкинга (open banking) и его последствиях для банков и банковского надзора в целом. Настоящий протокол основывается на предыдущих заключениях BCBS по открытому банкингу и прикладным программным интерфейсам (APIs) в своем отчете за 2018 год.
Если вы заинтересованы в том, чтобы зарегистрировать FinTech-компанию в Европе, в данном материале предлагаем Вам ознакомиться с основными аспектами относительно защиты данных.
Обзор
В протоколе (включая протокол за 2018 год) отражен тот факт, что на сегодняшний день технический прогресс и потребность клиентов в получении доступа к большому количеству информации и услугам трансформировали традиционную банковскую систему, а также оказали содействие потенциальному разрыву между действующими банками, специализированными финтех-фирмами и новыми посредниками.
Обмен данными в рамках соглашений с третьими сторонами становится все более распространенным действием в результате большого разнообразия услуг на рынке, которые предоставляет открытый банкинг: инструменты финансового управления, “бесшовные” платежные передачи между банками, вертикально интегрированные финансовые услуги и т.д. Исследования BCBS направлены именно на “совместное использование данных с разрешения клиента". То есть, когда клиенты предоставляют разрешение через свои банки 3-м лицам (сторонним фирмам) на доступ к своим данным. В результате чего эти сторонние фирмы будут собирать данные с помощью агрегаторов данных – которые, в свою очередь, могут использовать различные методы, такие как screen scraping или обратное проектирование, для доступа и хранения данных клиентов.
Ключевые аспекты:
- Система открытого банкинга. Как правило, "директивный" подход (ЕС, Индия) требует того, чтобы банки обменивались данными с согласия их клиентов, а третьи стороны, получающие доступ к таким данным, регистрировались в местных регулирующих органах. Регуляторы со "стимулирующим" подходом (Гонконг, Сингапур), намерены издавать руководящие указания/рекомендации вместо правил, а также открытые стандарты API и технические спецификации; в то время как "рыночный" подход (Китай, США) не будет иметь каких-либо четких правил/руководящих указаний, регулирующих обмен банками данных с третьими сторонами с разрешения своих клиентов.
- Закон о конфиденциальности данных как основополагающий фактор. Хотя в протоколе признано то, что правовая база различна во всех юрисдикциях, согласие клиента остается основой как в случае, когда банки запрашивают самостоятельно согласие клиента на предоставление его данных третьим сторонам, так и в случае, когда банк принимает согласие клиента через подтверждение, предоставленное третьими сторонами. Почти все юрисдикции ограничивают использование/перепродажу данных третьими лицами в целях, выходящих за рамки первоначального согласия и договоренностей. Кроме этого они требуют от третьих лиц получения дополнительного согласия от клиентов перед использованием / перепродажей их персональных данных. А также обмен данными с третьими сторонами возможен только в том случае, если это прямо оговорено в договорах и на условиях пересмотренной директивы по платежным услугам (в случае ЕС).
- APIs (прикладные программные интерфейсы). Выше мы писали, что третьи стороны используют агрегаторы данных для получения доступа к персональным данным клиентов с помощью таких методов, как screen scraping или обратное проектирование. Для более безопасного взаимодействия банки используют маркированные методы авторизации через APIs, тем самым обходя необходимость скрининга (screen scraping). Кроме того, в некоторых юрисдикциях были разработаны законодательные акты, направленные на борьбу со скринингом, поощрение использования APIs, а также разработку модифицированных клиентских интерфейсов в случае недоступности API банка. Однако стоит отметить, что время и затраты, необходимые для разработки таких API, создают барьеры, особенно для небольших банков, не располагающих большими ресурсами. Некоторые юрисдикции, в свою очередь, выпускают руководство по открытым платформам API, таким как OAuth 2.0, с целью помочь в борьбе с screen scraping.
- Управление рисками третьих лиц. Осуществление надзора и мониторинга за третьими лицами в отсутствие договорных отношений или в тех случаях, когда третьи лица не зарегистрированы в регулирующем органе, является достаточно трудным процессом. Регулирующие нормы одной юрисдикции отличны от других, так, некоторые возлагают на банки ответственность за обеспечение соблюдения требований третьих лиц, в то время как в других случаях ответственность лежит на надзорных органах. Однако существуют и такие прецеденты, когда третья сторона не имеет договорных обязательств по отношению к банку, а также не имеет разрешения от какого-либо регулятора, что затрудняет установление требований по контролю рисков для третьей стороны.
Собственники FinTech-бизнеса в Европе отмечают, в настоящее время тенденция использования APIs с каждым разом растет, так как и необходимость разработки стандартов open API во всех юрисдикциях для открытого банкинга. По этой причине, банки должны взять на себя обязательства по просмотру и предотвращению возможных операционных рисков и рисков кибербезопасности, связанных с API, такие как DOS-атаки, сбои в работе инфраструктуры и подмены IP-адресов, а также по внедрению систем для реагирования на такие угрозы.
Обращаем ваше внимание, что юристы IQ Decision UK готовы оказать комплексную консультацию по вопросам финтех-бизнеса в Европе, а также оказать сопровождение на всех этапах регистрации финтех-компании в Великобритании, Швейцарии и других юрисдикций ЕС. Для уточнения деталей просьба связаться с нами по одному из контактов, указанных ниже.
