开放金融要发挥普惠潜力，需要数据保护

在一个数据变得越来越有价值的时代，开放金融让消费者能够控制自己的个人财务数据，从而受益于更合适、更有针对性的金融服务。在开放金融下，消费者可以直接将他们的数据从银行和其他金融机构(数据持有者)转移到金融科技公司和其他金融创新者(数据用户)，后者可以使用这些数据开发非常适合消费者需求的新产品和服务。然而，这种前所未有的移动整个金融历史的能力既赋予了消费者权力，也带来了风险。

扶贫协商小组认为开放金融可以促进普惠金融允许金融科技和其他类型的金融机构提供产品和促进金融行为，以减轻新兴和发展中市场(EMDEs)低收入客户所经历的一些痛点。如果开放金融法律框架旨在促进普惠金融，这可以支持金融服务用例的发展，为新兴市场和发展中国家的低收入人群服务支持包容性的数据生态系统．

为什么新兴市场和发展中国家的消费者面临的风险最大?

消费者的潜在风险不应被忽视。例如，数据用户可能会将数据传递给另一方，而消费者对该数据没有太多控制权，也无法保证这些数据的使用符合他们的最佳利益。此外，在错误的人手中，数据可能被用于实施欺诈或以其他方式造成伤害。这种和其他类型的数据滥用可能会破坏消费者对开放金融的信任，并导致低采用率。

特别是在新兴市场和发展中国家，低收入人群在数据方面面临特殊挑战。例如，关于信息实践的书面通知应解释如何使用和共享数据，但新兴市场和发展中国家的一些人可能文化水平较低，因此无法完全理解与此类数据传输相关的风险，也无法给予完全知情的同意。注意和同意方面的其他挑战包括在一个国家以多种语言提供披露的重要性。此外，许多个人通过小型通信设备获得金融服务，这使得通知难以阅读和保存。

鉴于他们的情况，这些消费者——尽管如此他们重视个人信息隐私的证据-可能会感到被剥夺了权力，似乎他们别无选择，只能同意某些数据实践，即使这些实践不符合他们的最大利益。金融科技公司和其他金融部门提供商可能没有任何关于处理消费者数据的具体法律义务，要么是因为它们不在金融服务监管范围之内，要么是因为没有适用的数据保护法。这导致了一些以货币化和快速盈利的名义处理消费者数据的快速而松散的方法。

最低限度的数据保护确保消费者的安全

因此，普惠性开放金融框架的关键设计元素之一——以及更广泛的普惠性数据生态系统的基础元素——是数据保护监管，这并不奇怪。在我们的技术报告于2023年2月发布，我们确定了确保消费者受到保护和开放金融成功所需的最低数据保护。这些包括:

注意:

提供商应以简单明了的语言告知消费者正在收集哪些数据、用于什么目的、数据将如何使用以及使用多长时间。考虑到开放金融的复杂性，这种通知还应明确说明提供商将与哪些第三方共享这些数据，以及消费者如何控制他们的数据。

同意:

仅仅通知是不够的;消费者需要在知情的情况下同意处理其敏感的财务数据并将其转移给数据使用者。消费者应该能够轻易地撤回同意。

使用限制:

数据应仅用于任何通知中所述的预期目的，而不得用于不利于消费者的方式。

数据最小化:

提供商应仅收集他们为预定目的所需要的数据，并仅在这些目的所需要的时间内保存数据。

访问/更正:

由于公开金融数据可用于批准和拒绝基本金融服务的申请，消费者需要能够审查正在使用的数据，对任何不准确的地方提出异议，并纠正这些不准确的地方。

安全:

应采取合理的安全措施，保障消费金融数据的传输、存储和使用安全。

纠正:

当他们的财务数据处理方式出现问题时，消费者需要有地方提交投诉，并确保他们的索赔得到及时调查和解决。这可以通过政府来完成，也可以通过法庭程序来完成，也可以通过非正式的方式与提供商进行，但程序应该清晰，易于开放金融消费者激活。

通常情况下，这些条款被庄严载入一个全面的国家数据保护法，如GDPR在欧盟和LGPD在巴西，并由数据保护机构实施。在某些情况下，例如印度的账户聚合规则，包含相关规定的是公开金融监管。然而，包括大多数新兴市场国家在内的许多国家并没有此类法律或法规。此外，即使一个国家有一般的数据保护法，它也可能没有解决开放金融提出的具体问题，例如向第三方转发数据和违约责任，而从数据保护的角度来看，开放金融监管可能是不完整的。

正如我们在最近的一篇论文在美国，在缺乏一般数据保护法律的情况下，监管机构应审查行业立法，以确定这些最低规定的覆盖范围。在存在差距的情况下，相关数据保护可以纳入新的法律法规，在该国创建开放的金融生态系统。这种方法可能无法涵盖所有相关的最低规定，但随着时间的推移，开放金融或数据保护法都可以扩大最低数据保护范围，以确保开放金融的复杂性得到覆盖，客户得到充分保护。只有消费者数据得到充分保护，监管机构才能确保开放的金融框架真正支持普惠金融和普惠数据生态系统。