美联储KelvinChen:加强API监管安全衔接银行与金融科技
9月7日,2018朗迪我国峰会在上海举行,零壹财经的主办“合规与开展”分论坛上,美联储委员会金融科技专家KelvinChen环绕美联储对金融科技监管宣布了主题讲演,他标明在美国,监管考虑怎样安全衔接金融科技、银行与顾客,让银行更好进行金融服务,并确保数据安全。
KelvinChen以为,美国大型银行会对许多组织供给API(接口),监管要考虑的是怎样拟定API敞开规矩,建立银行职责。关于不乐意或没有才能开发API的银行,数据整合者运用金融科技可以供给相关服务,问题就在于数据整合者处于银行体系外,怎样监管?银行由于担责,规划了API的开发约束。
因而,美联储想推广共同的监管,让组织都恪守必要条款。
以下是讲演全文:
KelvinChen:咱们好,谢谢咱们约请我,我的姓名是KelvinChen,来自美联储。我给咱们介绍一下我自己,我之前是在纽约当一个诉讼律师的,我的特长是顾客维护法令。咱们还建立了别的一个关于顾客维护的委员会,以维护顾客权益。我是差不多在一年前的时分,加入到美联储的。我想要讲美联储要做一些什么事情,来维护顾客。我必需求十辨明楚地知道,我今日是以个人的身份来到这儿,所以不要把我的讲演和我现在作业的组织联络在一起。之前咱们的讲演有一部分是来自咱们美联储的一位专家,大部分的作业是在上一年4月份完结的。但我觉得,本年他的著作依然关于咱们的实际有着十分大的含义。
假如咱们回到二到三年前,来考虑到现在的问题,其时有许多银行在考虑的问题是金融科技会不会伤害到银行,是否会变成一个零和博弈的状况。我想到的比方,是在美国的大会议上面,有一个顾客的会议,他是和银行家相关的。他们有一个讲演者,来自加利福尼亚。还有一个搏击场,一个是来自金融科技公司和银行业的公司,这便是他们怎样撮合联系的。
我想到现在的一个杂志从前做过的文章,提到苹果手机和他的生态体系。其时苹果手机被发明出来的时分,人们没有想到那时分苹果手机的影响,可是事实上他只想做一个手机,只是一个可以打电话的手机,也没有想到过规划一个生态体系。可是全部的全部,都现已产生了改变,根本上每个人都会一天解锁十几次手机屏,一早起来就会翻开手机。咱们花了很长的时刻在手机上,可是咱们没有听音乐也没有打电话,咱们在用运用,用苹果商铺里边的运用。苹果不必出资、不必推广,只需求翻开这样一个生态体系,有API告知你说哪里可以用GPS、哪里可以拍照片,只需求给他30%的手续费。那么现在苹果的运用中心下载量,应该是五,苹果是占了三分之一的收入。这和美联储有联系,由于咱们考虑金融科技的时分,我供认我不知道我国状况,可是美国金融科技在美国你可以用它发信息,可以用苹果手机定位,也可以付出手法。
可是最重要的功用是银行,由于在美国,假如你想消费存款,你一定要在你的软件中有存款。假如有银行间的服务,像用信用卡的服务,你要有银行。你需求国家银行作为你的同伴,作为监管咱们就很在乎这种行为。你和银行打交道,便是和监管者打交道。你有必要知道银行和监管者的一些具体状况。
那么这有什么问题呢?在我的宗旨讲演提到过这个。由于银行并不是API公司,也不是络公司。在美国银行的体系你看这个体系,我是工程师,我二十年前读工程,可是我没有学过酷宝(英译),这是老的体系。别的一个部分便是在美国,银行有着很长的前史,其实许多电脑体系在银行里不断整合叠加,咱们说咱们体系技能的时分,许多都是由云一些体系支撑的。假如你看一下银行的主体系统的话,都是由很好的主机组成的。别的的部分便是一些监管方针,是咱们API体系有之前就写的。所以手机的生态环境不这么重要,由于银行和APP智能手机不相同,他分别是两个体系的。美国内化了一些根本,关于银行来说。
其实这个便是十分故意,顾客说你不要告知他人的暗码,有牵扯到数据的丢失状况。然后银行就要对一些服务商担任,银行要了解服务商的一些状况。这些状况关于API的生态体系不是特别契合。比方在美国,在银行和第三方服务之前,他们在开端之前就会评价组织,看一下组织的运转状况,分类危险,对银行运营的危险,关于商业的危险、诈骗的危险,还有一些声誉受损的危险,这些监管者是期望银行做到这一点。
假如你的声誉受损的话,用户忧虑他们的钱款丢失。关于智能手机来说其实并不是如此,举个比方便是有一个特别的美国智能手机的游戏,在美国这个特别游戏宣布的时分,是有不同的API。用谷歌的API验证你的身份,这是一个一般的API。假如你用新的API的话,其实就不必输入新暗码的话,只需打姓名,你的笔划打完之后姓名就出来。你假如登录谷歌,就可以用谷歌的账号登录其他的体系,由于谷歌都有你的账户信息。
这个游戏的启示,便是你用了不对的API,几周之后看一下这个技能说这是凯文,可是他有凯文的邮件、账户状况、信息,这其实是一个再现的进程,是一个整合的API。有时分不能用这样信息,可是有些确实是用这样体系的。那银行界产生什么呢?他会当作银行账户,转账可以从头定位你的账户,这些行为就十分有问题。假如用这个游戏的话,他们比方说很大的资金,咱们玩这个游戏。这是咱们美国的忧虑,咱们想协助银行现代化,美联储并没有采纳相应的举动,关于银行和金融组织应该更好衔接。许多人在谈前沿技能、风趣的技能,比方人工智能,有人谈一些金融科技的其他要素。可是我在想这个水管,你怎样把几点安全衔接在一起?其实我不知道我国这个状况,可是在美国这个状况十分特别,由于业界、金融科技和银行还有监管者,在想怎样衔接的问题,这个生态环境改变的也比较快。所以在一端,咱们有很大的银行,他有自己的API。这个便是银行自我定位,就像苹果这样一个途径十分大,他们对许多人都供给了API,可以查银行账户的基金,也可以调用银行账户的基金。咱们要好好考虑一下规矩,开发者的职责是什么。由于你开发API,其实这样的说法不对。API不是开宣布来的,你开宣布来的时分要签条款,这个条款关于API的用处是不同的,并不是单一的条款。比方说地图的API,是一个比较简单,你条款就要比较简单。但假如你签了一个比较杂乱的,技能尽管相同,可是你去定位顾客的方位,我期望条款或许会不同。所以咱们考虑银行的时分,也要考虑这些部分,这是大银行的状况。
咱们也有一些状况,在别的的规模里边有别的一种方法。银行要不就不乐意,要不就没有才能开发API,由于很贵、很杂乱、花费许多时刻。比方说美国有四千个银行,我引证一下由于金融科技可以得到许多信息,出资账户、退休账户都可以得到。他们不想搞四千个数据库,那有些中介咱们叫做数据整合者,这些整合者从不同的数据库整合信息。他们做的方法,便是金融科技整合者问用户的暗码,然后整合者把用户的暗码和用户名再整合起来。这样整合者和银行,其实是两个不同的体系。
所以有些银行比较忧虑,20%到40%的登录者,是整合者的,并不是用户自己登录的。其实你很难辨明是谁登录的。从人的视点来讲,SK(音)视点讲有许多登录的记载,可是你不可以看出究竟是整合者或者是黑客或者是用户自己登的。
别的着重一下,我并不是说这是欠好的东西。一些很小的银行,他是仅有进入金融科技的方法,一些社区银行你想用快速付出的一些东西,你假如不下API的话,只能用数据整合者的方法。那么这个问题就在于这些数据整合者是在银行体系之外的,所以美国的银行受制于不同的规矩、不同的数据协议。假如协议被损坏的话,他们要受赏罚。可是假如他们不是银行体系的话,他们或许不受这些,一旦违背协议就比较费事。他们是和银行签的协议,我说银行关于这些危险有职责,所以说的还不清楚,数据的整合者究竟归于什么身份。许多数据整合者有职责有条款,可是顾客不太清楚这些条款,不太清楚产生了什么事。比方你是顾客,你下载了新的软件,你用了几周不喜欢这个软件了,许多用户会把软件删掉,持续做自己的事。可是删去软件,其实不是说就断绝了你和金融科技公司的联系,你可以删去软件,持续用你的手机。你这个合同仍是在的,金融科技整合者仍是有你的银行暗码和用户名的,要根据你签的协议,你删去软件,删去了几年,你的数据整合者还可以调用你的数据。你可以改暗码,可是你怎样告知整合者要删去信息呢?其实是一个很难的交流途径。
这是咱们现在所面对的问题,许多银行想让数据整合者进行清晰的决议。有时分有些集团签定协议说只是这些条件可以用,他们也规划了API的某些约束可以运用。一方面来讲,银行的忧虑也是很合理的,由于忧虑安全性和客户的信息泄漏,也要维护客户的利益。由于银行可以看出数据到整合者,可是银行看不出第三方、第四方,或许这个数据现现已了几手了。别的方面来说数据整合者和金融科技公司,也提出了很有道理的点。他说银行是和金融科技的竞赛者,许多状况下金融科技也是和银行竞赛的,所以立异十分快。他们说银行有理由不翻开他们的体系,由于这些理由和竞赛是有关的,咱们要看一下这个合同是不是有不利于咱们的条款。所以作为监管者,咱们有必要告知组织咱们要监管确保安全,还要恪守一些必要条款。更广义来说,咱们十分想推广那些和法令条文共同的监管,并不是说倾向顾客或者是哪一方,可是也不想关于银行方利益受损。
咱们期望要银行和客户的联系可以公正一点,当苹果手机十年之前推广出来的时分,就像我之前说的游戏相同,他们翻开三个API。其实美国的金融科技路在何方,仍是很难说,究竟是长时间的仍是暂时的。咱们衔接想一下什么方法最好,怎样让银行的途径可以更好进行金融的服务,确保数据安全。由于顾客比较信任银行,改变正在进行。上一年改变就现已来了,由于监管者现在渐渐参加进来,各方也参加进来,监管者、银行、金融科技,咱们不应该只会集在一些技能问题,比方说API怎样开发。咱们要自己想一下,咱们要哪些条规法令条款规范,在这个环境可以适用,谢谢咱们!