Финансовый регулятор назвал информацию новой рыночной властью, которая сейчас находится в руках крупнейших игроков (системно значимых банков). Небольшие финансовые организации довольствуются ограниченным объемом данных, который предоставляет сам клиент или БКИ.
Равноценный доступ к информации для всех участников рынка мог бы стать катализатором развития конкуренции и позволил бы всем игрокам финансового сектора качественно оценивать платежеспособность клиентов и снижать цену за риск. Для этих целей Банк России в конце прошлого года разработал план выхода из ситуации. Он был представлен в докладе «Недискриминационный доступ к данным физических лиц».
Регулятор предложил создать специальных агентов (скоринговые компании), которые будут заниматься сбором данных о геолокации, интересах, круге общения, примерном уровне дохода пользователей финансовых услуг, их тратах и т. д. Информация по задумке должна была собираться из социальных сетей, интернет-магазинов, розничных сетей и от сотовых операторов и передаваться в виде скорингового балла по запросу банков.
Такая система сделала бы финансовый сектор более устойчивым и благоприятно бы повлияла на развитие конкуренции и экономики в целом. Кроме того, выиграли бы и благонадежные потребители, для которых банковские продукты могли стали доступнее. Однако в ходе недавнего обсуждения плана, 27 июля 2020 года, игроки рынка пришли к выводу о нецелесообразности создания информационных агентов.
ДОЛГ.РФ разбирался, насколько важно обеспечить равноценный доступ к персональным данным всем участникам рынка, возможно ли это сделать и одновременно обеспечить их безопасность.
Плюсы есть
ДОЛГ.РФ направил запросы в крупнейшие российские банки, чтобы узнать мнение организаций об инициативе финансового регулятора.
Две крупнейшие кредитные организации отказались от комментариев, остальные — на момент публикации материала — ответы не направили.
Директор департамента информационной безопасности Московского кредитного банка Вячеслав Касимов рассказал ДОЛГ.РФ, что банк считает реализацию данной инициативы положительным явлением, которое скажется на конкуренции на финансовом рынке.
Важно и то, что регулятор с большой осторожностью подошел к такому чувствительному вопросу, как передача данных о клиентах.
«Безусловно, необходимо взвесить все риски и учесть мнения сторон. Что касается обеспечения информационной безопасности, я считаю, что, если не будет запущена отдельная программа по обеспечению должного уровня информационной безопасности такого рода агентов, особенно если им будет предоставлен доступ к контактным данным клиентов, это может привести к массовым утечкам персональной информации. Такие базы данных, в первую очередь, интересны социальным инженерам, а наименее защищенными от их „креативности“ являются пожилые люди», — отметил Вячеслав Касимов.
Представитель МКБ также отметил: если говорить о самой программе, то наиболее близкий по духу стандарт — PCI DSS. Он разработан Советом по стандартам безопасности индустрии платежных карт и учрежден международными платежными системами. Положения PCI DSS можно было бы взять за основу при реализации данного проекта.
Несовершенство плана ЦБ
Основной недостаток плана, который предложил ЦБ — невозможность обеспечить стопроцентную безопасность передачи данных. Это действительно серьезная проблема, потому как даже Сбербанк, который ежегодно тратит 1,5 млрд руб. на кибербезопасность, не всегда может защититься от утечек.
Ряд игроков также опасается, что вышеуказанную информацию может постичь та же участь, что коснулась данных по биометрии: изначально предполагалась передача биометрических данных только финорганизациям, однако впоследствии законотворцы разрешили передавать их ФСБ и МВД без уведомления и согласия граждан.
Участники обсуждения выделили несколько направлений развития недискриминационного доступа к данным физических лиц на финансовом рынке без создания скоринговых компаний. Так, они предложили развивать уже существующие механизмы обмена информацией и снять выявленные барьеры, а также стимулировать развитие практик легального обмена сведениями. А также определили, что важно устранить неопределенности при трактовании профильных норм и закрыть все пробелы регулирования.
Ведущий аналитик QBF Олег Богданов понимает осторожность Банка России в вопросе доступа к личной информации физических лиц.
«Пока процесс расчистки финансового рынка не закончен, есть еще много недобросовестных компаний с сомнительной практикой. В данный момент преждевременно создавать некую единую структуру с равным доступом к персональной финансовой информации. Я бы даже сказал, что финансовой информацией граждан должны владеть компании с государственным участием, где будет контроль и учет, а также ответственный подход сотрудников к банковской тайне», — говорит аналитик.
Равноценный доступ к персональным данным для МФО может быть реализован по принципу win-win
Руководитель управления моделирования и бизнес-анализа МФК «МигКредит» Марат Аббясов рассказал, что МФО имеют несколько внешних источников данных о клиенте, к которым обращаются в зависимости от процесса выдачи денег. Прежде всего, это БКИ, телеком операторы, платежные системы, а также базы ФССП, ФНС и МВД.
«Все упирается в получение релевантных данных о доходах клиента. Сейчас регулятор требует от МФО применять индивидуальный расчет показателей долговой нагрузки, но имеющейся у нас информации не хватает для качественной оценки рисков. Компании не всегда могут проверить эти данные, особенно, если речь идет об онлайн-займах, которые выдаются через Интернет за считанные минуты, без справок о доходах, без залога и поручителей».
Этот удобный режим работы очень рискован для МФО и платить за удобство приходится повышенной по сравнению с банковскими продуктами процентной ставкой. Так МФО покрывают сегмент рынка потребительского кредитования, который не интересен банкам.
Например, когда заемщики не могут официально показать доходы, являются ИП, фрилансерами или находятся в «серой» зоне с точки зрения занятости.
Марат Аббясов отметил, что в целях соблюдения закона МФО обязаны рассчитывать ПДН, однако регулятор не обеспечил адекватных возможностей для выполнения этого требования.
«Мы вынуждены для большой части нашего клиентского потока рассчитывать ПДН, используя среднедушевые доходы для того или иного региона согласно данным Росстата. Их релевантность оставляет много вопросов. Нельзя автоматически считать, что два человека из одного региона будут иметь одинаковый доход. Поэтому мы выступаем за то, чтобы МФО имели доступ к информации о клиентах наравне с банками», — говорит эксперт.
Он напомнил, что разговор о подключении МФО к базе ПФР идет уже много лет. На основе сведений о пенсионных отчислениях кредиторы могли бы составить представление о доходах заемщика, своевременности зарплатных выплат. И если бы МФО имели широкий доступ к таким данным за умеренную плату, то это позволило бы оптимизировать систему принятия решений и рисковую политику.
Такая система благотворно бы повлияла на динамику рыночных ставок: стало бы возможным выделение групп клиентов, которым можно предлагать продукты по более низким ставкам без потерь для МФО.
«Такой подход будет означать запуск долгосрочного win-win процесса, когда компании выделяют клиентов с хорошим риск-профилем, дают им пониженную ставку, но при этом сохраняют соответствующую маржу. Клиент же не будет нести бремя высокой долговой нагрузки из-за этого займа».
Сокращение рисков приведет к снижению ставок
Инициативу поддерживает коммерческий директор МКК «Папа Финанс» Максим Морозов. Он уверен, что у всех участников рынка должны быть равные условия и возможности по скорингу кредитных рисков заемщиков.
«Сократив риски компаний, можно добиться снижения ставок по микрозаймам. Для этого нужно всего лишь обеспечить кредиторам доступ к важным источникам информации, которые позволят повысить точность оценки платежеспособности заемщика», — считает Максим Морозов.
По его словам, снижение ставок благоприятно скажется на рынке в целом. Преимущества онлайн-займов очевидны, они отвечают требованиям времени, являются синонимом удобства, скорости и простоты, а если к этому добавить еще низкую стоимость, то многие клиенты сделают выбор в пользу микрозайма.
Максим Морозов подчеркнул, что самым главным является обеспечение сохранности персональных данных, поэтому доступ к информации должен определяться соответствующими нормативным актами. Доступ к таким данным должны получать только аккредитованные участники рынка, которые докажут, что умеют работать с персональными данными.
«Что касается защиты персональных данных, то ведущие МФО обладают современными программными технологиями, которые обеспечивают их сохранность ничуть не хуже, чем банки».
Вместо скоринговых компаний нужно создавать условия для конкуренции
Эльман Мехтиев, председатель Совета СРО «МиР», президент СРО НАПКА рассказал изданию, что «СРО «МиР» участвовала в обсуждении доклада и направляла ЦБ РФ свои предложения и замечания.
«Мы не видим необходимости в создании специальных „инфраструктурных“ посредников по инициативе регулятора, так как в конечном счете такие институты, изначально создаваемые в том числе и для снижения расходов участников рынка, в большинстве случаев из—за отсутствия надлежащей конкуренции, не могут обеспечить достижения заявленных целей — считает Эльман Мехтиев. — Мы считаем, что за исключением специальных случаев, к которым не относится вопрос доступа к данным, надо создавать условия для конкуренции в сфере развития инфраструктуры, а не саму инфраструктуру».
По мнению председателя Совета СРО «МиР» и президент СРО НАПКА, есть другое решение проблемы. Не обязательно создавать очередную немногочисленную группу «специальных» посредников. Важнее развивать такое законодательство и регулирование, которое обеспечит всем участникам рынка равный доступ к информации, где бы они ни находились, если на то есть согласие собственника данных. Для реализации этой идеи потребуется точнее определять, кому принадлежат данные о человеке (оператору данных или самому человеку), а также правила их использования, даже если они уже анонимизированы (обезличены).
«За примером такого регулирования „далеко“ ходить не надо — 2-я Платежная Сервисная Директива ЕС именно об этом...».
У всех должны быть равные права, одинаковые обязанности и ответственность, пропорциональная содеянному. У собственников данных также должен быть выбор. Если они делают его в пользу маленькой компании, которая лучше обслуживает, чем большой супергигант, доминирующий на рынке нерыночными методами, значит нужно решить вопрос, как обеспечить доступ небольшим игрокам рынка, не нарушая основ конкуренции.
«Если не будет ограничения прав кроме как через стоимость подключения, рано или поздно появятся интеграторы, предлагающие стоимость пользования инфраструктурой доступа на основании единицы информации (мы это уже видели на других рынках в России же)».
Кроме этого, защиту информации можно обеспечить надлежащими штрафами, перед которыми все равны: первый штраф по GDPR в ЕС получили не гиганты IT, а среднего размера больница в Испании.
Начать дискуссию