• 금융기관 등 감독 대상 기관이 참여하는 열린 금융 시스템(open finance)에 대해 기술·보안 표준, 데이터 상호운용성(interoperabilidad) 요건을 규정함 

• 소비자 금융 데이터 처리에 있어 사전 명시적 동의, 투명성, 보안 요건 준수 의무를 규정함 

• 금융기관이 사용하는 기술·인프라를 제3자에게 상업적으로 제공하는 경우의 조건 및 책임 기준을 설정함

□ 목적 및 범위 설정

• 본 규정은 열린 금융 모델(finanzas abiertas)을 구현하기 위한 기술적·관리적 기준을 제정하고, SFC가 감독하는 금융기관과 관련 기술자체 인프라 제공자들에게 지침을 부여하도록 함 

• 특히 Circular Básica Jurídica의 일부 조항을 개정 또는 확장하며, 제도적 체계에 열린 금융의 원칙을 반영하도록 함 

• 적용 대상에는 전통 금융기관뿐 아니라 데이터 수신자(third-party 받는 자, terceros receptores de datos)도 포함됨 

□ 기술·보안 및 상호운용성 기준

• 본 규정은 API 활용, 데이터 포맷, 상호운용성 표준(interoperabilidad), 보안 아키텍처 요건 등을 명시함 

• 특히, 제3자 데이터 수신자의 보안 요건을 검증하도록 금융기관에 책임을 부여함 (예: PCI DSS 인증 기준을 요구할 수 있음) 

• 기술 표준 준수를 위한 전환 기간(transitional period)을 규정하고 있으며, 금융기관은 18개월 내에 새로운 표준을 도입해야 함 

□ 소비자 데이터 처리 및 동의 요건

• 소비자 금융 데이터가 공유될 때 사전, 명시적이고 정보 제공된 동의(autorización previa, expresa e informada)를 확보해야 함 

슈퍼재정청

• 동의 요청서(authorización)에는 수신자 식별, 처리 가능한 데이터 유형, 처리 목적, 보관 기간 등이 명확히 기재되어야 함 

• 소비자는 자신의 데이터에 대해 열람, 정정, 삭제 요청 등의 권리를 행사할 수 있어야 함 (하베아스 데이터 규정 준수) 

□ 기술·인프라 상업화 기준

• 금융기관이 자사 기술 또는 인프라(예: API 플랫폼, 데이터 처리 인프라)를 제3자에게 판매 또는 제공할 경우 준수해야 할 조건을 설정함 

• 이러한 상업화 활동 시 위험관리, 계약 조건, 책임 배분, 보안 규정, 소비자 보호 조항 등을 포함해야 함 

• 기술 상업화를 위한 이행 기한은 본 문서 제정일부터 최대 12개월 이내로 설정됨 

□ 전환 기간 및 유예 조치

• 금융기관은 본 규정 제정일부터 18개월 이내에 기술·보안 표준을 도입해야 함 (즉, ~2025년 8월까지) 

• 그밖의 규정(데이터 처리 동의 등)은 6개월 내 이행해야 함 

• 기술 인프라 상업화 지침은 12개월 이내에 준수해야 함 

• 이미 금융기관이 기존 열린 금융 모델을 일부 구현했을 경우, 2024년 8월 1일까지 채택 계획(plan de adopción)을 SFC에 제출해야 함 

□ 감독 책임 및 규정 시행

• SFC는 감독 대상 기관에 대해 규정 준수 여부를 감독할 권한을 가짐 

• 위반 시 제재 가능성이나 보고 의무 등을 둘 수 있음 (규정 문서 내 제재 조항 포함 여부는 문서 본문 참조) 

• SFC는 향후 보충 지침, 기술 표준 갱신, 추가 규정 등을 발행할 수 있음 

□ 폐지 또는 조정 조항 및 기타 조항

• 본 순환 규정은 기존의 “Uso de la información” 관련 조항 일부를 폐지 또는 재정비함 (예: Circular Básica Jurídica 내 일부 조항 조정) 

• 또한, 일부 기존 조항의 번호 재배열 또는 조항 삭제가 포함됨 (예: Circular Básica Jurídica의 일부 수치 조항 개정)