1 pontos por GN⁺ 2023-10-16 | 1 comentários | Compartilhar no WhatsApp
  • A EFF se juntou à campanha da U.S. PIRG para exigir que a Mastercard pare de vender dados de titulares de cartão e reduza o escopo da coleta
  • Por sua posição como empresa de tecnologia de pagamentos, a Mastercard pode lidar com informações da vida financeira de milhões de pessoas, ficando no centro da controvérsia sobre a monetização de dados de pagamento
  • Informações como valor, frequência, localização, data e hora das transações são usadas para estimar tendências de compra e perfis de consumidores, e é difícil considerar que a anonimização por si só seja suficientemente segura
  • Previsões como “big spender” ou “high-value” podem ser usadas para mirar pessoas específicas e induzi-las a gastar mais
  • Como usuários de cartão dificilmente conseguem prever que seus perfis de compra serão retrabalhados e reempacotados para uso contra seus próprios interesses, é preciso mudar essas práticas de dados

Exigências da EFF e da U.S. PIRG

  • A EFF participa da campanha liderada pelo U.S. Public Interest Research Group (U.S. PIRG), exigindo que a Mastercard pare de vender informações de titulares de cartão
  • A principal exigência é limitar a coleta de dados e fazer com que a Mastercard respeite a confiança depositada pelos titulares nas informações que lhe entregam
  • A Mastercard é apresentada como uma das empresas que lucram com a venda de dados pessoais fornecidos pelos usuários durante o processo de pagamento

Por que a Mastercard foi apontada como problema

  • O relatório da campanha da U.S. PIRG afirma que, por ser uma empresa global de tecnologia de pagamentos, a Mastercard pode acessar um volume enorme de informações derivadas da vida financeira de milhões de pessoas
  • O relatório avalia a estratégia de monetização da Mastercard como um exemplo de uma “economia de dados que foi longe demais”
  • Quando os dados de pagamento são usados não apenas para prestar serviço, mas também para ampliar a receita corporativa, o custo pode voltar na forma de risco de violação de privacidade

Estimativas de consumidores criadas a partir de dados de transação

  • Só os lugares onde alguém compra já podem revelar muita coisa sobre a pessoa, e dados anonimizados talvez não sejam tão anônimos quanto se espera
  • Segundo a U.S. PIRG, a Mastercard analisa o valor e a frequência das transações, além de localização, data e hora
  • Essa análise é usada para criar categorias de titulares de cartão e gerar estimativas sobre que tipo de consumidor cada pessoa é
    • Exemplo: alguém previsto como “big spender”
    • Exemplo: um titular que a Mastercard considera “high-value”
  • Essas previsões são usadas para direcionar pessoas específicas e levá-las a gastar mais dinheiro

Conflito com a confiança nas instituições financeiras

  • O Bank for International Settlements considera que as pessoas confiam mais em instituições financeiras tradicionais do que em big techs, órgãos governamentais e empresas fintech
  • Quem recebe um cartão Mastercard não imagina que seu perfil financeiro de compras será retrabalhado e reempacotado de formas que podem ser usadas contra seus próprios interesses
  • Esse uso de dados entra em conflito com a confiança que muitas pessoas depositam na empresa que emitiu o cartão

Práticas de dados que precisam mudar

  • A EFF exige que a Mastercard respeite a confiança e a privacidade dos titulares de cartão
  • A posição é que a Mastercard pode e deve mudar suas práticas atuais de dados
  • Também é citado o caso em que a Visa encerrou seu negócio de dados pessoais para anunciantes: Visa Is Shutting Down Its Personal Data Business for Advertisers

1 comentários

 
GN⁺ 2023-10-16
Comentários no Hacker News
  • Imagine ir a um mercado famoso pela pechincha, e a empresa que vendeu sua carteira monitorar todas as suas transações e repassar essas informações ao comerciante do mercado que pagar mais
    Agora sou uma galinha gorda pronta para ser depenada. Acabei de comprar um martelo, então devo precisar de pregos, e pelos meus rastros nas redes sociais também dá para inferir que sou meio ingênuo. “Corra, há alta demanda por pregos nesta região. Não se preocupe, é uma oferta especial válida apenas pelas próximas 0,3 horas”
    Não entendo como as pessoas passaram a aceitar essa erosão da privacidade e a perda de benefícios econômicos e de agência. Não sei que tipo de estupidez coletiva permite essa regressão social sob operadores manipuladores e reguladores capturados, se sempre foi assim, ou se há esperança

    • Pior ainda: agora também existem etiquetas de preço de tinta eletrônica. Enquanto eu me aproximo, a etiqueta pode literalmente mudar para o preço pelo qual vão vender para mim
      Se eu passar sem pegar o produto, podem ajustar levemente a oferta. Deixa de ser “pague 1, leve 2” e vira algo como “compre 2, ganhe 1 grátis, e leve também X”
      Repugnante. O sapo que nasceu na água fervente não sabe que ela está quente. A faixa etária com a maior renda disponível hoje não conhece outro mundo e acha que sempre foi assim
      Não foi sempre assim. A tecnologia tornou isso muito mais fácil, e agora é direcionado e automatizado. É o pior momento até agora e continua piorando. Político nenhum, em país nenhum, quer corrigir isso. Se vendem mais a preços mais altos, a arrecadação de impostos também aumenta. Somando o lobby corporativo, nem se fala
    • A resposta padrão de alguém do setor de adtech provavelmente seria algo assim: “Não é bom que a publicidade avise que você também precisa de pregos? Sem a ajuda da adtech, nada teria sido construído!”
    • A resposta parece muito simples. As pessoas não entendem e, mesmo quando entendem, não percebem como algo que parece trivial — “e daí, desta vez são só alguns pregos” — leva ao enorme poder criado por dados agregados
    • “Sempre foi assim” é uma retórica realmente péssima. É quase uma enrolação, um clichê sem substância que interrompe o pensamento
      Sinceramente, esse cenário faz criptomoedas ou prédios projetados com materiais de bloqueio de sensores parecerem atraentes. Dá para tornar data centers difíceis de monitorar passivamente; por que minha casa, meu escritório ou um shopping deveriam ser diferentes?
      Quem está no poder nunca nos deu a opção de ficar de fora, e as coisas vêm piorando lentamente, de forma gradual
      Precisamos criar incentivos para negociar sobre os nossos próprios dados. Meus dados invisíveis e desconhecidos são meu ativo, e devo proteger seu valor monetário
      Como não dá para confiar que qualquer um não venderia algo como uma exchange de criptomoedas, precisamos criar tecnologia que funcione como uma exchange de criptomoedas passiva. Assim que houver dinheiro à vista, o desenvolvedor não deve conseguir puxar o cabo de emergência e destruir a tecnologia
      O ponto central é software passivo. No momento em que algo é automatizado, alguém — algum desenvolvedor — precisa continuar preso a ele para acompanhar as mudanças tecnológicas. O importante é um software de criptomoeda que uma pessoa possa criar e depois abandonar, mas que continue existindo
      Sobre isso, dá para construir ideias filosóficas, estruturais e de gestão de relacionamentos comuns
    • Uma pessoa comum praticamente não tem esperança de entender os fluxos globais modernos de capital, dados e armas
      Antigamente, se o curtume local contaminasse o abastecimento de água da vila, você podia ir pessoalmente dizer ao curtidor para parar; se ele não ouvisse, podia tomar a próxima medida
      Hoje, quem sabe o que realmente está acontecendo é justamente quem mais lucra com isso, e não tem incentivo para parar
  • Na verdade, todas as atuais operadoras de pagamento por cartão deveriam ser expulsas do mercado. Mastercard e Visa praticamente controlam os gastos dos clientes no mundo todo
    Elas também impediram que os bancos acompanhassem tecnologicamente o século 21, e ainda há muitos lugares sem pagamentos online instantâneos de verdade. Muitos problemas do setor bancário podem ser rastreados até essas operadoras de cartão
    Precisamos de alternativas, e elas deveriam ser tão numerosas quanto os bancos. Todo banco deveria ser uma operadora de cartão e uma operadora de gateway de pagamento online

    • Não é o mundo todo; isso é mais uma descrição dos EUA. A Europa é mais próxima do que você descreveu: os bancos fazem o papel de operadoras de cartão, e também há transferências online quase instantâneas. Aqui, cartões de crédito são relativamente menos importantes
    • Os bancos já processam pagamentos. Quando você coloca um cartão de crédito em um caixa eletrônico de banco, esse caixa é gerenciado pelo banco, conectado aos servidores do banco, e a autorização e o processamento acontecem no banco
      Visa e Mastercard fornecem a conexão com outros bancos. Elas são necessárias quando você coloca o cartão no caixa eletrônico de outro banco ou paga em um estabelecimento conectado a outro banco
      Para eliminar o monopólio da Visa/Mastercard, todos os bancos teriam que se conectar a todos os outros bancos, mas os bancos não querem fazer isso. Seria um inferno administrativo, então eles aceitaram essas duas por tanto tempo. Para os bancos, elas são como o Google: convenientes
      Uma alternativa poderia ser algo como uma joint venture de todos os bancos. As tarifas bancárias cairiam, mas como os bancos ficariam com a margem, não haveria benefício para o cliente, e ainda seria um inferno de privacidade
      Outra alternativa é infraestrutura pública. Mas entregar dados de pagamento ao governo também pode incomodar muita gente
    • Pelo menos na Europa existem transferências online instantâneas entre bancos. Mesmo assim, a estrutura de duopólio é ruim. Claro que a situação de privacidade das empresas de cartão de crédito não é tão ruim quanto nos EUA
      Acho que precisamos de mais regulação e supervisão governamental aqui. Na Europa também, e especialmente na “terra da liberdade”
    • Na Índia há a UPI, na China há WeChat Pay e AliPay, na Rússia há o MIR, e a Rússia praticamente expulsou Visa/MC dos pagamentos domésticos há uns 5 anos. O mais irritante é que todos esses sistemas oferecem pagamentos online instantâneos
      O Japão também tem a JCB, e ouvi dizer que países da África e da América Latina também têm seus próprios sistemas. O “mundo” de que se fala aqui é um mundo bem estreito
  • A página de recusa da Mastercard está aqui: https://www.mastercard.us/en-us/vision/corp-responsibility/c...

    • Há um trecho que diz: “forneça o número do seu cartão de pagamento Mastercard ou Maestro para optar por não participar da anonimização de dados pessoais para a realização de análises de dados”
      Isso quer dizer que é uma recusa à anonimização, e não uma recusa à coleta de dados pessoais? Acho que a redação precisa claramente ser melhorada
    • Aqui também tem um “sim, mas”
      “O exercício desses direitos por você não resultará na recusa de fornecimento de bens ou serviços, na cobrança de preços diferentes ou na oferta de um nível diferente de qualidade de bens ou serviços, exceto quando o preço ou nível de qualidade diferente estiver razoavelmente relacionado ao valor dos dados que recebemos de você. Em alguns casos, o exercício de determinados direitos pode nos impedir de fornecer os bens ou serviços que você solicitou”
    • No fim, criei uma conta my data. Fiquei curioso para saber o que a MC coletou sobre os 2 cartões da marca Mastercard que tenho. Um deles é o Apple Card, que anuncia proteção à privacidade do usuário
      Quando eu receber o relatório, vou pedir a exclusão
    • Isso é absurdo. Deveria ser tratado por meio do emissor. Tenho vários Mastercards e até variantes para carteiras online, então todos os números de cartão são diferentes
      Pelo que me lembro, meu Apple Card também tem pelo menos 4 ou 5 números associados. iPhone, Apple Pay na web, Watch, cartão físico e provavelmente o MacBook também
    • A Visa também faz a mesma coisa? Lá também existe uma opção de recusa?
  • Fico me perguntando se a Mastercard é pior que Visa ou Discover. Não é um mercado com concorrência saudável, mas há opções, então quero saber se devo me esforçar para usar uma empresa específica

    • Por volta de 2018, uma reportagem da Bloomberg dizia o seguinte
      “No último ano, alguns anunciantes do Google tiveram acesso a uma nova ferramenta poderosa para rastrear se anúncios veiculados online levaram a vendas em lojas físicas nos EUA. Esse insight foi possível em parte graças ao estoque de dados de transações da Mastercard pelo qual o Google pagou…”
      “Mas a maioria dos quase 2 bilhões de titulares de Mastercard não sabe desse rastreamento nos bastidores. Isso porque as duas empresas não divulgaram o acordo ao público… O acordo, que não havia sido noticiado anteriormente, pode gerar preocupações mais amplas de privacidade sobre a quantidade de dados de consumidores que empresas de tecnologia como o Google absorvem silenciosamente”
      https://www.bloomberg.com/news/articles/2018-08-30/google-an...
      https://archive.vn/SLmFw
  • Será que isso é um problema se você está na Europa?
    Mesmo assim, fiz a recusa por via das dúvidas. Não havia nenhuma menção de que talvez não se aplicasse a mim, nem garantia de que nada seria feito

  • Foi por isso que a Europa aprovou leis de privacidade de dados

    • Não só o GDPR, mas também a diretiva de pagamentos PSD2
  • Isso quer dizer que Visa, AMEX e Discover não vendem nossos dados?
    Concordo, mas fico me perguntando se devo preferir alguma bandeira específica

    • Entre as 4 grandes redes de pagamento dos EUA, nenhuma deixa de vender dados
      O melhor é fazer a solicitação de recusa em cada uma que você usa
    • Eu ficaria surpreso se nessas empresas não tivesse havido, ou se não houvesse, reuniões para discutir “quando podemos começar a fazer o que a MC faz?”
  • Por coincidência, hoje eu estava pesquisando cartões pré-pagos descartáveis. Pensei em comprar alguns cartões de 100 dólares para usar em transações semianônimas
    Mas tudo que consegui encontrar foram “cartões de débito” pré-pagos que poderiam ser facilmente vinculados a mim, ou “gift cards” de lojas específicas
    Fico curioso se existe alguma boa solução para usar nos EUA

    • Para a maioria dos modelos de ameaça, o Visa Vanilla é bem prático. Sei que existem organizações tentando fazer ainda mais segmentação de anúncios por meio de câmeras de segurança em várias lojas, mas comprar um gift card Visa Vanilla com dinheiro, ativá-lo online e depois usá-lo como cartão de crédito em praticamente qualquer loja física e em muitos varejistas online não deve causar grandes problemas. Se você se preocupa com esse nível de rastreamento, pode usar algo como uma VPN
      Há algumas possíveis falhas. Antigamente havia uma taxa de cerca de 1% a 5%, mas não sei como está hoje
      Isso não é anonimato à prova de tudo. Se você for algo como um jornalista, ativista, hacker ucraniano abertamente gay visitando a Rússia, não deveria usar isso
      Algumas organizações só aceitam transações se puderem sugar dados além do que uma pessoa razoável esperaria na primeira transação. Muitas contas online, em especial o Facebook por um tempo, não podiam ser criadas com telefone pré-pago, porque era difícil sugar endereço e outras informações sem um plano pós-pago específico. Em lugares que querem comprar do emissor do cartão seu endereço e hábitos de compra, talvez nenhum cartão semianônimo funcione
      Soluções como privacy.com talvez se encaixem aqui. Porque elas permitem usar a maioria dos sites que querem transformar esses dados em dinheiro, ao mesmo tempo que de fato anonimizam nome, endereço etc. Mas, fundamentalmente, isso cria mais um intermediário com os mesmos dados, e eu espero que, no fim, eles acabem sendo vendidos algum dia. Além disso, passam a ter coisas que você talvez não queira entregar, como acesso aos dados brutos da conta bancária
    • O Privacy.com é bem bom para esse uso
    • Você já tentou usar dinheiro em espécie?
  • As pessoas também usam de bom grado cartões de pontos separados, que são basicamente dispositivos puros de fornecimento de dados em troca de descontos. A única razão pela qual esses cartões ficaram menos populares com o tempo é que Mastercard, Visa e Amex tornaram esse tipo de produto desnecessário
    Ainda hoje, em 99% dos casos é possível pagar em dinheiro, e tentativas de mudar isso enfrentam resistência política considerável por serem vistas como discriminação contra pessoas pobres ou sem conta bancária. Por isso, o argumento de “se você não gosta dos termos da transação, basta não usar o produto” é, no momento, surpreendentemente forte
    Quando a sociedade se tornar realmente sem dinheiro em espécie, isso poderá ser discutido de novo. Por enquanto, não é uma causa pela qual eu vá me sacrificar. A Mastercard vai chorar lágrimas de sangue antes de abrir mão dessa mina de ouro. O que considero ainda mais feio, na verdade, são as taxas cobradas dos lojistas e o poder de monopsônio virtual de fato que as empresas de cartão de crédito têm

    • No fim de semana passado fui ao estádio de futebol da Air Force Academy. Avisos sonoros e placas por todo o estádio informavam que o Falcon Stadium era um local sem dinheiro em espécie
  • Não entendo a parte sobre “previsões usadas para induzir mais gastos mirando certas pessoas, ou seja, titulares de cartão que a Mastercard considera de ‘alto valor’”
    Talvez seja por eu estar no Reino Unido, mas meu banco emite o Mastercard, então não tenho relação direta com a Mastercard. Como eles poderiam me segmentar?

    • Toda vez que você paga por algo, está usando a rede de pagamentos da Mastercard. Eles veem e registram todas as suas transações. A Mastercard é quem informa ao seu banco para enviar o dinheiro ao banco do estabelecimento
    • O que me preocupa é uma situação em que o estabelecimento me ofereça um preço mais alto com base em uma avaliação dos meus dados pessoais
      Uma vez, ao reservar férias, minha esposa estava sentada bem ao meu lado vendo o mesmo hotel no laptop dela e aparecia um preço mais alto. Quando ela apagou os cookies, o preço ficou igual ao que eu tinha recebido em um computador limpo
      Isso foi há alguns anos; hoje é mais provável que identifiquem potenciais clientes por fingerprinting do navegador do que por cookies, o que tornaria a defesa mais difícil
      Para começo de conversa, quem gostaria que seu banco ou rede de pagamentos conspirasse para cobrar preços mais altos?