Aluška.org: Věděním ke svobodě

Je placení kreditní kartou bezpečné? Co všechno o vás ví banky a obchodníci pokud platíte bezhotovostně? Jaká jsou rizika placení kreditní kartou? Ztrácíte s kreditní kartou soukromí? Zodpovězení těchto důležitých otázek se věnuje následující překlad z novin The Washington post.

V rámci experimentu na téma ochrana soukromí, jsme si koupili jeden banán s novou kartou Apple Card a druhý banán s kartou Amazon Prime Rewards Visa od společnosti Chase. Dnes se dozvíte, kdo naše údaje z tohoto nákupu sledoval, kdo z nich těžil a kdo je sdílel s dalšími subjekty.

Jediné zaplacení kreditní kartou předává vaše údaje nejméně půl tuctu různých společností
Nedávno jsem použil svou kreditní kartu ke koupi banánu. Pak jsem se snažil zjistit, jak moje kreditní karta umožňuje společnostem, aby si koupily ony mě.

Mohli byste si myslet, že moje zaplacení 29 centů v Targetu bude jen mezi mnou a mou bankou. Ale kdepak! Můj banán vygeneroval data, která mají pravděpodobně větší hodnotu, než samotný banán. Skončila u mnoha obchodníků, Targetu, Amazonu, Googlu a hedgeových fondů, abych jmenoval alespoň některé.

Kam až se banán dostane v rozrůstající se ekonomice dat z karet? Navzdory federálnímu zákonu o ochraně osobních údajů, který se na karty vztahuje, jsem zjistil, že šest typů podniků může těžit a sdílet data z mého nákupu, nesčetněkrát znásobené dalšími společnostmi, kterým je mohly předat dál. Kreditní karty jsou špiónem ve vaší peněžence a je načase, abychom do způsobu jejich hodnocení vedle odměn a sazeb přidali i ochranu soukromí.

Společnost Apple, která se odděluje od gadgetů, právě začala nabízet potřebnou alternativu. Nejlepším atributem nové Apple Card je prý soukromí. Apple brání partnerské bance Goldman Sachs prodávat nebo sdílet vaše údaje s obchodníky. Karta Apple Card, která funguje v síti Mastercard, však nezavádí mnoho nových technologií, které by vás ochránily před spoustou dalších rukou, které se chopí pokladny.

Svým banánovým testem – dvěma banány, z nichž jeden byl zakoupen s populární kartou Chase Amazon Prime Rewards Visa a druhý s kartou Apple Mastercard – jsem doufal, že odhalím tajný život údajů o své kreditní kartě. V tomto temném odvětví jsem však byl úspěšný jen částečně. Na rozdíl od jiných mých nedávných technologických experimentů, jako je sledování toho, co dělá můj iPhone, když spím, jsem se nemohl nabourat do svých karet a sledovat údaje.
Místo toho jsem požádal zasvěcené osoby a ochránce soukromí, aby mi pomohli identifikovat typy společností, které si umožnily přístup k mým výpisům za účelem nesouvisejícím s platbami a prevencí podvodů.
„Kde to končí? To nikdo neví,“ říká Ted Rossman, analytik srovnávacího webu CreditCards.com.

Prošel jsem si zásady ochrany osobních údajů těchto společností. Pak jsem se více než dvou desítek z nich zeptal, aby mi upřesnily, co vlastně s našimi transakcemi dělají. Jaké údaje sdílejí a s kým?
Některé neodpověděly. Jiné mě poslaly do bermudského trojúhelníku právnických výrazů, kde se jen málokterá odpověď dala přežít. V roce 2019 je těžké věřit společnostem, které si myslí, že nám nedluží jasnou informaci o datech.

Co jsem se dozvěděl: Byznys s karetními údaji vzkvétá pro inzerenty, pro pomoc investorům a pro pomoc maloobchodníkům a bankám při podpoře většího utrácení. A existuje mnoho způsobů, jak lze využít platbu z karty, které ne vždy vyžadují „prodej“ nebo „sdílení“ transakce způsobem, který vás plně identifikuje. Údaje lze agregovat, anonymizovat, hashovat nebo pseudonymizovat (dát jim nové jméno) nebo je použít k cílení na vás, aniž by technicky kdy změnily majitele.

Co je na tom špatného? Jsme právně chráněni před podvodnými poplatky a nekalými úvěrovými praktikami. Ale vzorce výdajů mohou odhalit mnohé – možná dost na to, aby vás vydírali. Kdykoli data přejdou do nových rukou, je tu další šance, že budou odcizena.

A údaje o kartách jistě pomáhají podnikům, ale mohou relativně znevýhodnit spotřebitele.
„Čím více toho o vás vědí, tím více mají příležitostí k manipulaci,“ říká Chris Hoofnagle, profesor práva a informací na Kalifornské univerzitě v Berkeley. Data lze využít k modelování chování, například k přesnému zjištění, kolik zvýšení cen nebo otřesných zkušeností zákazníci snesou, než odejdou.

Lidé mohou mít různé názory na to, zda se vyplatí vyměnit svoje data za letecké míle nebo za vrácené peníze z nákupu. Jak ale máme dělat informovaná rozhodnutí, když nevíme, kam naše data směřují?

Kdo všechno tedy může sledovat, těžit nebo sdílet vaše transakce? V čem karta Apple pomáhá? Pojďme rozklíčovat šest druhů společností, které mě prodaly.

1) Banka
Když jsem platil kartou, moje banky samozřejmě získaly údaje. Překvapivé je, s kým je mohou sdílet. Moje údaje mě pomohly identifikovat marketingovým partnerům Chase, kteří mi posílají nevyžádanou poštu. Některé údaje dokonce dostala maloobchodní společnost Amazon, protože se podílela na brandování mé karty.

Banky mají již dlouho povinnost hlásit vládě podezřelé transakce. Gramm-Leach-Blileyho zákon z roku 1999 však bankám také umožňuje sdílet s firmami údaje umožňující osobní identifikaci. Musí vám pouze zaslat oznámení o ochraně osobních údajů a dát vám právo se z toho odhlásit.

Když jsem použil svou kartu Visa, Chase si ve svém prohlášení o ochraně osobních údajů vyhrazuje právo sdílet mé údaje ze sedmi různých druhů důvodů. Nejděsivější je tato kategorie: „Pro nepropojené společnosti, aby vám nabízely produkty.“ Kdo jsou „nepropojené společnosti“? Kdokoli, koho banka zatraceně chce. Tento termín znamená pouze společnost, která není ve vlastnictví Chase.

Chase mi nechtěla sdělit, jaké konkrétní údaje z mé karty sdílí a s jakými společnostmi je sdílí. Místo toho mluvčí Patricia Wexlerová vyjmenovala druhy údajů, které Chase nesdílí – včetně „personalizovaných údajů na úrovni transakcí“. To však ponechává prostor pro spoustu způsobů využití. Chase nás například na základě našich výdajových zvyklostí přihlašuje k přijímání nabídek od partnerských společností.

Většina bank formátuje prohlášení o ochraně osobních údajů na stránce, kterou vám zašlou poštou s označením „FAKTA“. V tabulce je uvedeno mnoho druhů organizací, se kterými banka může potenciálně sdílet vaše údaje – a kde máte možnost se z toho odhlásit.
V tom se karta Apple liší. V prohlášení Goldman Sachs o ochraně osobních údajů je její odpověď na většinu druhů sdílení „ne“. Goldman přesto sdílí informace s úvěrovými agenturami o tom, zda platíte své účty. Tvrdí však, že transakce neposkytuje obchodníkům ani sesterské společnosti, která údaje o kartách těží.

Svůj podíl na tom mají i partneři co-brandových karet. Amazon samozřejmě dostává údaje, když s jeho kartou nakupujete produkty na Amazonu. A co ostatní nákupy? Chase tvrdí, že s co-brandovými partnery sdílí informace „pouze na vysoké úrovni – nikoliv konkrétní detaily kolem toho kterého obchodníka a nikoliv konkrétní zakoupené položky“, ale Wexler odmítl být konkrétní. Amazon také nechtěl říci, co přesně dostává.

Apple tvrdí, že jako co-brandový partner nemá přístup k údajům o vašich transakcích mimo Apple. Podrobnosti o vašich nákupech, které jsou viditelné v aplikaci Wallet, jsou šifrované, takže je Apple nevidí.

2) Síť karet
Zde se výhoda společnosti Apple začíná vytrácet. Jakmile můj banánový nákup přejde do karetních sítí provozovaných společnostmi Visa a Mastercard, některá z nich by je mohla sdílet – v anonymizované podobě – s firmami včetně turistických kanceláří, Googlu a dalších.

Sítě, jejichž hlavní činností je propojování bank, se vedle toho zabývají agregací nákupů a jejich prodejem jako „datových poznatků“. Visa uvedla, že umožňuje klientům zobrazit údaje o populaci o velikosti pouhých 50 osob, často vázané na skupiny poštovních směrovacích čísel. Společnost Mastercard nechtěla zveřejnit minimální velikost skupiny.

Jeden program společnosti Mastercard obzvláště dráždí obhájce soukromí. Agentura Bloomberg uvedla, že údaje z milionů karet Mastercard – nyní pravděpodobně včetně karet Apple – nakonec pomáhají společnosti Google sledovat maloobchodní prodeje. Údaje se dostávají do systému dvojitého zaslepení, který umožňuje webovému gigantu propojit reklamy, které lidé viděli, s nákupy, které uskutečnili v reálném světě. Dohodu mi potvrdil člověk obeznámený s touto záležitostí, který nebyl oprávněn o ní mluvit.

Firmy nechtěly přiznat konkrétní program, ale zdůrazňují, že Mastercard vymazává identifikační údaje. Mluvčí společnosti Mastercard Jim Issokson řekl: „Mastercard neposkytuje žádné údaje ani poznatky pro účely měření reklamy žádnému z technologických gigantů.“ Mluvčí společnosti Google Anaik von der Weidová uvedla: „V této oblasti jsme vyvinuli pokročilou technologii na ochranu soukromí, a to právě proto, abychom se vyhnuli sdílení osobních údajů.“

Karta Apple Card tedy neposkytuje o mnoho větší ochranu před shromažďováním a sdílením údajů prodejců než jiné kreditní karty.

3) Obchod
Pro společnost Target fungovala moje kreditní karta jako určitý druh průkazu totožnosti – každé přejetí kartou pomáhá vytvářet můj „profil hosta“. Ten je užitečný pro poznávání mých zvyků, cílení reklamy na mě na Facebooku a sdílení informací o mně s ostatními. Nezáleželo na tom, zda jsem platil kartou Chase Visa nebo Apple Card.

Společnost Target tvrdí, že naše údaje „neprodává“. Její zásady ochrany osobních údajů jí však dávají právo „sdílet vaše osobní údaje s jinými společnostmi“, které „mohou sdílené informace použít k tomu, aby vám poskytly speciální nabídky a příležitosti“.

Kdo jsou tyto společnosti: Marketéři? Zprostředkovatelé dat? Jiní prodejci? Mluvčí společnosti Target Jenna Recková to nechtěla říct.
Co konkrétně společnost Target sdílí? To se „liší“, řekla Recková, ale dodala: „Kdykoli je to možné, poskytujeme souhrnné, deidentifikované informace.“

4) Systémy prodejních míst a banky prodejců
Technologie, které pomáhají obchodům nás sledovat, často pocházejí z automatů na čtení karet a bank obchodníků, které pro ně zpracovávají transakce. Tyto firmy získávají přístup k vašemu jménu, číslu karty a dalším údajům a často si vyhrazují práva na sdílení dat v určité formě. Co s nimi dělají?

Zde je moje datová stopa obzvláště nejasná. Společnost Target nechtěla sdělit, kdo je její takzvaná akviziční banka a jaká omezení na ni klade.
Společnost Target rovněž nechtěla sdělit, jaká omezení týkající se údajů klade na společnost Verifone, která vyrábí její platební terminály. Tato společnost neodpověděla na mé e-maily.

Stalo se vám někdy, že jste přejeli kartou a terminál už znal telefonní číslo nebo e-mail pro zaslání účtenky? To proto, že systém propojil vaši kartu s profilem – a vy jste tyto údaje dobrovolně zadali už dříve.

Square, jeden z tvůrců těchto systémů, tvrdí, že tyto údaje „neprodává“. Ale e-mail nebo telefonní číslo, které jsme zadali pro účtenky, předává zpět obchodníkovi. A sdílí souhrnné údaje o nákupech s organizacemi včetně obchodních skupin.

5) Mobilní peněženky
Za banány jsem zaplatil fyzickými kartami, ale platební systémy využívající chytré telefony zacházejí ještě dál. Aplikace mají přístup a ukládají nejen to, co si kupujete, ale také kam jdete.

Služba Google Pay pro Android ukládá transakce do vašeho účtu Google. Google tvrdí, že na základě těchto údajů neumožňuje inzerentům na vás cílit. Výchozí nastavení ochrany osobních údajů služby Google Pay, které můžete upravit, jí však uděluje práva používat vaše osobní údaje, aby vám společnosti Google mohly nabízet své produkty.

Aplikace Samsung Pay má k dispozici údaje o vašich posledních 20 transakcích, ačkoli společnost tvrdí, že tyto informace nejsou uloženy na jejích serverech. Aplikace také poskytuje propagační akce založené na poloze.

Společnost Apple tvrdí, že při používání Apple Pay neuchovává informace o transakcích, „které by bylo možné spojit s vámi“.

6) Finanční aplikace
Mnoho bezplatných finančních služeb usiluje o vaše údaje. Aplikace Mint od společnosti Intuit, která vám umožňuje sledovat všechny vaše účty na jednom místě, používá vaše údaje k tomu, aby vám je ve své aplikaci nabízela. Výrobce finančního softwaru Yodlee prodává deidentifikované údaje zákazníků firmám pro průzkum trhu, maloobchodníkům a investorům.

Krtkem může být i váš e-mail. Kdykoli obdržíte účtenku v Gmailu, Google ji přidá do databáze nákupů. Google tvrdí, že obsah Gmailu nepoužívá k cílení reklamy, ale to ponechává otevřená další využití.

Jak z toho vlaku vystoupit
Pokud vám záleží na ochraně soukromí, můžete podniknout určité kroky k lepší ochraně svého života jako spotřebitele, ale je to mozaika. Samozřejmě můžete platit v hotovosti. To vám ale nepomůže, pokud budete používat věrnostní kartu… nebo až podniky začnou používat rozpoznávání obličeje.

Kartu Apple mám v plánu používat i nadále, přestože její odměny nejsou tak dobré jako u jiných karet. Její smlouvy s Goldmanem vás chrání před kapitalismem některých bankovních dohledů. Apple Card také nepracuje s vlezlými aplikacemi, jako je Mint – k údajům o účtu se musíte dostat přes aplikaci v iPhonu.

Jsem ale zklamaný, že Apple nevytvořil nové druhy technologií pro ochranu soukromí, které by pomohly čelit všem ostatním kategoriím společností využívajících každé mé přejetí kartou. Například karta nabízená začínajícím podnikem Privacy používá pro každou (pouze online) transakci jiné číslo, takže vás nelze tak snadno sledovat.

Podle zákona nám společnosti vydávající kreditní karty poskytují možnosti, jak se ze sdílení některých údajů odhlásit, ačkoli sdílení s jinými finančními institucemi a partnery pro společný marketing je obvykle vyňato. Prostřednictvím online formulářů se můžete odhlásit také z programů sdílení údajů u společností Visa a Mastercard. (Všichni, kdo mají kartu Apple, to budou muset udělat, aby posílili své soukromí.)
Dokonce i některé obchody nabízejí výjimku. Společnost Target uvádí, že jim zákazníci mohou zavolat a požádat o zrušení sdílení osobních údajů pro marketingové účely.

Mnohé z těchto společností tvrdí, že nám tyto „možnosti“ stačí. To je však nesmysl. U dat je ďábel ve výchozích nastaveních – společnosti vědí, že jen mizivý počet lidí bude někdy upravovat nastavení. A jak si můžeme vybrat, když ani nevíme, co se s našimi daty děje?

Data jsou novou společenskou odpovědností firem. Pokud chce firma získat naši důvěru, už jí nestačí říct: „Záleží nám na vašem soukromí,“ a odkázat se na nějakou právní větu. Je čas se přiznat.

autor: Geoffrey A. Fowler
překlad článku připravila www.aluska.org 2023 / podle zdroje: https://www.washingtonpost.com/technology/2019/08/26/spy-your-wallet-credit-cards-have-privacy-problem/