Слежка за онлайн-покупателями становится всё более активной

Автор оригинала: Burt Helm
  • Перевод


На сайте Privacy.com сокрытие своих привычек онлайн-шоппинга выглядит просто: вводишь информацию дебетового или банковского счёта, и веб-сайт генерирует виртуальную дебетовую карту. Эта так называемая «burner card» скрывает покупателя за «прокси», не позволяя узнать его имя и адрес. Потом достаточно ввести номер, карты, срок её действия и код CVV в любом онлайн-магазине, оформить покупку, а всем остальным займётся Privacy. Сервис совершит платёж с настоящей карты пользователя, добавит эти средства на burner и использует эту новую карту для покупки.

Выглядит привлекательно. Карту можно настроить так, чтобы продавцы не могли взымать с неё никаких дополнительных платежей, например, автоматической оплаты подписки. Если сайт продавца взломают, то вы просто избавитесь от «сгорающей» карты и заведёте другую. А если какая-то из сторон транзакций попытается продать ваши данные, то у неё будет только информация о том, что покупка совершена через Privacy.

Это не единственный сервис, предлагающий услугу сокрытия транзакций. В августе прошлого года Apple представила Apple Card — выпускаемую Goldman Sachs кредитную карту без номера, которая не отслеживает покупки. Privacy и другие новые программные компании наподобие FigLeaf и Abine работают над созданием burner cards и других технологий (менеджеров паролей, браузерных расширений), позволяющих маскировать навигацию по вебу. В офлайне потребители всегда имели возможность совершать покупки анонимно, оплачивая их наличными. Но онлайн — совершенно другая история. «Мы хотим дать потребителям возможность сказать: мне нравится работать с тобой и совершать покупки в Интернете, просто я хочу делать это на своих условиях», — рассказывает один из основателей Abine Роб Шэвелл.

Мы уже привыкли к тому печальному факту, что почти каждый крупный распространитель рекламы, веб-сайт и изготовитель персональных устройств в той или иной мере собирает и отслеживает данные пользователей. Некоторые делают это для собственных целей. Другие делают это в пользу различных владельцев алгоритмических шпионских сетей наподобие Facebook или Google, анализирующих огромные массивы личной информации, от «лайков» в соцсетях до GPS-местоположения, для показа релевантной рекламы. (Сайт Fast Company, на котором размещён оригинал статьи, как и многие другие медиа, отслеживает данные читателей в рекламных целях.)


Но для полного понимания поведения покупателей необходимы данные кредитных карт. За последнее десятилетие потребительские покупки постепенно стали наиболее желанными и перспективными множествами данных, которые используются людьми с Уолл-стрит и Мэдисон-авеню для определения вкусов, бюджетов и планов покупателей. «Сегодня данные транзакций являются святым Граалем для маркетологов», — рассказывает один из основателей бостонского стартапа Habu Майкл Моро; его компания помогает распространителям рекламы упорядочивать их данные.

Такие транзакции послужили причиной роста популярности сложной экосистемы продажи данных. В её фундаменте находятся сети обработки платежей по кредитным картам, в том числе Visa, American Express и Mastercard; последняя заработала в 2019 году 4,1 миллиарда долларов (четверть своего годового дохода) на использовании своего массива данных о транзакциях в сервисах, предоставляющих маркетинговую аналитику, а также бонусные программы и функции распознавания мошенничества. А ещё есть банки, розничные продавцы, платёжные системы и компании-разработчики ПО, предоставляющие возможность онлайн-транзакций. Немногие из них раскрывают свои методики, а некоторые активно скрывают свою работу; но все они заявляют, что личные данные анонимизированы и сгруппированы, а потому безопасны.

Однако в реальности всё намного сложнее. С одной стороны, владельцы карт как никогда ранее защищены от хищения личной информации. С другой стороны, все они теперь совершают покупки в паноптикуме, а компании отслеживают и анализируют их действия почти в реальном времени. Никогда нам не было сложнее узнать, кто отслеживает и продаёт эти данные, не говоря уже о том, кто их покупает.

Компании начали изучать данные транзакций чтобы продавать нам больше товаров, ещё в 1990-х. Гиганты сферы кредитных карт наподобие American Express анализировали покупки, чтобы делать владельцам карт специальные предложения. Тем временем, маркетологи с более ограниченной информацией получали данные из собственных кассовых аппаратов, чтобы научиться лучше понимать своих клиентов.

Ситуация значительно изменилась спустя десяток лет, с появлением финтех-стартапов. Банки поначалу опасались обмениваться данными и работать с ними, в основном из-за принятого в 1999 году закона Грэмма-Рича-Блайли, предусматривавшего наказания для финансовых организаций, подвергающих риску данные клиентов, в том числе имена, даты рождения, адреса и другую персональную информацию. Чтобы решить эту проблему, стартапы реализовали изощрённую систему, удаляющую подробности о личности и заменяющую их случайно генерируемыми псевдонимами, используемыми в качестве ID-кодов: сами по себе они непонятны, но могут быть сопоставлены с файлами индивидуальных клиентов.

Такая система замены (также известной как «токенизация») сегодня стала стандартом. Чиповые карты, бесконтрактные платёжные системы наподобие Apple Pay, средства онлайн-платежей и другие технологии Интернет-банкинга применяют её для связи друг с другом. Они даже образуют цепочки: если приложению для электронной коммерции требуется принять кредитные карты, она использует платёжную систему типа Stripe. Если приложению, обеспечивающему финансовые услуги, например, Acorns, нужно связаться с банковскими счетами пользователя, оно может использовать API компании Plaid, автоматизирующий логины. Если приложению для управления бюджетом нужно показать пользователям информацию об их кредитных картах, накоплениях и инвестиционных счетах, оно может использовать ПО компании Yodlee.

Сегодня данные любого американца, купившего что-нибудь онлайн, почти без исключений передаются компании, выпустившей его карту, а также стартапам, создающим промежуточное ПО. А некоторые из таких посредников зарабатывают на продаже информации маркетологам, хедж-фондам и другим сторонам.


«По сути, токенизация создала лазейку в законодательстве», — рассказывает Ив-Александр де Монжой, руководящий отделом конфиденциальности в компьютерных системах в Имперском колледже Лондона и консультирующий Еврокомиссию по вопросам конфиденциальности. Избавившись от имён и других подробностей, компании могут заявить: «это не личные, а анонимизированные данные».

Но они не очень-то анонимны. В 2015 году де Монжой с коллегами из MIT взяли множество данных, содержащее трёхмесячную историю транзакций по кредитным картам 1,1 миллиона безымянных людей, и выяснили, что в 90% случаев можно идентифицировать человека, зная приблизительные подробности (дату и магазин) четырёх покупок этого человека. Другими словами, сочетание из нескольких чеков, твитов и фотографий из кафе в Instagram позволяет определить и другие ваши покупки.

Всё это происходит под завесой секретности. Да, компании-эмитенты кредитных карт признают, что они зарабатывают на анализе транзакций, но очень туманно говорят о данных, которыми делятся. Visa, например, сообщает, что её бизнесы по продаже данных предоставляют историю транзакций на уровне группировки по почтовому индексу. Однако используемые этой компанией почтовые индексы имеют формат индекс+4 числа, а этого достаточно для определения адреса на одной стороне улицы в квартале, а часто и точного адреса. (Visa утверждает, что делится этими данными по партиям карт, чтобы избежать раскрытия личной информации.) American Express заявляет, что никогда не продаёт данные о транзакциях сторонним компаниям. Однако компания сотрудничает с брокером данных под названием Wiland для идентификации отдельных потребителей, чьи покупательские привычки соответствуют предоставляемым маркетологами критериям. (По заявлению American Express, эта «методология моделирования» защищает конфиденциальность владельца карты.) Таргетирование конкретных людей на основании данных о транзакциях реализуется «чрезвычайно просто», как говорит Роберт Брилл. Он является основателем Brill Media, использующей данные Mastercard и других источников для покупки цифровой рекламы по просьбе своих клиентов.

А ещё существуют финтех-посредники. Компания Plaid, получающая информацию о банковских счетах по заказу 2600 с лишним приложений, утверждает, что никогда не продаёт данные пользователей. Однако в январе компанию приобрела Visa, продающая данные через бизнес под названием Visa Advertising Solutions. (Visa отказалась комментировать свои планы относительно Plaid.) Разработчики приложения для планирования финансов HelloWallet заявляют, что оно не продаёт данные об уникальных пользователях. Но для доступа к счетам пользователей приложение использует сервис Yodlee, продающий такую информацию.

Возможности государства в регулировании такой торговли ограничены. В январе сенатор от Огайо Шеррод Браун, сенатор от Орегона Рон Уайден и представитель Калифорнии Энн Эшу отправили Федеральной торговой комиссии письмо с требованием расследования в отношении родительской компании сервиса Yodlee под названием Envestnet на предмет продажи данных потребителей без их ведома. Yodlee, со своей стороны, заявляет, что исполняет все правовые нормы. «Конгрессу нужно создать чёткие правила, которые будут регулировать корпорации, копающиеся в нашей частной жизни», — говорит Браун. Например, законопроект, представленный Уайденом в октябре прошлого года, принудит компании более подробно рассказывать о том, как они делятся данными потребителей. Однако нет никаких свидетельств того, что Сенат начнёт рассматривать его в ближайшее время.

В условиях отсутствия регулирования в помощь потребителям появились такие приложения, как Privacy и Abine. Но у них всё равно есть привязки к экосистеме данных. Privacy использует Plaid. Abine использует сервис Stripe, не разглашающий названия своих банковских партнёров. (Многие банки обмениваются данными о транзакциях.) Даже Apple, запретившая Goldman Sachs использовать данные своих карт в маркетинговых целях, не может добиться таких уступок от своей платёжной системы Mastercard.

Разумеется, эти сервисы способствуют сокрытию личности покупателей, озабоченных своей конфиденциальностью, но они не могут полностью высвободиться от слежения.



На правах рекламы


VDSina предлагает серверы в аренду под любые задачи, для заказа достаточно одной электронной почты! Огромный выбор операционных систем для автоматической установки, есть возможность установить любую ОС с собственного ISO, удобная панель управления собственной разработки и посуточная оплата.

VDSina.ru
Серверы в Москве и Амстердаме

Комментарии 12

    +1

    Виртуальную карту параллельно с основной выпустить сейчас можно много в каких банках, притом где-то они даже бесплатные. Разница в разных банках в том, что либо нужно завести отдельный счет, и к нему привязать карту (и траты с карты пойдут в пределах суммы на счёте — т.е. нужно его пополнять перед расходованием денег, но и в минус вроде как не должны опустить), либо карта всегда привязана к общему счету клиента, но на ней можно выставлять лимиты трат (что как инструмент более сложная в управлении вещь). Пока не видел только карты, на которой была бы возможность на стороне ЛК в банке видеть все запрошенные расходные операции, но подтверждать каждую из них всегда, даже если продавец решил, что может снимать деньги без ПИН.


    Вопрос в другом: чем банк поделится по поводу каждого клиента. Транзакции "без следов" любая финорганизация не просто не любит, но и не может позволить, их тут же финвласти привлекут (и, если вдуматься, будут правы). А вот, скажем, если я завел вирт. карту, с её помощью купил батон хлеба, а продавец (скорее всего через посредничество разного рода маркетинговых агентств, но нам важен результат) узнал про меня что-то, кроме фрагмента номера карты и даты её истечения, то вопрос — должен ли банк-эмитент вообще хранить эту информацию в секрете? Подозреваю, что "не всё" банк может и найти способ раскрыть ("мы же не сказали, что номер карты 1234 5678 9012 и пин к ней 123, мы просто сказали, что ею владеет мужчина, белый, семейный, в возрасте от 35 до 37 лет, живущий примерно в Москве или окрестностях"), а как клиенту это проверить?


    Ну и да, вечная песня "простым честным людям нечего скрывать" — но в неё не верится, да.

      +3
      представила Apple Card — выпускаемую Goldman Sachs кредитную карту без номера, которая не отслеживает покупки

      Точнее будет: 'отслеживает для нужд Apple и их «информационных партнёров»'.
        +1
        все они теперь совершают покупки в паноптикуме, а компании отслеживают и анализируют их действия почти в реальном времени

        И чем это мешает покупателям? Не знаю что там в США, но за 20 с лишним лет использования кредиток (немецких) я ни разу не получил никакой рекламы (ни онлайн, ни почтой) связанной с моими покупками через эти кредитки, и не знаю никого кто получил бы.


        Да, реклама от онлайн шопов приходит — но она всегда связана с тем что я покупал в этих шопах, а не где-то ещё, вот собствено и всё — не вижу как это может навредить.

          0

          Предполагаю что в штатах они, корпорации добра, пока что откатывают в волю всё это на своих. А в Европе пока что gdpr и прочие законы, за что государства не прочь их покрамсать. Но что то мне подсказывает, что "завтра" будет хуже. К этому моменту прихода в наши рынки они уже будут способны не только прогнозировать хотелки, но и полноценно "прописывать" сценарии внушения.

            0

            GDPR в ЕС сравнительно недавно, а кредитки уже давно.


            Фишка в том что сейчас (в ЕС) никакую рекламу присылать не могут без явного согласия, кому-то выдавать данные о транзакциях (кроме собственно банка где кредитка) — тоже не могут без явного согласия, так что чтобы они не делали с этими данными — пусть делают, вреда от этого пока не заметно.


            С учётом того что законы в отношении защиты ПД и прочего только ужесточаются, очень сомнительно что эта информация как-то может быть использована для рекламы. Что остается? Да разве что планировать какие товары производить и куда их завозить — но это и так нужно, будет даже лучше если это будет делать на основе реальных покупок а не хрустального шара.


            Я конечно понимаю что ЕС это не весь мир и даже не существенная его часть, но всё же паника по поводу сбора данных о покупках мне кажется несколько преждевременной.

              0
              если это будет делать на основе реальных покупок а не хрустального шара.

              Лет 20 уже жду, когда же они поумнеют настолько, что хотя бы популярные марки сигарет не будут заканчиваться. Но, увы.

          +1
          Пока иностранные компании что-то там изобретают для слежки, в России тупо обязали все кассы передавать состав чека государству. А дальше продать это всё заинтересованным лицам — вопрос времени.
            +1

            Тут вопрос в продать не стоит и вовсе. Как залетает так и вылетает, что чеки, что сливы баз, что ресурсы страны. Эти законы попыток контроля кошельков граждан страны сродни не здоровому аппетиту верхушки, которая таки норовит довести население до грани принятия власти в свои руки, с последующим насаживанием голов этой самой верхушки на пики. А следствие это взлёт цен, полнейшая последующая инфляция, паралич экономики и обвал системы. Что мы и вероятно снова наблюдаем идущего по инерций движения. Ну а война с соседями, это какой-то прозападный сценарий затевания зрелищ, которые мне кажется простому народу даром не сдались. Хотя кто их знает

              0
              давно всё утекло из nalog.ru
                0

                Уже.
                Не знаю конечно деталей соглашений но Тиньков получает данные от как минимум одного из ОФД по платежам своими картами. Откуда знаю? А у них галочка в приложении показывать состав покупок и реально показывает. Да, для пользователя все. Но куда это ЕЩЕ может использоваться?
                А в приложении ФНС (которое Мои чеки) показывающим чеки (и еще и просят e-mail'ы указать если на них высылают) уже висит
                "С 26.04.2021 в сервис добавлен раздел «Партнеры» с актуальными предложениями и акциями Теперь можно получать бонусы и кэшбек за свои чеки"
                И первое предложение Переходите на электронные чеки и не платите за мобильный телефон! Для участия в акции необходимо дать право использовать Ваши чеки. Подробнее на qrbonus.ru

                  0
                  и еще и просят e-mail'ы указать если на них высылают
                  Во времена регистрации онлайн-кассы действительно нужно было передавать почту или мобильный номер. Не удивлюсь, если будет приходить и в виде СМС, для которых настроить антиспам сейчас непросто.

                  О приватносте вообще молчу…
                    0
                    У нас система с НСПК, по которой мы получаем данные, делаем всё это с качественным подходом к безопасности данных, ни для чего другого не используется, только для вашей статистики и для общей, обезличенной.

                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                Самое читаемое