1 पॉइंट द्वारा GN⁺ 2023-10-16 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • EFF ने U.S. PIRG अभियान में शामिल होकर मांग की है कि Mastercard कार्डधारकों का डेटा बेचना बंद करे और डेटा संग्रह का दायरा घटाए
  • भुगतान तकनीक कंपनी होने की वजह से Mastercard लाखों लोगों की वित्तीय जिंदगी से निकली जानकारी संभाल सकता है, इसलिए वह भुगतान डेटा से कमाई के विवाद के केंद्र में है
  • लेन-देन की राशि, आवृत्ति, स्थान, तारीख और समय जैसी जानकारी का इस्तेमाल खरीदारी की प्रवृत्ति और उपभोक्ता के प्रकार का अनुमान लगाने में होता है, और केवल anonymization को पर्याप्त सुरक्षित मानना मुश्किल है
  • “big spender” या “high-value” जैसे अनुमान किसी खास व्यक्ति को निशाना बनाकर उससे अधिक खर्च करवाने के लिए इस्तेमाल किए जा सकते हैं
  • कार्ड उपयोगकर्ताओं के लिए यह अनुमान लगाना मुश्किल है कि उनकी खरीदारी प्रोफाइल को फिर से प्रोसेस और पैकेज कर उनके खिलाफ इस्तेमाल किया जा सकता है, इसलिए डेटा प्रथाओं में बदलाव जरूरी है

EFF और U.S. PIRG की मांगें

  • EFF, U.S. Public Interest Research Group (U.S. PIRG) के नेतृत्व वाले अभियान में शामिल होकर Mastercard से कार्डधारक जानकारी की बिक्री बंद करने की मांग कर रहा है
  • मुख्य मांग यह है कि डेटा संग्रह सीमित किया जाए और Mastercard कार्डधारकों द्वारा सौंपी गई जानकारी पर किए गए भरोसे का सम्मान करे
  • Mastercard को उन कंपनियों में से एक माना जा रहा है जो भुगतान प्रक्रिया के दौरान उपयोगकर्ताओं द्वारा सौंपी गई निजी डेटा की बिक्री से लाभ कमाती हैं

Mastercard को समस्या के रूप में क्यों चिन्हित किया गया

  • U.S. PIRG की अभियान रिपोर्ट के अनुसार, वैश्विक भुगतान तकनीक कंपनी होने की स्थिति के कारण Mastercard लाखों लोगों के वित्तीय जीवन से उत्पन्न भारी मात्रा में जानकारी तक पहुंच रखता है
  • रिपोर्ट Mastercard की monetization रणनीति को “बहुत आगे निकल चुकी डेटा अर्थव्यवस्था” का उदाहरण मानती है
  • अगर भुगतान डेटा का उपयोग केवल सेवा प्रदान करने से आगे बढ़कर कंपनी के राजस्व को बढ़ाने में होने लगे, तो इसकी कीमत privacy उल्लंघन के जोखिम के रूप में चुकानी पड़ सकती है

लेन-देन डेटा से बनने वाले उपभोक्ता अनुमान

  • केवल खरीदारी की जगह भी किसी व्यक्ति के बारे में बहुत कुछ उजागर कर सकती है, और anonymized डेटा भी उम्मीद के मुताबिक उतना anonymous नहीं हो सकता
  • U.S. PIRG के अनुसार, Mastercard लेन-देन की राशि और आवृत्ति, स्थान, तारीख और समय का विश्लेषण करता है
  • यह विश्लेषण कार्डधारकों की श्रेणियां बनाने और यह अनुमान तैयार करने में इस्तेमाल होता है कि वे किस प्रकार के खरीदार हैं
    • उदाहरण: “big spender” के रूप में अनुमानित व्यक्ति
    • उदाहरण: वह कार्डधारक जिसे Mastercard “high-value” मानता है
  • ऐसे अनुमान किसी खास व्यक्ति को निशाना बनाने और उससे अधिक पैसा खर्च करवाने के लिए इस्तेमाल होते हैं

वित्तीय संस्थानों पर भरोसे से टकराव

  • Bank for International Settlements के अनुसार लोग traditional वित्तीय संस्थानों पर big tech कंपनियों, सरकारी एजेंसियों और fintech कंपनियों की तुलना में अधिक भरोसा करते हैं
  • Mastercard कार्ड पाने वाले लोग यह उम्मीद नहीं करते कि उनकी खरीदारी से जुड़ी वित्तीय प्रोफाइल को फिर से प्रोसेस और पैकेज कर उनके खिलाफ इस्तेमाल किया जाएगा
  • इस तरह का डेटा उपयोग कार्ड जारी करने वाली कंपनी के प्रति कई लोगों के भरोसे से टकराता है

जिन डेटा प्रथाओं को बदलना चाहिए

  • EFF की मांग है कि Mastercard कार्डधारकों के भरोसे और privacy का सम्मान करे
  • रुख यह है कि Mastercard अपनी मौजूदा डेटा प्रथाओं को बदल सकता है और उसे बदलना चाहिए
  • Visa द्वारा विज्ञापनदाताओं के लिए निजी डेटा व्यवसाय बंद करने का उदाहरण भी साथ में दिया गया है: Visa Is Shutting Down Its Personal Data Business for Advertisers

1 टिप्पणियां

 
GN⁺ 2023-10-16
Hacker News की राय
  • कल्पना कीजिए कि आप मोलभाव के लिए बदनाम किसी बाज़ार में गए हैं, और जिस कंपनी ने आपको वॉलेट बेचा है वह आपके सभी लेन-देन पर नज़र रखती है और बाज़ार के दुकानदारों में जो सबसे ज़्यादा पैसे दे, उसे यह जानकारी सौंप देती है।
    अब मैं लूटे जाने के लिए तैयार मोटी मुर्गी हूँ। मैंने अभी-अभी हथौड़ा खरीदा है, तो मुझे कीलों की ज़रूरत होगी, और मेरे सोशल मीडिया निशानों से यह भी अनुमान लगाया जा सकता है कि मैं थोड़ा भोला हूँ। “जल्दी कीजिए, इस इलाके में कीलों की मांग बहुत ज़्यादा है। चिंता न करें, यह खास ऑफर अगले सिर्फ़ 0.3 घंटे तक मान्य है।”
    मुझे समझ नहीं आता कि लोग इस तरह की privacy erosion और आर्थिक लाभ व agency के नुकसान को कैसे स्वीकार करने लगे। हेरफेर करने वाले कारोबारियों और कब्ज़े में आ चुके regulators के तहत ऐसी सामाजिक गिरावट को अनुमति देने वाली यह सामूहिक मूर्खता क्या है, क्या यह हमेशा से ऐसा ही था, और क्या कोई उम्मीद है।

    • इससे भी बुरा यह है कि अब e-ink price tags भी हैं। जब मैं पास आ रहा होता हूँ, तो price tag सचमुच उस कीमत में बदल सकता है जिस पर वे मुझे बेचना चाहते हैं।
      अगर मैं उठाए बिना आगे निकल जाऊँ, तो वे ऑफर को थोड़ा बदल भी सकते हैं। अब वह “1+1” नहीं, बल्कि “2 खरीदें, 1 मुफ्त पाएं, साथ में X भी” जैसा हो जाता है।
      घिनौना। उबलते पानी में पैदा हुआ मेंढक नहीं जानता कि वह गरम है। अभी सबसे ज़्यादा disposable income जिस आयु वर्ग के पास है, वे किसी और दुनिया को नहीं जानते और मानते हैं कि हमेशा से ऐसा ही था।
      पहले से ऐसा नहीं था। तकनीक ने इसे बहुत आसान बना दिया है, और अब यह targeted और automated है। यह अब तक का सबसे खराब दौर है और लगातार बदतर हो रहा है। किसी भी देश के राजनेता इसे ठीक नहीं करना चाहते। क्योंकि ऊंची कीमतों पर ज़्यादा बिक्री होगी तो टैक्स भी बढ़ेगा। ऊपर से corporate lobbying हो, तो कहने ही क्या।
    • adtech industry के किसी व्यक्ति का standard जवाब शायद ऐसा होगा: “क्या यह अच्छा नहीं कि advertising आपको बताती है कि आपको कीलों की भी ज़रूरत है? adtech की मदद के बिना तो कुछ भी बनाया ही नहीं गया होता!”
    • जवाब बहुत सरल लगता है। लोग समझते नहीं हैं, और अगर समझ भी लें, तो “तो क्या, इस बार सिर्फ़ कुछ कीलें ही तो हैं” जैसी मामूली लगने वाली चीज़ कैसे aggregated data से बनने वाली विशाल शक्ति में बदलती है, यह वे महसूस नहीं कर पाते।
    • “हमेशा से ऐसा ही था” वाकई बहुत खराब rhetoric है। यह बात को टालने जैसा है, बिना किसी ठोस सार के, सोच को रोक देने वाला घिसा-पिटा जुमला।
      सच कहूँ तो ऐसी स्थिति cryptocurrency या sensor-blocking material से डिज़ाइन की गई इमारतों को आकर्षक बना देती है। data center को passive surveillance के लिए कठिन बनाया जा सकता है, तो मेरे घर, office या shopping mall के लिए वजह अलग क्यों होनी चाहिए?
      सत्ता में बैठे लोगों ने हमें opt out करने का विकल्प कभी नहीं दिया, और यह धीरे-धीरे, क्रमिक रूप से बदतर होता गया है।
      हमें अपने ही data के लिए मोलभाव करने का incentive बनाना होगा। मेरा अदृश्य और अज्ञात data मेरी संपत्ति है, और उसके monetary value की रक्षा करनी होगी।
      हम यह भरोसा नहीं कर सकते कि कोई cryptocurrency exchange जैसी चीज़ बेच नहीं देगा, इसलिए हमें ऐसी तकनीक बनानी होगी जो passive cryptocurrency exchange की तरह काम करे। जैसे ही पैसा दिखे, developers emergency cord खींचकर तकनीक को नष्ट न कर सकें।
      मुख्य बात passive software है। जैसे ही automation आती है, तकनीकी बदलावों के साथ तालमेल रखने के लिए किसी developer को लगातार लगे रहना पड़ता है। cryptocurrency software जो एक व्यक्ति द्वारा बनाकर छोड़ दिए जाने के बाद भी मौजूद रहे, वही महत्वपूर्ण है।
      उसके ऊपर सामान्य दार्शनिक, संरचनात्मक और relationship management ideas बनाए जा सकते हैं।
    • आम लोगों के लिए आधुनिक global capital, data और weapons flows को समझने की उम्मीद बहुत कम है।
      पहले अगर मोहल्ले का चमड़ा कमाने वाला व्यक्ति गांव की पानी की सप्लाई को प्रदूषित करता था, तो आप सीधे जाकर उसे बंद करने को कह सकते थे, और अगर वह न माने तो अगला कदम उठा सकते थे।
      आज असल में क्या हो रहा है, यह जानने वाले लोग वही हैं जो उससे सबसे ज़्यादा फायदा उठा रहे हैं, और उनके पास इसे रोकने का कोई incentive नहीं है।
  • सच तो यह है कि मौजूदा card payment operators को पूरी तरह बाहर किया जाना चाहिए। Mastercard और Visa ये दो कंपनियां दुनिया भर के ग्राहकों के खर्च पर लगभग नियंत्रण रखती हैं।
    इन्होंने बैंकों को तकनीकी रूप से 21वीं सदी के साथ कदम मिलाने से भी रोका है, और आज भी कई जगहों पर ठीक से instant online payments नहीं हैं। banking की कई समस्याओं की जड़ इन card payment operators तक जाती है।
    विकल्प चाहिए, और वे बैंकों की संख्या जितने अधिक होने चाहिए। हर बैंक को card payment operator और online payment gateway operator होना चाहिए।

    • पूरी दुनिया नहीं; यह मुख्यतः अमेरिका की बात लगती है। यूरोप आपकी कही बात के ज़्यादा करीब है, जहाँ बैंक card payment operator की भूमिका निभाते हैं और लगभग instant online transfers भी संभव हैं। यहाँ credit cards अपेक्षाकृत कम महत्वपूर्ण हैं।
    • बैंक पहले से ही payments process कर रहे हैं। जब आप bank ATM में credit card डालते हैं, तो वह ATM बैंक द्वारा managed होता है, बैंक servers से जुड़ा होता है, और authorization व processing बैंक में होती है।
      Visa और Mastercard अन्य बैंकों से connection प्रदान करते हैं। जब आप किसी दूसरे बैंक के ATM में card डालते हैं या किसी दूसरे बैंक से जुड़े merchant के यहाँ payment करते हैं, तब इनकी ज़रूरत पड़ती है।
      Visa/Mastercard monopoly खत्म करनी हो तो हर बैंक को हर दूसरे बैंक से connect होना होगा, लेकिन बैंक ऐसा करना नहीं चाहते। यह administrative hell बन जाएगा, इसलिए वे लंबे समय से इन दोनों को स्वीकार करते आए हैं। बैंकों के लिए ये Google जैसी चीज़ हैं—सुविधाजनक।
      विकल्प सभी बैंकों की joint venture जैसी संरचना हो सकती है। bank fees घटेंगी, लेकिन margin बैंक ले जाएंगे, इसलिए ग्राहकों को फायदा नहीं होगा, और privacy hell फिर भी बना रहेगा।
      एक और विकल्प public infrastructure है। लेकिन payment data सरकार को देना भी कई लोगों के लिए असहज हो सकता है।
    • कम से कम यूरोप में बैंकों के बीच instant online transfers हैं। फिर भी दो-ध्रुवीय monopoly structure खराब है। बेशक credit card कंपनियों की privacy स्थिति अमेरिका जितनी खराब नहीं है।
      मुझे लगता है कि यहाँ और ज़्यादा regulation और government oversight की ज़रूरत है। यूरोप में भी, और खासकर “land of the free” में तो और भी ज़्यादा।
    • भारत में UPI, चीन में WeChat Pay और AliPay, रूस में MIR है, और रूस ने लगभग 5 साल पहले domestic payments में Visa/MC को व्यावहारिक रूप से बाहर कर दिया था। और ज़्यादा चिढ़ाने वाली बात यह है कि ये सभी systems instant online payments support करते हैं।
      जापान में JCB भी है, और सुना है कि Africa और Latin America के देशों के पास भी अपने systems हैं। यहाँ जिस “दुनिया” की बात हो रही है, वह काफी संकरी दुनिया है।
  • Mastercard का opt-out पेज यहां है: https://www.mastercard.us/en-us/vision/corp-responsibility/c...

    • इसमें लिखा है, “डेटा विश्लेषण करने के लिए निजी जानकारी को anonymize करने से बाहर रहने के लिए अपना Mastercard या Maestro payment card number दें”
      क्या इसका मतलब यह है कि यह anonymization से opt out है, निजी जानकारी के collection से opt out नहीं? wording को निश्चित रूप से बेहतर करने की जरूरत लगती है
    • यहां भी एक “हां, लेकिन” है
      “आपके इन अधिकारों का इस्तेमाल करने की वजह से हम आपको सामान या सेवाएं देने से मना नहीं करेंगे, अलग कीमत नहीं लगाएंगे, या अलग quality level नहीं देंगे। हालांकि, अगर अलग कीमत या quality level आपके डेटा से हमें मिलने वाली value से reasonably related है, तो यह अपवाद होगा। कुछ मामलों में, कुछ अधिकारों का इस्तेमाल करने पर हम आपके अनुरोधित सामान या सेवाएं उपलब्ध नहीं करा पाएंगे”
    • आखिरकार मैंने my data account बना लिया। मैं जानना चाहता हूं कि मेरे पास मौजूद 2 Mastercard-branded cards के बारे में MC ने क्या collect किया है। उनमें से एक Apple Card है, जो user privacy protection का विज्ञापन करता है
      report मिलने पर मैं deletion request करूंगा
    • यह बिलकुल बेतुका है। इसे issuers के जरिए handle होना चाहिए। मेरे पास कई Mastercards हैं, और online wallet के variants भी हैं, इसलिए card numbers सब अलग हैं
      याददाश्त के हिसाब से मेरे Apple Card से भी कम से कम 4–5 numbers जुड़े हैं। iPhone, web Apple Pay, Watch, physical card, और शायद MacBook तक
    • क्या Visa भी यही करता है? क्या वहां भी opt-out option है?
  • मैं जानना चाहता हूं कि क्या Mastercard, Visa या Discover से ज्यादा खराब है। यह कोई healthy competitive market तो नहीं है, लेकिन choices हैं, इसलिए जानना चाहता हूं कि क्या किसी खास company को use करने की कोशिश करनी चाहिए

    • 2018 के आसपास Bloomberg की report में यह बात थी
      “पिछले एक साल में कुछ Google advertisers को एक powerful नए tool तक access मिला था, जिससे वे track कर सकते थे कि online चलाए गए ads से अमेरिका के offline stores में sales हुईं या नहीं। यह insight आंशिक रूप से Google द्वारा पैसे देकर हासिल किए गए Mastercard transaction data के भंडार की वजह से थी…”
      “लेकिन करीब 2 billion Mastercard holders में से ज्यादातर को इस behind-the-scenes tracking के बारे में पता नहीं है। क्योंकि दोनों companies ने इस agreement को public नहीं किया… यह पहले report न की गई deal Google जैसी tech companies कितनी consumer data चुपचाप absorb करती हैं, इसे लेकर broader privacy concerns पैदा कर सकती है”
      https://www.bloomberg.com/news/articles/2018-08-30/google-an...
      https://archive.vn/SLmFw
  • अगर आप Europe में हैं तो क्या यह समस्या बनेगी?
    फिर भी मैंने फिलहाल opt out कर दिया। कहीं यह नहीं कहा गया था कि यह मुझ पर apply नहीं हो सकता, या यह guarantee नहीं थी कि कोई action नहीं होगा

  • इसलिए Europe ने data privacy laws पास किए

    • सिर्फ GDPR ही नहीं, payments directive PSD2 भी है
  • क्या इसका मतलब है कि Visa, AMEX, Discover हमारा data नहीं बेचते?
    सहमत हूं, लेकिन जानना चाहता हूं कि क्या किसी particular card company को preference देनी चाहिए

    • अमेरिका के 4 बड़े payment networks में ऐसा कोई नहीं है जो data न बेचता हो
      जहां-जहां use करते हैं, वहां opt-out request करना ही सबसे अच्छा है
    • मुझे हैरानी होगी अगर इन companies में “MC जो कर रहा है, वह हम कब शुरू कर सकते हैं” पर discussion करने वाली meetings न हुई हों, या न होती हों
  • संयोग से आज मैं disposable prepaid cards देख रहा था। सोचा था कि $100 के कुछ cards खरीदकर उन्हें semi-anonymous transactions के लिए use कर सकता हूं
    लेकिन जो मिल पाए वे या तो prepaid “debit cards” थे जिन्हें मुझसे आसानी से link किया जा सकता था, या किसी खास store के “gift cards” थे
    सोच रहा हूं कि US में इस्तेमाल करने लायक कोई अच्छा solution है या नहीं

    • ज्यादातर threat models के लिए Visa Vanilla काफी practical है। मुझे पता है कि कुछ organizations कई stores के security cameras के जरिए ad targeting और बढ़ाने की कोशिश करती हैं, लेकिन cash से Visa Vanilla gift card खरीदना, उसे online activate करना, और फिर लगभग सभी offline stores और कई online retailers पर credit card की तरह इस्तेमाल करना—इसमें बड़ी समस्या नहीं होनी चाहिए। अगर उस level की tracking की चिंता है तो VPN जैसी चीज इस्तेमाल कर सकते हैं
      कुछ संभावित flaws हैं। पहले 1–5% तक fee लगती थी, आजकल पता नहीं
      यह bulletproof anonymity नहीं है। अगर आप Russia जाने वाले openly gay Ukrainian hacker activist journalist जैसी situation में हैं, तो इसे use नहीं करना चाहिए
      कुछ organizations transaction करने के लिए तभी तैयार होती हैं जब वे पहले transaction में एक reasonable person की expectation से ज्यादा data suck कर सकें। कई online accounts, खासकर कुछ समय तक Facebook, prepaid phone से signup नहीं करने देते थे, क्योंकि किसी खास postpaid plan के बिना address और दूसरी information suck करना मुश्किल होता है। जहां card issuer से address और purchase habits खरीदने की कोशिश होती है, वहां कोई भी semi-anonymous card काम नहीं कर सकता
      privacy.com जैसे solutions इस category में आ सकते हैं। क्योंकि वे नाम, address आदि को असल में anonymize करते हुए भी उन ज्यादातर sites को use करने देते हैं जो उस data से पैसा बनाना चाहती हैं। लेकिन मूल रूप से यह उसी data वाला एक और intermediary बना देता है, और मेरा अनुमान है कि आखिरकार वह भी कभी न कभी बेच दिया जाएगा। इसके अलावा उसके पास bank account raw data access जैसी चीजें भी होती हैं, जिन्हें आप शायद देना न चाहें
    • Privacy.com इस use के लिए काफी अच्छा है
    • cash try किया है?
  • लोग छूट के बदले शुद्ध डेटा देने वाले अलग points card भी खुशी-खुशी इस्तेमाल करते हैं। ऐसे cards समय के साथ कम लोकप्रिय होने की एकमात्र वजह यह है कि Mastercard, Visa, Amex ने ऐसे products को गैर-ज़रूरी बना दिया
    आज भी 99% मामलों में cash से भुगतान किया जा सकता है, और इसे बदलने की कोशिशों को इस आधार पर काफी राजनीतिक विरोध मिलता है कि यह गरीब लोगों या जिनके पास bank account नहीं है, उनके साथ भेदभाव है। इसलिए “अगर transaction की शर्तें पसंद नहीं हैं, तो बस वह product इस्तेमाल मत करो” वाला तर्क फिलहाल हैरानी की हद तक मजबूत तर्क है
    जब समाज सच में cashless हो जाए, तब इस पर फिर बात कर सकते हैं। अभी यह वह मुद्दा नहीं है जिसके लिए मैं जान लगा दूं। Mastercard इस सोने की खान को छोड़ने से पहले खून के आंसू रोएगा। मेरे हिसाब से इससे भी ज्यादा बदसूरत चीज़ merchant fees और credit card कंपनियों के पास मौजूद वास्तविक virtual monopsony power है

    • पिछले सप्ताहांत मैं Air Force Academy के football stadium गया था। stadium में जगह-जगह voice announcements और signboards बता रहे थे कि Falcon Stadium एक cashless venue है
  • “Mastercard जिन cardholders को ‘high-value’ मानता है, यानी खास लोगों को निशाना बनाकर उनसे ज्यादा खर्च करवाने में इस्तेमाल होने वाली predictions” वाला हिस्सा समझ नहीं आया
    शायद इसलिए कि मैं UK में हूं, लेकिन मेरा bank Mastercard जारी करता है, इसलिए मेरा Mastercard से सीधा संबंध नहीं है। वे मुझे target कैसे कर सकते हैं?

    • हर बार जब आप कुछ pay करते हैं, तो आप Mastercard payment network का इस्तेमाल कर रहे होते हैं। वे मेरे सभी transactions देखते और record करते हैं। Mastercard ही वह पक्ष है जो मेरे bank को merchant bank को पैसा भेजने के लिए बताता है
    • मेरी चिंता यह है कि merchant मेरे personal data evaluation के आधार पर मुझे ज्यादा कीमत दिखाए
      पहले vacation booking करते समय, मेरी पत्नी ठीक बगल में बैठकर अपने laptop पर वही hotel देख रही थी, लेकिन उसे ज्यादा कीमत दिख रही थी। cookies delete करने पर कीमत वही हो गई जो मुझे clean computer पर मिली थी
      यह कई साल पहले की बात है, इसलिए अब संभावित ग्राहकों की पहचान cookies के बजाय browser fingerprint से किए जाने की संभावना अधिक है, और इसलिए बचाव करना और मुश्किल होगा
      आखिर कौन चाहेगा कि उसका अपना bank या payment network ज्यादा pricing में मिलीभगत करे?