Тракер за цикъл с приоритет на поверителността след отмяната на Roe

Преди 2022, повечето потребители в САЩ не четяха правилата за поверителност на тракерите за цикъл. След решението по делото Dobbs мнозина го направиха, често за първи път. Въпросът вече не беше абстрактен: какво всъщност съхранява това приложение и какво може да се случи с тези данни?

Това е продуктов наръчник, а не правен съвет. Тук е изброено какво да търсиш, когато проверяваш кой да е тракер за цикъл. Не се описва какво е или не е защитено от конкретен правен процес. Ако имаш правни притеснения, обърни се към адвокат с лиценз там, където живееш.

С това уточнение наум, ето какво да провериш.

Какво се промени в подхода, не в математиката

Криптографските и софтуерните практики по-долу съществуват от години. Това, което се промени след Dobbs, е видимостта. Практики, които някога бяха детайли в дъното на спецификацията, сега са ангажименти на преден план в приложението. Приложенията, които приемат поверителността сериозно, говорят за тях открито; тези, които не го правят, често мълчат.

Седемте критерия в това ръководство са онова, което едно загрижено за поверителността приложение за проследяване трябва да е готово да заяви на ясен език.

Седем критерия, които си заслужава да провериш

Практичен списък за проверка, преди да инсталираш каквото и да е приложение за проследяване на цикъла. Най-строгите приложения покриват и седемте.

• Криптиране тип „плик“ с AES-256-GCM. Всеки потребител има уникален ключ за криптиране на данните (DEK), обвит от главен ключ в услуга за управление на ключове. Данните на диска са шифротекст; пробив в сървъра излага шифротекст, а не четими данни за цикъла.
• Правото да бъдеш изтрит унищожава ключа. Когато изтриеш акаунта си, доставчикът унищожава DEK, а не просто реда в базата данни. След като ключът го няма, базовият шифротекст става завинаги нечетим, включително във всяко резервно копие, което го е съдържало.
• Прозорец за изтриване от 24 часа. Доставчикът се ангажира писмено да завърши изтриването в рамките на 24 часа от заявката, включително векторните вграждания, използвани от функциите с изкуствен интелект.
• Без медицински твърдения. Без прогнози за семейно планиране, без клинични твърдения от какъвто и да е вид, без текстове за „червен ден“. Потребителско приложение за проследяване, което стои встрани от медицинската рамка, има много по-тясна регулаторна повърхност и повърхност за оповестяване.
• Без менструално съдържание в push известията. Заглавията и текстовете на push известията никога не съдържат съдържание за цикъл, менструация или семейно планиране. Прегледът на заключения екран е безопасен.
• Текстове, съобразени с юрисдикцията. Потребителите в САЩ виждат неутрална терминология („телесен ден“, „запиши това“) по подразбиране; приложението не приема, че потребителят иска думата „менструация“ да бъде показвана.
• Изрично, отделно получено съгласие. Член 9 от GDPR прави това от години; след решението Dobbs потребителите в САЩ започнаха да искат същото. Обвързаното или подразбиращото се съгласие не е достатъчно.

Защо детайлите за криптирането наистина имат значение

Някои от критериите по-горе звучат технично. Те са важни, защото променят какво може да бъде възстановено.

Ако даден доставчик съхранява данните за цикъла в чист текст, всяко резервно копие, всяка реплика и всеки аналитичен поток могат да ги прочетат. Заявка за изтриване може да премахне записа, но данните може да продължат да съществуват в резервните копия с месеци или години.

Ако доставчикът използва пликово криптиране с ключове за всеки потребител, данните на диска са нечетими без потребителския DEK. Когато DEK бъде унищожен при изтриването, шифрованият текст, който остава в резервните копия, също е нечетим, дори ако бъде възстановено резервно копие. Изтриването е математически реално, а не просто видимо в интерфейса.

Това не означава „нехакваемо". Криптографията има граници и всеки доставчик, който твърди, че гарантира абсолютна сигурност, или е заблуден, или лъже. Това, което силното криптиране с правилно управление на ключовете прави, е да зададе ясен режим на отказ: данните са нечетими, докато ключовете са защитени, и завинаги нечетими, щом ключовете бъдат унищожени.

Какво всъщност означава „без менструално съдържание в push“

Прегледът на заключения екран е тих канал за разкриване на информация. Приложения, които изпращат „Цикълът ти започва утре“ като текст на push известие, разкриват данни за цикъла на всеки, който хвърли поглед към телефона.

Сериозният тракер налага липсата на менструално съдържание в push известията още в CI. Билд процесът на Soulwise сканира заглавията и текстовете на push известията спрямо списък със забранени термини; всеки билд, който съдържа менструално съдържание или съдържание за семейно планиране в push, се проваля, преди да бъде пуснат. Потребителят получава подканите за ежедневен ритуал, които казват неща като „Лек старт. С какво ще се захванеш днес?“ — без фаза на цикъла, без споменаване на менструация, без медицинско обрамчване.

Само локално срещу криптиран облак: избери своя компромис

Две легитимни архитектури с различни модели на заплаха.

Тракери само за локално съхранение (Drip, Euki). Данните живеят на твоето устройство. Няма облачно копие, което да бъде призовано по съдебен ред, но няма и синхронизация между устройства, а AI функциите са ограничени. Резервното копие е твой проблем; такива са и кражбата на устройството, и архивите на операционната система (които може да са или да не са криптирани на ниво OS).

Тракери с криптиран облак (Soulwise, Clue и други). Данните се синхронизират между устройства и захранват AI функциите. Поверителността зависи от практиките на доставчика за криптиране и изтриване. Моделът на заплаха предполага компетентен доставчик и силна стратегия за управление на ключове.

Нито един от двата не е универсално „по-безопасен“. Правилният отговор зависи от това какво те притеснява. Само локалното е по-трудният избор откъм потребителско изживяване и по-простият откъм обхвата на данните. Криптираният облак е обратното.

Какво съзнателно не обещаваме

Ето списък с неща, към които трябва да бъдеш скептичен във всеки маркетингов текст:

• „Невъзможно за хакване.“ Никоя система не е невъзможна за хакване. Всеки, който твърди това, ти продава нещо.
• „Данните ти са защитени от органите на реда.“ Това е правно твърдение, не техническо. Техническото твърдение е „данните ти са криптирани в покой и ключът се унищожава при изтриване“. Правните последици от всеки конкретен процес са нещо, по което само адвокат може да даде отговор.
• „100% сигурно.“ Виж по-горе. Сигурността е свойство на моделите на заплахите, не нещо абсолютно.
• „Гарантирана поверителност.“ Поверителността е практика, не гаранция.

Ангажиментите на Soulwise за поверителност са конкретни и проверими. AES-256-GCM в покой. DEK за всеки потребител, обвит от главния ключ на KMS. Изтриване в рамките на 24 часа, включително векторните представяния. Без съдържание за менструация в известията. Изрично съгласие по член 9 от GDPR. Страницата за поверителност на Soulwise изброява всеки от тях с препратка към съответната спецификация.

Защо това има значение отвъд най-лошия сценарий

Контекстът след Dobbs тласка хората да мислят за поверителността на тракерите за цикъл в крайни ситуации. Същите критерии са важни и в много по-обичайни случаи: телефон, споделен със съквартирант, насилнически партньор, който взема устройството назаем, любопитен работодател, който вижда известие, резервно копие, което се озовава в семеен iCloud акаунт.

Силната поверителност по подразбиране не е само за най-лошия сценарий. Тя е за всеки ден.

По-кратко казано: правилният тракер е този, чиито ангажименти за поверителност са конкретни, проверими и изразени на ясен език. Попитай което и да е приложение за седемте критерия по-горе. Ако даден доставчик не може да отговори ясно, това е отговорът. За сравнение рамо до рамо с най-популярния утвърден играч виж ръководството за поверителна алтернатива на Flo; за приобщаващите настройки по подразбиране, които следват от същите принципи, виж Тракер за цикъл за небинарни потребители.