Sledování menstruace s důrazem na soukromí po pádu Roe

Před 2022, si většina uživatelek v USA zásady ochrany soukromí u aplikací na sledování cyklu nečetla. Po rozhodnutí ve věci Dobbs to mnohé udělaly, často poprvé. Otázka už nebyla abstraktní: co tahle aplikace vlastně ukládá a co by se s těmi daty mohlo stát?

Tohle je průvodce produktem, ne právní rada. Najdeš tu, na co se zaměřit, když si prověřuješ jakoukoli aplikaci na sledování menstruace. Nepopisuje, co je nebo není chráněno před konkrétním právním postupem. Pokud máš právní obavy, obrať se na advokáta s licencí pro místo, kde žiješ.

A když teď víš, z čeho vycházíme, pojďme na to, co si ověřit.

Ve zkratce

• Po rozhodnutí ve věci Dobbs z roku 2022 si američtí uživatelé poprvé začali číst zásady ochrany soukromí u aplikací na sledování cyklu.
• Tento průvodce uvádí sedm produktových kritérií pro hodnocení jakékoli aplikace na sledování menstruace: obálkové šifrování AES-256-GCM s klíči pro každého uživatele zvlášť, právo na výmaz, které do 24 hodin zničí šifrovací klíč, žádná tvrzení o lékařské péči ani plánování rodiny, žádný obsah o menstruaci v push oznámeních, text zohledňující jurisdikci (uživatelé v USA vidí „tělesný den“ místo „menstruace“), možnost anonymního režimu a výslovný souhlas podle článku 9 GDPR.
• Článek výslovně uvádí, že jde o produktová kritéria, nikoli o právní poradenství – nepopisuje, co je nebo není chráněno před jakýmkoli konkrétním právním procesem.

Co se změnilo v podání, ne v matematice

Kryptografické a softwarové postupy popsané níže existují už roky. Co se po rozsudku Dobbs změnilo, je jejich viditelnost. Postupy, které dřív bývaly detailem schovaným na konci specifikace, jsou dnes závazkem na první stránce aplikace. Aplikace, které berou soukromí vážně, o nich mluví otevřeně; ty ostatní často ne.

Sedm kritérií v tomto průvodci je to, co by aplikace dbalá na soukromí měla být ochotná říct na rovinu.

Sedm kritérií, která stojí za prověření

Praktický kontrolní seznam, než si nainstaluješ jakoukoli aplikaci na sledování cyklu. Ty nejpřísnější aplikace splní všech sedm.

• Obálkové šifrování AES-256-GCM. Každý uživatel má jedinečný šifrovací klíč k datům (DEK), který je obalen hlavním klíčem ve službě pro správu klíčů. Data na disku jsou šifrovaný text; při průniku na server unikne šifrovaný text, ne čitelná data o cyklu.
• Právo na výmaz zničí klíč. Když smažeš svůj účet, poskytovatel zničí DEK, ne jen řádek v databázi. Bez klíče je podkladový šifrovaný text trvale nečitelný, a to i v jakékoli záloze, která ho obsahovala.
• Lhůta pro výmaz 24 hodin. Poskytovatel se písemně zavazuje dokončit výmaz do 24 hodin od žádosti, včetně vektorových embeddingů využívaných funkcemi AI.
• Žádná zdravotní tvrzení. Žádné předpovědi plánování rodičovství, žádná klinická tvrzení jakéhokoli druhu, žádné texty o „ČERVENÉM dnu“. Spotřebitelská aplikace, která se drží mimo zdravotnický rámec, má mnohem užší prostor pro regulaci i informační povinnosti.
• Žádný obsah o menstruaci v push oznámeních. Titulky ani těla push oznámení nikdy neobsahují nic o cyklu, menstruaci ani plánování rodičovství. Náhled na uzamčené obrazovce je bezpečný.
• Texty podle jurisdikce. Uživatelé v USA vidí ve výchozím nastavení neutrální termíny („tělesný den“, „zaznamenej to“); aplikace nepředpokládá, že chce uživatel zobrazovat slovo „menstruace“.
• Výslovný, samostatně získaný souhlas. Článek 9 GDPR to dělá už léta; po rozhodnutí Dobbs začali totéž požadovat i uživatelé v USA. Sdružený nebo implicitní souhlas nestačí.

Proč na detailech šifrování opravdu záleží

Některá z výše uvedených kritérií znějí technicky. Důležitá jsou proto, že mění to, co lze obnovit.

Pokud poskytovatel ukládá data o cyklu v otevřené podobě, může je číst každá záloha, každá replika i každá analytická linka. Žádost o smazání sice může odstranit záznam, ale data mohou v zálohách žít dál celé měsíce nebo roky.

Pokud poskytovatel používá obálkové šifrování s klíči pro každého uživatele zvlášť, jsou data na disku bez uživatelského DEK nečitelná. Když je DEK během mazání zničen, je nečitelný i šifrovaný text, který zůstane v zálohách — a to i tehdy, když se záloha obnoví. Smazání je matematicky reálné, ne jen viditelné v rozhraní.

Tohle není „neprolomitelné". Kryptografie má své meze a každý poskytovatel, který slibuje absolutní bezpečnost, je buď špatně informovaný, nebo lže. Silné šifrování se správnou správou klíčů přináší jasně daný způsob selhání: data jsou nečitelná, dokud jsou klíče chráněny, a nečitelná navždy, jakmile jsou klíče zničeny.

Co vlastně znamená „v push notifikacích žádný obsah o menstruaci“

Náhled na zamčené obrazovce je tichá výkladní skříň. Aplikace, které posílají push notifikaci s textem „Zítra ti začíná menstruace“, prozradí údaje o cyklu komukoli, kdo na telefon jen mrkne.

Seriózní tracker vynucuje absenci menstruačního obsahu v push notifikacích už v CI. Build pipeline u Soulwise prochází titulky a texty push notifikací proti seznamu zakázaných výrazů; jakýkoli build, který v push notifikaci obsahuje obsah o menstruaci nebo plánování rodiny, neprojde, ještě než se vydá. Uživatel dostává upozornění na denní rituály, která říkají třeba „Pozvolný start. Co tě dnes čeká?“ – žádná fáze cyklu, žádná zmínka o menstruaci, žádné medicínské vyznění.

Jen v zařízení vs. šifrovaný cloud: vyber si kompromis

Dvě legitimní architektury, různé modely hrozeb.

Trackery jen v zařízení (Drip, Euki). Data zůstávají ve tvém zařízení. Není žádná kopie v cloudu, na kterou by si někdo mohl vyžádat soudní příkaz, ale taky žádná synchronizace mezi zařízeními a jen omezené funkce s AI. Zálohování je na tobě; stejně jako krádež zařízení a zálohy operačního systému (které na úrovni systému šifrované být můžou, ale taky nemusí).

Trackery se šifrovaným cloudem (Soulwise, Clue a další). Data se synchronizují mezi zařízeními a pohánějí funkce s AI. Soukromí závisí na tom, jak poskytovatel šifruje a maže data. Model hrozeb počítá se schopným poskytovatelem a silnou správou klíčů.

Ani jedno není univerzálně „bezpečnější“. Správná odpověď závisí na tom, čeho se obáváš. Řešení jen v zařízení je náročnější na uživatelský komfort a jednodušší z hlediska rozsahu dat. U šifrovaného cloudu je to naopak.

Co záměrně neslibujeme

Tady je seznam tvrzení, na která bys měl být v jakémkoli marketingovém textu opatrný:

• „Neprolomitelné.“ Žádný systém není neprolomitelný. Kdokoli to tvrdí, něco ti prodává.
• „Tvoje data jsou v bezpečí před orgány činnými v trestním řízení.“ To je právní tvrzení, ne technické. Technické tvrzení zní: „Tvoje data jsou šifrována v klidu a klíč se při smazání zničí.“ Právní důsledky jakéhokoli konkrétního postupu ti dokáže posoudit jedině advokát.
• „100% bezpečné.“ Viz výše. Bezpečnost je vlastnost vázaná na modely hrozeb, ne absolutní hodnota.
• „Zaručené soukromí.“ Soukromí je praxe, ne záruka.

Závazky Soulwise v oblasti soukromí jsou konkrétní a ověřitelné. AES-256-GCM v klidu. DEK pro každého uživatele zabalený hlavním klíčem KMS. Vymazání do 24 hodin včetně vektorových embeddingů. Žádný obsah o menstruaci v push notifikacích. Výslovný souhlas podle článku 9 GDPR. Stránka Soulwise o soukromí uvádí každý z nich i s odkazem na příslušnou specifikaci.

Proč na tom záleží i mimo nejhorší scénáře

Debata po zrušení rozsudku Roe vs. Wade (Dobbs) vede lidi k tomu, aby o soukromí v aplikacích na sledování cyklu přemýšleli jen v extrémních situacích. Stejná kritéria ale platí i v mnohem běžnějších případech: telefon sdílený se spolubydlící, násilnický partner, který si zařízení půjčí, zvědavý zaměstnavatel, jemuž padne do oka oznámení, nebo záloha, která skončí v rodinném iCloudovém účtu.

Silné výchozí soukromí není jen pro ten nejhorší případ. Je pro každý den.

Stručně řečeno: ta správná aplikace je ta, jejíž závazky ohledně soukromí jsou konkrétní, ověřitelné a vyjádřené srozumitelně. Zeptej se kterékoli aplikace na sedm výše uvedených kritérií. Pokud ti dodavatel nedokáže odpovědět jasně, je to odpověď sama o sobě. Srovnání s nejpopulárnějším zavedeným hráčem najdeš v průvodci alternativami k Flo s důrazem na soukromí; pro inkluzivní nastavení, která z týchž principů vycházejí, mrkni na Aplikaci na sledování cyklu pro nebinární uživatele.

Často kladené dotazy

Je tento článek právní rada?

Ne. Jde o produktová kritéria pro hodnocení spotřebitelských aplikací. Pokud máš konkrétní právní otázky ohledně dat o menstruačním cyklu, obrať se na advokáta s licencí pro tvou jurisdikci. Nic v tomto článku nepopisuje, co je nebo není chráněno před jakýmkoli konkrétním právním řízením.

Proč se po rozhodnutí Dobbs změnil pohled na soukromí?

Rozhodnutí 2022 ve věci Dobbs vrátilo regulaci interrupcí zpět na jednotlivé americké státy, z nichž několik dnes interrupce za určitých okolností omezuje nebo kriminalizuje. To změnilo, jak lidé přemýšlejí o jakékoli digitální stopě dat o menstruaci či těhotenství, a soukromí v aplikacích pro sledování cyklu se tak pro mnoho uživatelů poprvé stalo vědomým kritériem při výběru.

Co je „obálkové šifrování“ a proč na něm záleží?

Obálkové šifrování zabalí šifrovací klíč dat každého uživatele (DEK) do hlavního klíče uloženého ve službě pro správu klíčů. Uživatelská data na disku jsou zašifrována jeho DEK; při průniku na server unikne šifrovaný text, nikoli čitelná data o cyklu. Zničení DEK při smazání učiní šifrovaný text trvale nečitelným.

Jsou aplikace fungující jen lokálně bezpečnější než šifrované cloudové aplikace?

Jde o jiné kompromisy. Čistě lokální aplikace (Drip, Euki) ponechávají data ve tvém zařízení, což omezuje vystavení v cloudu, ale samotné zařízení nechrání. Šifrované cloudové aplikace (Soulwise) umožňují synchronizaci a funkce s umělou inteligencí za cenu důvěry v šifrování a mazání dat ze strany dodavatele. Ani jedna není univerzálně „bezpečnější“ – otázkou je, jaké hrozby se obáváš nejvíc.