Privatlivsfokuseret menstruationsapp efter Roe

Før 2022, læste de fleste amerikanske brugere ikke privatlivspolitikkerne i cyklus-apps. Efter Dobbs-afgørelsen gjorde mange det, ofte for første gang. Spørgsmålet var ikke længere abstrakt: hvad gemmer denne app egentlig, og hvad kunne der ske med de data?

Dette er en produktguide, ikke juridisk rådgivning. Den viser, hvad du skal se efter, når du gennemgår en menstruationsapp. Den beskriver ikke, hvad der er eller ikke er beskyttet mod en bestemt retslig proces. Hvis du har juridiske bekymringer, så tal med en advokat, der har bevilling, hvor du bor.

Med den ramme på plads, her er hvad du skal tjekke.

Kort fortalt

• Efter 2022-afgørelsen i Dobbs-sagen begyndte amerikanske brugere for første gang at læse privatlivspolitikkerne i cyklus-apps.
• Denne guide opstiller syv produktkriterier til vurdering af enhver menstruations-app: AES-256-GCM envelope-kryptering med nøgler pr. bruger, ret til sletning, der ødelægger krypteringsnøglen inden for 24 timer, ingen medicinske påstande eller udsagn om familieplanlægning, intet menstruationsindhold i push-notifikationer, tekst der tager højde for jurisdiktion (amerikanske brugere ser "kropsdag" i stedet for "menstruation"), mulighed for anonym tilstand og udtrykkeligt samtykke efter GDPR artikel 9.
• Artiklen siger tydeligt, at der er tale om produktkriterier, ikke juridisk rådgivning – den beskriver ikke, hvad der er eller ikke er beskyttet mod en bestemt retlig proces.

Hvad der ændrede sig i fremstillingen, ikke i matematikken

De kryptografiske og softwaremæssige metoder herunder har eksisteret i årevis. Det, der ændrede sig efter Dobbs, er synligheden. Metoder, der før var detaljer bagest i specifikationen, er nu løfter forrest i appen. Apps, der tager privatliv alvorligt, taler åbent om dem; apps, der ikke gør, vil ofte ikke.

De syv kriterier i denne guide er dem, en privatlivsorienteret tracker bør være villig til at sige i et klart sprog.

Syv kriterier værd at tjekke

En praktisk tjekliste, før du installerer en cyklus-tracker. De strengeste apps klarer alle syv.

• AES-256-GCM envelope-kryptering. Hver bruger har en unik datakrypteringsnøgle (DEK), der pakkes ind af en masternøgle i en nøgleadministrationstjeneste. Data på disken er ciffertekst; et serverbrud blotlægger ciffertekst, ikke læsbare cyklusdata.
• Retten til sletning destruerer nøglen. Når du sletter din konto, destruerer udbyderen DEK'en, ikke bare databaserækken. Når nøglen er væk, er den underliggende ciffertekst permanent ulæselig, også i enhver backup, der indeholdt den.
• 24-timers slettevindue. Udbyderen forpligter sig skriftligt til at gennemføre sletning inden for 24 timer efter anmodning, inklusive de vektor-embeddings, som AI-funktioner bruger.
• Ingen medicinske påstande. Ingen prognoser om familieplanlægning, ingen kliniske påstande af nogen art, ingen "RØD dag"-tekst. En forbruger-tracker, der holder sig uden for medicinsk indramning, har en langt smallere regulatorisk og oplysningsmæssig flade.
• Intet menstruationsindhold i push-notifikationer. Push-titler og -tekster indeholder aldrig indhold om cyklus, menstruation eller familieplanlægning. Forhåndsvisningen på låseskærmen er sikker.
• Tekst tilpasset jurisdiktion. Brugere i USA ser neutral terminologi ("kropsdag", "log dette") som standard; appen går ikke ud fra, at brugeren ønsker ordet "menstruation" vist.
• Eksplicit, separat indhentet samtykke. GDPR Artikel 9 har gjort det i årevis; efter Dobbs begyndte brugere i USA at bede om det samme. Bundtet eller stiltiende samtykke er ikke nok.

Hvorfor krypteringsdetaljerne faktisk betyder noget

Et par af kriterierne ovenfor lyder tekniske. De betyder noget, fordi de ændrer, hvad der kan gendannes.

Hvis en udbyder gemmer cyklusdata i klartekst, kan hver backup, hver replika og hver analysepipeline læse dem. En sletteanmodning kan slette rækken, men dataene kan leve videre i backups i måneder eller år.

Hvis udbyderen bruger envelope-kryptering med nøgler per bruger, er dataene på disken ulæselige uden brugerens DEK. Når DEK'en destrueres under sletningen, er den krypterede tekst, der bliver tilbage i backups, også ulæselig, selv hvis en backup gendannes. Sletningen er matematisk reel, ikke bare synlig i brugerfladen.

Det er ikke "uhackbart". Kryptografi har sine grænser, og enhver udbyder, der hævder absolut sikkerhed, er enten fejlinformeret eller lyver. Det, stærk kryptering med ordentlig nøglehåndtering gør, er at sætte en klar fejltilstand: dataene er ulæselige, så længe nøglerne er beskyttet, og ulæselige for altid, når nøglerne er destrueret.

Hvad "intet menstruationsindhold i push" faktisk betyder

Forhåndsvisningen på låseskærmen er en stille kanal, der kan afsløre data. Apps, der sender "Din menstruation starter i morgen" som push-tekst, har afsløret cyklusdata for enhver, der kaster et blik på telefonen.

En seriøs tracker håndhæver fraværet af menstruationsindhold i push-notifikationer i CI. Soulwises build-pipeline scanner push-titler og -tekster op mod en liste over forbudte ord; ethvert build, der indeholder menstruations- eller familieplanlægningsindhold i en push, fejler, før det går live. Brugeren får prompts til daglige ritualer, der siger ting som "Blød start. Hvad står der på programmet i dag?" – ingen cyklusfase, ingen henvisning til menstruation, ingen medicinsk indramning.

Lokal lagring vs. krypteret sky: vælg dit kompromis

To legitime arkitekturer, forskellige trusselsmodeller.

Trackere med kun lokal lagring (Drip, Euki). Dine data ligger på din enhed. Der er ingen kopi i skyen, som kan kræves udleveret, men der er heller ingen synkronisering mellem enheder og kun begrænsede AI-funktioner. Backup er dit eget ansvar; det samme gælder tyveri af enheden og styresystemets backups (som måske er krypteret på OS-niveau — eller måske ikke).

Trackere med krypteret sky (Soulwise, Clue, med flere). Dine data synkroniseres mellem enheder og driver AI-funktioner. Privatlivet afhænger af udbyderens kryptering og sletningspraksis. Trusselsmodellen forudsætter en kompetent udbyder og en stærk håndtering af nøgler.

Ingen af dem er entydigt "sikrere." Det rigtige svar afhænger af, hvad du er bekymret for. Kun lokal lagring er det sværeste valg på brugeroplevelsen og det enkleste valg på dataeksponering. Krypteret sky er det modsatte.

Hvad vi bevidst ikke lover

Her er en liste over ting, du bør være skeptisk over for i enhver markedsføringstekst:

• "Umulig at hacke." Intet system er umuligt at hacke. Enhver, der påstår dette, prøver at sælge dig noget.
• "Dine data er sikre mod politiet." Det er en juridisk påstand, ikke en teknisk. Den tekniske påstand lyder: "dine data er krypteret i hvile, og nøglen destrueres ved sletning." De juridiske konsekvenser af en bestemt proces er noget, kun en advokat kan tage stilling til.
• "100% sikker." Se ovenfor. Sikkerhed er en egenskab ved trusselsmodeller, ikke noget absolut.
• "Garanteret privatliv." Privatliv er en praksis, ikke en garanti.

Soulwises løfter om privatliv er konkrete og kan efterprøves. AES-256-GCM i hvile. Per-bruger-DEK pakket ind af KMS-masternøglen. 24-timers sletning inklusive vektor-embeddings. Intet menstruationsindhold i push-beskeder. Udtrykkeligt samtykke efter GDPR artikel 9. På Soulwises privatlivsside er hvert enkelt punkt opført med den underliggende specifikationsreference.

Hvorfor det betyder noget ud over værst tænkelige scenarie

Den måde, vi taler om det på efter Dobbs, får folk til at tænke på cyklus-trackeres privatliv i ekstreme situationer. De samme kriterier er vigtige i langt mere almindelige tilfælde: en telefon, du deler med en bofælle, en voldelig partner, der låner enheden, en nysgerrig arbejdsgiver, der ser en notifikation, en backup, der ender i en families iCloud-konto.

Stærk privatlivsbeskyttelse som standard er ikke kun til det værst tænkelige. Den er til hverdagen.

Den korte version: den rigtige tracker er den, hvis løfter om privatliv er konkrete, kan efterprøves og er formuleret i et ligefremt sprog. Bed enhver app om de syv kriterier ovenfor. Hvis en udbyder ikke kan svare klart, så er det svaret. For en sammenligning med den mest populære veletablerede app, se Flo-alternativ – guide med privatliv først; for de inkluderende standarder, der følger af de samme principper, se Cyklus-tracker for nonbinære brugere.

Ofte stillede spørgsmål

Er denne artikel juridisk rådgivning?

Nej. Dette er produktkriterier til vurdering af forbruger-apps. Hvis du har konkrete juridiske bekymringer om cyklusdata, så kontakt en advokat med beføjelse i din jurisdiktion. Intet i denne artikel beskriver, hvad der er eller ikke er beskyttet mod en bestemt juridisk proces.

Hvorfor ændrede synet på privatliv sig efter Dobbs?

2022 Dobbs-afgørelsen flyttede reguleringen af abort tilbage til de enkelte amerikanske delstater, hvoraf flere nu begrænser eller kriminaliserer abort under visse omstændigheder. Det ændrede, hvordan folk tænker om ethvert digitalt spor af menstruations- eller graviditetsdata, og gjorde for første gang privatliv i cyklus-trackere til et bevidst købskriterium for mange brugere.

Hvad er "envelope-kryptering", og hvorfor er det vigtigt?

Envelope-kryptering pakker hver brugers datakrypteringsnøgle (DEK) ind i en hovednøgle, der opbevares af en nøglehåndteringstjeneste. Brugerens data på disken krypteres med deres DEK; et serverbrud blotlægger krypteret tekst, ikke læsbare cyklusdata. Når DEK'en destrueres ved sletning, bliver den krypterede tekst permanent ulæselig.

Er trackere, der kun gemmer lokalt, sikrere end krypterede sky-trackere?

Forskellige afvejninger. Trackere, der kun gemmer lokalt (Drip, Euki), holder data på din enhed, hvilket begrænser eksponering i skyen, men ikke beskytter selve enheden. Krypterede sky-trackere (Soulwise) muliggør synkronisering og AI-funktioner mod at du stoler på udbyderens praksis for kryptering og sletning. Ingen af dem er universelt "sikrere" – spørgsmålet er, hvilken trussel du er mest bekymret for.