Privaatsust esikohale seadev menstruatsiooni jälgija pärast Roe otsuse tühistamist

Enne 2022, ei lugenud enamik USA kasutajaid tsükli jälgimise rakenduste privaatsuspoliitikat. Pärast Dobbsi kohtuotsust tegid seda paljud, sageli esimest korda. Küsimus ei olnud enam abstraktne: mida see rakendus tegelikult salvestab ja mis võiks nende andmetega juhtuda?

See on tootejuhend, mitte õigusnõu. Siin on loetletud, millele tähelepanu pöörata, kui auditeerid mõnda menstruatsiooni jälgijat. See ei kirjelda, mis on või ei ole kaitstud ühegi konkreetse õigusprotsessi eest. Kui sul on õiguslikke muresid, pöördu oma elukohas tegutsemisluba omava advokaadi poole.

Selle raamistiku paika panemise järel vaata järgmist üle.

Lühidalt

• Pärast 2022 Dobbsi otsust hakkasid USA kasutajad esimest korda lugema tsüklijälgijate privaatsuspoliitikaid.
• See juhend toob välja seitse tootekriteeriumi, mille järgi hinnata mis tahes menstruatsioonijälgijat: AES-256-GCM ümbrikšifreering kasutajapõhiste võtmetega, kustutamisõigus, mis hävitab šifreerimisvõtme 24 tunni jooksul, meditsiiniliste või pereplaneerimise väidete puudumine, menstruatsiooniteemaliste tõuketeavituste puudumine, jurisdiktsiooni arvestav sõnastus (USA kasutajad näevad "kehapäev" sõna "menstruatsioon" asemel), anonüümse režiimi valik ning GDPR-i artikli 9 kohane selgesõnaline nõusolek.
• Artikkel rõhutab selgelt, et tegu on tootekriteeriumide, mitte õigusnõuga – see ei kirjelda, mis on või ei ole kaitstud ühegi konkreetse õigusprotsessi eest.

Mis muutus käsitluses, mitte arvutustes

Allpool kirjeldatud krüptograafilised ja tarkvaratavad on eksisteerinud aastaid. See, mis pärast Dobbsi kohtuotsust muutus, on nähtavus. Tavadest, mis varem olid spetsifikatsiooni lõpus peituvad detailid, on saanud rakenduse esiküljel seisvad lubadused. Rakendused, kes võtavad privaatsust tõsiselt, räägivad neist avameelselt; need, kes seda ei tee, sageli ei räägi.

Selle juhendi seitse kriteeriumi on need, mille privaatsust esiplaanile seadev jälgija peaks olema valmis selges keeles välja ütlema.

Seitse kriteeriumi, mida tasub kontrollida

Praktiline kontrollnimekiri enne ükskõik millise tsükli jälgimise rakenduse paigaldamist. Kõige rangemad rakendused täidavad kõik seitse.

• AES-256-GCM ümbrikšifreering. Igal kasutajal on ainulaadne andmete krüpteerimisvõti (DEK), mis on mähitud peavõtmega võtmehaldusteenuses. Kettal olevad andmed on šifreeritud tekst; serverirünne paljastab šifreeritud teksti, mitte loetavad tsükliandmed.
• Kustutamisõigus hävitab võtme. Kui kustutad oma konto, hävitab teenusepakkuja DEK-i, mitte ainult andmebaasi rea. Kui võti on kadunud, on alusšifreeritud tekst jäädavalt loetamatu, sealhulgas igas varukoopias, mis seda sisaldas.
• 24-tunnine kustutamisaken. Teenusepakkuja kohustub kirjalikult viima kustutamise lõpule 24 tunni jooksul pärast taotlust, sealhulgas tehisintellekti funktsioonide kasutatavad vektorvektorid.
• Mingeid meditsiinilisi väiteid. Mingeid pereplaneerimise prognoose, mingeid kliinilisi väiteid, mingit "RED day" teksti. Tarbijale mõeldud jälgija, mis hoidub meditsiinilisest raamistusest, omab palju kitsamat regulatiivset ja avalikustamise pinda.
• Mingit menstruatsioonisisu tõuketeadetes. Tõuketeadete pealkirjad ja sisu ei sisalda kunagi tsükli, menstruatsiooni ega pereplaneerimise sisu. Lukustuskuva eelvaade on turvaline.
• Jurisdiktsiooniteadlik tekst. USA kasutajad näevad vaikimisi neutraalset terminoloogiat ("kehapäev", "logi see"); rakendus ei eelda, et kasutaja soovib sõna "menstruatsioon" kuvamist.
• Selgesõnaline, eraldi võetud nõusolek. GDPR-i artikkel 9 on seda teinud juba aastaid; pärast Dobbsi otsust hakkasid USA kasutajad sama nõudma. Kimpu pandud või kaudne nõusolek ei ole piisav.

Miks krüpteerimise üksikasjad tegelikult loevad

Mõned eelpool toodud kriteeriumid kõlavad tehniliselt. Need on olulised, sest muudavad seda, mida on võimalik taastada.

Kui teenusepakkuja salvestab tsükliandmed lihttekstina, suudab neid lugeda iga varukoopia, iga koopia ja iga analüütikatoru. Kustutamistaotlus võib kustutada andmerea, kuid andmed võivad jääda varukoopiatesse alles kuudeks või aastateks.

Kui teenusepakkuja kasutab kasutajapõhiste võtmetega ümbrikkrüpteerimist, on kettal olevad andmed ilma kasutaja DEK-ita loetamatud. Kui DEK kustutamise käigus hävitatakse, on ka varukoopiatesse jäänud šifritekst loetamatu, isegi kui varukoopia taastatakse. Kustutamine on matemaatiliselt tõeline, mitte üksnes kasutajaliideses nähtav.

See ei ole "häkkimatu". Krüptograafial on omad piirid ja iga teenusepakkuja, kes väidab end pakkuvat absoluutset turvalisust, kas eksib või valetab. Tugev krüpteerimine koos korraliku võtmehaldusega seab selge tõrkeolukorra: andmed on loetamatud nii kaua, kuni võtmed on kaitstud, ja jäävad pärast võtmete hävitamist igaveseks loetamatuks.

Mida "menstruatsioonisisu puudumine push-teadetes" tegelikult tähendab

Lukustuskuva eelvaade on vaikne avalikustamispind. Rakendused, mis saadavad push-teate kehana "Sinu menstruatsioon algab homme", on paljastanud tsükliandmed igaühele, kes telefonile pilgu heidab.

Tõsiseltvõetav jälgija tagab CI-s menstruatsioonisisu puudumise push-teadetes. Soulwise'i koostekonveier skannib push-teadete pealkirja- ja kehastringe keelatud terminite loendi alusel; iga koosteversioon, mis sisaldab push-teates menstruatsiooni- või pereplaneerimissisu, kukub läbi enne väljasaatmist. Kasutaja saab igapäevase rituaali viipasid, mis ütlevad midagi sellist nagu "Pehme algus. Mis on täna sinu plaanis?" - mitte ühtegi tsüklifaasi, menstruatsiooniviidet ega meditsiinilist raamistust.

Ainult kohalik vs krüpteeritud pilv: vali oma kompromiss

Kaks õiguspärast arhitektuuri, erinevad ohumudelid.

Ainult kohalikud jälgijad (Drip, Euki). Andmed elavad sinu seadmes. Pole pilvekoopiat, mida saaks kohtu korras nõuda, kuid pole ka seadmetevahelist sünkroonimist ja AI-funktsioonid on piiratud. Varundamine on sinu mure; samuti seadme vargus ja operatsioonisüsteemi varukoopiad (mis võivad olla OS-i tasemel krüpteeritud või mitte).

Krüpteeritud pilvejälgijad (Soulwise, Clue jt). Andmed sünkroonivad seadmete vahel ja toidavad AI-funktsioone. Privaatsus sõltub teenusepakkuja krüpteerimis- ja kustutamistavadest. Ohumudel eeldab pädevat teenusepakkujat ja tugevat võtmehalduse hoiakut.

Kumbki pole üldiselt "turvalisem". Õige vastus sõltub sellest, mille pärast sa muretsed. Ainult kohalik on raskem valik kasutuskogemuse poolest ja lihtsam valik andmete kokkupuutepinna poolest. Krüpteeritud pilv on vastupidine.

Mida me teadlikult ei luba

Siin on loetelu asjadest, mille suhtes tasub iga reklaamteksti puhul olla ettevaatlik:

• „Häkkimiskindel.” Ükski süsteem ei ole häkkimiskindel. Igaüks, kes seda väidab, müüb sulle midagi.
• „Sinu andmed on korrakaitsjate eest kaitstud.” See on juriidiline, mitte tehniline väide. Tehniline väide on „sinu andmed on puhkeolekus krüpteeritud ja võti hävitatakse kustutamisel.” Mis tahes konkreetse menetluse juriidilisi tagajärgi oskab käsitleda ainult advokaat.
• „100% turvaline.” Vaata eespool. Turvalisus on ohumudelite omadus, mitte miski absoluutne.
• „Garanteeritud privaatsus.” Privaatsus on praktika, mitte garantii.

Soulwise'i privaatsuslubadused on konkreetsed ja kontrollitavad. AES-256-GCM puhkeolekus. Kasutajapõhine DEK, mille mähib KMS-i põhivõti. 24-tunnine kustutamine koos vektorpaigutustega. Tõuketeadetes puudub menstruatsiooniga seotud sisu. GDPR-i artikli 9 kohane selgesõnaline nõusolek. Soulwise'i privaatsuslehel on igaüks neist loetletud koos vastava spetsifikatsiooniviitega.

Miks see on oluline ka väljaspool halvimat stsenaariumi

Pärast Dobbsi otsust kujunenud käsitlus suunab inimesi mõtlema tsüklijälgija privaatsusele äärmuslikes olukordades. Samad kriteeriumid loevad ka palju tavalisemates: telefon, mida jagad korterikaaslasega, vägivaldne partner, kes seadme laenab, uudishimulik tööandja, kes näeb teavitust, varukoopia, mis satub pere iCloudi kontole.

Tugev vaikimisi privaatsus ei ole mõeldud ainult halvima juhtumi jaoks. See on iga päev.

Lühem versioon: õige jälgija on see, mille privaatsuslubadused on konkreetsed, kontrollitavad ja sõnastatud selges keeles. Küsi igalt rakenduselt eespool toodud seitset kriteeriumi. Kui pakkuja ei suuda selgelt vastata, ongi see vastus. Kõrvuti võrdlust kõige populaarsema turuliidriga vaata Flo alternatiivi privaatsusele keskenduvast juhendist; samadest põhimõtetest tulenevate kaasavate vaikeseadete kohta vaata Tsüklijälgija mittebinaarsetele kasutajatele.

Korduma kippuvad küsimused

Kas see artikkel on õigusalane nõuanne?

Ei. Tegemist on tootekriteeriumidega tarbijarakenduste hindamiseks. Kui sul on konkreetseid õiguslikke muresid tsükliandmete osas, pöördu oma jurisdiktsioonis tegevusluba omava advokaadi poole. Miski selles artiklis ei kirjelda, mis on või ei ole kaitstud ühegi konkreetse õigusprotsessi eest.

Miks privaatsuse käsitlus pärast Dobbsi muutus?

2022 Dobbsi otsus andis abordi reguleerimise tagasi üksikute USA osariikide kätte, millest mitmed nüüd teatud olukordades aborti piiravad või kriminaliseerivad. See muutis seda, kuidas inimesed mõtlevad menstruatsiooni- või rasedusandmete igasugusest digitaalsest jäljest, ja tegi tsüklijälgija privaatsusest paljude kasutajate jaoks esimest korda teadliku ostukriteeriumi.

Mis on "ümbrikkrüpteerimine" ja miks see oluline on?

Ümbrikkrüpteerimine paneb iga kasutaja andmekrüpteerimisvõtme (DEK) põhivõtme sisse, mida hoiab võtmehaldusteenus. Kasutaja andmed kettal on krüpteeritud tema DEK-iga; serveri rünne paljastab šifreeritud teksti, mitte loetavaid tsükliandmeid. DEK-i hävitamine kustutamisel muudab šifreeritud teksti jäädavalt loetamatuks.

Kas ainult-kohalikud jälgijad on turvalisemad kui krüpteeritud pilvepõhised jälgijad?

Erinevad kompromissid. Ainult-kohalikud jälgijad (Drip, Euki) hoiavad andmed sinu seadmes, mis piirab pilve kaudu paljastumist, kuid ei kaitse seadet ennast. Krüpteeritud pilvepõhised jälgijad (Soulwise) võimaldavad sünkroonimist ja tehisintellekti funktsioone hinnaga, et pead usaldama müüja krüpteerimis- ja kustutamistavasid. Kumbki pole üldiselt "turvalisem" – küsimus on selles, milline oht sind kõige rohkem muretseb.