ردیاب پریود حریم‌خصوصی‌محور در دوران پساروئه

پیش از 2022, بیشتر کاربران آمریکایی سیاست‌های حریم خصوصی اپلیکیشن‌های ردیابی چرخه قاعدگی را نمی‌خواندند. پس از رأی دادگاه در پروندهٔ دابز، بسیاری شروع به خواندن کردند، اغلب برای نخستین بار. دیگر این پرسش انتزاعی نبود: این اپلیکیشن واقعاً چه چیزی را ذخیره می‌کند، و چه بلایی ممکن است بر سر آن داده‌ها بیاید؟

این یک راهنمای محصول است، نه مشاورهٔ حقوقی. فهرستی است از آنچه باید هنگام بررسی هر ردیاب پریود به دنبالش بگردید. توضیح نمی‌دهد که چه چیزی در برابر یک روند حقوقی مشخص محافظت‌شده است یا نیست. اگر نگرانی حقوقی دارید، با وکیلی که در محل زندگی شما پروانهٔ وکالت دارد صحبت کنید.

حالا که این چارچوب روشن شد، در ادامه می‌بینید چه چیزهایی را باید بررسی کنید.

آنچه در قاب‌بندی تغییر کرد، نه در ریاضیات

شیوه‌های رمزنگاری و نرم‌افزاری زیر سال‌هاست که وجود دارند. آنچه پس از پروندهٔ Dobbs تغییر کرد، میزان دیده‌شدن آن‌هاست. شیوه‌هایی که زمانی جزئیاتی در انتهای مشخصات فنی بودند، اکنون به تعهداتی در پیشانی اپلیکیشن تبدیل شده‌اند. اپ‌هایی که حریم خصوصی را جدی می‌گیرند، آشکارا دربارهٔ آن‌ها صحبت می‌کنند؛ و اپ‌هایی که جدی نمی‌گیرند، اغلب چنین نمی‌کنند.

هفت معیار این راهنما همان چیزهایی هستند که یک ردیاب طرفدار حریم خصوصی باید آماده باشد آن‌ها را به زبان ساده بیان کند.

هفت معیاری که ارزش بررسی دارند

یک فهرست عملی پیش از نصب هر ردیاب چرخه. سخت‌گیرترین اپ‌ها هر هفت مورد را برآورده می‌کنند.

  • رمزنگاری پوششی AES-256-GCM. هر کاربر یک کلید رمزگذاری داده (DEK) منحصربه‌فرد دارد که با یک کلید اصلی در سرویس مدیریت کلید پیچیده می‌شود. داده‌های روی دیسک، متن رمزشده هستند؛ نفوذ به سرور متن رمزشده را افشا می‌کند، نه داده‌های خوانای چرخه.
  • حق پاک‌سازی، کلید را نابود می‌کند. وقتی حساب‌تان را حذف می‌کنید، فروشنده DEK را نابود می‌کند، نه صرفاً ردیف پایگاه داده را. با از بین رفتن کلید، متن رمزشدهٔ زیربنایی برای همیشه ناخوانا می‌شود، از جمله در هر نسخهٔ پشتیبانی که آن را در خود داشته است.
  • بازهٔ حذف 24 ساعته. فروشنده به‌صورت کتبی تعهد می‌دهد که پاک‌سازی را ظرف 24 ساعت از درخواست تکمیل کند، از جمله بردارهای جاسازی (embedding) که قابلیت‌های هوش مصنوعی از آن‌ها استفاده می‌کنند.
  • بدون ادعای پزشکی. نه پیش‌بینی تنظیم خانواده، نه هیچ‌گونه ادعای بالینی، نه متنی مانند «روز قرمز». یک ردیاب مصرفی که از قالب‌بندی پزشکی فاصله می‌گیرد، سطح مقرراتی و افشای بسیار محدودتری دارد.
  • بدون محتوای قاعدگی در نوتیفیکیشن‌های پوش. عنوان و متن پوش هرگز حاوی محتوای چرخه، عادت ماهانه یا تنظیم خانواده نیستند. پیش‌نمایش صفحهٔ قفل امن است.
  • متن آگاه به حوزهٔ قضایی. کاربران ایالات متحده به‌صورت پیش‌فرض اصطلاحات خنثی می‌بینند («روز بدن»، «این را ثبت کن»)؛ اپ فرض نمی‌کند که کاربر می‌خواهد واژهٔ «عادت ماهانه» نمایش داده شود.
  • رضایت صریح و جداگانه دریافت‌شده. مادهٔ 9 مقررات GDPR سال‌هاست این کار را انجام می‌دهد؛ پس از پروندهٔ Dobbs، کاربران ایالات متحده هم همین را خواستند. رضایت بسته‌بندی‌شده یا ضمنی کافی نیست.

چرا جزئیات رمزنگاری واقعاً مهم‌اند

چند مورد از معیارهای بالا فنی به نظر می‌رسند. اهمیت‌شان از این روست که تعیین می‌کنند چه چیزی قابل بازیابی است.

اگر یک ارائه‌دهنده داده‌های چرخه را به‌صورت متن ساده ذخیره کند، هر نسخهٔ پشتیبان، هر کپی و هر خط پردازش تحلیلی می‌تواند آن را بخواند. یک درخواست حذف می‌تواند سطر داده را پاک کند، اما داده ممکن است ماه‌ها یا سال‌ها در نسخه‌های پشتیبان باقی بماند.

اگر ارائه‌دهنده از رمزنگاری پاکتی با کلیدهای مخصوص هر کاربر استفاده کند، داده‌های روی دیسک بدون DEK کاربر ناخوانا هستند. وقتی DEK هنگام حذف نابود می‌شود، متن رمزشده‌ای هم که در نسخه‌های پشتیبان می‌ماند ناخوانا خواهد بود، حتی اگر نسخه‌ای بازیابی شود. در این حالت حذف از نظر ریاضی واقعی است، نه فقط چیزی که در رابط کاربری دیده می‌شود.

این به معنای «نفوذناپذیری» نیست. رمزنگاری محدودیت دارد و هر ارائه‌دهنده‌ای که ادعای امنیت مطلق کند یا ناآگاه است یا دروغ می‌گوید. کاری که رمزنگاری قوی همراه با مدیریت درست کلید انجام می‌دهد، تعریف یک حالت شکست روشن است: داده تا زمانی که کلیدها محافظت شوند ناخوانا می‌ماند، و به‌محض نابود شدن کلیدها برای همیشه ناخوانا می‌شود.

منظور واقعی از «نبودِ محتوای قاعدگی در نوتیفیکیشن» چیست

پیش‌نمایش روی صفحهٔ قفل، یک سطح افشای خاموش است. اپ‌هایی که پیامی مثل «دورهٔ قاعدگی‌ات فردا شروع می‌شود» را در متن نوتیفیکیشن می‌فرستند، در عمل داده‌های چرخه را به هر کسی که نگاهی به گوشی بیندازد لو داده‌اند.

یک ردیاب جدی، نبودِ محتوای قاعدگی در نوتیفیکیشن‌ها را در CI تضمین می‌کند. خط ساخت Soulwise، رشته‌های عنوان و متن نوتیفیکیشن را با فهرستی از حدهای ممنوع مطابقت می‌دهد؛ هر بیلدی که محتوای قاعدگی یا تنظیم خانواده را در نوتیفیکیشن داشته باشد، پیش از انتشار رد می‌شود. کاربر پیام‌های آیینِ روزانه دریافت می‌کند با مضمونی مثل «شروعی آرام. امروز چه چیزی پیشِ رویت داری؟» — بدون اشاره به فاز چرخه، بدون اشاره به قاعدگی، و بدون قاب‌بندی پزشکی.

فقط محلی در برابر ابری رمزنگاری‌شده: مصالحهٔ خود را انتخاب کنید

دو معماری معتبر، با مدل‌های تهدید متفاوت.

ردیاب‌های فقط محلی (Drip, Euki). داده‌ها روی دستگاه شما می‌مانند. هیچ نسخهٔ ابری‌ای وجود ندارد که با حکم قضایی درخواست شود، اما همگام‌سازی بین دستگاه‌ها هم وجود ندارد و امکانات هوش مصنوعی محدود است. پشتیبان‌گیری مشکل شماست؛ سرقت دستگاه و پشتیبان‌گیری‌های سیستم‌عامل هم همین‌طور (که ممکن است در سطح سیستم‌عامل رمزنگاری شده باشند یا نباشند).

ردیاب‌های ابری رمزنگاری‌شده (Soulwise, Clue و دیگران). داده‌ها بین دستگاه‌ها همگام می‌شوند و امکانات هوش مصنوعی را تغذیه می‌کنند. حریم خصوصی به شیوه‌های رمزنگاری و حذف داده‌ها در شرکت ارائه‌دهنده بستگی دارد. مدل تهدید، یک ارائه‌دهندهٔ شایسته و مدیریت قدرتمند کلید را فرض می‌گیرد.

هیچ‌کدام به‌طور مطلق «امن‌تر» نیستند. پاسخ درست به این بستگی دارد که نگران چه چیزی هستید. گزینهٔ فقط محلی از نظر تجربهٔ کاربری انتخاب دشوارتر و از نظر سطح در معرض قرارگیری داده‌ها انتخاب ساده‌تری است. ابری رمزنگاری‌شده برعکس آن است.

آنچه عمداً وعده نمی‌دهیم

این فهرستی است از چیزهایی که باید در هر متن تبلیغاتی به آن‌ها مشکوک باشید:

  • «نفوذناپذیر.» هیچ سیستمی نفوذناپذیر نیست. هر کس چنین ادعایی کند، در حال فروختن چیزی به شماست.
  • «داده‌های شما از دسترس مجریان قانون در امان است.» این یک ادعای حقوقی است، نه فنی. ادعای فنی این است: «داده‌های شما در حالت ذخیره‌شده رمزنگاری می‌شوند و کلید آن هنگام حذف نابود می‌شود.» پیامدهای حقوقی هر فرایند مشخصی را تنها یک وکیل می‌تواند بررسی کند.
  • «100% امن.» به بالا مراجعه کنید. امنیت ویژگی‌ای وابسته به مدل‌های تهدید است، نه یک مطلق.
  • «حریم خصوصی تضمین‌شده.» حریم خصوصی یک رویه است، نه یک تضمین.

تعهدهای Soulwise در زمینهٔ حریم خصوصی، مشخص و قابل‌راستی‌آزمایی هستند. AES-256-GCM در حالت ذخیره‌شده. DEK اختصاصی هر کاربر که با کلید اصلی KMS محصور می‌شود. پاک‌سازی ظرف 24 ساعت، شامل وکتور امبدینگ‌ها. بدون محتوای قاعدگی در نوتیفیکیشن‌ها. رضایت صریح مطابق مادهٔ 9 GDPR. صفحهٔ حریم خصوصی Soulwise هر یک از این موارد را همراه با ارجاع به مشخصات فنی زیربنایی فهرست می‌کند.

چرا این موضوع فراتر از بدترین حالت اهمیت دارد

چارچوب پسا-دابز مردم را وامی‌دارد که دربارهٔ حریم خصوصی ردیاب قاعدگی در سناریوهای حادّ فکر کنند. همان معیارها در موقعیت‌های بسیار رایج‌تری هم اهمیت دارند: گوشی‌ای که با هم‌خانه به اشتراک گذاشته می‌شود، شریک عاطفی بدرفتاری که دستگاه را قرض می‌گیرد، کارفرمای کنجکاوی که یک اعلان را می‌بیند، نسخهٔ پشتیبانی که سر از حساب آی‌کلاد خانوادگی درمی‌آورد.

حریم خصوصی قوی به‌صورت پیش‌فرض فقط برای بدترین حالت نیست. برای هر روز است.

نسخهٔ کوتاه‌ترش: ردیاب درست همان است که تعهدهای حریم خصوصی‌اش مشخص، قابل‌راستی‌آزمایی و به زبان ساده بیان شده باشد. هفت معیار بالا را از هر اپلیکیشنی بپرسید. اگر فروشنده‌ای نتواند روشن و قاطع پاسخ دهد، همان خودش پاسخ است. برای مقایسهٔ رودررو با محبوب‌ترین گزینهٔ موجود، راهنمای جایگزین Flo با اولویت حریم خصوصی را ببینید؛ و برای تنظیمات پیش‌فرض فراگیری که از همین اصول برمی‌آید، ردیاب قاعدگی برای کاربران نان‌باینری را ببینید.

پرسش‌های پرتکرار

برنامه را امتحان کنید

ابزارهای رایگان ما را امتحان کنید

بینش‌های شخصی‌سازی‌شده بر اساس نقشه تولد خود به دست آورید

محاسبه‌گر نقشه تولد

نقشه تولد کامل خود را با تفسیرهای مبتنی بر هوش مصنوعی بسازید

#خردِ روح #حریم‌خصوصی‌محور #پساِرو #ردیاب-پریود #us-users

به اشتراک گذاری این مقاله