מעקב מחזור עם פרטיות לפני הכול אחרי ביטול רו

לפני 2022, רוב המשתמשות בארה"ב לא קראו את מדיניות הפרטיות של אפליקציות מעקב המחזור. אחרי פסיקת דובס, רבות כן קראו, לעיתים בפעם הראשונה. השאלה כבר לא הייתה מופשטת: מה האפליקציה הזו באמת שומרת, ומה עלול לקרות לנתונים האלה?

זהו מדריך מוצר, לא ייעוץ משפטי. הוא מפרט למה כדאי לשים לב כשאת בודקת אפליקציית מעקב מחזור כלשהי. הוא לא מתאר מה מוגן או לא מוגן מפני הליך משפטי מסוים. אם יש לך חששות משפטיים, דברי עם עורך דין המורשה לעסוק במקום מגוריך.

עכשיו, אחרי שהמסגרת ברורה, הנה מה שכדאי לבדוק.

מה השתנה במסגור, לא במתמטיקה

הנהלים הקריפטוגרפיים ונהלי התוכנה שלהלן קיימים כבר שנים. מה שהשתנה אחרי דובס הוא הנראות. נהלים שפעם היו פרטים נסתרים במפרט הם כיום התחייבויות גלויות באפליקציה. אפליקציות שמתייחסות לפרטיות ברצינות מדברות עליהן בפתיחות; אפליקציות שלא — לרוב לא יעשו זאת.

שבעת הקריטריונים שבמדריך הזה הם מה שאפליקציית מעקב שמכבדת פרטיות צריכה להיות מוכנה לומר בשפה פשוטה וברורה.

שבעה קריטריונים ששווה לבדוק

צ'ק־ליסט מעשי לפני התקנת כל אפליקציית מעקב מחזור. האפליקציות המחמירות ביותר עומדות בכל השבעה.

  • הצפנת מעטפה AES-256-GCM. לכל משתמשת יש מפתח הצפנת נתונים ייחודי (DEK) העטוף במפתח־אב בשירות לניהול מפתחות. הנתונים בדיסק הם טקסט מוצפן; פריצה לשרת חושפת טקסט מוצפן, לא נתוני מחזור קריאים.
  • הזכות למחיקה משמידה את המפתח. כשאת מוחקת את החשבון, הספק משמיד את ה-DEK, לא רק את שורת הנתונים. עם היעלמות המפתח, הטקסט המוצפן הבסיסי הופך לבלתי קריא לצמיתות, כולל בכל גיבוי שהכיל אותו.
  • חלון מחיקה של 24 שעות. הספק מתחייב בכתב להשלים את המחיקה תוך 24 שעות מרגע הבקשה, כולל הטמעות וקטוריות שבשימוש תכונות ה-AI.
  • ללא טענות רפואיות. ללא תחזיות לתכנון משפחה, ללא טענות קליניות מכל סוג, ללא נוסח "יום אדום". אפליקציית מעקב צרכנית שנשארת מחוץ למסגור רפואי חשופה הרבה פחות לרגולציה ולחובות גילוי.
  • ללא תוכן מחזור בהתראות פוש. כותרות וגוף ההתראות לעולם אינם מכילים תוכן על מחזור, וסת או תכנון משפחה. התצוגה המקדימה במסך הנעילה בטוחה.
  • נוסח מותאם לתחום שיפוט. משתמשות בארה"ב רואות כברירת מחדל מינוח ניטרלי ("יום גוף", "תיעדי את זה"); האפליקציה אינה מניחה שהמשתמשת רוצה שתוצג המילה "וסת".
  • הסכמה מפורשת ונאספת בנפרד. סעיף 9 ל-GDPR עושה זאת כבר שנים; אחרי פסיקת Dobbs, משתמשות בארה"ב התחילו לבקש את אותו הדבר. הסכמה מאוגדת או משתמעת אינה מספיקה.

למה פרטי ההצפנה באמת חשובים

חלק מהקריטריונים שלמעלה נשמעים טכניים. הם חשובים כי הם משנים את מה שניתן לשחזר.

אם ספק שומר נתוני מחזור בטקסט גלוי, כל גיבוי, כל עותק וכל צינור אנליטיקה יכולים לקרוא אותם. בקשת מחיקה יכולה למחוק את השורה, אבל הנתונים עשויים להמשיך להתקיים בגיבויים במשך חודשים או שנים.

אם הספק משתמש בהצפנת מעטפת עם מפתחות ייחודיים לכל משתמש, הנתונים על הדיסק אינם קריאים ללא ה־DEK של המשתמש. כשה־DEK מושמד במהלך המחיקה, גם הטקסט המוצפן שנותר בגיבויים אינו קריא, אפילו אם משחזרים גיבוי. המחיקה אמיתית מתמטית, ולא רק נראית כך בממשק.

זה לא "בלתי ניתן לפריצה". לקריפטוגרפיה יש גבולות, וכל ספק שטוען לאבטחה מוחלטת או שאינו יודע את העובדות או שהוא משקר. מה שהצפנה חזקה עם ניהול מפתחות נכון עושה הוא להגדיר מצב כשל ברור: הנתונים אינם קריאים כל עוד המפתחות מוגנים, ואינם קריאים לעולם ברגע שהמפתחות מושמדים.

מה באמת אומר "אין תוכן מחזורי בהתראות"

תצוגת המקדימה במסך הנעילה היא משטח חשיפה שקט. אפליקציות ששולחות "המחזור שלך מתחיל מחר" כגוף ההתראה חשפו נתוני מחזור לכל מי שמעיף מבט בטלפון.

מעקב רציני אוכף את היעדרו של תוכן מחזורי בהתראות הדחיפה בתוך CI. צינור ה-build של Soulwise סורק את מחרוזות הכותרת והגוף של ההתראות מול רשימת מונחים אסורים; כל build שמכיל תוכן מחזורי או תוכן של תכנון משפחה בהתראה נכשל לפני שהוא יוצא לאוויר. המשתמשת מקבלת הנחיות לטקס יומי שאומרות דברים כמו "התחלה רכה. מה על הצלחת שלך היום?" - בלי שלב במחזור, בלי אזכור של וסת, בלי מסגור רפואי.

מקומי בלבד מול ענן מוצפן: בחרי את האיזון שמתאים לך

שתי ארכיטקטורות לגיטימיות, מודלי איום שונים.

מעקבים מקומיים בלבד (Drip, Euki). הנתונים נמצאים על המכשיר שלך. אין עותק בענן שאפשר לדרוש בצו, אבל גם אין סנכרון בין מכשירים ויש מגבלות על יכולות ה-AI. הגיבוי הוא באחריותך; וכך גם גניבת מכשיר וגיבויי מערכת ההפעלה (שעשויים להיות מוצפנים ברמת מערכת ההפעלה, או לא).

מעקבים מבוססי ענן מוצפן (Soulwise, Clue, ואחרים). הנתונים מסונכרנים בין מכשירים ומפעילים את יכולות ה-AI. הפרטיות תלויה בהצפנה ובנהלי המחיקה של הספק. מודל האיום מניח ספק מקצועי וניהול מפתחות חזק.

אף אחת מהאפשרויות אינה "בטוחה יותר" באופן גורף. התשובה הנכונה תלויה במה שמדאיג אותך. מקומי בלבד הוא הבחירה המאתגרת יותר מבחינת חוויית המשתמש והפשוטה יותר מבחינת חשיפת הנתונים. ענן מוצפן הוא בדיוק ההפך.

מה אנחנו במכוון לא מבטיחים

זו רשימה של דברים שכדאי לך לחשוד בהם בכל טקסט שיווקי:

  • "בלתי ניתן לפריצה." אף מערכת אינה בלתי ניתנת לפריצה. כל מי שטוען זאת מנסה למכור לך משהו.
  • "המידע שלך מוגן מפני רשויות אכיפת החוק." זו טענה משפטית, לא טכנית. הטענה הטכנית היא "המידע שלך מוצפן במנוחה והמפתח מושמד עם המחיקה." ההשלכות המשפטיות של תהליך מסוים הן עניין שרק עורך דין יכול להתייחס אליו.
  • "100% מאובטח." ראה לעיל. אבטחה היא תכונה של מודלי איום, לא ערך מוחלט.
  • "פרטיות מובטחת." פרטיות היא פרקטיקה, לא הבטחה.

ההתחייבויות של Soulwise לפרטיות הן קונקרטיות וניתנות להפרכה. AES-256-GCM במנוחה. DEK ייעודי לכל משתמש העטוף במפתח האב של KMS. מחיקה תוך 24 שעות כולל וקטורי הטמעה. אין תוכן וסת בהתראות דחיפה. הסכמה מפורשת לפי סעיף 9 ל‑GDPR. עמוד הפרטיות של Soulwise מפרט כל אחת מהן עם הפניה למפרט הטכני הרלוונטי.

למה זה חשוב מעבר לתרחיש הקיצוני

המסגור שאחרי פרשת דובס דוחף אנשים לחשוב על פרטיות במעקבי מחזור דרך תרחישים קיצוניים. אותם קריטריונים חשובים גם במצבים נפוצים הרבה יותר: טלפון שמשותף עם שותף לדירה, בן זוג מתעלל ששואל את המכשיר, מעסיק סקרן שרואה התראה, גיבוי שמסתיים בחשבון iCloud משפחתי.

ברירת מחדל חזקה של פרטיות אינה רק לתרחיש הגרוע ביותר. היא לכל יום.

בקיצור: היישומון הנכון הוא זה שהתחייבויות הפרטיות שלו ספציפיות, ניתנות להפרכה ומנוסחות בשפה ברורה. שאלי כל אפליקציה על שבעת הקריטריונים שלמעלה. אם ספק לא יכול לענות בבהירות, זו התשובה. להשוואה ישירה מול השחקנית הוותיקה והפופולרית ביותר, ראי את המדריך לחלופה ל-Flo שמעמידה פרטיות בראש; לברירות המחדל המכילות שנובעות מאותם עקרונות, ראי מעקב מחזור למשתמשים א-בינאריים.

שאלות נפוצות

נסה את האפליקציה

נסה את הכלים החינמיים שלנו

קבל תובנות מותאמות אישית על בסיס מפת הלידה שלך

מחשבון מפת לידה

בנה את מפת הלידה המלאה שלך עם פרשנויות מבוססות בינה מלאכותית

#soulwise #פרטיות תחילה #post-roe #period-tracker #us-users

שתף את המאמר