Pelacak Periode yang Mengutamakan Privasi Pasca-Roe

Sebelum 2022, sebagian besar pengguna di AS tidak membaca kebijakan privasi pelacak siklus. Setelah keputusan Dobbs, banyak yang membacanya, sering kali untuk pertama kali. Pertanyaannya tak lagi abstrak: apa sebenarnya yang disimpan aplikasi ini, dan apa yang bisa terjadi pada data tersebut?

Ini panduan produk, bukan nasihat hukum. Panduan ini mencantumkan hal-hal yang perlu kamu perhatikan saat mengaudit pelacak periode mana pun. Panduan ini tidak menjelaskan apa yang terlindungi atau tidak terlindungi dari proses hukum tertentu. Jika kamu punya kekhawatiran hukum, bicaralah dengan pengacara berlisensi di tempat tinggalmu.

Dengan kerangka itu, inilah yang perlu kamu periksa.

Singkatnya

• Setelah keputusan Dobbs 2022, pengguna di AS mulai membaca kebijakan privasi aplikasi pelacak siklus untuk pertama kalinya.
• Panduan ini memuat tujuh kriteria produk untuk mengevaluasi setiap pelacak menstruasi: enkripsi amplop AES-256-GCM dengan kunci per pengguna, hak penghapusan yang memusnahkan kunci enkripsi dalam 24 jam, tanpa klaim medis atau perencanaan keluarga, tanpa konten menstruasi di notifikasi push, teks yang sadar yurisdiksi (pengguna AS melihat "body day" alih-alih "period"), opsi mode anonim, dan persetujuan eksplisit sesuai Pasal 9 GDPR.
• Artikel ini menegaskan secara gamblang bahwa isinya adalah kriteria produk, bukan nasihat hukum - artikel ini tidak menjelaskan apa yang terlindungi atau tidak dari proses hukum tertentu mana pun.

Yang berubah adalah cara penyajiannya, bukan perhitungannya

Praktik kriptografi dan perangkat lunak di bawah ini sudah ada selama bertahun-tahun. Yang berubah setelah Dobbs adalah visibilitasnya. Praktik yang dulunya hanya detail di bagian belakang spesifikasi kini menjadi komitmen yang ditampilkan di depan aplikasi. Aplikasi yang serius menjaga privasi membicarakannya secara terbuka; aplikasi yang tidak, sering kali tidak akan melakukannya.

Tujuh kriteria dalam panduan ini adalah hal-hal yang seharusnya bersedia dinyatakan secara lugas oleh sebuah pelacak yang mengutamakan privasi.

Tujuh kriteria yang layak diperiksa

Daftar periksa praktis sebelum memasang aplikasi pelacak siklus apa pun. Aplikasi yang paling ketat memenuhi ketujuhnya.

• Enkripsi amplop AES-256-GCM. Setiap pengguna memiliki kunci enkripsi data (DEK) unik yang dibungkus oleh master key di layanan manajemen kunci. Data di disk berupa ciphertext; pelanggaran server mengekspos ciphertext, bukan data siklus yang dapat dibaca.
• Hak penghapusan memusnahkan kunci. Saat kamu menghapus akun, vendor memusnahkan DEK, bukan sekadar baris database. Dengan kunci yang lenyap, ciphertext yang mendasarinya menjadi permanen tak terbaca, termasuk di cadangan mana pun yang memuatnya.
• Jendela penghapusan 24 jam. Vendor berkomitmen secara tertulis untuk menuntaskan penghapusan dalam waktu 24 jam sejak permintaan, termasuk vector embedding yang dipakai fitur AI.
• Tanpa klaim medis. Tanpa prakiraan keluarga berencana, tanpa klaim klinis dalam bentuk apa pun, tanpa teks "RED day". Pelacak konsumen yang menjauhi kerangka medis memiliki cakupan regulasi dan pengungkapan yang jauh lebih sempit.
• Tanpa konten menstruasi di notifikasi push. Judul dan isi push tidak pernah memuat konten siklus, menstruasi, atau keluarga berencana. Pratinjau di layar kunci pun aman.
• Teks yang sadar yurisdiksi. Pengguna AS secara default melihat istilah netral ("body day", "catat ini"); aplikasi tidak mengasumsikan pengguna ingin kata "menstruasi" ditampilkan.
• Persetujuan eksplisit yang dikumpulkan terpisah. GDPR Pasal 9 telah menerapkan ini bertahun-tahun; pasca-Dobbs, pengguna AS mulai meminta hal yang sama. Persetujuan yang dibundel atau implisit tidaklah cukup.

Mengapa detail enkripsi benar-benar penting

Beberapa kriteria di atas terdengar teknis. Itu penting karena memengaruhi apa yang bisa dipulihkan.

Jika sebuah vendor menyimpan data siklus dalam teks polos, setiap cadangan, setiap replika, dan setiap alur analitik bisa membacanya. Permintaan penghapusan dapat menghapus barisnya, tetapi datanya mungkin tetap hidup di cadangan selama berbulan-bulan atau bertahun-tahun.

Jika vendor menggunakan enkripsi amplop dengan kunci per pengguna, data di disk tidak terbaca tanpa DEK milik pengguna. Saat DEK dihancurkan selama penghapusan, ciphertext yang tersisa di cadangan juga tidak terbaca, bahkan jika sebuah cadangan dipulihkan. Penghapusannya nyata secara matematis, bukan sekadar terlihat di UI.

Ini bukan berarti "tak bisa diretas." Kriptografi punya batas, dan vendor mana pun yang mengklaim keamanan absolut entah salah informasi atau berbohong. Yang dilakukan enkripsi kuat dengan manajemen kunci yang tepat adalah menetapkan mode kegagalan yang jelas: data tidak terbaca selama kunci terlindungi, dan tidak terbaca selamanya begitu kunci dihancurkan.

Apa arti sebenarnya dari "tanpa konten menstruasi di push"

Pratinjau di layar kunci adalah permukaan pengungkapan yang diam-diam. Aplikasi yang mengirim "Menstruasimu akan dimulai besok" sebagai isi push telah membocorkan data siklus kepada siapa pun yang sekilas melihat ponselmu.

Pelacak yang serius menerapkan ketiadaan konten menstruasi dalam notifikasi push di CI. Pipeline build Soulwise memindai string judul dan isi push terhadap daftar istilah terlarang; build apa pun yang memuat konten menstruasi atau perencanaan keluarga dalam sebuah push akan gagal sebelum dirilis. Pengguna mendapatkan ajakan ritual harian yang berbunyi seperti "Mulai dengan lembut. Apa yang ada di pikiranmu hari ini?" - tanpa fase siklus, tanpa rujukan menstruasi, tanpa bingkai medis.

Hanya lokal vs cloud terenkripsi: pilih konsekuensimu

Dua arsitektur yang sama-sama sah, dengan model ancaman yang berbeda.

Pelacak hanya-lokal (Drip, Euki). Data tersimpan di perangkatmu. Tidak ada salinan di cloud yang bisa dipanggil secara hukum, tetapi juga tidak ada sinkronisasi antarperangkat dan fitur AI-nya terbatas. Pencadangan jadi urusanmu sendiri; begitu pula risiko perangkat dicuri dan cadangan sistem operasi (yang mungkin terenkripsi atau tidak di level OS).

Pelacak cloud terenkripsi (Soulwise, Clue, dan lainnya). Data tersinkronisasi antarperangkat dan menggerakkan fitur AI. Privasi bergantung pada praktik enkripsi dan penghapusan dari vendor. Model ancamannya mengasumsikan vendor yang kompeten dan pengelolaan kunci yang kuat.

Tidak ada yang secara mutlak "lebih aman." Jawaban yang tepat bergantung pada apa yang kamu khawatirkan. Hanya-lokal adalah pilihan yang lebih sulit dari sisi pengalaman pengguna dan lebih sederhana dari sisi cakupan data. Cloud terenkripsi adalah kebalikannya.

Apa yang sengaja tidak kami janjikan

Berikut daftar hal-hal yang patut kamu curigai dalam setiap materi pemasaran:

• "Tak bisa diretas." Tidak ada sistem yang tak bisa diretas. Siapa pun yang mengklaim ini sedang menjual sesuatu kepadamu.
• "Datamu aman dari aparat penegak hukum." Ini klaim hukum, bukan klaim teknis. Klaim teknisnya adalah "datamu terenkripsi saat tersimpan dan kuncinya dihancurkan saat penghapusan." Konsekuensi hukum dari proses spesifik apa pun hanya bisa dijawab oleh seorang pengacara.
• "Aman 100%." Lihat penjelasan di atas. Keamanan adalah properti dari model ancaman, bukan sesuatu yang mutlak.
• "Privasi terjamin." Privasi adalah praktik, bukan jaminan.

Komitmen privasi Soulwise bersifat konkret dan dapat diuji kebenarannya. AES-256-GCM saat tersimpan. DEK per pengguna yang dibungkus oleh master key KMS. Penghapusan dalam 24 jam termasuk vector embedding. Tidak ada konten menstruasi dalam push. Persetujuan eksplisit GDPR Pasal 9. Halaman privasi Soulwise mencantumkan setiap poin beserta referensi spesifikasi yang mendasarinya.

Mengapa ini penting di luar skenario terburuk

Kerangka berpikir pasca-Dobbs mendorong orang untuk memikirkan privasi pelacak siklus dalam skenario ekstrem. Kriteria yang sama juga penting dalam situasi yang jauh lebih umum: ponsel yang dipakai bersama teman sekamar, pasangan abusif yang meminjam perangkat, atasan yang penasaran melihat sebuah notifikasi, atau cadangan data yang berakhir di akun iCloud keluarga.

Privasi bawaan yang kuat bukan hanya untuk skenario terburuk. Ia untuk setiap hari.

Versi singkatnya: pelacak yang tepat adalah pelacak yang komitmen privasinya spesifik, dapat diuji, dan dinyatakan dalam bahasa yang lugas. Tanyakan tujuh kriteria di atas kepada aplikasi mana pun. Jika sebuah vendor tidak bisa menjawab dengan jelas, itulah jawabannya. Untuk perbandingan langsung dengan pemain lama yang paling populer, lihat panduan alternatif Flo yang mengutamakan privasi; untuk pengaturan bawaan yang inklusif yang lahir dari prinsip yang sama, lihat Pelacak siklus untuk pengguna non-biner.

Pertanyaan yang Sering Diajukan

Apakah artikel ini merupakan nasihat hukum?

Tidak. Ini adalah kriteria produk untuk menilai aplikasi konsumen. Jika kamu punya kekhawatiran hukum spesifik soal data siklus, konsultasikan dengan pengacara yang berlisensi di yurisdiksimu. Tidak ada satu pun bagian dalam artikel ini yang menjelaskan apa yang dilindungi atau tidak dilindungi dari proses hukum tertentu.

Mengapa pembingkaian privasi berubah setelah Dobbs?

Putusan Dobbs 2022 mengembalikan pengaturan aborsi ke masing-masing negara bagian AS, dan beberapa di antaranya kini membatasi atau mengkriminalisasi aborsi dalam keadaan tertentu. Hal itu mengubah cara orang memandang setiap jejak digital data menstruasi atau kehamilan, dan untuk pertama kalinya menjadikan privasi pelacak siklus sebagai kriteria pembelian yang disadari bagi banyak pengguna.

Apa itu "envelope encryption" dan mengapa itu penting?

Envelope encryption membungkus kunci enkripsi data (DEK) milik setiap pengguna di dalam sebuah master key yang disimpan oleh layanan manajemen kunci. Data pengguna di disk dienkripsi dengan DEK mereka; pelanggaran pada server hanya membocorkan ciphertext, bukan data siklus yang bisa terbaca. Menghancurkan DEK saat penghapusan membuat ciphertext tak terbaca selamanya.

Apakah pelacak local-only lebih aman daripada pelacak cloud terenkripsi?

Trade-off-nya berbeda. Pelacak local-only (Drip, Euki) menyimpan data di perangkatmu, yang membatasi paparan ke cloud tetapi tidak melindungi perangkat itu sendiri. Pelacak cloud terenkripsi (Soulwise) memungkinkan sinkronisasi dan fitur AI dengan konsekuensi kamu harus memercayai praktik enkripsi dan penghapusan dari vendor. Tidak ada yang secara universal "lebih aman" — pertanyaannya adalah ancaman apa yang paling kamu khawatirkan.