Privātumu prioritizējošs cikla sekotājs pēc Roe lietas

Pirms 2022, vairums ASV lietotāju neizlasīja cikla sekotāju privātuma politikas. Pēc Dobbs lēmuma daudzi to izdarīja, bieži vien pirmo reizi. Jautājums vairs nebija abstrakts: ko šī lietotne patiesībā glabā un kas ar šiem datiem varētu notikt?

Šī ir produkta pamācība, nevis juridiska konsultācija. Tajā uzskaitīts, kam pievērst uzmanību, kad pārbaudi jebkuru cikla sekotāju. Tajā nav aprakstīts, kas ir vai nav aizsargāts no kāda konkrēta juridiska procesa. Ja tev ir juridiskas bažas, sazinies ar advokātu, kuram ir licence tavā dzīvesvietā.

Paturot to prātā, lūk, kas jāpārbauda.

Īsumā

• Pēc 2022 Dobsa lēmuma ASV lietotāji pirmo reizi sāka lasīt ciklu sekošanas lietotņu privātuma politikas.
• Šajā ceļvedī uzskaitīti septiņi produkta kritēriji jebkura menstruāciju izsekotāja izvērtēšanai: AES-256-GCM aploksnes šifrēšana ar atsevišķām atslēgām katram lietotājam, tiesības uz dzēšanu, kas iznīcina šifrēšanas atslēgu 24 stundu laikā, nekādu medicīnisku vai ģimenes plānošanas apgalvojumu, nekāda menstruāciju satura push paziņojumos, jurisdikciju ņemot vērā veidots teksts (ASV lietotāji redz "ķermeņa diena", nevis "menstruācijas"), anonīmā režīma iespēja un GDPR 9. panta skaidri izteikta piekrišana.
• Rakstā skaidri norādīts, ka tie ir produkta kritēriji, nevis juridiska konsultācija — tas neapraksta, kas ir vai nav aizsargāts kādā konkrētā juridiskā procesā.

Kas mainījies pieejā, nevis matemātikā

Tālāk minētā kriptogrāfijas un programmatūras prakse pastāv jau gadiem. Pēc Dobbs lietas mainījās tās redzamība. Prakse, kas agrāk bija specifikācijas slēptās detaļas, tagad ir lietotnes priekšplāna saistības. Lietotnes, kas privātumu uztver nopietni, par to runā atklāti; tās, kas to nedara, bieži klusē.

Septiņi šī ceļveža kritēriji ir tie, ko uz privātumu vērstam izsekotājam vajadzētu būt gatavam pateikt skaidrā un saprotamā valodā.

Septiņi kritēriji, ko vērts pārbaudīt

Praktisks pārbaudes saraksts pirms jebkura cikla sekotāja uzstādīšanas. Visstingrākās lietotnes izpilda visus septiņus.

• AES-256-GCM aploksnes šifrēšana. Katram lietotājam ir unikāla datu šifrēšanas atslēga (DEK), ko ietin galvenā atslēga atslēgu pārvaldības pakalpojumā. Dati diskā ir šifrteksts; servera ielaušanās atklāj šifrtekstu, nevis lasāmus cikla datus.
• Tiesības uz dzēšanu iznīcina atslēgu. Kad dzēs savu kontu, pakalpojuma sniedzējs iznīcina DEK, nevis tikai datubāzes ierakstu. Bez atslēgas pamatā esošais šifrteksts ir neatgriezeniski nelasāms, tostarp jebkurā rezerves kopijā, kas to saturēja.
• 24 stundu dzēšanas logs. Pakalpojuma sniedzējs rakstiski apņemas pabeigt dzēšanu 24 stundu laikā pēc pieprasījuma, tostarp vektoru iegultnes, ko izmanto MI funkcijas.
• Nekādu medicīnisku apgalvojumu. Nekādu ģimenes plānošanas prognožu, nekādu klīnisku apgalvojumu, nekāda "RED day" teksta. Patērētāja sekotājam, kas neiesaistās medicīniskajā ietvarā, ir daudz šaurāka regulatīvā un izpaušanas virsma.
• Nekāda menstruāciju satura paziņojumos. Paziņojumu virsraksti un teksti nekad nesatur cikla, perioda vai ģimenes plānošanas saturu. Bloķēšanas ekrāna priekšskatījums ir drošs.
• Jurisdikciju ņemot vērā veidots teksts. ASV lietotāji pēc noklusējuma redz neitrālu terminoloģiju ("body day", "log this"); lietotne nepieņem, ka lietotājs vēlas, lai tiktu rādīts vārds "periods".
• Nepārprotama, atsevišķi iegūta piekrišana. GDPR 9. pants to dara jau gadiem; pēc Dobbs lietas ASV lietotāji sāka prasīt to pašu. Apvienota vai netieša piekrišana nav pietiekama.

Kāpēc šifrēšanas detaļas patiešām ir svarīgas

Daži no iepriekš minētajiem kritērijiem izklausās tehniski. Tie ir svarīgi tāpēc, ka maina to, ko ir iespējams atgūt.

Ja pakalpojumu sniedzējs glabā cikla datus atklātā tekstā, tos var nolasīt katra dublējumkopija, katra replika un katra analītikas plūsma. Dzēšanas pieprasījums var izdzēst ierakstu, taču dati var saglabāties dublējumkopijās mēnešiem vai pat gadiem.

Ja pakalpojumu sniedzējs izmanto aploksnes šifrēšanu ar atsevišķām atslēgām katram lietotājam, dati diskā nav nolasāmi bez lietotāja DEK. Kad dzēšanas laikā DEK tiek iznīcināta, arī dublējumkopijās palikušais šifrētais teksts vairs nav nolasāms — pat tad, ja dublējumkopija tiek atjaunota. Dzēšana ir matemātiski reāla, nevis tikai redzama saskarnē.

Tas nav "neuzlaužami". Kriptogrāfijai ir savi ierobežojumi, un jebkurš pakalpojumu sniedzējs, kas apgalvo, ka nodrošina absolūtu drošību, vai nu ir maldināts, vai melo. Spēcīga šifrēšana ar pareizu atslēgu pārvaldību panāk skaidru kļūdas scenāriju: dati nav nolasāmi, kamēr atslēgas ir aizsargātas, un tie paliek nenolasāmi mūžīgi, tiklīdz atslēgas ir iznīcinātas.

Ko patiesībā nozīmē "nekāda menstruāciju satura paziņojumos"

Bloķēšanas ekrāna priekšskatījums ir klusa izpaušanas vieta. Lietotnes, kas kā paziņojuma tekstu sūta "Tavs periods sāksies rīt", ir atklājušas cikla datus jebkuram, kurš ieskatās telefonā.

Nopietns sekotājs jau CI līmenī nodrošina, ka push paziņojumos nav menstruāciju satura. Soulwise būvēšanas konveijers pārbauda paziņojumu virsrakstu un teksta virknes pret aizliegto vārdu sarakstu; jebkura būve, kurā paziņojumā ir menstruāciju vai ģimenes plānošanas saturs, neiztur pārbaudi pirms izlaišanas. Lietotājs saņem ikdienas rituālu pamudinājumus, kas skan, piemēram: "Maigs sākums. Kas šodien tev priekšā?" — bez cikla fāzes, bez atsauces uz periodu, bez medicīniska ietvara.

Tikai lokāls vai šifrēts mākonis: izvēlies savu kompromisu

Divas pamatotas arhitektūras, atšķirīgi apdraudējuma modeļi.

Tikai lokālie sekotāji (Drip, Euki). Dati glabājas tavā ierīcē. Nav mākoņa kopijas, ko pieprasīt tiesā, taču nav arī sinhronizācijas starp ierīcēm un ir ierobežotas MI funkcijas. Dublēšana ir tava atbildība; tāpat arī ierīces zādzība un operētājsistēmas dublējumi (kas operētājsistēmas līmenī var būt vai nebūt šifrēti).

Šifrētie mākoņa sekotāji (Soulwise, Clue un citi). Dati sinhronizējas starp ierīcēm un nodrošina MI funkcijas. Privātums ir atkarīgs no pakalpojuma sniedzēja šifrēšanas un datu dzēšanas prakses. Apdraudējuma modelis paredz kompetentu pakalpojuma sniedzēju un stingru atslēgu pārvaldību.

Neviens no tiem nav vienmēr "drošāks". Pareizā atbilde ir atkarīga no tā, par ko tu raizējies. Tikai lokālais ir sarežģītāka izvēle lietošanas ērtuma ziņā un vienkāršāka izvēle datu pieejamības ziņā. Šifrētais mākonis ir tieši pretēji.

Ko mēs apzināti nesolām

Šis ir saraksts ar lietām, pret kurām vajadzētu izturēties piesardzīgi jebkurā mārketinga tekstā:

• "Neuzlaužams." Neviena sistēma nav neuzlaužama. Ikviens, kas to apgalvo, kaut ko tev pārdod.
• "Tavi dati ir pasargāti no tiesībsargājošajām iestādēm." Tas ir juridisks, nevis tehnisks apgalvojums. Tehniskais apgalvojums ir "tavi dati glabāšanas laikā ir šifrēti, un dzēšanas brīdī atslēga tiek iznīcināta." Par jebkura konkrēta procesa juridiskajām sekām var spriest tikai jurists.
• "100% droši." Skat. iepriekš. Drošība ir draudu modeļu īpašība, nevis absolūts lielums.
• "Garantēta privātums." Privātums ir prakse, nevis garantija.

Soulwise privātuma saistības ir konkrētas un pārbaudāmas. AES-256-GCM glabāšanas laikā. Katra lietotāja DEK, ko ietin KMS galvenā atslēga. 24 stundu dzēšana, ieskaitot vektoru iegultnes. Nekāda menstruālā satura paziņojumos. GDPR 9. panta nepārprotama piekrišana. Soulwise privātuma lapā katra no tām ir uzskaitīta līdz ar attiecīgo specifikācijas atsauci.

Kāpēc tas ir svarīgi ne tikai sliktākajā gadījumā

Pēc Dobsa lietas radītais konteksts mudina cilvēkus domāt par cikla lietotņu privātumu tikai galējās situācijās. Tie paši kritēriji ir nozīmīgi arī daudz ikdienišķākos gadījumos: tālrunis, ko izmanto kopā ar istabas biedru, vardarbīgs partneris, kas aizņemas ierīci, ziņkārīgs darba devējs, kas pamana paziņojumu, vai rezerves kopija, kas nonāk ģimenes iCloud kontā.

Spēcīga privātuma aizsardzība pēc noklusējuma nav domāta tikai sliktākajam gadījumam. Tā ir domāta katrai dienai.

Īsāk sakot: pareizā lietotne ir tā, kuras privātuma saistības ir konkrētas, pārbaudāmas un izteiktas saprotamā valodā. Pajautā jebkurai lietotnei par septiņiem iepriekš minētajiem kritērijiem. Ja izstrādātājs nespēj atbildēt skaidri, tā arī ir atbilde. Lai redzētu salīdzinājumu ar populārāko esošo lietotni, skati Flo alternatīvas privātumam pirmajā vietā rokasgrāmatu; savukārt par iekļaujošiem noklusējuma iestatījumiem, kas izriet no tiem pašiem principiem, skati Cikla sekošanas lietotni nebinārajiem lietotājiem.

Biežāk uzdotie jautājumi

Vai šis raksts ir juridiska konsultācija?

Nē. Šie ir produkta kritēriji patērētāju lietotņu izvērtēšanai. Ja tev ir konkrēti juridiski jautājumi par cikla datiem, vērsies pie advokāta, kam ir licence tavā jurisdikcijā. Nekas šajā rakstā neapraksta, kas ir vai nav aizsargāts no kāda konkrēta tiesvedības procesa.

Kāpēc privātuma izpratne mainījās pēc Dobbs lēmuma?

2022 Dobbs lēmums atdeva abortu regulējumu atpakaļ atsevišķu ASV štatu ziņā, no kuriem vairāki tagad noteiktos apstākļos abortu ierobežo vai kriminalizē. Tas mainīja to, kā cilvēki domā par jebkādām digitālajām menstruāciju vai grūtniecības datu pēdām, un daudziem lietotājiem pirmo reizi padarīja cikla sekotāja privātumu par apzinātu pirkuma kritēriju.

Kas ir "aploksnes šifrēšana" un kāpēc tā ir svarīga?

Aploksnes šifrēšana ietin katra lietotāja datu šifrēšanas atslēgu (DEK) galvenajā atslēgā, ko glabā atslēgu pārvaldības pakalpojums. Lietotāja dati diskā ir šifrēti ar viņu DEK; servera ielaušanās atklāj šifrētu tekstu, nevis lasāmus cikla datus. DEK iznīcināšana dzēšanas brīdī padara šifrēto tekstu neatgriezeniski nelasāmu.

Vai tikai lokālie sekotāji ir drošāki nekā šifrēti mākoņa sekotāji?

Atšķirīgi kompromisi. Tikai lokālie sekotāji (Drip, Euki) glabā datus tavā ierīcē, kas ierobežo to nonākšanu mākonī, taču nepasargā pašu ierīci. Šifrēti mākoņa sekotāji (Soulwise) nodrošina sinhronizāciju un mākslīgā intelekta funkcijas, taču par cenu uzticēties izstrādātāja šifrēšanas un dzēšanas praksei. Neviens nav universāli "drošāks" — jautājums ir par to, kurš drauds tevi satrauc visvairāk.