Personvern først: menstruasjonskalender etter Roe

Før 2022, leste de fleste amerikanske brukere ikke personvernreglene til menstruasjonsapper. Etter Dobbs-avgjørelsen gjorde mange det, ofte for første gang. Spørsmålet var ikke lenger abstrakt: hva lagrer denne appen egentlig, og hva kan skje med dataene?

Dette er en produktguide, ikke juridisk rådgivning. Den lister opp hva du bør se etter når du gjennomgår en menstruasjonskalender. Den beskriver ikke hva som er eller ikke er beskyttet mot en bestemt rettslig prosess. Har du juridiske bekymringer, snakk med en advokat med lisens der du bor.

Med den rammen på plass, her er hva du bør sjekke.

Kort fortalt

• Etter 2022-avgjørelsen i Dobbs-saken begynte amerikanske brukere for første gang å lese personvernerklæringene til sykluskalendere.
• Denne veiledningen lister opp syv produktkriterier for å vurdere enhver menstruasjonskalender: AES-256-GCM-konvoluttkryptering med nøkler per bruker, rett til sletting som tilintetgjør krypteringsnøkkelen innen 24 timer, ingen påstander om medisin eller familieplanlegging, ikke noe menstruasjonsinnhold i push-varsler, jurisdiksjonstilpasset tekst (amerikanske brukere ser «kroppsdag» i stedet for «menstruasjon»), et alternativ for anonym modus, og uttrykkelig samtykke etter GDPR artikkel 9.
• Artikkelen er tydelig på at dette er produktkriterier, ikke juridisk rådgivning – den beskriver ikke hva som er eller ikke er beskyttet mot en bestemt juridisk prosess.

Det som endret seg i innramming, ikke i matematikk

De kryptografiske og programvaremessige praksisene nedenfor har eksistert i årevis. Det som endret seg etter Dobbs, er synligheten. Praksiser som før var detaljer bakerst i spesifikasjonen, er nå løfter fremst i appen. Apper som tar personvern på alvor, snakker åpent om dem; apper som ikke gjør det, vil ofte la være.

De sju kriteriene i denne veiledningen er det en personvernvennlig tracker bør være villig til å si rett ut.

Sju kriterier verdt å sjekke

En praktisk sjekkliste før du installerer en hvilken som helst syklusapp. De strengeste appene oppfyller alle sju.

• AES-256-GCM konvoluttkryptering. Hver bruker har en unik datakrypteringsnøkkel (DEK) som er pakket inn av en hovednøkkel i en nøkkeladministrasjonstjeneste. Data på disk er kryptert tekst; et serverinnbrudd avslører kryptert tekst, ikke lesbare syklusdata.
• Retten til sletting ødelegger nøkkelen. Når du sletter kontoen din, ødelegger leverandøren DEK-en, ikke bare databaseraden. Når nøkkelen er borte, er den underliggende krypterte teksten permanent uleselig, også i en hvilken som helst sikkerhetskopi som inneholdt den.
• Slettevindu på 24 timer. Leverandøren forplikter seg skriftlig til å fullføre sletting innen 24 timer etter forespørselen, inkludert vektorinnbygginger som brukes av KI-funksjoner.
• Ingen medisinske påstander. Ingen prognoser for familieplanlegging, ingen kliniske påstander av noe slag, ingen «RØD dag»-tekst. En forbrukerapp som holder seg utenfor medisinsk innramming, har en langt smalere reguleringsmessig flate og opplysningsflate.
• Ingen menstruasjonsinnhold i push-varsler. Push-titler og -tekster inneholder aldri innhold om syklus, menstruasjon eller familieplanlegging. Forhåndsvisningen på låseskjermen er trygg.
• Tekst som er tilpasset jurisdiksjon. Amerikanske brukere ser nøytral terminologi («kroppsdag», «logg dette») som standard; appen tar ikke for gitt at brukeren vil ha ordet «menstruasjon» vist.
• Eksplisitt samtykke, innhentet separat. GDPR artikkel 9 har gjort dette i årevis; etter Dobbs begynte amerikanske brukere å be om det samme. Samlet eller implisitt samtykke er ikke nok.

Hvorfor krypteringsdetaljene faktisk betyr noe

Noen av kriteriene ovenfor høres tekniske ut. De betyr noe fordi de endrer hva som kan gjenopprettes.

Hvis en leverandør lagrer syklusdata i klartekst, kan hver sikkerhetskopi, hver replika og hver analyseflyt lese dem. En sletteforespørsel kan slette raden, men dataene kan leve videre i sikkerhetskopier i måneder eller år.

Hvis leverandøren bruker konvoluttkryptering med nøkler per bruker, er dataene på disken uleselige uten brukerens DEK. Når DEK-en ødelegges ved sletting, blir også den gjenværende krypteringsteksten i sikkerhetskopiene uleselig, selv om en sikkerhetskopi gjenopprettes. Slettingen er matematisk reell, ikke bare synlig i grensesnittet.

Dette er ikke «umulig å hacke». Kryptografi har sine begrensninger, og enhver leverandør som hevder absolutt sikkerhet, er enten feilinformert eller lyver. Det sterk kryptering med god nøkkelhåndtering gjør, er å sette en tydelig feilmodus: dataene er uleselige så lenge nøklene er beskyttet, og uleselige for alltid når nøklene først er ødelagt.

Hva «ingen menstruasjonsinnhold i push» faktisk betyr

Forhåndsvisningen på låseskjermen er en stille kilde til avsløring. Apper som sender «Mensen din starter i morgen» som en push-melding, har avslørt syklusdata til hvem som helst som kaster et blikk på telefonen.

En seriøs sporingsapp håndhever fraværet av menstruasjonsinnhold i push-varsler i CI. Soulwises byggepipeline skanner tittel- og brødtekststrenger i push mot en liste over forbudte termer; enhver bygging som inneholder menstruasjons- eller familieplanleggingsinnhold i en push, feiler før den sendes ut. Brukeren får påminnelser om daglige ritualer som sier ting som «Myk start. Hva står på programmet ditt i dag?» – ingen syklusfase, ingen referanse til mensen, ingen medisinsk innramming.

Kun lokalt vs. kryptert sky: velg ditt kompromiss

To legitime arkitekturer, ulike trusselmodeller.

Trackere som kun lagrer lokalt (Drip, Euki). Dataene ligger på enheten din. Det finnes ingen kopi i skyen som kan innhentes ved rettslig pålegg, men heller ingen synkronisering mellom enheter og begrensede AI-funksjoner. Sikkerhetskopiering er ditt ansvar, det samme er tyveri av enheten og operativsystemets sikkerhetskopier (som kan være, men ikke nødvendigvis er, kryptert på OS-nivå).

Trackere med kryptert sky (Soulwise, Clue, med flere). Dataene synkroniseres mellom enheter og driver AI-funksjoner. Personvernet avhenger av leverandørens kryptering og rutiner for sletting. Trusselmodellen forutsetter en kompetent leverandør og en solid håndtering av nøkler.

Ingen av delene er universelt «tryggere». Det riktige svaret avhenger av hva du er bekymret for. Kun lokalt er det vanskeligste valget når det gjelder brukeropplevelse, og det enkleste når det gjelder dataeksponering. Kryptert sky er det motsatte.

Hva vi bevisst ikke lover

Dette er en liste over ting du bør være skeptisk til i all markedsføring:

• «Umulig å hacke.» Ingen systemer er umulige å hacke. Alle som hevder dette, prøver å selge deg noe.
• «Dataene dine er trygge mot politiet.» Dette er en juridisk påstand, ikke en teknisk. Den tekniske påstanden er «dataene dine er kryptert i hvile, og nøkkelen ødelegges ved sletting.» De juridiske konsekvensene av en bestemt prosess er noe bare en advokat kan svare på.
• «100% sikker.» Se ovenfor. Sikkerhet er en egenskap ved trusselmodeller, ikke en absolutt størrelse.
• «Garantert personvern.» Personvern er en praksis, ikke en garanti.

Soulwise sine personvernforpliktelser er konkrete og etterprøvbare. AES-256-GCM i hvile. Per-bruker-DEK pakket inn av KMS-hovednøkkel. 24-timers sletting inkludert vektorembeddinger. Ikke noe menstruasjonsinnhold i push. Uttrykkelig samtykke etter GDPR-artikkel 9. Personvernsiden til Soulwise lister opp hver enkelt med referanse til den underliggende spesifikasjonen.

Hvorfor dette betyr noe utover det verste tilfellet

Innrammingen etter Dobbs får folk til å tenke på personvern i sykkelsporing i ekstreme scenarioer. De samme kriteriene betyr noe i langt mer vanlige situasjoner: en telefon som deles med en romkamerat, en voldelig partner som låner enheten, en nysgjerrig arbeidsgiver som ser et varsel, en sikkerhetskopi som havner i en families iCloud-konto.

Sterkt personvern som standard er ikke bare for det verste tilfellet. Det er for hverdagen.

Den korte versjonen: den rette sporeren er den hvis personvernløfter er konkrete, etterprøvbare og formulert i klart språk. Spør enhver app om de sju kriteriene over. Hvis en leverandør ikke kan svare presist, er det svaret. For en sammenligning med den mest populære etablerte aktøren, se veiledningen til personvernfokusert Flo-alternativ; for de inkluderende standardvalgene som følger av de samme prinsippene, se Sykkelsporer for ikke-binære brukere.

Vanlige spørsmål

Er denne artikkelen juridisk rådgivning?

Nei. Dette er produktkriterier for å vurdere forbrukerapper. Hvis du har konkrete juridiske bekymringer om syklusdata, bør du rådføre deg med en advokat med autorisasjon i din jurisdiksjon. Ingenting i denne artikkelen beskriver hva som er eller ikke er beskyttet mot en bestemt juridisk prosess.

Hvorfor endret synet på personvern seg etter Dobbs?

2022 Dobbs-avgjørelsen flyttet reguleringen av abort tilbake til de enkelte amerikanske delstatene, og flere av dem begrenser eller kriminaliserer nå abort under visse omstendigheter. Det endret hvordan folk tenker om ethvert digitalt spor av menstruasjons- eller graviditetsdata, og gjorde for første gang personvern i syklus-apper til et bevisst kjøpskriterium for mange brukere.

Hva er «konvoluttkryptering», og hvorfor er det viktig?

Konvoluttkryptering pakker hver brukers datakrypteringsnøkkel (DEK) inn i en hovednøkkel som oppbevares av en nøkkelhåndteringstjeneste. Brukerens data på disken er kryptert med deres DEK; et serverinnbrudd avslører kryptert tekst, ikke lesbare syklusdata. Når DEK-en ødelegges ved sletting, blir den krypterte teksten permanent uleselig.

Er apper som lagrer kun lokalt tryggere enn krypterte sky-apper?

Ulike avveininger. Apper som lagrer kun lokalt (Drip, Euki), beholder data på enheten din, noe som begrenser eksponering mot skyen, men ikke beskytter selve enheten. Krypterte sky-apper (Soulwise) gir synkronisering og AI-funksjoner, men krever at du stoler på leverandørens kryptering og slettingsrutiner. Ingen av dem er universelt «tryggere» – spørsmålet er hvilken trussel du er mest bekymret for.