Aplikacja do śledzenia cyklu z naciskiem na prywatność po wyroku Roe

Przed 2022, większość użytkowniczek w USA nie czytała polityk prywatności aplikacji do śledzenia cyklu. Po orzeczeniu w sprawie Dobbs wiele z nich to zrobiło — często po raz pierwszy. Pytanie przestało być abstrakcyjne: co ta aplikacja właściwie przechowuje i co może się stać z tymi danymi?

To poradnik produktowy, a nie porada prawna. Wymienia, na co zwrócić uwagę, gdy sprawdzasz dowolną aplikację do śledzenia cyklu. Nie opisuje, co jest, a co nie jest chronione przed konkretnym postępowaniem prawnym. Jeśli masz wątpliwości natury prawnej, porozmawiaj z prawnikiem uprawnionym do praktyki tam, gdzie mieszkasz.

Mając to na uwadze, oto co warto sprawdzić.

Co zmieniło się w narracji, a nie w matematyce

Praktyki kryptograficzne i programistyczne opisane poniżej istnieją od lat. Po wyroku Dobbs zmieniła się ich widoczność. To, co kiedyś było szczegółem ukrytym w specyfikacji, dziś staje się deklaracją widoczną na pierwszym planie aplikacji. Aplikacje, które traktują prywatność poważnie, mówią o tym otwarcie; te, które nie traktują, często milczą.

Siedem kryteriów z tego przewodnika to właśnie to, co aplikacja stawiająca prywatność na pierwszym miejscu powinna umieć powiedzieć wprost.

Siedem kryteriów, które warto sprawdzić

Praktyczna lista kontrolna, zanim zainstalujesz jakąkolwiek aplikację do śledzenia cyklu. Najbardziej rygorystyczne aplikacje spełniają wszystkie siedem.

• Szyfrowanie kopertowe AES-256-GCM. Każdy użytkownik ma unikalny klucz szyfrowania danych (DEK) opakowany kluczem głównym w usłudze zarządzania kluczami. Dane na dysku to szyfrogram; włamanie na serwer ujawnia szyfrogram, a nie czytelne dane o cyklu.
• Prawo do usunięcia niszczy klucz. Gdy usuwasz konto, dostawca niszczy klucz DEK, a nie tylko wiersz w bazie danych. Bez klucza leżący u podstaw szyfrogram jest trwale nieczytelny, również w każdej kopii zapasowej, która go zawierała.
• Okno usunięcia 24 godzin. Dostawca zobowiązuje się na piśmie do zakończenia usuwania w ciągu 24 godzin od żądania, włącznie z osadzeniami wektorowymi używanymi przez funkcje AI.
• Brak twierdzeń medycznych. Żadnych prognoz planowania rodziny, żadnych twierdzeń klinicznych jakiegokolwiek rodzaju, żadnych komunikatów o „czerwonym dniu". Konsumencki tracker, który trzyma się z dala od ujęcia medycznego, ma znacznie węższy zakres regulacyjny i obowiązków informacyjnych.
• Brak treści menstruacyjnych w powiadomieniach push. Tytuły i treści powiadomień push nigdy nie zawierają informacji o cyklu, okresie ani planowaniu rodziny. Podgląd na ekranie blokady jest bezpieczny.
• Treść świadoma jurysdykcji. Użytkownicy w USA domyślnie widzą neutralną terminologię („dzień ciała", „zapisz to"); aplikacja nie zakłada, że użytkownik chce, by wyświetlało się słowo „okres".
• Wyraźna, osobno zbierana zgoda. Artykuł 9 RODO robi to od lat; po wyroku Dobbs użytkownicy w USA zaczęli prosić o to samo. Zgoda łączona lub dorozumiana to za mało.

Dlaczego szczegóły szyfrowania naprawdę mają znaczenie

Część powyższych kryteriów brzmi technicznie. Mają znaczenie, bo zmieniają to, co da się odzyskać.

Jeśli dostawca przechowuje dane o cyklu w postaci jawnej, odczytać je może każda kopia zapasowa, każda replika i każdy proces analityczny. Żądanie usunięcia może skasować dany wiersz, ale dane mogą przetrwać w kopiach zapasowych przez miesiące lub lata.

Jeśli dostawca stosuje szyfrowanie kopertowe z kluczami przypisanymi do użytkownika, dane na dysku są nieczytelne bez klucza DEK danego użytkownika. Gdy klucz DEK zostaje zniszczony podczas usuwania, szyfrogram pozostający w kopiach zapasowych również staje się nieczytelny, nawet jeśli kopię zapasową się przywróci. Usunięcie jest matematycznie realne, a nie tylko widoczne w interfejsie.

To nie znaczy „nie do złamania". Kryptografia ma swoje granice, a każdy dostawca, który twierdzi, że zapewnia absolutne bezpieczeństwo, albo się myli, albo kłamie. Silne szyfrowanie połączone z właściwym zarządzaniem kluczami robi jedno: wyznacza jasny scenariusz awarii — dane są nieczytelne, dopóki klucze są chronione, i nieczytelne na zawsze, gdy klucze zostaną zniszczone.

Co naprawdę oznacza „brak treści menstruacyjnych w powiadomieniach push"

Podgląd na ekranie blokady to cicha powierzchnia ujawniania danych. Aplikacje, które wysyłają „Twój okres zaczyna się jutro" jako treść powiadomienia push, ujawniają dane o cyklu każdemu, kto zerknie na telefon.

Poważna aplikacja do śledzenia wymusza brak treści menstruacyjnych w powiadomieniach push już na etapie CI. Pipeline budowania w Soulwise skanuje tytuły i treści powiadomień push pod kątem listy zakazanych terminów; każda kompilacja zawierająca w powiadomieniu push treści menstruacyjne lub dotyczące planowania rodziny zostaje odrzucona, zanim trafi do wydania. Otrzymujesz podpowiedzi do codziennych rytuałów, które brzmią na przykład „Spokojny początek. Co masz dziś na głowie?" — bez fazy cyklu, bez odniesień do okresu, bez medycznego sztafażu.

Tylko lokalnie czy szyfrowana chmura: wybierz swój kompromis

Dwie uzasadnione architektury, różne modele zagrożeń.

Trackery działające tylko lokalnie (Drip, Euki). Dane pozostają na twoim urządzeniu. Nie ma kopii w chmurze, którą można by zająć na podstawie nakazu, ale nie ma też synchronizacji między urządzeniami, a funkcje AI są ograniczone. Kopia zapasowa to twój problem; podobnie kradzież urządzenia i kopie zapasowe systemu operacyjnego (które mogą, ale nie muszą być szyfrowane na poziomie systemu).

Trackery z szyfrowaną chmurą (Soulwise, Clue, inne). Dane synchronizują się między urządzeniami i zasilają funkcje AI. Prywatność zależy od praktyk dostawcy w zakresie szyfrowania i usuwania danych. Model zagrożeń zakłada kompetentnego dostawcę i silne zarządzanie kluczami.

Żadne z tych rozwiązań nie jest powszechnie „bezpieczniejsze". Właściwa odpowiedź zależy od tego, czego się obawiasz. Tylko lokalnie to trudniejszy wybór pod względem wygody użytkowania i prostszy pod względem powierzchni narażenia danych. Szyfrowana chmura jest odwrotnością.

Czego świadomie nie obiecujemy

Oto lista rzeczy, wobec których warto zachować ostrożność w każdym tekście marketingowym:

• „Nie do zhakowania”. Żaden system nie jest niemożliwy do zhakowania. Kto tak twierdzi, próbuje ci coś sprzedać.
• „Twoje dane są bezpieczne przed organami ścigania”. To stwierdzenie prawne, nie techniczne. Stwierdzenie techniczne brzmi: „twoje dane są szyfrowane w spoczynku, a klucz zostaje zniszczony przy usunięciu”. Skutki prawne konkretnej procedury może wyjaśnić wyłącznie prawnik.
• „100% bezpieczeństwa”. Patrz wyżej. Bezpieczeństwo to właściwość modeli zagrożeń, nie wartość absolutna.
• „Gwarantowana prywatność”. Prywatność to praktyka, nie gwarancja.

Zobowiązania Soulwise dotyczące prywatności są konkretne i weryfikowalne. AES-256-GCM w spoczynku. Klucz DEK dla każdego użytkownika opakowany kluczem głównym KMS. Usuwanie w ciągu 24 godzin, łącznie z osadzeniami wektorowymi. Brak treści o menstruacji w powiadomieniach push. Wyraźna zgoda zgodnie z artykułem 9 RODO. Strona prywatności Soulwise wymienia każde z nich wraz z odniesieniem do odpowiedniej specyfikacji.

Dlaczego to ważne nie tylko w najgorszym scenariuszu

Narracja po orzeczeniu Dobbs skłania ludzi do myślenia o prywatności aplikacji do śledzenia cyklu w skrajnych sytuacjach. Te same kryteria mają znaczenie w o wiele częstszych okolicznościach: telefon dzielony ze współlokatorką, przemocowy partner, który pożycza urządzenie, ciekawski pracodawca, który zauważa powiadomienie, kopia zapasowa, która trafia do rodzinnego konta iCloud.

Mocna, domyślna ochrona prywatności nie jest tylko na najgorszy scenariusz. Jest na co dzień.

Krócej: właściwa aplikacja to taka, której zobowiązania dotyczące prywatności są konkretne, możliwe do zweryfikowania i sformułowane prostym językiem. Zapytaj dowolną aplikację o siedem powyższych kryteriów. Jeśli dostawca nie potrafi odpowiedzieć jasno, to też jest odpowiedź. Porównanie z najpopularniejszym graczem na rynku znajdziesz w przewodniku po alternatywie dla Flo stawiającej na prywatność; a o włączających ustawieniach domyślnych wynikających z tych samych zasad przeczytasz w aplikacji do śledzenia cyklu dla osób niebinarnych.