Приложение для отслеживания цикла с приоритетом конфиденциальности

До 2022 года большинство американских пользователей не читали политику конфиденциальности приложений для отслеживания цикла. После решения Доббса многие сделали это, часто впервые. Вопрос перестал быть абстрактным: что на самом деле хранит это приложение и что может произойти с этими данными?

Это руководство по продукту, а не юридическая консультация. В нём перечислено, что проверять при изучении любого трекера цикла. Оно не описывает, что защищено или не защищено каким-либо конкретным правовым процессом. Если у вас есть юридические опасения, поговорите с адвокатом по месту жительства.

Опираясь на этот контекст, вот что стоит проверить.

Что изменилось в риторике, а не в математике

Криптографические и программные практики, описанные ниже, существуют уже много лет. После решения Доббса изменилась их заметность. Практики, которые раньше были скрытыми техническими деталями, теперь стали публично декларируемыми обязательствами. Приложения, серьёзно относящиеся к конфиденциальности, говорят об этом открыто; те, что не относятся, — часто молчат.

Семь критериев в этом руководстве — то, что приложение с приоритетом конфиденциальности должно быть готово заявить понятным языком.

Семь критериев для проверки

Практический чек-лист перед установкой любого трекера цикла. Самые строгие приложения соответствуют всем семи.

• Конвертное шифрование AES-256-GCM. У каждого пользователя есть уникальный ключ шифрования данных (DEK), обёрнутый мастер-ключом в сервисе управления ключами. Данные на диске — это шифротекст; взлом сервера раскрывает шифротекст, а не читаемые данные цикла.
• Право на удаление уничтожает ключ. При удалении аккаунта провайдер уничтожает DEK, а не только запись в базе данных. С уничтоженным ключом лежащий в основе шифротекст навсегда становится нечитаемым, включая любую резервную копию, которая его содержала.
• Окно удаления — 24 часа. Провайдер письменно обязуется завершить удаление в течение 24 часов с момента запроса, включая векторные эмбеддинги, используемые функциями ИИ.
• Никаких медицинских заявлений. Никаких прогнозов планирования семьи, никаких клинических утверждений, никакого текста "КРАСНЫЙ день". Потребительский трекер, который избегает медицинской лексики, имеет значительно меньшую регуляторную и информационную поверхность.
• Никакого менструального контента в push-уведомлениях. Заголовки и тексты уведомлений никогда не содержат контента о цикле, менструации или планировании семьи. Предварительный просмотр на экране блокировки безопасен.
• Тексты, адаптированные к юрисдикции. Американские пользователи видят нейтральную терминологию по умолчанию ("день тела", "записать это"); приложение не предполагает, что пользователь хочет видеть слово "менструация".
• Явное, отдельно полученное согласие. Статья 9 GDPR требует этого уже много лет; после решения Доббса американские пользователи начали требовать того же. Совокупного или подразумеваемого согласия недостаточно.

Почему детали шифрования действительно важны

Некоторые из приведённых критериев звучат технически. Они важны, потому что определяют, что можно восстановить.

Если провайдер хранит данные цикла в открытом тексте, каждая резервная копия, каждая реплика и каждый аналитический конвейер могут их прочитать. Запрос на удаление может удалить запись, но данные могут жить в резервных копиях месяцами или годами.

Если провайдер использует конвертное шифрование с индивидуальными ключами, данные на диске нечитаемы без DEK пользователя. Когда DEK уничтожается при удалении, шифротекст, оставшийся в резервных копиях, также становится нечитаемым, даже если резервная копия будет восстановлена. Удаление математически реально, а не просто видимо в интерфейсе.

Это не означает "невзламываемо". Криптография имеет ограничения, и любой провайдер, утверждающий абсолютную безопасность, либо введён в заблуждение, либо лжёт. Что делает надёжное шифрование с правильным управлением ключами — это устанавливает чёткий режим отказа: данные нечитаемы, пока ключи защищены, и нечитаемы навсегда, как только ключи уничтожены.

Что на самом деле означает "никакого менструального контента в push"

Предварительный просмотр на экране блокировки — это тихая поверхность раскрытия информации. Приложения, отправляющие "Ваша менструация начнётся завтра" в качестве текста push-уведомления, раскрыли данные цикла всем, кто бросит взгляд на телефон.

Серьёзный трекер обеспечивает отсутствие менструального контента в push-уведомлениях на уровне непрерывной интеграции. Сборочный конвейер Soulwise проверяет заголовки и тексты push-уведомлений по списку запрещённых терминов; любая сборка с менструальным контентом или контентом о планировании семьи в уведомлении завершается неудачей до выпуска. Пользователь получает ежедневные ритуальные подсказки, вроде "Мягкое начало. Что сегодня в планах?" — без фазы цикла, без упоминания менструации, без медицинского контекста.

Только локально или зашифрованное облако: выберите свой компромисс

Две легитимные архитектуры с разными моделями угроз.

Только локальные трекеры (Drip, Euki). Данные хранятся на вашем устройстве. Нет облачной копии для изъятия, но и нет синхронизации между устройствами и ограниченные функции ИИ. Резервное копирование — ваша забота; кража устройства и резервные копии операционной системы (которые могут или не могут быть зашифрованы на уровне ОС) тоже.

Зашифрованные облачные трекеры (Soulwise, Clue и другие). Данные синхронизируются между устройствами и питают функции ИИ. Конфиденциальность зависит от практик шифрования и удаления данных провайдера. Модель угроз предполагает компетентного провайдера и надёжную систему управления ключами.

Ни один не является универсально "более безопасным". Правильный ответ зависит от того, что вас беспокоит. Только локально — более сложный выбор с точки зрения пользовательского опыта и более простой с точки зрения поверхности данных. Зашифрованное облако — наоборот.

Что мы намеренно не обещаем

Вот список утверждений, которым следует не доверять в любом маркетинговом тексте:

• "Невзламываемо." Ни одна система не является невзламываемой. Тот, кто это утверждает, что-то вам продаёт.
• "Ваши данные в безопасности от правоохранительных органов." Это юридическое утверждение, а не техническое. Техническое утверждение — "ваши данные зашифрованы в состоянии покоя, и ключ уничтожается при удалении". Правовые последствия любого конкретного процесса может адресовать только адвокат.
• "100% безопасно." См. выше. Безопасность — это свойство модели угроз, а не абсолют.
• "Конфиденциальность гарантирована." Конфиденциальность — это практика, а не гарантия.

Обязательства Soulwise по конфиденциальности конкретны и проверяемы. AES-256-GCM в состоянии покоя. Индивидуальный DEK, обёрнутый мастер-ключом KMS. Удаление в течение 24 часов, включая векторные эмбеддинги. Никакого менструального контента в push. Явное согласие по Статье 9 GDPR. На странице конфиденциальности Soulwise перечислены все обязательства с соответствующими ссылками на технические спецификации.

Почему это важно за пределами наихудшего сценария

Контекст после решения Доббса побуждает людей думать о конфиденциальности трекеров цикла в экстремальных сценариях. Те же критерии важны в гораздо более распространённых ситуациях: телефон, которым делятся с соседом по комнате, жёсткий партнёр, использующий устройство, любопытный работодатель, видящий уведомление, резервная копия, попавшая в семейный аккаунт iCloud.

Надёжная конфиденциальность по умолчанию нужна не только для наихудшего случая. Она нужна каждый день.

Короткая версия: правильный трекер — тот, чьи обязательства по конфиденциальности конкретны, проверяемы и изложены понятным языком. Задайте любому приложению семь вопросов по критериям выше. Если провайдер не может ответить чётко — это уже ответ.