Súkromie na prvom mieste: sledovanie menštruácie po Roe

Pred rokom 2022, si väčšina používateliek v USA zásady ochrany súkromia aplikácií na sledovanie cyklu nečítala. Po rozhodnutí Dobbs to mnohé urobili, často po prvý raz. Otázka už nebola abstraktná: čo táto aplikácia vlastne ukladá a čo sa s týmito údajmi môže stať?

Toto je sprievodca produktom, nie právne poradenstvo. Uvádza, čo si všímať, keď si preveruješ ktorúkoľvek aplikáciu na sledovanie menštruácie. Nepopisuje, čo je alebo nie je chránené pred konkrétnym právnym procesom. Ak máš právne otázky, poraď sa s advokátom s licenciou v mieste, kde žiješ.

A keď je toto rámcovanie jasné, tu je to, čo si overiť.

V skratke

• Po rozhodnutí Dobbs z roku 2022 začali používatelia v USA prvýkrát čítať zásady ochrany súkromia aplikácií na sledovanie cyklu.
• Táto príručka uvádza sedem produktových kritérií na hodnotenie ľubovoľnej aplikácie na sledovanie menštruácie: obálkové šifrovanie AES-256-GCM s kľúčmi pre jednotlivých používateľov, právo na vymazanie, ktoré zničí šifrovací kľúč do 24 hodín, žiadne zdravotnícke ani plánovacie tvrdenia, žiadny menštruačný obsah v push notifikáciách, texty zohľadňujúce jurisdikciu (používatelia v USA vidia „telesný deň" namiesto „menštruácie"), možnosť anonymného režimu a výslovný súhlas podľa článku 9 GDPR.
• Článok jasne uvádza, že ide o produktové kritériá, nie o právne poradenstvo – neopisuje, čo je alebo nie je chránené pred akýmkoľvek konkrétnym právnym konaním.

Čo sa zmenilo v podaní, nie v matematike

Kryptografické a softvérové postupy uvedené nižšie existujú už roky. Po prípade Dobbs sa zmenila viditeľnosť. Postupy, ktoré kedysi boli skryté v detailoch špecifikácie, sú dnes záväzkami v popredí aplikácie. Aplikácie, ktoré berú súkromie vážne, o nich hovoria otvorene; tie, ktoré ho neberú, často mlčia.

Sedem kritérií v tejto príručke je to, čo by mal sledovač zameraný na súkromie byť ochotný povedať na rovinu.

Sedem kritérií, ktoré sa oplatí preveriť

Praktický zoznam na kontrolu predtým, než si nainštaluješ akýkoľvek sledovač cyklu. Najprísnejšie aplikácie splnia všetkých sedem.

• Obálkové šifrovanie AES-256-GCM. Každý používateľ má jedinečný šifrovací kľúč k dátam (DEK), ktorý je zabalený hlavným kľúčom v službe na správu kľúčov. Dáta na disku sú šifrovaný text; pri prelomení servera sa odhalí šifrovaný text, nie čitateľné údaje o cykle.
• Právo na vymazanie zničí kľúč. Keď si zmažeš účet, poskytovateľ zničí DEK, nielen riadok v databáze. Bez kľúča je príslušný šifrovaný text natrvalo nečitateľný, vrátane akejkoľvek zálohy, ktorá ho obsahovala.
• Okno na vymazanie do 24 hodín. Poskytovateľ sa písomne zaväzuje dokončiť vymazanie do 24 hodín od žiadosti, vrátane vektorových reprezentácií používaných funkciami AI.
• Žiadne medicínske tvrdenia. Žiadne predpovede plánovania rodičovstva, žiadne klinické tvrdenia akéhokoľvek druhu, žiadne texty o „ČERVENÝCH dňoch“. Spotrebiteľský sledovač, ktorý sa drží mimo medicínskeho rámca, má oveľa užšiu regulačnú a informačnú plochu.
• Žiadny menštruačný obsah v push notifikáciách. Nadpisy ani telá push správ nikdy neobsahujú obsah o cykle, menštruácii ani plánovaní rodičovstva. Náhľad na uzamknutej obrazovke je bezpečný.
• Texty zohľadňujúce jurisdikciu. Používatelia v USA štandardne vidia neutrálnu terminológiu („telesný deň“, „zaznamenať toto“); aplikácia nepredpokladá, že používateľ chce mať zobrazené slovo „menštruácia“.
• Výslovný, samostatne zaznamenaný súhlas. Článok 9 GDPR to robí už roky; po prípade Dobbs si o to isté začali žiadať aj používatelia v USA. Združený alebo implicitný súhlas nestačí.

Prečo na detailoch šifrovania naozaj záleží

Niektoré z vyššie uvedených kritérií znejú technicky. Záleží na nich preto, lebo menia to, čo sa dá obnoviť.

Ak poskytovateľ ukladá údaje o cykle v čitateľnej podobe, dokáže ich prečítať každá záloha, každá replika aj každý analytický kanál. Žiadosť o vymazanie môže odstrániť riadok, ale údaje môžu prežívať v zálohách celé mesiace či roky.

Ak poskytovateľ používa obálkové šifrovanie s kľúčmi pre jednotlivých používateľov, údaje na disku sú nečitateľné bez používateľovho DEK. Keď sa DEK počas mazania zničí, šifrovaný text, ktorý zostane v zálohách, je tiež nečitateľný — aj keby sa záloha obnovila. Vymazanie je matematicky skutočné, nielen viditeľné v rozhraní.

Nie je to „nehacknuteľné“. Kryptografia má svoje hranice a každý poskytovateľ, ktorý sľubuje absolútnu bezpečnosť, je buď zle informovaný, alebo klame. Silné šifrovanie so správnou správou kľúčov robí toto: nastaví jasný režim zlyhania — údaje sú nečitateľné, kým sú kľúče chránené, a nečitateľné navždy, keď sa kľúče zničia.

Čo v skutočnosti znamená „žiadny menštruačný obsah v push notifikáciách“

Náhľad na uzamknutej obrazovke je nenápadná plocha, ktorá môže prezradiť údaje. Aplikácie, ktoré pošlú „Tvoja menštruácia začne zajtra“ ako telo push notifikácie, vyzradili údaje o cykle komukoľvek, kto sa na telefón pozrie.

Seriózny tracker v CI vynucuje neprítomnosť menštruačného obsahu v push notifikáciách. Build pipeline aplikácie Soulwise kontroluje texty titulku a tela push notifikácie oproti zoznamu zakázaných výrazov; každý build, ktorý obsahuje menštruačný obsah alebo obsah o plánovaní rodičovstva v push notifikácii, zlyhá ešte pred nasadením. Používateľ dostáva podnety k dennému rituálu, ktoré znejú napríklad „Jemný štart. Čo máš dnes na pláne?“ – žiadna fáza cyklu, žiadna zmienka o menštruácii, žiadne medicínske rámcovanie.

Len lokálne verzus šifrovaný cloud: vyber si svoj kompromis

Dve legitímne architektúry, odlišné modely hrozieb.

Trackery len pre lokálne ukladanie (Drip, Euki). Dáta žijú na tvojom zariadení. Neexistuje žiadna kópia v cloude, ktorú by bolo možné predvolať, no zároveň ani synchronizácia medzi zariadeniami a funkcie AI sú obmedzené. Zálohovanie je tvoja starosť; rovnako ako krádež zariadenia a zálohy operačného systému (ktoré môžu, ale nemusia byť šifrované na úrovni OS).

Trackery so šifrovaným cloudom (Soulwise, Clue a ďalšie). Dáta sa synchronizujú medzi zariadeniami a poháňajú funkcie AI. Súkromie závisí od šifrovania a postupov vymazávania u poskytovateľa. Model hrozieb predpokladá kompetentného poskytovateľa a silnú správu kľúčov.

Ani jedno nie je univerzálne „bezpečnejšie“. Správna odpoveď závisí od toho, čoho sa obávaš. Len lokálne ukladanie je náročnejšia voľba z pohľadu používateľského zážitku a jednoduchšia voľba z pohľadu plochy vystavených dát. So šifrovaným cloudom je to naopak.

Čo zámerne nesľubujeme

Toto je zoznam vecí, na ktoré by si mal byť opatrný v akomkoľvek marketingovom texte:

• „Neprelomiteľné." Žiadny systém nie je neprelomiteľný. Ktokoľvek to tvrdí, niečo ti predáva.
• „Tvoje dáta sú v bezpečí pred orgánmi činnými v trestnom konaní." Toto je právne tvrdenie, nie technické. Technické tvrdenie znie: „tvoje dáta sú šifrované v pokoji a kľúč sa pri vymazaní zničí." Právne dôsledky akéhokoľvek konkrétneho postupu vie posúdiť len advokát.
• „100% bezpečné." Pozri vyššie. Bezpečnosť je vlastnosť modelov hrozieb, nie absolútna hodnota.
• „Garantované súkromie." Súkromie je prax, nie záruka.

Záväzky Soulwise v oblasti súkromia sú konkrétne a overiteľné. AES-256-GCM v pokoji. DEK pre každého používateľa zabalený hlavným kľúčom KMS. Vymazanie do 24 hodín vrátane vektorových embeddingov. Žiadny obsah o menštruácii v notifikáciách. Výslovný súhlas podľa článku 9 GDPR. Stránka o súkromí Soulwise uvádza každý z nich aj s odkazom na príslušnú špecifikáciu.

Prečo na tom záleží aj mimo najhoršieho scenára

Diskusia po zrušení Roe vs. Wade tlačí ľudí k tomu, aby o súkromí v aplikáciách na sledovanie cyklu uvažovali len v extrémnych situáciách. Tie isté kritériá pritom platia aj v omnoho bežnejších prípadoch: telefón, ktorý zdieľaš so spolubývajúcou, násilnícky partner, ktorý si požičia zariadenie, zvedavý zamestnávateľ, ktorý zazrie notifikáciu, či záloha, ktorá skončí na rodinnom iCloud účte.

Silné prednastavené súkromie nie je len pre najhorší prípad. Je pre každý deň.

Skrátene: tá správna aplikácia je tá, ktorej záväzky o súkromí sú konkrétne, overiteľné a napísané zrozumiteľne. Opýtaj sa ktorejkoľvek aplikácie na sedem kritérií uvedených vyššie. Ak ti predajca nevie odpovedať jasne, je to odpoveď sama o sebe. Priame porovnanie s najpopulárnejším zavedeným hráčom nájdeš v sprievodcovi alternatívami k Flo s dôrazom na súkromie; inkluzívne prednastavenia, ktoré vyplývajú z tých istých princípov, nájdeš v článku Sledovanie cyklu pre nebinárnych používateľov.

Často kladené otázky

Je tento článok právnou radou?

Nie. Ide o produktové kritériá na hodnotenie spotrebiteľských aplikácií. Ak máš konkrétne právne otázky týkajúce sa údajov o cykle, poraď sa s advokátom s licenciou pre tvoju jurisdikciu. Nič v tomto článku nepopisuje, čo je alebo nie je chránené pred akýmkoľvek konkrétnym právnym konaním.

Prečo sa po prípade Dobbs zmenil pohľad na súkromie?

Rozhodnutie 2022 Dobbs prenieslo reguláciu potratov späť na jednotlivé štáty USA, z ktorých niektoré teraz potraty za istých okolností obmedzujú alebo kriminalizujú. To zmenilo spôsob, akým ľudia premýšľajú o akejkoľvek digitálnej stope menštruačných údajov či údajov o tehotenstve, a pre mnohých používateľov sa súkromie pri sledovaní cyklu po prvý raz stalo vedomým nákupným kritériom.

Čo je „obálkové šifrovanie" a prečo na ňom záleží?

Obálkové šifrovanie zabalí šifrovací kľúč údajov každého používateľa (DEK) do hlavného kľúča, ktorý drží služba na správu kľúčov. Údaje používateľa na disku sú zašifrované jeho DEK; pri narušení servera sa odhalí šifrovaný text, nie čitateľné údaje o cykle. Zničenie DEK pri vymazaní spôsobí, že šifrovaný text je natrvalo nečitateľný.

Sú trackery len pre lokálne použitie bezpečnejšie než šifrované cloudové trackery?

Iné kompromisy. Trackery len pre lokálne použitie (Drip, Euki) uchovávajú údaje na tvojom zariadení, čo obmedzuje vystavenie cloudu, no nechráni samotné zariadenie. Šifrované cloudové trackery (Soulwise) umožňujú synchronizáciu a funkcie AI za cenu dôvery v šifrovacie a mazacie postupy dodávateľa. Ani jeden nie je univerzálne „bezpečnejší" – otázkou je, akej hrozby sa obávaš najviac.