Sledilnik menstruacije, ki postavlja zasebnost na prvo mesto, po razveljavitvi sodbe Roe

Pred 2022, večina uporabnic in uporabnikov v ZDA ni brala pravilnikov o zasebnosti pri sledilnikih cikla. Po odločitvi v primeru Dobbs jih je veliko to storilo, pogosto prvič. Vprašanje ni bilo več abstraktno: kaj ta aplikacija pravzaprav shranjuje in kaj bi se lahko zgodilo s temi podatki?

To je vodnik o izdelku, ne pravni nasvet. Navaja, na kaj biti pozoren pri pregledu katerega koli sledilnika menstruacije. Ne opisuje, kaj je ali ni zaščiteno pred določenim pravnim postopkom. Če imaš pravne pomisleke, se posvetuj z odvetnikom, ki ima licenco v kraju, kjer živiš.

Ko je ta okvir postavljen, je tukaj, kaj preveriti.

Kar se je spremenilo v predstavitvi, ne v računici

Spodnji kriptografski in programski postopki obstajajo že leta. Po Dobbsu se je spremenila vidnost. Postopki, ki so bili nekoč skriti v podrobnostih specifikacij, so danes na ospredju aplikacij kot zaveze. Aplikacije, ki zasebnost jemljejo resno, o njih govorijo odprto; tiste, ki je ne, pogosto molčijo.

Sedem meril v tem vodniku je tisto, kar bi morala k zasebnosti naravnana aplikacija za sledenje znati povedati v preprostem jeziku.

Sedem meril, ki jih je vredno preveriti

Praktičen seznam za pregled, preden namestiš katero koli aplikacijo za sledenje ciklu. Najstrožje aplikacije izpolnjujejo vseh sedem.

• Ovojno šifriranje AES-256-GCM. Vsak uporabnik ima edinstven ključ za šifriranje podatkov (DEK), ki ga ovije glavni ključ v storitvi za upravljanje ključev. Podatki na disku so šifrirano besedilo; vdor v strežnik razkrije šifrirano besedilo, ne berljivih podatkov o ciklu.
• Pravica do izbrisa uniči ključ. Ko izbrišeš svoj račun, ponudnik uniči DEK, ne le vrstice v zbirki podatkov. Brez ključa je osnovno šifrirano besedilo trajno neberljivo, vključno z vsako varnostno kopijo, ki ga je vsebovala.
• 24-urno okno za izbris. Ponudnik se pisno zaveže, da bo izbris dokončal v 24 urah od zahteve, vključno z vektorskimi vdelavami, ki jih uporabljajo funkcije z umetno inteligenco.
• Brez medicinskih trditev. Brez napovedi za načrtovanje družine, brez kakršnih koli kliničnih trditev, brez besedila o "RDEČIH dnevih". Potrošniška aplikacija za sledenje, ki se izogiba medicinskemu okviru, ima precej ožjo regulativno in razkrivalno površino.
• Brez vsebine o menstruaciji v potisnih obvestilih. Naslovi in besedila potisnih obvestil nikoli ne vsebujejo vsebine o ciklu, menstruaciji ali načrtovanju družine. Predogled na zaklenjenem zaslonu je varen.
• Besedilo, prilagojeno jurisdikciji. Uporabniki v ZDA privzeto vidijo nevtralno terminologijo ("telesni dan", "zabeleži to"); aplikacija ne predpostavlja, da uporabnik želi prikaz besede "menstruacija".
• Izrecno, ločeno zajeto soglasje. Člen 9 GDPR to počne že leta; po Dobbsu so uporabniki v ZDA začeli zahtevati enako. Združeno ali domnevno soglasje ne zadošča.

Zakaj so podrobnosti o šifriranju res pomembne

Nekaj zgornjih meril zveni tehnično. Pomembna so zato, ker spremenijo, kaj je mogoče obnoviti.

Če ponudnik shranjuje podatke o ciklu v navadnem besedilu, jih lahko prebere vsaka varnostna kopija, vsaka replika in vsak analitični cevovod. Zahteva za izbris lahko izbriše vrstico, a podatki lahko v varnostnih kopijah živijo naprej še mesece ali leta.

Če ponudnik uporablja ovojno šifriranje s ključi za posameznega uporabnika, so podatki na disku neberljivi brez uporabnikovega DEK. Ko se DEK med izbrisom uniči, je tudi šifrirano besedilo, ki ostane v varnostnih kopijah, neberljivo — tudi če se varnostna kopija obnovi. Izbris je matematično resničen, ne le viden v vmesniku.

To ni "nezlomljivo". Kriptografija ima svoje meje in vsak ponudnik, ki trdi, da nudi absolutno varnost, je bodisi napačno obveščen bodisi laže. Močno šifriranje z ustreznim upravljanjem ključev pa določi jasen način odpovedi: podatki so neberljivi, dokler so ključi zaščiteni, in za vedno neberljivi, ko so ključi uničeni.

Kaj v resnici pomeni "v potisnih obvestilih ni vsebine o menstruaciji"

Predogled na zaklenjenem zaslonu je tiha površina za razkrivanje. Aplikacije, ki kot telo potisnega obvestila pošljejo "Tvoja menstruacija se začne jutri", so podatke o ciklu razkrile vsakomur, ki pogleda na telefon.

Resen sledilnik v CI uveljavlja odsotnost vsebine o menstruaciji v potisnih obvestilih. Soulwisova gradbena cevovod preverja nize naslova in telesa potisnega obvestila glede na seznam prepovedanih izrazov; vsaka gradnja, ki vsebuje vsebino o menstruaciji ali načrtovanju družine v potisnem obvestilu, pade, preden gre v objavo. Uporabnik dobi pozive za dnevni obred, ki rečejo nekaj takega kot "Nežen začetek. Kaj imaš danes pred sabo?" – brez faze cikla, brez omembe menstruacije, brez medicinskega uokvirjanja.

Samo lokalno vs. šifrirani oblak: izberi svoj kompromis

Dve legitimni arhitekturi, različna modela groženj.

Sledilniki samo za lokalno uporabo (Drip, Euki). Podatki ostanejo na tvoji napravi. Ni kopije v oblaku, ki bi jo lahko sodno zahtevali, a tudi ni sinhronizacije med napravami in funkcije UI so omejene. Za varnostno kopiranje skrbiš sam; enako velja za krajo naprave in varnostne kopije operacijskega sistema (ki so lahko šifrirane na ravni OS ali pa tudi ne).

Sledilniki s šifriranim oblakom (Soulwise, Clue in drugi). Podatki se sinhronizirajo med napravami in poganjajo funkcije UI. Zasebnost je odvisna od ponudnikovega šifriranja in praks brisanja. Model groženj predpostavlja kompetentnega ponudnika in trdno upravljanje ključev.

Nobeden ni splošno "varnejši". Pravi odgovor je odvisen od tega, kaj te skrbi. Samo lokalno je težja izbira glede uporabniške izkušnje in enostavnejša izbira glede izpostavljenosti podatkov. Šifrirani oblak je ravno obratno.

Česa namenoma ne obljubljamo

To je seznam stvari, do katerih bodi nezaupljiv pri vsakem oglasnem besedilu:

• »Nevdorljivo.« Noben sistem ni nevdorljiv. Kdor to trdi, ti nekaj prodaja.
• »Tvoji podatki so varni pred organi pregona.« To je pravna trditev, ne tehnična. Tehnična trditev je »tvoji podatki so šifrirani v mirovanju in ključ se ob izbrisu uniči.« Pravne posledice katerega koli konkretnega postopka lahko obravnava le odvetnik.
• »100% varno.« Glej zgoraj. Varnost je lastnost modelov groženj, ne absolut.
• »Zajamčena zasebnost.« Zasebnost je praksa, ne jamstvo.

Zaveze Soulwise glede zasebnosti so konkretne in preverljive. AES-256-GCM v mirovanju. DEK za vsakega uporabnika, ovit z glavnim ključem KMS. Izbris v 24 urah, vključno z vektorskimi vložitvami. Brez vsebine o menstruaciji v potisnih obvestilih. Izrecno soglasje po 9. členu GDPR. Stran o zasebnosti Soulwise navaja vsako od njih z navedbo temeljne specifikacije.

Zakaj je to pomembno tudi onkraj najhujšega scenarija

Razprava po razveljavitvi Dobbs ljudi sili, da o zasebnosti aplikacij za sledenje cikla razmišljajo v skrajnih primerih. Ista merila pa štejejo tudi v veliko bolj vsakdanjih: telefon, ki si ga deliš s sostanovalcem, nasilni partner, ki si izposodi napravo, radoveden delodajalec, ki opazi obvestilo, varnostna kopija, ki pristane na družinskem računu iCloud.

Močna privzeta zasebnost ni le za najhujši primer. Je za vsak dan.

Krajša različica: prava aplikacija je tista, katere zaveze glede zasebnosti so konkretne, preverljive in zapisane v razumljivem jeziku. Vprašaj katero koli aplikacijo po zgornjih sedmih merilih. Če ponudnik ne zna jasno odgovoriti, je to že odgovor. Za neposredno primerjavo z najbolj priljubljenim uveljavljenim ponudnikom si oglej vodnik o alternativi Flo, ki postavlja zasebnost na prvo mesto; za vključujoče privzete nastavitve, ki izhajajo iz istih načel, pa si oglej Aplikacija za sledenje cikla za nebinarne uporabnike.