Gjurmues i Ciklit që Vë Privatësinë në Plan të Parë pas Roe

Para 2022, shumica e përdoruesve në SHBA nuk i lexonin politikat e privatësisë së aplikacioneve për gjurmimin e ciklit. Pas vendimit Dobbs, shumë vetë e bënë këtë, shpesh për herë të parë. Pyetja nuk ishte më abstrakte: çfarë po ruan në të vërtetë ky aplikacion, dhe çfarë mund t'i ndodhë atyre të dhënave?

Ky është një udhëzues produkti, jo këshillë ligjore. Ai liston ato që duhet të kërkosh kur kontrollon çdo gjurmues të ciklit. Ai nuk përshkruan se çfarë është apo nuk është e mbrojtur nga ndonjë proces specifik ligjor. Nëse ke shqetësime ligjore, fol me një avokat të licencuar aty ku jeton.

Me këtë kornizë të vendosur, ja çfarë duhet të kontrollosh.

Shkurt

• Pas vendimit Dobbs të vitit 2022, përdoruesit në SHBA filluan për herë të parë të lexonin politikat e privatësisë të aplikacioneve për ndjekjen e ciklit.
• Ky udhëzues rendit shtatë kritere produkti për të vlerësuar çdo aplikacion për ndjekjen e menstruacioneve: enkriptim me zarf AES-256-GCM me çelësa për çdo përdorues, e drejta për fshirje që shkatërron çelësin e enkriptimit brenda 24 orësh, asnjë pretendim mjekësor apo për planifikim familjar, asnjë përmbajtje mbi menstruacionet në njoftimet push, tekst i përshtatur sipas juridiksionit (përdoruesit në SHBA shohin "ditë trupore" në vend të "menstruacione"), një opsion me modalitet anonim dhe pëlqim të shprehur sipas Nenit 9 të GDPR.
• Artikulli e thekson qartë se bëhet fjalë për kritere produkti, jo për këshilla ligjore — nuk përshkruan se çfarë mbrohet ose nuk mbrohet nga ndonjë proces specifik ligjor.

Çfarë ndryshoi në mënyrën e paraqitjes, jo në matematikë

Praktikat kriptografike dhe softuerike më poshtë ekzistojnë prej vitesh. Ajo që ndryshoi pas Dobbs është dukshmëria. Praktika që dikur ishin detaje në fund të specifikimeve tani janë angazhime në ballë të aplikacionit. Aplikacionet që e marrin seriozisht privatësinë flasin hapur për to; ato që nuk e bëjnë, shpesh nuk do të flasin.

Shtatë kriteret në këtë udhëzues janë ato që një gjurmues që vë privatësinë në plan të parë duhet të jetë i gatshëm t'i deklarojë me fjalë të thjeshta.

Shtatë kritere që ia vlen të kontrollohen

Një listë praktike kontrolli para se të instalosh çdo gjurmues ciklesh. Aplikacionet më strikte i plotësojnë të shtatë.

• Enkriptim me zarf AES-256-GCM. Çdo përdorues ka një çelës unik enkriptimi të dhënash (DEK) të mbështjellë nga një çelës kryesor në një shërbim menaxhimi çelësash. Të dhënat në disk janë tekst i shifruar; një shkelje në server ekspozon tekst të shifruar, jo të dhëna cikli të lexueshme.
• E drejta për t'u fshirë shkatërron çelësin. Kur fshin llogarinë tënde, ofruesi shkatërron DEK-un, jo thjesht rreshtin e bazës së të dhënave. Pa çelësin, teksti i shifruar themelor bëhet i palexueshëm përgjithmonë, përfshirë në çdo kopje rezervë që e përmbante.
• Dritare fshirjeje prej 24 orësh. Ofruesi zotohet me shkrim ta përfundojë fshirjen brenda 24 orësh nga kërkesa, përfshirë inkorporimet vektoriale të përdorura nga veçoritë me AI.
• Pa pretendime mjekësore. Pa parashikime për planifikim familjar, pa pretendime klinike të çfarëdo lloji, pa tekste "ditë E KUQE". Një gjurmues konsumatori që qëndron jashtë kornizës mjekësore ka një sipërfaqe rregullatore dhe zbulimi shumë më të ngushtë.
• Pa përmbajtje menstruale në njoftimet push. Titujt dhe trupat e njoftimeve push nuk përmbajnë kurrë përmbajtje për ciklin, periodën apo planifikimin familjar. Pamja paraprake në ekranin e kyçur është e sigurt.
• Tekst i ndjeshëm ndaj juridiksionit. Përdoruesit në SHBA shohin terminologji neutrale ("ditë trupi", "regjistro këtë") si parazgjedhje; aplikacioni nuk e merr të mirëqenë se përdoruesi dëshiron të shfaqet fjala "periodë".
• Pëlqim i qartë, i kapur veçmas. Neni 9 i GDPR-së e bën këtë prej vitesh; pas Dobbs, përdoruesit në SHBA filluan të kërkonin të njëjtën gjë. Pëlqimi i grupuar apo i nënkuptuar nuk mjafton.

Pse detajet e enkriptimit kanë vërtet rëndësi

Disa nga kriteret më sipër tingëllojnë teknike. Ato kanë rëndësi sepse ndryshojnë atë që mund të rikuperohet.

Nëse një ofrues i ruan të dhënat e ciklit në tekst të thjeshtë, çdo kopje rezervë, çdo replikë dhe çdo rrjedhë analitike mund t'i lexojë. Një kërkesë për fshirje mund të fshijë rreshtin, por të dhënat mund të vazhdojnë të jetojnë në kopjet rezervë për muaj apo vite me radhë.

Nëse ofruesi përdor enkriptim me zarf dhe çelësa për çdo përdorues, të dhënat në disk janë të palexueshme pa DEK-un e përdoruesit. Kur DEK-u shkatërrohet gjatë fshirjes, teksti i shifruar që mbetet në kopjet rezervë është gjithashtu i palexueshëm, edhe nëse një kopje rezervë restaurohet. Fshirja është matematikisht reale, jo thjesht e dukshme në ndërfaqe.

Kjo nuk është "e pathyeshme". Kriptografia ka kufijtë e saj, dhe çdo ofrues që pretendon siguri absolute ose është i keqinformuar ose po gënjen. Ajo që bën enkriptimi i fortë me menaxhim të duhur të çelësave është të vendosë një mënyrë të qartë dështimi: të dhënat janë të palexueshme për sa kohë çelësat janë të mbrojtur, dhe të palexueshme përgjithmonë sapo çelësat shkatërrohen.

Çfarë do të thotë në të vërtetë "asnjë përmbajtje menstruale në njoftimet push"

Pamja paraprake në ekranin e kyçur është një sipërfaqe e heshtur ku zbulohen të dhëna. Aplikacionet që dërgojnë "Cikli yt fillon nesër" si tekst push i kanë zbuluar të dhënat e ciklit kujtdo që hedh një sy te telefoni.

Një gjurmues serioz e detyron mungesën e përmbajtjes menstruale në njoftimet push që në CI. Linja e ndërtimit e Soulwise i skanon tekstet e titullit dhe trupit të njoftimit push kundrejt një liste termash të ndaluar; çdo ndërtim që përmban përmbajtje menstruale ose të planifikimit familjar në një njoftim push dështon para se të publikohet. Përdoruesi merr mesazhe ritualesh ditore që thonë gjëra si "Nisje e butë. Çfarë ke në plan sot?" - pa fazë cikli, pa referencë ndaj menstruacioneve, pa kornizë mjekësore.

Vetëm lokale kundër resë së enkriptuar: zgjidh kompromisin tënd

Dy arkitektura legjitime, modele të ndryshme kërcënimi.

Gjurmuesit vetëm lokalë (Drip, Euki). Të dhënat qëndrojnë në pajisjen tënde. Nuk ka kopje në re që mund të kërkohet me urdhër gjykate, por as sinkronizim mes pajisjeve dhe veçori të kufizuara të IA-së. Kopja rezervë është problemi yt; po ashtu vjedhja e pajisjes dhe kopjet rezervë të sistemit operativ (që mund të jenë ose jo të enkriptuara në nivelin e OS-it).

Gjurmuesit në re të enkriptuar (Soulwise, Clue, e të tjerë). Të dhënat sinkronizohen mes pajisjeve dhe ushqejnë veçoritë e IA-së. Privatësia varet nga praktikat e enkriptimit dhe fshirjes së ofruesit. Modeli i kërcënimit presupozon një ofrues kompetent dhe një qasje të fortë në menaxhimin e çelësave.

Asnjëra nuk është universalisht "më e sigurt". Përgjigja e duhur varet nga ajo që të shqetëson. Vetëm lokale është zgjedhja më e vështirë për përvojën e përdoruesit dhe zgjedhja më e thjeshtë për sipërfaqen e të dhënave. Reja e enkriptuar është e kundërta.

Çfarë nuk premtojmë me qëllim

Kjo është një listë gjërash për të cilat duhet të jesh dyshues në çdo tekst marketingu:

• "I pathyeshëm." Asnjë sistem nuk është i pathyeshëm. Kushdo që e pohon këtë po të shet diçka.
• "Të dhënat e tua janë të mbrojtura nga organet e zbatimit të ligjit." Ky është një pohim ligjor, jo teknik. Pohimi teknik është "të dhënat e tua janë të enkriptuara në ruajtje dhe çelësi shkatërrohet me fshirjen." Pasojat ligjore të çdo procesi specifik janë diçka që vetëm një avokat mund t'i trajtojë.
• "100% i sigurt." Shih më lart. Siguria është një veti e modeleve të kërcënimit, jo një absolute.
• "Privatësi e garantuar." Privatësia është një praktikë, jo një garanci.

Angazhimet e Soulwise për privatësinë janë konkrete dhe të verifikueshme. AES-256-GCM në ruajtje. DEK për çdo përdorues i mbështjellë nga çelësi master i KMS. Fshirje brenda 24 orësh përfshirë vektorët embedding. Asnjë përmbajtje menstruale në njoftime. Pëlqim i shprehur sipas Nenit 9 të GDPR. Faqja e privatësisë së Soulwise i rendit secilën me referencën përkatëse të specifikimit.

Pse ka rëndësi përtej skenarit më të keq

Korniza pas Dobbs i shtyn njerëzit të mendojnë për privatësinë e gjurmuesve të ciklit në skenarë ekstremë. Të njëjtat kritere kanë rëndësi edhe në situata shumë më të zakonshme: një telefon i ndarë me një shokun e dhomës, një partner abuziv që merr hua pajisjen, një punëdhënës kureshtar që sheh një njoftim, një kopje rezervë që përfundon në një llogari familjare iCloud.

Privatësia e fortë si parazgjedhje nuk është vetëm për rastin më të keq. Është për çdo ditë.

Versioni më i shkurtër: gjurmuesi i duhur është ai, angazhimet e të cilit për privatësinë janë specifike, të verifikueshme dhe të shprehura në gjuhë të thjeshtë. Kërkoji çdo aplikacioni shtatë kriteret e mësipërme. Nëse një ofrues nuk mund të përgjigjet qartë, kjo është përgjigjja. Për një krahasim ballë për ballë me lojtarin më të njohur ekzistues, shih udhëzuesin e alternativës ndaj Flo me privatësinë në radhë të parë; për parazgjedhjet gjithëpërfshirëse që rrjedhin nga të njëjtat parime, shih Gjurmues cikli për përdorues jobinarë.

Pyetjet e Bëra Shpesh

A është ky artikull këshillë ligjore?

Jo. Ky është një grup kriteresh produkti për vlerësimin e aplikacioneve për konsumatorë. Nëse ke shqetësime specifike ligjore lidhur me të dhënat e ciklit, konsultohu me një avokat të licencuar në juridiksionin tënd. Asgjë në këtë artikull nuk përshkruan se çfarë mbrohet ose nuk mbrohet nga ndonjë proces specifik ligjor.

Pse ndryshoi qasja ndaj privatësisë pas vendimit Dobbs?

Vendimi Dobbs i vitit 2022 e ktheu rregullimin e abortit te shtetet individuale të SHBA-së, disa prej të cilave tani e kufizojnë ose e kriminalizojnë abortin në disa rrethana. Kjo ndryshoi mënyrën se si njerëzit mendojnë për çdo gjurmë dixhitale të të dhënave të menstruacioneve apo shtatzënisë, dhe e bëri privatësinë e gjurmuesve të ciklit një kriter të vetëdijshëm blerjeje për shumë përdorues për herë të parë.

Çfarë është "enkriptimi me zarf" dhe pse ka rëndësi?

Enkriptimi me zarf e mbështjell çelësin e enkriptimit të të dhënave të çdo përdoruesi (DEK) brenda një çelësi kryesor që mbahet nga një shërbim menaxhimi çelësash. Të dhënat e përdoruesit në disk enkriptohen me DEK-un e tij; një shkelje e serverit ekspozon tekst të enkriptuar, jo të dhëna të lexueshme cikli. Shkatërrimi i DEK-ut në momentin e fshirjes e bën tekstin e enkriptuar përgjithmonë të palexueshëm.

A janë gjurmuesit vetëm-lokalë më të sigurt se gjurmuesit me re të enkriptuar?

Janë kompromise të ndryshme. Gjurmuesit vetëm-lokalë (Drip, Euki) i mbajnë të dhënat në pajisjen tënde, gjë që kufizon ekspozimin në re por nuk e mbron vetë pajisjen. Gjurmuesit me re të enkriptuar (Soulwise) mundësojnë sinkronizimin dhe veçoritë me AI me koston e besimit ndaj praktikave të enkriptimit dhe fshirjes së ofruesit. Asnjëri nuk është universalisht "më i sigurt" - pyetja është se cilin rrezik ke më shumë shqetësim.