Praćenje ciklusa uz zaštitu privatnosti posle ukidanja presude Roe

Pre 2022, većina korisnica u SAD nije čitala politike privatnosti aplikacija za praćenje ciklusa. Posle odluke u slučaju Dobbs, mnoge su počele da ih čitaju, često po prvi put. Pitanje više nije bilo apstraktno: šta ova aplikacija zapravo čuva i šta bi se s tim podacima moglo dogoditi?

Ovo je vodič kroz proizvod, a ne pravni savet. U njemu je navedeno na šta da obratiš pažnju kada proveravaš bilo koju aplikaciju za praćenje ciklusa. Ovde se ne opisuje šta jeste ili nije zaštićeno od bilo kog konkretnog pravnog postupka. Ako imaš pravne nedoumice, posavetuj se s advokatom koji ima dozvolu za rad tamo gde živiš.

Uz to na umu, evo šta treba da proveriš.

Promenio se okvir, ne i matematika

Kriptografske i softverske prakse koje slede postoje već godinama. Ono što se promenilo posle Dobsa jeste vidljivost. Prakse koje su nekada bile detalji skriveni u tehničkoj specifikaciji sada su istaknute obaveze u samoj aplikaciji. Aplikacije koje ozbiljno shvataju privatnost o njima govore otvoreno; one koje to ne čine — često neće.

Sedam kriterijuma iz ovog vodiča jeste ono što bi treker okrenut privatnosti trebalo da bude spreman da kaže jasno i bez uvijanja.

Sedam kriterijuma koje vredi proveriti

Praktična lista provere pre nego što instaliraš bilo koji prati­lac ciklusa. Najstrože aplikacije ispunjavaju svih sedam.

• AES-256-GCM enkripcija u koverti. Svaki korisnik ima jedinstveni ključ za enkripciju podataka (DEK) zaštićen master ključem u servisu za upravljanje ključevima. Podaci na disku su šifrovani; provala u server otkriva šifrat, a ne čitljive podatke o ciklusu.
• Pravo na brisanje uništava ključ. Kada obrišeš nalog, pružalac usluge uništava DEK, a ne samo red u bazi. Bez ključa, osnovni šifrat je trajno nečitljiv, uključujući i svaku rezervnu kopiju koja ga je sadržala.
• Prozor za brisanje od 24 sata. Pružalac se pisanim putem obavezuje da će brisanje sprovesti u roku od 24 sata od zahteva, uključujući i vektorska ugnežđenja koja koriste AI funkcije.
• Bez medicinskih tvrdnji. Bez prognoza za planiranje porodice, bez kliničkih tvrdnji bilo koje vrste, bez tekstova o „CRVENOM danu”. Potrošački prati­lac koji se drži van medicinskog okvira ima mnogo užu regulatornu i obaveštajnu površinu.
• Bez sadržaja o menstruaciji u push obaveštenjima. Naslovi i tela push obaveštenja nikada ne sadrže sadržaj o ciklusu, menstruaciji ili planiranju porodice. Pregled na zaključanom ekranu je bezbedan.
• Tekst prilagođen jurisdikciji. Korisnici iz SAD podrazumevano vide neutralnu terminologiju („dan tela”, „zabeleži ovo”); aplikacija ne pretpostavlja da korisnik želi da bude prikazana reč „menstruacija”.
• Izričit, posebno prikupljen pristanak. Član 9 GDPR-a to radi već godinama; nakon presude Dobbs, korisnici iz SAD počeli su da traže isto. Objedinjen ili podrazumevan pristanak nije dovoljan.

Zašto detalji o enkripciji zaista imaju značaj

Pojedini kriterijumi iznad zvuče tehnički. Bitni su zato što menjaju ono što je moguće povratiti.

Ako provajder čuva podatke o ciklusu u običnom tekstu, svaki bekap, svaka replika i svaki analitički proces mogu da ih pročitaju. Zahtev za brisanje može da obriše red u bazi, ali podaci mogu da nastave da postoje u bekapima mesecima ili godinama.

Ako provajder koristi enkripciju u kovertu sa ključevima po korisniku, podaci na disku nečitljivi su bez korisnikovog DEK-a. Kada se DEK uništi tokom brisanja, šifrovani tekst koji ostane u bekapima takođe je nečitljiv, čak i ako se bekap vrati. Brisanje je matematički stvarno, a ne samo vidljivo u interfejsu.

Ovo nije „nemoguće hakovati”. Kriptografija ima granice, a svaki provajder koji tvrdi da nudi apsolutnu sigurnost ili je neobavešten ili laže. Ono što jaka enkripcija uz pravilno upravljanje ključevima zaista postiže jeste jasno definisan način otkazivanja: podaci su nečitljivi sve dok su ključevi zaštićeni, i zauvek nečitljivi onog trenutka kada se ključevi unište.

Šta zapravo znači „nema sadržaja o menstruaciji u push obaveštenjima"

Pregled na zaključanom ekranu je tiha površina za odavanje informacija. Aplikacije koje šalju „Tvoj ciklus počinje sutra" kao telo push obaveštenja otkrile su podatke o ciklusu svakome ko baci pogled na telefon.

Ozbiljan tracker u CI sistemu sprovodi pravilo da u push obaveštenjima nema sadržaja o menstruaciji. Soulwise-ov build proces proverava naslove i tela push obaveštenja u odnosu na listu zabranjenih izraza; svaki build koji sadrži menstrualni sadržaj ili sadržaj o planiranju porodice u push poruci pada pre nego što se objavi. Korisnik dobija podsticaje za svakodnevni ritual koji glase ovako: „Blag početak. Šta ti je danas na tanjiru?" – bez faze ciklusa, bez pominjanja menstruacije, bez medicinskog okvira.

Samo lokalno vs. šifrovani oblak: izaberi svoj kompromis

Dve legitimne arhitekture, različiti modeli pretnji.

Praćenje samo lokalno (Drip, Euki). Podaci žive na tvom uređaju. Ne postoji kopija u oblaku koju bi neko mogao da pribavi sudskim nalogom, ali nema ni sinhronizacije između uređaja, a AI funkcije su ograničene. Rezervna kopija je tvoja briga; isto važi i za krađu uređaja i za rezervne kopije operativnog sistema (koje mogu, ali i ne moraju biti šifrovane na nivou OS-a).

Praćenje u šifrovanom oblaku (Soulwise, Clue, drugi). Podaci se sinhronizuju između uređaja i pokreću AI funkcije. Privatnost zavisi od toga kako proizvođač sprovodi šifrovanje i brisanje. Ovaj model pretnji pretpostavlja kompetentnog proizvođača i snažan pristup upravljanju ključevima.

Nijedan nije univerzalno „bezbedniji”. Pravi odgovor zavisi od toga čega se plašiš. Samo lokalno je teži izbor po pitanju korisničkog iskustva, a jednostavniji po pitanju izloženosti podataka. Šifrovani oblak je obrnuto.

Šta namerno ne obećavamo

Ovo je lista stvari prema kojima treba da budeš sumnjičav u bilo kom marketinškom tekstu:

• „Neprobojno.” Nijedan sistem nije neprobojan. Svako ko ovo tvrdi pokušava nešto da ti proda.
• „Tvoji podaci su bezbedni od organa reda.” Ovo je pravna, a ne tehnička tvrdnja. Tehnička tvrdnja glasi „tvoji podaci su šifrovani dok miruju, a ključ se uništava prilikom brisanja.” Pravne posledice bilo kog konkretnog postupka može da objasni jedino advokat.
• „100% bezbedno.” Vidi gore. Bezbednost je svojstvo modela pretnji, a ne nešto apsolutno.
• „Zagarantovana privatnost.” Privatnost je praksa, a ne garancija.

Soulwise-ove obaveze u pogledu privatnosti su konkretne i proverljive. AES-256-GCM dok miruju. DEK po korisniku obavijen KMS master ključem. Brisanje u roku od 24 sata, uključujući vektorske embeding-e. Bez sadržaja o menstruaciji u push obaveštenjima. Izričit pristanak po članu 9 GDPR-a. Stranica o privatnosti Soulwise-a navodi svaku od njih uz referencu na odgovarajuću specifikaciju.

Zašto je ovo važno i mimo najgoreg scenarija

Okvir nastao posle slučaja Dobbs navodi ljude da o privatnosti aplikacija za praćenje ciklusa razmišljaju isključivo u ekstremnim situacijama. Isti kriterijumi su važni i u mnogo češćim slučajevima: telefon koji deliš sa cimerom, nasilni partner koji pozajmi uređaj, radoznali poslodavac koji vidi obaveštenje, rezervna kopija koja završi na porodičnom iCloud nalogu.

Snažna podrazumevana privatnost nije samo za najgori scenario. Ona je za svaki dan.

Kraća verzija: prava aplikacija je ona čije su obaveze u vezi sa privatnošću konkretne, proverljive i iskazane jednostavnim jezikom. Pitaj bilo koju aplikaciju za sedam kriterijuma navedenih iznad. Ako proizvođač ne može da odgovori jasno, to ti je odgovor. Za poređenje rame uz rame sa najpopularnijim postojećim rešenjem, pogledaj vodič o Flo alternativi koja stavlja privatnost na prvo mesto; za inkluzivna podrazumevana podešavanja koja proističu iz istih principa, pogledaj Aplikaciju za praćenje ciklusa za nebinarne osobe.