Integritetsfokuserad menscykelapp efter Roe

Före 2022, läste de flesta amerikanska användare inte integritetspolicyn för sina cykelappar. Efter Dobbs-domen gjorde många det, ofta för första gången. Frågan var inte längre abstrakt: vad lagrar den här appen egentligen, och vad skulle kunna hända med de uppgifterna?

Det här är en produktguide, inte juridisk rådgivning. Den listar vad du bör titta efter när du granskar en menscykelapp. Den beskriver inte vad som skyddas eller inte skyddas mot någon specifik rättslig process. Om du har juridiska funderingar, prata med en advokat med behörighet där du bor.

Med den ramen på plats — så här gör du för att granska.

Kort sagt

• Efter 2022 års Dobbs-beslut började amerikanska användare för första gången läsa integritetspolicyer för cykelspårare.
• Den här guiden listar sju produktkriterier för att bedöma vilken menstruationsspårare som helst: AES-256-GCM-kuvertkryptering med nycklar per användare, rätt till radering som förstör krypteringsnyckeln inom 24 timmar, inga medicinska påståenden eller påståenden om familjeplanering, inget menstruationsinnehåll i push-aviseringar, jurisdiktionsanpassad text (amerikanska användare ser "kroppsdag" i stället för "mens"), ett anonymt läge och uttryckligt samtycke enligt artikel 9 i GDPR.
• Artikeln är tydlig med att det rör sig om produktkriterier, inte juridisk rådgivning – den beskriver inte vad som är eller inte är skyddat mot någon specifik rättslig process.

Det som ändrades i framställningen, inte i matematiken

De kryptografiska och tekniska metoderna nedan har funnits i åratal. Det som ändrades efter Dobbs är synligheten. Metoder som förr var detaljer längst bak i specifikationen är nu löften längst fram i appen. Appar som tar integritet på allvar pratar öppet om dem; appar som inte gör det, gör det ofta inte.

De sju kriterierna i den här guiden är vad en integritetsmedveten tracker bör vara villig att uttrycka i klartext.

Sju kriterier värda att kontrollera

En praktisk checklista innan du installerar någon cykelspårare. De striktaste apparna klarar alla sju.

• AES-256-GCM-kuvertkryptering. Varje användare har en unik datakrypteringsnyckel (DEK) som omsluts av en huvudnyckel i en nyckelhanteringstjänst. Data på disk är chiffertext; ett serverintrång exponerar chiffertext, inte läsbar cykeldata.
• Rätten att bli raderad förstör nyckeln. När du raderar ditt konto förstör leverantören DEK-nyckeln, inte bara databasraden. Utan nyckeln är den underliggande chiffertexten permanent oläslig, även i alla säkerhetskopior som innehöll den.
• Raderingsfönster på 24 timmar. Leverantören förbinder sig skriftligen att slutföra raderingen inom 24 timmar efter begäran, inklusive de vektorinbäddningar som AI-funktionerna använder.
• Inga medicinska påståenden. Inga prognoser om familjeplanering, inga kliniska påståenden av något slag, ingen text om "RÖD dag". En konsumentspårare som håller sig utanför medicinsk inramning har en mycket smalare regulatorisk yta och färre upplysningskrav.
• Inget menstruationsinnehåll i pushnotiser. Pushtitlar och brödtexter innehåller aldrig något om cykel, mens eller familjeplanering. Förhandsvisningen på låsskärmen är trygg.
• Text anpassad efter jurisdiktion. Användare i USA ser neutral terminologi ("kroppsdag", "logga detta") som standard; appen utgår inte från att användaren vill att ordet "mens" ska visas.
• Uttryckligt, separat inhämtat samtycke. Artikel 9 i GDPR har gjort detta i åratal; efter Dobbs började användare i USA efterfråga samma sak. Paketerat eller underförstått samtycke räcker inte.

Varför detaljerna kring kryptering faktiskt spelar roll

Några av kriterierna ovan låter tekniska. De spelar roll för att de avgör vad som går att återskapa.

Om en leverantör lagrar cykeldata i klartext kan varje säkerhetskopia, varje replik och varje analyspipeline läsa den. En begäran om radering kan ta bort raden, men datan kan leva kvar i säkerhetskopior i månader eller år.

Om leverantören använder kuvertkryptering med nycklar per användare är datan på disken oläsbar utan användarens DEK. När DEK:en förstörs vid raderingen blir även den krypterade texten som finns kvar i säkerhetskopior oläsbar, även om en säkerhetskopia återställs. Raderingen är matematiskt verklig, inte bara synlig i gränssnittet.

Det här är inte "omöjligt att hacka". Kryptografi har sina gränser, och varje leverantör som påstår sig erbjuda absolut säkerhet är antingen felinformerad eller ljuger. Vad stark kryptering med korrekt nyckelhantering gör är att sätta ett tydligt felläge: datan är oläsbar så länge nycklarna är skyddade, och oläsbar för alltid när nycklarna väl är förstörda.

Vad "inget menstruationsinnehåll i push" faktiskt innebär

Förhandsvisningen på låsskärmen är en tyst yta för avslöjanden. Appar som skickar "Din mens börjar i morgon" som push-text har röjt cykeldata för vem som helst som kastar en blick på telefonen.

En seriös tracker säkerställer i CI att det inte finns något menstruationsinnehåll i push-notiser. Soulwise byggpipeline skannar push-titlar och brödtexter mot en lista över förbjudna ord; varje bygge som innehåller menstruations- eller familjeplaneringsinnehåll i en push underkänns innan det levereras. Användaren får påminnelser om dagliga ritualer som säger saker som "Mjuk start. Vad har du på din tallrik i dag?" – ingen cykelfas, ingen mensreferens, ingen medicinsk inramning.

Endast lokal lagring kontra krypterat moln: välj din kompromiss

Två legitima arkitekturer, olika hotmodeller.

Spårare med endast lokal lagring (Drip, Euki). Datan lever på din enhet. Det finns ingen molnkopia att stämma fram, men inte heller någon synkronisering mellan enheter och begränsade AI-funktioner. Säkerhetskopiering är ditt ansvar; likaså stöld av enheten och operativsystemets säkerhetskopior (som kan vara krypterade på OS-nivå, eller inte).

Krypterade molnspårare (Soulwise, Clue, med flera). Datan synkroniseras mellan enheter och driver AI-funktioner. Integriteten beror på leverantörens kryptering och raderingsrutiner. Hotmodellen förutsätter en kompetent leverantör och en stark hantering av nycklar.

Ingetdera är generellt "säkrare". Rätt svar beror på vad du oroar dig för. Endast lokal lagring är det svårare valet för användarupplevelsen och det enklare valet för datans exponeringsyta. Krypterat moln är tvärtom.

Vad vi medvetet inte lovar

Detta är en lista över saker du bör vara skeptisk till i all marknadsföringstext:

• "Omöjlig att hacka." Inget system är omöjligt att hacka. Den som påstår det vill sälja dig något.
• "Dina data är skyddade från brottsbekämpande myndigheter." Detta är ett juridiskt påstående, inte ett tekniskt. Det tekniska påståendet är "dina data är krypterade i vila och nyckeln förstörs vid radering." De juridiska följderna av en specifik process är något bara en jurist kan svara på.
• "100% säker." Se ovan. Säkerhet är en egenskap hos hotmodeller, inte ett absolut tillstånd.
• "Garanterad integritet." Integritet är en praktik, inte en garanti.

Soulwises åtaganden för integritet är konkreta och falsifierbara. AES-256-GCM i vila. Per-användar-DEK inkapslad av KMS-huvudnyckel. Radering inom 24 timmar inklusive vektorinbäddningar. Inget menstruationsinnehåll i push-notiser. Uttryckligt samtycke enligt GDPR artikel 9. Soulwises integritetssida listar varje punkt med hänvisning till den underliggande specifikationen.

Varför det här är viktigt även bortom värsta scenariot

Sättet att rama in frågan efter Dobbs får folk att tänka på integritet i menscykel-appar utifrån extrema scenarier. Samma kriterier spelar roll i betydligt vanligare situationer: en telefon du delar med en inneboende, en kränkande partner som lånar enheten, en nyfiken arbetsgivare som ser en avisering, en säkerhetskopia som hamnar på ett familjegemensamt iCloud-konto.

Starka standardinställningar för integritet är inte bara till för värsta fallet. De är till för vardagen.

Den kortare versionen: rätt app är den vars löften om integritet är konkreta, möjliga att granska och formulerade på begriplig svenska. Be vilken app som helst om de sju kriterierna ovan. Om en leverantör inte kan svara tydligt är det i sig svaret. För en jämförelse sida vid sida med den mest populära etablerade aktören, se guiden om integritetsfokuserade alternativ till Flo; för de inkluderande standardinställningar som följer av samma principer, se Menscykel-app för icke-binära användare.

Vanliga frågor

Är den här artikeln juridisk rådgivning?

Nej. Det här är produktkriterier för att bedöma konsumentappar. Om du har specifika juridiska funderingar kring cykeldata bör du kontakta en advokat med behörighet i din jurisdiktion. Inget i den här artikeln beskriver vad som är eller inte är skyddat från någon specifik rättslig process.

Varför ändrades synen på integritet efter Dobbs?

Beslutet i 2022 Dobbs flyttade tillbaka regleringen av abort till de enskilda delstaterna i USA, varav flera nu begränsar eller kriminaliserar abort under vissa omständigheter. Det förändrade hur människor ser på alla digitala spår av menstruations- eller graviditetsdata, och gjorde integriteten i cykelappar till ett medvetet köpkriterium för många användare för första gången.

Vad är "envelope-kryptering" och varför spelar det roll?

Envelope-kryptering omsluter varje användares datakrypteringsnyckel (DEK) i en huvudnyckel som hålls av en nyckelhanteringstjänst. Användarens data på disk krypteras med deras DEK; ett serverintrång exponerar chiffertext, inte läsbar cykeldata. Att förstöra DEK vid radering gör chiffertexten permanent oläsbar.

Är appar som bara lagrar lokalt säkrare än krypterade molnappar?

Olika avvägningar. Appar som bara lagrar lokalt (Drip, Euki) håller data på din enhet, vilket begränsar exponeringen i molnet men inte skyddar själva enheten. Krypterade molnappar (Soulwise) gör synkronisering och AI-funktioner möjliga, men kräver att du litar på leverantörens kryptering och raderingsrutiner. Ingen av dem är universellt "säkrare" – frågan är vilket hot du är mest orolig för.