Трекер циклу з пріоритетом конфіденційності після Roe

До 2022 року більшість американських користувачів не читали політики конфіденційності трекерів циклу. Після рішення Dobbs багато хто прочитав — нерідко вперше. Питання вже не було абстрактним: що насправді зберігає цей застосунок і що може статися з цими даними?

Це гід із критеріями продукту, а не юридична порада. Він перелічує, на що звертати увагу при перевірці будь-якого трекера циклу. Він не описує, що захищено або не захищено від конкретного правового процесу. Якщо у вас є юридичні занепокоєння, зверніться до адвоката з ліцензією у вашій юрисдикції.

З цими застереженнями — ось що варто перевірити.

Що змінилося у підході, а не в математиці

Криптографічні та програмні практики, описані нижче, існують уже роками. Після Dobbs змінилася видимість. Деталі, які раніше ховалися в кінці технічних специфікацій, тепер стали зобов'язаннями на першому екрані застосунку. Застосунки, що серйозно ставляться до конфіденційності, говорять про це відкрито; ті, що ні, — зазвичай мовчать.

Сім критеріїв цього гіду — це те, що трекер із пріоритетом конфіденційності має бути готовим чітко сформулювати простою мовою.

Сім критеріїв, які варто перевірити

Практичний чеклист перед встановленням будь-якого трекера циклу. Найсуворіші застосунки відповідають усім семи.

• Конвертне шифрування AES-256-GCM. Кожен користувач має унікальний ключ шифрування даних (DEK), обгорнутий основним ключем у сервісі управління ключами. Дані на диску є шифротекстом; злом сервера розкриває шифротекст, а не читабельні дані циклу.
• Право на видалення знищує ключ. Коли ви видаляєте акаунт, постачальник знищує DEK, а не лише рядок у базі даних. Після знищення ключа зашифровані дані, що залишилися в будь-яких резервних копіях, стають назавжди нечитабельними.
• Вікно видалення — 24 години. Постачальник письмово зобов'язується завершити видалення протягом 24 годин після запиту, включно з векторними ембедингами, які використовуються функціями ШІ.
• Жодних медичних тверджень. Жодних прогнозів щодо планування сім'ї, жодних клінічних тверджень, жодного тексту на кшталт «ЧЕРВОНИЙ день». Споживацький трекер, який уникає медичних формулювань, має значно вужчу регуляторну поверхню.
• Жодних даних про менструацію у push-сповіщеннях. Заголовки та тексти push-сповіщень ніколи не містять інформації про цикл, менструацію або планування сім'ї. Попередній перегляд на екрані блокування є безпечним.
• Локалізований текст відповідно до юрисдикції. Американські користувачі за замовчуванням бачать нейтральні формулювання («день тіла», «зафіксуй це»); застосунок не припускає, що користувач хоче бачити слово «менструація».
• Явна, окремо отримана згода. Стаття 9 GDPR давно це вимагає; після Dobbs американські користувачі також почали цього вимагати. Включеної або мовчазної згоди недостатньо.

Чому технічні деталі шифрування справді важливі

Деякі з наведених вище критеріїв звучать технічно. Вони важливі, бо змінюють те, що можна відновити.

Якщо постачальник зберігає дані циклу у відкритому вигляді, кожна резервна копія, кожна репліка та кожний аналітичний конвеєр може їх прочитати. Запит на видалення може видалити рядок, але дані можуть зберігатися в резервних копіях місяцями або роками.

Якщо постачальник використовує конвертне шифрування з окремими ключами для кожного користувача, дані на диску нечитабельні без DEK користувача. Коли DEK знищується під час видалення, шифротекст, що залишився в резервних копіях, також стає нечитабельним — навіть якщо резервна копія буде відновлена. Видалення є математично реальним, а не лише видимим в інтерфейсі.

Це не означає «зламати неможливо». Криптографія має межі, і будь-який постачальник, що стверджує про абсолютну безпеку, або помиляється, або бреше. Що дає сильне шифрування з належним управлінням ключами — це чіткий режим збою: дані нечитабельні, поки захищені ключі, і нечитабельні назавжди після знищення ключів.

Що насправді означає «жодних даних про менструацію у push»

Попередній перегляд на екрані блокування — це неявна поверхня розкриття. Застосунки, що надсилають «Завтра у тебе починається менструація» як текст push-сповіщення, розкрили дані циклу будь-кому, хто побачить телефон.

Серйозний трекер забезпечує відсутність даних про менструацію у push-сповіщеннях на рівні конвеєра безперервної інтеграції (CI). Конвеєр збірки Soulwise перевіряє заголовки та тексти push-сповіщень за списком заборонених термінів; будь-яка збірка, що містить у push менструальний або репродуктивний контент, зазнає збою ще до публікації. Користувач отримує підказки для щоденних ритуалів на кшталт «Лагідний початок. Що сьогодні на порядку денному?» — без фази циклу, без згадки менструації, без медичних формулювань.

Локальний трекер проти зашифрованого хмарного: обери свій компроміс

Дві законні архітектури, різні моделі загроз.

Локальні трекери (Drip, Euki). Дані зберігаються на вашому пристрої. Немає хмарної копії для судового запиту, але немає й синхронізації між пристроями та обмежені функції ШІ. Резервне копіювання — ваша відповідальність; так само як крадіжка пристрою та резервні копії операційної системи (які можуть бути або не бути зашифровані на рівні ОС).

Зашифровані хмарні трекери (Soulwise, Clue та інші). Дані синхронізуються між пристроями та забезпечують роботу функцій ШІ. Конфіденційність залежить від практик шифрування та видалення постачальника. Модель загроз передбачає компетентного постачальника та сильну позицію щодо управління ключами.

Жоден варіант не є універсально «безпечнішим». Правильна відповідь залежить від того, чого ви найбільше побоюєтеся. Локальний варіант є складнішим з точки зору користувацького досвіду і простішим з точки зору обсягу даних. Зашифрований хмарний — навпаки.

Що ми свідомо не обіцяємо

Це список тверджень, до яких варто ставитися з підозрою в будь-яких маркетингових матеріалах:

• «Незламне.» Жодна система не є незламною. Той, хто це стверджує, щось вам продає.
• «Ваші дані в безпеці від правоохоронців.» Це юридичне твердження, а не технічне. Технічне твердження звучить так: «ваші дані зашифровані в стані спокою і ключ знищується при видаленні». Правові наслідки конкретного процесу може розглянути лише адвокат.
• «100% безпечно.» Дивись вище. Безпека — це властивість моделей загроз, а не абсолютна величина.
• «Гарантована конфіденційність.» Конфіденційність — це практика, а не гарантія.

Зобов'язання Soulwise щодо конфіденційності є конкретними та такими, що можна перевірити. AES-256-GCM у стані спокою. DEK кожного користувача, обгорнутий основним ключем KMS. Видалення протягом 24 годин, включно з векторними ембедингами. Жодних даних про менструацію у push. Явна згода за статтею 9 GDPR. Сторінка конфіденційності Soulwise перелічує кожне зобов'язання з відповідним посиланням на технічну специфікацію.

Чому це важливо за межами найгіршого сценарію

Підхід, сформований після Dobbs, змушує людей думати про конфіденційність трекерів циклу в екстремальних сценаріях. Ті самі критерії важливі й у значно поширеніших ситуаціях: телефон, яким користується сусід по кімнаті; абьюзивний партнер, що позичає пристрій; допитливий роботодавець, що бачить сповіщення; резервна копія, що потрапляє до сімейного облікового запису iCloud.

Надійна конфіденційність за замовчуванням — це не лише для найгіршого сценарію. Вона потрібна щодня.

Коротка версія: правильний трекер — той, чиї зобов'язання щодо конфіденційності є конкретними, перевірними і викладені простою мовою. Запитайте в будь-якого застосунку про сім критеріїв вище. Якщо постачальник не може відповісти чітко, це вже відповідь.