Ứng Dụng Theo Dõi Chu Kỳ Đặt Quyền Riêng Tư Lên Hàng Đầu Thời Hậu Roe

Trước năm 2022,, hầu hết người dùng tại Mỹ không đọc chính sách bảo mật của các ứng dụng theo dõi chu kỳ. Sau phán quyết Dobbs, nhiều người đã đọc, và thường là lần đầu tiên. Câu hỏi không còn mơ hồ nữa: ứng dụng này thực sự đang lưu trữ những gì, và điều gì có thể xảy ra với dữ liệu đó?

Đây là một bài hướng dẫn về sản phẩm, không phải tư vấn pháp lý. Nó liệt kê những điều bạn nên xem xét khi đánh giá bất kỳ ứng dụng theo dõi chu kỳ nào. Nó không mô tả điều gì được hay không được bảo vệ trước bất kỳ quy trình pháp lý cụ thể nào. Nếu bạn có lo ngại về mặt pháp lý, hãy trao đổi với một luật sư được cấp phép tại nơi bạn sinh sống.

Với bối cảnh đó, đây là những điều bạn nên kiểm tra.

Điều thay đổi nằm ở cách diễn giải, không phải ở phần kỹ thuật

Những thực hành về mã hóa và phần mềm dưới đây đã tồn tại nhiều năm nay. Điều thay đổi sau vụ Dobbs là mức độ hiển thị. Những thực hành từng chỉ là chi tiết nằm ở cuối bản đặc tả nay đã trở thành cam kết được đặt ngay đầu ứng dụng. Những ứng dụng coi trọng quyền riêng tư sẽ nói về chúng một cách cởi mở; còn những ứng dụng không coi trọng thì thường sẽ né tránh.

Bảy tiêu chí trong hướng dẫn này là những điều mà một ứng dụng theo dõi đề cao quyền riêng tư nên sẵn lòng nêu ra một cách rõ ràng, dễ hiểu.

Bảy tiêu chí đáng kiểm tra

Một danh sách kiểm tra thực tế trước khi cài đặt bất kỳ ứng dụng theo dõi chu kỳ nào. Những ứng dụng nghiêm ngặt nhất đáp ứng đủ cả bảy.

• Mã hóa kiểu phong bì AES-256-GCM. Mỗi người dùng có một khóa mã hóa dữ liệu (DEK) riêng, được bọc bởi một khóa chủ trong dịch vụ quản lý khóa. Dữ liệu lưu trên ổ đĩa là bản mã; một vụ rò rỉ máy chủ chỉ để lộ bản mã, chứ không phải dữ liệu chu kỳ có thể đọc được.
• Quyền được xóa sẽ hủy khóa. Khi bạn xóa tài khoản, nhà cung cấp sẽ hủy khóa DEK, chứ không chỉ là dòng dữ liệu trong cơ sở dữ liệu. Một khi khóa biến mất, bản mã bên dưới sẽ vĩnh viễn không thể đọc được, kể cả trong bất kỳ bản sao lưu nào từng chứa nó.
• Khung thời gian xóa 24 giờ. Nhà cung cấp cam kết bằng văn bản hoàn tất việc xóa trong vòng 24 giờ kể từ khi có yêu cầu, bao gồm cả các vector embedding mà tính năng AI sử dụng.
• Không có tuyên bố y tế. Không dự báo kế hoạch hóa gia đình, không tuyên bố lâm sàng dưới bất kỳ hình thức nào, không có nội dung "ngày ĐỎ". Một ứng dụng theo dõi dành cho người tiêu dùng mà tránh xa khung y tế sẽ có phạm vi quản lý và công bố thông tin hẹp hơn nhiều.
• Không có nội dung kinh nguyệt trong thông báo đẩy. Tiêu đề và nội dung thông báo đẩy không bao giờ chứa nội dung về chu kỳ, kỳ kinh hay kế hoạch hóa gia đình. Bản xem trước trên màn hình khóa được an toàn.
• Nội dung nhận biết theo khu vực pháp lý. Người dùng Mỹ mặc định thấy thuật ngữ trung tính ("ngày cơ thể", "ghi lại điều này"); ứng dụng không mặc định rằng người dùng muốn hiển thị từ "kỳ kinh".
• Sự đồng ý rõ ràng, được thu thập riêng biệt. Điều 9 của GDPR đã làm điều này nhiều năm nay; sau vụ Dobbs, người dùng Mỹ bắt đầu yêu cầu điều tương tự. Sự đồng ý gộp chung hay ngầm định là chưa đủ.

Vì sao chi tiết về mã hóa thực sự quan trọng

Một vài tiêu chí ở trên nghe có vẻ kỹ thuật. Chúng quan trọng vì chúng quyết định điều gì có thể khôi phục được.

Nếu một nhà cung cấp lưu dữ liệu chu kỳ ở dạng văn bản thuần, thì mọi bản sao lưu, mọi bản nhân bản và mọi quy trình phân tích đều có thể đọc được. Một yêu cầu xóa có thể xóa được dòng dữ liệu, nhưng dữ liệu vẫn có thể tồn tại trong các bản sao lưu suốt nhiều tháng hoặc nhiều năm.

Nếu nhà cung cấp dùng mã hóa phong bì với khóa riêng cho từng người dùng, thì dữ liệu trên ổ đĩa không thể đọc được nếu thiếu DEK của người dùng đó. Khi DEK bị hủy trong quá trình xóa, phần văn bản mã hóa còn lại trong các bản sao lưu cũng không thể đọc được, ngay cả khi một bản sao lưu được khôi phục. Việc xóa khi đó là thật về mặt toán học, chứ không chỉ là điều bạn thấy trên giao diện.

Đây không phải là "không thể bị hack." Mật mã học có giới hạn của nó, và bất kỳ nhà cung cấp nào tuyên bố bảo mật tuyệt đối thì hoặc là hiểu sai, hoặc là nói dối. Điều mà mã hóa mạnh kết hợp với quản lý khóa đúng cách làm được là thiết lập một cơ chế thất bại rõ ràng: dữ liệu không thể đọc được chừng nào các khóa còn được bảo vệ, và không thể đọc được vĩnh viễn một khi các khóa bị hủy.

"Không có nội dung kinh nguyệt trong thông báo đẩy" thực sự nghĩa là gì

Bản xem trước trên màn hình khóa là một bề mặt tiết lộ thầm lặng. Những ứng dụng gửi nội dung kiểu "Kỳ kinh của bạn sẽ bắt đầu vào ngày mai" trong phần thân thông báo đẩy đã vô tình để lộ dữ liệu chu kỳ cho bất kỳ ai liếc nhìn vào điện thoại.

Một ứng dụng theo dõi nghiêm túc sẽ bắt buộc loại bỏ nội dung kinh nguyệt trong thông báo đẩy ngay từ khâu CI. Quy trình build của Soulwise quét các chuỗi tiêu đề và thân của thông báo đẩy theo một danh sách từ cấm; bất kỳ bản build nào chứa nội dung kinh nguyệt hay kế hoạch hóa gia đình trong thông báo đẩy đều sẽ thất bại trước khi phát hành. Người dùng nhận được những gợi ý nghi thức hằng ngày với nội dung kiểu như "Khởi đầu nhẹ nhàng. Hôm nay bạn có gì trong tâm trí?" - không nhắc đến giai đoạn chu kỳ, không đề cập kỳ kinh, không khung diễn giải y tế.

Chỉ lưu cục bộ và lưu đám mây được mã hóa: chọn đánh đổi của bạn

Hai kiến trúc hợp lý, với các mô hình mối đe dọa khác nhau.

Ứng dụng theo dõi chỉ lưu cục bộ (Drip, Euki). Dữ liệu nằm trên thiết bị của bạn. Không có bản sao trên đám mây để bị trát yêu cầu cung cấp, nhưng cũng không đồng bộ giữa các thiết bị và tính năng AI bị hạn chế. Sao lưu là việc của bạn; trộm cắp thiết bị và sao lưu của hệ điều hành cũng vậy (những bản sao lưu này có thể được mã hóa hoặc không ở cấp độ hệ điều hành).

Ứng dụng theo dõi trên đám mây được mã hóa (Soulwise, Clue, và các ứng dụng khác). Dữ liệu đồng bộ giữa các thiết bị và hỗ trợ các tính năng AI. Quyền riêng tư phụ thuộc vào cách nhà cung cấp mã hóa và xóa dữ liệu. Mô hình mối đe dọa giả định một nhà cung cấp đủ năng lực và một chiến lược quản lý khóa vững chắc.

Không phương án nào "an toàn hơn" một cách tuyệt đối. Câu trả lời đúng phụ thuộc vào điều bạn lo lắng. Chỉ lưu cục bộ là lựa chọn khó hơn về trải nghiệm người dùng nhưng đơn giản hơn về phạm vi dữ liệu lộ ra. Lưu đám mây được mã hóa thì ngược lại.

Những điều chúng tôi cố ý không hứa hẹn

Đây là danh sách những điều bạn nên hoài nghi trong bất kỳ nội dung quảng cáo nào:

• "Không thể bị hack." Không hệ thống nào là bất khả xâm phạm. Ai khẳng định điều này đều đang muốn bán cho bạn một thứ gì đó.
• "Dữ liệu của bạn an toàn trước cơ quan thực thi pháp luật." Đây là một tuyên bố pháp lý, không phải kỹ thuật. Tuyên bố kỹ thuật là "dữ liệu của bạn được mã hóa khi lưu trữ và khóa sẽ bị hủy khi xóa." Hệ quả pháp lý của bất kỳ quy trình cụ thể nào là điều chỉ luật sư mới có thể giải đáp.
• "An toàn 100%." Xem ở trên. Bảo mật là một thuộc tính của các mô hình mối đe dọa, chứ không phải là điều tuyệt đối.
• "Đảm bảo quyền riêng tư." Quyền riêng tư là một thực hành, không phải một lời đảm bảo.

Các cam kết về quyền riêng tư của Soulwise là cụ thể và có thể kiểm chứng. AES-256-GCM khi lưu trữ. DEK riêng cho từng người dùng được bọc bởi khóa chủ KMS. Xóa trong vòng 24 giờ bao gồm cả các vector embedding. Không có nội dung về kinh nguyệt trong thông báo đẩy. Sự đồng ý rõ ràng theo Điều 9 GDPR. Trang quyền riêng tư của Soulwise liệt kê từng cam kết kèm theo tham chiếu thông số kỹ thuật cơ bản.

Vì sao điều này quan trọng vượt ra ngoài tình huống xấu nhất

Bối cảnh hậu phán quyết Dobbs khiến mọi người nghĩ về quyền riêng tư của ứng dụng theo dõi chu kỳ trong những kịch bản cực đoan. Nhưng cùng những tiêu chí ấy lại quan trọng trong nhiều tình huống phổ biến hơn nhiều: một chiếc điện thoại dùng chung với bạn cùng phòng, một người bạn đời bạo hành mượn thiết bị, một nhà tuyển dụng tò mò nhìn thấy thông báo, một bản sao lưu rốt cuộc lọt vào tài khoản iCloud chung của gia đình.

Quyền riêng tư mặc định vững chắc không chỉ dành cho tình huống xấu nhất. Nó dành cho mỗi ngày.

Nói ngắn gọn hơn: ứng dụng theo dõi phù hợp là ứng dụng có những cam kết về quyền riêng tư cụ thể, có thể kiểm chứng và được trình bày bằng ngôn ngữ rõ ràng, dễ hiểu. Hãy hỏi bất kỳ ứng dụng nào về bảy tiêu chí ở trên. Nếu một nhà cung cấp không thể trả lời dứt khoát, thì đó chính là câu trả lời. Để xem so sánh trực tiếp với đối thủ kỳ cựu được ưa chuộng nhất, hãy đọc hướng dẫn ưu tiên quyền riêng tư về các lựa chọn thay thế Flo; để biết các thiết lập mặc định bao trùm rút ra từ chính những nguyên tắc này, hãy xem Ứng dụng theo dõi chu kỳ cho người phi nhị nguyên giới.