Detta flyttar inte bara bördan av riskbedömning till enskilda användare, utan gör det också svårt att börja med att utvärdera apparnas integritet och säkerhet. För att göra det, konsulterade vi utvärderingsramverk som banat väg för Beth Israel Deaconess Medical Center (MIND) och The Digital Standard för att komma fram till fyra kärnfrågor som vägledning för vår studie.
*En poäng på (0) = appen uppfyllde inte sekretesskravet, (1) = appen uppfyllde delvis integritetskravet, (2) = appen uppfyllde integritetskravet och (3) = appen uppfyllde integritetskravet krav väl
**’Klar specifikation’ definieras här som ett index över tredjepartsföretag och den data de får.
Lokal kontra molnlagring
Förståelse var företag som lagrar dina uppgifter är avgörande för att bedöma integritetsrisken som följer med att använda deras produkter. De flesta populära mobilapparna lagrar användardata i molnet – över flera servrar på flera platser – vilket gör att de kan bearbeta stora mängder lättåterställbar information. Det betyder också att din data är mer sårbar för dåliga aktörer. Det är därför organisationer som Givens föredrar appar som lagrar information direkt på användarnas enheter. Om en app lagrar data direkt på din mobiltelefon har du mer fullständig kontroll över den. Ingen av apparna som granskats ovan gav användarna möjlighet att lagra sina data lokalt, men Euki och Mozilla Foundation-stödda Drip gör det.
Tredjepartsdelning
Om du nyligen har använt Facebook för att logga in på en webbplats eller app, är du redan bekant med några av de sätt som apputvecklare delar information med tredje part. Att förstå vilka tredje parter ett företag arbetar med och vilken typ av data som skickas vidare till dem är ett användbart sätt att utvärdera din skyddsnivå. Till exempel, Period Trackers integritetspolicy medger att användarnas enhets-ID:n delas med reklamnätverk, vilket är ganska riskabelt. Det uttrycker också deras vilja att sälja eller överföra användardata som ett resultat av en företagsfusion eller försäljning. Vanligtvis är appar som tydligt beskriver vem de ger information till och varför – som Clue gör – mer pålitliga.
Det är också bra att veta om data rutinmässigt anonymiseras (fråntagen från identifierande användarinformation) innan de delas med dessa tredje parter. Detta är dock inget universalmedel. Avskalad data kan fortfarande leda tillbaka till enskilda användare under vissa förutsättningar. Maskininlärning gör detta hot ännu mer verkligt, eftersom tekniken kan påskynda skumma “återidentifieringsprocesser”. Trots att de lovat att avstå från att dela användardata själva, skickar Clue anonymiserad data vidare till vissa tredjepartsforskningsgrupper. Medan Stardust uttrycker ett åtagande att begränsa informationen de delar med tredje part, säger deras policy att de kan dela information för att “efterleva eller svara på brottsbekämpning” eller för att skydda “företagets säkerhet”. Helst är appar extremt selektiva med vilka tredje parter de är villiga att dela information med – eller så delar de inte med tredje part alls.
Radering av data
Varje app bör ha etablerade protokoll som tillåter användare att radera sina personuppgifter från utvecklarnas system efter behag. Även om många USA-baserade appar inkluderar dessa protokoll för att följa EU:s allmänna dataskyddsförordning (GDPR) eller California Consumer Privacy Act (CCPA), bör användare hålla utkik efter sekretesspolicyer som klart utöka dessa raderingsprivilegier till alla användare, oavsett plats. Trots det kan det här vara knepigt, säger Givens: “Om du inte är bosatt i den jurisdiktion som lagen omfattar, finns det ingen garanti för att de kommer att respektera det.”
Även appar som bjuder in begäranden om radering av data kanske inte alltid utför dem i tid eller fullständigt. Flo, vars säkerhetspraxis placerade dem under FTC-granskning 2021, anger specifikt i sin integritetspolicy att vid radering av deras app, “behåller de dina personuppgifter under en period av 3 år om du bestämmer dig för att återaktivera.” Period Tracker medger att de behåller användarnas mobila enhets-ID “i upp till 24 månader” efter att ha mottagit en förfrågan. De säkraste apparna bör behålla din data i 30 dagar eller mindre och helst skicka raderingsförfrågningar till tredje part för din räkning, som Clue gör.
Platsspårning
Om en app explicit lagrar platsdata (som Period Calendar och Period Tracker gör) innebär det ett större sekretessproblem. Medan tre av de fem appar som analyseras här inte verkade spara platsdata explicit, sparar varje app användarnas IP-adresser, som kan användas för att fastställa någons allmänna plats. Flo delar till exempel uttryckligen IP-adresser med tredje part som AppsFlyer.
Stardusts metoder frikopplar användares IP-adresser från deras hälsodata, vilket ökar säkerheten. Men kritiker säger att deras metoder saknar äkta end-to-end-kryptering. Oavsett, när IP-adresser kombineras med extern data, såsom en användares sökhistorik eller till och med annan allmänt tillgänglig information om användaren, kan de enkelt avslöja den personens identitet och deras aktiviteter. CDT och andra integritetsförespråkare har varnat för att användarnas textmeddelanden och sökhistorik redan har använts mot dem i rättsliga förfaranden som involverar deras reproduktiva hälsa, och praktiken kommer sannolikt att expandera.
Poängen
I slutet av dagen ger en periodspårningsapp som Clue användare något mindre risk än appar som Flo, Stardust, Period Calendar och Period Tracker. Men alla dessa fem appar, valda för sin stora popularitet, vacklar jämfört med säkrare alternativ som Euki och Drip, vilket bekräftas av Consumer Reports. I den mån det är möjligt för användare att analysera Allt av sina appar enligt standarder som anges i The Digital Standard, Mhealth Index och på andra ställen kan användare fatta välgrundade beslut om vilka företag de ska anpassa sig till – men att utvärdera riskerna med att använda specifika appar är en ofullständig vetenskap. Förutom att det är extremt tidskrävande och ofta förvirrande, är det inte i närheten av en lämplig ersättning för bristen på omfattande juridiska integritetsskydd som är tillgängliga för alla amerikaner.
Enligt integritetsexperter som Givens representerar appar för periodspårning toppen av isberget när det kommer till digital integritet och säkerhet efterRom. CDT rekommenderar att människor bedömer sin egen risknivå för att avgöra om det är värt det att använda en periodspårningsapp. Under tiden är det förmodligen mer värt att vidta åtgärder för att säkra din personliga information som textmeddelanden och sökhistorik.
För dem som vill göra skillnad rekommenderar experter att man förespråkar direkt till teknikföretag, särskilt prejudikatskapande organisationer som Google och Meta (tidigare Facebook) för att kräva bättre individuellt skydd. Det är dessa företag som så småningom kommer att behöva svara på förfrågningar från brottsbekämpande myndigheter om användardata, och många lovar redan att begränsa sin övervakning (men också lobba aggressivt mot integritetslagstiftning och -förordningar). För att bana väg för bättre policy bör teknikföretag sträva efter att seriöst inventera den data de samlar in, lämna in transparensrapporter regelbundet och, viktigast av allt, ta offentliga ställningstaganden för att försvara integritetsrättigheterna tidigt och ofta.
Håll kontakten med oss på sociala medieplattformar för omedelbar uppdatering klicka här för att gå med i vår Twitter och Facebook
