Ứng dụng theo dõi chu kỳ, được xếp hạng theo quyền riêng tư của dữ liệu: Flo, Clue, Stardust, Lịch tuần hoàn, Trình theo dõi chu kỳ

Điều này không chỉ chuyển gánh nặng đánh giá rủi ro cho người dùng cá nhân mà còn khiến việc đánh giá quyền riêng tư và bảo mật của các ứng dụng trở nên khó khăn ngay từ đầu. Để làm được như vậy, chúng tôi đã tham khảo các khung đánh giá do Trung tâm Y tế Hiệu trưởng Beth Israel (MIND) và The Digital Standard đi đầu để đưa ra bốn câu hỏi cốt lõi nhằm định hướng cho nghiên cứu của chúng tôi.

* Điểm (0) = ứng dụng không đáp ứng yêu cầu về quyền riêng tư, (1) = ứng dụng đã đáp ứng một phần yêu cầu về quyền riêng tư, (2) = ứng dụng đã đáp ứng yêu cầu về quyền riêng tư và (3) = ứng dụng đã đáp ứng được quyền riêng tư yêu cầu tốt

** ‘Đặc tả rõ ràng’ được định nghĩa ở đây là chỉ mục của các công ty bên thứ ba và dữ liệu họ nhận được.

Lưu trữ cục bộ so với lưu trữ đám mây

Hiểu biết ở đâu các công ty lưu trữ dữ liệu của bạn đóng vai trò quan trọng trong việc đánh giá rủi ro về quyền riêng tư đi kèm với việc sử dụng sản phẩm của họ. Hầu hết các ứng dụng di động phổ biến đều lưu trữ dữ liệu người dùng trên đám mây — trên nhiều máy chủ ở nhiều vị trí — cho phép họ xử lý một lượng lớn thông tin có thể khôi phục dễ dàng. Điều đó cũng có nghĩa là dữ liệu của bạn dễ bị các tác nhân xấu tấn công hơn. Đây là lý do tại sao các tổ chức như Givens ‘thích các ứng dụng lưu trữ thông tin trực tiếp trên thiết bị của người dùng. Nếu một ứng dụng lưu trữ dữ liệu trực tiếp trên điện thoại di động của bạn, bạn sẽ có toàn quyền kiểm soát nó. Không có ứng dụng nào được đánh giá ở trên cung cấp cho người dùng tùy chọn lưu trữ dữ liệu của họ cục bộ, nhưng Drip do Euki và Mozilla Foundation hậu thuẫn thì có.

Chia sẻ của bên thứ ba

Nếu bạn đã sử dụng Facebook để đăng nhập vào một trang web hoặc ứng dụng gần đây, bạn đã quen thuộc với một số cách mà các nhà phát triển ứng dụng chia sẻ thông tin với bên thứ ba. Hiểu công ty làm việc với bên thứ ba nào và loại dữ liệu nào được chuyển cho họ là một cách hữu ích để đánh giá mức độ bảo vệ của bạn. Ví dụ, chính sách bảo mật của Period Tracker thừa nhận việc chia sẻ ID thiết bị của người dùng với các mạng quảng cáo, điều này khá rủi ro. Nó cũng thể hiện sự sẵn lòng của họ để bán hoặc chuyển dữ liệu người dùng do kết quả của việc mua bán hoặc sáp nhập công ty. Thông thường, những ứng dụng xác định rõ ràng họ đang cung cấp thông tin cho ai và tại sao — giống như Clue — đáng tin cậy hơn.

Cũng rất hữu ích khi biết liệu dữ liệu có được ẩn danh thường xuyên (bị tước bỏ nhận dạng thông tin người dùng) trước khi được chia sẻ với các bên thứ ba này hay không. Tuy nhiên, đây không phải là thuốc chữa bách bệnh. Dữ liệu bị loại bỏ vẫn có thể dẫn trở lại người dùng cá nhân trong một số điều kiện nhất định. Học máy làm cho mối đe dọa này trở nên thực tế hơn, vì công nghệ này có thể tăng tốc các quá trình “nhận dạng lại” mờ ám. Mặc dù thề sẽ không tự chia sẻ dữ liệu người dùng, nhưng Clue vẫn chuyển dữ liệu ẩn danh cho một số nhóm nghiên cứu bên thứ ba. Mặc dù Stardust thể hiện cam kết hạn chế thông tin mà họ chia sẻ với bên thứ ba, nhưng chính sách của họ tuyên bố rằng họ có thể chia sẻ thông tin để “tuân thủ hoặc đáp ứng việc thực thi pháp luật,” hoặc để bảo vệ “an ninh của Công ty”. Lý tưởng nhất là các ứng dụng cực kỳ chọn lọc với bên thứ ba nào mà họ sẵn sàng chia sẻ thông tin — hoặc chúng hoàn toàn không chia sẻ với bên thứ ba.

Xóa dữ liệu

Mọi ứng dụng nên có các giao thức được thiết lập cho phép người dùng xóa dữ liệu cá nhân của họ khỏi hệ thống của nhà phát triển theo ý muốn. Mặc dù nhiều ứng dụng có trụ sở tại Hoa Kỳ bao gồm các giao thức này để tuân thủ Quy định chung về bảo vệ dữ liệu (GDPR) của Liên minh Châu Âu hoặc Đạo luật về quyền riêng tư của người tiêu dùng California (CCPA), người dùng nên chú ý đến các chính sách bảo mật rõ ràng mở rộng các đặc quyền xóa này cho tất cả người dùng, bất kể vị trí. Mặc dù vậy, điều này có thể phức tạp, Givens nói: “Nếu bạn không phải là cư dân của khu vực pháp lý mà luật pháp đang điều chỉnh, không có gì đảm bảo rằng họ sẽ tôn trọng điều đó”.

Ngay cả những ứng dụng đưa ra yêu cầu xóa dữ liệu không phải lúc nào cũng có thể thực hiện chúng một cách kịp thời hoặc đầy đủ. Flo, người có các hoạt động bảo mật đã đặt họ dưới sự giám sát của FTC vào năm 2021, nêu cụ thể trong chính sách quyền riêng tư của họ rằng sau khi xóa ứng dụng, họ “giữ lại dữ liệu cá nhân của bạn trong thời gian 3 năm trong trường hợp bạn quyết định kích hoạt lại”. Trình theo dõi thời gian thừa nhận đã giữ lại ID thiết bị di động của người dùng “trong tối đa 24 tháng” sau khi nhận được yêu cầu. Các ứng dụng an toàn nhất sẽ lưu giữ dữ liệu của bạn trong 30 ngày trở xuống và lý tưởng nhất là thay mặt bạn gửi yêu cầu xóa cho các bên thứ ba, giống như Clue.

Theo dõi vị trí

Nếu một ứng dụng lưu trữ dữ liệu vị trí một cách rõ ràng (như Lịch tuần hoàn và Trình theo dõi chu kỳ) thì ứng dụng đó sẽ dẫn đến một vấn đề lớn hơn về quyền riêng tư. Mặc dù ba trong số năm ứng dụng được phân tích ở đây dường như không lưu dữ liệu vị trí một cách rõ ràng, nhưng mỗi ứng dụng đều lưu địa chỉ IP của người dùng, có thể được sử dụng để xác định vị trí chung của ai đó. Flo, chẳng hạn, chia sẻ rõ ràng địa chỉ IP với các bên thứ ba như AppsFlyer.

Các hoạt động của Stardust tách địa chỉ IP của người dùng khỏi dữ liệu sức khỏe của họ, điều này giúp tăng tính bảo mật. Nhưng các nhà phê bình nói rằng phương pháp của họ thiếu mã hóa end-to-end thực sự. Bất kể, khi địa chỉ IP được kết hợp với dữ liệu bên ngoài, chẳng hạn như lịch sử tìm kiếm của người dùng hoặc thậm chí thông tin công khai khác về người dùng, chúng có thể dễ dàng tiết lộ danh tính của người đó và hoạt động của họ. CDT và những người ủng hộ quyền riêng tư khác đã cảnh báo rằng tin nhắn văn bản và lịch sử tìm kiếm của người dùng đã được sử dụng để chống lại họ trong các thủ tục pháp lý liên quan đến sức khỏe sinh sản của họ và hoạt động này có khả năng mở rộng.

Điểm mấu chốt

Vào cuối ngày, một ứng dụng theo dõi chu kỳ như Clue mang đến cho người dùng ít rủi ro hơn một chút so với các ứng dụng như Flo, Stardust, Lịch tuần hoàn và Trình theo dõi chu kỳ. Tuy nhiên, tất cả năm ứng dụng này, được chọn vì mức độ phổ biến quá lớn của chúng, lại bị lép vế khi so sánh với các tùy chọn an toàn hơn như Euki và Drip, như được chứng thực bởi Consumer Reports. Người dùng có thể phân tích càng xa càng tốt tất cả các ứng dụng của họ theo các tiêu chuẩn quy định trong Tiêu chuẩn kỹ thuật số, Chỉ số Mhealth và ở những nơi khác, người dùng có thể đưa ra quyết định thông minh về việc phù hợp với công ty nào — nhưng đánh giá rủi ro khi sử dụng các ứng dụng cụ thể là một khoa học không hoàn hảo. Ngoài việc cực kỳ tốn thời gian và thường gây nhầm lẫn, nó không ở đâu gần một sự thay thế phù hợp cho việc thiếu các biện pháp bảo vệ quyền riêng tư hợp pháp phổ biến dành cho tất cả người Mỹ.

Theo các chuyên gia về quyền riêng tư như Givens, các ứng dụng theo dõi chu kỳ đại diện cho phần nổi của tảng băng khi nói đến quyền riêng tư và bảo mật kỹ thuật sốRoe. CDT khuyến nghị mọi người nên tự đánh giá mức độ rủi ro của mình để xác định xem liệu việc sử dụng ứng dụng theo dõi chu kỳ có xứng đáng hay không. Trong khi đó, thực hiện các bước để bảo mật thông tin cá nhân của bạn như tin nhắn văn bản và lịch sử tìm kiếm có lẽ đáng giá hơn.

Đối với những người muốn tạo ra sự khác biệt, các chuyên gia khuyên bạn nên vận động trực tiếp đến các công ty công nghệ, đặc biệt là các tổ chức tiền lệ như Google và Meta (trước đây là Facebook) để yêu cầu các cá nhân bảo vệ tốt hơn. Các tập đoàn này cuối cùng sẽ phải đáp ứng các yêu cầu từ cơ quan thực thi pháp luật về dữ liệu người dùng và nhiều công ty đã hứa hạn chế việc giám sát của họ (nhưng cũng vận động hành lang tích cực chống lại luật và quy định về quyền riêng tư). Để mở đường cho chính sách tốt hơn, các công ty công nghệ nên hướng tới việc kiểm kê nghiêm túc dữ liệu họ đang thu thập, gửi báo cáo minh bạch thường xuyên và quan trọng nhất là đưa ra quan điểm công khai để bảo vệ quyền riêng tư sớm và thường xuyên.