arrow_back Blog
product

Miks me asukohta ei jälgi: meie privaatsuslubadus

By I'm Okay Team ·

Enamik pereturvalisuse rakendusi jälgib asukohta. Meie ei tee seda.

See on teadlik valik, mis kujundab peaaegu kõike muud selles, kuidas I’m Okay töötab. Meilt küsitakse selle kohta pidevalt — kasutajatelt, retsensendelt, potentsiaalsetelt ostjatelt — seega on see siin pikk vastus.

Lubadus

I’m Okay kogub kahte asja:

  1. Nende kontaktide e-posti aadressid, kelle olete selgesõnaliselt lisanud (et saaksime neid teavitada, kui jätate registreerimise vahele)
  2. Teie registreerimiste ajatemplid

See on täielik loend. Märgatavalt puudub sealt: igasugune teave teie enda kohta. I’m Okay ei nõua registreerumist — ei e-posti, ei parooli, ei kontot. Rakendus tuvastab teid anonüümse, seadmepõhise identifikaatori abil. Me ei tea teie nime. Meil ei ole teie e-posti aadressi. Me ei suuda iseseisvalt seostada teie registreerimisi reaalse identiteediga.

Me ei kogu:

  • Teie asukohta, mitte kunagi
  • Teie tervisandmeid
  • Teie telefoni kiirendusmõõturi, güroskoopi ega muu anduri andmeid
  • Teie kontakte peale nende 1–3, kelle olete selgesõnaliselt lisanud
  • Teie sirvimisajalugu ega rakenduste kasutust
  • Teie fotosid, mikrofoni ega kaamerat
  • Mingeid “käitumisanalüütika” ega “kasutusmustreid”

Kui mõni funktsioon nõuaks meilt selle loendi seast midagi koguma hakata, me seda funktsiooni ei ehita.

Miks see on oluline

Meil oli andmete mittekogumise valiku tegemisel kolm põhjust, ligikaudu selles järjekorras, nagu need kujundamisprotsessis esile kerkisid.

1. Jälgimine muudab suhet

Igapäevase registreerimise rakendus asub emotsionaalselt tundlikus ruumis: eaka vanema ja täiskasvanud lapse vahel. Rakenduse kogu mõte on vähendada ärevust mõlemal poolel — vanema „tahan olla iseseisev” ärevust ja lapse „tahan teada, et neil on kõik hästi” ärevust.

Niipea kui rakendus hakkab koguma rohkem kui minimaalselt vajalikku, see emotsionaalne tasakaal nihkub. Vanem tunneb end jälgituna. Lapsel on rohkem andmeid, mida obsessiivselt tõlgendada. Rakendus ei paku enam leevendust, vaid muutub uueks rahutuse allikaks.

Registreerimisrakendus peaks muutma suhte lihtsamaks, mitte rohkem jälgituks. See on võimalik ainult siis, kui rakendus kogub peaaegu mitte midagi.

2. Andmeid, mida teil pole, ei saa väärkasutada

Iga andmebait, mida ettevõte kogub, on tulevikukohustus. Andmelekked juhtuvad. Ülevõtmised juhtuvad. Kohtukutsed juhtuvad. Sisemised vead juhtuvad.

IBM-i ja Ponemon Institute’i 2022. aasta uuringu kohaselt oli andmelekke keskmine maksumus 4,35 miljonit dollarit. See number kasvab. Ja kulu ettevõttele pole ainus mõõdupuu — kasutajate jaoks on nende liikumiste, tervisandmete ja igapäevarutiinide avalikuks saamine lekke korral tõeliselt kahjulik.

Lihtsaim kaitse on: ärge koguge neid andmeid üldse. Me ei saa kaotada seda, mida meil pole. Meilt ei saa kohtukutsega nõuda seda, mida meil pole. Meil pole kiusatust monetiseerida seda, mida meil pole.

3. Me ei soovi ärimudelit, mis nõuab andmeid

Kui ettevõte hakkab massiliselt kasutajaandmeid koguma, on surve neid monetiseerida tohutu. Isegi head kavatsustega alustanud ettevõtted kalduvad ajapikku kõrvale. Asukohateave on eriti väärtuslik reklaamijatele, jaemüüjatele ja andmemaakleritele.

Me ei taha selles äris olla. Soovime olla väike, fokusseeritud toode jätkusuutliku tellimusmudeli alusel: kasutajad, kes soovivad lisafunktsioone, saavad tellimuse App Store’ist mõistliku kuutasu eest (hetkehinnad App Store’is), pakume kasulikku teenust, meil pole jälgimistehnikat, me ei võlgne reklaamijatele midagi.

See on võimalik ainult siis, kui me pole andmete kogumist alustanudki.

Mida me kaotame asukohta mitte jälgides

Kompromiss on reaalne. Ilma asukohaandmeteta ei suuda I’m Okay:

  • Öelda teile, kas teie vanem on kodus või väljas
  • Tuvastada, kui nad on harjumuspärasest piirkonnast lahkunud
  • Kinnitada, et nad jõudsid arsti juurde
  • Teavitada teid, kui nad on tund aega haiglas olnud

Kui vajate tõepoolest neid funktsioone, siis Life360 ja sarnased rakendused on olemas ning teevad seda hästi. Me ei püüa olla nemad.

Selle asemel vastab I’m Okay kõige lihtsamale küsimusele: „Kas minu vanemal on täna kõik hästi?” — kasutades üht igapäevast puudutust jah/ei signaalina. See on palju lihtsam küsimus kui „kus on mu vanem praegu?”, kuid osutub just selleks, mida enamik peresid tegelikult teada tahab.

Aga kukkumise tuvastamine ja sarnased funktsioonid?

Meid on palutud lisada kukkumise tuvastamist, une jälgimist, pulsiseiret ja muid anduripõhiseid funktsioone. Oleme kõigist keeldunud.

Põhjendus:

  • Kukkumise tuvastamine nõuab kiirendusmõõturi andmeid, mis tähendab pidevat taustaprogrammi tööd ja potentsiaalseid valepositiivseid tulemusi, mis õõnestavad usaldust kogu süsteemi vastu.
  • Une jälgimine nõuab, et kasutaja kannaks unes midagi, mis on samm, mida enamik iseseisvaid eakaid ei suuda järjepidevalt teha.
  • Pulsiseire dubleerib seda, mida Apple Watch teeb kasutajatele, kes seda soovivad, ning lisab telefonis null väärtust, kus südame löögisagedust tegelikult täpselt mõõta ei saa.

Need funktsioonid kõlavad turundustekstis hästi, kuid toimivad praktikas harva hästi. Lisaks nõuavad need rohkem andmete kogumist, rohkem aku kasutust, rohkem andureid — täpselt seda, mida me väldime.

Kui soovite kukkumise tuvastamist, on Apple Watch suurepärane. Kui soovite une jälgimist, on selleks pühendatud rakendused olemas. I’m Okay jääb fokusseerituks ühele asjale, mida ta hästi teeb: igapäevasele registreerimisele.

Aga analüütika? Kas te ei pea teadma, kuidas inimesed rakendust kasutavad?

Natuke ikka. Kasutame Apple’i pakutavat minimaalset analüütikat (anonüümne, koondatud, loobumisega hallatav), et mõista selliseid asju nagu krahhi määrad ja milliseid operatsioonisüsteemi versioone toetada. Me ei kasuta rakenduses Google Analytics’i, Mixpaneli, Amplitude’i, Facebooki SDK-d ega ühtegi kolmanda osapoole analüütikavahendeid.

Turundusveebisait (see sait) kasutab liikluse mõõtmiseks Google Analytics 4-i, kuna peame mõistma, milline sisu on kasulik. Oleme selle konfigureerinud nii, et see ei kogub IP-aadresse ega ühtegi tuvastavat teavet peale standardsete koondmõõdikute.

See on toimimiseks vajalik miinimum. Käsitleme seda kohustusena — praegu kasulik, hiljem eemaldamise kandidaat.

Meie „Just in Case” funktsioon on jälgimise vastand

Kui olete kasutanud I’m Okay Just in Case funktsiooni, võite mõelda, kuidas see sobib meie privaatsushoiakuga.

Just in Case võimaldab teil kirjutada privaatse sõnumi, mis saadetakse teie usaldusväärsele kontaktile ainult siis, kui lõpetate registreerimise pikemaks ajaks (2, 3 või 5 vahele jäetud päeva, teie valik). See on vabatahtlik, kasutaja kirjutatud sõnum — nagu pitsat­tatud kiri, mis avab end ainult teatud tingimusel.

See on jälgimise vastand:

  • Sõnum on teie oma, kirjutatud teie poolt, meie poolt mitte kunagi loetud.
  • See on puhkeolekus krüpteeritud.
  • Käivitustingimuse määrate teie ise.
  • Teid teavitatakse enne kui ühtegi sõnumit saadetakse (et saaksite tühistada, kui olete lihtsalt puhkusel).

Selline funktsioon on võimalik ainult siis, kui me ei tee samal ajal taustajälgimist — konflikti pole, sest me pole kunagi alustanud.

Kuidas käitleme andmeid, mis meil on

Kaks asja, mida salvestame (kontaktide e-posti aadressid, registreerimiste ajatemplid), on:

  • Krüpteeritud edastamisel (HTTPS kõigi API-kutsete jaoks)
  • Krüpteeritud puhkeolekus (andmebaasi taseme krüpteerimine meie serveripoolel)
  • Mitte kunagi müüdud ega jagatud kolmandate osapooltega ühelgi eesmärgil
  • Kustutatud nõudmisel 30 päeva jooksul pärast andmete kustutamise taotlust (kontot pole vaja sulgeda, kuna kontot polnudki)
  • Mitte kasutatud reklaami jaoks (me ei kuva reklaame)

Andmeid töödeldakse pilveinfrastruktuuris (antud juhul AWS), mis tähendab, et meie hostimisteenuse pakkujal on teoreetiline juurdepääs — sama kehtib iga tänapäevase veebiteenuse puhul. Me ei pea seda ideaalseks, kuid see on pragmaatiline kompromiss. Andmed on piisavalt minimaalsed, et isegi kui meie kogu andmebaas lekiks, piirduks praktiline kahju rämpsposti saatmisega teie kontaktide e-posti aadressidele.

Mida me loodame sellega muuta

Oleme väike toode. Me ei oota, et muudaksime pereturvalisuse kategooriat üksinda. Kuid soovime teistele selle valdkonna loojatele midagi tõestada:

Saab luua kasulikku pereturvalisuse toodet ilma asukohta, tervist ega käitumist kogumata. Saab seda ülal pidada väikese tellimusega. Saab seda saata ilma riskikapitalist rahastatud jälgimis­ärimudeli abita.

Sõltumata sellest, kas teised ettevõtted järgivad seda eeskuju, on see toode, mida me ise kasutada tahame — ja mida loodame, et ka meie oma vanemad kasutaksid.

Korduma kippuvad küsimused

Kas saate tõestada, et te asukohta ei kogu? Mitte absoluutses mõttes — selleks peaks auditeerima meie koodi ja infrastruktuuri. Kuid saate kontrollida: I’m Okay ei küsi iOS-i asukohaluba. iOS ise tagab, et rakendus ei pääse asukohale juurde ilma loaküsimuse hüpikakna kuvamiseta. Kui tahaksime hakata asukohta jälgima, peaksime küsima luba nähtavas OS-i taseme dialoogis. Seega: vähemalt seni, kuni te seda dialoogi ei näe, võite olla kindel, et asukohaandmed ei voogla.

Mis saab, kui teile saadetakse kohtukutse? Täidaksime kehtivat juriidilist nõuet, nagu iga USA-l põhinev ettevõte peab tegema. Kuid see, mida me saame üle anda, piirdub meie valduses olevate andmetega: e-posti aadressid ja registreerimiste ajatemplid. Meil pole asukoha ajalugu, kontaktide nimekirja (peale nende 1–3, kelle te selgesõnaliselt lisasite), ega sõnumi sisu (Just in Case sõnum on krüpteeritud ja me ei salvesta seda lihttekstina).

Kas lisate kunagi jälgimisfunktsioone? Ei. Jälgimisest loobumine on kirjas meie kasutustingimustes ning kui me kunagi tahaksime sellest kõrvale kalduda, käsitleksime seda toote olulise muutusena. Kui näete kunagi, et I’m Okay lisab asukoha-, tervise- või käitumisjälgimist, peaksite seda kohtlema kui erinevat toodet.

Mis saab, kui teid üle ostetakse? Sama andmete minimeerimise kohustus peaks jätkuma. Oleme selle struktureerinud toote lahutamatu osana, mitte turundusväitena. Praktiliselt kuna meil ei ole neid andmeid, ei oleks ostjal midagi monetiseerida, isegi kui nad tahaksid.

Kas enamik kasutajaid ei soovi rohkem funktsioone? Mõned soovivad. Oleme leppinud sellega, et pole neile mõeldud. Jälgimiserohkete pererakenduste turg on reaalne ja hästi rahastatud. Meie sihime palju väiksemat (kuid reaalselt olemasolevat) kasutajate ja perede sihtrühma, kes soovivad vastupidist.

Usume, et privaatsus pole funktsioon, mille hiljem külge lisada. See on alguspiirang, mis kujundab kõike muud. I’m Okay on see, milline näeb välja igapäevane registreerimisrakendus, kui privaatsus on kõige ees seisev piirang.

Kui see tundub teile lähedane, kutsume teid seda proovima — 1 kontakti jaoks tasuta, ilma GPS-i ja jälgimiseta.

#privacy#design philosophy#data minimalism

Related articles