arrow_back Blog
product

Miksi emme seuraa sijaintia: tietosuojalupaukseemme

By I'm Okay Team ·

Useimmat perheen turvallisuussovellukset seuraavat sijaintia. Me emme.

Tämä on tietoinen valinta, ja se vaikuttaa lähes kaikkeen muuhun siinä, miten I’m Okay toimii. Saamme siitä kysymyksiä jatkuvasti — käyttäjiltä, arvostelijoilta ja mahdollisilta ostajilta — joten tässä on pitkä vastaus.

Lupaus

I’m Okay kerää kaksi asiaa:

  1. Niiden yhteystietojen sähköpostiosoitteet, jotka olet itse lisännyt (jotta voimme ilmoittaa heille, jos jätät kirjautumisen väliin)
  2. Kirjautumistesi aikaleimat

Siinä kaikki. Listalta puuttuu huomionarvoisesti: mikään sinuun henkilökohtaisesti liittyvä. I’m Okay -sovellukseen ei luoda tiliä — ei sähköpostia, ei salasanaa, ei käyttäjätiliä. Sovellus tunnistaa sinut anonyymilla, laitekohtaisella tunnisteella. Emme tiedä nimeäsi. Meillä ei ole sähköpostiosoitettasi. Emme voi omin keinoin yhdistää kirjautumisiasi todelliseen henkilöllisyyteesi.

Emme kerää:

  • Sijaintiasi, ei koskaan
  • Terveystietojasi
  • Puhelimesi kiihtyvyysanturin, gyroskooppin tai muiden antureiden tietoja
  • Muita yhteystietojasi kuin ne 1–3 henkilöä, jotka olet itse lisännyt
  • Selaamishistoriaasi tai sovellustesi käyttötietoja
  • Kuviasi, mikrofoniasi tai kameraasi
  • Mitään “käyttäytymisanalytiikkaa” tai “käyttötottumuksia”

Jos jokin ominaisuus edellyttäisi jonkin tältä listalta löytyvän asian keräämistä, emme toteuta sitä.

Miksi tällä on merkitystä

Meillä on kolme syytä valita tietojen minimaalinen kerääminen — suunnilleen siinä järjestyksessä kuin ne nousivat esiin suunnittelun aikana.

1. Valvonta muuttaa ihmissuhteen luonnetta

Päivittäinen kirjautumissovellus sijoittuu herkälle tunnealueelle: ikääntyvän vanhemman ja aikuisen lapsen välille. Sovelluksen koko tarkoitus on lievittää molempien osapuolten ahdistusta — vanhemman “haluan olla itsenäinen” -tunnetta ja lapsen “haluan tietää, että heillä on kaikki hyvin” -huolta.

Heti kun sovellus alkaa kerätä enemmän kuin välttämättömän, tuo tunnetasapaino järkkyy. Vanhempi alkaa tuntea olevansa tarkkailun kohteena. Lapsella on enemmän dataa, jota tulkita pakonomaisesti. Sovelluksesta tulee helpotuksen sijaan uusi ahdistuksen lähde.

Kirjautumissovelluksen pitäisi tehdä ihmissuhteesta helpompi, ei valvotumpi. Se on mahdollista vain, jos sovellus kerää mahdollisimman vähän.

2. Tietoa, jota sinulla ei ole, ei voi käyttää väärin

Jokainen yrityksen keräämä tavu on tuleva vastuuriski. Tietomurtoja tapahtuu. Yritysostoja tapahtuu. Oikeuden määräämiä tiedonluovutuksia tapahtuu. Sisäisiä virheitä tapahtuu.

IBM:n ja Ponemonin vuoden 2022 tutkimuksen mukaan tietomurron keskimääräinen kustannus oli 4,35 miljoonaa dollaria. Tuo luku kasvaa. Eikä yrityksen kustannus ole ainoa mittari — käyttäjille sijainti-, terveystietojen ja päivärutiinien paljastuminen tietomurrossa on aidosti haitallista.

Yksinkertaisin puolustus on: älä kerää niitä alun perinkään. Emme voi menettää sitä, mitä meillä ei ole. Meitä ei voida pakottaa luovuttamaan sitä, mitä meillä ei ole. Emme voi houkuttua kaupallistamaan sitä, mitä meillä ei ole.

3. Emme halua liiketoimintamallia, joka edellyttää dataa

Kun yritys alkaa kerätä käyttäjädataa laajassa mittakaavassa, houkutus sen kaupallistamiseen on valtava. Jopa hyvillä aikomuksilla aloittaneet yritykset ajautuvat helposti sivuraiteille. Sijaintidata on erityisesti mainostajille, vähittäiskauppiaille ja datanvälittäjille erittäin arvokasta.

Emme halua toimia sillä alalla. Haluamme olla pieni, tarkasti rajattu tuote, jolla on kestävä tilausmalli: käyttäjät, jotka haluavat lisäominaisuuksia, voivat tilata App Storen kautta edulliseen kuukausihintaan (nykyinen hinnoittelu App Storessa), tarjoamme hyödyllisen palvelun, emme omista mitään valvontakoneistoa emmekä ole velkaa mitään mainostajille.

Tämä on mahdollista vain, jos emme koskaan aloita kyseisen datan keräämistä.

Mitä menetämme sillä, että emme seuraa sijaintia

Tämä on aito kompromissi. Ilman sijaintidataa I’m Okay ei pysty:

  • Kertomaan, onko vanhempasi kotona vai ulkona
  • Havaitsemaan, jos hän on poistunut tavanomaiselta alueelta
  • Vahvistamaan, että hän pääsi lääkärinvastaanotolle
  • Ilmoittamaan, jos hän on ollut sairaalassa tunnin ajan

Jos todella tarvitset näitä ominaisuuksia, Life360 ja vastaavat sovellukset ovat olemassa ja ne hoitavat ne hyvin. Emme yritä olla niiden kaltaisia.

Sen sijaan I’m Okay vastaa yksinkertaisimpaan versioon kysymyksestä “voiko vanhempani hyvin tänään?” — käyttäen yhtä päivittäistä painallusta kyllä/ei-signaalina. Se on paljon pienempi kysymys kuin “missä vanhempani on juuri nyt?”, mutta se osoittautuu juuri siksi kysymykseksi, johon useimmat perheet oikeasti haluavat vastauksen.

Entä “kaatumisen tunnistus” ja vastaavat ominaisuudet?

Meiltä on pyydetty lisäämään kaatumisen tunnistus, unenseuranta, sykkeen seuranta ja muita antureihin perustuvia ominaisuuksia. Olemme kieltäytyneet kaikista.

Perustelut:

  • Kaatumisen tunnistus vaatii kiihtyvyysanturin dataa, mikä tarkoittaa jatkuvaa taustakäsittelyä ja mahdollisia vääriä hälytyksiä, jotka heikentävät koko järjestelmän luotettavuutta.
  • Unenseuranta edellyttää, että käyttäjä pitää jotain yllään nukkuessaan — askel, johon useimmat itsenäiset ikäihmiset eivät johdonmukaisesti sitoudu.
  • Sykkeen seuranta tekee saman kuin Apple Watch niille käyttäjille, jotka sitä haluavat, eikä lisää mitään arvoa puhelimessa, jossa sykettä ei voi mitata tarkasti.

Nämä ominaisuudet kuulostavat hyviltä markkinointiteksteissä, mutta harvoin lunaistavat lupauksensa käytännössä. Ne myös vaativat enemmän datan keräämistä, enemmän akun kulutusta ja enemmän antureita — juuri niitä asioita, joita pyrimme välttämään.

Jos haluat kaatumisen tunnistuksen, Apple Watch on erinomainen valinta. Jos haluat unenseurannan, siihen on olemassa erillisiä sovelluksia. I’m Okay pysyy keskittyneenä yhteen asiaan, jonka se tekee hyvin: päivittäiseen kirjautumiseen.

Entä analytiikka? Eikö teidän tarvitse tietää, miten ihmiset käyttävät sovellusta?

Jonkin verran. Käytämme Applen tarjoamaa minimaalista analytiikkaa (anonyymi, koostettu, opt-out) ymmärtääksemme esimerkiksi kaatumisten esiintymistiheyden ja tuettavat käyttöjärjestelmäversiot. Emme käytä sovelluksessa Google Analyticsia, Mixpanelia, Amplitudea, Facebook SDK:ta tai mitään kolmannen osapuolen analytiikkatyökaluja.

Markkinointisivusto (tämä sivusto) käyttää Google Analytics 4:ää liikenteen mittaamiseen, koska meidän on ymmärrettävä, mikä sisältö on hyödyllistä. Olemme konfiguroineet sen niin, ettei se kerää IP-osoitteita tai muita tunnistavia tietoja tavanomaisten koottujen mittareiden lisäksi.

Tämä on toiminnan ehdoton minimi. Suhtaudumme siihen kuin velkaan — hyödyllinen nyt, mahdollinen poistettava myöhemmin.

”Just in Case” -ominaisuutemme on valvonnan vastakohta

Jos olet käyttänyt I’m Okay -sovelluksen Just in Case -ominaisuutta, saatat miettiä, miten se sopii yhteen tietosuoja-asenteemme kanssa.

Just in Case antaa sinun kirjoittaa yksityisen viestin, joka lähetetään luotetulle kontaktillesi vain siinä tapauksessa, että lopetat kirjautumisen pitkäksi aikaa (2, 3 tai 5 peräkkäistä väliin jätettyä kirjautumista, oman valintasi mukaan). Kyseessä on käyttäjän itse kirjoittama, erikseen aktivoitava viesti — kuin sinetöity kirje, joka avautuu vain tietyn ehdon täyttyessä.

Tämä on valvonnan vastakohta:

  • Viesti on sinun, sinun kirjoittamasi, emmekä me koskaan lue sitä.
  • Se on salattu lepotilassa.
  • Sinä asetat laukaisuehdon.
  • Sinulle ilmoitetaan ennen kuin mitään viestiä lähetetään (jotta voit peruuttaa, jos olet vain lomalla).

Tällainen ominaisuus on mahdollinen vain silloin, kun emme harjoita taustalla tapahtuvaa valvontaa — ristiriitaa ei synny, koska emme koskaan aloittaneet sitä.

Miten käsittelemme hallussapitämäämme dataa

Kaksi tallentamaamme asiaa (yhteystietojen sähköpostiosoitteet ja kirjautumisten aikaleimat):

  • Salataan siirrossa (HTTPS kaikissa API-kutsuissa)
  • Salataan lepotilassa (tietokantatason salaus taustajärjestelmässämme)
  • Ei koskaan myydä tai jaeta kolmansille osapuolille mihinkään tarkoitukseen
  • Poistetaan pyynnöstä 30 päivän kuluessa tietojen poistopyynnöstä (tiliä ei tarvitse sulkea, koska tiliä ei ole alun perinkään)
  • Ei käytetä mainontaan (emme näytä mainoksia)

Dataa käsitellään pilvi-infrastruktuurissa (tässä tapauksessa AWS), mikä tarkoittaa, että isännöintipalveluntarjoajalla on teoreettinen pääsy siihen — samoin kuin missä tahansa nykyaikaisessa verkkopalvelussa. Emme pidä tätä ihanteellisena, mutta se on käytännöllinen kompromissi. Data on niin minimaalista, että vaikka koko tietokantamme vuotaisi, käytännön haitat rajoittuisivat roskapostin lähettämiseen yhteystietojesi sähköpostiosoitteisiin.

Mitä toivomme tämän muuttavan

Olemme pieni tuote. Emme odota muuttavamme perheen turvallisuussovellusten kenttää omin voimin. Haluamme kuitenkin osoittaa muille tämän alan rakentajille jotain tärkeää:

Voit rakentaa hyödyllisen perheen turvallisuustuotteen keräämättä sijaintia, terveystietoja tai käyttäytymisdataa. Voit ylläpitää sitä pienellä tilauksella. Voit julkaista sen ilman riskipääomarahoitteista valvontaliiketoimintamallia.

Riippumatta siitä, seuraavatko muut yritykset esimerkkiämme, tämä on tuote, jota haluaisimme itse käyttää — ja jota toivoisimme myös vanhempiemme käyttävän.

Usein kysytyt kysymykset

Voitteko todistaa, että ette kerää sijaintidataa? Ei absoluuttisessa mielessä — se vaatisi koodipohjamme ja infrastruktuurimme auditointia. Voit kuitenkin tarkistaa asian itse: I’m Okay ei pyydä iOS-käyttöjärjestelmän sijaintilupaa. iOS itse varmistaa, että sovellus ei voi käyttää sijaintia ilman lupaikkunaa. Jos haluaisimme alkaa seurata sijaintia, meidän pitäisi pyytää lupaa näkyvällä käyttöjärjestelmätason valintaikkunalla. Vähintään tämä: niin kauan kuin et näe tuota valintaikkunaa, voit olla varma, ettei sijaintidata välity meille.

Mitä jos joku vaatii teitä oikeuden määräyksellä luovuttamaan tietoja? Noudattaisimme pätevää oikeudellista pyyntöä, kuten kaikkien yhdysvaltalaisten yritysten on tehtävä. Mutta mitä voimme luovuttaa, rajoittuu hallussapitämäämme dataan: sähköpostiosoitteisiin ja kirjautumisten aikaleimoihin. Meillä ei ole sijaintihistoriaa, yhteystietoluetteloa (lukuun ottamatta itse lisäämiäsi 1–3 henkilöä) eikä viestisisältöä (Just in Case -viesti on salattu, emmekä tallenna sitä selkokielisenä).

Lisäättekö koskaan seurantaominaisuuksia? Emme. Seurantavapaus on kirjattu palveluehtoihimme, ja pidämme sen muuttamista tuotteen olennaisena muutoksena. Jos näet I’m Okay -sovelluksen lisäävän sijainnin, terveyden tai käyttäytymisen seurannan, suhtaudu siihen kuin täysin eri tuotteeseen.

Entä jos teidät ostetaan? Saman datan minimointia koskevan sitoumuksen olisi siirryttävä mukana. Olemme rakentaneet tästä tuotteen neuvottelemattoman perusperiaatteen, ei markkinointiväitteen. Käytännössä, koska meillä ei ole tuota dataa, ostajalla ei olisi mitään kaupallistettavaa, vaikka hän niin haluaisi.

Eivätkö useimmat käyttäjät halua enemmän ominaisuuksia? Jotkut haluavat. Olemme hyväksyneet, että emme sovi heille. Valvontapainotteisille perhesovelluksille on olemassa todellinen markkina, ja ne ovat hyvin rahoitettuja. Tavoittelemme paljon pienempää — mutta todellista — käyttäjäryhmää ja perheitä, jotka haluavat juuri päinvastaista.

Uskomme, että tietosuoja ei ole jälkikäteen liimattava ominaisuus. Se on lähtökohtainen rajoite, joka muokkaa kaikkea muuta. I’m Okay on se, miltä päivittäinen kirjautumissovellus näyttää, kun tietosuoja on ensimmäisenä asetettu rajoite.

Jos tämä resonoi, kokeile sovellusta — ilmainen yhdelle yhteystiedolle, ei GPS:ää, ei valvontaa.

#privacy#design philosophy#data minimalism

Related articles