Aplikasi pelacak menstruasi Flo terbukti menjual data pengguna ke Meta

 (femtechdesigndesk.substack.com)
2 poin oleh GN⁺ 5 jam lalu | 2 komentar | Bagikan ke WhatsApp
  • Flo, yang menangani pelacakan menstruasi dan informasi terkait kehamilan, mengusung perlindungan privasi, tetapi pada kenyataannya dinyatakan bertanggung jawab karena membagikan secara komersial data siklus menstruasi, ovulasi, dan kehamilan kepada pihak ketiga seperti Meta
  • Kebocoran informasi sensitif ini bukan terjadi karena penyusupan dari luar, melainkan melalui desain produk internal dan keputusan privasi, dan pengiriman ke Meta bertentangan dengan janji privasi yang dipublikasikan
  • Struktur layar utama dan pencatatan berubah ke arah yang secara signifikan meningkatkan input gejala dan paparan saran, dan tampak lebih menguntungkan untuk iklan serta monetisasi daripada sekadar pelacakan siklus
  • Dalam struktur aplikasi wellness di luar cakupan HIPAA, standar persetujuan dan perlindungan mudah menjadi tidak jelas, dan operator aplikasi punya ruang besar untuk menetapkan luasnya pembagian serta penjualan data
  • Di pasar aplikasi kesehatan reproduksi yang digunakan jutaan orang, pilihan untuk memilih alat yang mengumpulkan lebih sedikit data menjadi makin penting, dan pengumpulan data yang memprioritaskan penjualan iklan tanpa persetujuan dapat mengguncang keandalan informasi turunannya

Pembagian data dan putusan hukum

  • Flo dinyatakan bertanggung jawab terkait penjualan data kesehatan sensitif ke Meta, meski sebelumnya menyatakan melindungi privasi pengguna
  • Dalam putusan juri Frasco v. Flo, disebutkan bahwa aplikasi Flo secara komersial membagikan informasi siklus menstruasi, ovulasi, dan kehamilan kepada pihak ketiga seperti Meta, Google, dan Flurry
  • Meta juga dinyatakan bertanggung jawab karena mengumpulkan data kesehatan reproduksi yang sensitif dan memanfaatkannya untuk kepentingannya sendiri
  • Gugatan ini mencakup 13 juta pengguna Flo sebagai penggugat, dan perkara terkait telah berlanjut di AS dan Kanada sejak 2021

Bukan peretasan, melainkan desain produk

  • Bukan platform pihak ketiga yang menyusupi aplikasi, melainkan informasi sensitif disalurkan langsung melalui keputusan privasi internal Flo
  • Di dalam aplikasi disisipkan alat "eavesdropping" yang diam-diam, dan informasi seperti siklus menstruasi, ovulasi, serta apakah pengguna sedang mencoba hamil dikirim ke Meta
  • Pengiriman semacam ini bertentangan dengan isi kebijakan privasi yang menyatakan hal itu tidak akan dilakukan
  • Pembagian data track-and-sell untuk monetisasi lebih mendekati cara kerja sebenarnya

Arah UX produk dan monetisasi

  • Desain femtech yang pinkwashing dapat berperan menutupi keputusan produk yang tidak etis
  • Layar utama Flo makin lama makin rumit dan padat setelah beberapa pembaruan, dan pencatatan gejala serta paparan saran menjadi begitu besar hingga menutupi fungsi pelacakan siklus itu sendiri
  • Item gejala ditempatkan di bagian depan, dengan susunan yang mendorong pengguna memasukkan lebih banyak kondisi fisik yang negatif
  • Dalam konteks gugatan Flo-Meta, susunan seperti ini mudah terhubung dengan iklan produk pereda gejala, dan memiliki peluang monetisasi lebih besar daripada sekadar kalender menstruasi
  • Bersamaan dengan platform yang menjadi sorotan lewat putusan terbaru terkait kerugian pribadi, desain berpusat pada iklan seperti ini terlihat makin mengganggu

Wilayah abu-abu di luar HIPAA

  • Karena adanya kesenjangan antara HIPAA dan aplikasi wellness, persetujuan dan perlindungan privasi menjadi sangat tidak jelas dalam perangkat lunak pelacakan kesehatan non-klinis
  • Flo mengubah kebijakan privasinya 13 kali antara 2016 hingga 2019, periode yang menjadi pokok sengketa hukum, tetapi gagal membuat persetujuan pengguna benar-benar jelas
  • Banyak reproductive health tech di pasar saat ini tidak terhubung langsung ke layanan klinis atau komunikasi dengan tenaga medis, sehingga mudah berada di luar cakupan hukum perlindungan informasi kesehatan yang berlaku
  • Akibatnya, operator aplikasi bisa menetapkan secara luas kebijakan pembagian data, penjualan, dan pelaporan ke lembaga pemerintah, dan desain persetujuan di dalam produk juga sangat bergantung pada penilaian internal
  • Dalam struktur seperti ini, pola persetujuan yang longgar bisa terus dirilis meski menangani data yang sangat sensitif

Pihak yang bertanggung jawab dan masalah organisasi

  • Kasus ini lebih mendekati struktur yang mengorbankan pengguna demi keuntungan, dengan peran internal seperti hukum, desain, engineering, dan penjualan saling terhubung, bukan akibat serangan dari luar
  • Sulit memastikan jumlah pasti personel Flo dan siapa yang bertanggung jawab langsung antara 2016 hingga 2019, tetapi skala operasinya saat itu digambarkan sebagai organisasi yang relatif kecil
  • Sejumlah kecil orang itu yang menentukan cara pengumpulan, penyimpanan, dan pembagian data kesehatan sensitif milik jutaan pengguna di seluruh dunia, beserta cara kebijakannya disampaikan

Pilihan konsumen dan batas pengumpulan data kesehatan

  • Regulasi hukum bergerak lambat dalam mengejar teknologi, dan kekosongan itu terasa makin besar terutama dalam tren perluasan pengumpulan data kesehatan perempuan
  • Tujuan untuk mengurangi kesenjangan data dalam kesehatan perempuan memang masuk akal, tetapi seberapa besar kepercayaan yang bisa diberikan kepada perusahaan swasta di luar kendali klinis tetap menjadi masalah
  • Jika ditambah saran kesehatan berbasis AI generatif, maka kualitas data dan keandalan hasil generatif juga bisa ikut goyah dalam struktur aplikasi yang menghindari kewajiban perlindungan pengguna
  • Jika data dikumpulkan dengan cara yang memprioritaskan penjualan iklan kepada pihak ketiga tanpa persetujuan langsung, maka hasil turunannya pun sulit dipercaya
  • Lebih dari sepertiga perempuan di AS menggunakan aplikasi pelacak menstruasi, dan tingkat penggunaan serupa juga dilaporkan di UE, sementara kini pilihannya meluas ke ratusan aplikasi pelacak siklus serta pelacak bawaan di aplikasi kesehatan lain dan wearable

Beralih ke alat yang mengumpulkan lebih sedikit data

  • Berbeda dari Flo yang dulu sempat menjadi pilihan langka di pasar, kini ada lebih banyak ruang untuk memilih aplikasi yang memangkas fitur dan meminimalkan pengumpulan data
  • WildAI tidak menanyakan detail seperti apakah pengguna melakukan masturbasi, sehingga tidak membuka peluang informasi semacam itu berpindah ke perusahaan teknologi besar
  • Mencatat diri seksual secara rinci, khususnya dalam lingkungan post-Dobbs dan di bawah standar privasi digital yang longgar, makin perlu ditinjau kembali apakah manfaat kesehatannya sepadan dengan risikonya
  • Ditambah kekhawatiran pelanggaran privasi pada perangkat dewasa itu sendiri, alat yang lebih sederhana tanpa fitur konektivitas kadang justru tampak sebagai pilihan yang lebih baik

Bacaan terkait

2 komentar

 
unsure4000 3 jam lalu

Belakangan Meta sempat terlihat sedikit kurang menjijikkan, tapi ini membuat kemarahan saya terhadap Meta terisi lagi.
Sedikit di luar topik, belakangan juga sempat ada omongan bahwa berbagai lockdown OS itu hasil lobi Meta... dari kisah awal berdirinya sampai setiap langkahnya, sepertinya mereka benar-benar sudah menukar habis rasa etika.
 
GN⁺ 5 jam lalu
Opini Hacker News

  • Rasanya kalau aplikasi ini bisa dapat 5 sen lebih banyak dengan menjual data lokasi ke organisasi penculik, mereka juga akan melakukannya
    Menurut saya, praktis tidak ada aplikasi yang benar-benar peduli pada privasi atau kepentingan pengguna

    • Itu juga yang selalu ingin saya katakan saat bekerja di privacy products
      Kalau data sudah ada di server milik orang lain, kita harus berasumsi bahwa pada akhirnya mereka pasti akan memanfaatkannya dengan cara tertentu
      Dari sudut pandang perusahaan, kalau ada data yang secara harfiah seperti bongkahan emas di dalam DB sqlite, mengatakan "jangan jalankan query ini" benar-benar tidak masuk akal secara bisnis
    • Memang ada pengecualian
      Kalau FOSS, itu mungkin saja
    • Sepertinya memang benar Apple sudah menambahkan banyak kontrol privasi untuk pengguna
      Jadi setidaknya ada sebagian aplikasi yang terlihat seperti benar-benar memperhatikannya
    • Pada akhirnya mereka cuma berhenti melakukan hal seperti ini sampai risiko ketahuan dan tingkat hukuman saat tertangkap lebih besar daripada keuntungannya
      Kalau lembaga yang menegakkan undang-undang perlindungan data seperti GDPR benar-benar bekerja dengan baik, para pembuat aplikasi pasti akan jauh lebih hati-hati soal apa yang dimasukkan dan ke mana data dikirim
      Tapi karena lembaga-lembaga itu tidak banyak bergerak secara efektif, menurut saya praktik ini sekarang sudah begitu umum sampai-sampai hampir setiap aplikasi besar pantas kena denda 20 juta dolar

  • Saya tidak punya susunan perangkat untuk memakai aplikasi seperti ini, tapi saya heran kenapa ini harus jadi aplikasi yang berpusat pada layanan
    Saya tidak paham fitur apa dalam pelacakan informasi kesehatan yang benar-benar membutuhkan server

    • Bagian yang butuh server itu sisi pengawasannya
      Kalau pakai GrapheneOS, akses internet bisa dinyalakan dan dimatikan per aplikasi
    • Saya tidak tahu aplikasi ini secara spesifik, tapi kalau bentuknya layanan, memang jadi mungkin ada fitur yang cukup bagus seperti sinkronisasi antarperangkat atau berbagi data dengan orang yang dipercaya
    • Kemungkinan besar karena model bisnis yang lebih baik
      Mengirim data ke server, menampilkan iklan di aplikasi, dan menjual ulang data demografis jauh lebih menguntungkan daripada sekadar memungut harga instalasi
      Di bidang ini hampir pasti ada aplikasi yang tidak butuh server, tidak mengirim data ke Meta seperti menelepon, dan lebih murah, tapi kemungkinan pemasarannya tidak sebaik itu
      Dari pengalaman saya di dunia startup, kemungkinan besar pengembang ini ingin melakukan pelacakan instalasi kampanye pemasaran, atau butuh fungsi dari library Meta lalu memasukkannya tanpa tahu atau tanpa peduli pada efek sampingnya
    • Pasangan saya memakai Flo yang dibahas di artikel ini, dan saya juga membuat akun agar datanya bisa dibagikan dengan saya
      Seharusnya mereka bisa saja memakai sinkronisasi P2P dengan enkripsi lokal, atau kalaupun lewat server tetap diproses dengan E2E
      Agak mengejutkan bahwa sampai sekarang masih belum ada E2E, tapi sekarang rasanya juga tidak mengejutkan lagi
    • Kalau bukan karena ekosistem OS mobile yang kacau seperti ini, mestinya aplikasi yang masuk akal sudah muncul
      Tapi orang-orang sering bicara soal keamanan OS yang "modern"
      Padahal mereka mengabaikan bahwa kebocoran data seperti ini hampir merupakan contoh terburuk dari masalah keamanan

  • Bukankah ini sesuatu yang sudah kita tahu sejak beberapa tahun lalu?
    Pelanggaran privasi oleh aplikasi pelacak menstruasi sudah didokumentasikan secara rinci sampai 2021, dan kaitannya dengan Meta juga sudah pernah dibahas
    Meta ‘eavesdropping’ on Flo exposes how period apps are a data… | TBIJ

  • Sekarang jujur saya lebih dekat ke posisi sudah kebal terhadap hal seperti ini
    Di Toronto, ternyata orang bisa merekam interior kondominium tetangga 24 jam nonstop dan menyiarkannya langsung ke internet, sementara penghuninya tidak tahu, dan pada praktiknya tidak ada penegakan apa pun
    Jadi sekarang saya jadi privacy nihilist, dan berasumsi informasi tentang siapa pun akan selalu disalahgunakan
    Menurut saya orang lain juga sebaiknya berpikir begitu

    • Saya tidak tahu hukum Kanada, tapi AS juga mirip
      Jika Anda berada di ruang publik, atau bisa dilihat oleh orang yang berada di ruang publik, maka dianggap tidak ada ekspektasi privasi yang wajar
      Begitulah cara kerja paparazzi juga
    • Pasrah bukan respons yang baik
      Mendorong orang lain supaya ikut mati rasa juga lebih buruk lagi

  • drip source
    Sudah ada sejak 2019 dan pembaruan terakhirnya 2 bulan lalu
    Mendukung iOS, Android dan dibuat dengan React Native

    Mensinator source
    Sudah ada sejak 2024 dan pembaruan terakhirnya 2 minggu lalu
    Berbasis Android, Kotlin

    Menstrudel source
    Sudah ada sejak 2015 dan pembaruan terakhirnya 3 minggu lalu
    Mendukung iOS, Android dan berbasis Dart

    Tyd source
    Sudah ada sejak 2023 dan pembaruan terakhirnya 2 tahun lalu
    Berbasis iOS, Swift

    Dan seseorang juga memberi tahu alternatif tertutup yang mendapat ORCHA 92% https://www.my28x.com/

    Hal yang paling ingin saya lihat adalah standar format data
    Data harus bisa dibawa dan dipindahkan dengan mudah ke aplikasi lain, sehingga kalau sebuah aplikasi tidak etis atau aplikasi OSS favorit berhenti diperbarui, perpindahannya tetap sederhana
    Beberapa aplikasi memang sudah punya fitur ekspor, jadi akan bagus kalau ada konverter yang menghubungkan struktur data bersama dengan aplikasi-aplikasi proprietari yang populer

    • Ah, saya barusan salah tulis
      Menstrude bukan mulai 2015 melainkan 2025

  • Karena Meta hanya peduli pada pendapatan iklan, saya jadi bertanya-tanya apakah mereka meneliti atau sudah menemukan hubungan antara siklus perempuan dan pola pembelian

    • Saya tidak menerima asumsi bahwa Meta cuma mengejar pendapatan iklan
      Rasanya mereka akan mengambil pendapatan apa pun kalau bisa
      Data yang sama juga bisa dijual ulang ke pihak seperti Palantir atau kementerian kesehatan RFK Jr
      Kalau seseorang melewatkan beberapa menstruasi lalu tiba-tiba mulai lagi, sangat mudah membayangkan skenario di mana itu dianggap sebagai aborsi ilegal dan berujung sampai penggerebekan SWAT
    • Saya sempat mengira ini bercanda
      Korelasinya ada di mana-mana bahkan pada tingkat yang sangat sepele
      Contoh paling jelas, kalau menstruasi berhenti itu bisa berarti hamil atau menopause, dan kalau begitu pembelian produk kebersihan wanita tertentu kemungkinan juga ikut berhenti
    • Ini cerita yang sudah sangat lama
      https://www.forbes.com/sites/kashmirhill/2012/02/16/how-target-figured-out-a-teen-girl-was-pregnant-before-her-father-did/

  • Ada rekomendasi aplikasi kesehatan privat di Privacyguides
    https://www.privacyguides.org/en/health-and-wellness/#menstrual-cycle-tracking

  • Membayangkan informasi seperti waktu orgasme terakhir dikirim ke tim Mark Zuckerberg benar-benar mengerikan
    Dari yang saya pahami sebagai orang nonahli, ini tampaknya kasus aplikasi yang dihubungkan ke pipeline pengawasan ad-tech standar, lalu konsep seperti catatan menstruasi pengguna atau masuk ke mode kehamilan dikirim ke platform penargetan Meta untuk meningkatkan pendapatan iklan

    Sekarang saya jadi ingin melihat siapa sebenarnya manajemen Flo, serta latar belakang industri dewan dan jajaran C-level mereka
    Saya tahu korelasi bukan kausalitas, tapi saya penasaran latar belakang seperti apa yang bisa berujung pada pelanggaran privasi seperti ini

    Dari penelusuran bantuan AI saya yang bias dan terbatas, pelanggaran ini berlangsung dari Juni 2016 sampai Februari 2019, dan perusahaan itu tampaknya dirancang sebagai bisnis yang berdekatan dengan layanan kesehatan yang menyasar pasar konsumen berbasis langganan yang tidak berada di bawah HIPAA

    Investornya tampak menyukai pola consumer subscription apps dengan loop pertumbuhan berbasis iklan,
    model bisnisnya menumbuhkan aplikasi gratis atau freemium melalui akuisisi berbayar di platform iklan Meta·Google·TikTok,
    lalu demi mengoptimalkan belanja iklan, event konversi perlu dikirim kembali ke platform-platform itu,
    dan SDK tersebut pada dasarnya dirancang untuk menyedot data sebanyak mungkin secara default

    Pada periode pelanggaran itu, tampaknya juga belum ada eksekutif tingkat C-level Privacy/Data Protection

  • Saya tidak paham kenapa orang mengira aplikasi yang tidak patuh HIPAA akan melindungi privasi setingkat data medis
    Memang benar Flo mengkhianati kepercayaan pengguna, tapi kepercayaan itu sendiri tampaknya sejak awal salah tempat

    • Orang memang terbiasa hidup di pasar yang diatur ketat
      Saat membeli selada di supermarket, orang tidak akan bertanya di bawah rezim regulasi apa selada itu dijual
      Mereka hanya percaya bahwa kalau makanan dijual di toko bahan pangan, berarti memenuhi standar sosial
      Bahkan kalau memesan daging mentah lewat Amazon, mereka tetap menganggap standarnya akan terpenuhi
      Masalahnya, aplikasi wellness adalah produk yang dirancang agar berada di luar kerangka regulasi yang dibayangkan orang
    • Banyak orang bahkan tidak tahu apa itu HIPAA
      Di mata kita yang akrab dengan teknologi mungkin itu terlihat naif, tapi kalau ada aplikasi terkait medis di curated app store, orang akan secara alami menganggap informasi medis mereka juga aman di sana
    • Orang cuma ingin mencatat sesuatu, jadi mereka tidak terlalu melihat syarat dan ketentuan atau apakah aplikasi itu patuh HIPAA
      Aplikasi seperti ini menyebar karena eksposur app store, rekomendasi, dan dari mulut ke mulut, bukan karena detail regulasi
    • Apple dan Google bilang data saya aman, jadi aplikasinya juga pasti aman, HIPAA itu apa — rasanya lebih dari separuh orang akan berpikir seperti itu

  • Saya tidak menstruasi jadi mungkin bukan orang yang paling tepat, tapi jelas sekali dunia butuh alternatif FOSS yang solid untuk Flo
    Kalau ada lebih banyak perempuan di GNU, mungkin itu sudah ada sejak lama

    • Saya merangkum singkat opsi FOSS yang ada saat ini
      https://news.ycombinator.com/item?id=47936103
    • Aplikasi FOSS serupa seperti Drip sudah lama ada di F-Droid
    • https://www.my28x.com/
      Saya baru-baru ini mendengar presentasi pendiri startup ini; gratis dan berfokus lokal, tapi tampaknya bukan OSS
      Nilai ORCHA-nya tinggi, tapi saya masih ingin melihat apakah model bisnis ini bisa dipertahankan
    • https://news.ycombinator.com/item?id=47934116
    • Entah sudah berapa kali lagi kita harus melihat big tech tidak menghormati privasi
      Sekarang ini rasanya nyaris seperti lelucon
      Big tech sampai melacak siklus perempuan? Ya tentu saja mereka melakukannya
      Kalau ini saja belum cukup menjijikkan untuk mulai serius mencari alternatif, saya tidak tahu apa lagi yang bisa jadi pemicunya