약속이 아니라 아키텍처로 프라이버시를 보장한다

약속 모델

대부분의 "프라이버시 우선" 제품은 하나의 약속 위에 조직되어 있다. "데이터는 수집하지만, 조심히 다룬다고 약속합니다." 그 약속이 진심일 때도 있고, CEO 교체에서 살아남을 때도 있고, 소환장에 무너질 때도 있다. 약속은 구조적으로 그 약속을 한 회사만큼만 오래간다.

아키텍처 모델

다른 길: 제품 자체를 그렇게 만들어 약속이 물리적으로 불필요하게 만든다. 계정 없음. 텔레메트리 없음. 클라우드 동기화 없음. 네트워크 권한을 꺼도 앱은 계속 동작한다. 프라이버시 속성은 정책 페이지로 주장되지 않고, 그것을 깨뜨릴 수 있는 코드가 단 한 줄도 존재하지 않는다는 사실로 강제된다.

구체적으로:

• 분석 SDK 없음. Mixpanel도, Amplitude도, 자체 이벤트 파이프라인도 없다. 우리에게도 사용자 수가 보이지 않는다 — 그게 핵심이다.
• 리모트 컨피그 없음. 우리의 위협 모델에서 feature flag는 백도어다. 우리가 내보내는 모든 바이너리는 1일째와 300일째에 같은 행동을 한다.
• 백그라운드 업로드 없음. 로그는 로컬이며, 옵트인이고, 사용자가 지원 이메일에 붙여 넣을 때에만 표면에 드러난다.
• 서드파티 도메인 없음. Flux 앱의 네트워크 호출은 OS가 중개하는 것들(App Store 업데이트, 시스템 푸시)뿐, 우리 자신의 것은 결코 아니다.

우리가 치르는 비용

• 통상적 의미의 A/B 테스트가 안 된다. 사내 작은 사용자 스터디와 지원 이메일을 듣는 것에 의존한다.
• 사용자 데이터를 들여다봐서 버그를 고칠 수 없다. 로컬에서 안정적으로 재현되는 것에 의존한다.
• 기능은 처음부터 동작해야 한다. "대시보드에서 나중에 튜닝"은 없다.

우리가 얻는 것

• 규제 당국이 tcpdump로 검증할 수 있는 프라이버시 주장.
• 우리를 믿지 않아도 되는 사용자층 — 그들이 검증할 수 있다.
• 5년 뒤에도 동작하려고 결제 관계에 매달리지 않는, 오래 가는 제품.

약속 모델은 회사를 확장한다. 아키텍처 모델은 신뢰를 확장한다. 우리는 후자를 골랐다.