Personvern
Bilens data er dine. Her er nøyaktig hvordan vi holder det slik — i klartekst, ingen overraskelser med liten skrift.
Kortversjonen
Det er biten ingen annen Tesla-logger tilbyr. Vi utformet BlackCurrent slik at å oppbevare dataene dine og å lese dem er to forskjellige ting: vi oppbevarer dem, du har nøkkelen. Du har nøkkelen, så du har kontrollen over dataene — og vi trenger aldri å be deg bare stole på oss.
Hva dette betyr for deg
- Et innbrudd i databasen vår gir angriperen chiffertekst — ubrukelig uten passordfrasen din.
- Vårt eget team ser alltid bare chiffertekst i lagringen. Det finnes ingen intern «vis denne brukerens kjøreturer»-bryter.
- Blir vi noen gang kjøpt opp, eller får en forespørsel om historikken din, kan vi bare videreformidle chiffertekst. Vi kan ikke dekryptere det vi ikke har nøkkelen til.
- Ingen analyse, annonsemålretting eller datasalg på innholdet ditt — arkitekturen tillater det ikke, selv om vi ville.
- Vår eneste forretningsmodell er abonnementet ditt. Det er avtalen.
Slik fungerer det
Når du oppretter konto, lager passordfrasen din en privat nøkkel på serveren vår. Vi låser den nøkkelen med passordfrasen din — med en bevisst treg passordstyrkingsprosess laget for å gjøre rå kraft upraktisk — og lagrer bare den låste blokken. Passordfrasen din forkastes før påmeldingsforespørselen rekker å returnere.
Når du logger inn, utleder vi nøkkelen på nytt et kort øyeblikk, låser opp krypteringsnøkkelen din, låser den igjen med en kortlevd økt-hemmelighet, lagrer den økt-låste versjonen i hurtigbufferen og glemmer passordfrasen igjen. Hver side du laster, dekrypterer bare så mye data som trengs for å tegne den siden, i minnet, og forkaster det så.
Når Teslaen din sender oss ny telemetri, kan vi bare skrive — vi forsegler hver pakke med den offentlige nøkkelen din slik at vi ikke kan lese den tilbake før du logger inn.
Hva vi ser, og hva vi ikke ser
| Vi ser (alltid) | Vi ser (bare når du er logget inn) | Vi ser aldri |
|---|---|---|
| E-posten din og en låst kopi av krypteringsnøkkelen din | Det dekrypterte innholdet på siden du laster akkurat nå | Dataene dine når du er logget ut |
| Abonnementsstatusen din | Kjøreturene, ladingene eller batterihistorikken din i sikkerhetskopier | |
| Bilens identifikator (så vi vet hvor dataene skal rutes) | Eksporterte data du laster ned til din egen enhet | |
| Den offentlige nøkkelen din (kan ikke dekryptere noe) | Samlet statistikk på tvers av brukere | |
| Tidsstempler, byte-tall, feilrater | Passordfrasen din (etter at innloggingen er fullført) |
Hva vi abonnerer på fra Teslaen din
Teslas Fleet Telemetry lar oss velge en presis liste over signaler bilen strømmer til oss. Vi velger bredt på tvers av signalkategorier som driver dagens funksjoner og dem vi venter å slippe de neste 6-12 månedene. Begrunnelsen: å legge til et signal senere koster måneder med historikk-oppbygging før noen funksjon bygget på det har data å vise. Den billigere veien er «samle nå, bygg senere». Hvert signal krypteres med nøkkelen din før det lander i lagringen vår, så bredden i innsamlingen endrer ikke hvem som kan lese den (fortsatt bare deg).
Hele signallisten — hver kategori vi mottar, og hva hver enkelt driver
| Kategori | Hva det driver |
|---|---|
| Kjøretøyets tilstand (våken / sover / kjører / lader) | Panelet vet om bilen din snakker; øktdeteksjon (kjøreturer, ladinger) leser fra dette autoritative signalet i stedet for å gjette fra fart eller ladenivå |
| Energi og batteri (ladenivå, rekkeviddeanslag, pakkespenning / -strøm, cellespenninger, modultemperaturer) | Batterihelse-visning; rekkeviddeplanlegging; sporing av degradering over tid |
| Lading (tilstand, ampere, effekt, tilført energi, tid til fullt, ladegrense, laderfaser) | Ladelogg med sammendrag av kWh / km / kostnad; skille hurtiglader fra hjemmelading |
| Kjøring (fart, gir, posisjon, retning, GPS-status, kilometerstand, kjøremodus) | Sanntidssporing av kjøreturen; distanse og snittfart per tur; spor på kartet |
| Klima / termikk (temperatur inne / ute, status for batterivarmer, forhåndsklimatisering, varsel om lav effekt til oppvarming) | Historikk for kabintemperatur; rekkeviddejustering i kaldt vær; deteksjon av forhåndsklimatisering |
| Dekk (trykk x 4 og tidsstempel for sist sette trykk x 4) | Logg over dekktrykk; deteksjon av langsom lekkasje |
| Planlegging (planlagt ladestart / -modus / -ventende, avgangstid, Supercharger-turplanlegger) | Bekreft at innstillingene dine stemmer med det bilen faktisk gjør; historikk for turplanlegging |
| Kjøretøyets metadata (fastvareversjon, bilnavn, konfigurasjon: modell, utstyrsnivå, farge, felger, regionale flagg) | Historikk for fastvareoppdateringer; korreler atferdsendringer med oppdateringer; standardverdier for rekkeviddemodellering tilpasset bilen din |
| Cruisekontroll-status (satt fart, følgeavstand) | Historikk for adaptiv cruise; «du satte 130 km/t på denne motorveistrekningen». Øker ikke avsløringsrisikoen: farten din i ethvert punkt i rommet dekkes allerede av kjøresignalene over |
| Sentry-modus-status | Innsikt i strømforbruk: kryss-korreler Sentry-tid med endring i ladenivå for å regne ut «Sentry kostet deg 0,8 kWh over natten på flyplassen» |
| Selvkjøringsstatistikk (kilometer totalt, FSD-kilometer siden nullstilling; HW4-biler på fastvare 2025.44.25.5+) | Bare samlede tellere (ikke registreringer per hendelse), så de beskriver totalt bruk uten å rekonstruere enkelte FSD-episoder |
| Turkontekst (destinasjonsnavn + ankomsttid, kilometer / minutter til ankomst, forventet ladenivå ved ankomst, trafikkforsinkelse, flagg for hjemme / jobb / favoritt) | «Du kom hjem 18:42 med 32 % ladenivå»; geofence-bevisste funksjoner |
| Framdrift på programvareoppdatering (versjon, nedlasting i %, installasjon i %, planlagt start) | «Oppdatering tilgjengelig / installerer nå»-indikator; historikk over fastvareversjoner |
| Drivverkets termikk (temperatur i kjøleribbe / inverter / stator, status for høyspentlås; front + bak) | Sporing av degradering i drivenheten; korreler ytelsestap på varme dager |
| Powershare / V2X (status, timer igjen, momentan effekt, type, stoppårsak) | «Huset ditt trakk 4,2 kW fra bilen over natten» for brukere med Powershare |
| Spilles nå (status, kilde, tittel, artist, album, stasjon; ingen avspillingsposisjon eller volum) | «Lydsporet til denne turen». Posisjon og volum er utelatt som lite verdifullt og høyfrekvent |
| Brukervalg (24-timers tid, enheter for lading / distanse / temperatur / dekktrykk) | Styrer hvordan vi tegner hvert tall på panelet. Uten dem må vi gjette |
Hva vi bevisst ikke abonnerer på, og hvorfor
Tesla sender mange flere signaler enn vi henter. Utelatelsene nedenfor er ikke vilkårlige — de er et merkeløfte. Krypteringen beskytter dataene mot oss, men det at bevisdata i det hele tatt finnes på kontoen din, inviterer tredjeparts kjennelser i tvister om kollisjon, forsikring eller rettshåndhevelse. Da ville det vært du som ble tvunget til å utlevere nøkkelen din. Lar vi være å samle dem, slipper vi hele den samtalen.
| Hva vi ikke samler | Hvorfor ikke |
|---|---|
ADAS / kollisjonsvarsler (BlindSpotCollisionWarning, ForwardCollisionWarning, LaneDepartureAvoidance, EmergencyLaneDepartureAvoidance, SpeedLimitWarning, AutomaticEmergencyBrakingOff) |
Mål for forsikrings- og rettstvister |
Pedalposisjoner (BrakePedal, BrakePedalPos, PedalPosition) |
Mål for rekonstruksjon av kollisjonsskyld |
Seteopptak og bilbelter (DriverSeatBelt, PassengerSeatBelt, DriverSeatOccupied) |
Avslører hvem som var i bilen; mål for sivil bevisførsel |
Kabinovervåking (DoorState, Locked, FdWindow, FpWindow, RdWindow, RpWindow, SeatHeaterLeft, SeatHeaterRight, SeatHeaterRear*, GuestModeMobileAccessState) |
Fastslår fysisk tilstedeværelse og en tilgangstidslinje som ingenting annet vi samler, kan utlede |
Ingen av disse er sperret av Teslas API — vi ber rett og slett ikke om dem. Trenger en framtidig funksjon virkelig én av dem, forklarer vi hvorfor på denne siden og slipper et samtykke per bil i stedet for å skru det på for alle.
Historisk nøyaktighet og «den stille bilen»
Teslas telemetri sender bare et signal når verdien endres. En bil parkert i en måned sender svært lite. For at det å bla tilbake til forrige måneds visning av (for eksempel) ladenivå fortsatt skal vise en graf og ikke et tomt felt, ber vi Tesla om å sende nøkkelsignaler på nytt i en fast takt selv når ingenting endret seg. Gjensendingen er fartsbegrenset og slår bare inn på fastvare 2024.44.32 eller nyere; eldre fastvare fungerer fortsatt, grafen tynnes bare ut i stille perioder.
Hvordan skykryptering passer inn
Tre krypteringslag står mellom en utenforstående angriper og kjøretøydataene dine. Hvert forsvarer mot en ulik trussel. Bare ett av dem gjør personvernløftet sant. Vi vil være presise på hvilket som er hvilket, for å si «vi krypterer alt» uten å skille på hvem som har hvilken nøkkel, er den enkleste måten å villede på.
| Lag | Hva som er kryptert | Hvem som har nøkkelen | Hva dette forsvarer |
|---|---|---|---|
| 1. Infrastruktur | Selve diskene og lagringen | Skyleverandøren vår, automatisk | Tapt, stjålet eller avviklet maskinvare. Disken er uleselig for alle utenfor leverandøren uten en gyldig forespørsel. |
| 2. Plattform | Revisjonslogger, Teslas tillatelsestokener, din økt-låste krypteringsnøkkel | Skyleverandøren, på kontoen vår | Innbrudd i koden vår eller operatørtilgangene våre. En angriper med tilgangene våre må fortsatt kalle leverandørens nøkkeltjeneste for å låse opp noe som helst — og de kallene legger igjen et revisjonsspor vi kan gjennomgå. |
| 3. Kjøretøydataene dine | Hver kjøretur, lading, GPS-punkt og batterisyklus i lagringen vår | Du alene, utledet fra passordfrasen din | Alt annet. Skyleverandøren kan lese lag 1 og 2 under lovlig tvang. Lag 3 kan de ikke lese, fordi nøkkelen aldri når maskinvaren deres. |
Hva dette betyr konkret:
- En lovlig kjennelse rettet mot skyleverandøren kan tvinge dem til å dekryptere lag 1 og 2. De vil utlevere revisjonslogger, Teslas tillatelsestokener (som gir den som ber, samme innsyn i Teslaen din som vi har — Teslas sanntidskanal, ikke historikken din) og de krypterte blokkene som lagrer kjøretøydataene dine. Selve blokkene kan de ikke dekryptere; det krever passordfrasen din, som leverandøren aldri har sett, og som vi forkaster straks etter innlogging.
- Et innbrudd i koden vår eller operatørtilgangene våre begrenses av den samme arkitekturen. Lag 2 kan revideres — vi ser hvem som låste opp hvilken økt og når. Lag 3 er uleselig for oss uansett om vi er kompromittert, fordi den opplåste krypteringsnøkkelen bare finnes i minnet mens du aktivt bruker appen.
- Et kompromiss av deg (passordfrasen din, enheten din) er det ene denne arkitekturen ikke kan forsvare mot. Det er den iboende kostnaden ved å ha nøkkelen selv: ingen andre kan miste den, og ingen andre kan gjenopprette den for deg. Skriv den ned.
Hvor alt dette bor
All BlackCurrent-infrastruktur kjører innenfor Den europeiske union, hos en velkjent skyleverandør, i en region styrt av EUs personvernlovgivning. De krypterte dataene dine forlater den aldri. Vi bruker ingen tredjeparts analyse, annonsenettverk eller datameglere.
De ærlige grensene
Ingen sikkerhetsutforming er absolutt, og vi viser deg heller kantene enn å late som de ikke finnes. Her er de, i klartekst, hver med hva vi gjør med den — grovt sortert etter hvem som bør bry seg. De fleste kommer aldri borti noen av dem.
1. Mens du er logget inn, er nøkkelen din kort i minnet vårt
Krypteringsnøkkelen din bor i minnet vårt under aktive forespørsler. Ble serverne våre kompromittert under økten din, kunne en angriper med tilgang til det minnet lese dataene dine så lenge økten holdt seg åpen. Streng ende-til-ende-kryptering som Signals ville utelukket dette; vår gjør det ikke.
Tiltak vi har på plass:
- Aggressive tidsavbrudd ved inaktivitet (standard: utlogging etter 30 minutter uten aktivitet).
- Ingen lesbare kopier skrives noensinne til disk eller logger — håndhevet av en strukturert logger med en tillatelsesliste over trygge felt.
- Produksjonstilgang revideres; hver gang nøkkeltjenesten låser opp en økt, logges det kallet og kan gjennomgås.
Er nettopp denne trusselen din viktigste bekymring, passer et selvhostet alternativ som TeslaMate bedre.
2. En framtidig, målrettet kjennelse er det ene vi ikke kan konstruere oss bort fra
Pålegger en myndighet oss å avskjære en bestemt brukers framtidige økter, kan vi teknisk sett ikke nekte. Dataene vi allerede har i ro, er ubrukelige for dem (vi kan ikke dekryptere dem uten nøkkelen din), men vi kan ikke garantere at en framtidig økt ikke kunne bli gjenstand for en påtvunget avskjæring. Vi publiserer en åpenhetsrapport.
3. Teslas tillatelsestokener oppbevares med vår nøkkel, ikke din
Teslas tillatelsestokener (det Tesla gir oss for å motta dataene dine på dine vegne) må kunne brukes mens du er frakoblet — ellers kunne vi ikke strømme ny telemetri inn på kontoen din. Disse tokenene er kryptert med vår nøkkel, ikke din. Vi behandler dem som påloggingsinformasjon til Tesla, ikke som kjøretøydataene dine. Du kan når som helst trekke dem tilbake fra Tesla-kontoen din, og vi sletter dem når du avslutter.
4. Ny telemetri er lesbar et øyeblikk idet den kommer
Når bilen din strømmer nye data til mottaksserveren vår, finnes de i minnet noen hundre millisekunder før vi forsegler dem med den offentlige nøkkelen din. De skrives aldri til disk eller logger i den formen. Kodebiten som gjør denne forseglingen, publiseres som åpen kildekode så du kan etterprøve påstanden.
Hva dette betyr i praksis
Blir vi hacket — den stjålne databasen, lagringen eller sikkerhetskopiene inneholder bare chiffertekst. Angriperen trenger hver enkelt brukers passordfrase, hver for seg, for å lese noe som helst.
Får vi en kjennelse om historikken din — vi utleverer chiffertekst. Vi kan ikke framskaffe klartekst. Vi forteller deg at kjennelsen kom, dersom loven tillater det.
Vil du ha dataene dine ut — «Eksport»-funksjonen bygger en full kopi av dataene dine inne i den aktive økten din og leverer den til nettleseren som en fil. Nettleseren får lesbare data; serverne våre lagrer den aldri.
Mister du passordfrasen din — dataene er borte for godt. Det er baksiden av at ingen andre kan lese dem: det finnes ingen «tilbakestill passord»-knapp som kunne dekryptert historikken din, for en slik knapp kan ikke finnes uten å bryte hele løftet. Velg en passordfrase du husker, og hold den i en passordbehandler; det er den ene nøkkelen til alt.
Etterprøving
Vi oppfordrer deg til ikke å stole på markedsføringen vår. Tre ting hjelper deg å etterprøve påstanden:
- Kodebiten der lesbare data bor et kort øyeblikk (sanntidsstrøm-forsegleren), publiseres som åpen kildekode ved lansering.
- Hele arkitekturdokumentet publiseres sammen med koden.
- En tredjeparts sikkerhetsrevisjon publiseres før allmenn tilgjengelighet.
Denne siden er personvernbeskrivelsen i klartekst. En egen, juridisk personvernerklæring — som dekker GDPR-detaljer om behandlingsansvarlig, informasjon om informasjonskapsler og regionalt samsvarsspråk — publiseres før offentlig lansering. Spørsmål: hello@blackcurrent.app.