Oura 承认收到政府数据索取要求，但拒绝透露详情

去年，健康穿戴设备制造商 Oura 在与美国国防部和 Palantir 达成合作后，陷入了社交媒体风暴。一些用户担心他们的数据会落入特朗普政府手中。这场争议如此之大，以至于我的伴侣——一位 Oura 戒指用户——引起了我的注意。

Oura 戒指是一种戴在手指上的健康监测硬件设备。这些电池供电的戒指跟踪用户的健康数据，如心率、睡眠模式、月经周期以及数十个其他数据点，包括用户的位置。Oura 在其服务器上存储了大量敏感的用户信息。

作为一名安全和隐私领域的记者，同时也是 Oura 用户伴侣，我好奇：所有这些数据去了哪里？又怎么去的？你可能认为这无关紧要。但公司设置产品和服务器的方式，决定了政府（或黑客）是否也能访问这些用户数据。

这是一个深入探究 Oura 戒指工作原理、数据如何发送和存储，以及谁能访问这些数据的好机会。我写了一篇详细的长文，解释为什么 Oura 的安全设计选择使得政府能够从 Oura 庞大的用户信息库中获取记录。

Oura 并非特例，许多（甚至大多数）公司都设计其系统允许员工访问用户数据，也许是出于解决客户问题的需要，或者因为这是曾经资金紧张的初创公司最便宜、最简单的设置方式。但如今 Oura 已是最大的健康科技穿戴设备制造商之一，在上市前估值超过 110 亿美元。公司比以往任何时候都更有责任确保用户数据无法被访问。Oura 不能再声称自己没有财力做到这一点。

在我之前的博客中，我透露 Oura 数据并未实现端到端加密。这意味着 Oura 用户的健康数据在从戒指传输到手机应用，再通过互联网到达 Oura 服务器的过程中，可能会在特定节点被解密。该公司确认，它存储用户数据的方式允许部分员工访问。这也意味着其他人也可以访问，例如持有搜查令的检察官、窃取密钥的黑客，或者想要制造混乱的不满内部人士。

在这三者中，我们知道至少有一件事已经发生。

在我上一篇文章发表前联系 Oura 置评时，一位发言人告诉我，公司确实“收到不频繁的政府请求”。Oura 表示会审查每个请求的“合法性、范围和必要性”，并会“在请求无效、过于宽泛或与保护用户隐私的承诺不符时”予以拒绝。

Oura 拒绝透露收到了多少请求、交出用户数据的频率，以及请求了哪些类型的数据。截至我上一篇文章时，Oura 已售出超过 550 万枚戒指，这大致反映了其用户基数规模。

我当时询问 Oura 是否会披露收到这些请求的频率，例如发布透明度报告。此前，一波科技公司开始每半年一次汇总公布它们收到的政府数据索取数量。这主要是为了反驳关于他们秘密应政府要求交出大量用户数据的说法，该争议源于 2013 年的 NSA 监控丑闻。

Oura 最初的回应带来了一丝希望。当时一位发言人告诉我，虽然 Oura 不发布透明度报告，但公司表示正在“积极评估如何以维护安全且不向用户引入风险的方式分享汇总数据”。

亲爱的读者，已经过去八个月了。我最近再次联系 Oura，询问是否会发布透明度报告，经过多次跟进邮件，曾经回复迅速的 Oura 至今没有回复我的任何询问，也没有承诺公布这些数字。我希望 Oura 能重新考虑，并像其他科技公司一样公布收到的请求数量。不看到这些数字，就不可能知道 Oura 拒绝政府数据请求的频率。作为健康可穿戴市场的领跑者，如果想要赢得或保持用户的信任，Oura 应该分享政府要求访问用户信息的频率。