健康可穿戴设备制造商 Oura 因其数据安全措施不完善而面临审查。其收集的敏感健康数据并非端到端加密,部分员工可以在服务器上访问这些信息。这使用户数据在面对政府的数据索取、黑客攻击或内部泄露时处于风险之中。尽管 Oura 承认会收到政府索要数据的请求,但它至今仍拒绝发布透明度报告以公开相关次数,这种不透明的做法正在损害其超过 550 万用户的信任。
数据并非端到端加密
Oura 戒指是一款佩戴在手指上的健康监测设备,可以追踪心率、睡眠模式、月经周期等数十个敏感数据点。然而,其安全设计选择使用户的隐私面临风险。
- 数据未完全加密: 用户的健康数据在从戒指传输到手机应用,再到 Oura 服务器的过程中,并非全程端到端加密。
- 内部人员可访问: 公司证实,部分员工可以访问存储在服务器上的用户数据。这意味着数据在特定环节是可被读取的。
- 潜在风险: 这种设计使得数据不仅可能被公司员工看到,也可能被第三方获取。
这也意味着其他人也可以访问它,例如持有搜查令的检察官、拥有被盗密钥的黑客,或者想要制造混乱的内部人员。
承认收到政府请求,但拒绝透明
当被问及数据共享问题时,Oura 承认它确实会收到来自政府的数据请求,但其回应却引发了更多疑问。
Oura 的发言人表示,公司会:
- 审查每个请求的 合法性、范围和必要性。
- 拒绝那些 无效、过于宽泛或不一致 的请求。
然而,Oura 却拒绝透露关键信息,例如:
- 收到了多少次政府请求。
- 公司实际移交用户数据的频率。
- 政府通常请求的是哪些类型的数据。
这种选择性的坦诚使得外界无法判断 Oura 在保护用户隐私方面的实际立场和行动。
对透明度报告的呼吁与沉默
为了应对公众对数据隐私的担忧,许多科技公司自 2013 年美国国家安全局(NSA)监控丑闻后,开始定期发布透明度报告,公布收到的政府数据请求数量。
最初,Oura 对发布此类报告持开放态度。一位发言人曾表示,公司正在“积极评估如何以维护安全的方式分享汇总数据”。
然而,八个月过去了,Oura 方面却陷入了沉默,对后续的询问邮件没有任何回应,也未承诺公布相关数字。
考虑到 Oura 已售出超过 550 万枚戒指,并且估值超过 110 亿美元,它早已不是一个资源有限的初创公司。作为健康可穿戴设备市场的领先者,如果 Oura 想要赢得或维持用户的信任,就应当更加透明地说明政府对其用户信息的索取情况。