比您的医生更了解您的应用

打开您的经期追踪器。翻看过去几个月的记录。

它知道您的经期何时开始、何时结束。出血量有多大。您有哪些症状——痉挛、头痛、情绪波动。您是否有过亲密行为,以及何时。您服用了哪些药物。也许甚至知道您每天早上的体温。

现在问问自己:还有谁能查看这些信息?

如果您的应用要求注册账户才能使用——邮箱地址、密码、也许还有手机号——那么所有这些数据都存储在某个服务器上。与您的姓名关联。由一家公司保管。受一项随时可能更改的隐私政策管辖。

在经期追踪应用的大部分历史中,人们并没有过多考虑这些。它只是一个方便的工具。记录周期,获取预测,继续生活。

然后法律环境变了。

当经期数据成为证据

2022年6月,美国最高法院推翻了罗诉韦德案,取消了联邦层面的堕胎权,将监管权交还各州。几个月内,多个州颁布了严格限制或完全禁令。

几乎在同一时间,一个大多数人从未思考过的问题浮出水面:经期追踪数据能否被用作证据?

答案,事实证明,是肯定的。不是理论上的——而是实际的。执法机构开始对数字数据发出传票和搜查令,包括健康应用的记录。检察官开始调查搜索历史、位置数据,以及——至少在一个被广泛报道的案例中——经期追踪应用的数据,以建立围绕疑似怀孕的时间线。

您为了解自己身体而记录的数据,现在有可能在法庭上被用来指控您。

这不是假设性的最坏情况。这是美国部分地区当前的法律现实,类似的立法变化正在其他国家讨论中。

反应是即刻的。Flo Health——当时最受欢迎的经期追踪器——在面临批评以及此前因与Facebook和Google共享用户数据而与FTC达成和解之后,匆忙推出了"匿名模式"。Stardust在用户寻找替代品时下载量激增。数百万人完全删除了他们的经期追踪器。但大多数人忽略了一个关键问题:删除应用并不会删除已经同步到公司服务器的数据。数据确实消失了——只是不是以他们期望的方式。

账户的问题

大多数人忽略的是:风险不仅仅在于公司可能自愿分享您的数据。而在于他们可以被强制交出数据。

当您在经期追踪应用中创建账户时,您创建了一条链:

您的姓名 → 您的邮箱 → 您的账户 → 您的周期数据 → 公司服务器

这条链中的每一环都是脆弱点。公司可能被传唤。服务器可能被入侵。员工可能访问记录。政策可能更改。收购可能将您的数据转移给价值观不同的新所有者。

与医生的对话不同——在大多数司法管辖区受医患保密特权保护——商业应用存储的数据通常只有远为薄弱的法律保护。

公司不需要有恶意。甚至不需要疏忽。它只需要作为持有您数据的第三方存在。仅此一点就创造了脆弱性。

无需账户的经期追踪器在实践中意味着什么

无需账户的经期追踪器不仅仅是跳过注册页面。它从根本上改变了什么是可能的——以及什么是不可能的。

有账户:
  • 数据存储在公司服务器上
  • 数据与您的身份关联(邮箱、手机号、姓名)
  • 公司可能被依法强制提供记录
  • 数据在删除应用后依然存在(仍在他们的服务器上)
  • 数据泄露会暴露您的信息
  • 您需要信任公司的政策,以及未来的每一次政策变更
无账户:
  • 数据仅存在于您的物理设备上
  • 没有身份关联——公司不知道您是谁
  • 没有可传唤的内容——公司没有您的数据
  • 删除应用,数据永久消失
  • 没有服务器意味着没有泄露
  • 信任无关紧要——架构取代了政策

这就是"我们选择不分享您的数据"和"我们无法分享您的数据,因为我们没有"之间的区别。

前者是商业决策。后者是技术事实。

为什么加密与架构同等重要

本地存储是基础,但不是全部。如果您的数据存储在设备上但未加密,任何获得手机物理访问权限的人都可能提取它。

经期数据的真正隐私需要两者兼备:

1. 无云端,无账户——数据永远不会离开您的设备 2. 强加密——即使有人获得了您的手机,没有您的身份验证,数据也无法读取

这在设备可能被扣押或检查的场景中尤为重要。未加密的本地数据优于云端数据,但加密的本地数据——这才是真正保护的含义。

sCycle如何为这一现实而构建

我们不是先构建sCycle然后再添加隐私功能。隐私是第一个架构决策,其他一切都建立在此之上。

以下是它在实践中的体现:

  • 无账户,无身份——打开sCycle,立即开始记录。无需邮箱。无需手机号。无需姓名。我们不知道您是谁,也没有任何方式可以找出来。
  • AES-256加密——您的周期数据在设备上加密。具体来说:即使您的手机被扣押、存储被物理复制,没有您的生物识别验证,数据也无法被读取。这不是一把挂锁——这是一堵墙。
  • 生物识别应用锁——可选的Face ID、Touch ID或指纹保护。如果有人拿起您的手机,没有您的面部或指纹就无法打开sCycle。
  • 100%离线——sCycle永远不会连接我们的服务器。服务器不存在。应用完全无需网络即可运行。
  • 无分析,无追踪——我们不知道您多久打开一次应用,记录了什么,或者经期何时开始。我们对您一无所知。
  • 设备端AI——周期预测、排卵期估算和模式识别全部在本地运行。您的数据永远不会接触外部服务。

功能完整,完全私密

以上这些都不以牺牲功能为代价。sCycle具备您期望的所有功能:

  • 随时间不断改进的AI周期预测
  • 症状和情绪记录
  • 出血量追踪
  • 周期分析和趋势洞察
  • 排卵期估算
  • 自定义提醒
  • CSV和JSON格式的数据导出

区别不在于sCycle做什么。而在于它不做什么——不收集您的身份,不将数据存储在服务器上,不在您和您最私密的健康信息之间建立任何关联。

关于导出的问题

如果数据只存在于您的设备上,备份怎么办?

sCycle允许您以标准格式导出数据——CSV和JSON——这样您可以将它存储在信任的地方。加密硬盘、密码保护的文件夹,任何您觉得合适的地方。

我们无法恢复您的数据,因为我们从未拥有过它。如果手机在没有备份的情况下丢失,数据就会丢失。这是一个真实的权衡,我们认为对于如此敏感的数据来说,这是正确的选择。

超越美国——全球性关注

尽管多布斯案后的讨论在美国最为热烈,但根本问题并非美国独有。

生殖权利在许多国家都存在争议。法律在变。政府在变。今天合法的事情明天可能不再合法,在一个法律框架下收集的数据可能在另一个框架下被调取。

构建一个不收集身份信息的经期追踪器,不是为了回应某一个国家的政治。而是认识到私密健康数据值得获得结构性保护——这种保护不取决于哪个政党执政或法院明年做出什么裁决。

最简单的隐私测试

以下是快速评估任何经期追踪器隐私声明的方法:

1. 是否需要账户? 如果是,您的数据就在他们的服务器上,与您的身份关联。 2. 是否可以离线使用? 如果不能,它正在向某处发送数据。 3. 公司能否查看您的数据? 如果能,传票也能。 4. 删除应用后会怎样? 如果您的数据仍留在他们的服务器上,您实际上什么也没删除。

不需要账户的经期追踪器通过了第一项测试。但真正的隐私需要通过全部四项。

您的周期,您的私事

记录经期时,您不应该需要考虑法律后果。追踪自己的身体时,您不应该需要权衡风险。这是基本的健康意识——帮助您了解自己、注意变化、与医生进行有意义对话的信息。

它成为某些人的法律风险,是政策的失败,而不是停止记录的理由。答案不是减少关于自身健康的信息。而是更好的工具,让这些信息留在它应该在的地方。

记录您的周期,因为了解自己的身体很重要。保持私密,因为这不关任何其他人的事。

您的周期。您的设备。您的权利。