经期追踪应用知道你何时来月经、何时排卵、何时发生性行为、你经历了哪些症状，以及你是否可能怀孕。这是手机上任何应用都可能收集的最私密数据之一。然而，大多数人下载经期追踪应用、授予权限之后，从不读一行隐私政策。2022年后，数以百万计的女性开始警觉起来——但还远远不够。

罗诉韦德案推翻后的警醒

2022年6月，美国最高法院推翻罗诉韦德案判决，经期追踪应用的隐私做法一夜之间登上头条。担忧显而易见：如果经期追踪数据存储在公司服务器上，执法机关就可能通过传票获取。一次月经缺失、记录的突然中断、关于妊娠症状的备注——这些信息在禁止堕胎的州里理论上可能被用作证据。

这并非空谈。2023年，美国内布拉斯加州的一对母女因Facebook消息而被起诉。尽管那个案件涉及的是社交媒体而非健康应用，但它证明了数字健康相关数据已经被检察官追查。电子前哨基金会和Mozilla基金会的隐私研究人员都发布了关于经期追踪数据脆弱性的警告。

随之而来的是一波卸载潮。尽管公司对隐私做出保证，仍有数以百万计的用户卸载了全球最流行的经期追踪应用Flo。但删除应用并不能解决根本问题。问题不在于某个特定应用是否值得信赖，而在于应用的架构设计是否让"信任"变得根本不必要。

经期追踪应用通常收集哪些数据

大多数经期追踪应用收集的远不止周期日期。以下是一款典型应用会要求的信息：

• 月经周期日期——经期开始、结束、流量
• 排卵与生育数据——排卵测试结果、基础体温、宫颈黏液观察
• 性行为——是否发生性行为、是否使用避孕措施
• 症状——痉挛、头痛、腹胀、乳房胀痛、情绪变化
• 情绪与心理健康——焦虑、抑郁、易怒
• 妊娠相关数据——妊娠测试、流产、终止妊娠
• 账户信息——电子邮件、姓名、年龄、位置

综合来看，这是对某人生殖健康和性行为的极其详尽的描绘。问题是：这些数据都去哪里了？

"我们不出售您的数据"与"我们没有您的数据"的区别

这一区别是理解应用隐私最重要的事情，而且远不止适用于经期追踪应用。

"我们不出售您的数据"意味着公司将您的数据存储在其服务器上，但承诺不向第三方出售。这是一个随时可能改变的政策决定。它也无法保护您免受数据泄露、政府传票或收购的影响（公司被收购时，数据资产也是交易的一部分）。

"我们没有您的数据"意味着应用将一切存储在您的设备本地。没有服务器，没有可传票的内容，没有可泄露的数据，也没有可出售的信息。即使公司想交出您的数据，也做不到——他们根本就没有这些数据。

这就是政策保证与架构保证的区别。政策可以改变。架构不能被追溯更改以暴露从未被收集的数据。

本地存储与云存储：技术层面的含义

当应用"在设备上"存储数据时，意味着您的信息保存在iPhone或Android手机上的本地数据库文件中。在iOS上，这些数据受到设备硬件加密的保护——如果您的手机用密码或Face ID锁定，数据库文件在静态状态下是加密的。在不解锁手机的情况下，任何人都无法读取它。

当应用"在云端"存储数据时，您的信息会通过互联网传输到公司的服务器（更常见的是亚马逊AWS、Google Cloud或微软Azure）。公司可以访问这些数据。他们的员工可能可以访问。执法机关可以凭传票申请获取。黑客可以将其作为攻击目标。

有些应用提供混合模式：本地存储加可选的云端同步，用于备份或多设备访问。这比纯云端方案更私密，但一旦数据触及服务器，架构层面的保证就消失了。

隐私政策中的危险信号

如果您确实阅读了经期追踪应用的隐私政策（您应该这样做），以下是需要警惕的迹象：

• "我们可能与合作伙伴共享匿名数据"——研究反复表明，匿名化的健康数据通常可以被重新识别，尤其是与其他数据集结合时。2019年《自然通讯》期刊的一项研究发现，仅凭15个人口统计属性，就能重新识别99.98%的美国人。
• "我们使用第三方分析工具"——这意味着您的使用数据（可能还有健康数据）流经Google Analytics、Facebook SDK或Amplitude等服务。这些公司会构建广告画像。
• "我们可能为履行法律义务而披露信息"——每家公司都必须遵守法律。但关键问题是：他们是否拥有可以披露的数据。
• 使用应用需要账号或电子邮件——如果应用在您追踪经期前需要您的电子邮件地址，您的数据几乎可以肯定被存储在其服务器上。
• 关于数据保留的模糊表述——如果政策没有说明他们保留您数据多长时间，或如何永久删除，则默认数据会被无限期保留。

如何选择一款注重隐私的经期追踪应用

如果隐私是优先考虑因素（鉴于数据的性质，确实应该如此），请寻找以下特征：

• 无需账号。您应该能够打开应用并立即开始追踪，无需提供电子邮件、姓名或任何识别信息。
• 无云存储。所有数据应存储在您的设备本地。检查应用是否在飞行模式下运行——如果可以，这是个好兆头。
• 无第三方分析SDK。在App Store上查看应用的隐私营养标签（在任意应用页面向下滚动至"应用隐私"部分）。寻找显示"未收集数据"或"数据不与您关联"的应用。
• 对架构保持透明。最好的应用会清楚解释如何保护您的数据，而不仅仅是声称他们会这样做。
• 数据导出。您应该能够以标准格式导出数据，这样您就永远不会被锁定。

Cyla 是这种本地存储方案的一个例子——它将所有周期数据存储在手机本地，无账号、无云端、无分析。但无论您选择哪款应用，架构比品牌名称更重要。

如何查看任何应用的隐私营养标签

苹果于2020年12月推出了应用隐私标签（通常称为"营养标签"）。它们并不完美——由开发者自行填报——但作为初步筛选工具很有用。

查看方式：

• 打开App Store，找到该应用
• 向下滚动至"应用隐私"部分
• 查看"与您关联的数据"和"用于追踪您的数据"下列出的内容
• 最高标准是"未收集数据"——这意味着开发者声明应用不收集任何数据

作为参考：Flo的应用隐私标签将健康与健身数据、联系信息、标识符、使用数据和诊断数据列为"与您关联的数据"。纯本地存储的应用显示的类别应该少得多，甚至没有。

超越经期追踪应用

本文中的原则适用于手机上的每一款健康应用——睡眠追踪器、情绪日记、生育监测仪、用药提醒。任何处理敏感健康数据的应用都应该用同样的标准来评估：公司是否持有您的数据？

根本问题不是"我是否信任这家公司？"而是"这款应用的架构是否要求我信任这家公司？"当答案是否定的——当您的数据在物理上无法离开您的设备——那时隐私就不再是一个承诺，而是一个事实。