Oura称收到政府用户数据请求，会透露数量吗？

# Oura 称收到政府的用户数据请求，它会公开具体数量吗？ 来源：https://this.weekinsecurity.com/oura-says-it-gets-government-demands-for-user-data-will-it-share-how-many/ 去年，健康可穿戴设备制造商 Oura 因与美国国防部和 Palantir 达成合作而陷入社交媒体风波（https://ouraring.com/blog/oura-us-department-of-defense/）。部分用户担心自己的数据会落入特朗普政府之手。这场争议闹得沸沸扬扬，连我的伴侣——一位 Oura 戒指用户——也注意到了这点，并向我提及。 Oura 戒指是一种戴在手指上的健康监测硬件可穿戴设备。这种由电池供电的戒指会追踪用户的个人健康数据，如心率、睡眠模式、月经周期，以及数十个其他数据点，包括位置信息。Oura 在其服务器上保存着大量关于用户的敏感信息。 作为一名安全与隐私领域的“极客”记者，同时也作为一位使用该设备的用户的伴侣，我不禁思考：所有这些数据最终去了哪里？又是如何传输的？你或许觉得这无关紧要。但企业的产品与服务器架构方式，直接决定了政府（或黑客）能否同样获取到这些用户数据。 这是一个深入了解 Oura 戒指工作原理、数据发送与存储方式，以及数据访问权限的好机会。我撰写了一篇详细的长文（https://this.weekinsecurity.com/oura-ring-deal-raises-valid-concerns-about-users-health-data-security/），解释为何 Oura 的安全设计选择会使政府能够从其庞大的用户信息数据库中调取记录。 Oura 并非特例。许多（甚至绝大多数）企业都将其系统设计为允许员工访问用户数据，或是为了排查客户问题，或是因为这对于曾经资金紧张的初创企业而言是最简单、最便宜的做法。但如今，Oura 已是全球最大的健康科技可穿戴设备制造商之一，估值超过 110 亿美元（https://www.cnbc.com/2025/10/14/oura-ringmaker-valuation-fundraise.html），且即将上市（https://www.businesswire.com/news/home/20260521960146/en/URA-Announces-Confidential-Submission-of-Draft-Registration-Statement-for-Proposed-Initial-Public-Offering）。相比以往，该公司现在更有责任确保用户数据无法被随意访问。而 Oura 也再无法以缺乏财务资源为由推脱。 在我的上一篇博文中（https://this.weekinsecurity.com/oura-ring-deal-raises-valid-concerns-about-users-health-data-security/），我揭示了 Oura 数据并未实现端到端加密。这意味着，当用户健康数据从戒指出发、经过手机应用、穿越互联网，最终到达 Oura 服务器时，其中的某些环节可以被解密。该公司确认，其存储用户数据的方式使得部分员工能够访问这些数据。这也意味着其他人同样可以做到，比如持有搜查令的检察官、获取了密钥的黑客，或者一位想留下烂摊子的心怀不满的内部人员。 在这三类人中，我们已知至少有一类情况确实发生过。 在我上次发表文章前联系 Oura 征求意见时，一位发言人告诉我，该公司确实“会收到一些来自政府的请求，但频率不高”。Oura 表示，他们会对每项请求“就其合法性、范围及必要性进行审查”，并会拒绝那些“无效、过于宽泛或与保护用户隐私的承诺不符”的请求。 Oura 并未透露收到的请求数量、提供用户数据的频率，以及被请求的数据类型。截至我上次发文前后（https://this.weekinsecurity.com/oura-ring-deal-raises-valid-concerns-about-users-health-data-security/），Oura 已售出超过 550 万枚戒指（https://www.businesswire.com/news/home/20250922351288/en/URA-Surpasses-5.5-Million-Rings-Sold-and-Doubles-Revenue-for-the-Second-Year-in-a-Row-Empowering-Millions-to-Live-Better-Longer），这从一定程度上反映了其客户群体的规模。 我当时曾询问 Oura 是否会公开这些请求的频率，例如发布一份透明度报告。2013 年 NSA 监控丑闻之后，一大批科技公司开始每半年汇总公布一次收到的政府请求数量，这主要是为了反驳公司秘密应政府要求交出大量用户数据的说法。 Oura 最初的回应曾带来一丝希望。当时一位发言人告诉我，虽然 Oura 尚未发布透明度报告，但公司“正在积极评估如何以既能维护安全、又不会给用户带来风险的方式来分享汇总数据。” 亲爱的读者，如今已过去八个月了。 我最近再次联系了 Oura，询问其是否会发布透明度报告。在多次跟进邮件后，曾经回应积极的 Oura 至今未回复我的任何询问，也未承诺公开相关数据。我仍希望 Oura 能重新考虑，如其他科技公司那样，公布收到的政府请求数量。 没有这些数据，就无法知晓 Oura 实际上否决政府数据请求的频率（如果有过的话）。作为健康可穿戴设备市场的领头羊，如果 Oura 希望赢得或保持用户的信任，它就应该公布政府要求访问用户信息的频率。 ~ ~ *非常感谢您阅读 ~本周安全~。如果您喜欢这篇文章，请分享！欢迎对本篇文章提出任何反馈、问题或评论，请发送邮件至：[[email protected]](mailto:[email protected])*。