Oura 表示收到政府数据请求，是否会公开数量？

标题：Oura 表示收到政府索取用户数据的要求。它会公开具体数量吗？

来源链接：https://this.weekinsecurity.com/oura-says-it-gets-government-demands-for-user-data-will-it-share-how-many/

发布日期：2026-05-23T12:34:51.000Z

Markdown 内容： 去年，健康可穿戴设备制造商 Oura 因与国防部和 Palantir 签署协议而陷入 社交媒体风波。一些客户担心他们的数据可能会落入特朗普政府手中。这场丑闻愈演愈烈，以至于我的搭档——一位 Oura 戒指用户，引起了我的注意。

Oura 戒指是一种佩戴在手指上的健康监测可穿戴设备。这些由电池供电的戒指记录用户的健康数据，例如心率、睡眠模式、月经周期以及数十种其他数据点，包括其位置信息。Oura 在其服务器上存储了大量关于用户的敏感信息。

作为一名安全与隐私 _~~极客~~_ 记者，同时也是使用该设备的人的伴侣，我很好奇：所有这些数据都去了哪里？它们是如何传输到那里的？你可能认为这无关紧要。但公司如何设置其产品和服务器，决定了政府（或黑客）是否也能访问这些用户数据。

这是一个深入了解 Oura 戒指工作原理、数据传输方式及存储方式的好机会，以及谁可以访问这些数据。我写了一篇详细长文解释 Oura 的安全设计选择，说明为何这些设计允许政府从 Oura 巨大的用户信息数据库中获取记录。

Oura 并非唯一一家如此操作的公司，许多（如果不是大多数）公司设计系统时都会允许员工访问用户数据，可能是为了排查客户问题，或者因为这对曾经资金紧张的初创公司来说是最简单便宜的做法。但如今 Oura 是最大的健康科技可穿戴设备制造商之一，估值超过 110 亿美元，即将上市。公司现在有更大的责任确保用户数据无法被访问。而且，Oura 已经不能再以缺乏资金为由来推脱。

在我之前的博客中，我揭示了 Oura 的数据并未采用端到端加密。这意味着当用户的健康数据从戒指、通过手机应用、经过互联网，最终到达 Oura 服务器时，某些环节是可以被解密的。公司确认其以一种允许部分员工访问用户数据的方式存储数据。这也意味着其他人也可以访问，比如持令状的检察官、拥有被盗密钥的黑客，或想要留下混乱局面的不满内部人员。

在这三种情况中，我们至少知道其中一种已经发生了。

在我发表上一篇文章之前联系 Oura 求证时，Oura 的发言人告诉我：“公司偶尔会收到政府请求。”Oura 表示，它会对每项请求“评估合法性、范围和必要性”，并会在请求无效、范围过宽或与保护成员隐私的承诺不符时“予以拒绝”。

Oura 并未透露收到多少此类请求、多久会移交一次用户数据，或哪些类型的数据被请求。截至我上次文章发布时，Oura 已售出超过 550 万枚戒指，这表明其客户基础规模庞大。

我当时询问 Oura 是否愿意披露这些请求的频率，例如通过发布透明度报告。一些科技公司开始定期（每半年一次）公布他们收到的政府请求总数。此举主要是为了回应 2013 年美国国家安全局（NSA）监控丑闻引发的指控，即公司在政府请求下秘密交出大量用户数据。

Oura 最初的回应曾带来一丝希望。当时的一位发言人告诉我，虽然 Oura 不会发布透明度报告，但公司表示正在“积极评估如何以维护安全的方式共享汇总数据，且不会给成员带来风险”。

亲爱的读者，现在已经过去八个月了。

最近我又联系了 Oura，询问是否会发布透明度报告。尽管我发了几封跟进邮件，但曾经响应迅速的 Oura 目前仍未回复我的任何询问，也未承诺发布相关数据。我希望 Oura 能重新考虑，并像其他科技公司一样公布其收到的请求数量。

在没有看到具体数字的情况下，我们无法得知 Oura 是否曾拒绝政府的数据请求，以及拒绝的频率。作为健康可穿戴设备市场的领头羊，如果 Oura 希望获得或维持客户的信任，就应该公开政府请求访问用户信息的频率。

~ ~

_非常感谢您阅读 ~this week in security~。如果您喜欢这篇文章，请分享它！欢迎随时就本文提出反馈、问题或评论：_[_this@weekinsecurity.com_](mailto:this@weekinsecurity.com)。