经期应用 Stardust 把敏感健康数据发给分析公司,“不能拿去用”够安全吗?
沈南乔|OC 社会影响编辑
沈南乔|OC 社会影响编辑
据 TechCrunch 报道,Mozilla 研究人员发现,经期追踪应用 Stardust 会把出生日期、避孕信息、症状等数据连同可识别同一用户的标识符发送给分析服务商 RudderStack。Stardust 回应称,服务商无权把这些数据用于自己的目的。
一句话结论: 合同里写着分析公司“不能滥用”不等于数据没有离开应用;对经期和生殖健康信息来说,少收集、少传输和本地保存,比事后承诺更可靠。
很多应用都使用第三方分析工具来统计留存、崩溃和功能使用情况。问题在于,经期应用记录的不是普通点击。周期、症状、避孕方式和出生日期组合起来,可能透露怀孕计划、健康状况和性生活等高度私密信息。
Stardust 的解释在商业上很常见:RudderStack 是受托的数据处理商,不能拿客户数据建立自己的广告画像。从合规角度看,这和“卖数据”确实不同。但从用户风险看,数据仍然多经过了一家公司、多一个系统和一套访问权限。泄露、配置错误、内部滥用或法律要求,都不会因为合同里的一句用途限制自动消失。
尤其在生殖权利存在法律争议的地区,用户担心的不只是广告。即使第三方不主动利用数据,存储在服务器上的记录仍可能面临传票或执法请求。Stardust 表示自己无法把数据与现实身份直接对应,但持久标识符、设备信息和其他资料能否被重新关联,才是关键。

关键事实
- Mozilla 观察到 Stardust 向 RudderStack 传输多类健康和个人信息。
- 数据包含可把多次活动关联到同一用户的标识符。
- Stardust 称第三方只能代表其处理数据,不能自行使用;这并不等于数据保持在用户设备上。
OC 判断
隐私政策最容易玩的一种文字游戏,是把“我们不出售数据”写得很醒目,却不清楚说明数据会发送给多少处理商、保存多久、能否响应政府要求。对普通用户,传给第三方和卖给第三方不是一回事,但两者都扩大了暴露面。
经期应用应该默认采用数据最小化:能在设备上算的就不上传,非必要分析不绑定长期标识符,允许用户彻底删除并导出记录。Mozilla 提到的 Euki 采用本地保存路线,至少证明这不是技术上做不到,而是产品选择。
为什么重要
- 对用户: 选择健康应用时,应查看数据是否本地保存、是否能关闭分析、能否完整删除。
- 对开发者: 通用分析 SDK 不应未经筛选接收敏感字段,默认事件也需要逐项审计。
- 对平台和监管者: “受托处理”仍应受到数据最小化、保存期限和政府请求透明度约束。
评论
围绕这篇文章补充信息、提出问题或分享观察。