私密、离线的情绪追踪应用:InnerPulse 无账户、无云端

在设备上就是在设备上

许多应用宣传「隐私」,意思却是它们的服务器加密得很好。那是另一种承诺。它仍然意味着:你的数据离开你的设备,落到某个服务商那里,而你信任那个服务商的安全措施。

InnerPulse 把你的记录存在你 iPhone 上的一个本地数据库里(SwiftData)。不存在任何把这些数据发往服务器的步骤,因为根本没有它可以去的服务器。具体来说:

• 没有账户。 你不创建邮箱、密码,也不登录。你打开应用就记录。不存在任何可以把你的数据与任何地方任何东西绑定的用户标识。
• 没有云端,没有后端。 InnerPulse 不运营任何自己的服务器基础设施。你的情绪数据从不上传、同步,也不存储在你设备之外。
• 没有分析或跟踪 SDK。 没有任何把使用行为、与广告 ID 绑定的崩溃画像或行为数据发给第三方的内置组件。应用不对你进行测量。
• 分析在本地计算。 相关性引擎、交互洞察和统计都在你的设备上计算。不存在需要你的数据才能工作的「洞察服务器」。

这就是「我们保护你的数据」和「我们没有你的数据」之间的区别。InnerPulse 属于第二类。

承诺活在架构里,而不是一句营销话术里

隐私承诺很廉价。每个应用都会在它的商店页面里写一条。InnerPulse 的不同之处在于,你不必相信这个承诺,你可以检验它,因为它是架构的一个属性,而不是一句声明。

下面是你如何在几分钟内自己做到这一点:

• 用网络监控工具。 安装一个像 Little Snitch 这样的工具(在 Mac 上,同步时连接设备),或者把你 iPhone 的流量经一个 HTTP 代理(如 Proxyman 或 Charles)转发。正常使用 InnerPulse:创建记录、做测试、看洞察。你会看到应用不向外发送任何情绪数据。
• 在飞行模式下。 让设备离线并使用应用。一切照常运转:追踪、分析、导出。一个必须把你的数据发往云端才能工作的应用,在飞行模式下会卡住。InnerPulse 不会。

这就是「在设备上」的意义:你不必信任任何人,因为没有什么需要信任的。我们在隐私页面上也更详细地描绘了这幅技术图景。

GDPR 原生,在欧洲制造

因为没有个人数据离开设备,InnerPulse 不涉及任何 GDPR 意义上需要你许可的数据处理。没有处理者,没有向第三国的传输,没有用于跟踪的同意横幅,因为根本没有跟踪。这里的隐私不是一个合规附加项,它自动从设计中产生。

InnerPulse 在欧洲开发。对许多人来说,尤其是涉及敏感的健康数据时,这是一个额外的信任信号:没有向数据保护更弱的司法管辖区的传输,因为根本不发生任何传输。如果你想知道背后是谁,见关于这个应用。

可选项:Apple Health 与 WeatherKit,而且只与 Apple

有两项功能可以选择性地交换数据,而诚实说明会发生什么很重要。

• Apple Health 可以选择性连接,例如自动把睡眠作为一个因素导入,或把选定的数值写回。这种交换发生在 InnerPulse 与 Apple 的 Health 数据库之间,两者都在你的设备上。它不会去往 InnerPulse 的服务器,那些服务器并不存在。
• WeatherKit 可以选择性启用,以把天气作为一个因素捕捉。这会做一次性的位置查询,经 Apple 的服务进行。这里同样,对端是 Apple,不是 InnerPulse。

这两项功能都明确是可选的。如果你不开启它们,InnerPulse 不与任何人交换任何东西。如果你开启它们,唯一的伙伴是 Apple,而作为 iPhone 用户你本来就在与它打交道。没有额外的第三方进入这幅图景。

Face ID 锁作为第二道防线

「在设备上」保护你的数据不离开设备。它不会自动防范有人拿起你已解锁的手机。为此有一个通过 Face ID 或 Touch ID 的可选应用锁。即便有人使用你的设备,他们也只有在一次生物识别确认之后才能看到你的记录。对于一本可能包含用药相关或临床相关记录的日记,这第二层是有意义的。

关于备份的诚实:隐私的代价

下面是大多数应用不会明说的诚实部分。一以贯之的隐私是有代价的,它叫做备份责任。

因为 InnerPulse 没有自己的云端,所以不存在能在你更换设备时恢复数据的自动服务商同步。其结果是:

• 如果你启用了 iOS 的 iCloud 备份,InnerPulse 数据库会作为整机备份的一部分被包含进去。你也可以在 iOS 设置中把该应用从备份中排除。
• 如果你既没有 iCloud 备份也没有导出,而你丢失或弄坏了设备,数据就没了。没有任何服务商保留副本,因为这恰恰是重点所在。

这就是为什么你应该定期导出。InnerPulse 提供 CSV(包括按题导出)、JSON,以及一份 PDF 报告。偶尔的一次导出不只是备份,也是你可以带去看医生或治疗就诊的文件。这就是那个权衡:用一点个人责任换取最大限度的隐私。对于敏感的健康数据,许多人认为这是对的那一个选择。

这与常见的替代方案有何不同

大多数热门的情绪追踪应用在这里作了不同的选择。一个游戏化的随意型应用,如InnerPulse vs Daylio中所述,通过一个账户提供云端备份,这很方便,但意味着你的数据存在一台服务器上。Apple 自己的方案,在InnerPulse vs Apple Health中作了对比,它预装且受信任,但把你的 State of Mind 数据与 iCloud Health 同步捆绑在一起。

与 InnerPulse 立场最接近的,是一个精简的离线日记应用,如InnerPulse vs Moodistory中所述:同样是一次买断且离线。区别在于,InnerPulse 还额外带来临床筛查、相关性引擎、子维度和 Apple Watch,而不放弃隐私。私密与功能丰富并不相互排斥。

一个私密、离线的情绪追踪应用适合谁

如果符合以下情况,InnerPulse 适合你:

• 你追踪敏感话题,例如用药、物质使用或临床相关症状,而「没有任何东西离开我的手机」对你来说不容商量。
• 你只是不想再多一个账户、再多一个云端。
• 比起相信隐私承诺,你更愿意自己验证它。
• 你愿意偶尔导出自己的备份,以换取那份隐私。

如果符合以下情况,云端应用可能是更好的选择:

• 比起纯粹的设备本地存储,毫不费力的自动跨设备同步对你更重要,而你愿意为此把数据托付给一个服务商。

一条简短而重要的说明

InnerPulse 是一个自我观察和自我评估的工具,明确不是诊断。其中包含的筛查是经过验证的问卷,不替代医学评估。在急性困扰期间,应用会显示 DACH 地区的危机联系方式(AT 142、CH 143、DE 的 0800 号码)。这些资源在离线时也能用,因为它们存储在应用里,不需要服务器。

结论

一个真正私密的情绪追踪应用,是那种你不必相信其隐私的应用,因为你可以检验它。InnerPulse 百分之百在你的设备上运行,没有账户、没有云端、没有跟踪,带一个可选的 Face ID 锁,以及一条关于备份的诚实说明。Apple Health 和 WeatherKit 保持可选,且只去往 Apple。承诺活在架构里,用一个网络监控工具或飞行模式,你可以在几分钟内看到它成立。在InnerPulse上阅读更多关于这个应用的内容。