你的日记应用真的私密吗？应该看哪些细节

每一款日记应用都说自己私密。营销页面用的都是同样的词：端到端加密、你的数据属于你、我们读不到你写的内容。它们大多不算撒谎，但这些说法的真实含义，往往和读者以为的并不一样。

如果你打算把那些不愿对任何人开口的事写进一个应用，那就值得花时间看清楚到底该核对什么。这些工作大约只需要五分钟。

第一个问题：谁能读到你的日记？

打开应用的隐私政策，找到关于数据访问的那一段。你要回答的问题很简单：如果明天收到一份法院传票，这家公司能不能把你的日记以可读的形式交出去？

如果答案是能，那这个应用就算不上私密。它也许是安全的（你的数据能挡住外部攻击者），但公司本身能读到你写的东西。大多数日记应用都属于这一类，其中也包括一些规模最大的。

真正的私密意味着：公司无法交出他们本来就没有的东西。端到端加密，并且密钥只保存在你的设备上，这样的版本下，「我们读不到你的日记」才真的成立。

端到端加密与「传输加密」不是一回事

这两者并不相同，但在营销文案里经常被混为一谈。

传输加密的意思是，数据从你的设备到服务器的路上是受保护的。这是任何一款现代应用最起码应该做到的。一旦数据到达服务器，通常就是公司可以读取的。大多数所谓「加密」的说法，其实指的就是这个。

端到端加密的意思是，你的日记在离开设备之前就被打乱过，密钥只有你拥有。服务器存放的只是密文。即便公司想看，也读不到。如果一份隐私政策对自己到底属于哪一种说得含糊不清，那就当作较弱的那一种来理解。

「数据留在你的设备上」到底应该意味着什么

如果应用支持跨设备同步，那你的数据必然要传到某个地方。关键在于：它以什么形式传输，接收数据的服务器又能拿它做什么。

有些应用完全把数据存在本地，不做任何同步。这是最强的隐私保证，但一旦手机丢了，日记也就没了。更好的方案是：仍然同步，但离开设备的所有内容都用一把服务器没有的密钥来加密。

商业模式这个问题

如果一个日记应用免费而且显示广告，那广告网络就是它赚钱方式的一部分。这通常意味着会有某种形式的行为数据离开你的设备，哪怕日记内容本身没有。崩溃日志、使用习惯、一天中的使用时段，这些都可以被分析和出售。

靠订阅维持的应用没有这种冲突。它们的生意取决于你是否续费，而不是广告主能从你身上挖到什么。如果你写的正是日记里通常会出现的那类内容，那么为它付费是值得的。

导出与删除的检验

在把一整年的写作托付给某个应用之前，先把这两件事都试一遍：

• 导出：你能否把每一篇日记导出成可用的格式（Markdown、纯文本、JSON）？如果不能，你的写作就被困在这款应用的生死之中。
• 删除：当你删掉一篇日记或者整个账号时，应用会不会说清楚究竟发生了什么？数据是否会在合理的时间内从备份里被清除？含糊的说法就是一个警示信号。

面对闭源应用的信任问题

大多数应用都是闭源的，也就是说外人无法通过读代码来独立验证它的隐私声明。这并不等于声明就是假的，而是意味着信任要建立在公司的口碑、它的利益结构，以及它愿意把应用的真实工作方式讲到多透明之上。

可以这样问：当被追问技术细节时，公司是否愿意讲清楚？他们有没有做过第三方安全审计？隐私政策是具体的，还是塞满了「法律要求时除外」「我们可能与合作伙伴共享」这类后门式的措辞？

一份简短的清单

• 明确写出端到端加密，而不是含糊地宣称「加密」。
• 密钥保存在你的设备上，而不是公司的服务器上。
• 商业模式不依赖于你的数据。
• 导出功能可用，并且支持便于迁移的格式。
• 删除策略具体明确，没有模糊措辞。
• 隐私政策中没有宽泛的共享条款。

Innera 的做法

Innera 就是按照这份清单做出来的。端到端加密，密钥只保存在你的设备上。靠订阅维持，所以生意不依赖于你写了什么。完整导出。删除策略具体。隐私不是落地页上的一句广告语，而是这款应用存在的理由。

把这份清单拿去衡量你正在考虑的任何一款应用。大多数至少会在两项上不合格。能全部通过的那些，才是值得托付那些说不出口的故事的应用。