為什麼你的熱量追蹤器不需要你的電子郵件. Onyx Tenet

← 部落格

MyFitnessPal、Cronometer、MacroFactor、Lose It!。它們都想先拿到你的電子郵件、密碼，有時甚至是出生日期和性別，你才能記錄第一份雞胸肉。

我們打造 Onyx Tenet 時，沒有這項要求。下載、打開、記錄。你的飲食日記不需要經過任何伺服器。

這是我們做的第一個架構決定，也影響了後面的一切。

為什麼它們會要求

卡路里追蹤器要求你建立帳號，主要有三個原因，而沒有一個是「為了讓 App 能運作」。

1. 廣告投放

MyFitnessPal 和 Lose It! 提供有廣告支持的免費方案。電子郵件地址會把你的使用資料連到可被廣告網路定向的身分。你的飲食紀錄會變成行為訊號：你吃什麼、什麼時候吃、你追蹤得多一致。這個訊號有價值。

MyFitnessPal 自己的隱私政策也承認會與「行銷和廣告合作夥伴」分享使用者資訊，並指出某些追蹤 Cookie 的使用「在適用的隱私法下，可能構成個人資訊的出售或分享」。這不是推測。這是它們自己的揭露。

2. 鎖定效應

一旦你的飲食紀錄存在別人的伺服器、躲在他們的登入之後，離開就代表失去資料。多年來的餐食、體重歷史、自訂食物、食譜。帳號不是功能。它是護城河。

MyFitnessPal 把這件事做得很明確：CSV 匯出被鎖在每年 80 美元的 Premium 後面。免費使用者無法匯出自己的資料。你可以把資料放進去，但不付費就拿不出來。

3. 互動指標

DAU/MAU 比例、留存分群、漏斗轉換率。這些是投資人和廣告主在意的數字，而它們都需要可識別的使用者。每天打開 App 的匿名使用者，對這些指標來說是隱形的。帳號會把那個人變成一筆資料。

MacroFactor 甚至沒有免費方案。Cronometer 的免費方案有廣告。所有主流追蹤器的商業模式，都建立在使用者會建立帳號這個假設上。帳號是在服務商業模式。沒有它，App 一樣能正常運作。

當事情出錯時會發生什麼

如果資料一直安全，這些問題就不會那麼嚴重。但事實不是這樣。

2018 年 2 月，MyFitnessPal 公布有未授權第三方存取了 1.5 億個使用者帳號：使用者名稱、電子郵件地址，以及雜湊密碼。當時這是當時紀錄中最大的資料外洩事件之一。

2026 年 3 月，Cal AI（已收購 MyFitnessPal）又發生第二次外洩。安全研究人員發現一個未驗證的 Firebase 後端，不需要任何憑證就能讀取。外洩資料包含姓名、電子郵件、出生日期、性別、身高、體重、健康目標、宏量目標，以及帶有時間戳記的餐食紀錄。共 320 萬筆使用者紀錄，資料量達 14.59 GB。其中一筆紀錄屬於 2014 年出生的孩子。

這些都不是孤立事件。2021 年，一家名為 GetHealth 的健身資料彙整商留下了一個未受保護的資料庫，暴露了從 Fitbit、Strava 和 Google Fit 拉來的 6,100 萬筆紀錄。資料就放在一台沒有密碼的伺服器上。

你的飲食紀錄、體重歷史和電子郵件，現在都在外洩資料庫裡。從一開始，它們根本沒有必要存在別人的伺服器上。

沒有帳號的架構長什麼樣子

這就是我們改做的方式。

Data flow comparison: when you log a meal in an account-required app vs Onyx Tenet. The account-required path sends your data to their server, ad networks, and analytics platforms. The local-first path stores everything on your device.

本機優先資料庫。 你的飲食紀錄、體重歷史和自訂食物都存在裝置上的本機資料庫中（iOS 使用 SwiftData，Android 使用 Room）。預設不會上傳任何資料。不需要網路連線。App 可完整離線使用。

核心功能不依賴伺服器。 記錄餐食、掃描條碼、查看歷史、檢查自適應 TDEE。這些都不需要網路連線，也不需要使用者帳號。伺服器不在關鍵路徑上。

透過公開 API 掃描條碼。 條碼查詢使用 OpenFoodFacts，一個由社群維護的開放資料庫。你和我們都不需要帳號。

完整資料可攜性。 你的資料可隨時從設定中的任何畫面匯出為 JSON 檔。這不是受限的每週 CSV，也不是只有 Premium 才能用的功能。那是你的資料。那是一個檔案。你掌控它。

匿名分析。 我們使用 PostHog 進行使用分析，並遵守嚴格政策：不含 PII、不含飲食紀錄、不含體重資料。設定中的分析開關可讓你完全退出。對於啟用雲端備份的使用者，我們會使用匿名化的 Firebase UID 來維持分析連續性。不是你的電子郵件。不是你的名字。

「可是如果我弄丟手機呢？」

這是最誠實的反方論點，我們很重視。如果你的資料只存在裝置上，裝置不見了，資料也會跟著不見。

三道防線：

JSON 匯出。 你可以把資料匯出到 Files、iCloud Drive、Google Drive，或任何你存檔的地方。這在設定裡只要點一下。匯出內容是完整快照：飲食紀錄、體重歷史、自訂食物、食譜、設定。

平台備份。 iOS 和 Android 都會分別自動把 App 資料備份到 iCloud 和 Google，除非你關閉了這個功能。對大多數使用者來說，不需要額外操作，資料本來就已經有備份。

可選雲端備份。 如果你希望有明確的雲端備份，並能在任何裝置還原，Onyx Tenet 也提供。你用電子郵件連結登入。我們只用那個電子郵件做一件事：讓你存取自己的備份。沒有密碼。沒有個人檔案。沒有傳統意義上的帳號。若我們未來真的建立完整帳號，它們也會是可選的，而且只會因為對你有利，而不是對我們有利。

重點不是備份不重要。重點是備份應該是你主動做的選擇，而不是一個兼作資料收集機制的強制帳號建立。

這個市場現在怎麼比較

	MyFitnessPal	Cronometer	MacroFactor	Lose It!	Onyx Tenet
需要帳號	是	是	是	是	否
飲食紀錄儲存位置	他們的伺服器	他們的伺服器	他們的伺服器	他們的伺服器	你的裝置
免費方案廣告	是	是	沒有免費方案	是	沒有廣告。永遠。
與廣告網路分享	是	是（免費方案）	否	廣告識別碼	否
資料匯出	CSV（僅 Premium）	CSV（所有方案）	試算表（訂閱者）	CSV（每週，僅網頁）	JSON（完整，隨時）
年費	Premium 80 美元/年	Gold（付費）	72 美元/年	40 美元/年	核心功能免費

來源：各公司的最新隱私政策與 App Store 列表。所有說法都可公開驗證。

取捨

本機優先代表的是實際取捨。我們不會假裝沒有。

預設沒有跨裝置自動同步。 你的資料會留在你記錄的那台裝置上。雲端備份（可選）可以讓你在任何裝置還原，但不提供多裝置即時同步。這是我們之後可能加入的功能，而且會是可選、加密的。

本機資料沒有密碼救援。 如果你刪掉 App，卻沒有先匯出或備份，資料就沒了。JSON 匯出就是你的保險。

你要為自己的備份負責。 我們提供工具（匯出、平台備份、雲端備份），但預設是你的資料留在本機。這就是整個設計的目的。

這些都是有意識的設計決定，不是疏忽。另一種做法，就是其他所有追蹤器在做的事：第一天就要求帳號，把你的資料放到他們的伺服器，然後稱之為功能。

Onyx Tenet 不需要你的電子郵件。下載、打開、記錄。除非你明確選擇 אחרת，否則你的資料會留在你的裝置上。

Onyx Tenet 是免費的。不需要帳號。