為什麼 VPN 不該要你的電子郵件
大多數 VPN 產品的核心,都存在一個被忽略的矛盾。你註冊的目的,是要向你所造訪的網站和網路隱藏自己的 IP 位址。但在那之前,服務商先要你提供電子郵件,接著是信用卡上的姓名,然後是帳單地址。你的註冊動作是在住家 IP 下進行的,所以他們也拿到了這項資訊。等到 App 安裝完成,這家你付錢請來保護隱私的公司,對你的了解已經超過了你原本想要隱藏的大多數網站。
一款匿名 VPN——真正不知道你是誰的那一種——應該是預設模式,而不是罕見的例外。本文將探討這個矛盾為何存在、實際可行的替代方案是什麼,以及在 iPhone 上透過 App Store 訂閱,是如何悄悄解決了一個業界纏鬥了十五年的問題。
門口的矛盾
無流量紀錄政策是大多數注重隱私的 VPN 主打的賣點。它代表服務商不會記錄你造訪過哪些網站、下載了什麼內容,或是你連線到哪些 IP。這就是它的承諾。
這個承諾常常略過的,是第二個資料庫——裡面存著你的帳號。你的電子郵件、信用卡上的姓名、你註冊時的 IP、你登入時的 IP、你的客服工單、你的續訂紀錄。這些都不是「流量」,卻全都是身分資訊。而且幾乎每一家 VPN 都握有這些。
所以問題其實不是「這家 VPN 會不會記錄我的流量」。問題是「這家 VPN 到底對我了解多少」。流量層面和帳號層面是兩個不同的問題,而幾乎所有關於 VPN 隱私的討論都只涵蓋了前者。
VPN 業界常見的帳號模式
退一步看,市面上其實只有幾種固定模式。把每一種都點出來,你才能辨別某家服務商用的是哪一種。
電子郵件加密碼
經典的 SaaS 註冊方式。你填寫電子郵件、設定密碼、透過連結確認。從此服務商就擁有了你的永久識別碼,以及你何時、在何處註冊的紀錄。這是最主流的模式,也是風險暴露最大的一種。
電子郵件加金流處理商
與上面相同,另外透過 Stripe 之類的平台綁定信用卡。金流處理商負責處理卡片資料,但 VPN 仍然握有你的電子郵件、信用卡上的姓名以及帳單紀錄。退款與續訂都需要這個電子郵件存在。
魔術連結或一次性驗證碼
這種方式被包裝成「免密碼」,有時也被稱作「重視隱私」。但就隱私意義而言,它並不是。服務商依然握有你的電子郵件,只是不要求你記住密碼而已。
透過 Apple ID 在 App Store 訂閱
這是大多數 iPhone 使用者從未仔細審視的模式。你點選訂閱,用 Face ID 確認,交易透過 Apple 完成。開發者看不到你的電子郵件、信用卡或姓名。他們收到的只是 Apple 發出的一張已簽署收據,確認訂閱有效。這一點我們稍後會再詳談。
加密貨幣加無帳號
最徹底的選項。用 Monero 之類的加密貨幣付款,取得權杖或憑證,從不向服務商透露任何資訊。原則上真正匿名,但操作上代價很高——你會失去輕鬆續訂、輕鬆退款、輕鬆更換裝置的能力,還得自行承擔管理憑證的負擔。對大多數使用者來說,即使他們在意結果,這也不是一個實際的選項。
綁定身分帳號的風險
人們很容易對帳號層面的資料不以為意——「他們不過有我的電子郵件,能怎樣。」但「能怎樣」很快就會變得具體。
傳票與法律請求的波及範圍
流量層面的無紀錄政策確實有用,但它並不延伸到帳號資料。如果法院命令服務商交出某個電子郵件或帳單身分的相關資訊,他們就必須配合。服務商無法以「我們不保留流量紀錄,所以什麼都沒有」為由推託——他們只能交出帳號紀錄、註冊 IP、客服工單和續訂紀錄。
光憑這份紀錄,通常就足以證實某個特定的人在某個特定的時間區間內是客戶。視司法管轄區與請求性質而定,即使沒有附上任何流量資料,這也是一次有實質意義的資訊揭露。
資料外洩的暴露
帳號資料庫會外洩。大型 VPN 服務商、密碼管理工具,以及介於兩者之間的各類平台都發生過外洩。當 CRM 或身分驗證資料庫被攻破時,外洩的不只是你的電子郵件——它還暴露了一個事實:你,用那個電子郵件,曾經是某家 VPN 的客戶。這並非無關緊要。對某些地區的某些使用者來說,這個事實本身就是敏感資訊。
跨外洩事件的交叉比對
更深層的問題是,沒有任何一次外洩是孤立發生的。你的 VPN 帳號電子郵件,同時也是你的購物電子郵件、論壇電子郵件,很可能還是你工作相關的電子郵件。一旦幾個資料庫外洩,同一個電子郵件就會在所有這些資料庫中出現,一份完整的輪廓便從殘骸中拼湊成形。關於帳號,最能保護隱私的事,往往就是一開始根本不存在這個帳號。
關於服務商所說的「無紀錄」究竟意味著什麼,可以參閱我們的文章 VPN 無紀錄政策的真實含義;至於哪些 VPN 宣傳在仔細審視下站得住腳,可以參閱我們的 VPN 常見迷思解析。
Apple ID 訂閱如何將身分與開發者隔離
App Store 訂閱模式在結構上與 SaaS 帳號模式有本質上的差異,而理解這一點對匿名 VPN 而言至關重要。
當你透過 App Store 訂閱一款 App 時,你是與 Apple 進行交易,而不是與開發者。Apple 握有你的付款方式、Apple ID、帳單地址以及訂閱紀錄。開發者——在這裡就是 VPN 服務商——則站在那道牆的另一側。
當你訂閱時,開發者實際收到的是一張已簽署的收據。Apple 的 StoreKit 框架會向 App 提供一個經過加密的交易物件,開發者的伺服器則透過 Apple 的伺服器驗證該筆交易。驗證結果只回傳一條有意義的資訊:是的,這筆訂閱有效,而且屬於這個匿名識別碼。沒有電子郵件,沒有姓名,沒有信用卡,沒有地址。
如果你要取消訂閱,是透過 Apple 操作。如果你要退款,是向 Apple 申請。如果你的信用卡過期,你在 Apple ID 設定中更新——開發者永遠看不到新卡、舊卡,甚至不知道有任何變動發生。續訂也是同樣的道理。
對使用者來說,這看起來和一般的訂閱流程沒什麼兩樣。但在結構上,它達成了清楚的分離:Apple 負責身分與金流,開發者負責產品。由於開發者這一側沒有註冊表單,也就不存在帳號資料庫。那個在資料外洩中通常會被外洩的東西,根本就不存在。
這不是什麼隱私技巧,而是所有 App Store 訂閱的運作方式。大多數使用這個模式的 App 並沒有把它當成隱私賣點,因為它們另外在 App 內要你填寫電子郵件來「建立帳號」。VPN 完全沒有必要這麼做,但大多數 VPN 卻出於習慣依然如此。
Snap VPN 的做法
Snap VPN 的設計基礎是:App Store 的流程已經足夠。首次啟動時沒有註冊表單,App 裡沒有電子郵件輸入框,連線之前也沒有「建立帳號」這一步。
你安裝 App,點選訂閱,用 Face ID 確認。從 Snap VPN 這一側收到的,是一張經過驗證的收據和一個匿名識別碼。收據表示你已訂閱,識別碼讓 App 記住在這台裝置上你是訂閱使用者。兩者都不包含你的電子郵件、姓名或付款資訊,因為 Snap VPN 的伺服器根本不會收到這些——是 Apple 收到。
我們這一側不會儲存任何與真實世界身分綁定的使用者識別碼。你對 Snap VPN 的信任是操作層面的(網路、伺服器、通訊協定),而不是那種「我們握有你的身分,請信任我們」的信任——後者是每一個電子郵件加密碼帳號都附帶的前提。
實際來說:如果有人要求 Snap VPN 提供「這個電子郵件位址對應的所有資料」,不會有任何紀錄可以提供,因為根本沒有任何電子郵件在檔。這不是行銷話術,而是不建立註冊表單的自然結果。
如果你想在裝置層面進一步加強隱私,我們的 iPhone 隱私設定清單 涵蓋了搭配匿名 VPN 值得開啟的各項設定。
誠實的侷限
如果就此打住,會造成誤導。有必要把這個模式做不到的事說清楚。建立在 Apple ID 上的匿名 VPN,並不等同於零信任依賴的 VPN。
你仍然信任 Apple。Apple 知道你訂閱了。如果你在意這一點——如果你的威脅模型把 Apple 本身也包含進去——那麼 App Store 訂閱模式就不適合你,採用加密貨幣且無帳號的方式才是唯一誠實的答案。對大多數使用者來說,這個取捨是合理的:Apple 是已知的對象,這層關係本來就存在,資料也被限制在你本來就身處的生態系統之內。
你仍然信任 VPN 服務商會誠實地營運網路。任何帳號模式都無法解決這一點。一家沒有你電子郵件的服務商,同樣可能把伺服器設定錯誤、記錄它聲稱不會記錄的連線,或是出售不該出售的彙總資料。帳號模式解決的是減少被攻破時所能暴露的內容,而不是消除對營運者的信任需求。
它改變的是波及範圍的大小。如果 Snap VPN 的伺服器明天遭到攻擊,攻擊者將找不到電子郵件清單、姓名清單、信用卡號、帳單地址,也沒有與真實身分綁定的客服工單存檔。VPN 外洩事件中通常會被外洩的那個東西——帳號資料庫——根本不存在。蒐集得越少,能被攻擊的也就越少。
這就是關鍵所在。從設計層面實現匿名,意味著在設計上讓敏感資訊從一開始就不存在,而不是讓它「受到保護」「靜態加密」或其他種種表達「我們有,但很小心」的說法。
結論
一款要你填電子郵件的 VPN,其中的矛盾是真實存在的,而整個業界大多選擇繞過這個問題,而非解決它。解決方案不需要新奇的密碼學,也不需要新一輪的無紀錄稽核;而是一開始就不去建立帳號資料庫。App Store 訂閱模式讓在 iPhone 上做到這一點成為可能——對使用者來說毫無感覺,在結構上對開發者來說也乾淨俐落。這就是當帳號層面被認真看待時,匿名 VPN 應有的樣子。
如果你正在挑選 VPN,而它第一件事就是要你的電子郵件,這是一個公平的訊號,說明這款產品在其他地方也會如此對待你的資料。更好的預設選擇是存在的。
最後
如果一款不知道你電子郵件的 VPN 聽起來正是應有的預設狀態——因為本該如此—— Snap VPN 從第一次點選起就是這樣打造的。無需註冊,無需填表,沒有任何身分在檔。只有一款 App、一個錨定在你 Apple ID 上的訂閱,以及一個可以使用的網路。