無紀錄 VPN 政策完整解析
無紀錄 VPN 政策是服務供應商所作出的承諾:不保留使用者的活動紀錄。這項說法在 VPN 行銷中已十分普遍,但不同服務商的實際意涵差異頗大。本文將介紹可信的無紀錄政策涵蓋哪些內容、如何在基礎架構層面落實,以及如何判斷該聲明是否有獨立證據支撐。
無紀錄政策承諾了什麼
無紀錄政策是關於服務商記錄與保留哪些使用者資料的聲明。完善的政策會明確涉及連線紀錄、活動紀錄與可識別的中繼資料,並說明執行該政策的技術措施。
措辭至關重要,因為「無紀錄」有時被寬鬆地理解為「沒有我們認為敏感的紀錄」,而其他資料——頻寬用量、連線次數、伺服器負載——則仍出於營運目的被保留。清楚的政策會區分兩者,並說明各自的理由。
紀錄的類型
在 VPN 情境下,紀錄通常分為三類。
活動紀錄
活動紀錄記錄使用者在連線期間造訪了哪些網站、App 或目的地。這是最敏感的類別。保留活動紀錄的服務商可以還原使用者的瀏覽歷史。如果無紀錄政策未明確排除活動紀錄,就不構成有意義的隱私承諾。
連線紀錄
連線紀錄記錄使用者的連線時間、連線時長、連線來源 IP 位址以及所連線的伺服器。雖然敏感程度比活動紀錄低,但連線紀錄可用於將 VPN 連線與網際網路上其他地方所觀察到的活動相互關聯。
彙總或營運紀錄
彙總紀錄記錄每台伺服器的總頻寬、同時連線數、錯誤次數等指標。這類資料通常是容量規劃與防止濫用的必要手段。合理的無紀錄政策會區分彙總營運指標與使用者層級的紀錄。
如何在基礎架構層面落實
可信的無紀錄政策是由基礎架構設計來確保落實,而不僅僅仰賴公司層面的規定。常見的幾種做法如下。
- 純記憶體伺服器。VPN 伺服器完全運行於 RAM,不掛載永久儲存裝置。伺服器重新啟動後,記憶體中的所有資料都會消失。這種方式有時被稱為純 RAM 或無磁碟配置。
- 無狀態通道。WireGuard 等現代通訊協定在伺服器端維護極少的狀態。伺服器知道哪些對等端已獲授權,但無需追蹤連線歷史。相較之下,使用使用者名稱驗證的 OpenVPN 會保留較多狀態。
- 停用系統紀錄。伺服器經過設定,使預設的系統紀錄程式不記錄逐筆連線資訊。詳細紀錄通常只在除錯期間短暫開啟。
- 無帳號資料庫。不要求使用者註冊帳號的服務,根本無法將連線與個人連結起來。Snap VPN 採用這種方式:訂閱透過 Apple 完成,服務本身不維護使用者資料庫。
獨立稽核
獨立稽核是驗證無紀錄政策是否如聲明般落實的最有力證據形式。典型的稽核專案由第三方資安公司在數週內審查服務商的伺服器設定、原始碼與營運流程。
稽核的價值取決於其範圍。有價值的稽核會明確說明檢查了哪些伺服器、元件與時間範圍,並在可完整查閱的報告中公布發現——包括正面與負面結論。僅提供行銷摘要的稽核,可信度則弱得多。
同樣重要的是認清稽核無法證明什麼。稽核只是時間上的快照,並不能保證服務商在稽核結束後仍以相同方式營運。定期重複進行稽核才能提供更強的持續保障。
法律請求
無紀錄政策與法律程序之間存在重要的相互作用。如果服務商收到傳票或法院命令要求提供使用者資料,服務商只能揭露其所持有的內容。如果活動紀錄與連線紀錄都未被保留,服務商除了訂閱紀錄外,對特定使用者的活動將沒有任何內容可以揭露。
部分服務商會發布「透明度報告」,說明所收到的法律請求以及相應的回應。透明度報告列出收到的請求,並詳細說明沒有實質資料可供揭露,這與有效運作的無紀錄政策相符。
司法管轄權同樣重要。服務商所在的法律體系決定了其可被強制遵從的請求類型,以及是否可被要求進行前瞻性的紀錄記錄。
如何驗證聲明
以下幾個訊號可以協助判斷無紀錄聲明是否可信。
- 政策的具體性。政策明確列出不被保留的紀錄類別,而非使用模糊的措辭。
- 稽核歷史。服務商已委託獨立稽核,完整的稽核報告公開可查,且稽核涵蓋了最關鍵的元件——伺服器與驗證系統。
- 營運設計。基礎架構以技術細節加以說明,包括純記憶體伺服器的使用、無帳號驗證以及無狀態通訊協定。
- 透明度報告。服務商定期發布報告,說明收到的法律請求以及相應的回應。
常見迷思
以下幾種模式顯示無紀錄聲明可能沒有看起來那麼可靠。
模糊的措辭。承諾不保留「任何個人識別資訊」、卻未具體說明排除哪些資料類別的政策,實際上可能與保留大量連線中繼資料並無矛盾。
以帳號為基礎的服務。要求以電子郵件註冊帳號的服務,即便聲稱不記錄活動,也必然保留了部分資訊。無帳號服務在結構上具有更強的保障。
僅憑自我聲明。未經獨立第三方審查的無紀錄聲明,完全仰賴服務商的一面之詞。
Snap VPN 的架構使無紀錄聲明在機制上具有可信度:沒有使用者帳號、純記憶體伺服器,以及只攜帶極少連線狀態的 WireGuard 通訊協定。更多背景資訊,請參閱 VPN 入門介紹以及 WireGuard 與 OpenVPN 的比較。