下載
返回部落格
隱私··15 分鐘閱讀

VPN「無紀錄」到底是什麼意思

語言: EnglishالعربيةDeutschEspañolفارسیFrançaisहिन्दीBahasa IndonesiaItaliano日本語한국어PolskiPortuguêsРусскийไทยTürkçeУкраїнськаTiếng Việt简体中文

打開任何一家 VPN 的官網,你幾乎都能在最顯眼的位置看到同樣三個字:「無紀錄」。這個詞出現得太頻繁,反而失去了具體含義。無論是頭部品牌、低價產品、機場廣告牌上的業者,還是你從未聽過的小廠,全都這麼說。然而,說這話的人正在營運真實的伺服器——有真實的磁碟和記憶體——處理著你傳送的每一個封包。

那麼,VPN 的無紀錄聲明究竟意味著什麼?你又怎麼知道它是否屬實?這正是那些行銷文案從不誠實作答的問題。本文給你一個直接的答案。

簡短結論:「無紀錄」是一個有用的起點,而不是終點。它涵蓋的實務範圍很廣——有些真正保護你的隱私,有些本質上只是把普通的資料保留行為包裝成行銷語言。要判斷它的價值,你需要先了解 VPN 業者在技術上能看到什麼、紀錄分為哪些類別,以及「不記錄紀錄」的政策承諾與「無法記錄紀錄」的架構設計之間有何本質區別。

VPN 業者能看到什麼

在談紀錄之前,我們先談可見性。紀錄是關於「什麼被寫下來」的問題,而可見性是關於「伺服器面前有什麼」的問題。這是兩個不同的層面,混淆它們是 VPN 行銷誤導使用者最常見的方式之一。

當你連線 VPN 時,你的裝置會與業者的某台伺服器建立加密隧道。之後,伺服器解密你的流量並轉發到公共網際網路。這個解密步驟正是 VPN 的核心——它讓你的流量抵達目標網站時,顯示的是 VPN 的 IP 而非你的真實 IP。我們關於 VPN 是什麼以及它如何運作 的介紹對底層原理有更詳細的說明。

僅憑這一架構,VPN 伺服器在技術上就能觀察到:

  • 連線時的真實 IP 位址。你的裝置必須告知伺服器將加密回包發往哪裡,那個目的地就是你的真實 IP。
  • 你連線的是哪台 VPN 伺服器、連線時間。包括你選擇的伺服器、連線時間戳記、斷線時間戳記——這些都是工作階段中繼資料。
  • 你發起的 DNS 查詢(如果 VPN 運行自己的 DNS 解析器)。當你在瀏覽器中輸入網域名稱,必須有某個程式去查找對應的 IP 位址。如果由 VPN 代為解析,它就能看到這些查詢紀錄。
  • 每次工作階段的流量用量。雙向傳輸的位元組數。
  • 流量時序特徵。即使目標網站的連線內容已加密,封包的大小和時序仍可向有心的觀察者透露一定資訊。

你的 HTTPS 連線內容不在上面這個清單裡。一旦你的瀏覽器透過 TLS 與某個網站(比如你的銀行)建立連線,VPN 看到的只是發往該銀行 IP 的加密位元組,而非實際內容。這層保護是真實且重要的。

但上述中繼資料是真實存在的。工作階段活躍期間,這些資料駐留在記憶體中,因為伺服器需要它們來完成工作。「紀錄」問題的本質,是這些資料在之後會發生什麼——是否被寫入磁碟、長期保留、建立索引,並在日後面臨法律壓力時被調取。

紀錄的分類

並非所有紀錄都一樣。評估一家 VPN 是否真正「無紀錄」,首先要區分以下三種類別——業者往往故意將它們模糊處理。

連線紀錄

這是最基礎的工作階段中繼資料:某使用者在某時間戳記連線到某台伺服器,可能附帶工作階段時長和流量用量。許多業者會短期保留某種形式的連線紀錄,用於診斷、防濫用或容量規劃。極少數業者則完全不保留。

連線紀錄本身並不算災難性。它們不會暴露你做了什麼。但它們確實表明你使用了該服務——在某些情境下這一點至關重要——而且一旦與可識別帳號資料結合,其揭示能力會大幅增強。

流量紀錄

這是根本不應該存在的類別。流量紀錄記錄你造訪了哪些網站或 IP、你的 DNS 查詢內容,極端情況下甚至包括你請求的 URL。從隱私角度看,一家保存流量紀錄的 VPN 比完全不用 VPN 還要糟糕——你把原本分散在 ISP 和各網站之間的瀏覽紀錄,集中匯入了某一家業者的資料庫。

任何正規 VPN 都不應保存流量紀錄。如果某業者的隱私政策在這一點上措辭模糊,把這種模糊當作否定答案來處理。

身分識別中繼資料

這是大多數人忽視的類別,也往往是隱私故事真正發生的地方。它包括:

  • 你註冊時使用的電子郵件地址
  • 你的付款方式和帳單資訊
  • 你註冊時所用的 IP 位址
  • 客服工單及傳送工單時的 IP
  • 任何帳號找回資訊
  • 用於帳號安全的登入時間戳記和裝置指紋

身分識別中繼資料就是你在 VPN 業者那裡的「身分」。即使業者確實保存了零流量紀錄和零連線紀錄,一個電子郵件加一張信用卡,就足以回答「這個具體的人是否在我們這裡有帳號」這個問題——而這往往是任何調查所需要的唯一答案。

這正是單憑「無紀錄」聲明遠遠不夠的原因。一家不保存紀錄卻要求電子郵件加銀行卡註冊的業者,其隱私主張建立在政策承諾而非架構設計之上。資料依然存在,只是存在於另一張資料表裡。同樣的邏輯在我們關於 無需電子郵件的匿名 VPN 註冊的文章中也有討論。

政策承諾與架構設計

當一家業者說「我們不記錄紀錄」時,這句話可能有兩種截然不同的含義。

「我們選擇不記錄」是政策承諾。系統在技術上具備記錄能力——也許會在記憶體中暫時記錄,或在某個支援工具裡留存。承諾是公司選擇不保留這些資料,或選擇將其丟棄。這是一個真實的承諾,有其價值——但它依賴於對這家公司的信任。政策可以改變,員工會犯錯,法院命令可以在不公開通知的情況下迫使其變更。

「我們無法記錄」是架構設計聲明。系統在建構之初就確保資料不會持久化。伺服器僅在記憶體中運行,重啟後一切歸零。根本不存在可以保留相關資訊的資料庫表,哪怕有人想保留也無處可存。帳號建立從一開始就不收集身分識別資訊。這是一個強得多的聲明,因為它不依賴持續的善意——資料消失是因為本就無處存放。

架構至少在原則上是可驗證的。政策則依賴信任。

大多數業者提供的是兩者的混合。而行銷文案往往用聽起來像架構設計的語言來描述政策承諾(「無紀錄伺服器」「純記憶體基礎設施」)。請仔細閱讀。要問的關鍵問題是:如果明天有人向這家業者發出合法的法律請求,要求提供關於某個特定帳號的一切資訊,他們實際上能拿出什麼?如果誠實的答案是「一封電子郵件、一條付款紀錄、註冊 IP、客服歷史,還可能有連線時間戳記」,那無論官網怎麼寫,這就是你的隱私底線。

如何評估一項聲明

以下是一份實用的核查清單,幫助你評估某家 VPN 收集哪些資料,以及其聲明是否可信。

獨立第三方稽核

尋找知名安全機構發布的、對該業者系統、方法和基礎設施進行審查的公開報告。重點核查兩點:

  • 時效性。四年前的稽核描述的是一家可能已面目全非的公司。兩年以內是一個合理的標準。
  • 範圍。稽核的實際檢查範圍差異極大。專門針對無紀錄政策的稽核,比泛泛的安全稽核更有意義。請閱讀報告本身的範圍章節,而非 VPN 部落格上的摘要介紹。

透明度報告與授權金絲雀

部分業者會發布每年收到多少使用者資料法律請求、按司法管轄區和類型分類,以及最終提交了什麼內容。一家能公開聲明「我們收到了 N 項請求,其中零項提交了資料——因為我們根本沒有」的業者,比什麼都不發布的業者說服力強得多。

授權金絲雀是一種定期聲明,表明業者尚未收到某些類型的法律命令。如果該聲明消失或停止更新,缺席本身就是一個信號。金絲雀存在已知的法律侷限性,但它的存在至少說明業者認真考慮過這個維度。

註冊司法管轄地

VPN 註冊所在國決定了適用哪國法律,以及它處於哪些國際合作協定的約束之下。部分司法管轄區對電信業者有強制資料留存法律,另一些則屬於正式情報共享聯盟,要求跨境配合。

這不是非好即壞的二元判斷——不同的威脅模型關注不同的事情。但了解你的 VPN 註冊在哪裡及其意味著什麼,總比憑官網顏值來選擇要好。

帳號模型

這是大多數人跳過的一點。看看註冊流程。如果建立帳號需要有效的電子郵件地址,那麼這家 VPN 就擁有你的電子郵件地址。如果付款方式是信用卡,VPN 就有一條綁定你姓名的帳單紀錄。無論業者是否「記錄」其他任何資訊,這些紀錄都是隱私圖景的一部分。

匿名付款方式(禮品卡、某些加密貨幣)在一定程度上改變了這一局面。依託平台身分(如透過 App Store 使用 Apple ID)進行訂閱則帶來另一種變化:VPN 業者不會獲得你的身分,但平台會。

開源用戶端程式碼

如果你裝置上的應用程式是開源的,安全研究人員就可以驗證它實際傳送了什麼資料、發往何處。這並不涉及伺服器端,但能消除一類不確定性:你可以確認用戶端是否在悄悄向外傳送你未授權的遙測資料。

閉源用戶端並非自動可疑,但可驗證性更低。結合稽核情況來看,開源用戶端提升了你能獨立核實的資訊下限。

歷史法律案例

如果某家 VPN 曾捲入被要求提供紀錄的法律程序,公開紀錄會顯示結果如何。他們提交了資料嗎?他們有資料可提交嗎?實際回應與其政策聲明是否一致?

這類案例並不常見,但一旦存在就極具參考價值。搜尋業者名稱加「傳票」或「法院命令」,閱讀新聞報導,而非業者自己的口徑。

簡單對比框架

以下是將上述問題濃縮呈現的一種方式:

問題政策承諾的回答架構設計的回答
你們記錄流量嗎?「我們選擇不記錄」「系統沒有儲存這些資料的地方」
你們有我的電子郵件嗎?「有,但我們不會分享」「我們從未收集過」
你們有我註冊時的 IP 嗎?「有,但 N 天後我們會刪除」「我們從未索取過」
你們能確認我是否是使用者?「可以,但我們不會這麼做」「我們沒有任何紀錄」
如果法院強制要求呢?「我們會抵制,被迫時才配合」「我們沒有任何資料可提交」

沒有哪一欄能統一描述所有業者,大多數業者處於兩者之間的某個位置。但將某家 VPN 對應到這張表上,比在官網上點頭接受「無紀錄」要有意義得多。

Snap VPN 的做法

Snap VPN 更接近架構設計那一欄,而非政策承諾那一欄。具體來說:

  • 無需電子郵件或帳號註冊。訂閱透過 App Store 經由你的 Apple ID 完成。我們從不收集電子郵件地址、使用者名稱、手機號或任何帳號憑證。傳統意義上的帳號資料庫並不存在。
  • 不記錄流量紀錄。我們不記錄你造訪的網站、你通訊的 IP 位址,也不記錄你發起的 DNS 查詢。
  • 不保留持久連線紀錄。我們不保存某個 Apple ID 在何時連線了哪台伺服器的歷史紀錄。路由活躍工作階段所需的執行狀態與儲存的連線歷史是兩回事。
  • 沒有與真實個人綁定的使用者識別碼。 在內部,你的訂閱由 App Store 提供的一個不透明值來標識。我們沒有附加在該值上的姓名、電子郵件或手機號,也無法從中推導出任何這類資訊。

坦誠說明確實存在的內容:營運 VPN 需要一定的執行狀態。伺服器必須知道存在一個活躍工作階段,才能將封包回傳給你。網路正常運行所需的短暫計數器和中繼資料——就像任何路由器都需要追蹤活躍連線來完成工作一樣——是上文分類體系中連線紀錄類別在實務中的真實面貌:短暫存在、僅限活躍工作階段、不作為活動紀錄保留,也不與任何可識別你身分的資訊綁定。

這些選擇背後的原則很樸素:收集的資料越少,可能遺失、被洩漏或被強制調取的資料就越少。一條從未被收集的資訊,不會在資料外洩中被竊取,不會被傳票索取,也不會在業務需求變化、公司被收購時被另作他用。架構勝於政策,不是因為政策不真誠,而是因為架構從根本上消除了選擇空間。

如果你想深入了解帳號模型,請參閱我們關於 無需電子郵件的匿名 VPN 註冊的詳細說明。

VPN 做不到的事

有必要明確說明這些侷限,因為人們對 VPN 抱有的部分信任是錯誤的,而當技術能力不及預期時,這種誤解往往會讓人失望。

  • VPN 無法在你已登入的網站上隱藏你的身分。如果你透過 VPN 打開 Gmail,Google 依然知道你是你——你已經登入了。VPN 改變的是路由,不是身分。
  • VPN 無法阻止瀏覽器指紋識別。網站透過你的瀏覽器版本、螢幕解析度、字型、時區以及數百個細節來建構識別碼。VPN 完全不觸及這一層面。
  • VPN 不能防止惡意軟體。它加密你的流量,但不會掃描威脅。防毒軟體是獨立的另一個問題。
  • VPN 不能對已經完成身分認證的服務賦予魔法般的匿名性。 匿名性需要從設計層面就內建進去。如果你的出發點是一個已認證的帳號,VPN 只是讓該帳號的流量走了不同的路徑——僅此而已。

VPN 是隱私防護體系中的一層,而非全部。延伸閱讀: 常見 VPN 誤解解析 VPN 究竟是什麼,以及更全面的 iPhone 隱私清單 幫助你建構完整的防護層次。

結論

「無紀錄」是一場更大討論的簡稱。當你在 VPN 官網上看到這三個字時,把它當作標題,而不是答案。真正重要的問題是:

  • 系統總共收集了哪些資料,包括註冊時的身分識別中繼資料?
  • 在其收集的資料中,哪些被保留、以何種形式、保留多久?
  • 無紀錄聲明是政策承諾(我們保證)還是架構設計(我們做不到)?
  • 是否有獨立方近期驗證過這一聲明,他們實際檢查了什麼?
  • 當法律壓力出現時,這家業者過去的表現如何?

一家能用平實語言回答這些問題、清晰區分「我們承諾過的」與「我們的架構使之不可能的」的業者,是你可以進行理性判斷的對象。一家只是模糊地揮舞「無紀錄」然後轉移話題的業者,則不是。

這一區別之所以重要,原因很簡單:完全依賴某家公司持續善意的隱私,是你並不完全掌控的隱私。而在結構上受到約束的隱私——因為資料從一開始就沒有被收集——才是那種能夠經受所有權更迭、司法管轄變化、領導層換屆和法律環境演變的隱私。

Snap VPN正是圍繞這第二種理念設計的。無需電子郵件註冊,無帳號憑證,沒有與真實個人綁定的使用者識別碼。訂閱透過 App Store 經由你的 Apple ID 完成,流量不被記錄,營運網路所需的執行狀態也不與你的身分掛鉤。這不是建構 VPN 的唯一方式,也不能解決所有隱私問題。但它消除了僅憑政策承諾無法消除的一類風險。如果這是你希望在自己的流量背後看到的設計,那就是我們提供的。只是對我們所做選擇及其原因的誠實描述。

The Snap VPN Team
Editorial