下载
返回博客
隐私··15 分钟阅读

VPN「无日志」到底是什么意思

语言: EnglishالعربيةDeutschEspañolفارسیFrançaisहिन्दीBahasa IndonesiaItaliano日本語한국어PolskiPortuguêsРусскийไทยTürkçeУкраїнськаTiếng Việt繁體中文

打开任何一家VPN的官网,你几乎都能在最显眼的位置看到同样两个字:「无日志」。这个词出现得太频繁,反而失去了具体含义。无论是头部品牌、低价产品、机场广告牌上的服务商,还是你从未听说过的小厂,全都这么说。然而,说这话的人正在运营真实的服务器——有真实的磁盘和内存——处理着你发送的每一个数据包。

那么,VPN的无日志声明究竟意味着什么?你又怎么知道它是否属实?这正是那些营销文案从不诚实作答的问题。本文给你一个直接的答案。

简短结论:「无日志」是一个有用的起点,而不是终点。它涵盖的实践范围很广——有些真正保护你的隐私,有些本质上只是把普通的数据保留行为包装成营销语言。要判断它的价值,你需要先了解VPN服务商在技术上能看到什么、日志分为哪些类别,以及「不记录日志」的政策承诺与「无法记录日志」的架构设计之间有何本质区别。

VPN服务商能看到什么

在谈日志之前,我们先谈可见性。日志是关于「什么被写下来」的问题,而可见性是关于「服务器面前有什么」的问题。这是两个不同的层面,混淆它们是VPN营销误导用户最常见的方式之一。

当你连接VPN时,你的设备会与服务商的某台服务器建立加密隧道。之后,服务器解密你的流量并转发到公共互联网。这个解密步骤正是VPN的核心——它让你的流量抵达目标网站时,显示的是VPN的IP而非你的真实IP。我们关于 VPN是什么以及它如何工作 的介绍对底层原理有更详细的说明。

仅凭这一架构,VPN服务器在技术上就能观察到:

  • 连接时的真实IP地址。你的设备必须告知服务器将加密回包发往哪里,那个目的地就是你的真实IP。
  • 你连接的是哪台VPN服务器、连接时间。包括你选择的服务器、连接时间戳、断开时间戳——这些都是会话元数据。
  • 你发起的DNS查询(如果VPN运行自己的DNS解析器)。当你在浏览器中输入域名,必须有某个程序去查找对应的IP地址。如果由VPN代为解析,它就能看到这些查询记录。
  • 每次会话的流量用量。双向传输的字节数。
  • 流量时序特征。即使目标网站的连接内容已加密,数据包的大小和时序仍可向有心的观察者透露一定信息。

你的HTTPS连接内容不在上面这个列表里。一旦你的浏览器通过TLS与某个网站(比如你的银行)建立连接,VPN看到的只是发往该银行IP的加密字节,而非实际内容。这层保护是真实且重要的。

但上述元数据是真实存在的。会话活跃期间,这些数据驻留在内存中,因为服务器需要它们来完成工作。「日志」问题的本质,是这些数据在之后会发生什么——是否被写入磁盘、长期保留、建立索引,并在日后面临法律压力时被调取。

日志的分类

并非所有日志都一样。评估一家VPN是否真正「无日志」,首先要区分以下三种类别——服务商往往故意将它们模糊处理。

连接日志

这是最基础的会话元数据:某用户在某时间戳连接到某台服务器,可能附带会话时长和流量用量。许多服务商会短期保留某种形式的连接日志,用于诊断、防滥用或容量规划。极少数服务商则完全不保留。

连接日志本身并不算灾难性。它们不会暴露你做了什么。但它们确实表明你使用了该服务——在某些情境下这一点至关重要——而且一旦与可识别账户数据结合,其揭示能力会大幅增强。

流量日志

这是根本不应该存在的类别。流量日志记录你访问了哪些网站或IP、你的DNS查询内容,极端情况下甚至包括你请求的URL。从隐私角度看,一家保存流量日志的VPN比完全不用VPN还要糟糕——你把原本分散在ISP和各网站之间的浏览记录,集中汇入了某一家服务商的数据库。

任何正规VPN都不应保存流量日志。如果某服务商的隐私政策在这一点上措辞模糊,把这种模糊当作否定答案来处理。

身份识别元数据

这是大多数人忽视的类别,也往往是隐私故事真正发生的地方。它包括:

  • 你注册时使用的电子邮件地址
  • 你的付款方式和账单信息
  • 你注册时所用的IP地址
  • 客服工单及发送工单时的IP
  • 任何账户找回信息
  • 用于账户安全的登录时间戳和设备指纹

身份识别元数据就是你在VPN服务商那里的「身份」。即使服务商确实保存了零流量日志和零连接日志,一个电子邮件加一张信用卡,就足以回答「这个具体的人是否在我们这里有账户」这个问题——而这往往是任何调查所需要的唯一答案。

这正是单凭「无日志」声明远远不够的原因。一家不保存日志却要求邮箱加银行卡注册的服务商,其隐私主张建立在政策承诺而非架构设计之上。数据依然存在,只是存在于另一张数据表里。同样的逻辑在我们关于 无需邮箱的匿名VPN注册的文章中也有讨论。

政策承诺与架构设计

当一家服务商说「我们不记录日志」时,这句话可能有两种截然不同的含义。

「我们选择不记录」是政策承诺。系统在技术上具备记录能力——也许会在内存中临时记录,或在某个支持工具里留存。承诺是公司选择不保留这些数据,或选择将其丢弃。这是一个真实的承诺,有其价值——但它依赖于对这家公司的信任。政策可以改变,员工会犯错,法院命令可以在不公开通知的情况下迫使其变更。

「我们无法记录」是架构设计声明。系统在构建之初就确保数据不会持久化。服务器仅在内存中运行,重启后一切归零。根本不存在可以保留相关信息的数据库表,哪怕有人想保留也无处可存。账户创建从一开始就不收集身份识别信息。这是一个强得多的声明,因为它不依赖持续的善意——数据消失是因为本就无处存放。

架构至少在原则上是可验证的。政策则依赖信任。

大多数服务商提供的是两者的混合。而营销文案往往用听起来像架构设计的语言来描述政策承诺(「无日志服务器」「纯内存基础设施」)。请仔细阅读。要问的关键问题是:如果明天有人向这家服务商发出合法的法律请求,要求提供关于某个特定账户的一切信息,他们实际上能拿出什么?如果诚实的答案是「一封邮件、一条付款记录、注册IP、客服历史,还可能有连接时间戳」,那无论官网怎么写,这就是你的隐私底线。

如何评估一项声明

以下是一份实用的核查清单,帮助你评估某家VPN收集哪些数据,以及其声明是否可信。

独立第三方审计

寻找知名安全机构发布的、对该服务商系统、方法和基础设施进行审查的公开报告。重点核查两点:

  • 时效性。四年前的审计描述的是一家可能已面目全非的公司。两年以内是一个合理的标准。
  • 范围。审计的实际检查范围差异极大。专门针对无日志政策的审计,比泛泛的安全审计更有意义。请阅读报告本身的范围章节,而非VPN博客上的摘要介绍。

透明度报告与授权金丝雀

部分服务商会发布每年收到多少用户数据法律请求、按司法管辖区和类型分类,以及最终提交了什么内容。一家能公开声明「我们收到了N项请求,其中零项提交了数据——因为我们根本没有」的服务商,比什么都不发布的服务商说服力强得多。

授权金丝雀是一种定期声明,表明服务商尚未收到某些类型的法律命令。如果该声明消失或停止更新,缺席本身就是一个信号。金丝雀存在已知的法律局限性,但它的存在至少说明服务商认真考虑过这个维度。

注册司法管辖地

VPN注册所在国决定了适用哪国法律,以及它处于哪些国际合作协议的约束之下。部分司法管辖区对电信服务商有强制数据留存法律,另一些则属于正式情报共享联盟,要求跨境配合。

这不是非好即坏的二元判断——不同的威胁模型关注不同的事情。但了解你的VPN注册在哪里及其意味着什么,总比凭官网颜值来选择要好。

账户模型

这是大多数人跳过的一点。看看注册流程。如果创建账户需要有效的电子邮件地址,那么这家VPN就拥有你的电子邮件地址。如果付款方式是信用卡,VPN就有一条绑定你姓名的账单记录。无论服务商是否「记录」其他任何信息,这些记录都是隐私图景的一部分。

匿名付款方式(礼品卡、某些加密货币)在一定程度上改变了这一局面。依托平台身份(如通过App Store使用Apple ID)进行订阅则带来另一种变化:VPN服务商不会获得你的身份,但平台会。

开源客户端代码

如果你设备上的应用程序是开源的,安全研究人员就可以验证它实际发送了什么数据、发往何处。这并不涉及服务器端,但能消除一类不确定性:你可以确认客户端是否在悄悄向外发送你未授权的遥测数据。

闭源客户端并非自动可疑,但可验证性更低。结合审计情况来看,开源客户端提升了你能独立核实的信息下限。

历史法律案例

如果某家VPN曾卷入被要求提供日志的法律程序,公开记录会显示结果如何。他们提交了数据吗?他们有数据可提交吗?实际回应与其政策声明是否一致?

这类案例并不常见,但一旦存在就极具参考价值。搜索服务商名称加「传票」或「法院命令」,阅读新闻报道,而非服务商自己的口径。

简单对比框架

以下是将上述问题浓缩呈现的一种方式:

问题政策承诺的回答架构设计的回答
你们记录流量吗?「我们选择不记录」「系统没有存储这些数据的地方」
你们有我的邮箱吗?「有,但我们不会分享」「我们从未收集过」
你们有我注册时的IP吗?「有,但N天后我们会删除」「我们从未索取过」
你们能确认我是否是用户?「可以,但我们不会这么做」「我们没有任何记录」
如果法院强制要求呢?「我们会抵制,被迫时才配合」「我们没有任何数据可提交」

没有哪一栏能统一描述所有服务商,大多数服务商处于两者之间的某个位置。但将某家VPN对应到这张表上,比在官网上点头接受「无日志」要有意义得多。

Snap VPN的做法

Snap VPN更接近架构设计那一列,而非政策承诺那一列。具体来说:

  • 无需邮箱或账户注册。订阅通过App Store经由你的Apple ID完成。我们从不收集电子邮件地址、用户名、手机号或任何账户凭据。传统意义上的账户数据库并不存在。
  • 不记录流量日志。我们不记录你访问的网站、你通信的IP地址,也不记录你发起的DNS查询。
  • 不保留持久连接日志。我们不保存某个Apple ID在何时连接了哪台服务器的历史记录。路由活跃会话所需的运行状态与存储的连接历史是两回事。
  • 没有与真实个人绑定的用户标识符。 在内部,你的订阅由App Store提供的一个不透明值来标识。我们没有附加在该值上的姓名、邮箱或手机号,也无法从中推导出任何这类信息。

坦诚说明确实存在的内容:运营VPN需要一定的运行状态。服务器必须知道存在一个活跃会话,才能将数据包回传给你。网络正常运行所需的短暂计数器和元数据——就像任何路由器都需要追踪活跃连接来完成工作一样——是上文分类体系中连接日志类别在实践中的真实面貌:短暂存在、仅限活跃会话、不作为活动记录保留,也不与任何可识别你身份的信息绑定。

这些选择背后的原则很朴素:收集的数据越少,可能丢失、被泄露或被强制调取的数据就越少。一条从未被收集的信息,不会在数据泄露中被窃取,不会被传票索取,也不会在业务需求变化、公司被收购时被另作他用。架构胜于政策,不是因为政策不真诚,而是因为架构从根本上消除了选择空间。

如果你想深入了解账户模型,请参阅我们关于 无需邮箱的匿名VPN注册的详细说明。

VPN做不到的事

有必要明确说明这些局限,因为人们对VPN抱有的部分信任是错误的,而当技术能力不及预期时,这种误解往往会让人失望。

  • VPN无法在你已登录的网站上隐藏你的身份。如果你通过VPN打开Gmail,Google依然知道你是你——你已经登录了。VPN改变的是路由,不是身份。
  • VPN无法阻止浏览器指纹识别。网站通过你的浏览器版本、屏幕分辨率、字体、时区以及数百个细节来构建标识符。VPN完全不触及这一层面。
  • VPN不能防止恶意软件。它加密你的流量,但不会扫描威胁。杀毒软件是独立的另一个问题。
  • VPN不能对已经完成身份认证的服务赋予魔法般的匿名性。 匿名性需要从设计层面就内建进去。如果你的出发点是一个已认证的账户,VPN只是让该账户的流量走了不同的路径——仅此而已。

VPN是隐私防护体系中的一层,而非全部。延伸阅读: 常见VPN误解解析 VPN究竟是什么,以及更全面的 iPhone隐私清单 帮助你构建完整的防护层次。

结论

「无日志」是一场更大讨论的简称。当你在VPN官网上看到这两个字时,把它当作标题,而不是答案。真正重要的问题是:

  • 系统总共收集了哪些数据,包括注册时的身份识别元数据?
  • 在其收集的数据中,哪些被保留、以何种形式、保留多久?
  • 无日志声明是政策承诺(我们保证)还是架构设计(我们做不到)?
  • 是否有独立方近期验证过这一声明,他们实际检查了什么?
  • 当法律压力出现时,这家服务商过去的表现如何?

一家能用平实语言回答这些问题、清晰区分「我们承诺过的」与「我们的架构使之不可能的」的服务商,是你可以进行理性判断的对象。一家只是模糊地挥舞「无日志」然后转移话题的服务商,则不是。

这一区别之所以重要,原因很简单:完全依赖某家公司持续善意的隐私,是你并不完全掌控的隐私。而在结构上受到约束的隐私——因为数据从一开始就没有被收集——才是那种能够经受所有权更迭、司法管辖变化、领导层换届和法律环境演变的隐私。

Snap VPN正是围绕这第二种理念设计的。无需邮箱注册,无账户凭据,没有与真实个人绑定的用户标识符。订阅通过App Store经由你的Apple ID完成,流量不被记录,运营网络所需的运行状态也不与你的身份挂钩。这不是构建VPN的唯一方式,也不能解决所有隐私问题。但它消除了仅凭政策承诺无法消除的一类风险。如果这是你希望在自己的流量背后看到的设计,那就是我们提供的。只是对我们所做选择及其原因的诚实描述。

The Snap VPN Team
Editorial