VPN无日志审计:能否盲目信任?
无日志政策:承诺与现实
无日志政策、不可侵犯的匿名性和保密性一直是VPN供应商商业宣传的核心内容。但如何确保这些承诺的真实性和VPN的安全性?
根据现有VPN服务的说法,没有一个服务会收集或保留其订阅者的个人信息。然而,在注册时,用户被迫透露部分身份信息,这些信息被妥善存储在客户文件中。随后,控制带宽使用、验证连接设备数量以及确保响应性维护的需求意味着这些供应商记录的个人数据比他们愿意承认的要多。这种做法在免费VPN中最为常见。
VPN如何工作?
VPN通过在机器和网络其余部分之间创建加密连接隧道来充当中间人,加密数据通过该隧道流动。通过此隧道,用户流量与公共网络上流动的其他互联网流量隔离:通过这种方式隐形,很难被拦截,也不可能被解密 - 前提是选择了强大的加密算法(如AES或ChaCha20-Poly1305)和可靠的协议(如OpenVPN或WireGuard)。
VPN在您的设备和互联网之间创建加密隧道,让您的数据通过远程服务器传输,并隐藏您的IP地址以保护您的在线活动。
通过这条虚拟路径,连接数据先经过VPN服务器,然后再查询所请求的网站和平台服务器。为了正确重定向请求,VPN服务器会解密最初在用户终端上加密的流量。作为连接中继,它们在为隐藏和保护个人信息而建立的电路中占据战略位置。因此,与理论上无法再建立用户身份与其在线活动之间关联的第三方实体不同,VPN知晓这些数据的很大一部分:订阅时提供的姓名和联系方式、用户的公共IP地址、所选VPN服务器的位置和地址、流量大小和时间、路由信息(如SNI或经过其解析器的DNS查询),以及在最严重的情况下,如果连接未受HTTPS保护,完整的HTTP URL、头部、正文以及可能以明文传输的标识符。
不难理解VPN供应商被赋予的这种全知性所引发的问题:当安全链中的一个环节本身知晓您的个人信息时,如何保证其机密性?除了信任所订阅的服务外,没有真正令人满意的答案。
无日志政策:承诺与现实
然而,很难在没有经过认证和可验证的回报的情况下将信任授予私人服务。不过,某些因素可以指导用户的选择,首先是无数据记录保证,也称为无日志政策。
作为绝大多数VPN的首要宣传论点,无日志政策意味着服务不记录或保留与用户在线活动相关的任何个人信息。这里指的是用户的真实IP地址、连接VPN的时间和日期、访问的网站、交换的数据量。大多数无日志VPN明确区分他们声明不收集的身份数据与他们可能收集用于运营和改进服务的匿名化和聚合数据。
但请注意:当订阅VPN服务时,必须同意提供姓名、昵称、联系方式(地址、电子邮件、银行信息,可能还有电话),供应商会将其保存在客户数据库中。这是合同制定过程中不可协商的一步,必须与通过VPN服务器的在线活动明确区分。此外,在实践中,许多供应商区分不允许识别用户的用途日志和存在临时或聚合的技术日志,例如与活动无关的最后连接时间戳。
换句话说,尽责的供应商承诺不使用这些信息来识别和跟踪用户。因此,对连接VPN服务器数据的历史记录和存储采取不妥协的无日志政策至关重要。
但在服务首页声明的完全匿名承诺与其隐私政策和/或使用条款内容之间,有时——通常是——存在天壤之别。例如,在其2025年7月30日的最新版隐私政策中,Proton VPN("[…] 默认情况下,我们不会保留与您账户相关的永久IP日志。但是,可能会暂时保留IP日志以打击滥用和欺诈 […]")明确指出,可能会暂时保留IP地址以防止与Proton账户相关的滥用或欺诈活动。然而,专门针对VPN服务的子政策表明,服务服务器上不记录任何会话数据或IP地址。
ExpressVPN("[…] 例如,我们可能知道我们的客户John在周二连接到了我们的纽约VPN位置,并在24小时内传输了总计823 MB的数据 […]")也是如此,其无日志政策承认临时收集连接元数据,如传输量、服务器位置、连接日期、原籍国和ISP,并提到,对于MediaStreamer服务,会存储非VPN兼容设备的授权IP地址。
在类似模式下,CyberGhost记录所谓的匿名化数据(理论上未与用户关联),但其精确性令人深思(“连接尝试:我们收集这些信息是为了了解在特定时间/每日/每周/月度间隔内向我们的服务发出的使用请求、原籍国、您的Cyberghost VPN版本等。[…]")。该供应商还承认保留假名化IP地址用于欺诈检测和性能目的,以及关于连接成功或失败的聚合统计信息。
在NordVPN,2025年9月10日更新的隐私政策指出暂时保留用户名和最后会话的时间戳——在断开连接后十五分钟内删除——以及三十天的活动指标以防止滥用。该供应商还提到在建立新会话时使用不规则行为检测工具,并记录匿名化事件以衡量性能、与界面的交互、连接成功、网络类型、公共ISP、使用的协议和服务器。
因此,痕迹是存在的,通常是匿名化的,有时是聚合的,但确实存在。理论上,这些数据构成了用于运营、支持或防止滥用的最小技术基础。它们不允许识别用户,但提醒我们绝对的无日志仍然是虚幻的。
过去也曾发生过一些丑闻,揭露了数据的收集和记录,即使相关服务声称相反。例如,在2016年,IPVanish在一项关于儿童色情网络的调查中向FBI传输了用户身份、源IP地址、电子邮件地址、连接时间戳。然而该服务曾声称不保留任何此类信息。
审计:诚实的证明?
因此,无日志标签绝不是保密性的保证,某些VPN服务仍然允许自己记录和保留与可用服务器连接相关的信息。
为了证明清白,最受欢迎的供应商还强调安全审计的论点。通过让其基础设施接受第三方公司进行的评估,他们旨在证明其关于承诺实施的严格无日志政策的诚实性。需要注意的是,这些审计显然只有定期由独立公司进行并随后公开才具有价值。
同样,这些举措几乎总是基于由供应商自己委托和付费的私营公司。虽然大多数公司享有稳固的声誉,但它们仍然与客户存在合同关系,并且其报告的完全中立性并不总是容易评估。
独立审计是VPN可以强调以建立信任的良好信号,但仅凭它们不足以替代持续透明度、可验证的无日志证据和日常的稳健安全性。
优等生NordVPN可以自豪地声称其服务已接受五次审计,首先由普华永道(PwC AG Switzerland)于2018年和2020年进行,然后由德勤于2022年、2023年和2024年进行。检查方法和结论可在VPN供应商网站上供订阅者访问……但原始报告无处可寻。
ExpressVPN情况类似,其基础设施每年由Cure53审计,其隐私政策由毕马威审计。结论在供应商网站上公开,但不在进行审计的公司网站上。然而,可以在Cure53网站上访问某些专业报告,其中可以找到Mullvad、TunnelBear或Surfshark的最新审计结果。仅供参考,托管在ExpressVPN网站上的2025年报告下载链接现在返回错误。Proton VPN遵循相同的节奏,在2025年由Securitum进行了第四次连续年度审计,其详细结论可自由查阅。
另一方面,CyberGhost在2022年首次审查后,于2024年完成了委托给德勤的第二次无日志审计。该报告未在线发布,需要向客户服务部门申请才能获取。
总之,审计是好的,以其原始版本公开披露则更好。
Private Internet Access案例
然而也有反例,有些服务尽管没有审计或任何其他证明其诚意的学术证据,却能够证明其诚实性,至今无法质疑。
Private Internet Access就是这样的情况,曾两次被要求向美国司法部门传输其拥有的所有日志,第一次在2016年,第二次在2018年。在这两种情况下,该服务始终无法执行。与其严格无日志政策一致,PIA(总部位于美国)确实没有记录或保留其用户的任何连接数据。该VPN服务两次在法庭上证明了这一隐私政策,从而证明了其在匿名性、安全性和保密性方面的严肃性。