每一位记者都应该用 VPN(虚拟私人网络)来隐藏自己的网络流量,传送敏感信息时尤其需要。然而值得信赖的 VPN 已不好找,值得信赖的免费 VPN 又更难找。无国界记者(RSF)将为您说明选择 VPN 时应该注意哪些事项。
2023年,SuperVPN 等多家免费 VPN 发生重大资料外泄事件,超过3.6亿名使用者个资外泄,其中包括电邮地址、装置信息和网络活动纪录。对靠 VPN 来保护数字足迹的记者和一般使用者来说,这次的事件暴露出使用 VPN 潜藏的重大风险:选用不可靠的 VPN ,可能跟完全不用 VPN 一样危险。
网络服务供应商如何看到你的线上活动
网络服务供应商(ISP)、政府单位、潜在的恶意人士都可以追踪并监控网络使用者的线上活动。 ISP 可以看到你上了哪些网站、停留时间多长,还有传送、接收的资料封包大小。就算你上的是加密网站(https://开头的网址),ISP 还是可以收到 URL。 ISP 就像快递公司,他可能不知道你资料(包裹)里的内容是什么,但可以看到寄件者、目的地跟包裹的大小。
VPN 是一种可以打造加密通道的数字工具,用这些通道传送资料就能即时隐藏使用者的网络活动。使用 VPN 就像换一家快递公司:ISP 只会看到资料被送往 VPN,看不到最终的目的地;这些资料将由 VPN 转送到真正的目的地。理论上这样外界就无法监控你的浏览纪录,进而达到保护使用者的作用,但这也表示 VPN 将为你的资料隐私全权负责。
免费 VPN 的隐藏风险
不是每家 VPN 公司都把隐私列为首要考量。许多免费的 VPN 应用程式(包括 SuperVPN)是由位于中国的公司经营。这些公司的隐私政策常有模糊、误导的状况,针对资料搜集的说明缺乏透明度,甚至和监控机构有所往来。
免费 VPN 的商业模式本身就是个警讯:VPN 公司要有资金才能维持伺服器的运作、开发软体、维护安全架构。如果使用者不需付钱就能使用商品,那使用者本身可能就是商品。免费 VPN 常被发现有贩售使用者资料、纪录流量、插入广告、贩卖频宽,甚至安装间谍软体的情形。
记者选择 VPN 时的注意事项
记者应该以保护隐私和个人安全为优先考量,审慎评估各家 VPN 产品。评估时请检查下列五点:
- 政策:可靠的 VPN 应有定义明确且经第三方验证的「不记录政策」,意即不搜集或储存你的网络活动相关信息。请避开那些语意模糊或表明「保留与第三方共享资料权利」的 VPN。以下为两个虚构范例:
- 透明度:如果 VPN 不愿透露背后的经营团队,这也是个警讯。值得信赖的 VPN 会公开经营信息、公司所有者、合作伙伴,并定期发表透明度报告和第三方安全稽核报告。
- 司法管辖区:VPN 处理使用者资料的方式会受其总部所处国家影响。请选择总部设在重视隐私保护、无强制保留资料法律的国家(例如瑞士或瑞典)。不同国家的执法单位会共享信息,请依据你的个人状况和需求判断哪个司法管辖区对你来说是安全的。
- 技术标准:VPN 应提供强加密,支援安全协议(例如使用SHA-256 验证的 WireGuard 或 OpenVPN;握手协议为 RSA-2048 或更高;资料加密为AES-256-GCM 或 AES-256-CBC),并内建 Kill Switch(VPN 中断时让装置自动断线的安全功能)、DNS 外泄防护等基本功能。此外,开源软体可让大众检验安全性。
- 匿名性:若能提供匿名注册与付款方式(如加密货币、现金、礼物卡),对有隐私考量的使用者来说特别加分。
推荐 VPN
市面上的 VPN 太多,本文无法一一评比,但以下几家符合上述表准:
| 评比项目 | I VPN | Mullvad | |
|
政策 |
最低限度纪录使用者信息 | 最低限度纪录使用者信息 | 最低限度纪录使用者信息 |
|
透明度 |
定期第三方稽核 & 开源 | 定期第三方稽核 & 开源 | 定期第三方稽核 & 开源 |
|
司法管辖区 |
直布罗陀 | 瑞典 | 瑞士 |
|
技术标准 |
支持 WireGuard | 支持 WireGuard | 支持 WireGuard |
|
匿名性 |
可用现金或加密货币付款 | 可用现金或加密货币付款 | 可用现金或加密货币付款 |