每一位記者都應該用 VPN(虛擬私人網路)來隱藏自己的網路流量,傳送敏感資訊時尤其需要。然而值得信賴的 VPN 已不好找,值得信賴的免費 VPN 又更難找。無國界記者(RSF)將為您說明選擇 VPN 時應該注意哪些事項。
2023年,SuperVPN 等多家免費 VPN 發生重大資料外洩事件,超過3.6億名使用者個資外洩,其中包括電郵地址、裝置資訊和網路活動紀錄。對靠 VPN 來保護數位足跡的記者和一般使用者來說,這次的事件暴露出使用 VPN 潛藏的重大風險:選用不可靠的 VPN ,可能跟完全不用 VPN 一樣危險。
網路服務供應商如何看到你的線上活動
網路服務供應商(ISP)、政府單位、潛在的惡意人士都可以追蹤並監控網路使用者的線上活動。ISP 可以看到你上了哪些網站、停留時間多長,還有傳送、接收的資料封包大小。就算你上的是加密網站(https://開頭的網址),ISP 還是可以收到 URL。ISP 就像快遞公司,他可能不知道你資料(包裹)裡的內容是什麼,但可以看到寄件者、目的地跟包裹的大小。
VPN 是一種可以打造加密通道的數位工具,用這些通道傳送資料就能即時隱藏使用者的網路活動。使用 VPN 就像換一家快遞公司:ISP 只會看到資料被送往 VPN,看不到最終的目的地;這些資料將由 VPN 轉送到真正的目的地。理論上這樣外界就無法監控你的瀏覽紀錄,進而達到保護使用者的作用,但這也表示 VPN 將為你的資料隱私全權負責。
免費 VPN 的隱藏風險
不是每家 VPN 公司都把隱私列為首要考量。許多免費的 VPN 應用程式(包括 SuperVPN)是由位於中國的公司經營。這些公司的隱私政策常有模糊、誤導的狀況,針對資料蒐集的說明缺乏透明度,甚至和監控機構有所往來。
免費 VPN 的商業模式本身就是個警訊:VPN 公司要有資金才能維持伺服器的運作、開發軟體、維護安全架構。如果使用者不需付錢就能使用商品,那使用者本身可能就是商品。免費 VPN 常被發現有販售使用者資料、紀錄流量、插入廣告、販賣頻寬,甚至安裝間諜軟體的情形。
記者選擇 VPN 時的注意事項
記者應該以保護隱私和個人安全為優先考量,審慎評估各家 VPN 產品。評估時請檢查下列五點:
- 政策:可靠的 VPN 應有定義明確且經第三方驗證的「不記錄政策」,意即不蒐集或儲存你的網路活動相關資訊。請避開那些語意模糊或表明「保留與第三方共享資料權利」的 VPN。以下為兩個虛構範例:
- 透明度:如果 VPN 不願透露背後的經營團隊,這也是個警訊。值得信賴的 VPN 會公開經營資訊、公司所有者、合作夥伴,並定期發表透明度報告和第三方安全稽核報告。
- 司法管轄區:VPN 處理使用者資料的方式會受其總部所處國家影響。請選擇總部設在重視隱私保護、無強制保留資料法律的國家(例如瑞士或瑞典)。不同國家的執法單位會共享資訊,請依據你的個人狀況和需求判斷哪個司法管轄區對你來說是安全的。
- 技術標準:VPN 應提供強加密,支援安全協議(例如使用SHA-256 驗證的 WireGuard 或 OpenVPN;握手協議為 RSA-2048 或更高;資料加密為AES-256-GCM 或 AES-256-CBC),並內建 Kill Switch(VPN 中斷時讓裝置自動斷線的安全功能)、DNS 外洩防護等基本功能。此外,開源軟體可讓大眾檢驗安全性。
- 匿名性:若能提供匿名註冊與付款方式(如加密貨幣、現金、禮物卡),對有隱私考量的使用者來說特別加分。
推薦 VPN
市面上的 VPN 太多,本文無法一一評比,但以下幾家符合上述表準:
|
評比項目 |
I VPN | Mullvad | |
|
政策 |
最低限度紀錄使用者資訊 | 最低限度紀錄使用者資訊 | 最低限度紀錄使用者資訊 |
|
透明度 |
定期第三方稽核& 開源 | 定期第三方稽核& 開源 | 定期第三方稽核& 開源 |
|
司法管轄區 |
直布羅陀 | 瑞典 | 瑞士 |
|
技術標準 |
支援 WireGuard | 支援 WireGuard | 支援 WireGuard |
|
匿名性 |
可用現金或加密貨幣付款 | 可用現金或加密貨幣付款 | 可用現金或加密貨幣付款 |