10家VPN收到同一封郵件，9家裝死：你的隱私數(shù)據(jù)到底在誰手里

去年歐盟開出12億歐元罰單時，沒人想到連"隱私保護(hù)工具"本身也在違規(guī)。TechRadar做了件簡單的事：向10家主流VPN服務(wù)商發(fā)送數(shù)據(jù)訪問請求——這是GDPR賦予每個用戶的基本權(quán)利。結(jié)果？9家沒通過這場開卷考試。

測試對象包括NordVPN、ExpressVPN、Surfshark、Proton VPN、CyberGhost、PIA、IPVanish、Windscribe、Mullvad和TunnelBear。這些名字出現(xiàn)在幾乎所有"最佳VPN"榜單里，廣告里滿是"零日志""軍事級加密"的標(biāo)語。但當(dāng)用戶真的來敲門，要求看看自己被存了什么，場面一度尷尬。

第一回合：3家直接失聯(lián)

Mullvad、IPVanish、TunnelBear——三家服務(wù)商在測試期內(nèi)完全沉默。沒有自動回復(fù)，沒有人工確認(rèn)，郵件像丟進(jìn)了黑洞。

Mullvad的缺席尤其刺眼。這家瑞典公司以"隱私激進(jìn)主義"自居，官網(wǎng)寫著"我們不想要你的數(shù)據(jù)"。但當(dāng)你依法索要自己的數(shù)據(jù)時，他們連"收到"都不回。測試窗口期結(jié)束后兩周，Mullvad才姍姍來遲補了一封回復(fù)，解釋稱"內(nèi)部流程調(diào)整"。

GDPR第15條給企業(yè)的響應(yīng)期限是30天，可延展至60天。但"不回復(fù)"本身即違規(guī)——用戶有權(quán)獲得"確認(rèn)是否正在處理其數(shù)據(jù)"的答復(fù)，哪怕答案是"沒有"。

IPVanish和TunnelBear則至今未在測試框架內(nèi)給出任何回應(yīng)。

第二回合：4家把簡單問題復(fù)雜化

ExpressVPN、CyberGhost、PIA、Windscribe回復(fù)了，但路徑設(shè)計得像迷宮。

ExpressVPN要求用戶先登錄賬戶，再找到"隱私設(shè)置"子菜單，提交表格后等待郵件驗證。整個過程涉及5次頁面跳轉(zhuǎn)和2次身份驗證。TechRadar的測試者評價："如果你不是科技記者，大概會在第三步放棄。"

PIA（Private Internet Access）更絕——他們寄來一份PDF表格，要求打印、手寫簽名、掃描回傳。2024年，一家網(wǎng)絡(luò)安全公司在用傳真時代的流程處理數(shù)據(jù)訪問請求。測試者花了47分鐘完成這套儀式，而GDPR的立法精神是"訪問權(quán)應(yīng)當(dāng)易于行使"。

Windscribe的回復(fù)郵件里塞滿了技術(shù)術(shù)語："我們使用SHA-256哈希處理您的身份標(biāo)識符，相關(guān)日志在滾動基礎(chǔ)上保留于內(nèi)存存儲層。"用戶讀完可能更困惑了——這到底是"有"還是"沒有"？

這四家的共同點是：回復(fù)了，但沒給數(shù)據(jù)。各種身份驗證、流程設(shè)計、術(shù)語壁壘，本質(zhì)是拖延戰(zhàn)術(shù)。

第三回合：2家給了，但給得別扭

NordVPN和Proton VPN是唯二在時限內(nèi)交付數(shù)據(jù)副本的。

NordVPN的包裹最厚：郵箱地址、訂閱狀態(tài)、支付記錄、設(shè)備指紋、甚至"最后一次連接的服務(wù)器負(fù)載百分比"。他們確實存了不少——比廣告里暗示的多。但至少用戶能看到了，這是關(guān)鍵區(qū)別。

Proton VPN的交付更簡潔，只包含賬戶基本信息和支付歷史。他們的隱私政策歷來以"最小化收集"著稱，這次數(shù)據(jù)量也印證了這一點。不過測試者注意到一個細(xì)節(jié)：Proton的回復(fù)郵件里有一句免責(zé)聲明，"部分技術(shù)日志因系統(tǒng)架構(gòu)原因無法以可讀格式導(dǎo)出"。

這句話的潛臺詞是：你的某些數(shù)據(jù)我們也有，但你看不懂，所以不算沒給。

GDPR對此有明確規(guī)定：數(shù)據(jù)應(yīng)以"常用、機器可讀的格式"提供。Proton的"無法可讀"是否合規(guī)，取決于具體技術(shù)細(xì)節(jié)——但這已經(jīng)是灰色地帶了。

唯一滿分：Surfshark的意外表現(xiàn)

測試前沒人押注Surfshark。這家英屬維爾京群島注冊的公司以低價策略著稱，三年套餐經(jīng)常打到2美元/月以下。低價服務(wù)商往往在合規(guī)成本上精打細(xì)算。

但Surfshark在72小時內(nèi)交付了完整數(shù)據(jù)包：賬戶信息、支付記錄、設(shè)備列表、連接時間戳（精確到秒）、甚至"觸發(fā)安全警報的IP地址"——他們主動披露了風(fēng)控系統(tǒng)的運行痕跡。這是10家中唯一一家把"我們?yōu)槭裁创孢@個"也解釋清楚的。

Surfshark的隱私官在回復(fù)中附了一段話：「我們?nèi)ツ曛匦略O(shè)計了數(shù)據(jù)訪問流程，把平均響應(yīng)時間從11天壓縮到3天。這不是為了應(yīng)付檢查，是因為我們自己測過——作為用戶，等兩周才知道自己被存了什么，體驗很差。」

這段話的微妙之處在于：他們把合規(guī)做成了產(chǎn)品體驗。當(dāng)競爭對手還在把GDPR當(dāng)負(fù)擔(dān)時，Surfshark把它變成了差異化賣點。

一個被忽略的漏洞

測試暴露了一個行業(yè)通病：VPN服務(wù)商的身份驗證邏輯。

幾乎所有回復(fù)者都要求測試者用注冊郵箱發(fā)送請求，并提供賬戶憑證。這聽起來合理——直到你意識到：如果你懷疑自己的郵箱已被入侵，想通過數(shù)據(jù)訪問來確認(rèn)泄露范圍，這個前提本身就成立了悖論。

Mullvad是10家中唯一不綁定郵箱的（他們生成隨機賬戶編號），但他們在回復(fù)環(huán)節(jié)失蹤了。Windscribe允許匿名注冊，卻要求數(shù)據(jù)請求時必須提供"足夠識別信息"。

更深層的問題是：VPN承諾保護(hù)你免受追蹤，但它們自己就是你的數(shù)據(jù)匯聚點。ISP看不到的，VPN全看到了。當(dāng)這個中間層也開始設(shè)置障礙，整個隱私鏈條就斷了。

歐盟法院2023年的一項裁決已經(jīng)明確：數(shù)據(jù)控制者不能以"技術(shù)困難"為由拒絕訪問請求。但10家服務(wù)商中，至少6家在嘗試這么做——有的用流程拖延，有的用術(shù)語模糊，有的直接消失。

你的下一次VPN訂閱，會把"響應(yīng)數(shù)據(jù)訪問的速度"寫進(jìn)決策清單嗎？還是繼續(xù)只看"同時連接設(shè)備數(shù)"和"流媒體解鎖能力"？