VPN 供應商也可以很陰險!超過 70% 違反歐洲 GDPR 規定,更「沒有」不紀錄你的瀏覽紀錄

PrivacyTutor 的研究人員調查結果顯示,考慮到業界存在諸如超過三分之二的供應商目前違反GDPR規定等問題,整個行業的情況相當黯淡。

VPN和跟蹤Cookie

網絡跟蹤是指收集和分享有關特定互聯網用戶在線活動的資訊。網絡跟蹤器隱藏在代碼中,在背景中收集數據用於各種目的,如運行廣告,分析和創建用戶數據。研究人員發現,絕大多數VPN提供商的網站和Android應用程式中都隱藏着驚人數量的跟蹤cookie。許多公司甚至沒有選擇退出這種跟蹤的選項,這完全違反了當前的GDPR規則。

慕尼黑IT法律事務所Phil Salewski律師對研究人員說:「如果VPN提供商使用基於Cookie的跟蹤和網絡分析服務(如Google Analytics),則根據《電信數據保護法》第25條第1款的規定,在未經用戶事先明確自願同意的情況下進行此類分析屬於違法。如果在獲得同意之前或者同意不是自願給予的,那麼這將構成適用數據保護法律的違反。」

更糟糕的是,為了提高他們的私隱而購買服務的個人實際上達到了相反的效果,並被誤導認為他們會遠離監視。

在144個服務商中,有104個(72%)因未徵求跟蹤Cookie的同意而未能遵守數據保護法。 在某些情況下,例如HideMy.name VPN,即使研究人員不同意跟蹤,網站也會設置像Facebook或Google Analytics這樣的Cookie。 只有24%的提供商(34個)在其網站上不使用任何跟蹤Cookie。

研究人員還在許多Android VPN應用程式的代碼中發現了大量不同類型的網絡跟蹤器 – 79%的服務在其Android應用程式中使用跟蹤器,平均每個應用程式有3.4個跟蹤器。 有時這個數字要高得多。 例如,iTop VPN應用程式數量高達17個。 不幸的是,無法檢查iOS應用程式的相同情況。

總的來說,只有12個供應商的網站和應用程式完全沒有跟蹤器。 這些包括Mullvad、AirVPN和ProtonVPN。 我們的專家也定期進行類似的測試。 根據我們的結果,Hide.me和Windscribe的網站或應用程式中也沒有跟蹤器。

未能兌現不記錄 VPN 的承諾

判斷 VPN 保護程度的另一個特徵是該軟件是否收集用戶的使用數據。不記錄 VPN 意味着,儘管有一些功能數據,但提供商不會儲存有關用戶活動的任何資訊。 這一點很重要,因為即使在執法部門請求或數據洩露的情況下,也沒有任何資訊可共用。

市面上有無數自稱不記錄日誌的 VPN。 然而,只有極少數的提供商通過獨立的安全審計來兌現其諾言。

準確地說,在聲稱不儲存任何使用日誌的 VPN 服務中的 80% 中,只有 17% 的服務經過了外部審計其私隱政策。

我們目前的三大最愛 – ExpressVPN、NordVPN 和 Surfshark – 定期測試其不記錄索賠,Express 在 2022 年僅進行了 11 次獨立審計。

此外,一些提供商吹噓不記錄日誌政策,但進一步檢查其私隱政策顯示第三方合作夥伴進行跟蹤。 官方態度似乎是「我們沒有記錄你的數據」,但其他人正在這樣做。

一個例子是Planet VPN(也稱為Free VPN Planet和Planet Free VPN)。 在其私隱政策中,它指出:「我們的 VPN 應用程式可能在免費模式下顯示廣告,通過接受此私隱政策, 你也接受我們廣告合作夥伴的私隱政策。」 它連結到 Appodeal 的私隱政策,該政策提供了大量跟蹤資訊,包括:

「互聯網協議(IP)地址、Cookie識別碼、行動廣告識別碼和其他在 你訪問互聯網時自動分配給 你的設備的設備識別碼、位置數據、瀏覽器類型、操作系統、互聯網服務提供商、 你訪問我們的網站或使用我們的服務之前和之後瀏覽的網頁、訪問日期和時間、 你在每個網頁上花費的時間長度、 你點擊的鏈接和在我們的網站上查看的網頁相關資訊,以及通過使用我們的網站或服務採取的其他操作,例如喜好設定。」

VPN 供應商也可以很陰險

Planet VPN 的發言人聲稱「就私隱政策而言,我們公開說明我們的合作夥伴可能為廣告目的收集數據。我們運行這些廣告是為了維持服務的運行。這在科技世界中是很常見的做法。 此外,我們認為我們合作夥伴收集的數據並沒有以任何方式去除用戶的匿名性。」

他們指出「目前我們與Appodeal達成協議,他們不會出售或披露任何可能從我們的整合中獲取的資訊。」 這對我們來說感覺有點太方便了,並且與他們之前的說法有些矛盾。

在VPN行業中跟蹤用戶是不應該的,很明顯大部分行業都在利用用戶獲利。 這就是為什麼我們不推薦此類服務,並且我們的首選始終都是值得信賴的服務,它們在不利用用戶的情況下保護 你的線上私隱。

匿名支付

當涉及到支付選項時,各家供應商通常提供幾種選擇:從信用卡和銀行轉帳到PayPal和加密貨幣。 然而,在這裏並不總是保證完全的匿名性。

研究人員發現,被審查的供應商中有56%通過比特幣和其他加密貨幣提供匿名支付。 然而,其中許多(包括NordVPN和PureVPN)似乎只允許通過中介公司進行這些類型的支付。 「如果是這種情況,那麼匿名支付就不再可行,」專家指出。 相反,Mullvad使用獨特的支付地址使該過程更加匿名。

只有5%的供應商也接受最佳的匿名交易:現金。 這些包括Mullvad和ProtonVPN。

正如PrivacyTutor的研究所示,並非所有VPN供應商都真正關心其用戶的私隱。 對於那些僅僅為了解鎖全球內容而尋找良好串流媒體VPN的用戶來說,這可能無關緊要,但保護水平的缺失可能會對那些私隱至關重要的人造成更大的傷害。

此文章發佈於 TechRitual 香港