VPN 供應商也可以很陰險！超過 70% 違反歐洲 GDPR 規定，更「沒有」不紀錄你的瀏覽紀錄

PrivacyTutor 的研究人員調查結果顯示，考慮到業界存在諸如超過三分之二的供應商目前違反GDPR規定等問題，整個行業的情況相當黯淡。

VPN和跟蹤Cookie

網絡跟蹤是指收集和分享有關特定互聯網用戶在線活動的資訊。網絡跟蹤器隱藏在代碼中，在背景中收集數據用於各種目的，如運行廣告，分析和創建用戶數據。研究人員發現，絕大多數VPN提供商的網站和Android應用程式中都隱藏着驚人數量的跟蹤cookie。許多公司甚至沒有選擇退出這種跟蹤的選項，這完全違反了當前的GDPR規則。

慕尼黑IT法律事務所Phil Salewski律師對研究人員說:「如果VPN提供商使用基於Cookie的跟蹤和網絡分析服務(如Google Analytics)，則根據《電信數據保護法》第25條第1款的規定，在未經用戶事先明確自願同意的情況下進行此類分析屬於違法。如果在獲得同意之前或者同意不是自願給予的，那麼這將構成適用數據保護法律的違反。」

更糟糕的是，為了提高他們的私隱而購買服務的個人實際上達到了相反的效果，並被誤導認為他們會遠離監視。

在144個服務商中，有104個(72%)因未徵求跟蹤Cookie的同意而未能遵守數據保護法。在某些情況下，例如HideMy.name VPN，即使研究人員不同意跟蹤，網站也會設置像Facebook或Google Analytics這樣的Cookie。只有24%的提供商(34個)在其網站上不使用任何跟蹤Cookie。

研究人員還在許多Android VPN應用程式的代碼中發現了大量不同類型的網絡跟蹤器 – 79%的服務在其Android應用程式中使用跟蹤器，平均每個應用程式有3.4個跟蹤器。有時這個數字要高得多。例如，iTop VPN應用程式數量高達17個。不幸的是，無法檢查iOS應用程式的相同情況。

總的來說，只有12個供應商的網站和應用程式完全沒有跟蹤器。這些包括Mullvad、AirVPN和ProtonVPN。 我們的專家也定期進行類似的測試。根據我們的結果，Hide.me和Windscribe的網站或應用程式中也沒有跟蹤器。

未能兌現不記錄 VPN 的承諾

判斷 VPN 保護程度的另一個特徵是該軟件是否收集用戶的使用數據。不記錄 VPN 意味着，儘管有一些功能數據，但提供商不會儲存有關用戶活動的任何資訊。這一點很重要，因為即使在執法部門請求或數據洩露的情況下，也沒有任何資訊可共用。

市面上有無數自稱不記錄日誌的 VPN。然而，只有極少數的提供商通過獨立的安全審計來兌現其諾言。

準確地說，在聲稱不儲存任何使用日誌的 VPN 服務中的 80% 中，只有 17% 的服務經過了外部審計其私隱政策。

我們目前的三大最愛 – ExpressVPN、NordVPN 和 Surfshark – 定期測試其不記錄索賠，Express 在 2022 年僅進行了 11 次獨立審計。

此外，一些提供商吹噓不記錄日誌政策，但進一步檢查其私隱政策顯示第三方合作夥伴進行跟蹤。官方態度似乎是「我們沒有記錄你的數據」，但其他人正在這樣做。

一個例子是Planet VPN(也稱為Free VPN Planet和Planet Free VPN)。在其私隱政策中，它指出:「我們的 VPN 應用程式可能在免費模式下顯示廣告，通過接受此私隱政策，你也接受我們廣告合作夥伴的私隱政策。」它連結到 Appodeal 的私隱政策，該政策提供了大量跟蹤資訊，包括:

「互聯網協議(IP)地址、Cookie識別碼、行動廣告識別碼和其他在你訪問互聯網時自動分配給你的設備的設備識別碼、位置數據、瀏覽器類型、操作系統、互聯網服務提供商、你訪問我們的網站或使用我們的服務之前和之後瀏覽的網頁、訪問日期和時間、你在每個網頁上花費的時間長度、你點擊的鏈接和在我們的網站上查看的網頁相關資訊，以及通過使用我們的網站或服務採取的其他操作，例如喜好設定。」