你的 VPN 在偷記錄瀏覽紀錄嗎？7 個方法教你識破真假 No-Log

你花了錢買 VPN，覺得自己的隱私終於有保障了。

真相是——不一定。

我是小鹿，前 KPMG 資安顧問，現在是獨立資安部落客。之前寫過一篇免費 VPN 的隱私風險，很多人看完跑來問我：「那我買付費的就安全了吧？」

答案讓你失望了：付費 VPN 照樣可能在偷記你的瀏覽紀錄。 而且有些還被抓個正著。

這篇文章要教你 7 個具體的方法，幫你判斷手上的 VPN 到底有沒有在偷偷記錄你的一舉一動。

什麼是 No-Log 政策？為什麼大部分是空話

幾乎每一家 VPN 都會在官網寫上斗大的「No-Log Policy」或「零日誌政策」。意思是：我們不記錄你的連線時間、不記錄你造訪的網站、不記錄你的 IP 位址、不記錄任何東西。

聽起來很棒對吧？問題在於——這句話沒有任何法律約束力。

你可能不知道，「No-Log」這個詞沒有法律定義，也沒有標準規範。任何一家 VPN 公司都可以在網站上寫「我們不記錄日誌」，然後在隱私政策的第 47 頁用 8 號字體補一句「我們可能收集某些連線數據以改善服務品質」。

No-Log 政策本質上是一個自我宣稱，就像餐廳門口掛個牌子說「全台最好吃」一樣——你不能因為它寫了就當真。真正有意義的是：有沒有人去驗證這件事？驗證的結果是什麼？

那些宣稱 No-Log 但被抓包的 VPN

在教你怎麼檢查之前，先看幾個「說一套做一套」的經典案例。這不是在嚇你，這些都是有據可查的真實事件。

UFO VPN：2020 年的 2,000 萬筆資料裸奔

UFO VPN 在官網白紙黑字寫著「We do not track user activities」。結果 2020 年 7 月，資安研究團隊 Comparitech 發現 UFO VPN 的 Elasticsearch 資料庫完全沒設密碼，直接暴露在公網上，裡面有超過 2,000 萬筆用戶日誌——包括明文密碼、連線 IP、session token、甚至造訪的網站。

更慘的是，同一個研究還發現 FAST VPN、Free VPN、Super VPN、Flash VPN、Secure VPN、Rabbit VPN 等 6 家 VPN 共用同一個後端伺服器，全部中招。這些 App 看似不同品牌，骨子裡是同一家公司換了個皮。

IPVanish：跟 FBI 合作交出用戶資料

IPVanish 也宣稱嚴格的 No-Log 政策。但在 2016 年，美國國土安全部（DHS）調查一起兒童剝削案件時，IPVanish 主動提供了嫌疑人的連線日誌，包括 IP 位址和連線時間戳記。

法庭文件清楚記載：IPVanish 不僅有日誌，而且配合得非常積極。後來公司被收購、換了管理層，宣稱「現在真的不記錄了」——但信任一旦破裂，要怎麼重建？

PureVPN：「零日誌」卻幫 FBI 定位嫌犯

2017 年，FBI 調查一起網路跟蹤案，PureVPN 向 FBI 提供了嫌疑人的真實 IP 位址和連線時間記錄。當時 PureVPN 的隱私政策明確寫著「We do NOT keep any logs」。

事後 PureVPN 辯解說他們記錄的是「連線日誌」而不是「活動日誌」——但對用戶來說，能透過日誌找到你的真實身份，差別在哪？

VPNpro 調查：97 家 VPN 背後只有 23 家母公司

2019 年 VPNpro 的研究揭露了另一個問題：市面上 97 家 VPN 品牌，實際上只屬於 23 家母公司。很多看起來獨立的 VPN 品牌，背後是同一個老闆。這意味著你以為自己在比較不同產品，其實只是在同一家公司的不同包裝之間選擇。

7 個檢查方法：你的 VPN 到底有沒有在偷記錄

好，案例看完了。接下來教你實際操作——拿出你正在用的 VPN，逐項對照。

方法 1：用放大鏡讀隱私政策，找「紅旗詞」

沒錯，你要去讀隱私政策。我知道沒人想讀那種東西，但這是最直接的方式。

重點不是看它說了什麼，而是看它沒說什麼、以及用了什麼模糊詞彙。

以下是常見的紅旗詞：

• 「may collect」（可能收集）——「可能」就是「會」
• 「aggregated data」（彙總數據）——聽起來無害，但彙總數據加上時間戳記就能反推個人身份
• 「improve our services」（改善服務品質）——萬用藉口，什麼數據都能塞進這個理由
• 「connection logs」vs「activity logs」——這個區分是文字遊戲。連線日誌（IP、時間戳記、連線時長）足以讓執法機構定位到你
• 「third-party analytics」（第三方分析工具）——代表你的行為數據會送到 Google Analytics、Firebase 等外部平台

如果隱私政策裡找不到「what we do NOT collect」的明確清單，或者全篇都是模糊的法律用語，那就是紅旗。

方法 2：查公司註冊地和管轄法律

VPN 公司註冊在哪個國家，決定了它受什麼法律管轄——也就是決定了政府能不能合法要求它交出你的資料。

高風險管轄區（情報共享聯盟）：

• 五眼聯盟（美國、英國、加拿大、澳洲、紐西蘭）：成員國之間共享情報，法律可強制要求企業提供用戶資料
• 九眼聯盟：加上丹麥、法國、荷蘭、挪威
• 十四眼聯盟：再加上德國、比利時、義大利、瑞典、西班牙

相對友善的管轄區：

• 巴拿馬：NordVPN 註冊地，沒有強制數據保留法律
• 英屬維京群島（BVI）：ExpressVPN 註冊地，不屬於任何情報聯盟
• 瑞士：Proton VPN 註冊地，有嚴格的隱私保護法
• 瑞典：Mullvad 註冊地，雖在十四眼但瑞典法律不強制 VPN 留存日誌

注意：管轄區不是唯一因素，但絕對是重要的第一道篩選。如果你的 VPN 註冊在美國，它再怎麼宣稱 No-Log，美國政府一張法院令下來，它也只能乖乖配合（IPVanish 就是活生生的例子）。

方法 3：確認是否通過第三方獨立審計

這是目前最可靠的驗證方式。獨立審計意味著有一家外部的、有公信力的會計或資安事務所，實際進入 VPN 公司的伺服器和系統，檢查它到底有沒有在記錄用戶資料。

已通過獨立審計的 VPN（截至 2026 年）：

沒有通過審計不代表一定在記錄，但通過審計至少是一個可驗證的客觀事實，而不是一句空洞的行銷口號。

方法 4：看伺服器架構——是 RAM-only 還是硬碟

這個比較技術，但非常關鍵。

傳統的 VPN 伺服器使用硬碟儲存，資料寫入硬碟後即使重開機也不會消失。如果伺服器被查扣，硬碟上的資料可以被鑑識工具還原。

RAM-only（純記憶體）伺服器 則不同：所有資料都在記憶體中運行，伺服器一重開機，所有數據就永久消失。就算有人搬走整台伺服器，拔掉電源的瞬間資料就沒了。

目前採用 RAM-only 架構的 VPN： - ExpressVPN（TrustedServer）：業界最早推行，2019 年開始 - NordVPN：2020 年開始全面轉換 - Surfshark：所有伺服器已轉為 RAM-only - Mullvad：全 RAM-only

如果你的 VPN 官網找不到任何關於 RAM-only 或 diskless server 的說明，大機率它還在用傳統硬碟——這意味著它在技術上有能力保留你的日誌。

方法 5：搜尋 Warrant Canary（金絲雀條款）

Warrant canary 是一個聰明的法律技巧。在美國等國家，企業收到國家安全信函（NSL）時，法律禁止它公開這件事。但法律沒有規定企業必須說謊。

所以有些 VPN 會在官網放一個聲明：「截至目前，我們沒有收到任何政府機關的秘密資料索取要求。」這就是 warrant canary——如果哪天這個聲明消失了，就代表它們收到了，只是不能說。

怎麼查： 1. 到你的 VPN 官網搜尋「warrant canary」或「transparency report」 2. 確認聲明有定期更新（帶日期的） 3. 如果曾經有但現在消失了——那就是紅旗

目前有 warrant canary 的 VPN 包括 NordVPN、Surfshark、Private Internet Access 等。ExpressVPN 和 Mullvad 則選擇以透明度報告取代。

方法 6：做一次 DNS 洩漏測試

就算 VPN 宣稱 No-Log，如果它有 DNS 洩漏，你的瀏覽紀錄照樣會被你的 ISP（網路服務提供商）看光光。

測試步驟： 1. 連上你的 VPN 2. 打開 dnsleaktest.com 或 ipleak.net 3. 點擊「Extended Test」

看結果： - 如果 DNS 伺服器顯示的是你 VPN 供應商的伺服器——OK，沒有洩漏 - 如果顯示的是你的 ISP（中華電信、遠傳、台灣大等）——代表有 DNS 洩漏，你的 ISP 知道你在看什麼網站

DNS 洩漏是很多 VPN 的通病，尤其是比較小眾或技術力不足的 VPN。就算隱私政策寫得天花亂墜，DNS 一洩漏，什麼 No-Log 都白搭。

方法 7：查看 App 要求的權限和嵌入的追蹤器

最後一招，直接看這款 VPN App 的底細。

權限檢查（Android 用戶）： - 到設定 → 應用程式 → 你的 VPN App → 權限 - VPN 合理的權限：網路存取、VPN 連線 - 不合理的權限：通訊錄、簡訊、相機、麥克風、位置（精確位置）、電話狀態 - 如果它要存取你的通訊錄或簡訊，直接刪掉

追蹤器檢查： - 到 Exodus Privacy，搜尋你的 VPN App 名稱 - 這個工具會列出 App 內嵌了多少個追蹤器 - 0-2 個追蹤器算正常（可能只是 crash reporting） - 超過 5 個？你可能不知道，但它們正在追蹤你的使用行為、裝置資訊、甚至地理位置——然後把這些數據賣給廣告商

哪些情境下 VPN 日誌最可能害到你？

你可能會想：「就算 VPN 有記錄，能怎樣？我又沒做壞事。」

真相是，日誌的風險不只是「被抓」：

1. 資料外洩事件：就像 UFO VPN 那樣，資料庫被駭，你的瀏覽紀錄、IP 位址、帳號密碼全部流到暗網
2. 政府跨境調閱：你以為你的 VPN 在國外就管不到？五眼聯盟國家之間的情報共享不是開玩笑的
3. 公司被收購：你今天信任的 VPN 公司，明天可能被一家數據公司收購，而你的歷史日誌就是收購標的的一部分
4. 在中國翻牆：如果你的 VPN 有日誌，而且伺服器在五眼聯盟國家或中國有管轄權的地區——風險不言自明。想了解翻牆的法律風險，可以看翻牆違法嗎？

一張表格：快速判斷你的 VPN 隱私等級

如果你的 VPN 在大部分項目都落在「警戒」或「危險」——認真考慮換一家吧。

（工商時間）說到不記錄日誌這件事，Sunset Browser 內建的 VPN 採取的做法很直接：不記錄你的瀏覽紀錄、不記錄連線日誌、不收集可識別個人身份的資料。伺服器架構從設計層面就排除了日誌儲存的可能性。打開 App 一鍵連線，不需要註冊帳號就能使用免費方案。如果你正在找一個真正把隱私當回事的翻牆工具，可以參考中國 VPN 推薦裡的完整評測。工商結束。

常見問題 FAQ

VPN 的 No-Log 政策可信嗎？

不能只看它怎麼說，要看有沒有第三方獨立審計來驗證。歷史上 UFO VPN、IPVanish、PureVPN 都曾宣稱 No-Log 但被證實有記錄。通過 Deloitte、KPMG、Cure53 等知名機構審計的 VPN 相對可信。

付費 VPN 一定比免費 VPN 安全嗎？

不一定。付費只代表你花了錢，不代表它的隱私政策就比較可靠。IPVanish 是付費 VPN，照樣配合 FBI 交出用戶日誌。關鍵是看管轄地、審計報告、伺服器架構這些客觀指標，而不是看價格。更多免費 vs 付費的比較，可以看免費 VPN 安全嗎？。

怎麼知道 VPN 有沒有 DNS 洩漏？

連上 VPN 後，打開 dnsleaktest.com 或 ipleak.net，執行 Extended Test。如果 DNS 伺服器顯示的是你的 ISP 而不是 VPN 供應商，就代表有洩漏。有 DNS 洩漏的話，你的網路服務商還是看得到你瀏覽了哪些網站。

Mullvad 被瑞典警方搜索後真的沒有資料嗎？

是的。2023 年 4 月，瑞典警方持搜索令搜查了 Mullvad 的辦公室，要求取得用戶資料。Mullvad 表示他們沒有任何用戶資料可以提供，警方最終空手而歸。這是目前為止最有力的「No-Log 實戰驗證」案例之一。

為什麼 VPN 公司會在隱私政策裡用模糊語言？

因為完全不收集任何數據在技術上很難做到（例如伺服器負載監控），而且模糊語言給了法律緩衝空間。但好的 VPN 會明確區分「完全不收集」和「收集但不關聯到個人」，並用獨立審計來證明自己說到做到。如果一家 VPN 的隱私政策全是模糊語言、沒有任何具體承諾，那就是紅旗。

結語：信任要靠驗證，不是靠行銷

VPN 隱私這件事，最大的問題不是技術，而是信任。

每一家 VPN 都說自己最安全、最隱私、絕對不記錄——但從 UFO VPN 到 IPVanish 到 PureVPN，歷史一再證明：光靠嘴巴說的不算數。

好消息是，你現在有了 7 個具體的方法可以自己驗證。不需要相信任何人的行銷話術，你可以自己查隱私政策、查管轄地、查審計報告、跑 DNS 洩漏測試。

免費的最貴，但花了錢的也不一定安全。能保護你隱私的，只有你自己的判斷力。