10家VPN收到同一封郵件，9家裝死：你的隱私數據到底在誰手里

去年歐盟開出12億歐元罰單時，沒人想到連"隱私保護工具"本身也在違規。TechRadar做了件簡單的事：向10家主流VPN服務商發送數據訪問請求——這是GDPR賦予每個用戶的基本權利。結果？9家沒通過這場開卷考試。

測試對象包括NordVPN、ExpressVPN、Surfshark、Proton VPN、CyberGhost、PIA、IPVanish、Windscribe、Mullvad和TunnelBear。這些名字出現在幾乎所有"最佳VPN"榜單里，廣告里滿是"零日志""軍事級加密"的標語。但當用戶真的來敲門，要求看看自己被存了什么，場面一度尷尬。

第一回合：3家直接失聯

Mullvad、IPVanish、TunnelBear——三家服務商在測試期內完全沉默。沒有自動回復，沒有人工確認，郵件像丟進了黑洞。

Mullvad的缺席尤其刺眼。這家瑞典公司以"隱私激進主義"自居，官網寫著"我們不想要你的數據"。但當你依法索要自己的數據時，他們連"收到"都不回。測試窗口期結束后兩周，Mullvad才姍姍來遲補了一封回復，解釋稱"內部流程調整"。

GDPR第15條給企業的響應期限是30天，可延展至60天。但"不回復"本身即違規——用戶有權獲得"確認是否正在處理其數據"的答復，哪怕答案是"沒有"。

IPVanish和TunnelBear則至今未在測試框架內給出任何回應。

第二回合：4家把簡單問題復雜化

ExpressVPN、CyberGhost、PIA、Windscribe回復了，但路徑設計得像迷宮。

ExpressVPN要求用戶先登錄賬戶，再找到"隱私設置"子菜單，提交表格后等待郵件驗證。整個過程涉及5次頁面跳轉和2次身份驗證。TechRadar的測試者評價："如果你不是科技記者，大概會在第三步放棄。"

PIA（Private Internet Access）更絕——他們寄來一份PDF表格，要求打印、手寫簽名、掃描回傳。2024年，一家網絡安全公司在用傳真時代的流程處理數據訪問請求。測試者花了47分鐘完成這套儀式，而GDPR的立法精神是"訪問權應當易于行使"。

Windscribe的回復郵件里塞滿了技術術語："我們使用SHA-256哈希處理您的身份標識符，相關日志在滾動基礎上保留于內存存儲層。"用戶讀完可能更困惑了——這到底是"有"還是"沒有"？

這四家的共同點是：回復了，但沒給數據。各種身份驗證、流程設計、術語壁壘，本質是拖延戰術。

第三回合：2家給了，但給得別扭

NordVPN和Proton VPN是唯二在時限內交付數據副本的。

NordVPN的包裹最厚：郵箱地址、訂閱狀態、支付記錄、設備指紋、甚至"最后一次連接的服務器負載百分比"。他們確實存了不少——比廣告里暗示的多。但至少用戶能看到了，這是關鍵區別。

Proton VPN的交付更簡潔，只包含賬戶基本信息和支付歷史。他們的隱私政策歷來以"最小化收集"著稱，這次數據量也印證了這一點。不過測試者注意到一個細節：Proton的回復郵件里有一句免責聲明，"部分技術日志因系統架構原因無法以可讀格式導出"。

這句話的潛臺詞是：你的某些數據我們也有，但你看不懂，所以不算沒給。

GDPR對此有明確規定：數據應以"常用、機器可讀的格式"提供。Proton的"無法可讀"是否合規，取決于具體技術細節——但這已經是灰色地帶了。

唯一滿分：Surfshark的意外表現

測試前沒人押注Surfshark。這家英屬維爾京群島注冊的公司以低價策略著稱，三年套餐經常打到2美元/月以下。低價服務商往往在合規成本上精打細算。

但Surfshark在72小時內交付了完整數據包：賬戶信息、支付記錄、設備列表、連接時間戳（精確到秒）、甚至"觸發安全警報的IP地址"——他們主動披露了風控系統的運行痕跡。這是10家中唯一一家把"我們為什么存這個"也解釋清楚的。

Surfshark的隱私官在回復中附了一段話：「我們去年重新設計了數據訪問流程，把平均響應時間從11天壓縮到3天。這不是為了應付檢查，是因為我們自己測過——作為用戶，等兩周才知道自己被存了什么，體驗很差。」

這段話的微妙之處在于：他們把合規做成了產品體驗。當競爭對手還在把GDPR當負擔時，Surfshark把它變成了差異化賣點。

一個被忽略的漏洞

測試暴露了一個行業通病：VPN服務商的身份驗證邏輯。

幾乎所有回復者都要求測試者用注冊郵箱發送請求，并提供賬戶憑證。這聽起來合理——直到你意識到：如果你懷疑自己的郵箱已被入侵，想通過數據訪問來確認泄露范圍，這個前提本身就成立了悖論。

Mullvad是10家中唯一不綁定郵箱的（他們生成隨機賬戶編號），但他們在回復環節失蹤了。Windscribe允許匿名注冊，卻要求數據請求時必須提供"足夠識別信息"。

更深層的問題是：VPN承諾保護你免受追蹤，但它們自己就是你的數據匯聚點。ISP看不到的，VPN全看到了。當這個中間層也開始設置障礙，整個隱私鏈條就斷了。

歐盟法院2023年的一項裁決已經明確：數據控制者不能以"技術困難"為由拒絕訪問請求。但10家服務商中，至少6家在嘗試這么做——有的用流程拖延，有的用術語模糊，有的直接消失。

你的下一次VPN訂閱，會把"響應數據訪問的速度"寫進決策清單嗎？還是繼續只看"同時連接設備數"和"流媒體解鎖能力"？