網路隱私不再，VPN 重新成為顯學

上個月底，美國參議院投票否決 FCC 法案，允許網路供應商自由分享用戶的網路瀏覽資料，此舉引來一陣譁然。許多用戶開始尋找保護網路隱私的方法，其中就屬 VPN（虛擬私人網路）最受歡迎。VPN 真的可以保障我們的網路隱私嗎？

在開始之前，先讓我們回顧整個事件的前因後果。網路供應商提供網路服務，同時蒐集用戶的網路瀏覽資料，如果有人願意出錢，網路供應商很樂意將這些資料讓出去。為了約束網路供應商，FCC（聯邦通信委員會，由美國國會授權設立的機構）於去年 10 月訂出一套法案，要求網路供應商轉讓用戶資料前必須得到用戶的同意，這套法案於去年 12 月正式生效。

今年 3 月 26 日，參議院以 50 票對 48 票的結果，推翻了 FCC 法案。這份決議案將送往白宮進行第二階段投票，一旦投票通過，FCC 法案就正式失效，而且 FCC 將無法再次訂出類似法案來保護用戶隱私，也難怪美國網友人心惶惶。

▲ 參議院否決 FCC 法案，造成高度爭議。

你或許會納悶，為什麼參議院要否決 FCC 法案？為什麼要放任網路供應商胡作非為？答案很簡單，因為 FCC 法案擋了企業財路。用戶的網路瀏覽資料有很高的價值，廣告商、資訊公司、甚至是駭客，都想取得這些資料。FCC 原本想替大家的隱私把關，可惜這份美意在資本家從中作梗下付諸流水。

事實上，美國人根本沒有選擇網路供應商的權利。網路供應商全是同個模樣，一邊賺你的錢，一邊試圖轉賣你的個資。無論 AT&T、Spring 還是 T-Mobile，他們的手機都有內建追蹤軟體。Verizon 在手機內暗中安裝追蹤系統，讓別人可以飽覽你的網頁瀏覽紀錄。Comcast 為了利益口不擇言，認為自己有權處分用戶的網路瀏覽資料，宣稱此舉有助於經濟成長，簡直誇張至極。

▲ 手機上網同樣有洩漏個資的風險。

參議院否決 FCC 法案後，以美國為中心的部落客立刻採取因應措施，試圖阻止網路供應商的追蹤，而他們的選擇就是 VPN。VPN 可以將送出去的資料加密，這些資料透過網路連到 VPN 伺服器進行解密，最後到達你想前往的網站。換言之，VPN 就是你與網路間的中間人。

在使用 VPN 的情況下，網路供應商只能取得加密後的資料（看起來是一堆亂碼），無法拿出去轉賣。供應商知道你有上網，卻不知道你上網做了哪些事情。目前市面上有許多 VPN 供應商，服務費用從免費到每月 10 美元都有，收費 VPN 的效能與穩定性通常會優於免費 VPN。

▲ VPN 有不錯的安全性，且入手門檻很低。

從歷史的角度來看，VPN 已經行之有年，以高度安全性著稱。商業界特別喜歡使用 VPN，VPN 成本低廉且安全，很適合用於電子商務與商業資訊交換。一般用戶同樣受惠於 VPN，玩家藉由 VPN 玩到海外遊戲，如《艦隊 Collection》。使用公共網路的用戶習慣搭配 VPN 保障隱私，避免個資被人看光光。

VPN 可以存取區域限制的內容，越過專制政府的網路屏障，是許多用戶的救星。VPN 供應商可以將伺服器設在世界上任何一個角落，哪裡有 VPN，哪裡就有上網的自由。若你連到英格蘭的 VPN，就能夠存取英國限定的網路內容，收看精彩的 BBC 頻道；若你住在北韓或中國，VPN 可以幫助你繞過國家封鎖。或許 VPN 的連線效率稍微差了些，但根本無傷大雅。

▲ 翻牆軟體在中國新疆被視為暴力恐怖軟體。

VRP 是好用工具，卻不是萬靈丹。一旦 VPN 的需求增加，爭議就會跟著膨脹。當你使用 VPN 同時，你也把自己的網路瀏覽資料送到對方手上。假如 VPN 業者心懷不軌，或是內部保密不確實，你的個資就有洩漏的危險。

VPN 正好處於法律的模糊地帶，缺乏有力的監督機制，這代表你很難找到一個值得信賴的 VPN 業者。況且大部分 VPN 是開放程式碼的免費軟體，只要對方有一定的技術力，就可以監控你的網路行蹤。

▲ 利用 VPN，順利玩到《艦隊 Collection》。

你戴上名為 VPN 的錫箔帽，以為可以抵擋駭客入侵，VPN 業者卻把你的個資賣給別人、送到政府手上，甚至用你的名義盜刷信用卡。最糟的狀況是：VPN 業者就是政府的眼線，專制國家最喜歡搞這種手段。

今年年初，以加州大學柏克萊分校為首的單位針對手機市場的 VPN 進行調查，發現有將近 18% 的 Android VPN 根本沒有替用戶加密。這些 VPN 業者為何如此大膽？因為沒有那個必要。如果 VPN 業者被用戶抓包，他們可以刪除自己的 App，然後找個地方躲起來，風頭過後再換一個招牌重操舊業即可。假如 VPN 業者把你的個資拿去轉賣，那麼他們也沒有比網路供應商好到哪去。

自由誠可貴，安全同樣不容忽視。選擇 VPN 之前得先做好功課，探聽業者的風評，用網路上的方法檢測 VPN 的安全性。網站《That One Privacy Site》將數量龐大的 VPN 整理成清單，列出每個 VPN 的所在國度（代表他們受到哪些國家的法律約束）、IP 位置，以及是否提供匿名付款方式，諸如此類。

▲ That One Privacy Site 把數量龐大的 VPN 整理成表格。

根據 That One Privacy Site 的資料，我們可以整理出幾家頗具聲譽的 VPN 業者，像是 SlickVPN、Tunnelbear 與 Hideman，不過 VPN 是否好用還是得根據你的需求而定。順道一提，除了網路供應商與 VPN 業者，你的手機服務商也會蒐集你的個資。若你想用手機進行需要保密的動作，記得利用 VPN 來自保，別讓壞人有機可趁。

VPN 就像一把雙面刃，它可以保護你的安全，也可以破壞你的隱私。然而這不代表 VPN 一無是處，只要小心使用，VPN 仍是十分有用的工具。事實上，我們還有另一個絕招：自己擔任 VPN 供應者。美國那邊的 Sovereign、OpenVPN 與 AutoVPN 等公司都可以讓你租用他們的主機架設 VPN 伺服器，前提是得具備架設伺服器的知識，並支付必要的費用。

▲ Tunnelbear 的 VPN 服務在美國頗受好評。

網路安全不會憑空而降，我們得自己去爭取，願意付出多少心血，就能夠獲得多少安全。若你負責電子商務的業務，就更需要注意網路安全。VPN 可以保障隱私，但是 VPN 充其量不過是權宜之計，它無法幫助我們改善大環境。一旦我們決定親自捍衛網路隱私，就很難要求政府改善大環境，結果就是給企業與駭客趁虛而入的機會。

我們可以暫時用 VPN 與保障隱私的瀏覽器插件（如 NoScript 或 Privacy Badger）來應急，同時努力改善大環境。網路隱私並非個人的問題，而是一個複雜的政治議題，需要一群人竭盡心力，努力相當長的一段時間，才可以找出一套長程的解決方案。我們必須主動出擊，向網路供應商與政府施壓，要求他們正視消費者的權益，事態才有機會出現轉機。

▲ NoScript 幫你檔掉網站的 Scripts，藉此提升網路安全性。

舉例來說，我們可以建議網站捨棄 HTTP 協定，改用可以避免監聽與中間人攻擊的 HTTPS 協定。HTTPS 不僅可以提供較安全的瀏覽環境，還可以提高網路供應商追蹤用戶的難度。然而 HTTP 轉 HTTPS 可不是在網址中間加一個 S 而已，整個網站必須做出大幅調整，此舉勢必會衝擊網站的營運。

2016 年，美國月刊雜誌《連線》（Wired）將網站轉換為 HTTPS，整個轉換作業耗時 5 個月，其間發生許多惱人的安全性問題，使得工程師焦頭爛額。如果你經常瀏覽的網站還沒換成 HTTPS，可以考慮使用「HTTPS Everywhere」，這個瀏覽器插件可以提供類似 HTTPS 的效果，增加你的網路安全性。

▲《連線》於去年將網站升級為 HTTPS。

意圖蒐集用戶個資的機構簡直多到罄竹難書。除了網路供應商與 VPN 業者外，Google、Amazon，以及許多熱門的 App，都會利用 cookies 或 scripts，隨時找機會蒐集用戶的個資。你可以用 Disconnect 或 uBlock Origin 等插件來隱藏行蹤，可是若你想要使用任何種類的帳號登入服務，就必須停用這些插件，就算使用 VPN 也沒有意義。說得極端一點，這些機構對我們的了解程度，可能比我們的父母還要深。

沒有經過一番努力，就無法在網路世界中保持隱私。VPN 的確方便好用，然而 VPN 只能治標，要解決問題還是得從根本著手。有機會記得留意資安的議題，呼籲大家重視網路隱私，找出貢獻一己之力的途徑，別繼續放任政府或企業侵犯我們的隱私權。

（本文由 T客邦 授權轉載；首圖來源：StockSnap.io）