上个月底,美国参议院投票否决 FCC 法案,允许网络供应商自由分享用户的网络浏览资料,此举引来一阵哗然。许多用户开始寻找保护网络隐私的方法,其中就属 VPN(虚拟私人网络)最受欢迎。VPN 真的可以保障我们的网络隐私吗?
在开始之前,先让我们回顾整个事件的前因后果。网络供应商提供网络服务,同时搜集用户的网络浏览资料,如果有人愿意出钱,网络供应商很乐意将这些资料让出去。为了约束网络供应商,FCC(联邦通信委员会,由美国国会授权设立的机构)于去年 10 月订出一套法案,要求网络供应商转让用户资料前必须得到用户的同意,这套法案于去年 12 月正式生效。
今年 3 月 26 日,参议院以 50 票对 48 票的结果,推翻了 FCC 法案。这份决议案将送往白宫进行第二阶段投票,一旦投票通过,FCC 法案就正式失效,而且 FCC 将无法再次订出类似法案来保护用户隐私,也难怪美国网友人心惶惶。
▲ 参议院否决 FCC 法案,造成高度争议。
你或许会纳闷,为什么参议院要否决 FCC 法案?为什么要放任网络供应商胡作非为?答案很简单,因为 FCC 法案挡了企业财路。用户的网络浏览资料有很高的价值,广告商、资讯公司、甚至是骇客,都想取得这些资料。FCC 原本想替大家的隐私把关,可惜这份美意在资本家从中作梗下付诸流水。
事实上,美国人根本没有选择网络供应商的权利。网络供应商全是同个模样,一边赚你的钱,一边试图转卖你的个资。无论 AT&T、Spring 还是 T-Mobile,他们的手机都有内建追踪软件。Verizon 在手机内暗中安装追踪系统,让别人可以饱览你的网页浏览纪录。Comcast 为了利益口不择言,认为自己有权处分用户的网络浏览资料,宣称此举有助于经济成长,简直夸张至极。
▲ 手机上网同样有泄漏个资的风险。
参议院否决 FCC 法案后,以美国为中心的部落客立刻采取因应措施,试图阻止网络供应商的追踪,而他们的选择就是 VPN。VPN 可以将送出去的资料加密,这些资料透过网络连到 VPN 服务器进行解密,最后到达你想前往的网站。换言之,VPN 就是你与网络间的中间人。
在使用 VPN 的情况下,网络供应商只能取得加密后的资料(看起来是一堆乱码),无法拿出去转卖。供应商知道你有上网,却不知道你上网做了哪些事情。目前市面上有许多 VPN 供应商,服务费用从免费到每月 10 美元都有,收费 VPN 的效能与稳定性通常会优于免费 VPN。
▲ VPN 有不错的安全性,且入手门槛很低。
从历史的角度来看,VPN 已经行之有年,以高度安全性著称。商业界特别喜欢使用 VPN,VPN 成本低廉且安全,很适合用于电子商务与商业资讯交换。一般用户同样受惠于 VPN,玩家借由 VPN 玩到海外游戏,如《舰队 Collection》。使用公共网络的用户习惯搭配 VPN 保障隐私,避免个资被人看光光。
VPN 可以存取区域限制的内容,越过专制政府的网络屏障,是许多用户的救星。VPN 供应商可以将服务器设在世界上任何一个角落,哪里有 VPN,哪里就有上网的自由。若你连到英格兰的 VPN,就能够存取英国限定的网络内容,收看精彩的 BBC 频道;若你住在北朝鲜或中国,VPN 可以帮助你绕过国家封锁。或许 VPN 的连线效率稍微差了些,但根本无伤大雅。
▲ 翻墙软件在中国-被视为暴力恐怖软件。
VRP 是好用工具,却不是万灵丹。一旦 VPN 的需求增加,争议就会跟着膨胀。当你使用 VPN 同时,你也把自己的网络浏览资料送到对方手上。假如 VPN 业者心怀不轨,或是内部保密不确实,你的个资就有泄漏的危险。
VPN 正好处于法律的模糊地带,缺乏有力的监督机制,这代表你很难找到一个值得信赖的 VPN 业者。况且大部分 VPN 是开放程式码的免费软件,只要对方有一定的技术力,就可以监控你的网络行踪。
▲ 利用 VPN,顺利玩到《舰队 Collection》。
你戴上名为 VPN 的锡箔帽,以为可以抵挡骇客入侵,VPN 业者却把你的个资卖给别人、送到政府手上,甚至用你的名义盗刷信用卡。最糟的状况是:VPN 业者就是政府的眼线,专制国家最喜欢搞这种手段。
今年年初,以加州大学柏克莱分校为首的单位针对手机市场的 VPN 进行调查,发现有将近 18% 的 Android VPN 根本没有替用户加密。这些 VPN 业者为何如此大胆?因为没有那个必要。如果 VPN 业者被用户抓包,他们可以删除自己的 App,然后找个地方躲起来,风头过后再换一个招牌重操旧业即可。假如 VPN 业者把你的个资拿去转卖,那么他们也没有比网络供应商好到哪去。
自由诚可贵,安全同样不容忽视。选择 VPN 之前得先做好功课,探听业者的风评,用网络上的方法检测 VPN 的安全性。网站《That One Privacy Site》将数量庞大的 VPN 整理成清单,列出每个 VPN 的所在国度(代表他们受到哪些国家的法律约束)、IP 位置,以及是否提供匿名付款方式,诸如此类。
▲ That One Privacy Site 把数量庞大的 VPN 整理成表格。
根据 That One Privacy Site 的资料,我们可以整理出几家颇具声誉的 VPN 业者,像是 SlickVPN、Tunnelbear 与 Hideman,不过 VPN 是否好用还是得根据你的需求而定。顺道一提,除了网络供应商与 VPN 业者,你的手机服务商也会搜集你的个资。若你想用手机进行需要保密的动作,记得利用 VPN 来自保,别让坏人有机可趁。
VPN 就像一把双面刃,它可以保护你的安全,也可以破坏你的隐私。然而这不代表 VPN 一无是处,只要小心使用,VPN 仍是十分有用的工具。事实上,我们还有另一个绝招:自己担任 VPN 供应者。美国那边的 Sovereign、OpenVPN 与 AutoVPN 等公司都可以让你租用他们的主机架设 VPN 服务器,前提是得具备架设服务器的知识,并支付必要的费用。
▲ Tunnelbear 的 VPN 服务在美国颇受好评。
网络安全不会凭空而降,我们得自己去争取,愿意付出多少心血,就能够获得多少安全。若你负责电子商务的业务,就更需要注意网络安全。VPN 可以保障隐私,但是 VPN 充其量不过是权宜之计,它无法帮助我们改善大环境。一旦我们决定亲自捍卫网络隐私,就很难要求政府改善大环境,结果就是给企业与骇客趁虚而入的机会。
我们可以暂时用 VPN 与保障隐私的浏览器插件(如 NoScript 或 Privacy Badger)来应急,同时努力改善大环境。网络隐私并非个人的问题,而是一个复杂的政治议题,需要一群人竭尽心力,努力相当长的一段时间,才可以找出一套长程的解决方案。我们必须主动出击,向网络供应商与政府施压,要求他们正视消费者的权益,事态才有机会出现转机。
▲ NoScript 帮你档掉网站的 Scripts,借此提升网络安全性。
举例来说,我们可以建议网站舍弃 HTTP 协定,改用可以避免监听与中间人攻击的 HTTPS 协定。HTTPS 不仅可以提供较安全的浏览环境,还可以提高网络供应商追踪用户的难度。然而 HTTP 转 HTTPS 可不是在网址中间加一个 S 而已,整个网站必须做出大幅调整,此举势必会冲击网站的营运。
2016 年,美国月刊杂志《连线》(Wired)将网站转换为 HTTPS,整个转换作业耗时 5 个月,其间发生许多恼人的安全性问题,使得工程师焦头烂额。如果你经常浏览的网站还没换成 HTTPS,可以考虑使用“HTTPS Everywhere”,这个浏览器插件可以提供类似 HTTPS 的效果,增加你的网络安全性。
▲《连线》于去年将网站升级为 HTTPS。
意图搜集用户个资的机构简直多到罄竹难书。除了网络供应商与 VPN 业者外,Google、Amazon,以及许多热门的 App,都会利用 cookies 或 scripts,随时找机会搜集用户的个资。你可以用 Disconnect 或 uBlock Origin 等插件来隐藏行踪,可是若你想要使用任何种类的账号登入服务,就必须停用这些插件,就算使用 VPN 也没有意义。说得极端一点,这些机构对我们的了解程度,可能比我们的父母还要深。
没有经过一番努力,就无法在网络世界中保持隐私。VPN 的确方便好用,然而 VPN 只能治标,要解决问题还是得从根本着手。有机会记得留意资安的议题,呼吁大家重视网络隐私,找出贡献一己之力的途径,别继续放任政府或企业侵犯我们的隐私权。
(本文由 T客邦 授权转载;首图来源:StockSnap.io)
