Proton VPN 連續第五年通過外部無日誌審計

編者註：本篇文章已更新，加入了 Securitum 對我們零日誌政策的最新審計。文中包含我們所有零日誌政策審計的連結。

我們很高興宣布 Proton VPN 連續第五年通過了對我們基礎設施的年度第三方審計，這確認了我們嚴格的零日誌政策。當我們說我們是零日誌 VPN 時，這不僅僅是一個宣稱：它已由獨立專家進行了雙重確認。

我們的許多競爭對手從未接受過獨立審計，或者玩弄花招，只審計了他們的隱私政策，而不是他們實際的無日誌基礎設施。而且即使他們的無日誌宣稱確實通過了審計的獨立驗證，許多人也不會公布結果，或者要求您簽署保密協議才能存取、僅限付費客戶閱讀，或以其他方式增加閱讀難度。

相較之下，Proton VPN 公開發布完整的無日誌報告，供任何人閱讀。作為一個由在 CERN 相遇的科學家創立的組織，我們相信同儕審查和透明度。這也是為什麼我們將所有應用程式開源（開放原始碼），以便任何人都可以檢視我們的程式碼。

當然，我們了解並非每個人都有時間或技能親自檢查代碼。這就是為什麼除了我們的內部稽核之外，我們定期將我們的應用程式提交給第三方安全稽核(新視窗)並公開結果。這樣，每個人都可以獲得獨立專家對我們應用程式安全性的意見。

在最近對所有 Proton 應用程式的安全性審計(新視窗)中，來自 Securitum(新視窗) 的安全專家（Securitum 是歐洲領先的安全審計公司，每年為大型企業和銀行監督 300 多個安全測試專案）沒有發現任何重大的安全問題。這顯示 Proton 的內部審計和安全軟體開發文化是行之有效的。此外，由於我們應用程式的程式碼完全開源，我們的安全性也透過我們的漏洞賞金計畫(新視窗)得到了加強，該計畫匯集了來自世界各地的安全專家來檢測我們的應用程式。

然而，對於 VPN 服務，驗證伺服器端發生的事情也很重要，而不僅僅是應用程式端。

為什麼驗證 VPN 的零日誌政策很重要

當您連線到 VPN 時，它實際上變成了您的網際網路供應商，這意味著任何 VPN 供應商在技術上都能夠追蹤和記錄您在線上的行為。雖然許多 VPN 聲稱擁有零日誌政策，但這些政策在接受測試時並不總是站得住腳。

Proton VPN 嚴格的零日誌政策至今已在 400 多起法律案件中接受了考驗。我們曾被要求交出日誌以協助識別我們的使用者，但我們無法照辦，因為這些日誌根本不存在。

Proton VPN 的瑞士司法管轄權也為 VPN 服務帶來了額外的好處。例如，在目前的瑞士法律框架下，Proton VPN 沒有任何記錄日誌的要求。然而，仍然存在著因錯誤的伺服器組態或有缺陷的系統架構，而導致日誌被意外儲存的可能性。

為了解決此問題，我們要求 Securitum 對我們的基礎設施和伺服器端操作進行定期且徹底的審查。每年，Securitum 安全專家都會在現場花費數天時間審查我們的 VPN 組態檔案和伺服器組態、評估我們的操作程序，並訪談我們的員工。他們的年度審計範圍廣泛，並檢查了以下內容：

• 處理使用者流量的生產 VPN 伺服器上是否追蹤或記錄了使用者活動？
• VPN 伺服器上是否記錄了連線中繼資料，例如 DNS 查詢或工作階段時間戳記？
• 是否主動檢查使用者網路流量，或其內容是否記錄在 VPN 伺服器上？
• 是否監控或記錄了關於使用者連線的特定服務（例如網站、外部伺服器）的資訊？
• 是否維護了將存取的服務（例如網站、伺服器）與所使用的特定 VPN 伺服器相關聯的彙總日誌？
• 零日誌政策是否一致套用於所有伺服器、所有地理區域，以及所有使用者訂閱方案級別？
• 是否設有自動化流程，可偵測未經授權的組態變更並產生警報，以免啟用日誌記錄（例如將「log」參數從 false 變更為 true）？
• 對於所有針對日誌相關組態的授權變更，是否強制執行納入雙重控制（雙人覆核）原則的正式變更管理流程？
• 核心 VPN 服務的活動組態檔案是否包含任何已啟用的記錄指令？
• 是否記錄了將特定使用者與其連線的特定 VPN 伺服器相關聯的資訊？

產生的報告確認了我們不保留任何中繼資料日誌、不記錄您的 VPN 活動，也不會從事任何可能入侵您隱私的行為。報告還確認了，隨著 Proton VPN 為我們的服務增加更多功能，這絕不會影響我們嚴格的零日誌政策。正如最新（2026 年）報告的結論：

「在評估期間審查的技術證據並未顯示，受檢的 Proton VPN 伺服器基礎設施記錄了使用者的瀏覽活動、DNS 查詢、目的地服務、網路流量內容或可識別使用者身分的連線中繼資料。Securitum 也未發現能讓 Proton 將特定使用者與透過受審查 VPN 伺服器進行的活動相連結的持久記錄。」

您可以在下方已讀 Securitum 的最新完整報告：

• Proton VPN 2026 年無日誌審計(新視窗)

符合 Securitum 的建議，這已經是我們連續第五年對無日誌政策進行的年度審計。您也可以閱讀我們過去由 Securitum 進行的無日誌審計：

• Proton VPN 2025 年無日誌審計(新視窗)
• Proton VPN 無日誌 2024 年審計(新視窗)
• Proton VPN 2023 年無日誌審計(新視窗)
• Proton VPN 2022 年無日誌審計(新視窗)

透過透明度建立信任

在 Proton，我們相信所有的宣稱都應該經過調查和驗證，包括我們自己的。展望未來，我們將繼續執行定期的安全稽核並公布結果，以便您在將您的資料託付給我們之前，可以已讀獨立安全專業人員的報告。

如果您是安全研究人員，我們也邀請您透過我們的 漏洞賞金計畫(新視窗) 支援 Proton 的安全性，該計畫為任何能識別我們開放原始碼服務中漏洞的人提供豐厚的獎金。

註冊 Proton VPN(新視窗) 以獲得透明、開放原始碼且經過完全稽核的零日誌 VPN，尊重您的隱私