2019 年 12 月,i2Coalition(网络托管公司、数据中心、域名注册商、云基础设施提供商、托管服务提供商和其他中央互联网技术的领先代言人)推出了 VPN 信任计划 (VTI)。
VTI 是一个行业领先的联盟,由市场领先的 VPN 企业组成,致力于通过建立一套透明的 VPN 服务交付指南,并与专家提供的行业最佳实践相一致,为消费者和 VPN 等改善 VPN 行业。
VTI 本质上是希望为 VPN 行业营造一个自我监管的环境,让消费者能够快速轻松地确定 VPN 服务是否符合标准。 VTI 传达的信息是 VPN 并非生而平等:
VPN 从本质上确保端点之间的数据流是私密且安全的。虽然一些 VPN 成功地保护了用户,但其他 VPN 可能(无意或有意)使用户面临更大的风险。不能满足用户需求或期望的 VPN 服务可能会给专业和个人安全带来风险。
现在,由成员领导的联盟发布了一系列旨在建立这些核心 VPN 原则的最佳实践。通过遵循这些最佳实践,联盟成员将赢得消费者更多的信任,从而将自己与市场上存在的大量牛仔 VPN 服务区分开来——研究表明这些服务在许多关键领域无法提供隐私和安全性。
在过去的几年里,VPN 服务提供商的数量猛增。从社会的角度来看,这是一个积极的转变,让人们可以自由选择如何以及由谁处理他们的数据。然而,行业的增长也带来了透明度的缺失。 VPN 提供商以不同的方式运营,并且不一定所有提供商在开发服务时都采用最佳标准。 VTI 理解这一点,并试图制定一套原则:服务可以依赖的指导方针。我们希望这些原则将帮助该行业变得更加值得信赖、透明和安全。
五个关键原则
本周发布的五项关键原则是朝着提高整个 VPN 行业信任的正确方向迈出的一步。而且,虽然它本质上将使 VTI 的成员(例如 ExpressVPN、NordVPN、Hide.me、VyprVPN、Surfshark、IPVanish 和 Ivacy)从市场的其他成员中脱颖而出,但它也应该允许更新的、可能较差的服务启动以改进其服务。那么,已经公布的五项原则是什么呢?
第一个原则围绕安全性——这是任何 VPN 服务不可或缺的一部分。安全原则指出“VPN将使用必要的安全措施,包括强大的加密和身份验证协议来适当应对风险”。此外,它还要求 VPN 服务提供商:
- 发生安全事件时暂停受损的身份验证器
- 尽可能使用基于令牌的身份验证
- 切勿以纯文本形式存储用户名和密码
- 帮助防止用户之间共享密钥
这些是一组强大的参数,对于任何 VPN 实施可靠且强大的安全性来说都是一个良好的开端。
接下来,VTI 重点关注广告最佳实践。它指示 VPN 提供商使用清晰透明的语言。它还要求他们确保始终做出准确且不具有误导性的声明。同样,这是一组重要的标准,因为之前的研究表明,一些 VPN 提供商故意在消费者期望获得的安全级别方面欺骗消费者,无论是因为加密效果较差或实施不当,还是由于应用程序而发生关键数据泄露。
隐私原则要求所有 VPN 提供商明确说明他们保留哪些日志、为什么保留以及保留多长时间。 VPN 还被要求“保留其认为提供服务所需的尽可能少的数据,并且仅在法律要求时向执法部门提供数据。”考虑到 VPN 可以是零日志服务,不可避免地没有任何记录可以移交给当局,这一要求似乎有点乏味。
话虽如此,在某些情况下,位于有严格强制性数据要求的国家/地区的 VPN 提供商可能需要保留一些日志,在这些情况下,该原则明确指出,这些服务需要直言不讳地说明这些要求及其可能给消费者带来的潜在风险。
最后两项原则围绕披露、透明度和社会责任。他们呼吁 VPN 提供商采取措施提高其程序的清晰度,从而增强行业内的信任。这是通过发布透明度报告、解释他们可以与哪些第三方合作以及原因、支持言论自由和为 VPN 行业核心的开源计划做出贡献来实现的。
结论
总体而言,这是一套坚实的基础,将使 VPN 行业能够改善其在消费者和技术专家眼中的形象。毫无疑问,市场上不断增加的面向消费者的 VPN 之间的许多差异导致了混乱。
由于缺乏像 VTI 规定的原则,平庸的服务有可能在很大程度上不受反对地传播,并且在许多情况下,这给陷入其中的消费者带来了严重的风险。
VTI 原则开始创造一个自我监管的环境,这将大大改善该行业内的问责制。因此,VPN 变得更难被政府当局盯上,政府当局热衷于看到它们的幕后黑手,因为它们为民间社会的关键成员提供了巨大的隐私优势。无论是为更美好的世界而奋斗的活动人士、记者还是政治异见人士。
在线隐私不仅仅是一种特权——它是地球上每个人的基本人权。 VTI 原则代表了行业向前迈出的重要一步,我们很自豪能够发挥自己的作用。
Sebastian Schaub,Hide.me 首席执行官兼创始人