Wszystko o rejestrowaniu logów przez sieci VPN

Istnieją trzy rodzaje danych, które może przechowywać Twój VPN: rejestry aktywności, rejestry połączeń i rejestry zbiorcze. Zrozumienie, jakie dane należą do tych kategorii, jest konieczne, aby skutecznie chronić swoją prywatność.

1. Rejestry aktywności

Rejestry aktywności to najbardziej inwazyjny rodzaj przechowywanych logów. Niwelują wszelkie korzyści dot. prywatności lub anonimowości, które w innym przypadku mógłby zapewnić VPN.

Rejestry te, znane również jako „logi użytkowania” dotyczą wszelkich danych wyraźnie związanych z Twoją aktywnością w sieci.

Polityka prywatności Hola VPN oferuje dobry przykład rejestrowanych informacji:

Bezpłatne aplikacje VPN, takie jak Hola VPN, często prowadzą rejestry aktywności. Dane te są niejednokrotnie udostępniane lub sprzedawane osobom trzecim w celach reklamowych, co skutecznie zastępuje konieczność pobierania abonamentu.

Niektóre płatne usługi VPN niezapisujące logów, monitorują aktywność użytkownika, jeśli mają wobec niego podejrzenia lub jeśli są do tego prawnie zobowiązane. Inne rejestrują aktywność w czasie rzeczywistym, a następnie usuwają ją po zamknięciu sesji VPN:

Ponieważ dane są szybko usuwane, tego typu rejestry aktywności nie stanowią problemu. Mimo to najlepiej w ogóle ich unikać, jeśli masz taką możliwość.

Inni dostawcy, tacy jak Hide.me, są technicznie niezdolni do gromadzenia logów użytkowania ze względu na konfigurację ich sieci. Z punktu widzenia prywatności, ci dostawcy są najlepszym rozwiązaniem.

Oczywiście należy za wszelką cenę unikać sieci VPN przechowujących logi użytkowania. Jeśli obawiasz się rejestrowania aktywności, sprawdź najpopularniejsze usługi VPN rejestrujące dane dot. Twojej aktywności.

2. Rejestry połączeń

Rejestry połączeń mogą być gromadzone na poziomie serwera (np. całkowite wykorzystanie przepustowości serwera) lub na poziomie użytkownika (np. pierwotny adres IP użytkownika).

Zazwyczaj dane te są wykorzystywane do optymalizacji wydajności sieci i rozwiązywania problemów klientów.

Rejestry połączeń na poziomie serwera są doskonałym przykładem tego, że nie wszystkie rodzaje rejestrów są problematyczne. Utrzymanie wydajności sieci VPN bez rejestrowania jakichkolwiek danych jest praktycznie niemożliwe.

Monitorowanie i przechowywanie właściwych, anonimowych danych gwarantuje doskonałe działanie usługi VPN.

Za to przechowywanie niewłaściwych rejestrów połączeń umożliwia usłudze VPN dopasowanie Cię do Twojej aktywności. Może to zostać wykorzystane do identyfikacji Twojej osoby, co stanowi poważny problem dla użytkowników dbających o prywatność.

Jeśli martwisz się o rodzaj danych dotyczących połączenia, które rejestruje Twój VPN, czytaj dalej, aby dowiedzieć się, jakie informacje nie powinny być przechowywane.

Oto przykład szczegółowych rejestrów połączeń na poziomie użytkownika z polityki przechowywania logów Thunder VPN:

Zapewnienia, że dane te są wykorzystywane tylko do „zagwarantowania jak najlepszego działania” lub „poprawy obsługi klienta” pojawiają się stosunkowo często, ale z doświadczenia wiemy, że taki poziom szczegółowości nie jest konieczny do utrzymania dobrze działającej usługi VPN.

3. Rejestry zbiorcze

Niektóre z najpopularniejszych VPN-ów na rynku gromadzą rejestry zbiorcze. Oznacza to, że VPN zbiera informacje, które są rzekomo zanonimizowane i w związku z tym niemożliwe do powiązania z konkretnym użytkownikiem.

Sieć VPN gromadzi informacje o odwiedzanych stronach internetowych, wykorzystywanej przepustowości lub datach i godzinach połączenia z serwerem. Następnie oczyszcza je z wszelkich elementów identyfikacyjnych i dodaje do większej bazy danych.

Warto wiedzieć, iż niektóre usługi VPN zapewniające, że nie przechowują rejestrów, w rzeczywistości przechowują rejestry zbiorcze. Polityka prywatności Anchorfree jest dobrym przykładem tego, na co należy zwrócić uwagę:

Ostatecznie jednak anonimizowane dane zbiorcze nie zawsze są tak cudownym rozwiązaniem, jak obiecują reklamy.

To, czy rejestrowanie jest dopuszczalne, zależy od rodzaju gromadzonych danych oraz skuteczności procesu anonimizacji. Musisz po prostu przyjąć w ciemno, że Twój VPN skutecznie anonimizuje dane.

Jeśli to dla Ciebie za dużo, lepiej wybierz usługę VPN nieprzechowującą logów.

Czym jest usługa VPN nieprzechowująca logów?

Usługa VPN nieprzechowująca logów nie gromadzi ani nie zapisuje danych dotyczących aktywności lub połączenia, które mogłyby posłużyć do identyfikacji użytkownika. Co najważniejsze, nie zbiera ani nie przechowuje również żadnych informacji przesyłanych przez tunel VPN.

Dzięki temu żaden użytkownik nie będzie mógł zostać przypisany do konkretnej aktywności lub połączenia w sieci VPN. Każdy będzie miał zapewnioną prywatność, anonimowość i pozostanie nieznany nawet dla dostawcy VPN.

Jedyne dane identyfikacyjne, jakie posiada usługa VPN nieprzechowująca logów, to Twój adres e-mail (użyty do rejestracji konta) i dane płatnicze (w przypadku gdy zechcesz otrzymać zwrot pieniędzy).

VPN niezapisujący logów nie może zostać zmuszony do udostępnienia danych użytkowników władzom lub stronom trzecim, ponieważ dane te po prostu nie istnieją.

Tak oto silna polityka braku przechowywania logów może zneutralizować problem, jaki stanowi niebezpieczna jurysdykcja VPN.

Należy jednak pamiętać, że polityka braku przechowywania logów nie oznacza, że nie są przechowywane absolutnie żadne dane. Jest to niemożliwe, jeśli usługodawca chce zachować mocną sieć lub egzekwować ograniczenia, takie jak limity urządzeń.

Większość usług VPN przechowuje bardzo podstawowe dane jak informacje o obciążeniu serwerów (liczba użytkowników lub przepustowość wykorzystywana przez każdy serwer). To minimalistyczne podejście do rejestrowania danych, które nie obejmują absolutnie żadnych informacji umożliwiających identyfikację, jest w pełni uzasadnione. Usługa VPN będzie nadal sklasyfikowana jako niezapisująca logów.

W kolejnej części tego przewodnika prezentujemy listę usług VPN nieprzechowujących logów, które zostały zweryfikowane przez strony trzecie.

W kilku przypadkach sprawy sądowe, niezależne audyty i inne wydarzenia zweryfikowały polityki nieprzechowywania logów stosowane przez usługi VPN.

Dokładnie zbadaliśmy ExpressVPN oraz Private Internet Access, dwie najlepsze sieci VPN, których zasady braku przechowywania logów zostały zweryfikowane w prawdziwym życiu.

Obie usługi VPN nie naruszyły prywatności i anonimowości użytkowników, gdy władze żądały od nich dostępu do rejestrów lub gdy ich serwery zostały zajęte.

1. ExpressVPN: Anonimowe rejestry połączeń

ExpressVPN jest zarządzany przez Express VPN International Ltd., firmę z siedzibą na Brytyjskich Wyspach Dziewiczych.

Brytyjskie Wyspy Dziewicze stanowią własne przepisy dotyczące danych i w związku z tym mogą być doskonałą lokalizacją dla usługi VPN dbającej o prywatność.

Chociaż obce rządy nadal mogą wymagać dostępu do informacji, firma ExpressVPN dała jasno do zrozumienia, że nigdy nie spełni takich żądań, a co ważniejsze, nie posiada żadnych danych osobowych, które mogłaby udostępnić.

Jedyne informacje, jakie zachowuje ExpressVPN, to lokalizacja wybranego przez Ciebie serwera VPN, data połączenia i całkowita ilość przesłanych danych.

Choć wydaje się to bardziej obszerne, niż jest to konieczne, najważniejsze, że dane te nigdy nie mogą być wykorzystane do zidentyfikowania Ciebie lub Twojej aktywności.

Zostało to wystawione na próbę w grudniu 2017 roku, kiedy śledztwo w sprawie zabójstwa Andrieja Karłowa sprawiło, że polityka przechowywania logów firmy znalazła się w centrum uwagi.

Tureckie władze próbowały zmusić ExpressVPN do udostępnienia danych klientów. Zajęły nawet jeden z lokalnych serwerów firmy. Nie zdołały jednak uzyskać żadnych informacji, ponieważ po prostu ich tam nie było.

ExpressVPN wydał później oświadczenie w tej sprawie:

„Jak poinformowaliśmy władze tureckie w styczniu 2017 roku, ExpressVPN nie posiada i nigdy nie posiadał żadnych rejestrów połączeń klientów, które pozwoliłyby nam dowiedzieć się, kto korzystał z adresów IP wskazanych przez śledczych.

Co więcej, nie byliśmy w stanie sprawdzić, którzy klienci korzystali w tym czasie z poczty Gmail lub serwisu Facebook, ponieważ nie prowadzimy także rejestrów aktywności”.

Każdy serwer w sieci ExpressVPN został zmodernizowany, aby działać w trybie dysku RAM. Jest to duże usprawnienie z punktu widzenia prywatności i bezpieczeństwa, ponieważ nie wymaga tradycyjnych dysków twardych, co gwarantuje, że wszystkie informacje są wymazywane po każdym wyłączeniu i ponownym włączeniu serwera.

Sieć została również poddana niezależnemu audytowi przez firmę PricewaterhouseCoopers, która potwierdziła jej deklaracje dotyczące braku przechowywania logów i ochrony prywatności.

2. Private Internet Access: 100% brak logów

Private Internet Access (PIA) to niezwykle szybka usługa VPN z siedzibą w Stanach Zjednoczonych. Choć jej jurysdykcja jest daleka od ideału, jej stanowisko w sprawie przechowywania logów zostało wielokrotnie niezależnie zweryfikowane.

PIA nie przechowuje absolutnie żadnych logów. Możesz korzystać z usługi z całkowitą pewnością, że Twoje dane nie będą monitorowane, przechowywane ani wykorzystywane przeciwko Tobie.

Ponadto firma regularnie publikuje raporty przejrzystości, które możesz zobaczyć tutaj.

Usługa Private Internet Access jest wyjątkowa, ponieważ jej polityka przechowywania logów została zweryfikowana zewnętrznie przy dwóch różnych okazjach.

W 2016 roku FBI zażądało od PIA przedstawienia informacji dot. użytkownika podejrzewanego o grożenie zamachem bombowym. Pomimo otrzymania oficjalnego żądania dostępu do rejestrów, usługa VPN nie miała żadnych danych do przekazania, co zostało szczegółowo opisane w oficjalnych dokumentach sądowych.

Firma PIA została ponownie wezwana do dostarczenia dowodów w sprawie z czerwca 2018 r. Po raz kolejny firma nie miała żadnych rejestrów do przekazania.

Na podstawie tych dwóch przypadków można bezpiecznie uznać Private Internet Access za sprawdzoną usługę VPN niezapisującą logów.

Poniższe usługi VPN rejestrują historię przeglądania stron internetowych oraz dane dotyczące aktywności. Jest to najbardziej rażąca forma przechowywania logów i należy jej unikać za wszelką cenę.

Nie jest to bynajmniej wyczerpująca lista wszystkich VPN-ów, które przechowują rejestry aktywności. Zawsze osobiście sprawdzaj politykę swojego dostawcy, zanim powierzysz mu dane.

Nazwa dostawcy	Rejestrowane dane	Czas przechowywania
Hola Free VPN	Odwiedzone adresy URL Czas spędzony na stronach internetowych Daty i godziny dostępu Pierwotny adres IP Typ przeglądarki	„Tak długo, jak to konieczne”
McAfee Safe Connect	Odwiedzone adresy URL Czas spędzony na stronach internetowych Znaczniki czasu połączeń Pierwotny adres IP Unikatowy identyfikator urządzenia Typ przeglądarki Informacje o lokalizacji Dane plików (wiadomości e-mail, załączniki itp.)	„Tak długo, jak to konieczne”
Psiphon	Odwiedzone domeny Używany protokół VPN Czas sesji VPN Wykorzystanie przepustowości Dane o lokalizacji Dostawca usług internetowych	60 dni
VPN99	Odwiedzone adresy URL Unikalny identyfikator urządzenia Pierwotny adres IP Znaczniki czasu połączeń Wersja systemu operacyjnego Typ przeglądarki	5 lat

* Zbierane domyślnie za pomocą funkcji „zgłoś błędy działania” w aplikacji.

Nieświadomi użytkownicy sieci VPN są często wprowadzani w błąd przez niejasne, fałszywe lub celowo mylące polityki przechowywania logów, zaprojektowane, by stworzyć iluzję prywatności.

Jeśli nie wiesz, na co zwrócić uwagę, możesz nieświadomie wybrać VPN, który naraża Cię na niebezpieczeństwo.

Jeżeli analizujesz politykę prywatności sieci VPN lub decydujesz się na subskrypcję, warto wiedzieć o następujących problemach.

Jeśli znasz już te zagadnienia, możesz przejść do sekcji Jak się chronić.

1. Fałszywa reklama

Z wyjątkiem niezależnego audytu, weryfikacja polityki przechowywania logów usługi VPN jest praktycznie niemożliwa, dopóki nie będzie za późno.

Na dowód tego można podać kilka przykładów dostawców VPN rzekomo „chroniących prywatność” lub „nieprzechowujących logów”, którzy zostali przyłapani na udostępnianiu władzom szczegółowych danych.

W 2011 roku londyński serwis VPN HideMyAss (HMA) odegrał kluczową rolę w aresztowaniu Cody’ego Kretsingera, 23-letniego mieszkańca Phoenix. Kretsinger był członkiem LulzSec, odłamu grupy hakerów-aktywistów, Anonymous.

HMA zapewniało, że jest usługą opartą na prywatności, która pozwala użytkownikom „anonimowo przeglądać sieć, zachowując całkowitą prywatność”:

FBI namierzyło włamanie Kretsingera na adres IP należący do HMA i natychmiast wydało nakaz sądowy w Wielkiej Brytanii, żądając dostępu do logów. Firma HMA zastosowała się do nakazu i udostępniła rejestry połączeń, które pozwoliły zidentyfikować Kretsingera.

Choć jasne jest, że w żadnym wypadku nie należy popierać nielegalnych działań, ten incydent to tylko jeden z przykładów poważnych wad ekosystemu tego VPN-u. Niestety, sprzedawanie produktu, który zapewnia, że chroni tożsamość użytkownika, a potem robi coś zupełnie innego, jest równie godne potępienia.

HideMyAss to nie jedyny VPN, który stosował fałszywą reklamę – IPVanish również ma burzliwą przeszłość, jeśli chodzi o rejestrowanie danych.

W 2016 roku VPN IPVanish współpracował z FBI w śledztwie kryminalnym. Pomimo polityki prywatności, która zapewniała o nierejestrowaniu danych, firma IPVanish ostatecznie spełniła żądania prawne i przekazała władzom szczegółowe rejestry połączeń.

Jest to oczywiście niepokojące, ale należy pamiętać, że do incydentu doszło, gdy firma miała zupełnie innego właściciela i zarząd. Więcej informacji na temat tej sprawy znajdziesz w naszej pełnej recenzji IPVanish.

Prawdopodobnie istnieje o wiele więcej przykładów udostępniania danych władzom lub składania fałszywych oświadczeń przez VPN-y rzekomo niezapisujące logów, o których nigdy się nie dowiemy. Na ten moment ważne jest, aby przed podjęciem decyzji zapoznać się z historią swojego dostawcy.

2. Zamierzona niejednoznaczność

W idealnym świecie wszystkie polityki gromadzenia logów usług VPN jasno wyjaśniałyby, jakie dane są przechowywane podczas i po zamknięciu sesji VPN. Niestety, wielu dostawców polega na niejednoznaczności, aby stworzyć fałszywe poczucie bezpieczeństwa.

Większość użytkowników nie zdaje sobie sprawy, że ogólne sformułowania, takie jak „brak logów”, nie zawsze są tym, czym się wydają. Nieuczciwi dostawcy VPN wykorzystują fakt, że branża nie ustaliła jeszcze oficjalnej definicji „logów”.

Ta luka prawna umożliwia usługom VPN uniknięcie jasnego określenia, jakiego rodzaju danych dotyczą ich deklaracje „braku przechowywania logów”.

Dostawca może zgodnie z prawem reklamować się jako „niezapisujący logów” dotyczących aktywności, ale nadal prowadzić rejestry połączeń, które umożliwiają identyfikację użytkownika.

Mówiąc wprost, wielu dostawców VPN określa się jako „niezapisujący logów” wyłącznie na podstawie swoich własnych standardów.

O ile niektóre rejestry połączeń nie muszą być złe, to podawanie fałszywych lub sprzecznych informacji tylko zwiększa zamieszanie i brak zaufania podczas wyboru usługi VPN.

Dość często zdarza się również, że reklamy dostawcy VPN są sprzeczne z jego polityką prywatności. Zazwyczaj na stronie głównej pojawia się śmiałe stwierdzenie „zero logów”, a następnie w Regulaminie ostrożnie ujawniane są dane, które VPN faktycznie przechowuje.

Doskonały przykład tej taktyki oferuje ThunderVPN, który w Google Play Store reklamuje swoją politykę „bezwzględnego” niezapisywania logów:

Niestety szybka analiza polityki prywatności dowodzi, że jest to nieprawda:

Takie praktyki są nie tylko nieuczciwe, ale też potencjalnie niebezpieczne dla niczego niepodejrzewających użytkowników VPN, którzy nie przeczytali dokładnie zasad swojego dostawcy.

Jeśli znajdziesz VPN, który podaje sprzeczne lub mylące informacje o swoich praktykach rejestrowania danych, warto dwa razy zastanowić się nad jego wiarygodnością. W większości przypadków nie jest to raczej VPN, któremu można powierzyć swoje wrażliwe dane.

3.Brak szczegółów

Zaskakująco często zdarza się, że mniej popularni dostawcy VPN działają bez polityki prywatności. Nie trzeba dodawać, że jeśli na stronie dostawcy nie ma żadnych informacji dot. zbierania danych, nie należy mu ufać.

Zwróć też uwagę na wyjątkowo krótkie regulaminy. Wielu dostawców VPN po prostu stwierdza:

„Nie rejestrujemy Twojej aktywności podczas połączenia z usługą VPN”

Takie obietnice nie wyjaśniają nic na temat innych sposobów gromadzenia danych.

Polityka prywatności Yoga VPN to dobry przykład tego, czego należy unikać. Składający się z 371 słów dokument nie wyjaśnia ani jednej rzeczy na temat działania usługi Yoga VPN.

Niektóre VPN-y są również niepokojąco ogólnikowe, jeśli chodzi o sposób egzekwowania warunków korzystania z usługi. Dziesiątki dostawców chwali się „niezapisywaniem logów”, a jednocześnie w tym samym zdaniu ostrzega użytkowników, że będzie „badać podejrzane zachowania” lub „blokować użytkowników nadużywających usługi”.

Pojawia się więc pytanie: jeśli VPN nie rejestruje Twojego adresu IP ani aktywności, jak może badać podejrzane zachowania?

Jeśli zasady rejestrowania danych VPN są krótkie lub niejasne, skontaktuj się z zespołem wsparcia dostawcy, aby uzyskać więcej szczegółów. Nie korzystaj z produktu, który nie chce zainwestować czasu, aby jasno i przejrzyście przedstawić swoje praktyki.

4. Jurysdykcja

Polityki przechowywania logów i jurysdykcje są ze sobą ściśle powiązane. Chociaż mało znane jurysdykcje bywają świetne dla prywatności, mogą również powodować problemy w zakresie odpowiedzialności.

Firmy działające na odległość jest o wiele trudniej pociągnąć do odpowiedzialności za łamanie przepisów dot. fałszywej reklamy lub oszukiwanie klientów. Jeśli VPN w Panamie celowo wprowadza w błąd klienta w Niemczech, niewiele można zrobić.

Co ważniejsze, jurysdykcja dostawcy VPN będzie miała wpływ na jego prawny obowiązek rejestrowania danych i udostępniania ich władzom. Na przykład usługa z siedzibą w Stanach Zjednoczonych może zostać zmuszona do niejawnego monitorowania swoich użytkowników.

Te inwazyjne jurysdykcje są mniejszym problemem, jeśli VPN rzeczywiście nie zapisuje logów. Mimo wszystko wybór usługi poza tymi krajami może zapewnić większą ochronę.

Aby dowiedzieć się więcej o wymianie danych pomiędzy Sojuszami Pięciorga, Dziewięciu i 14 Oczu, przeczytaj nasz przewodnik po jurysdykcjach VPN.