NordVPN vs ExpressVPN 私隱政策深度對比:邊家真係 no-log?
擰開兩份私隱政策逐條對比:no-log 承諾背後有咩審計支持、總部司法管轄區風險、以及邊家真正值得信賴。
點解要睇私隱政策?
VPN 嘅核心價值係「保護私隱」,但問題來了:你點知間 VPN 公司真係冇記錄你嘅上網數據?
答案係:你唔知。所以你只能靠三樣嘢去判斷:
- 私隱政策(佢哋白紙黑字寫咗承諾咩)
- 獨立審計(有冇第三方幫你驗證過)
- 司法管轄區(公司註冊地嘅法律有冇可能強制佢哋交數據)
呢篇文會從呢三個維度,將 NordVPN 同 ExpressVPN 嘅私隱保護能力攤出嚟對比。
第一回合:No-Log 政策逐條對比
| 數據類型 | NordVPN | ExpressVPN |
|---|---|---|
| 瀏覽紀錄 | ❌ 不記錄 | ❌ 不記錄 |
| IP 地址(原始) | ❌ 不記錄 | ❌ 不記錄 |
| 連接時間戳 | ❌ 不記錄 | ❌ 不記錄(只記當日日期,不記時間) |
| 使用頻寬 | ❌ 不記錄 | ❌ 不記錄 |
| DNS 查詢 | ❌ 不記錄 | ❌ 不記錄 |
| 電郵地址(帳號) | ✅ 記錄(必須) | ✅ 記錄(必須) |
| 付款資訊 | ✅ 經第三方處理 | ✅ 經第三方處理 |
| 同時連接裝置數 | ❌ 不記錄 | ❌ 不記錄 |
| 應用程式崩潰報告 | ⚠️ 可選(預設關) | ⚠️ 可選(預設關) |
| 匿名化診斷數據 | ⚠️ 可選(預設關) | ⚠️ 可選(預設關) |
判決:兩家喺 no-log 承諾上幾乎一樣,都係「零記錄」級別。關鍵差異喺驗證——即係第二回合。
第二回合:獨立審計記錄
呢個係分野最大嘅地方。
NordVPN
| 年份 | 審計公司 | 審計範圍 | 結果 |
|---|---|---|---|
| 2018 | PwC(普華永道) | No-log 政策合規 | ✅ 通過 |
| 2021 | VerSprite | 基礎架構安全 | ✅ 通過(發現 1 個低風險漏洞,已修復) |
| 2022 | Deloitte(德勤) | No-log 政策合規 | ✅ 通過 |
| 2024 | Deloitte | No-log 政策合規(第二次) | ✅ 通過 |
NordVPN 係行業入面唯一做過 4 次獨立審計嘅 VPN 服務商,而且由 PwC 同 Deloitte 兩間四大會計師事務所分別審過。
ExpressVPN
| 年份 | 審計公司 | 審計範圍 | 結果 |
|---|---|---|---|
| 2019 | PwC | No-log 政策合規 | ✅ 通過 |
| 2022 | Cure53 | TrustedServer 技術 | ✅ 通過 |
| 2023 | Cure53 | No-log 政策 + 基礎架構 | ✅ 通過 |
| 2024 | KPMG | No-log 政策合規 | ✅ 通過 |
ExpressVPN 同樣有 4 次審計,其中 KPMG 2024 年嘅審計係最近期嘅。但 Cure53 係安全審計公司而非四大會計師事務所,公信力層級略低於 PwC/Deloitte/KPMG。
判決:平手。兩家都係行業入面審計做得最足嘅,NordVPN 略勝在四大審計次數更多(PwC×1 + Deloitte×2 vs ExpressVPN 嘅 PwC×1 + KPMG×1)。
第三回合:司法管轄區風險
呢個係最多人忽略但最重要嘅維度。
NordVPN — 巴拿馬
- 巴拿馬冇強制數據保留法律(no mandatory data retention laws)
- 唔屬於任何國際情報共享聯盟(非 Five Eyes / Nine Eyes / Fourteen Eyes 成員)
- 2017 年通過咗個人數據保護法(Law 81),但冇要求 VPN 供應商保留用戶數據
風險評級:🟢 低
ExpressVPN — 英屬維爾京群島(BVI)
- BVI 係英國海外領土,但有獨立法律體系
- 唔屬於 Five Eyes 聯盟(英國係,但 BVI 唔係)
- 冇強制數據保留法律
風險評級:🟢 低
兩家都揀咗私隱友好嘅司法管轄區。但要留意一點:ExpressVPN 喺 2021 年被 Kape Technologies 收購。Kape 之前叫 Crossrider,曾經做過廣告軟件(adware)業務。雖然 Kape 已經完全轉型做私隱工具,但呢段歷史令一啲私隱 advocates 對 ExpressVPN 保持警惕。
NordVPN 喺 2022 年同 Surfshark 合併成為 Nord Security 集團,但合併對象同樣係 VPN 公司,冇 Kape 嗰種「前 adware 公司」嘅歷史包袱。
判決:NordVPN 略勝,主因係母公司背景更乾淨。
第四回合:實質性私隱技術
NordVPN
- RAM-only 伺服器:2019 年開始全線升級,所有伺服器行 volatile memory,斷電即抹除所有數據
- Diskless 架構:冇硬碟,即使有人物理入機房偷 server 都搵唔到任何用戶數據
- Colocated 伺服器:部分伺服器係 NordVPN 自己擁有同管理(唔係租用第三方),減少第三方接觸風險
- 暗網監控:附加功能(非核心私隱保障)
ExpressVPN
- TrustedServer:全線伺服器行 RAM,每次重啟都會重新安裝整個 operating system stack——確保冇任何殘留數據。技術上比單純嘅 RAM-only 更進一步
- 冇硬碟設計:同 NordVPN
- 所有伺服器租用第三方:冇自建機房,理論上第三方機房人員有物理接觸風險(雖然 TrustedServer 技術可以降低風險)
判決:ExpressVPN 嘅 TrustedServer 技術理念上更先進,但 NordVPN 嘅 colocated 伺服器策略提供咗另一層物理安全保障。各有千秋,平手。
第五回合:曾經嘅安全事故應對
NordVPN — 2018 年芬蘭伺服器事件
2018 年 3 月,NordVPN 位於芬蘭嘅一台伺服器俾人未經授權訪問。入侵者利用咗數據中心供應商留低嘅一個遠端管理漏洞。 關鍵係:因為 NordVPN 係 no-log + RAM-only,入侵者攞唔到任何用戶數據。
NordVPN 嘅處理:
- 事後公開披露(雖然有人批評太遲,事發 18 個月後先公布)
- 終止咗同嗰間數據中心供應商嘅合約
- 加速咗全線 colocated server 嘅升級計劃
- 推出 bug bounty 計劃
ExpressVPN — 2021 年 CIO 事件
2021 年,ExpressVPN 嘅 CIO(首席信息官)Daniel Gericke 被美國司法部指控:佢之前喺阿聯酋工作期間,參與咗一個為阿聯酋政府開發嘅黑客工具項目(Project Raven)。Gericke 最終同美國政府達成延期起訴協議,支付咗 335,000 美元罰款。
問題在於:一個曾經幫政府做黑客監控嘅人,而家做緊 VPN 公司嘅 CIO。
ExpressVPN 回應話事發後 Gericke 已離職(2023 年),而且公司一直獨立於任何政府運作。
判決:NordVPN 嘅安全事故係技術層面嘅(已修正),ExpressVPN 嘅係人事信任層面嘅(更難修復)。NordVPN 喺呢個維度明顯領先。
綜合排名
| 維度 | NordVPN | ExpressVPN | 勝方 |
|---|---|---|---|
| No-log 政策 | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐⭐ | 平手 |
| 審計覆蓋 | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐ | NordVPN |
| 司法管轄區 | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐⭐ | 平手 |
| 母公司背景 | ⭐⭐⭐⭐⭐ | ⭐⭐⭐ | NordVPN |
| 實質技術 | ⭐⭐⭐⭐ | ⭐⭐⭐⭐⭐ | ExpressVPN |
| 安全事故處理 | ⭐⭐⭐⭐ | ⭐⭐⭐ | NordVPN |
總判決:NordVPN 嘅私隱保護更值得信賴,主要贏喺審計深度 + 母公司背景乾淨 + 安全事故處理透明。ExpressVPN 嘅 TrustedServer 係好技術,但 Kape 收購 + Project Raven 事件令佢喺「信任」層面扣咗分。
如果你想睇 NordVPN 嘅詳細私隱設定指南(Kill Switch、Split Tunnel、DNS 設定),可以睇我哋嘅下一篇文。