坏消息：欧盟推动 VPN 预留执法后门

在隐私保护领域，欧盟常被视为全球典范。2018 年里程碑式的《通用数据保护条例》（英文简称：GDPR）确立了个人数据保护的黄金标准。

然而近年来，欧盟内部多个团体不断提出威胁数字基本权利的提案，这些权利与个人数据保护密不可分，即隐私权。此前最大的威胁是所谓“聊天监控”（英文：chat control）提案，该提案可能迫使端到端加密通讯软件扫描用户分享的所有照片、视频和链接。在遭到多国反对后，该提案目前暂时搁浅（至少现阶段如此）。

VPN 成为执法“关键障碍”

这次威胁源自高级别小组（英文：High-Level Group，英文简称：HLG）新发布的报告。该小组于2023年6月受命研究欧盟执法部门在“数据获取”方面面临的挑战及解决方案。2025年3月发布的最终报告中，VPN 被列为阻碍执法工作的关键挑战之一。

加密设备/应用程序、新型通讯运营商、虚拟专用网络（VPN）等技术的设计初衷是保护合法用户的隐私。但它们同时也为罪犯提供了隐藏身份、推广非法商品、转移资金和掩盖通讯的有效工具，使其能够逃避侦查、调查和起诉。

这是欧盟官方文件首次明确将 VPN 列为执法障碍。这种定性令人担忧——既然被视为障碍，就意味着有人想要突破它，不是吗？

平心而论，报告中多次提到需要在信息获取权与隐私安全之间取得平衡。报告引用“部分执法专家”的观点称，某些加密技术在设计时已兼顾了安全性与内容扫描需求。

但我们对此持不同看法。尽管报告撰写者试图谨慎措辞，强调要在隐私保护与执法权限间寻求平衡，但事实上二者根本无法共存。为执法开后门必然会削弱加密技术和隐私保护。

随着欧盟委员会推出新版欧洲内部安全战略 ProtectEU，越来越多人担心数字权利将为强化执法权让路。该战略的核心内容包括为执法部门配备“有效工具”，特别强调“数据的合法访问权”。细究文件可发现，欧盟计划制定加密技术路线图并开展影响评估，旨在更新数据留存规则。虽然措辞看似中立，但我们有充分理由认为这是在为强制加密后门铺路。

这场辩论无法妥协

欧盟近期对 VPN 服务和端到端加密通讯软件的关注，暴露出一个关键问题：扩大数据访问权的代价是牺牲个人自由。虽然执法部门确实需要调查工具，但这个问题不存在折中方案，必须在安全匿名性与数据收集机制之间做出选择。一旦开启数据收集，就会滑向侵蚀数百万无辜者隐私权的危险斜坡。

HLG 报告将 VPN 服务置于辩论焦点，将其定性为调查工作的“关键障碍”。VPN 通过隐藏 IP 地址实现用户匿名化，这使得当局难以获取有助于识别嫌疑人的元数据。考虑到元数据（包括通讯对象、时间、地点等信息）的价值不亚于通讯内容本身，这种匿名性被视为调查阻碍。更令人担忧的是，报告建议强制所有服务商留存元数据并向执法部门提供，违者将面临制裁。

许多采用无日志政策的 VPN 服务以用户匿名性和数据安全为设计核心。这意味着除非进行根本性改造，否则它们无法提供执法部门要求的信息，并非不愿提供，而是技术上无法提供。强制 VPN 长期留存用户元数据的法律框架，可能导致服务商退出欧盟市场。这已有先例：2022年印度实施类似法规后，引发 VPN 服务集体撤离。

我们还记得 Telegram 的案例：在创始人 Pavel Durov 被法国当局逮捕后，这个曾经的隐私堡垒开始向当局移交更多用户数据（包括 IP 地址和电话号码）。

如果欧盟强制 VPN 收集共享数据，只会逼走注重隐私的服务商，削弱公民数字权利。关键问题在于：为可能抓捕少数罪犯而牺牲数千万人的隐私是否值得的吗？这种程度的广泛监控真的必要吗？我们认为必须着眼大局，守护数字时代的隐私权。