
本文重點
- VPN 能藏住你連去哪裡,但你的電信業者仍然看得到「你正在用 VPN」這件事本身
- 好油案能破,關鍵不是 VPN 被破解,是使用者自己的操作疏漏加上社群平台的配合
- 2024 年台灣修法後,電信業者被要求保留「網路流量紀錄」(連線的中繼資料,不含通訊內容),調閱門檻也變低了
- VPN 服務商註冊在哪個國家、有沒有確實落實「無日誌政策」,才是真正決定你隱私的關鍵
- 這篇不是要你恐慌,而是讓你清楚知道「上網紀錄」實際上是什麼、誰看得到
好油案裡,VPN 為什麼沒能完全藏住身分?
2023 年,農業粉專「Lin bay 好油」版主自稱遭到恐嚇,後續被檢調查出是自導自演。發文恐嚇的許姓嫌犯,特地跑到新北市一間咖啡廳,透過 Surfshark 這款 VPN 軟體把 IP 位址跳板到國外,試圖隱藏真實身分。這篇不打算討論案件本身的是非對錯,純粹從技術角度,拆解「VPN 明明開了,為什麼還是被找到人」。
小知識:VPN 是什麼?
VPN(Virtual Private Network,虛擬私人網路)可以想像成一條「加密通道」:你的裝置先連到 VPN 公司的伺服器,再由這台伺服器代替你連上網站。網站看到的是 VPN 伺服器的 IP,不是你真正的 IP;你的網路服務業者(ISP,例如中華電信、台灣大哥大)也只看得到你連上了一條加密通道,看不到通道另一頭你實際去了哪裡。
那這個案子後來怎麼破的?根據當時的報導,關鍵不是誰「破解」了 VPN 的加密,而是三件事湊在一起:
- ISP 看得到你在用 VPN 這件事本身。就算不知道你連過去做了什麼,電信業者知道你的裝置正連往某個 VPN 伺服器。
- 社群平台願意配合提供登入紀錄。案件中 Facebook 提供了帳號過去多次登入的 IP 歷史紀錄給台灣警方,這是平台的政策選擇,不是 VPN 被攻破。
- 使用者自己的操作疏漏留下了痕跡。最關鍵的一步是:嫌犯第一次註冊、登入這個帳號時,忘記先開 VPN,用真實 IP(就是那間咖啡廳的公用網路)登入過。之後才開始用 VPN,但帳號的「出生紀錄」已經曝光了。
提醒:這不代表 VPN「沒有用」或「被破解」。真正洩漏身分的,是身分沒有從頭到尾維持一致的防護狀態,而不是加密通道本身出了問題。這個區別很重要——因為它告訴我們該修正的是「習慣」,不是放棄使用 VPN。
那我平常上網,到底「被記錄」什麼?
先講清楚一件事:你的電信業者本來就看得到你的連線中繼資料——什麼時候連上網、連了多久、去了哪個網域,但看不到你在網頁裡打了什麼字、傳了什麼訊息內容。這件事一直都是這樣,不是新法才發生的。
真正的變化在 2024 年。當年 7 月,立法院三讀通過《通訊保障及監察法》(通保法)修正案,是「打詐四法」的一部分。這次修法明確定義了「網路流量紀錄」:也就是你使用電信服務後,網路上產生的裝置識別資料、IP 位址、連線時間、連線用量、網域名稱等——但同樣不包含通訊內容本身。
小知識:新法前後差在哪?
簡單說,新法之前,「網路流量紀錄」這個東西在法律上沒有明確定義,電信業者要不要保存、保存多久沒有統一規範。新法之後,電信業者被課予明確的保存義務,若不配合最高可罰 500 萬元;同時也訂出了檢警調取這類紀錄的程序。
什麼情況下,執法單位能調你的紀錄?
白話來說:檢察官或司法警察官偵辦特定犯罪、認為某人的通信紀錄或網路流量紀錄跟案件有關聯性和必要性時,可以聲請調取。新法一個常被拿出來討論的地方是,多數情況下這個程序不需要法官事前審核,檢察官許可即可執行,事後才會有陳報法院的機制。台灣人權促進會等民間團體對此提出過疑慮,認為缺乏法官事前把關,加上法律本身沒有明訂保存期限和監督機制,未來子法怎麼訂還有待觀察。
提醒:這不是說一般人正常上網會被盯上——調取有明確的犯罪偵查門檻,不是隨便誰都能查任何人。但了解規則的存在與界線,能讓你在真的需要在意隱私的情境下,知道自己該注意什麼,而不是活在「反正都被看光」或「反正不會有事」兩種極端的錯誤安全感裡。
VPN 到底該怎麼用才有意義?
- 選擇清楚標示「無日誌政策」的服務。代表這家 VPN 不會記錄你的瀏覽內容或連線紀錄,之後也沒有東西可以被調閱。
- 留意 VPN 公司註冊在哪個國家。不同國家對資料保留的法律要求不同,這會直接影響「就算被要求,這家公司有沒有東西可以交出去」。
- 身分要一致,別中途切換。好油案最大的教訓:如果一個帳號打算匿名使用,從第一次註冊、第一次登入開始就要全程使用防護,不要有時候用真實網路、有時候用 VPN。
- 避免用免費 VPN。不少免費 VPN 靠蒐集、轉賣使用者資料維持營運,等於你想防的事,換一種方式發生。
- 敏感帳號和日常帳號分開處理。不要用同一個瀏覽器分頁、同一個裝置習慣同時處理需要匿名的事務和你的真實身分帳號。
使用前,先確認這幾件事
- 我知道 VPN 能藏住連線內容,但藏不住「我正在用 VPN」這件事
- 我知道台灣電信業者現在有保存「網路流量紀錄」的法定義務
- 我用的 VPN 有清楚、可查證的無日誌政策
- 我沒有讓匿名身分和真實身分共用同一套上網習慣
如果你的處境更需要謹慎
這篇講的是一般情況下該知道的基本觀念。如果你的身分或工作性質讓你面對的是「針對性」的風險——例如社運參與者、跨性別者、記者——VPN 的選擇和使用方式需要更細緻的考量。我們另外寫了一篇進階版:〈好油案給高風險族群的真正教訓〉,會談到威脅情境、身分區隔的具體做法。
總結
VPN 不是隱形斗篷,也不是沒有用的裝飾品。它能做到的事很具體:讓你連線的內容和目的地不被輕易看見;做不到的事也很具體:讓你在使用它的過程中完全不留下任何痕跡。真正決定你隱私程度的,往往不是有沒有裝 VPN,而是你選了哪一家、有沒有從頭到尾維持一致的使用習慣。
資料來源
- 中央社,〈通保法三讀通過 檢方辦案可聲請調取網路流量紀錄〉,2024/7/12
- Rti央廣,〈通保法修正通過 電信業者有義務保存使用者通信紀錄供調取〉,2024/7/12
- 台灣人權促進會,〈監控開大門,國會同意嗎?〉
- TVBS,〈好油案恐嚇靠 VPN 匿蹤!檢警破解追 IP〉,2023/10/3
- 數位時代 BusinessNext,〈Lin bay 好油案|用 Surfshark VPN 能躲避追查嗎?〉



