到底谁能看到你的网络流量？ISP、雇主、政府和网站——用 VPN 与不用 VPN

几乎所有指南都只回答一个狭隘的问题：用了 VPN，我的 ISP 还能看到我的浏览记录吗？ 诚实而简短的答案是：不能——一旦 VPN 隧道建立起来，你的网络运营商看到的只是流向单一地址的加密流量，对你实际访问了哪里一无所知。但仅凭这个答案会产生误导，因为你的 ISP 只是至少五个观察者之一，它们各自盯着你流量的不同片段，而 VPN 只是把盲区挪了个位置，并没有把它抹掉。

本文要补上大多数文章略过的那块拼图：一张完整的可见性地图。我们会沿着数据路径逐一审视每一个观察者——你的 ISP、你的雇主、政府、你访问的网站，以及 VPN 提供商本身——并展示在现代 HTTPS 时代，无论用不用 VPN，每一方究竟能看到什么、看不到什么。有两个发现会让大多数读者意外：企业 VPN 会反转你以为得到的隐私，而托管设备上的终端监控胜过有史以来任何一款 VPN。

可见性地图：到底谁在这条路径上

当你打开一个页面时，你的请求会经过一连串的相关方，每一方都能观测到不同的层次。把它想象成同心圆，而不是单一的窃听者：

• 你的设备——任何安装在上面的东西（你的操作系统、你的浏览器、企业管理软件）都能在数据被加密之前看到一切。这一层永远占上风。

• 你的本地网络——你家里的路由器，或者咖啡馆、机场、办公室的 Wi-Fi，看到的是和你 ISP 同样的网络层元数据。

• 你的 ISP（或移动运营商）——能看到你连接了哪些服务器，以及在过去，你的 DNS 查询。

• 传输途中的任何环节——骨干网络，以及在某些国家，架设在线路上的政府截听点。

• 目标网站——能看到你的 IP 地址，如果你登录还能看到你的账户、你的 Cookie，以及你的浏览器指纹。

• VPN 提供商（仅当你使用 VPN 时）——能看到你 ISP 过去能看到的东西。

VPN 会加密你的设备和 VPN 服务器之间的流量。这对中间几圈有帮助——你的本地网络、你的 ISP、路径上的观察者——但对最内圈（你自己的设备）和最外圈（你登录的那个网站）毫无作用。记住这个形状；下面的每一个答案都由它解释。

HTTPS 基线：在用 VPN 之前就已经被隐藏的东西

大多数人会极大地高估自己在没有 VPN 时的暴露程度，因为他们脑子里想的还是 2010 年那个未加密的网络。如今的网络绝大部分默认都是加密的。根据 Google 的 HTTPS 加密透明度报告，Chrome 中远超 95% 的页面加载是通过 HTTPS 完成的。TLS——也就是 HTTPS 里的那个 S——已经保护了人们最在意的那部分。

在一条 HTTPS 连接上，即便完全不用 VPN，你的 ISP 和路径上的观察者也无法看到以下内容：

• 完整的 URL 路径——例如，他们能看到你访问了 wikipedia.org，但看不到你读的是某个特定疾病的那篇文章。

• 页面内容、你在站内输入的搜索词，以及表单数据。

• 用户名、密码、消息，以及加密正文里的其他一切。

在普通 HTTPS 上他们仍然能看到的是元数据，而这正是 VPN 真正堵上的缺口：

• 你连接的每一台服务器的目标 IP 地址。

• 域名，因为 TLS 握手会通过一个叫 SNI（服务器名称指示）的字段以明文发送服务器名。一个名为 Encrypted Client Hello（ECH）的后继方案能隐藏它，但仍在逐步推广，尚未普及。

• 你的 DNS 查询，如果你通过经典的未加密 53 端口使用 ISP 的默认解析器的话。加密 DNS——DoH（DNS over HTTPS）或 DoT（DNS over TLS）——即便不用 VPN 也能堵上这一点。

• 连接的时间、流量大小和频率——也就是你流量的形态。

VPN 并不是第一次给你的流量加密。HTTPS 早就做到了。VPN 隐藏的是 HTTPS 暴露在外的元数据——主要是你与哪些服务器通信——办法是把一切都通过同一条加密隧道转发。

你的 ISP：用 VPN 与不用 VPN

这是把大多数读者带到这里来的问题，所以我们来精确地回答这两种状态。

不用 VPN

你的 ISP 可以结合 SNI、目标 IP，以及（除非你使用加密 DNS）你的 DNS 查询，编出一份可信的记录，列出你访问过的域名和访问时间。他们读不到 HTTPS 页面的内容，但一份域名加时间戳的清单本身就是一份敏感的浏览画像。在许多司法管辖区，ISP 在法律上被要求把这些元数据保留数月，而在某些地方，他们还被允许将其变现。

用 VPN

隧道一旦建立，你的 ISP 看到的就是一条流向单一 IP 地址——也就是 VPN 服务器——的加密连接，以及流经它的字节的流量大小和时间。仅此而已。他们通常能判断出你正在使用 VPN（目标 IP 属于已知的 VPN 网段，且协议指纹可被识别），但看不到你访问哪些网站、搜索什么、做什么。所以：是的，当一个正常工作的 VPN 处于连接状态时，你的 ISP 看不到你的浏览记录——前提是没有泄露（参见常见问题中关于 DNS 和终止开关的说明）。

企业 VPN 陷阱：工作 VPN 会反转你的隐私

这是这个话题上被误解得最深的一点。商业隐私 VPN 把你的流量转发给一家以不在乎你是谁为己任的提供商。而企业 VPN 把你的流量转发进你雇主的网络——雇主可是非常在乎的。角色被对调了。

当你连上公司 VPN 时，你雇主的网关就成了相当于你 ISP 的角色。取决于配置，它能看到你访问的目标、把它们记录下来，并且——通过企业 TLS 检查——有时还能解密并读取 HTTPS 内容，因为公司在这台托管设备上安装了自己受信任的根证书。工作 VPN 不会给你带来对雇主的隐私；它把你家用 ISP 本来会拥有的可见性，交到了你雇主手里。

而且情况比这还要绝对。在一台公司托管的笔记本或手机上，终端监控胜过任何 VPN，没有例外。MDM（移动设备管理）配置文件以及终端/DLP 代理运行在设备本身——也就是地图最内圈——在任何东西被加密之前、被解密之后。它们能记录访问过的 URL、抓取屏幕截图、记录按键、清点已安装的应用，并强制执行策略，无论你是否通过个人 VPN 建立隧道、使用无痕模式还是切换网络。没有任何网络层工具能把活动对运行在同一台机器上、层级更高的软件隐藏起来。

• 个人设备 + 你自己的家用 Wi-Fi，未连接公司 VPN： 你的雇主基本上什么都看不到。

• 公司托管的设备，无论在哪里、用哪个网络： 就假设你雇主可以看到他们选择监控的任何东西。个人 VPN 改变不了这一点。

• 连接到企业 VPN（或公司 Wi-Fi）的个人设备： 公司能看到经由他们网络转发的目标。

政府：元数据、关联分析与法律请求

政府很少需要去破解加密。他们通过三种机制从地图的边缘下手。

向保存记录的各方发出法律请求。 当局会向 ISP 和 VPN 提供商送达传票、搜查令或数据留存令。ISP 可以交出它保留的连接元数据。VPN 提供商只能交出它实际存储的东西——这正是真正的无日志立场重要的原因：一家提供商无法拿出它从未写下的浏览记录。这也是为什么司法管辖区很重要，因为它决定了一家提供商必须服从哪些法律命令，以及被强制留存什么。

规模化的元数据。 即便一切都加密了，连接的模式——谁在何时连上一个 VPN、连了多久、传输了多少数据——本身就是情报。VPN 把你的目标对本地观察者隐藏起来，但它不会让你隐形；它让你成为连接到那个 VPN 端点的众多人之一。

流量关联。 一个能同时盯住隧道两端的对手——从你到 VPN 的那一段，以及从 VPN 到更广阔互联网的那一段——有时能把流的时间和流量匹配起来，在从不解密任何东西的情况下给一个用户去匿名化。这是所有单跳隧道已知的局限，包括各种 VPN，以及在一定程度上的 Tor。它需要一个强大且位置优越的观察者，但这正是没有任何严肃来源会声称 VPN 能让你对一个民族国家无从追踪的原因。

网站本身依然确切地知道你是谁

VPN 改变的是网站看到的 IP 地址。它对网站识别你的每一种其他方式都无能为力——而对大多数人来说，这些方式远比一个 IP 地址更能暴露身份。

• 已登录的账户。 你登录 Google、Facebook、Amazon 或你的银行的那一刻，就已经精确地告诉了网站你是谁。此时你的 IP 无关紧要。

• Cookie 和跟踪像素。 持久标识符跨站点、跨会话跟着你走，与 IP 无关。同样的那批广告网络嵌入在数百万个页面里。

• 浏览器指纹。 你的屏幕尺寸、字体、时区、语言、GPU 以及其他数十项浏览器属性的组合，往往独特到足以在没有 Cookie、也没有稳定 IP 的情况下重新识别出你。

所以 VPN 提升的是网络层面的匿名性——它阻止网站记录你真实的 IP 和大致位置——但它不是一件身份隐身衣。只要你登录了，你就被认出来了。这就是为什么对 ISP 隐身和对网站隐身是两件不同的事。

你的 VPN 提供商成了你新的 ISP

顺着隧道走到它的另一端。你的流量从 VPN 服务器出来，再从那里走向开放的互联网——这意味着 VPN 提供商恰好坐在你 ISP 过去占据的那个位置上。它能看到你建立的每一条连接的目标，正如你的 ISP 以前能看到的那样。你并没有消除那个被信任的中间人；你只是换了一个人来当。

这就重新定义了整个决定。真正的问题不是VPN 能不能把我藏起来，而是这家提供商是否比我的 ISP 更值得信任，它是否处在能抵抗或限制数据要求的位置上？ 具体来说：

• 无日志立场——这家提供商是否保留连接日志或活动日志，这一说法是否曾被独立审计或现实世界的法庭请求检验过？

• 司法管辖区——这家提供商在哪个国家的法律以及数据留存与监控义务下运营？

• 技术设计——像纯内存（RAM-only）服务器这样的特性能减少可被查封的东西，但它们改变不了提供商在实时状态下能观测到什么。

如果一家提供商靠出售你的数据来维持运营——这是某些免费 VPN 的商业模式——那你可能恰恰把自己本想逃离的那种可见性，交给了一个更糟糕的角色。

直白的答案与一条可操作的结论

针对读者真正会问的三个问题给出直接回应：

1. 用了 VPN，我的 ISP 还能看到我的浏览记录吗？ 不能。在一个正常工作、无泄露的 VPN 下，你的 ISP 只能看到流向 VPN 服务器的加密流量——看不到你访问的网站、你的搜索或页面内容。不用 VPN 时，它能通过 SNI、IP 和 DNS 看到域名和时间，但看不到 HTTPS 内容。

2. 我雇主能看到我在家上网的活动吗？ 只有当你使用公司设备，或者通过企业 VPN/Wi-Fi 连接时才能。在你自己的网络上、用你自己的设备、脱离工作 VPN，你雇主基本上什么都看不到。在一台托管设备上，无论用不用 VPN，终端监控都能看到你的活动。

3. 政府能看到我的 VPN 流量吗？ 他们读不了加密内容，但他们可以向你的 ISP 和 VPN 提供商索取元数据、观察到你在使用 VPN，并且——在有足够强大的观测视角时——尝试流量关联攻击。一家位于隐私友好司法管辖区的无日志提供商，能限制可被交出的东西。

结论就是：让工具与观察者相匹配。处处使用 HTTPS（其实大部分已经是了）和加密 DNS，以缩小你的 ISP 默认能看到的范围。当你的目标明确是要对 ISP、对一个不怀好意的本地网络隐藏目标，或者要改变网站看到的 IP 时，再加上 VPN。永远不要指望个人 VPN 能在一台公司托管的设备上保护你——那场仗在终端就已经输了。还要记住，对网站本身保持匿名是另一门功课，靠的是退出登录、隔离身份和对抗指纹识别——单凭一个 VPN 永远解决不了。

常见问题

用了 VPN，我的 ISP 还能看到我的浏览记录吗？

不能。当一个正常工作的 VPN 处于连接状态时，你的 ISP 只能看到一条流向单一 VPN 服务器 IP 的加密连接，以及数据的时间和流量大小。它看不到你访问哪些网站、你的搜索或页面内容。主要的例外是 DNS 或连接泄露，而终止开关和 VPN 自带的 DNS 正是为防止这种情况而设计的。

用 VPN 和不用 VPN，我的 ISP 各能看到什么？

不用 VPN 时，你的 ISP 能看到你连接的域名（通过 SNI 和目标 IP）以及你的 DNS 查询，但看不到 HTTPS 页面的加密内容。用 VPN 时，这一切都收拢进一条流向 VPN 服务器的加密隧道，所以你的 ISP 只能看到你连上了一个 VPN 以及流过多少数据——而看不到它流向何处。

我雇主能看到我在家上网的活动吗？

这完全取决于设备和连接方式。在你的个人设备上、用你自己的家用网络、脱离企业 VPN，你雇主一般什么都看不到。在一台公司托管的设备上，或者在连接企业 VPN 或公司 Wi-Fi 时，他们能监控你的活动——而且托管设备上的终端或 MDM 软件能看到这些活动，无论你运行任何个人 VPN。

工作 VPN 能给我带来对雇主的隐私吗？

不能——恰恰相反。企业 VPN 把你的流量转发进你雇主的网络，于是它就占据了你家用 ISP 通常占据的位置，能够记录目标，有时还能通过公司安装的证书检查 HTTPS。工作 VPN 保护的是公司的数据，而不是你对公司的隐私。

政府能看到我的 VPN 流量吗？

他们解密不了内容，但他们可以向你的 ISP 和 VPN 提供商送达法律请求来索取元数据、观察到你在使用 VPN，在某些情况下，如果能盯住隧道两端，还能进行流量关联分析。一家位于隐私友好司法管辖区的真正无日志提供商，能限制可供交出的东西，因为一家提供商只能披露它实际保留的记录。

如果 VPN 隐藏了我的 IP，为什么网站还是知道我是谁？

VPN 只改变网站看到的 IP 地址。它阻止不了网站通过已登录的账户、Cookie 和跟踪像素，或浏览器指纹——也就是你浏览器和设备设置的独特组合——来识别你。你登录的那一刻，你的 IP 就无关紧要了，这正是网络匿名和身份匿名是两个独立问题的原因。

我的 VPN 提供商能看到我 ISP 过去能看到的一切吗？

能。你的流量在 VPN 服务器处离开隧道，所以提供商恰好坐在你 ISP 曾经所在的位置，能看到你的连接目标。这就是为什么真正的问题在于这家提供商的无日志立场、它是否经过独立审计，以及它的法律司法管辖区——你是在选择一个新的可信中间人，而不是消除一个。