VPN信息泄露调查与私密数据披露责任说明｜NetBridgeGuide

top of page

Responsible Disclosure

我们在做什么？

作为我们在互联网隐私与安全研究的一部分，我们会持续监测 VPN 服务提供商是否发生数据泄露事件，并在具有重大公共利益的前提下，对相关数据泄露事件进行报道。

为什么我们要这样做？

我们披露 VPN 数据泄露事件的原因在于：

推动我们“让互联网隐私安全变得简单易用”的使命，我们坚信这是一项基本人权。

让 VPN 用户知晓其个人数据是否遭到泄露，从而对是否继续信任该服务做出明智判断。

提高用户对 VPN 服务所掌握个人数据种类与数量的认知。

教育大众理解个人数据的价值与保护其数据的重要性。

让 VPN 服务提供商对其数据处理行为承担责任。

推动所有涉及敏感数据的实体提高数据保护标准，惠及用户与整个社会。

在私下通知后，借助平台影响力扩大事件影响，促进公共监督。

减少互联网上未加保护的数据数量，防止其被恶意使用。

提高公众对不安全 VPN 产品的警觉，间接提升优质、安全 VPN 服务的可见度。

我们如何确保以负责任方式行事？

我们的调查人员为新闻从业人员，并遵守英国国家记者联盟（NUJ）行为准则。

我们严格遵守本页面列出的负责任披露和数据保护政策。

我们仅在完成妥善的私下披露流程、确认数据已被妥善处理后，才会发布披露报告。

我们仅披露通过合法、公开、无需任何凭证或授权即可访问的方式发现的数据漏洞。我们绝不使用破解、暴力破解、逆向工程等 “黑帽” 技术。

我们承诺如实报告事件细节，包括漏洞性质、发现与披露时间线。如有事实错误，将及时更正。

我们绝不会公开任何用户个人数据。

仅在符合公共利益的前提下，我们才会发布披露报告。

我们不会接受金钱或其他好处，以换取信息不公开。

负责任披露政策全文

1. 简介

在正常的 VPN 研究工作中，我们可能会发现某些 VPN 服务将用户的私人数据意外暴露在公开环境中。这些数据无需工具或授权即可访问，任何人都可能获取。我们遵循负责任披露原则，会在发现此类情况后尽快通知相关方，确保受影响用户能及时采取措施防止诈骗、身份盗用，或在极端情况下避免来自极权政权的生命与自由威胁。

当 VPN 提供商积极回应、快速修复问题时，相关数据即可避免被恶意利用或流入暗网。我们也希望通过此行为，促使 VPN 行业整体提高安全标准。

如需联系此类披露问题，请电邮：contact.mail@ectime.com

1.1 核心目标

本政策适用于我们全球范围内发现的所有 VPN 数据泄露事件，目标包括：

合法及时地发现包含用户个人信息的数据集。

保护个人隐私权，支持《联合国人权宣言》中规定的基本人权。

与出现数据泄露的 VPN 服务提供商保持沟通，协助其及时修复。

平衡公众利益与企业权益，推动行业更加透明。

鼓励 VPN 服务商主动通知受影响用户，如其未履行此义务，我们将自行告知公众。

遵守所有适用的数据保护法规。

1.2 披露方式与原因

我们会通过“私下披露优先，公共披露备选”的方式进行漏洞处理。

1.2.1 私下披露

私下将数据泄露通知相关服务方，有助于其及时修复问题。我们在沟通过程中始终保持诚实透明，不歪曲事实。

理想流程如下：

我们发现数据泄露，私下联系 VPN 服务商；

对方及时修复问题并通知受影响用户；

双方协商达成一致后，再进行公共披露。

1.2.2 公开披露

如服务商无回应或修复不力，我们将公开发布披露报告。目的如下：

使受影响用户知情；

在无法确认数据归属方时，通过公开曝光协助识别；

借助公众监督促进 VPN 运营者履责；

抵制假消息，防止误导；

提高社会对 VPN 数据保护问题的关注；

倡导透明、可信的处理方式。

我们也建议服务商主动发布自己的声明，并向用户致歉与说明。

2. 政策细则
2.1 原则

仅使用合法、公开方式获取数据；

尽量避免查看用户敏感数据；

不干扰目标服务系统的正常运行；

遵守数据最小化原则；

优先进行私下披露；

不以经济利益为目的，不收取报酬；

如有需要可与安全专家、执法机关等合作。

2.2 发现与披露流程

所有发现均基于公开访问权限；

我们将合理验证数据真实性；

努力确认数据归属方；

优先联系对方官方渠道；

不保留或发布包含个人数据的原始信息；

一般将在通知后等待 7～30 天，视事件严重性与响应速度而定；

若对方拒不处理或拒绝通知用户，我们将自行公开披露；

披露内容包括：VPN 名称、数据类型、技术漏洞、曝光时长、影响人数等；

如服务商积极回应，我们愿意共同发布公开说明。

2.3 VPN 服务商期望行为

在接到通知后迅速修复漏洞；

尽快通知受影响用户；

主动发布说明，说明补救措施与安全提升；

在公告中提及我们协助发现漏洞的贡献；

吸取经验，避免同类问题再次发生。

2.4 标准流程参考

发现疑似泄露数据；

核实数据类型与归属；

通过公开渠道联系服务商；

建立加密通讯，告知全部细节；

若无回应，将发起多轮通知；

若问题被修复且已通知用户，我们会协助撰写披露报告；

双方分别或联合发布公告，完成闭环。

bottom of page