最能保障「数字主权」的 VPS 公司

我观看了一场名为「后美国互联网」的 演讲，实在是精彩，让我对「数字主权」这一概念有了更深刻的认知。借此，我发现我的许多服务依然部署在美国的 PaaS 服务上。这类中心化的服务如果出问题了会很麻烦，参考去年 Cloudflare 的事故。而我愈来愈对美国企业产生抵触之心。不过要我完全逃离是很难做到的，毕竟我人就在美国。这些原因结合在一起，促使我对「哪家提供 VPS（虚拟专用服务器）服务的公司最适用于数字主权者」这一命题感到好奇。

---

首先我需要确立一个核心的排他性原则： 任何受 《美国爱国者法》 和 CLOUD Act 管辖的实体必须被彻底剔除。

这不仅仅是因为数据隐私问题，更是管辖权层面的问题：CLOUD Act 赋予美国执法机构长臂管辖权，无论服务器物理位置在何处，只要控制着是美国企业，数据即被视为处于美国管辖之下。因此，AWS、Google Cloud、DigitalOcean、Vultr 等主流厂商在第一轮筛选中即宣告出局。

为了让后续对其他厂商的筛选带有令人信服的法理依据，我打算剖析美国法律体系来确立负面清单的标准。这也是为了还没有怎么接触过「数字主权」一概念的读者们可以更明白为什么我的选择是这个、为什么是哪个。

在 2018 年之前，微软曾经以「数据不存储在美国境内」为由， 拒绝向美国政府移交存储在爱尔兰的数据。这时候，大家都普遍认为数据存储在美国境外可以规避美国的搜查令。然而 CLOUD Act 的签署彻底摧毁了这一避风港。该法案确立了一个核心原则，即 数据的管辖权不再取决于数据的物理存储位置，而取决于数据控制者的注册地。

这意味着，只要一家公司是在美国注册的实体，或者该公司在美国有业务运营，无论它将你的数据存储在东京、伦敦还是南极，美国执法机构都有权要求其移交数据。

对于大多数人而言，这是一个巨大的认知误区 —— 许多人误以为选择了 AWS 的德国区就受到了 GDPR 的绝对保护。

为了防止有读者不理解这些术语，我将在本篇以「问为什么之前先问是不是」这一形式来构建完整的因果链条。

GDPR（General Data Protection Regulation，通用资料保护规则）是欧盟于 2018 年生效的一项法律法规，被公认为全球史上最严厉、最全面的隐私保护法。它的核心宗旨是让公民重新掌控自己的个人数据。GDPR 规定了数据控制者必须如何收集、存储和处理数据，并赋予了用户一系列强大的权利，例如 被遗忘权 和 数据可携带权。德国作为欧盟的核心成员国，自然完全受 GDPR 管辖。

事实是，由于 AWS 是美国公司，当美国法律与欧盟法律冲突时，AWS 必须优先响应母国的要求，否则将面临本土的巨额罚款或制裁。因此，对于美国主流厂商而言，物理位置的隔离在法律层面是无效的。

CLOUD Act 针对刑事调查也就算了， FISA Section 702 还针对大规模的国家安全情报收集。FISA（Foreign Intelligent Surveillance Act，外国情报监视法）是美国于 1978 年颁布的一项联邦法律。它的初衷是为了规范美国政府在进行针对外国势力和外国代理人的情报收集时的行为。在早期，如果美国情报机构想要监听境内的通讯，必须经过一个秘密法庭的批准。这在当时是为了防止政府滥用权力。而 FISA Section 702 是该法案在 2008 年增加的一个修正案，允许美国情报机构在无需获得任何具体法院搜查令的情况下，直接对位于美国境外的非美国公民进行大规模监控。

这是 PRISM （棱镜计划） 的法律基础。NSA（国家安全局）基于 Section 702 法律授权实施了这个大规模电子监听项目。2013 年该项目被 Edward Snowden 曝光。根据 Snowden 披露的文件，PRISM 允许 NSA 直接接入美国互联网巨头的中心服务器。

当你使用美国厂商的服务时，从法律层面讲，你已经默认放弃了对抗美国情报机构窥探的权利。更为不幸的是，这类提取往往伴随着严格的保密指令，服务商不仅必须配合，而且被法律禁止告知用户数据已被查看。这种不透明性使得用户根本无法知晓自己的主权何时被侵犯。

抛开国家层面的法律，仅从商业合同来看，美国主流厂商的条款也充满了对用户主权的剥夺。最典型的陷阱在于 单方面终止权。如果仔细阅读 AWS 或者 Google Cloud 的条款，你会发现它们通常包含类似「我们保留在任何时间、出于任何原因（或无须理由）终止服务或拒绝访问的权利」的表述。这种条款赋予了企业凌驾于用户之上的绝对权力。即使你的内容完全合法，只要触发了其自动风控算法，或者你的内容不符合其模糊的社会准则（注意，并非法律），你的账号及其中的所有数据可能在瞬间被封锁，且往往没有申诉通道。

此外，关于 可接受使用策略，美国厂商通常会加入极其模糊的道德审查标准，例如禁止「令人反感的内容」。这是一个极其危险的口袋条款，因为「反感」是一个主观的感觉，它的解释权完全掌握在公司手中，而非由法院裁定。

说了这么多，理解起来可能依然很困难。作为实操案例，我分析和解读一下 AWS 的隐私条款。

AWS 将数据严格划分为两类：个人信息和上传到服务器的数据。前者受这份隐私条款管辖；对于后者，AWS 则在法律上认定自己只是处理者、用户才是控制者。因此，关于如何收集、使用、分享的条款统统不适用于用户服务器里的文件。如果数据被泄露，或者被 AWS 删除，都和这份隐私政策无关，需要去查阅其他条款和协议（内容太多暂且不做）。

AWS 都会拿我们的个人信息做什么呢？除了和改进 AWS 内部的产品有关外，就是推广推广推广 —— 推广自己的产品，也会推广其他公司的产品，简称「打广告」。证据例如：

We use your personal information to market, advertise, and promote AWS Offerings.

我们使用您的个人信息来营销、宣传和推广 AWS 产品。

法律相关的表述中，AWS 这么说道：

In certain cases, we have a legal obligation to collect, use, or retain your personal information. For example, we collect bank account information from AWS Marketplace sellers for identity verification.

在某些情况下，我们负有法律义务收集、使用或保留您的个人信息。例如，我们会收集 AWS Marketplace 卖家银行账户信息以进行身份验证。

这是很常见的陷阱表达： in certain cases，什么 certain case？「某些情况」是哪些情况？在没有明确说明的情况下，这个「某些情况」是完全受 AWS 主观判断而决定的。同样的表达也可以见：

We release account and other personal information when we believe release is appropriate to comply with the law, enforce or apply our terms and other agreements, or protect the rights, property, or security of AWS, our customers, or others. This includes exchanging information with other companies and organizations for fraud prevention and detection and credit risk reduction.

当我们在认为公开信息有助于遵守法律、执行或应用我们的条款及其他协议，或保护 AWS、我们的客户或其他人的权利、财产或安全时，我们会公开账户和其他个人信息。这包括与公司及组织交换信息，以进行欺诈预防和检测以及信用风险降低。

When we believe 、 comply with the law 是一个又一个的陷阱。只需要 AWS 内部的法务团队认为合适，他们就可以移交数据，将 司法裁定权 私有化。

没有国界限制的「法律适用」也是危险的。对于美国而言，这默认包含美国法律。这意味着为了遵守美国法律，他们可以出卖非美国用户的数据。

先前我说过，数据实际在什么位置根本不重要，这里 AWS 就给了我们一个很好的例子：

We share personal information only as described below and with Amazon.com, Inc. and the affiliates that Amazon.com, Inc. controls that are either subject to this Privacy Notice or follow practices at least protective as those described in this Privacy Notice.

我们仅按照下述方式分享个人信息，并与亚马逊公司（Amazon.com, Inc.）及其控制的附属公司分享。这些附属公司要么受本隐私声明的约束，要么遵循与本隐私声明中描述的实践至少具有同等保护性的实践。

AWS 承认了数据会被合法流向 Amazon.com，即美国母公司，或者其他附属公司。只要在这个链条中有一个实体受美国管辖 —— 显然母公司受管辖 —— 整个数据池就受管辖。无论你是在 AWS 的哪个分公司注册，结果都是如此。

还有一点是 AWS 并不独立完成所有工作，它依赖一个庞大的第三方供应商网络。即使 AWS 发誓不看我们的数据，但它还是把我们的数据交给了第三方。根据 短板效应，美国执法机构也不用找 AWS，只要找下游供应商就好了。你的安全程度取决于整套供应链中最弱的一环。

We employ other companies and individuals to perform functions on our behalf. Examples include: delivering AWS hardware, sending communications, processing payments, assessing credit and compliance risks, analyzing data, providing marketing and sales assistance (including advertising and event management), conducting customer relationship management, and providing training. These third-party service providers have access to personal information needed to perform their functions, but may not use it for other purposes. Further, they must process that information in accordance with this Privacy Notice and as permitted by applicable data protection law.

我们聘请其他公司和个人代表我们执行职能。例如：交付 AWS 硬件、发送通信、处理付款、评估信用和合规风险、分析数据、提供营销和销售支持（包括广告和活动管理）、进行客户关系管理以及提供培训。这些第三方服务提供商可以访问其履行职能所需的个人信息，但不得将其用于其他目的。此外，他们必须根据本隐私声明以及适用数据保护法的规定处理这些信息。

注意，这里的「不得将其用于其他目的」仅是用于合同约束。只要数据流出，对用户来说就一定存在着潜在风险。这段话对 AWS 来说更多是免责说明。并且最后的「适用数据保护法」依然表明了美国政府可以向下游供应商索要数据。

尽管 AWS 开头就说：

Information about our customers is an important part of our business and we are not in the business of selling our customers』personal information to others.

关于我们客户的信息是我们业务的重要组成部分，我们不从事将客户的个人信息出售给他人。

但它也没说自己不共享用户数据啊。这是一个相当经典的商业诡辩：无论是「卖」还是「共享」，对于用户而言自己的数据就是被脱离出了原本的隔壁环境，进入了不可控的第三方手中。

一个有意思的题外话：韩国拥有全球最严格、最注重形式主义细节的数据保护法 PIPA （Personal Information Protection Act，个人信息保护法）。第 17 条里表示：

(2) A personal information controller shall inform a data subject of the following matters when it obtains
the consent under paragraph (1) 1. The same shall apply when any of the following is modified:

1. The recipient of personal information;
2. The purpose for which the recipient of personal information uses such information;
3. Particulars of personal information to be provided;
4. The period during which the recipient retains and uses personal information;
5. The fact that the data subject is entitled to deny consent, and disadvantages, if any, resulting from the
   denial of consent.

(2）个人信息处理者在依据第（1）款第 1 项取得同意时，应当向信息主体告知下列事项；下列事项发生变更时，亦同：

1. 个人信息的接收方；
2. 个人信息接收方使用该信息的目的；
3. 拟提供的个人信息具体项目；
4. 接收方保有及使用个人信息的期间；
5. 信息主体有权拒绝同意的事实，以及因拒绝同意而产生的不利后果（如有）。

(3)……obtain the consent from the data subject in order to provide personal information to a third party overseas……

(3)…… 为了向海外第三方提供个人信息…… 应获得数据主体的同意……

这导致 AWS 在对韩国的额外说明里，揭露了其全球运营的真实后台架构。实际使用的第三方服务商名单见隐私条款内的 South Korea 区域。

虽然这份名单名义上只针对韩国，但云服务商的后台架构通常是全球统一的。AWS 不太可能专门为韩国搭建一套独立的 Salesforce 或 Marketo 系统，也不太可能只在韩国使用 Paymentech，而在其他地区完全自研。因此，我合理推断这份名单实际上就是 AWS 在全球范围内通用的第三方供应商名单。

这样我们就能得知：

• AWS 的客户关系管理直接被托管在 Salesforce 的美国服务器上；
• 哪怕用本地信用卡支付，结算的底层通道和记录依然与美国的金融系统紧密相连，因为 Paymentech（JPMorgan Chase）的地址为美国，而根据《美国爱国者法》金融数据是重点监控对象；
• 表格中明确列出传输的项目包括「必要时通过信息网络传输数据」，意味着只要业务需要，数据就会跨境流动，完全无视物理距离。

现在大致地阅读了 AWS 的隐私条款后，我认为作为读者的你多多少少也应该明白什么样的话是陷阱了。用同样的规则去阅读其他公司的隐私条款，很容易就可以觉察出各种不对劲。

我将「数字主权」定义为：用户对存储的数据拥有排他性的控制权，且该控制权仅受服务器物理所在地的当地法律约束，不受第三方国家的长臂管辖干扰。

自然，你喜欢哪一类都没有对错之分。我希望我的研究是可以帮助你找到理想中的那个「它」，而不是让你感觉你是否选错了公司。

我将从隐私政策、服务条款以及公司注册地与物理设施管辖权三个维度进行解构。不过这些并非所有提供 VPS 的服务商，只是出于篇幅，暂时只看了这些公司的文档。

1984 Hosting

1984 Hosting 通常被视为「数字主权」界的标杆，但如果仔细阅读它的 Terms of Service，会发现它并非像某些人想象的那样是一个无法无天的法外之地。相反，它确实提供了极高的国家级防御，但在操作界面和道德条款上埋下了不少陷阱。

条款里相比于 AWS 模糊的「适用法律」，1984 Hosting 明确指定了冰岛法律。

These Terms are governed by Icelandic law. Disputes arising from these Terms shall be brought before the Reykjavík District Court.

本条款受冰岛法律管辖。由此条款引起的争议应提交给雷克雅未克地方法院。

美国政府想要获取服务器内的数据的话必须通过 MLAT 让雷克雅未克地方法院认可并签发本地搜查令。MLAT（Mutual legal assitance treaty，相互法律援助条约）是两个国家之间签署的一种双边协议，用于在刑事调查中交换证据和信息。虽然 CLOUD Act 声称对美国公司拥有全球管辖权，但是 1984 Hosting 是一家纯粹的冰岛公司，和美国没有一点关系。因此美国想要数据，只能请求冰岛政府协助。

而冰岛法律拥有 IMMI，要让冰岛法官签发针对媒体或言论的搜查令，难度极高。IMMI（Icelandic Modern Media Initiative）是冰岛协会在 2010 年一致通过的一项决议，其目的是将冰岛打造为全球新闻自由和言论自由的避风港。根据 MLAT 中的 双重犯罪原则，如果美国的指控在冰岛法律下被视为受保护的言论自由而非犯罪，冰岛法院将拒绝签发搜查令。

说了优点，现在来说说缺点。很多追求「数字主权」的用户误以为 1984 Hosting 等于匿名抗审查，但它其实会明确记录用户的真实姓名和电话号码。

When a service agreement is concluded between the Subscriber and 1984 ehf., the following information from the Subscriber will be recorded: (1) the Subscriber's name; (2) the Subscriber's active e-mail address; (3) any user name selected by the Subscriber; (4) the Subscriber's password(s); (5) the Subscriber's active telephone number; and (6) payment details, i.e. address, means of payment, etc., in accordance with the laws on the handling of such information and 7) PIN number selected by customer

当订户与 1984 ehf. 订立服务协议时，将记录下列来自订户的信息：(1）订户的姓名；(2）订户的有效电子邮件地址；(3）订户选择的任何用户名；(4）订户的密码；(5）订户的有效电话号码；(6）支付详情，即地址、支付方式等（依照处理此类信息的相关法律规定）；以及（7）客户选择的 PIN 码。

如果试图提供虚假信息，你便违反了保证条款，他们有权关停服务：

In addition, the Subscriber represents and warrants that all information provided by the Subscriber to 1984 ehf. is accurate, complete and current upon renewal and registration of services. The Subscriber represents and warrants that the Subscriber will inform 1984 ehf. of any changes to such information so as to ensure that 1984 ehf. always has accurate, complete and current information.

此外，订户陈述并保证，其向 1984 ehf. 提供的所有信息在服务续约和注册时均准确、完整且为最新版本。订户陈述并保证将通知 1984 ehf. 此类信息的任何变更，以确保 1984 ehf. 始终掌握准确、完整且最新的信息。

虽然 1984 Hosting 标榜言论自由，但他们同样保留了极大的主观裁量权。根据 Sec 8.02，他们禁止「任何 1984 ehf. 认为是非法、有害或在道德上令人反感的材料」。

Offering, selling or showing, or providing links to other websites offering, selling or showing the following is prohibited: (a) habit-forming or narcotic substances or related services; (b) weapons; (c) copyrighted materials that the Subscriber is not entitled to offer or sell; (d) information used to violate the copyrights or trademarks of others; (e) information used to manufacture, make or provide illegal goods or weapons; (f) pornography or sexual products; (g) file sharing; (h) pharmaceuticals; (i) any materials or information that are, in the opinion of 1984 ehf., illegal, harmful or ethically objectionable.

禁止提供、销售或展示下列内容，亦禁止提供链接指向提供、销售或展示下列内容的其他网站：(a）成瘾性物质、麻醉药品或相关服务；(b）武器；(c）订户无权提供或销售的受版权保护的材料；(d）用于侵犯他人版权或商标的信息；(e）用于制造、制作或提供非法物品或武器的信息；(f）色情内容或性产品；(g）文件共享；(h）医药产品；(i）任何经 1984 ehf. 认定为非法、有害或在道德上令人反感的材料或信息。

冰岛法律对色情内容有严格限制，所以做成人内容或者边缘内容的用户会被直接 pass 掉。而「道德上令人反感」是一个口袋条款。什么是「道德上反感」？解释权完全归 1984 Hosting 所有，这与「绝对的言论自由」是有出入的。

1984 Hosting 也和 AWS 一样，给自己预留了完全的决定权 —— 只要他们认为你的材料有害，就可以不需要经过法院审判而直接停止向用户提供服务（见 Sec 8.04）。

一个较为恶趣味的设计是，如果想要退订 1984 Hosting 的服务的话，必须在订阅到期的 16 天前向他们发送电子邮件（见 Sec 2.04）。

基于上述分析，1984 Hosting 的「数字主权」建立在冰岛法律之上，而不是建立在 无政府主义 之上。如果你的内容对美国而言是有问题，但在冰岛没问题的话，可以尝试一下 1984 Hosting。

在价格方面，一个 1 GB RAM、单 CPU、25 GB 硬盘内存的 VPS 是每月 7.6 欧元，折合 9 美元，或者说 63 人民币。

OrangeWebsite

OrangeWebsite 很喜欢强调自己「在冰岛」这一身份。那么它的 隐私条款 可以证明它够「冰岛」么？

We do not disclose any personal information obtained about you from this website to third parties. We may use the information to keep in contact with you and inform you of developments associated with our business. We do not release any information to foreign authorities or agencies. We only release any personal data or any data saved on our servers with valid Icelandic court order or similar order from Icelandic authorities if it's not stated otherwise in this document.

We disclose the necessary personal data with 3rd party service providers, such as domain registrars and SSL-certificate registrars. Our client will be however informed about this before disclosure.

我们不会向第三方披露我们从本网站获取的您的任何个人信息。我们可能会使用这些信息与您保持联系，并向您告知与我们业务相关的最新动态。我们不会向外国当局或机构披露任何信息。除非本文档另有规定，否则我们仅凭有效的冰岛法院命令或冰岛当局的类似命令才会披露任何个人数据或保存在我们服务器上的任何数据。

我们向第三方服务提供商披露必要个人数据，例如域名注册商和 SSL 证书注册商。但是，我们的客户将在披露前被告知此事。

可以看出，OrangeWebsite 明确表示其法律根基完全扎根于冰岛，受到全球最严格隐私法之一的保护。

有意思的是，如果任何第三方就客户的个人详细信息联系 OrangeWebsite，他们会保留通知客户此类行动的权利。要知道，大多数美国服务商会受到禁言令的限制，被迫在秘密中移交数据且禁止通知用户。能把通知用户的权利写进隐私政策，很是豪爽喔。

虽然在法律防御上很强硬，但在数据收集层面上，这份文档显示他们依然遵循传统的商业 ISP 模式。OrangeWebsite 会收集完整的计费信息字段，虽然没说必须验证真伪，但也没说使用假的也可以。

文档也承认 orangewebsite.com 上使用了自动化营销工具收集数据，但强调在 secure.orangewebsite.com 上不收集。意味着他们会追踪访客的营销数据，但是不会监控已登录用户的后台操作。

支付方面，文档并没有提及加密货币。如果只支持信用卡和 PayPal 的话，那么资金流向就是实名的。这一点需要阅读其他文档来确认。

要知道更多，必须去阅读 Terms of Service。里面提到，OrangeWebsite 虽然支持加密货币支付，但是是用的是 BitPay 和 CoinPayments。前者是业界最著名的合约狂魔，在许多情况下会强制要求付款人上传护照照片进行 KYC，否则拒绝处理交易 —— 加密了个寂寞！如果付钱给 OrangeWebsite，你便有可能必须把护照交给美国公司。后者 CoinPayments 相对宽松点，但依然是第三方。

至于能否提供假的个人信息，答案是「否」，只是没有强制验证而已。平时是没人管，但要是出问题被发现了，他们可以以此为由封锁用户账号，且不退款。

合法的成人内容在冰岛通常是被允许的，OrangeWebsite 的条款没有明确禁止合法成人内容，只提及了儿童色情。这一点依然需要进一步确认。

文档中也没有提及到 Tor。在主机行业，未明确允许即默认为高风险。结合 Sec 3.3，运行 Tor 出口节点极易被判定为扫描或滥用。建议默认其不支持 Tor 出口节点，除非咨询客服获得书面许可。

一些有趣的点：没买防御却被打，想临时加防御的话需要先交 200 欧元罚款；除非用户授权，否则 OrangeWebsite 是不会碰服务器的，包括维护系统时。

FlokiNET

阅读了一些隐私条款后，FlokiNET 的 隐私条款 中的一些内容我想只要看到就能发现陷阱。

例如：

FlokiNET considers any information that can be used to directly or indirectly identify you to be Personal Data, including, without limitation, Personal Data that is accessed, collected, maintained, transmitted and/or used by FlokiNET in the normal course of our business and is subject to the provisions of this Privacy Policy and applicable law.

FlokiNET 将任何可用于直接或间接识别您的信息视为个人数据，包括但不限于 FlokiNET 在正常业务过程中访问、收集、维护、传输和 / 或使用的个人数据，并且该等数据受本隐私政策和适用法律的约束。

FlokiNET will ensure that appropriate security measures are in place and that confidentiality is maintained to protect your personal information in accordance with applicable laws and regulations.

FlokiNET 将确保采取适当的安全措施并保持机密性，以根据适用法律法规保护您的个人信息。

If you breach the Terms of Service or any other applicable service level agreement, or if FlokiNET is required to disclose or share your personal data in order to comply with any legal obligation, FlokiNET may disclose your information to a relevant authority. In particular, FlokiNET may disclose the information it collects to third parties if FlokiNET believes that disclosure is appropriate to comply with the law, to enforce its legal rights, or to protect the rights or safety of others.

如果您违反服务条款或任何其他适用的服务级别协议，或者 FlokiNET 为遵守任何法律义务而被要求披露或共享您的个人数据，FlokiNET 可以向相关部门披露您的信息。特别是，如果 FlokiNET 认为披露信息有助于遵守法律、执行其合法权利或保护他人权利或安全，FlokiNET 可以向第三方披露其收集的信息。

等等等等（提示：「适用」！）。

那我们只来看一些有趣的地方：

Customer data (data stored on the server) is stored in accordance with applicable law and requires a court order from the country in which it is stored in order to be disclosed.

客户数据（存储在服务器上的数据）的存储须符合适用法律，且披露该数据需要获得数据存储所在国家的法院命令。

后半句很关键，因为它明确了数据主权随物理位置而定。如果用户的服务器选在冰岛，FlokiNET 就只认冰岛法院的命令；选在罗马尼亚，只认罗马尼亚法院的命令。这意味着 用户必须明智地选择数据中心位置。这一点往往会被忽略，以为只要是 FlokiNET 就全都一样安全。

言论自由主机从来都不等同于匿名主机，FlokiNET 就是一个例子。它会收集用户的信息，且不单单指代用户的注册信息，还有访客的指纹。

FlokiNET 还会存储账单记录足足七年，就算是比特币交易哈希也会被存储：

You may cancel your account at any time and request that your personal information be deleted from our databases, except for any accounting records of purchases, which we are required by law to retain for 7 years, network access logs, which we may retain for any period of time at our discretion, in cases where there are outstanding financial obligations or in cases where illegal activity is suspected (as determined by FlokiNET management or law enforcement officials), in which case personal information may be retained indefinitely for the purposes of ongoing investigation and prevention of recurrence of fraud, or in cases where a breach of the Terms and Conditions and applicable Service Level Agreement has resulted in the termination of your account (as defined by revocation of your permission to use FlokiNET's services), in which case personal information may be retained indefinitely for the purposes of preventing further use of FlokiNET's services by the offending individual.

您可以随时取消您的账户，并要求从我们的数据库中删除您的个人信息，但出于会计记录的购买记录除外，根据法律规定，我们必须保留 7 年；网络访问日志，我们可以自行决定在任何时期保留，在存在未偿还的财务义务的情况下，或在怀疑存在非法活动的情况下（由 FlokiNET 管理层或执法官员确定），在这种情况下，个人信息可能会被无限期保留，以用于正在进行的调查和防止欺诈再次发生；或在违反了服务条款和适用的服务级别协议导致您的账户被终止的情况下（定义为撤销您使用 FlokiNET 服务的权限），在这种情况下，个人信息可能会被无限期保留，以防止违规个人进一步使用 FlokiNET 的服务。

「自行决定」是法律上的流氓条款。FlokiNET 明确表示他们会留日志，而且想留多久留多久。这通常是为了应对执法部门的溯源要求。

FlokiNET 也会无限期保留违规的用户信息。注意，这里的「违规」也包括「怀疑存在违规行为」这一主观想法。无限期保留的缺陷便是你无法通过注销账号来行使被遗忘权。

关于支付，FlokiNET 使用的是第三方支付，这包含了面向智利或全球的 Paygol、面向冰岛的 Borgun（现更名为 SaltPay），以及面向冰岛国家银行的 Landsbankinn。这三家都是受严格金融监管的实体，必定遵守 AML （Anti-money Laundering，反洗钱）规定，将数据直通给政府。

说到 AML，就必须说到该法规强制要求机构们执行的两个关键动作：

1. KYC（Know Your Customer，了解你的客户）：必须验证付款人的真实身份；
2. SAR（Suspicious Activity Reports，可疑活动报告）：必须监控交易流向。

凡是提及遵守 AML / KYC 的支付方式，都等同于实名支付。而在 AML 框架下的金融数据，隐私保护等级极低。只要执法机构以调查洗钱或资助恐怖主义为由调取数据，这些支付机构不仅必须配合，而且往往设有专门的自动化接口来对接政府查询。

因此， 在金融世界里，不存在法外之地的支付通道，尤其是涉及到信用卡和银行转账（再尤其是 Visa 和 Mastercard 的授权收单机构）时。

FlokiNET 目前提供四个区：罗马尼亚、冰岛、荷兰以及芬兰（未来会提供新加坡）。这四个区的价格各不相同，但单核、1 GB RAM、20 GB 硬盘空间的 VPS 大致在每月 7.99 到 10.99 欧元之间，折合 9.5 到 13 美元，或者 66.5 到 91.5 人民币。

Njalla

Njalla 的 条款 是「数字主权」领域中最激进的条款之一，得利于它的法律隔离层。不同于传统服务商试图平衡合规与隐私，Njalla 采用了一种替代所有权的模式来规避管辖。

首先 Njalla 的运营实体位于尼维斯，是加勒比海的一个小岛，也是著名的离岸避税天堂和隐私堡垒。尼维斯法律对公司信息的保密性极高，且不执行美国或欧盟的民事判决。这意味着版权流氓想要起诉 Njalla 索要用户数据几乎是不可能的，因为当地法院根本不承认这些外国的民事诉求。

不过条款中并未披露服务器的物理位置。虽然公司在尼维斯，但服务器可能位于瑞典、芬兰或其他欧洲国家。根据 属地管辖权，服务器所在地的执法机构依然有权直接扣押物理服务器。Njalla 的防御仅限于法律文书层面，而非物理设施层面。

其次 Njalla 不需要用户实名制，甚至都不需要邮箱，仅需一个 XMPP（一种去中心化的即时通讯协议）地址即可注册。

在 Sec 6.4 中，Njalla 还嘲讽了 GDPR，认为真正的隐私并非「合规地处理数据」，而是「根本不收集数据」。这种态度表明他们不会主动配合常规的数据保留指令。

较为有争议性的是 Sec 3.3。在 WHOIS 数据库和法律层面，域名或服务器的所有者是 Njalla，而非用户。好处是这实现了完美的隐私，因为在公网记录里你根本不存在，没人能查到你的名字；坏处是如果 Njalla 跑路、倒闭或者恶意侵占，你在法律上很难证明这个资产是你的。

说完优点来说缺点。Njalla 的条款内有一些陷阱：在 Sec 9.2 中，他们也使用了「任何适用法律」这样的词汇，且没有限定是尼维斯法律。如果服务器位于瑞典，瑞典警方的要求也属于适用法律。

needed to comply with any applicable laws, government rules, requests of law enforcement, court orders or public authorities;
it is in compliance with any dispute resolution process;
to avoid any potential civil or criminal liability; or
your use of the Services in any other way incurs damage on the Services or Njalla or entails a risk thereof.

需要遵守任何适用的法律、政府规定、执法部门的要求、法院命令或公共当局的要求；
符合任何争议解决程序；
为避免任何潜在的民事或刑事责任；或
您以其他任何方式使用本服务均会对本服务或 Njalla 造成损害或带来风险。

「执法请求」一词意味着仅仅是警方的请求就足以让 Njalla 关停你的服务。以及绝对免责条款：只要 Njalla 觉得你的存在可能让他们惹上官司，他们就可以先下手为强把你关了。尽管他们由海盗湾创始人建立，但他们并不打算为了你而在法庭上死磕。

Njalla 并不是一个传统的 VPS 服务商，它更像是个匿名代理中介。如果你是极度需要隐藏身份的用户，且主要受来自民事诉讼或非国家级的骚扰的话，可以尝试一下 Njalla。

在价格方面，Njalla 一个单核、1.5 GB RAM、15 GB 硬盘空间、1.5 TB 流量的 VPS 每个月是 15 欧元，折合近 18 美元，或者说近 125 人民币。

Privex

Privex 的 隐私条款 很是简短，因为它实行了 数据极简主义 —— 如果根本不收集数据，那就不需要写几千字来说明你如何处理数据。

不过虽然看起来很美，但依然存在需要警惕的盲区。

阅读隐私条款时最可怕的并不是它写了什么，而是它没写什么。Privex 的隐私条款就完全没有提及它的注册实体在哪里，也没有提及适用的法律管辖区。这就带来了一个巨大的法律不确定性。如果 Privex 注册在五眼联盟国家，那这份隐私条款在 国家安全信函 面前就是废纸一张。

然而文档中有一句话极其耐人寻味，暴露了他们的威胁模型：

We hold all database data on our own database cluster, with full disk encryption on all database nodes, protecting your data in the event of our database servers being seized.

我们将所有数据库数据保存在我们自己的数据库集群中，并在所有数据库节点上进行全盘加密，以保护您数据在我们的数据库服务器被扣押的情况下。

绝大多数主流厂商的条款只会讨论数据泄露或合规，而 Privex 罕见地预设了服务器被执法部门物理扣押的情况，这说明他们的防御对象直接设定为了国家强力部门。

在隐私方面上，Privex 做得相当不错：允许用户使用假名，也不会记录用户的 IP 地址。配合加密货币支付，理论上可以实现 100% 的链上链下身份隔离。再加上 Privex 不使用第三方服务：不使用 Cloudflare、不使用 AWS RDS、自建支付网关。先前我在 AWS 的条款分析中提到，数据泄露往往发生在第三方供应商。

现在来说「陷阱」。Privex 会收集用户使用服务器的目的。一个不需要实名、不记录 IP 的服务商，为什么要问用户「买服务器干什么」？

In some rare cases, for specific products, we may be required to share some, or all of your personal details with one or more third parties in-order to provide the service. In the event of this, we will explicitly inform the customer before sharing any details, in clear visible writing.

在极少数情况下，对于特定产品，我们可能需要与一个或多个第三方共享您的一些或所有个人详细信息，以提供服务。在这种情况下，在共享任何详细信息之前，我们将以清晰可见的文字明确告知客户。

Privex 也给自己留了这么个合规的后门。通常来说，这指的是域名注册或软件授权。如果在 Privex 注册域名，ICANN 规定必须有 WHOIS 信息，Privex 必须把信息传给上游注册局。虽然 Privex 承诺会用大号粗体字显式告知，但为了绝对的「数字主权」，建议只在 Privex 购买纯粹的计算资源，不要购买域名或者商业软件授权，以避免触发这个第三方共享条款。

这样看来，Privex 最大的缺点便是缺乏明确的法律管辖区声明。一旦出事，用户没有任何法律途径维权，只能寄希望于 Privex 的技术防御能扛得住。

但先别急！我们最好是再多阅读一下 Privex 的文档，例如 FAQ。

FAQ 解答了我先前的一些疑惑：是的，Privex 是在伯利兹注册的。他们也不向伯利兹本地人提供服务，符合离岸公司的标准操作（为了避免触犯本地法律）。

Privex 有两类区域：标准区域和自治区域。前者是租用别人的机器，受上游供应商管制。如果上游收到投诉，Privex 必须在 12-72 小时内删号。这些区域自然没有数字主权而言。后者的机器是 Privex 自个儿买的，网络设备自己运营，IP 也是自己的。这意味着只有瑞典或者荷兰当地法院或者伯利兹法院能命令他们关机。普通的 DMCA 投诉、滥用报告，Privex 可以选择无视。

对于一般人来说，一个较为扣分的点是 Privex 拒绝法币支付，也就是信用卡和 Paypal 这类支付方式。

接着是对于灰产许可与诚实原则的说明。这一点展现了 Privex 独特的法外狂徒但守规矩的逻辑：

• Tor 出口节点许可；

• 在「使用目的」里老老实实说自己买服务器干什么，跑的是色情网站 Privex 也会保护你；

• 不过呢，在标准区域里 Privex 依然需要遵守上游供应商的规矩。

价格方面，Privex 提供迷你 VPS，例如一个 256M RAM、单核、5 G 硬盘空间、仅有 IPv6 的瑞典服务器，每月只需要 1 美元。如果看更为标准的单核、1 G RAM、15 G 硬盘空间的瑞典服务器的话，则是 4 美元一个月。

其他国家的服务器会贵一丢丢，这里就只展示瑞典区域的服务器价格了。

Hetzner

Hetzner 的 隐私条款 的重要部分是折叠起来的，这有点小坑，我还以为那个是超链接，点击后才发现是折叠块。

Unless otherwise specified, your data will remain within the EU and will not be passed on to third parties.

除非另有说明，您的数据将保留在欧盟境内，不会透露给第三方。

这一句话表明了 Hetzner 默认让用户数据归于 GDPR 的保护下。但是重点在于「另有说明」一词。现在 Hetzner 在美国和其他国家都有数据中心。如果购买时选择了美国节点，那么根据之前提到的属地管辖权，这部分数据将不可避免地落入美国 CLOUD Act 的管辖范围。这份隐私政策是针对德国母公司的，它巧妙地没有展开讨论美国分公司的法律地位。

Hetzner 有着极其严苛的预审与 KYC。在用户付款前，他们会通过第三方服务对用户进行风险画像，通常包括 IP 声誉、浏览器指纹甚至名字是否在某些黑名单上。如果被判定为高风险，他们甚至不会告诉用户原因就拒绝服务。

匿名也是不可能的。Hetzner 会将护照信息传输给立陶宛（欧盟国家，受 GDPR 保护）的 iDenfy。较为恐怖的是，Hetzner 会保留足足 14 年的开票数据，用于税法和商法保留义务。

一个大家可能不会注意到的泄漏点是 Hetzner 的网页客服系统外包给了美国公司 Kapa.ai 和 OpenAI。虽然声称有个人敏感信息过滤工具，但在技术上这依然是一个通向美国的后门。

看完数据隐私相关后，还需要阅读 Terms and Conditions，因为前者的内容过短，许多重要条款都没有提及到。

All matters arising out of or relating to these Terms and the contractual relationship are governed by and construed in accordance with German law without giving effect to any choice or conflict of law provision or rule that would cause the application of the law of any jurisdiction – including international jurisdiction - other than German law. Place of jurisdiction for all disputes arising from the contractual relationship is our registered office in Gunzenhausen, Germany. However, we are entitled in all cases to take legal action at your place of business. Overriding statutory provisions, in particular, exclusive jurisdiction, shall remain unaffected.

因本条款及合同关系引起或与之相关的所有事项，均应受德国法律管辖并根据德国法律解释，不得引起任何选择或冲突法律条款或规则适用任何管辖权 —— 包括国际管辖权 —— 而非德国法律。合同关系引起的所有争议的管辖地为我们在德国 Gunzenhausen 的注册办事处。但是，在所有情况下，我们均有权在您的营业地提起法律诉讼。特别是，具有约束力的法定条款，尤其是专属管辖权，将不受影响。

Sec 22 里，Hetzner 表面上声称即使服务器在美国，他们也会按照德国法律办事。

但是……

You are not allowed to publish content that may violate the rights of third parties or otherwise violate the federal or any state law of the US.

您不得发布可能侵犯第三方权利或以其他方式违反美国联邦或任何州法律的内容。

The Services we provide in the USA are subject to the export laws, restrictions, regulations and administrative acts of the United States Department of Commerce, Department of Treasury Office of Foreign Assets Control (「OFAC」), State Department, and other United States authorities (collectively,「U.S. Export Laws」). You shall not use our Services to collect, store or transmit any technical information or data that is controlled under U.S. Export Laws. You shall not export or re-export, or allow the export or re-export of, our Services in violation of any U.S. Export Laws. None of our Services may be downloaded or otherwise exported or re-exported (i) into (or to a national or resident thereof) any country with which the United States has embargoed trade; or (ii) to anyone on the U.S. Treasury Department's list of Specially Designated Nationals or the U.S. Commerce Department's Denied Persons List, or any other denied parties lists under U.S. Export Laws. By using the Site and our Services, you agree to the forego, represent and warrant that you are not a national or resident of, located in, or under the control of, any restricted country; and you are not on any denied parties list; and you agree to comply with all U.S. Export Laws (including「anti-boycott」,「deemed export」and「deemed re-export」regulations). If you access the Site or our Services from other countries or jurisdictions, you do so on your own initiative and you are responsible for compliance with the local laws of that jurisdiction, if and to the extent those local laws are applicable and do not conflict with U.S. Export Laws. If such laws conflict with U.S. Export Laws, you shall not access the Site or use our Services. The obligations under this section shall survive any termination or expiration of these Terms or your use of the Site our Services.

我们在美国提供的服务受美国商务部、美国财政部外国资产控制办公室（「OFAC」）、国务院及其他美国当局（统称「美国出口法律」）的出口法律、限制、法规和行政法令的约束。您不得使用我们的服务来收集、存储或传输任何受美国出口法律管制的任何技术信息或数据。您不得违反任何美国出口法律出口或转口我们的服务，或允许出口或转口我们的服务。我们提供的任何服务不得下载或以其他方式出口或转口（i）到美国已实施贸易禁运的任何国家（或该国的国民或居民）；或（ii）到美国财政部特别指定国民名单或美国商务部禁止出口人员名单，或根据美国出口法律的任何其他被拒绝方名单上的任何人。使用本网站和我们的服务，即表示您同意上述规定，并声明和保证您不是任何受限制国家的国民或居民，也不在该国家或地区，或受其控制；您不在任何被拒绝方名单上；并且您同意遵守所有美国出口法律（包括「反抵制」、「视同出口」和「视同转口」法规）。如果您从其他国家或司法管辖区访问本网站或我们的服务，您将自行承担此行为，并负责遵守该司法管辖区的当地法律，如果且在这些当地法律适用且不与美国出口法律冲突的情况下。如果此类法律与美国出口法律发生冲突，您不得访问本网站或使用我们的服务。本节项下的义务在本条款的任何终止或期满，或您对本网站或我们服务的使用的任何终止或期满后仍然有效。

这两条（Sec 4 和 Sec 19）否定了 Sec 22 的独立性。只要选择了美国节点，用户就必须遵守美国联邦法律和州法律。原本在德国合法但在美国非法的内容，在 Hetzner US 都是违规的。

为什么说是 Sec 22 被否定，而不是 Sec 22 否定了这两条条款呢。因为接下来的 Sec 23 中说道：

(a) IN THE EVENT THAT SECTION 22 IS NOT APPLICABLE BY LAW, THE FOLLOWING RULES SHALL APPLY.

(b) YOU AND WE AGREE TO GIVE UP ANY RIGHTS TO LITIGATE CLAIMS IN A COURT OR BEFORE A JURY, OR TO PARTICIPATE IN A CLASS ACTION OR REPRESENTATIVE ACTION WITH RESPECT TO A CLAIM. OTHER RIGHTS THAT YOU WOULD HAVE IF YOU WENT TO COURT MAY ALSO BE UNAVAILABLE OR MAY BE LIMITED IN ARBITRATION.

ANY CLAIM, DISPUTE OR CONTROVERSY (WHETHER IN CONTRACT, TORT OR OTHERWISE, WHETHER PRE-EXISTING, PRESENT OR FUTURE, AND INCLUDING STATUTORY, CONSUMER PROTECTION, COMMON LAW, INTENTIONAL TORT, INJUNCTIVE AND EQUITABLE CLAIMS) BETWEEN YOU AND US ARISING FROM OR RELATING IN ANY WAY TO YOUR PURCHASE OF PRODUCTS OR SERVICES VIA THE SITE WILL BE RESOLVED EXCLUSIVELY AND CONCLUSIVELY BY BINDING ARBITRATION.

(c) The arbitration will be administered by the American Arbitration Association ("AAA") in accordance with the Consumer Arbitration Rules (the "AAA Rules") then in effect, except as modified by this section of this Agreement. (The AAA Rules are available at adr.org or by calling the AAA at 1-800-778-7879.) The Federal Arbitration Act will govern the interpretation and enforcement of this section.

The arbitrator will have exclusive authority to resolve any dispute relating to arbitrability and/or enforceability of this arbitration provision, including any unconscionability challenge or any other challenge that the arbitration provision or the Agreement is void, voidable or otherwise invalid. The arbitrator will be empowered to grant whatever relief would be available in court under law or in equity. Any award of the arbitrator(s) will be final and binding on each of the parties and may be entered as a judgment in any court of competent jurisdiction.

(d) You agree to an arbitration on an individual basis. In any dispute, NEITHER YOU NOR WE WILL BE ENTITLED TO JOIN OR CONSOLIDATE CLAIMS BY OR AGAINST OTHER CUSTOMERS IN COURT OR IN ARBITRATION OR OTHERWISE PARTICIPATE IN ANY CLAIM AS A CLASS REPRESENTATIVE, CLASS MEMBER OR IN A PRIVATE ATTORNEY GENERAL CAPACITY.

The arbitral tribunal may not consolidate more than one person's claims and may not otherwise preside over any form of a representative or class proceeding. The arbitral tribunal has no power to consider the enforceability of this class arbitration waiver, and any challenge to the class arbitration waiver may only be raised in a court of competent jurisdiction.

If any provision of this arbitration agreement is found to be unenforceable, the unenforceable provision will be severed, and the remaining arbitration terms will be enforced.

(a）如果法律规定第 22 条不适用，则适用以下规则。

(b）您和我们同意放弃在法院或陪审团面前起诉索赔的任何权利，或就索赔参与集体诉讼或代表诉讼。您在去法院时可能拥有的其他权利在仲裁中也可能不可用或受到限制。

因您通过本网站购买产品或服务而产生或与之有关的任何索赔、争议或纠纷（无论是合同、侵权法或其他性质的，无论是在签订合同之前、现时或将来发生的，包括法定、消费者保护、普通法、故意侵权、禁令救济和衡平法索赔），将仅通过具有约束力的仲裁来解决，并且该解决将是终局的。

(c）仲裁将由美国仲裁协会（「AAA」）根据当时有效的《消费者仲裁规则》（「AAA 规则」）进行管理，但本协议本节对其进行的修改除外。（AAA 规则可在 adr.org 查阅，或致电 AAA 1-800-778-7879 索取。）《联邦仲裁法》将管辖本节的解释和执行。

仲裁员将拥有处理任何与本仲裁条款的可仲裁性和 / 或可执行性有关的争议的专属权力，包括任何不公平性挑战或对仲裁条款或本协议无效、可撤销或以其他方式无效的任何其他挑战。仲裁员将被授权授予法庭依法或衡平法可提供的任何救济。仲裁员的任何裁决将对各方具有最终约束力，并可在任何有管辖权的法院作为判决执行。

(d）您同意以个人身份进行仲裁。在任何争议中，您和我方均无权在法庭或仲裁中加入或合并其他客户的索赔，或以其他方式作为集体代表、集体成员或以私人公益律师身份参与任何索赔。

仲裁庭不得合并一人以上的索赔，也不得以任何形式主持代表性或集体诉讼。仲裁庭无权考虑此集体仲裁弃权条款的可执行性，并且对集体仲裁弃权条款的任何质疑只能在有管辖权的法院提出。

如果本仲裁协议的任何条款被认定为不可执行，则不可执行的条款将被分割，其余的仲裁条款将得到执行。

强行在美国执行德国法律是行不通的，他们的 Plan B 是 美国仲裁协会 （AAA） 的强制仲裁。强制仲裁意味着用户放弃在法院起诉的权利，也放弃了陪审团审判。这是典型的美国式法律压迫工具，旨在降低大公司的诉讼成本。

Sec 19 还提到了 OFAC（Office of Foreign Assets Control，外国资产控制办公室），也是美国政治部的制裁者：如果美国决定制裁某个实体，Hetzner 为了保住其美国业务，必须切断该实体的服务。这证明了其管辖权不再是独立的，而是附庸于美国外交政策的。

You are not allowed to publish content that may violate the rights of individuals or groups of people, or that insults or denigrates these people.

您不得发布可能侵犯个人或群体权利、或侮辱或贬低这些人的内容。

和其他提供商一样，Hetzner 也给自己预留了极大的主观裁量权：什么是侮辱？什么是贬低？难道任何引发争议的政治或社会内容的站点都要被关闭吗？

Hetzner 必须被拆分为两个完全不同的实体来评价。讲完了 Hetzner 在美国的分公司后，再来说说母公司的原罪。

根据 Terms and Conditions 的 Section 8.3 和 8.4，只要 Hetzner 的自动化系统监测到用户的服务器有异常流量或者收到了第三方投诉，他们通常会先拔线，再发邮件通知用户。用户必须在断网状态下自证清白。对于追求高可用性的用户，这种官僚逻辑自然是致命的。

Hetzner 也明确指出他们在监视元数据，通常是分析连接频率、目标 IP 分布和端口扫描行为。用 Hetzner 的机器做任何会产生大量连接数的行为都会被系统自动判定为攻击行为，进而触发自动封锁。

支付方面，Hetzner 不支持 Monero（XMR）或完全匿名的加密货币支付。他们只接受信用卡、PayPal 或银行转账。

Hetzner 的合同需要提前 30 天通知并在月底终止。这种周期过于僵硬，对于需要灵活部署或者紧急撤离的用户来说是一个巨大的财务和安全负担。

价格上，一个 2 VCPU、4 GB RAM、40 GB 硬盘空间、20 TB 流量的服务器最低可以达到每月 3.49 欧元，也就是 4 美元、29 人民币。

Bahnhof

我找不到 Bahnhof 的隐私条款…… 留给未来的自己吧。

结论

选择 VPS 的之前，一定要搞清楚自己买这个服务器做什么。如果是想要记录敏感内容（色情网站不算啊），就必须找到提供法律保护的服务商；如果是极客或者加密无政府主义者，你需要找到那些提供身份隔离的服务商；如果是开发者或者中小企业主，且业务完全合法，那选择稳定、便宜且合规的服务商会更好。不过无论选谁，只要看到美国节点，请直接 pass。

这篇文章也绝非真理！我可能遗漏一些细节，有可能无视了服务商们实际的操作 —— 毕竟完全不按照条款运作的公司貌似也不少见 —— 甚至可能说错了内容。如果有任何需要修正的地方，还请务必联系我。

细数了这些「面向隐私」的 VPS 服务商的罪恶后，或许有人会想要使用自己家中的物理服务器。但在我看来，它依然不是旅途的终点，因为家中的物理服务器会和互联网服务提供商有所牵连。具体是怎样我就不展开说了，很多民用互联网服务提供商也禁止搭建公开服务。