Czym jest VPN no-logs? Audytowani dostawcy, niezależne raporty i jak odróżnić prawdziwą deklarację od marketingu
VPN no-logs to taki, który nie rejestruje ruchu, zapytań DNS ani metadanych połączenia mogących zidentyfikować użytkownika. Deklaracja ma znaczenie tylko wtedy, gdy niezależny audytor zbadał rzeczywistą infrastrukturę. Oto jak to rozpoznać.
Co naprawdę oznacza "no-logs"
VPN no-logs to dostawca, który zobowiązuje się nie rejestrować ruchu, zapytań DNS, adresów IP ani znaczników czasu połączeń, które można by powiązać z konkretnym użytkownikiem. Samo określenie 'no-logs' nie ma definicji prawnej. Używa go każda strona główna VPN-a. Deklaracja nabiera znaczenia dopiero wtedy, gdy niezależny audytor zbadał rzeczywistą flotę serwerów i konfigurację — a raport został opublikowany. Według stanu na 2026 rok wszystkie pięć dużych płatnych VPN-ów, które opisujemy (Mullvad, Proton VPN, NordVPN, ExpressVPN, Surfshark), opublikowały niezależne audyty.
Co faktycznie obejmują opublikowane audyty
Najnowszy audyt Mullvad został przeprowadzony przez Cure53 w dniach 3–14 czerwca 2024 (czwarty audyt łącznie, drugi z Cure53). To audyt infrastruktury obejmujący jeden serwer OpenVPN i jeden serwer WireGuard z produkcyjnej floty Mullvad. Proton VPN przeszedł cztery kolejne audyty no-logs firmy Securitum (2022, 2023, 2024, 2025). NordVPN przeszedł sześć niezależnych ocen zapewnienia no-logs zgodnie z ISAE 3000: PwC 2018, PwC 2020, Deloitte 2022, 2023, 2024, 2025. Trust Center ExpressVPN wymienia 23 opublikowane audyty, ostatnio trzeci audyt no-logs KPMG (2025) oraz audyty Cure53/Praetorian dotyczące przepisania protokołu Lightway w języku Rust (wrz–paź 2024). Surfshark posiada audyty no-logs firmy Deloitte z lat 2023 i 2025 zgodnie z ISAE 3000.
Jak wygląda prawdziwa deklaracja no-logs
Trzy sygnały odróżniają prawdziwą deklarację no-logs od marketingu. Po pierwsze, opublikowany raport strony trzeciej — nie wpis blogowy w formie komunikatu prasowego, lecz plik PDF do pobrania lub strona trust center z nazwą i datą audytora. Po drugie, zakres audytu obejmujący infrastrukturę (konfigurację na poziomie serwera), a nie tylko aplikację kliencką. Po trzecie, najlepiej rzeczywisty test nakazem sądowym. Biura Mullvad zostały przeszukane przez szwedzką policję 18 kwietnia 2023 na podstawie nakazu wydanego w ramach niemieckiego wniosku o współpracę prawną; Mullvad publicznie udokumentował to zdarzenie, a policja odeszła bez przejęcia danych klientów, ponieważ dane, których szukał nakaz, nie istniały na serwerach (zgodnie z wpisem na blogu Mullvad dotyczącym nakazu przeszukania). Z kolei PureVPN przekazał w 2017 roku FBI dzienniki połączeń w sprawie cyberstalkingu Ryana Lina, mimo wcześniejszego marketingu 'no logs' — sprawa ta jest kanonicznym przykładem odwrotnym, w którym deklaracja marketingowa została zaprzeczona przez rzeczywisty przymus prawny.
Jurysdykcja ma mniejsze znaczenie niż to, co dostawca przechowuje
Marketing VPN-ów dużo robi wokół jurysdykcji. Porozumienia wywiadowcze 5 / 9 / 14 Eyes (USA, Wielka Brytania, Kanada, Australia, Nowa Zelandia + Dania, Francja, Holandia, Norwegia + Niemcy, Belgia, Włochy, Szwecja, Hiszpania) są realne, a VPN zarejestrowany w Szwecji lub Holandii podlega ich zakresowi. Jednak dostawca w jurysdykcji spoza Eyes, który przechowuje dzienniki połączeń, jest gorszy niż dostawca no-logs w dowolnym miejscu. Mullvad (Szwecja, w 14 Eyes) i Proton VPN (Szwajcaria, poza Eyes) są oba audytowane; nalot na Mullvad pokazuje, że konfiguracja no-logs ma większe znaczenie niż flaga na mapie.
Jak czytać raport z audytu
Otwórz raport i zwróć uwagę na trzy rzeczy. (1) Zakres — czy raport opisuje, co audytor zbadał, w tym które serwery, które protokoły i jaki przedział czasowy? Ogólne sformułowania typu 'zaudytowano politykę' bez szczegółów są słabsze niż 'zbadano pliki konfiguracyjne VPN i konfiguracje serwerów'. (2) Metoda — raporty Securitum dla Proton opisują przegląd konfiguracji na miejscu i rozmowy z pracownikami; raporty Deloitte dla NordVPN powołują się na ISAE 3000 (międzynarodowy standard zleceń atestacyjnych); raporty Cure53 dla Mullvad opisują testy bezpieczeństwa typu white-box na serwerach produkcyjnych. (3) Ustalenia — każdy audyt coś znajduje. Audyt Mullvad przeprowadzony przez Cure53 w czerwcu 2024 wykrył dwa problemy (jeden niski, jeden średni); audyt Lightway firmy Praetorian z 2024 wykrył dwa problemy o niskim ryzyku. Obecność ustaleń nie jest zła — podejrzany byłby całkowity brak jakichkolwiek ustaleń. Liczy się dotkliwość i sposób usunięcia.
Co ignorować
Ignoruj ogólne rankingi 'najbardziej prywatnego VPN-a', które nie ujawniają swojej metodologii. Ignoruj dostawców, których 'audyt' to pismo od małej firmy doradczej, która nigdy nie zajrzała do serwerów. Ignoruj porównywarki VPN, które nie linkują do faktycznego raportu — raport ma datę i stronę publikującą; jeśli serwis nie chce do niego podlinkować, deklaracja jest niemożliwa do zweryfikowania. Ignoruj jurysdykcję jako główny sygnał. Jedynym wiarygodnym sygnałem jest opublikowany zakres audytu oraz, tam gdzie istnieje, historia spraw związanych z przymusem prawnym.
Źródła
Audyt Mullvad: mullvad.net/en/blog/fourth-infrastructure-audit-completed-by-cure53. Nalot na Mullvad w 2023: mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised. Audyty Proton: protonvpn.com/blog/no-logs-audit. Audyty NordVPN: nordvpn.com/blog/nordvpn-no-logs-audit-2024. ExpressVPN Trust Center: expressvpn.com/trust. Audyt Surfshark: surfshark.com/blog/deloitte-nologs-policy-verified-again. Sprawa PureVPN/Lin: bleepingcomputer.com/news/security/cyberstalking-suspect-arrested-after-vpn-providers-shared-logs-with-the-fbi. Wszystkie adresy URL otwarto 2026-04-30.