VPN không lưu nhật ký là gì? Nhà cung cấp được kiểm toán, báo cáo độc lập và cách phân biệt tuyên bố thật với chiêu tiếp thị
VPN không lưu nhật ký (no-logs) là dịch vụ không ghi lại lưu lượng, DNS hay siêu dữ liệu kết nối có thể nhận diện người dùng. Tuyên bố này chỉ có ý nghĩa khi một đơn vị kiểm toán độc lập đã trực tiếp kiểm tra hạ tầng thực tế. Đây là cách để nhận biết.
"Không lưu nhật ký" thực chất nghĩa là gì
VPN không lưu nhật ký là nhà cung cấp cam kết không ghi lại lưu lượng, truy vấn DNS, địa chỉ IP hay dấu thời gian kết nối có thể liên hệ ngược về một người dùng cụ thể. Bản thân cụm từ 'no-logs' không có định nghĩa pháp lý nào. Trang chủ của mọi VPN đều dùng nó. Tuyên bố này chỉ trở nên có ý nghĩa khi một đơn vị kiểm toán độc lập đã kiểm tra đội ngũ máy chủ và cấu hình thực tế — và báo cáo được công bố. Tính đến năm 2026, cả năm nhà cung cấp VPN trả phí lớn mà chúng tôi đề cập (Mullvad, Proton VPN, NordVPN, ExpressVPN, Surfshark) đều đã công bố các cuộc kiểm toán độc lập.
Các cuộc kiểm toán đã công bố thực sự bao gồm những gì
Cuộc kiểm toán gần nhất của Mullvad do Cure53 thực hiện từ ngày 3–14 tháng 6 năm 2024 (lần kiểm toán thứ tư tổng cộng, lần thứ hai với Cure53). Đây là cuộc kiểm toán hạ tầng bao gồm một máy chủ OpenVPN và một máy chủ WireGuard trong đội ngũ máy chủ sản xuất của Mullvad. Proton VPN đã vượt qua bốn cuộc kiểm toán no-logs liên tiếp của Securitum (2022, 2023, 2024, 2025). NordVPN đã vượt qua sáu lần đánh giá đảm bảo no-logs độc lập theo chuẩn ISAE 3000: PwC 2018, PwC 2020, Deloitte 2022, 2023, 2024, 2025. Trung tâm Tin cậy (Trust Center) của ExpressVPN liệt kê 23 cuộc kiểm toán đã công bố, gần nhất là cuộc kiểm toán no-logs thứ ba của KPMG (2025) và các cuộc kiểm toán của Cure53/Praetorian đối với bản viết lại bằng Rust của giao thức Lightway (tháng 9–10 năm 2024). Surfshark có các cuộc kiểm toán no-logs của Deloitte vào năm 2023 và 2025 theo chuẩn ISAE 3000.
Một tuyên bố no-logs thật trông như thế nào
Ba dấu hiệu phân biệt một tuyên bố no-logs thật với chiêu tiếp thị. Thứ nhất, một báo cáo bên thứ ba đã được công bố — không phải bài blog kiểu thông cáo báo chí, mà là một tệp PDF tải về được hoặc một trang trust-center có tên đơn vị kiểm toán và ngày tháng. Thứ hai, phạm vi kiểm toán phải bao gồm hạ tầng (cấu hình cấp máy chủ), không chỉ ứng dụng khách. Thứ ba, lý tưởng nhất là có một phép thử lệnh của tòa án thực tế. Văn phòng của Mullvad đã bị cảnh sát Thụy Điển khám xét vào ngày 18 tháng 4 năm 2023 theo lệnh được ban hành từ một yêu cầu hợp tác pháp lý của Đức; Mullvad đã công khai ghi nhận sự kiện này và cảnh sát ra về mà không thu giữ được dữ liệu khách hàng nào vì dữ liệu mà lệnh khám yêu cầu không tồn tại trên các máy chủ (theo bài blog của Mullvad về lệnh khám xét). Ngược lại, PureVPN đã cung cấp nhật ký kết nối cho FBI vào năm 2017 trong vụ án theo dõi qua mạng (cyberstalking) Ryan Lin, bất chấp việc trước đó họ tiếp thị là 'no logs' — vụ án này là ví dụ phản chứng kinh điển cho một tuyên bố tiếp thị bị mâu thuẫn bởi sự cưỡng chế pháp lý thực tế.
Quyền tài phán ít quan trọng hơn những gì nhà cung cấp lưu trữ
Marketing của VPN thổi phồng nhiều về quyền tài phán. Các thỏa thuận chia sẻ tình báo 5 / 9 / 14 Eyes (Mỹ, Anh, Canada, Úc, New Zealand + Đan Mạch, Pháp, Hà Lan, Na Uy + Đức, Bỉ, Ý, Thụy Điển, Tây Ban Nha) là có thật và một VPN đăng ký tại Thụy Điển hay Hà Lan đều nằm trong phạm vi này. Nhưng một nhà cung cấp ở một quốc gia ngoài nhóm Eyes mà vẫn lưu nhật ký kết nối thì còn tệ hơn một nhà cung cấp no-logs ở bất cứ đâu. Mullvad (Thụy Điển, thuộc 14 Eyes) và Proton VPN (Thụy Sĩ, ngoài Eyes) đều đã được kiểm toán; vụ khám xét Mullvad cho thấy cấu hình no-logs quan trọng hơn lá cờ trên bản đồ.
Cách đọc một báo cáo kiểm toán
Mở báo cáo ra và tìm ba điều. (1) Phạm vi — báo cáo có mô tả những gì đơn vị kiểm toán đã xem xét hay không, bao gồm máy chủ nào, giao thức nào, khoảng thời gian nào? Ngôn ngữ chung chung kiểu 'đã kiểm toán chính sách' mà không có chi tiết cụ thể thì yếu hơn so với 'đã kiểm tra các tệp cấu hình VPN và cấu hình máy chủ'. (2) Phương pháp — các báo cáo của Securitum cho Proton mô tả việc xem xét cấu hình tại chỗ và phỏng vấn nhân viên; các báo cáo NordVPN của Deloitte trích dẫn ISAE 3000 (chuẩn cam kết đảm bảo quốc tế); các báo cáo Mullvad của Cure53 mô tả kiểm thử bảo mật hộp trắng (white-box) trên các máy chủ sản xuất. (3) Phát hiện — mọi cuộc kiểm toán đều tìm ra điều gì đó. Cuộc kiểm toán Mullvad của Cure53 tháng 6 năm 2024 phát hiện hai vấn đề (một mức thấp, một mức trung bình); cuộc kiểm toán Lightway của Praetorian năm 2024 phát hiện hai vấn đề rủi ro thấp. Sự hiện diện của các phát hiện không phải là điều xấu — việc hoàn toàn không có phát hiện nào mới đáng nghi. Điều quan trọng là mức độ nghiêm trọng và việc khắc phục.
Những gì nên bỏ qua
Bỏ qua các bảng xếp hạng 'VPN riêng tư nhất' chung chung mà không công bố phương pháp luận. Bỏ qua các nhà cung cấp có 'cuộc kiểm toán' chỉ là một lá thư từ một công ty tư vấn nhỏ chưa bao giờ xem xét các máy chủ. Bỏ qua các trang so sánh VPN không liên kết đến báo cáo thực tế — báo cáo có ngày tháng và đơn vị công bố; nếu một trang không chịu liên kết tới nó, thì tuyên bố đó không thể kiểm chứng. Bỏ qua quyền tài phán như là dấu hiệu chính. Dấu hiệu đáng tin cậy duy nhất là phạm vi kiểm toán đã công bố cộng với, khi có, lịch sử các vụ cưỡng chế pháp lý.
Nguồn
Kiểm toán Mullvad: mullvad.net/en/blog/fourth-infrastructure-audit-completed-by-cure53. Vụ khám xét Mullvad 2023: mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised. Kiểm toán Proton: protonvpn.com/blog/no-logs-audit. Kiểm toán NordVPN: nordvpn.com/blog/nordvpn-no-logs-audit-2024. Trust Center của ExpressVPN: expressvpn.com/trust. Kiểm toán Surfshark: surfshark.com/blog/deloitte-nologs-policy-verified-again. Vụ PureVPN/Lin: bleepingcomputer.com/news/security/cyberstalking-suspect-arrested-after-vpn-providers-shared-logs-with-the-fbi. Tất cả URL được truy cập ngày 2026-04-30.