隐私优先的 VPN

我们记录域名。
不记录人生。

无 URL。无页面内容。无 Cookie。无指纹。无姓名、邮箱、信用卡。四个数据点,每一个都在下面公开 —— 以及它们为什么在那里。

安装 —— 免费 查看完整列表

GDPR · UK GDPR · CCPA · UA 数据法 · 无需账户

承诺

没有营销宣传。只有源列表。

大多数 "无日志" VPN 都做出强有力的声明,然后要你相信。这是这个类别的标准 —— 而审计真正进行时,大多数都会发现比宣传中更多的保留是有原因的。

Piligrim 不承诺完美的零。我们准确告诉你我们收集什么,为什么每一片对产品运作来说是必要的,以及我们故意省略什么。如果这个列表上的任何东西改变,会是一次公开的提交和隐私政策的版本升级。

我们收集什么

完整列表。四项。

01

匿名安装 ID

为什么我们存储: 在你第一次安装时在你的设备上生成。用作钱包账本(免费配额余额、赚取的步、广告浏览凭证)的密钥。没有真实身份附加或可以恢复。

我们故意省略什么: 在同一台机器上卸载并重新安装,会用这个密钥恢复钱包。不重装而卸载,则永久撤销我们拥有的一切。

02

国家代码(ISO-3166)

为什么我们存储: 在安装时和每 24 小时,通过 ipapi.co 从你的真实 IP 检测。用于公平设定广告费率 —— 第一层国家每个广告比第四层赚取更多流量。

我们故意省略什么: 国家是单个两字母代码(例如 "DE"),不是城市、地区或 ISP。查询绕过你的活动代理,所以它始终反映你的真实位置,从不是你选择的出口。

03

裸域名

为什么我们存储: VPN 开启时,扩展把你访问的每个页面与我们的广告网络规则集(26 个网络)匹配。为了那个匹配,我们存储可注册的域名 —— 例如 "example.com" —— 而不是 URL、路径或查询字符串。

我们故意省略什么: 没有 URL,没有参数,没有内容,没有 Cookie,没有表单数据,没有锚点,没有标题。只有域名根。服务器以批次看到这些,不与你的浏览节奏单独关联。

04

广告浏览事件

为什么我们存储: 当我们替换的广告真正在屏幕上可见(视口中 ≥50%,持续 ≥1 秒)时,扩展用你的 ECDSA P-256 安装密钥签名一份报告并 POST。该凭证向钱包加流量并向我们证明该次曝光没有被伪造。

我们故意省略什么: 凭证记录:广告位 ID、格式、你的安装 ID、时间戳。不是页面 URL,不是页面内容,不是广告周围的用户行为。

我们不收集什么

凭证上缺席的东西。

  • 页面 URL、查询参数、路径、锚点
  • 页面内容、标题、表单数据、Cookie
  • 浏览节奏或会话时间线
  • 姓名、邮箱、电话、支付、账户
  • 跨站行为画像
  • 设备指纹(canvas、WebGL、字体)
  • IP 到身份的链接(我们从不把你的 IP 与用户关联)
  • 广告技术标识符、MAID、IDFA、Cookie 同步
  • 高级新闻屏蔽列表上的任何东西
  • 广告网络自有域名列表上的任何东西

收入路径,从头到尾

我们如何赚钱,90 秒看完。

Piligrim 是由广告替换资助的免费 VPN。扩展开启时,我们的内容脚本识别你访问页面上的少量展示广告位(每页最多 3 个),并把它们换成由我们广告服务器提供的自家创意。

广告商按可视曝光向我们付费。我们和你分这笔收入:你真正看到的每个广告都会向钱包加流量,流量买入高级住宅 VPN 流量。其余支付代理带宽、托管和现金跑道。

这就是模型的全部。没有升级,没有高级层,没有 "pro 功能" 的等候名单,没有数据中介,没有卖给第三方的订阅者列表。

高级新闻发行商和广告网络自有域名从不被修改 —— 在扩展中硬编码,不由我们切换。屏蔽列表在我们的隐私政策中可审计。

强制执行的隐私,而非承诺

架构,而非政策。

最强的隐私保证是我们即使想破也破不掉的那些。这里有五个我们在代码中交付的。

ECDSA 签名的曝光报告

每张广告浏览凭证都由一个在安装时在你设备上生成、永远不离开它的 P-256 私钥签名。服务器以加密方式验证每个声明 —— 机器人不能伪造凭证来耗尽我们的预算,我们也不能伪造归属于你的凭证。

沙箱化的创意 iframe

替换广告加载在带有严格沙箱的 chrome-extension:// iframe 中。它们不能读取 Cookie、访问父页面或设置跟踪像素 —— 它们在结构上无法对你进行指纹识别。

MV3 declarativeNetRequest(无流量拦截)

我们通过声明式规则封锁第三方广告网络请求,而不是在后台脚本中拦截流量。浏览器执行规则;我们从不看到你请求的主体。

国家查询绕过你的活动代理

检查你的国家代码时,请求经过你的真实 IP —— 不是你选的圣所。这意味着我们始终知道你的真实国家(以便支付公平的费率),但故意从不知道你的活动代理在哪个国家。

没有跨站会话连续性

凭证以批次发送到我们的广告服务器。我们不把浏览与行为时间线关联 —— 没有 "安装 ID 为 X 的用户访问了域名 A,然后是 B,然后是 C" 这种图。只有按域名计数。

法律姿态

四个体制下的合规。

GDPR (EU)

法律依据:广告资助运营的合法利益;广告替换的明确同意。访问、更正、删除权利在 30 天内履行 —— 卸载是最快的路径。

UK GDPR

反映 GDPR。隐私政策中列出英国代表。接受 ICO 投诉。

CCPA / CPRA(加州)

我们不出售个人信息。"Do Not Sell" 切换在结构上不必要 —— 没有销售路径。我们根据该法案兑现可验证的消费者请求。

乌克兰 — 个人数据保护法

Piligrim 的运营实体在乌克兰注册。我们遵守第 8 条透明性和第 14 条跨境处理的要求。

完整的 隐私政策服务条款 列出每个处理者(代理用 Webshare、国家用 ipapi.co、我们的广告服务器)以及他们的管辖足迹。两者都有版本管理;任何一个改变时你都会在扩展的弹窗中看到通知。

什么时候不要用 Piligrim

Piligrim 是一条路,不是要塞。

如果你的威胁模型包括国家级对手 —— 威权政权下的新闻业、举报、规避定向监控 —— Piligrim 是错的工具。我们是开放网络的休闲用免费 VPN。我们不自己运营代理基础设施(我们从 Webshare 租),不运行像 Tor 那样的强化匿名跳点,也不假装运行。

使用为此目的构建的付费商业 VPN,或者 Tor,或者两者都用。Piligrim 是为不是生死攸关的数百万种情况服务的 —— 把广告网络挡在你头脑之外,看别处的内容,获得不需要每年四十美元的隐私(你没那笔钱)。

怀疑者 FAQ

尖锐的问题。直接的回答。

为什么我应该相信一个由广告资助的 VPN?
你不应该仅仅根据营销宣传相信任何 VPN。读读我们的架构:隐私保证在代码中强制执行(沙箱化创意、签名凭证、MV3 声明式封锁、绕过我们自己代理的国家查询) —— 不是在隐私政策的段落中。如果模型让我们作弊,政策就不重要了。我们把模型设计成作弊路径被关闭。
执法部门能拿到我的数据吗?
我们可以交出我们拥有的,也就是上面列出的四项:安装 ID、国家代码、VPN 开启时访问的裸域名、签名的广告浏览事件。我们没有 URL、内容、身份、支付或行为时间线 —— 因为我们从未收集过。传票无法产出不存在的数据。
谁拥有这家公司?
Piligrim 由一家乌克兰法律实体运营。完整的公司细节列在服务条款中。产品是有意闭源的 —— 我们认为自由分发的、由广告资助的 VPN 是克隆的严肃目标,我们不想让那变得简单。
你们的管辖区在哪里?
运营实体:乌克兰。服务器(代理网络):从 Webshare 租用,多区域。广告服务器和钱包账本:瑞士(伯尔尼)。我们对外国法律请求的管辖回应首先受到乌克兰法律的约束。
独立的隐私审计呢?
还没有。审计昂贵(可信公司通常 4 万–10 万美元),我们还没达到证明这笔支出合理的安装量。当我们达到时,审计和审计员的发现将公开。在此之前:读我们描述的代码路径和隐私政策,自己判断架构是否可信。
你们能悄悄改变隐私政策吗?
不能。政策变更会在下次打开时在扩展弹窗中显示通知,并清晰总结改了什么。在新政策应用前你会被要求重新同意;拒绝会让你停留在之前的版本直到卸载。
坑在哪里?
你在浏览时会看到几个被替换的展示广告 —— 你本来就会看到的同样数量,只是它们资助你的 VPN 而非广告网络。这就是全部交易。

可以验证的隐私,而不只是信任。

一键安装。我们了解你的凭证就在这一页。

安装 —— 免费