Proton 邮箱再次出卖了用户

事件经过

2026年3月5日，科技媒体 404 Media 披露了一份法庭文件，再次将 Proton Mail 推上风口浪尖。

根据这份经 404 Media 审阅的 FBI 宣誓书，这家总部位于瑞士、以「端对端加密」和「隐私至上」为核心卖点的电子邮件服务商，向瑞士当局提交了一个 Proton Mail 账户的付款数据，瑞士当局随即将这些数据移交给了美国联邦调查局。FBI 随后利用该支付信息，成功锁定并逮捕了一名与亚特兰大「Stop Cop City」抗议运动相关的匿名活动人士。

涉事的 Proton Mail 账户地址为 defendtheatlantaforest@protonmail.com，是「保卫亚特兰大森林」组织在其 Facebook 主页上公开列出的官方联系邮箱。FBI 于2024年1月25日通过《司法协助条约》提出请求，瑞士当局审批通过后，Proton 向其提供了与该账户绑定的银行卡支付标识符。FBI 通过发卡行追溯到了持卡人身份，当事人随即在亚特兰大机场遭到拘押。逮捕依据的是闯入禁区指控，案件由 FBI 国内恐怖主义小组的特工主导。

值得注意的是，此人至今未被正式起诉。FBI 自己的搜查令宣誓书中，也完全没有提及射击事件，尽管 Proton 公司在事后声明中援引了「警察中枪」与「爆炸物」作为配合调查的理由。实际上，那次枪击事件发生于2023年1月，涉及的是抗议人士 Manuel Esteban Paez Terán 在林地清场行动中被警方击毙——而且现有文件显示，那名受伤警察是被友军误伤的。

Proton 的回应，以及它为何站不住脚

事发后，Proton AG 公关负责人 Edward Shone 在接受 404 Media 采访时做出了一贯的官方表态：

「首先请允许我澄清，Proton 没有向 FBI 提供任何信息。相关信息是瑞士司法部通过《司法协助条约》获取的。Proton 仅在收到瑞士当局具有法律约束力的命令后，才提供我们所掌握的有限信息，而这只有在通过全部瑞士法律审查后才有可能发生。这一区别至关重要，因为 Proton 完全在瑞士法律框架下运营。」

这套说辞在技术层面无懈可击，但在实质上却相当空洞。

404 Media 的措辞点明了这种辩护的荒谬：「从功能上讲，这些信息确实被提供给了 FBI。」数据的流转路径清晰无误：Proton → 瑞士法院 → FBI。无论哪个环节打出「转交」的招牌，最终结果都一样——一个依赖 Proton Mail 保护匿名身份的活动人士，被 FBI 查出了真实身份。

更耐人寻味的是，Proton 在事后曾援引「严重案情」为自己的配合辩护，但 FBI 宣誓书本身却与那些所谓的严重情节几乎毫无关联，逮捕指控仅仅是「非法闯入」。

支付数据：加密邮件的阿喀琉斯之踵

这起案件揭示了一个经常被用户忽视的结构性漏洞：邮件内容的加密保护，并不能覆盖与账户绑定的支付元数据。

Proton Mail 的端对端加密从未被攻破，邮件内容依然安全。FBI 得到的不是任何一封邮件的内容，而是一串银行卡支付标识符。就是这串数字，让他们得以从发卡行反查到持卡人真实姓名。

更讽刺的是，Proton 将付款处理外包给了美国公司 Chargebee。用户为「瑞士隐私邮件」付费时，支付数据实际上流经的是美国基础设施。与此同时，Proton 的隐私政策明确说明：「我们依赖第三方处理信用卡、PayPal 和比特币交易，因此必须与其共享支付信息。」这意味着，所谓「瑞士司法管辖权保护」的说法本身就存在明显的裂缝——你的支付记录在抵达瑞士法院之前，已经流经多家美国公司。

此外，Chargebee 对支付数据的留存没有明确的到期限制，Proton 自己的隐私政策也仅表示会「保留账单姓名和信用卡后四位」，却未规定何时删除。

「这不是第一次了」

最令批评者愤慨的，是 Proton 一再将此类事件定性为「极端个例」，而数据和历史却讲述着截然不同的故事。

2021年，法国气候活动人士

2021年夏，法国警方通过 Europol 向瑞士当局提交请求，随后 Proton 被依法强制要求开始记录特定账户的 IP 地址。这一账户属于巴黎一个反士绅化抗议团体，成员被称为「气候活动人士」。Proton 不仅提供了 IP 地址，还提供了浏览器指纹。活动人士随即落网。

事后，Proton 悄然删除了官网上「我们不记录您的 IP 地址」的承诺，以更模糊的措辞替换了原有的隐私政策。用户直到事后才察觉，营销话术已经被悄悄改写。

2024年，加泰罗尼亚独立运动人士

2024年，西班牙警察 Guardia Civil 通过瑞士警方向 Proton 发出请求。Proton 向当局提供了账户绑定的备用邮箱地址——一个 iCloud 邮箱。苹果公司随后应西班牙警方要求，提供了该 iCloud 账户下的完整身份信息，包括持有者的全名、两个家庭住址和关联的 Gmail 账户。涉事人士「Xuxu Rondinaire」系加泰罗尼亚独立组织「民主海啸」成员，案件被定性为恐怖主义调查。

面对批评，Proton 公关负责人 Shone 的回应颇具代表性：「Proton 提供的是默认隐私保护，而非默认匿名保护。匿名需要用户自身采取特定行动，比如不要将苹果账户设置为备用邮箱。」换言之，Proton 将用户的安全失误用来转移对自己配合执法行为的批评。

三次案件，同一条管道

从2017年至2025年，Proton 累计收到超过45,667项来自当局的数据调取请求，实际配合执行了其中的40,389项，总体配合率高达94%。2017年，这类请求仅有26项；到了2024年，数量已攀升至11,023项，七年间暴增逾420倍。异议率则从2021年法国案爆出后峰值的21%，崩塌至2024年的5.9%。追踪 Proton 透明度报告的瑞士律师 Martin Steiger 指出，2024年数量骤增的部分原因在于，瑞士当年将执法部门的数据请求计费模式从按次收费改为定额包干，摩擦成本降低直接导致请求量飙升，而 Proton 的异议意愿则几乎同步萎缩。

「瑞士隐私」的神话与现实

Proton Mail 的品牌叙事建立在一个核心主张之上：选择瑞士司法管辖权，就意味着远离美国 NSA 监控和欧盟的法律触角。

这种叙事并非全无根据，但它存在几个重大误导。

首先，《司法协助条约》构成了一条连接各国执法机构的制度化管道。美国执法部门不需要直接向 Proton 发出传票，只需通过美国与瑞士之间的司法协助请求，由瑞士当局审批转达即可。这个流程确实多了一道关卡，但在94%的配合率面前，这道关卡的过滤作用极为有限。

其次，Proton 的「瑞士主权」在实践中本就漏洞百出。如前文所述，Proton 使用美国公司 Chargebee 处理付款，使用 Zendesk 处理客服工单，使用 HubSpot 管理销售数据，使用 Stripe 和 PayPal 作为备用支付渠道。用户的加密邮件存储在瑞士，但与账户关联的支付记录、客服沟通和销售信息则分散在多家美国乃至跨国公司的系统中。

第三，Proton 的隐私政策中实际包含了一条常被忽视的条款：「从外部服务商发送到您账户的未加密邮件，或从 Proton Mail 发往外部未加密服务的邮件，会被扫描以检测垃圾邮件和病毒。」这与其高调宣传的「即便是 Proton 本身也无法访问您的数据」存在显著矛盾。