Tor 浏览器桌面版、Tor 浏览器 Android 版和 Tor VPN 的隐私政策

生效日期：2025年10月30日

本隐私政策涵盖：

• Android 版 Tor 浏览器
• 桌面版 Tor 浏览器
• Tor VPN

它解释了每个应用程序如何访问、收集、使用和共享用户数据。

1. 开发商与联系信息

开发者：The Tor Project, Inc.
网站：https://decvnxytmk.oedi.net
支持/咨询：https://jqlsbiwihs.oedi.net/
隐私联系电子邮件：隐私联系

2. 共享隐私原则

所有 Tor 应用的设计都以最大化用户隐私和匿名性为目标：

• 不收集个人或敏感用户数据
• 无跟踪、遥测或分析
• 不关联用户账号或身份
• 开源且隐私设计

3. 应用程序特定数据实践

Tor 浏览器（Android 版和桌面版）

• 不收集 IP 地址、浏览历史、设备 ID 或位置信息
• 所有连接都通过 Tor 网络路由以确保匿名性，但有一个例外：
  • 在互联网访问受限或审查的环境中，Tor 浏览器可使用反审查工具，如可插拔传输（例如 Moat）来获取网桥信息。
  • 这些工具需要短暂的非 Tor 连接，称为信令通道，以获取 Tor 网络连接所需的数据。
  • 在 Tor 浏览器无法直连时，可自动执行这种回退操作，或者由用户手动选择。
  • Tor Project 在这些信令请求期间不会记录任何个人可识别信息。
• 仅使用临时会话缓存，在退出或“新建身份”时清除

为提供用户控制权并确保隐私保护功能，Tor VPN 会将特定用户配置的设置存储在设备本地。

此类设置的示例包括：

• 选定的网桥中继或自定义网桥配置
• 出口节点偏好设置（例如，国家/地区选择）
• 每个应用的路由规则（哪些应用应该或不应该通过 Tor 路由）

这些偏好设置：

• Are stored only on the user's device
• Are used solely for local functionality and configuration
• Can be deleted at any time via in-app settings or by uninstalling the app

Tor VPN

• 无需用户登录、无跟踪或身份关联
• 无远程遥测或使用情况日志记录
• 仅本地 会话统计（时长、带宽），会话结束后即被丢弃
• 仅本地 会话日志，可在日志视图查看，VPN 停止且应用退出后即被丢弃
• 不会 访问联系人、文件或个人标识符

为提供用户控制权和自定义功能，Tor VPN 会将特定用户配置的设置存储在设备本地。 These settings are never transmitted to The Tor Project or any third party, and are not linked to user identity or device information.

其中包括：

• 选定的网桥中继或自定义网桥配置
• 出口节点偏好设置（例如，国家/地区选择）
• 每个应用的路由规则（哪些应用应该或不应该通过 Tor 路由）
• List of installed apps (used locally to manage per-app routing)
• List of protected apps (required to enforce traffic routing exceptions)
• “开机启动”偏好设置
• Preferred manual launcher (if any)

这些设置：

• 仅存储在用户设备上
• 仅用于本地功能和配置
• 可随时通过应用内设置或卸载应用删除
• Never transmitted to The Tor Project or any third party
• Not linked to identity or device information

Note: The list of installed apps and protected apps are necessary for the app’s VPN enforcement logic — to guarantee that all apps are routed over Tor unless explicitly exempted by the user.

4. 权限（Android 版）

Android 版 Tor 浏览器目前需要以下权限：

• INTERNET — 用于连接到 Tor 网络
• WAKE_LOCK — 防止设备在正在使用（例如视频播放）时进入休眠状态
• MODIFY_AUDIO_SETTINGS — WebRTC 相关组件所需（注意：WebRTC 在构建时已永久禁用）
• HIGH_SAMPLING_RATE_SENSORS — 用于某些 JavaScript API；Tor 浏览器因隐私保护对其计时进行限制

这些权限与数据收集无关，仅用于支持从 Firefox（Fenix）基础代码继承的功能。 我们定期对这些继承权限进行审查和审计，确保不会损害用户隐私或造成信息暴露。

Android 版 Tor 浏览器不请求以下权限：

• 联系人
• 位置
• 设备标识符（例如 IMEI、Android ID）
• 外部存储或文件
• 电话通话记录或短信数据
• 用户账号或登录凭据

默认不需要摄像头、麦克风或设备传感器权限。 不过，在特定情况下用户可授予这些权限，例如：

• 使用 URL 栏扫描二维码
• 允许特定网站功能（例如视频会议）

All such requests are subject to Android’s runtime permission model, users are in control of granting or denying said access, and is limited in scope and durtation.

Tor VPN

Tor VPN requests the following Android permissions in order to function properly. These are limited to what is strictly necessary for VPN operation, user control, and system integration. No permissions are used for telemetry, user tracking, or personal data collection.

所需权限：

• INTERNET — to connect to the Tor network and route traffic
• BIND_VPN_SERVICE — to create and maintain secure VPN connections
• ACCESS_NETWORK_STATE / ACCESS_WIFI_STATE — to detect network availability and changes
• RECEIVE_BOOT_COMPLETED — to optionally start Tor VPN on device boot (if the user enables “Start on boot”)
• QUERY_ALL_PACKAGES — used locally to display a list of installed apps for per-app routing settings (never transmitted or logged)
• WAKE_LOCK — prevents the device from sleeping during active VPN use
• FOREGROUND_SERVICE / FOREGROUND_SERVICE_SYSTEM_EXEMPTED — to comply with modern Android requirements for long-running VPN services
• VIBRATE — used only for optional in-app notifications (e.g., connection status)
• POST_NOTIFICATIONS — used for connection status notifications when enabled (Android 13+)

These permissions are not used to collect, transmit, or share personal data. All permissions are either essential for VPN functionality or provide local-only features controlled by the user. We routinely audit all permissions to ensure they remain aligned with our privacy-preserving principles.

Tor VPN does not request access to:

• 联系人
• 位置
• Camera, microphone, or sensors
• 设备标识符（例如 IMEI、Android ID）
• 外部存储或文件
• 电话通话记录或短信数据
• 用户账号或登录凭据

5. 数据共享与第三方

• 不与第三方共享用户数据，包括广告商、分析提供商等。

• 在桌面版 Tor 浏览器中，通过 about:tor 链接，用户可手动访问 https://check.torproject.org 来验证 Tor 连接。此操作可选，由用户发起，并通过 Tor 路由。不记录或存储任何识别信息。此检查并非自动执行， Android 版不提供该功能。

• 对于桌面版 Tor 浏览器，可匿名地通过 Tor 网络检查软件更新。这些更新检查包括：

  • 通过 Tor 网络检查来自 Tor Project 服务器的软件更新
  • 从 Mozilla 的附加组件服务获取扩展更新（例如，对于 NoScript 等捆绑扩展）
  • 这些更新请求不关联用户身份或设备信息。

• 对于 Android 应用，更新是通过应用分发平台（例如 Google Play）而不是直接从 Tor Project 服务器提供。

• In those cases, when we distribute our applications through Google Play services, our hands are tied and their terms and policies apply. If you wish to obtain Tor VPN from a no-logging, non-tracking, free and open-source app store, then use F-Droid to do so.

• 附加组件和扩展：用户可以在 Tor 浏览器中安装额外的扩展。这些扩展可能独立获取更新或屏蔽列表（例如，uBlock Origin 下载过滤列表）。所有此类请求都通过 Tor 网络进行路由，以保持匿名。

• 不对用户活动、配置或身份进行同步或云备份。

6. 数据保留与删除

• Tor 浏览器不收集或传输任何持久性个人数据

然而，用户应注意以下情况，部分数据可能会在本地保留：

• 用户创建的书签和下载保存到本地设备，不会自动删除。

• Tor 网络连接所需的 Tor 状态文件（例如守卫节点和共识信息）。这些数据是非识别性的，仅用于 Tor 功能。

• 隐私浏览模式 (PBM)行为：

  在 **Android 版**中，PBM 始终启用，并阻止在本地存储历史记录、Cookie 或会话数据。
  
  在**桌面版**中，PBM 默认启用，但在浏览器中可将其设置为禁用。禁用时，浏览历史、Cookie 和站点缓存等数据可能在会话之间保留，除非手动清除。
  

• 会话数据（例如标签页、站点数据、Cookie、历史记录）在发生以下情况时将被清除：关闭 Android 版 Tor 浏览器，关闭桌面版 Tor 浏览器（启用 PBM ）或使用其“新建身份”功能

• 卸载 Tor 浏览器将移除所有本地数据。

7. 儿童隐私

这些应用并非为 13 岁以下的儿童设计。 我们不收集任何用户数据。一旦发现此类数据，我们将立即删除。

8. 安全与匿名性

• 所有流量均已加密并通过 Tor 路由
• 桌面版和 Android 版 Tor 浏览器内置防范跟踪和指纹识别的功能，例如：
• 统一的用户代理字符串
• 屏幕尺寸标准化（仅桌面版）
• 网站内容隔离
• Tor VPN 旨在隔离流量，每个应用使用不同的 Tor 线路
• 代码开放供公众审计

9. 本政策的变更

重大变更将通过以下方式体现：

• 更新“生效日期”
• 在本页发布更新政策

10. 同意

By using Tor Browser for Desktop or Android, or Tor VPN you agree to this policy. 如果您不同意本政策，请勿使用这些应用程序。

11. 《通用数据保护条例》与数据保护

Tor Project 致力于保护用户隐私，并支持欧盟《通用数据保护条例》（GDPR）的原则。

在设计与实际运行中，Tor 浏览器（桌面版和 Android 版）不收集、处理或存储任何个人数据，因此 GDPR 并不适用。

如果您对数据保护或我们的隐私实践有任何疑问，您可以通过 frontdesk@torproject.org 联系我们。