簡短結論
若隱私保護是首要考量,且您願意改變使用習慣:
- 極端威脅模型(保護消息來源的記者、身處敵對國家的維權人士、安全研究人員):日常使用 Qubes OS + 在獨立 USB 上保存 Tails 以應對偶發性高風險工作階段。
- 注重隱私但兼顧實用性(您想要一台外觀正常、不會向外傳送資料的電腦):Linux Mint——與 Ubuntu 相容的軟體生態系統、移除了 Canonical 的附加元件、保守的預設設定。
- 最佳商業隱私作業系統:啟用進階資料保護的 macOS Sequoia。閉源的注意事項依然適用,但預設設定優於 Windows,且裝置安全性出色。
- 工作需要使用 Windows:搭配群組原則、BitLocker、Firefox 並經過認真強化設定的 Windows 11 Pro(非 Home 版)。執行一個相當私密的 Windows 11 是可能的——您只需花一個週末進行設定,並在每次重大更新後重新調整。
以下內容是此排名背後的詳細說明——每個作業系統的預設行為、您可以更改的設定,以及無法更改的部分。
Windows 11——反隱私的基準線
Windows 11 是主流選項中最差的,不是因為它有惡意,而是因為 Microsoft 的商業模式將作業系統視為資料產品。具體細節如下:
帳戶要求。 Windows 11 Home 在設定過程中要求 Microsoft 帳戶。本機帳戶的變通方法(OOBE\BYPASSNRO 命令、no@thankyou.com 技巧)不斷被累積更新修補封堵。若選擇「網域加入」路徑,Windows 11 Pro 在設定過程中仍允許使用本機帳戶。
遙測資料。 分為兩個層級:「必要診斷資料」(始終開啟,無法透過設定介面停用——群組原則可以限制,但部分信號仍會傳送)和「選用診斷資料」(完整的瀏覽層級遙測,可關閉但預設為開啟)。Microsoft 公佈了資料字典,這比大多數作業系統廠商做得更多,但基準線是「Microsoft 知道您在做什麼」。
Copilot + Recall。 Recall(在搭載 NPU 的 Copilot+ 電腦上)每隔幾秒截取一次螢幕畫面,進行 OCR 辨識,並建立可搜尋的本機索引。在 2024 年 6 月遭受安全批評後,Microsoft 將其改為選擇加入,對資料庫進行加密,並要求透過 Windows Hello 驗證才能查詢。底層功能仍內建於作業系統中。每次重大更新都會重新引發「Recall 真的還是選擇加入嗎?」的疑問。Copilot 本身會將查詢傳送至 Azure OpenAI,除非您明確停用該功能。
OneDrive 預設設定。 全新安裝會靜默地將您的「文件」、「圖片」和「桌面」重新導向至 %OneDrive%\ 並開始同步。數百萬使用者在未做出有意識決定的情況下,其個人檔案已上傳至 Microsoft 的雲端。
Edge + Bing。 預設瀏覽器將查詢傳送至 Bing。Edge 具備實用的隱私功能(追蹤器封鎖、InPrivate 模式),但其預設行為包括將 URL 傳送至 Microsoft 的 Defender SmartScreen。
您可以做什麼。 Windows 11 是最可強化的作業系統,因為有太多東西可以關閉:
- 使用本機帳戶安裝(Pro 版,或 Home 版使用登錄檔調整)
- 執行 O&O ShutUp10++——包含 100 多個隱私切換開關的精選清單,提供「建議」預設值。套用可在更新後保留的群組原則和登錄檔變更。
- 在安裝期間停用 OneDrive 設定,若不使用則完全移除
- 將 Edge 替換為 Firefox 或 Brave;將預設搜尋引擎改為 DuckDuckGo、Kagi 或 Startpage
- 若不使用,請解除安裝 Cortana、Teams Consumer 和 Xbox 應用程式
- BitLocker(僅限 Pro 版)或 VeraCrypt(Home 版)用於全磁碟加密
- 群組原則:電腦設定 → 系統管理範本 → Windows 元件 → 資料收集
完成此設定後,Windows 11 可以達到與未修改的 Ubuntu 大致相同的隱私水準。持續的代價是在每次功能更新(20H2、22H2、23H2、24H2 每次都重新引入了某些行為)後重新審視您的設定。
macOS Sequoia 15——最佳商業隱私作業系統
macOS Sequoia 預設設定明顯優於 Windows 11,但「優於 Microsoft」與「具有隱私保護」並不相同。
Apple 的遙測資料——分析、裝置分析和 iCloud 分析——在歐盟全新安裝時預設關閉(GDPR),在美國預設開啟(您可以在設定 → 隱私與安全性 → 分析與改進中停用)。Apple 公佈了其隱私政策,並對裝置端處理做出具體聲明,但由於作業系統是閉源的,您無法獨立驗證這些聲明。
iCloud 預設設定。 若您使用 Apple ID 登入,照片、聯絡人、日曆和 iCloud Drive 預設同步。iCloud 訊息除非啟用,否則預設關閉。進階資料保護(大多數類別的端對端加密 iCloud——照片、備忘錄、Drive、備份)為選擇加入功能,需要所有裝置支援 iOS 16.2+/macOS 13+。Apple 在設定過程中刻意淡化此功能,因為啟用後意味著若您失去存取權限,Apple 也無法恢復您的資料。
Siri + Spotlight。 查詢會傳送至 Apple 進行解析。Apple 表示這些查詢已匿名化且未連結至您的 Apple ID。您可以在 Safari 中停用「來自 Apple 的搜尋建議」,以防止 URL 列輸入內容傳送至 Apple 伺服器。
Apple Intelligence(2024 年新增)。較小的模型主要在裝置端處理,但部分查詢會傳送至 Apple 的「Private Cloud Compute」基礎架構。PCC 使用已驗證的硬體和公開的二進位檔案——這是一種真正創新的隱私架構。在歐盟為選擇加入,在 macOS 15 中其他地區也同樣為選擇加入。
Gatekeeper + 程式碼簽署。 您執行的每個應用程式都會透過 Apple 的公證服務進行簽署檢查。首次執行的應用程式會回報 Developer ID 雜湊——Apple 理論上可以記錄每台 Mac 在何時執行了哪些應用程式。這是一項具有隱私代價的安全功能。sudo spctl --master-disable 可關閉簽署強制執行,但不建議這樣做。
優勢。
- Apple Silicon + Secure Enclave = 強大的裝置安全性,生物辨識解鎖與硬體綁定
- App Store 應用程式具有隱私標籤(開發者自行申報,但仍能呈現資訊)
- 權限模型嚴格——應用程式在讀取聯絡人、日曆、相機、麥克風、位置之前必須請求授權
- FileVault(全磁碟加密)易於啟用,並使用 Secure Enclave
- 無強制防毒軟體回報
弱點。
- 閉源——隱私聲明僅是 Apple 的一面之詞
- iCloud 選擇退出設定分散在各個設定面板中
- 進階資料保護設定過程繁瑣(Apple 刻意增加啟用難度)
- 硬體鎖定——若您足夠重視隱私保護以至於想要驗證,您可能更希望使用可審計的 Linux
實際設定。 全新安裝 → 拒絕選用分析 → 啟用 FileVault → 若所有裝置都支援,請啟用進階資料保護 → 安裝 Firefox → 在決定確切同步哪些類別之前,不要登入 iCloud。
Ubuntu 24.04 LTS——最流行的 Linux
Ubuntu 是桌面端部署最廣泛的 Linux 發行版,提供合理的隱私基準線。Canonical 在這一議題上有著複雜的歷史。
2013 年 Amazon lens 事件。 在短暫的時期內,Ubuntu Unity 的 Dash 搜尋功能會將查詢傳送至 Amazon 以顯示購物結果「鏡頭」。此事件引發了社群長達數年的信任危機。該功能已在 16.04 中移除,Canonical 此後未再重複此舉。值得了解,因為這影響了長期 Linux 使用者對 Ubuntu 的觀感。
目前的遙測資料。
- Ubuntu Report——安裝期間傳送的一次性、匿名硬體/軟體摘要。選擇加入;執行前您會看到提示。
- Apport——崩潰報告。發行版預設關閉;您可以針對每次崩潰選擇加入。
- Livepatch——核心熱修補。選擇加入;需要 Ubuntu Advantage 訂閱。
- PopCon——軟體套件普及度統計。預設關閉。
- Snap 遙測——Canonical 的 Snap 商店收集安裝/更新計數。比瀏覽器遙測的侵入性更低,但每次安裝 Snap 仍會呼叫 Canonical。
ubuntu-advantage-tools 提示畫面。 最近的 Ubuntu 版本在您 SSH 或開啟終端機時新增了「motd」提示,宣傳 Ubuntu Pro。令人惱火,但不是隱私問題(無對外資料傳輸)。在 24.04 中,可透過在 /etc/default/ubuntu-advantage-tools 中設定 ENABLED=0 來移除或靜音。
Snap 與 apt。 Ubuntu 22.04+ 將 Firefox 以 Snap 套件形式發佈。Snap 商店會與 Canonical 的伺服器通訊;傳統的 apt 套件會與您設定的任何鏡像站通訊。若「所有流量都經過 Canonical」的路由方式讓您感到不安,可切換至 ppa:mozillateam/ppa 的 Firefox apt 套件,或直接從 flatpak 安裝 Firefox。
優勢。 開源、可審計、龐大的套件選擇、良好的硬體支援、22.04+ 預設使用 Wayland、GNOME 46 具有合理的隱私預設設定。
弱點。 Canonical 的商業利益有時指向使用者資料;若您使用 Snap,Snap 遙測無法避免;「Ubuntu Advantage」品牌提示可見。
實際設定。 全新安裝 → 拒絕 Ubuntu Report → 停用 Apport → 停用 PopCon → 以 apt Firefox 或 Flatpak 取代 Snap Firefox → 在安裝期間啟用 LUKS 全磁碟加密 → Firefox 搭配 uBlock Origin。
Fedora 41——上游優先的 Linux
Fedora 是 Red Hat(IBM)的社群發行版,用作 RHEL 的上游。隱私方面與 Ubuntu 相似,但有一些差異。
無 Canonical 同等情況。 Red Hat / IBM 不向桌面使用者宣傳「Advantage」訂閱;企業授權存在於 RHEL 而非 Fedora 上。無提示畫面,無強制升級提示。
預設遙測資料。 極少。Fedora Report(硬體普查)正在 42 版本中引入——社群持續討論中,目前狀態為選擇加入。ABRT(崩潰報告)為選擇加入;發生崩潰時您會看到通知,可自行決定是否提交。
SELinux 預設強制執行。 這是安全功能,而非隱私功能——它限制程序層級的漏洞利用,使受入侵的應用程式無法讀取系統上的所有內容。Ubuntu 使用 AppArmor 達到相同目的,但預設姿態更為寬鬆。SELinux 更為嚴格。
Flatpak + dnf。 Fedora 的套件管理器。Flathub Flatpak 與 Flathub CDN 通訊(不是遙測信號,只是下載);dnf 與 Fedora 鏡像站通訊。
Wayland 優先。 每個桌面版本(GNOME、KDE、XFCE 等)都預設使用 Wayland 工作階段,相比 X11 在 GUI 應用程式之間具有更好的隔離性(應用程式無法截取彼此的螢幕或嗅探按鍵輸入)。
優勢。 無 Canonical 式商業模式,SELinux 強制執行,快速的上游追蹤(核心/Mesa/GNOME 均比 Ubuntu 更新)。
弱點。 追蹤最新版本可能意味著「因驅動程式回歸而導致某些功能故障」;每個版本 13 個月的支援週期,相比 Ubuntu LTS 的 5 年更短。
實際設定。 全新安裝 → 拒絕崩潰報告(首次觸發時會出現提示)→ 在安裝期間啟用 LUKS → Firefox 已預先安裝,在 Fedora Workstation 上不是 Flatpak 套件。
Linux Mint 22——預設設定最具隱私保護的 Linux
Linux Mint 是 Ubuntu 長期維護的精簡版本。他們採用上游 Ubuntu LTS,移除 Canonical 的附加元件,以 Cinnamon(或 Xfce / MATE)取代桌面環境,然後發布。您將獲得:
預設無 Snap。 Mint 明確移除 Snap 並封鎖 apt 安裝 Snap 守護程式。Firefox 從 Mozilla 的 PPA 以常規 apt 套件形式安裝。無提示畫面。
無 Ubuntu Report,無 ubuntu-advantage-tools。 Mint 停用或解除安裝了 Canonical 的商業附加元件。
無遙測資料。 Mint 本身不會向外傳送資料。崩潰報告已關閉。更新管理器會與 Mint 的鏡像站通訊以獲取更新——這是標準的套件管理器流量——但不報告使用情況。
LMDE 備選方案。 若您想要無 Canonical 的 Mint 版本,LMDE(Linux Mint Debian Edition)使用 Debian Stable 作為基礎。相同的桌面體驗,不同的上游。
Cinnamon。 GNOME 的一個分支,優先考慮傳統的類 Windows 桌面。相比 GNOME 不那麼「現代」,相比 KDE 鍵盤驅動程度較低,但對從 Windows 切換的使用者而言更易於上手。
優勢。 在所有主流發行版中最保守的隱私預設設定。龐大的社群。穩定。透過 Ubuntu 基礎提供良好的硬體支援。
弱點。 採用新技術較慢(Wayland 在 Mint 22 中仍為選擇加入,預設為 X11)。Cinnamon 的貢獻者少於 GNOME 或 KDE。Ubuntu 上游意味著您繼承了 Ubuntu 的錯誤,只是沒有其遙測資料。
實際設定。 全新安裝 → 在安裝期間啟用 LUKS → 更新 → 安裝 Firefox(已預先安裝)+ uBlock Origin → 完成。Mint 是「安裝並使用」即可獲得合理隱私保護的發行版,無需額外工作。
Qubes OS 4.2——以隔離分區作為威脅模型
Qubes 自成一類。Qubes 不是試圖讓一個作業系統更具隱私保護,而是假設任何單一系統都將被入侵,並利用虛擬化技術隔離影響範圍。
運作原理。 Qubes 透過 Xen 超管理器在裸機上執行。每個「VM」(在其術語中稱為 qube)執行一次性的 Linux 使用者空間——通常是 Fedora 或 Debian 範本。當您點擊電子郵件附件時,它會在一個 DisposableVM 中開啟,關閉後即被銷毀。您的銀行業務在其自己的 AppVM 中進行,僅能存取您的銀行網路。瀏覽隨機連結發生在透過 Tor 路由的 Whonix-Workstation qube 中。
使用者體驗代價。 qube 之間的複製貼上需要明確的鍵盤快捷鍵(Ctrl+Shift+V)來確認傳輸。qube 之間移動的檔案需透過專用的 FileCopy 對話框。您失去了普通作業系統「所有東西在同一桌面上運作」的假設——但您獲得了真正的安全邊界。
安全特性。
- 工作 qube 中的瀏覽器漏洞無法存取個人 qube 中的檔案。
- 受入侵的 PDF 閱讀器無法竊取您的加密貨幣錢包。
- 插入的 USB 隨身碟在專用的 sys-usb qube 中掛載——若它載有惡意軟體,會衝擊一次性虛擬機,而非 dom0(受信任的控制域)。
- dom0 完全沒有網際網路存取權限;您在 dom0 上根本無法執行瀏覽器。
硬體需求。 最低 16 GB 記憶體(Qubes 建議 16 GB),實際需要 32 GB。快速 SSD(建議 NVMe)。支援 VT-x + VT-d 的 Intel CPU;特定筆記型電腦在硬體相容性清單中(較新的 ThinkPad、Framework、System76 Oryx Pro)。
透過 Whonix 整合 Tor。 Qubes 開箱即提供 Whonix 範本——一個雙虛擬機設定,一個虛擬機進行 Tor 路由,另一個執行您的瀏覽器,即使瀏覽器被完全入侵也無法得知真實 IP。這是除 Tails 外最佳的 Tor 架構。
優勢。 高風險使用者的黃金標準安全模型。開源。Snowden 和高價值記者公開使用。
弱點。 陡峭的學習曲線(需要 2-4 週才能熟練)。硬體需求高。硬體支援有限——特定筆記型電腦清單,而非「大多數現代硬體」。無商業軟體;您只能使用 Linux 應用程式。
實際設定。 Qubes 自己的安裝指南非常出色。為首次安裝和學習 qube 模型預留一個週末的時間。搭配相容筆記型電腦使用(查看其 HCL 清單——不要購買隨機硬體)。
Tails 6.x——USB 上的無痕工作階段
Tails(The Amnesic Incognito Live System)是一個基於 Debian 的即時作業系統,從 USB 啟動,關機時清除所有資料。所有對外連線都被強制透過 Tor——若應用程式中的錯誤嘗試建立直接連線,它會失敗而非洩漏資訊。
使用方式。 從 Tails USB 啟動目標機器。使用它。重新開機。機器的硬碟從不被觸及(除非您明確選擇加入)。除人類記憶外,工作階段不留下任何痕跡。
持久存儲。 選擇加入,在同一 USB 上,以 LUKS 加密。允許您在重新開機之間保留特定資料夾、Tor 橋接設定和少量應用程式。其他所有內容保持無痕。
Tor 路由。 所有流量。無「分流隧道」,無「基於域名的豁免」。無法使用 Tor 的應用程式simply無法連線。這是嚴格的,偶爾令人惱火(部分視訊會議無法使用,大多數銀行網站封鎖 Tor 出口),但這是其安全特性。
優勢。 設計本質為無痕——遺失的 USB 不會洩漏您的工作階段。預設 Tor——不可能意外洩漏您的真實 IP。小型攻擊面——最小化的軟體堆疊。由非營利組織良好維護。
弱點。 不適合日常使用。從 USB 啟動較慢。軟體選擇刻意有限。Tor 延遲會影響許多商業服務。除非選擇加入,否則重新開機後無持久系統狀態。
最適合。
- 過境(在海關前重新開機進入正常作業系統)
- 與新聞線人會面
- 研究不應與日常身分混合的敏感主題
- 任何「您現在所做的事不得與您平時身分關聯」的工作階段
實際設定。 從 tails.net 下載 Tails,驗證簽章(非常重要),燒錄至 8 GB 以上的 USB,從目標機器啟動(可能需要調整 BIOS/UEFI 設定)。若需要在工作階段期間執行 sudo 命令,請設定管理員密碼。
比較表
| 作業系統 | 遙測資料(預設) | 需要帳戶 | 開源 | 預設全磁碟加密 | 雲端預設設定 | 隱私評分 |
|---|---|---|---|---|---|---|
| Windows 11 Home | 始終開啟 + 僅選擇退出 | 是(Microsoft) | 否 | 有時(自動裝置加密) | OneDrive 開啟 | ★☆☆☆☆ |
| Windows 11 Pro | 可透過群組原則降低 | 否(網域加入選項) | 否 | 是(BitLocker) | OneDrive 開啟 | ★★☆☆☆ |
| macOS Sequoia | 歐盟選擇退出,美國預設開啟 | 建議(Apple ID) | 否 | 否(使用者必須啟用 FileVault) | iCloud 照片同步開啟 | ★★★☆☆ |
| Ubuntu 24.04 | 僅安裝時選擇加入 | 否 | 是 | 安裝時可選 | 無(Snap 遙測) | ★★★★☆ |
| Fedora 41 | 選擇加入崩潰報告 | 否 | 是 | 安裝時可選 | 無 | ★★★★☆ |
| Linux Mint 22 | 無 | 否 | 是 | 安裝時可選 | 無 | ★★★★★ |
| Qubes OS 4.2 | 無 | 否 | 是 | 是(強制 LUKS) | 無 | ★★★★★ |
| Tails 6.x | 無 | 否 | 是 | 持久存儲卷可選 | 無(Tor 路由) | ★★★★★ |
(星級是「遙測負擔 + 閉源扣分 + 全磁碟加密預設 + 雲端鎖定」的粗略綜合評估。這不是唯一重要的因素——經過強化的 Windows 11 Pro 可以比設定馬虎的 Ubuntu 更具隱私保護。)
依使用情境的推薦建議
1. 注重隱私但同時需要主流軟體的消費者(Adobe、遊戲、Office、Zoom 等)。 搭配 BitLocker + O&O ShutUp10++ + Firefox + 本機帳戶的 Windows 11 Pro。或雙重開機——需要的應用程式使用 Windows,其他所有事務使用 Linux Mint。
2. 知識工作者、開發人員、學生、作家。 Linux Mint 搭配 LUKS + Firefox + uBlock Origin。90% 的 Windows/macOS 工作流程可以順暢地遷移至 Mint。大多數文件使用 LibreOffice,若需要更好的 Microsoft Office 相容性則使用 OnlyOffice。
3. 使用 Adobe Creative Cloud 的內容創作者/設計師。 macOS Sequoia 搭配 FileVault + 進階資料保護 + Firefox。Adobe 在 macOS 上的支援是真實的;在 Linux 上則較為繁瑣(Wine/Bottles 適用於部分應用程式,並非全部)。Apple Silicon 在視訊工作上的效能在三個商業選項中確實是最佳的。
4. 處理敏感材料的記者/維權人士/研究人員。 在相容硬體上使用 Qubes OS 進行日常工作 + USB 上的 Tails 應對偶發性高風險工作階段。若可能,使用獨立的實體裝置分別處理「公開身分」和「敏感工作身分」。
5. 偶發性高風險工作階段(過境、與線人會面、研究某個主題)。 在乾淨機器上從 USB 啟動的 Tails,完成後關機。在不擦除持久存儲卷的情況下,不要在不同風險情境下重複使用同一 USB。
6. 正在學習使用電腦的長輩。 以簡易性為由選擇 Chromebook 上的 ChromeOS,或者若有家庭成員能進行初始設定,則選擇 Linux Mint Cinnamon。避免使用 Windows 11 Home——單是 Microsoft 帳戶設定步驟就令人困惑,對輕度使用者而言清理工作並不值得。
我們實際使用什麼
坦白說:ipdrop.io 團隊使用多種系統——macOS 用於內容/設計/日常工作,另一台機器上的 Linux Mint 用於開發/敏感工作,以及一個抽屜裡的 Tails USB,每年大約使用 3-4 次。我們尊重 Qubes 但不日常使用——摩擦確實存在,且我們的威脅模型不需要它。
無論您選擇什麼,最重要的隱私舉措不是作業系統——而是啟用全磁碟加密、使用密碼管理器,以及不將敏感身分混入日常瀏覽器。作業系統的選擇是框架;使用習慣才是圖畫。
相關資源
- 隱私保護清單 — 審計您帳戶的 20 個步驟
- 什麼是 VPN? — 作業系統之上的網路隱私層
- 加密電子郵件 — Proton Mail、Tutanota、Mailbox.org 比較
- 加密檔案儲存 — Proton Drive、Tresorit、Sync.com 比較
- Proton Pass 與 Bitwarden — 密碼管理器深度評測