Privacy Policy for Tor Browser for Desktop, Tor Browser for Android, and Tor VPN

Effective Date: Oct 30, 2025

此隱私政策涵蓋:

  • Android 版 Tor 瀏覽器
  • 桌面版 Tor 瀏覽器
  • Tor VPN

它說明每個應用程式如何存取、收集、使用和共享用戶數據。

1. 開發人員及聯絡資訊

開發人員: The Tor Project, Inc.
網址: https://www.torproject.org
支援/查詢: https://support.torproject.org
隱私聯絡電郵: 隱私聯絡

2. 通用隱私原則

所有 Tor 應用程式的設計,是為著要最大程度保護用戶隱私和匿名性:

  • 不收集用戶的個人或敏感資料
  • 沒有追蹤、遙測或分析
  • 沒有用戶帳戶或身份聯繫
  • 開源和隱私設計

3. 特定應用程式數據實務

Tor 瀏覽器(Android 和桌面版)

  • 不收集 IP 位址、瀏覽記錄、裝置 ID 或位置
  • 所有經過 Tor 網絡的連線都確保匿名,除一項例外:
    • 在受限制或審查的環境中,Tor 瀏覽器可能會使用反審查工具,例如可插拔傳輸(PTS)(例如Moat)來獲取橋接器資訊。
    • 這些工具需要一個簡短的非 Tor連線(稱為信號通道),來取得連接 Tor 網絡所需的數據。
    • 當 Tor 瀏覽器無法直接連線時,此後備措施可能會自動執行,或者由用戶手動選擇。
    • Tor Project 在這些信號請求期間不會記錄任何個人識別資訊。
  • 只限臨時工作階段緩存,在退出或用戶選取「新身份」時清除

In order to provide user control and ensure privacy-preserving functionality, Tor VPN stores certain user-configured settings locally on the device.

Examples of such settings include:

  • Selected bridge relays or custom bridge configurations
  • Exit node preferences (e.g., country selection)
  • Per-app routing rules (which apps should or should not be routed over Tor)

These preferences:

  • Are stored only on the user's device
  • Are used solely for local functionality and configuration
  • Can be deleted at any time via in-app settings or by uninstalling the app

Tor VPN

  • No user sign-in, tracking, or identity linkage
  • No remote telemetry or usage logging
  • Local-only session stats (duration, bandwidth), discarded after session
  • Local-only session logs, visible in the Logs view, are discarded after the VPN is stopped and the app is quit
  • No access to contacts, files, or personal identifiers

In order to provide user control and customization, Tor VPN stores certain user-configured settings locally on the device. These settings are never transmitted to The Tor Project or any third party, and are not linked to user identity or device information.

These include:

  • Selected bridge relays or custom bridge configurations
  • Exit node preferences (e.g., country selection)
  • Per-app routing rules (which apps should or should not be routed over Tor)
  • List of installed apps (used locally to manage per-app routing)
  • List of protected apps (required to enforce traffic routing exceptions)
  • "Start on boot" preference
  • Preferred manual launcher (if any)

These settings:

  • Are stored only on the user's device
  • Are used solely for local functionality and configuration
  • Can be deleted at any time via in-app settings or by uninstalling the app
  • Never transmitted to The Tor Project or any third party
  • Not linked to identity or device information

Note: The list of installed apps and protected apps are necessary for the app’s VPN enforcement logic — to guarantee that all apps are routed over Tor unless explicitly exempted by the user.

4. 權限(Android)

Android 版 Tor 瀏覽器現時需要以下權限:

  • INTERNET — 連接到 Tor 網絡
  • WAKE_LOCK — 防止裝置在主動使用的過程中進入休眠狀態(例如:影片播放)
  • MODIFY_AUDIO_SETTINGS — 由 WebRTC 相關的組件要求(註:WebRTC 在構建時間被永久停用)
  • HIGH_SAMPLING_RATE_SENSORS — 用於某些 JavaScript API;時間調節受 Tor 瀏覽器隱私保護壓制

這些權限與數據收集無關,其旨在支援從 Firefox(Fenix)基礎版本繼承的功能。我們會定期檢視和查核繼承的權限,確保它們不會損害用戶的隱私或導致資料外洩。

Android 版 Tor 瀏覽器沒有要求以下存取:

  • 聯絡我們
  • 位置
  • 裝置識別(如: IMEI、Android ID)
  • 外置儲存或檔案
  • 電話通話紀錄或SMS數據
  • 用戶帳號或登入憑證

在預設情況下,系統不會要求存取相機、麥克風或裝置感測器。但是,用戶可在特定情況下可授予這些權限,例如:

  • 使用URL網址列掃描QR碼
  • 允許特定網站的功能(例如:視像會議)

All such requests are subject to Android’s runtime permission model, users are in control of granting or denying said access, and is limited in scope and durtation.

Tor VPN Tor VPN requests the following Android permissions in order to function properly. These are limited to what is strictly necessary for VPN operation, user control, and system integration. No permissions are used for telemetry, user tracking, or personal data collection.

Permissions required:

  • INTERNET — to connect to the Tor network and route traffic
  • BIND_VPN_SERVICE — to create and maintain secure VPN connections
  • ACCESS_NETWORK_STATE / ACCESS_WIFI_STATE — to detect network availability and changes
  • RECEIVE_BOOT_COMPLETED — to optionally start Tor VPN on device boot (if the user enables “Start on boot”)
  • QUERY_ALL_PACKAGES — used locally to display a list of installed apps for per-app routing settings (never transmitted or logged)
  • WAKE_LOCK — prevents the device from sleeping during active VPN use
  • FOREGROUND_SERVICE / FOREGROUND_SERVICE_SYSTEM_EXEMPTED — to comply with modern Android requirements for long-running VPN services
  • VIBRATE — used only for optional in-app notifications (e.g., connection status)
  • POST_NOTIFICATIONS — used for connection status notifications when enabled (Android 13+)

These permissions are not used to collect, transmit, or share personal data. All permissions are either essential for VPN functionality or provide local-only features controlled by the user. We routinely audit all permissions to ensure they remain aligned with our privacy-preserving principles.

Tor VPN does not request access to:

  • 聯絡我們
  • 位置
  • Camera, microphone, or sensors
  • Device identifiers (e.g. IMEI, Android ID)
  • 外置儲存或檔案
  • 電話通話紀錄或SMS數據
  • 用戶帳號或登入憑證

5. 資料共享與第三方

  • 不會與第三方分享用戶資料 — 沒有廣告商、分析供應商或他人。

  • 桌面版 Tor 瀏覽器 中,用戶可以透過 about:tor 中的連結手動選擇造訪 https://check.torproject.org 來驗證連線。此操作是自行選擇,由用戶發起,並透過 Tor 傳送。當中不會記錄或儲存任何身份資訊。此檢查不會自動執行,且不存在於 Android 上。

  • 對於桌面版 Tor 瀏覽器,應用程式可能匿名檢查來自Tor Project 伺服器的可用軟體更新。這些更新檢查:

    • 透過 Tor 網絡檢查 Tor Project 伺服器有否提供軟體更新
    • 從 Mozilla 的附加元件服務中獲取擴充套件(例如:像NoScript等捆綁的擴充套件)
    • 這些更新請求並不會連結到用戶身份或裝置資訊。

  • 對於 Android 應用程式,更新會透過應用程式發行平台(例如 Google Play)發行,而非直接來自 Tor Project 伺服器。

  • In those cases, when we distribute our applications through Google Play services, our hands are tied and their terms and policies apply. If you wish to obtain Tor VPN from a no-logging, non-tracking, free and open-source app store, then use F-Droid to do so.

  • 附加元件和擴充套件:用戶可以在 Tor 瀏覽器中安裝其他擴充套件。這些擴充套件可能會自行取得更新或封鎖名單(例如 uBlock Origin 下載過濾清單)。此類請求全部均會透過 Tor 網路傳送,以確保匿名性。

  • 對用戶活動、設定或身份 不會進行同步或雲端備份

6. 資料保留與刪除

  • Tor 瀏覽器不會收集或傳輸任何持續存留的個人資料

然而,用戶需留意以下某些數據可能在本機持續存在的情況:

  • 用戶創建的書籤和下載會儲存到本機設備,亦不會自動刪除。

  • Tor 狀態檔案是Tor 網絡連接所需的(例如守衛節點和共識信息)。此數據為非識別性,僅用於 Tor 功能。

  • 隱密瀏覽模式 (PBM) 行為:

    在 **Android 版**中,PBM 會持續啟用,並阻止在本機上儲存歷史記錄、Cookie 或工作階段數據。

在**桌面版**中,PBM 預設為啟用,但可在瀏覽器設定中停用。在這種情況下,除非手動清除,否則瀏覽歷史、Cookie 和快取的網站資料等數據可能會在工作階段之間保留。

  • 工作階段數據(例如:分頁、網站數據、cookies、歷史記錄)在關閉應用程式(Android),或用戶選擇「新身份」,或關閉瀏覽器(啟用PBM的桌面)時,將被清除

  • 解除安裝 Tor 瀏覽器會刪除所有本機數據。

7. 兒童隱私

這些應用程式不適用於 13 歲以下兒童。我們不會收集任何人的任何數據。如果我們發現此類數據,將會把其刪除。

8. 安全與匿名性

  • 所有流量均已加密並透過 Tor 傳送
  • 桌面版和 Android 版 Tor 瀏覽器包含防追蹤和防數位指紋識別的內建防禦措施,例如:
  • 統一用戶代理字串
  • 螢幕尺寸標準化(僅桌面版
  • 隔離網站內容
  • Tor VPN is designed to isolate traffic so there is a different Tor circuit used per app
  • 代碼開放供公眾審計

9. 政策變更

重大變更將透過以下方式反映:

  • 更新「生效日期」
  • 在此頁發佈更新的政策

10. 同意

By using Tor Browser for Desktop or Android, or Tor VPN you agree to this policy. If you do not agree with this policy, please do not use the applications.

11. 《通用資料保護規則》(GDPR) 與資料保護

Tor Project 致力於保護用戶隱私並支持歐盟《通用資料保護規則》 (GDPR) 的原則。

由於桌面版和 Android 版的 Tor 瀏覽器在設計和實踐時均不收集、處理或儲存個人數據,因此《通用資料保護規則》(GDPR)不適用於這些應用程式。

如果您對資料保護或我們的隱私處理方法有疑問,可以透過 frontdesk@torproject.org 聯絡我們。