📅 原文發布:2026 年 2 月|最後更新:2026 年 4 月 本文條款內容已於 2026 年 4 月對照三家官方隱私政策頁現況校對確認。 各家政策隨時可能調整,建議參考本文後仍至官方政策頁確認最新版本。
把幾百組帳號密碼全部交給一個 App 保管,但從來沒去讀過這個 App 的隱私政策——這件事比你想的更常見。
大多數人選密碼管理器的邏輯是:推薦文說好用就用、評分高就付費、朋友在用就跟著用。「隱私政策」那個連結在 App 裡點開來通常是十幾頁的法律英文,直接關掉。
但這是一個專門用來存放你所有機密的工具。如果你對任何一個 App 的隱私政策應該有所了解,密碼管理器是排第一個的。
這篇不是功能比較文(功能與費用比較看這篇),也不是安裝教學。我把三家的隱私政策逐條讀過,整理成你能看懂的格式——它們各自蒐集什麼、會分享給誰、有沒有辦法驗證它們說的是真的。
「零知識」架構:不是你以為的全部保護
三家都有在宣傳「零知識(Zero-Knowledge)架構」,但這個詞的涵蓋範圍比你想的窄很多。
零知識架構保護的是「密碼庫內容」——你存的帳號密碼、信用卡號、安全備忘,這些資料在你的裝置上加密後才上傳到伺服器,三家都做到了,廠商在技術上確實「看不到」你存的密碼。
零知識架構保護不了的是「行為數據」:
- 你什麼時間點開了 App
- 你用了哪些功能(是否開啟了 Autofill、是否查看了外洩報告)
- 你的 IP 位址、裝置型號、作業系統版本
- 你的 Email、姓名、付款方式
這些資料三家都在蒐集,只是用途和保留時間不同。「零知識」不等於「不蒐集任何你的資料」,這個差距很重要。
Bitwarden 隱私政策:透明度最高,但有 Google Analytics
蒐集什麼:
Bitwarden 把資料分三類:
- 密碼庫資料(Vault Data):完全加密,Bitwarden 宣稱無法存取
- 行政資料(Administrative Data):姓名、Email、電話、付款資訊、帳號使用記錄
- 網站資料(Website Data):IP 位址、裝置資訊、Cookies、表單填寫內容
會分享給哪些第三方:
政策明確列出的第三方服務商類別:資料庫托管與雲端服務、付款處理、Email 通訊、客服、分析、安全驗證。
其中需要注意的是 Google Analytics——Bitwarden 的網站和後台有使用 GA 進行行為分析,雖然官方說可以透過 tools.google.com/dlpage/gaoptout 退出,但這個追蹤存在本身對一個強調隱私的密碼管理器是個需要留意的細節。
資料保留多久:
行政資料保留到你是客戶的期間,以及法律要求的期限。帳號刪除後依保留政策處理。
最關鍵的一點:
Bitwarden 是三家裡唯一開源的。客戶端程式碼公開在 GitHub(AGPL 授權),任何人都可以自行審查它的安全實作。Cure53(德國知名資安公司)在 2022 年和 2024 年各做了一次完整稽核,完整稽核報告公開,不只是摘要。
此外,Bitwarden 是三家裡唯一提供自架選項的:使用 Vaultwarden(開源替代後端)可以把密碼庫完全放在自己的伺服器上,連 Bitwarden 公司的基礎設施都不需要依賴。這個選項徹底排除了任何第三方信任需求。
管轄地:
Bitwarden Inc. 總部在加州聖塔芭芭拉,屬美國管轄,是「五眼聯盟」成員國。對強調避開特定司法管轄的用戶,這個地點需要納入考慮。
1Password 隱私政策:蒐集最少,但閉源是信任基礎
蒐集什麼:
1Password 政策(最新版 2026-01-24)把資料分三類:
- 你主動提供的資料:聯絡方式、付款資訊、帳號設定偏好
- 自動蒐集:技術使用資訊(IP、裝置、瀏覽器)、功能互動模式、診斷資料
- 來自第三方:行銷平台、整合服務的資料(需管理員授權時)
根據幾個獨立評測機構(包含 cyberinsider.com)的分析,1Password 在三家中蒐集的個人資料量最少。政策明確寫道:「你的加密資料是你的財產,我們主張的權利僅限於向你提供服務所必要的範圍。」
會分享給哪些第三方:
政策列出:支援服務的服務商、行銷目的的合作夥伴、商業帳號的管理員(組織帳號情境下)、法律要求時的主管機關。
最重要的安全機制——Secret Key:
1Password 有一個競品沒有的設計:Secret Key。這個密鑰在你設定帳號時在你的裝置上本地生成,不上傳到 1Password 伺服器。登入時使用 SRP(Secure Remote Password)協定,密碼本身不需要傳輸到網路上就能完成驗證——即使 1Password 的伺服器被攻擊,沒有你的 Secret Key,攻擊者也拿不到你的密碼庫解密密鑰。
但核心問題在這裡:
1Password 是閉源的。你沒辦法自己讀程式碼驗證它說的安全設計是不是真的在執行。你只能依賴它的第三方稽核報告——確實有做稽核(Cure53),但完整報告不像 Bitwarden 一樣對外完整公開,只有摘要。
這不代表 1Password 不安全,它的信任基礎是多年的企業聲譽、稽核記錄、和 AgileBits 公司的誠信——只是這個信任是「信任公司」,不是「可以自己驗證的技術事實」。
管轄地:
1Password / AgileBits 總部在加拿大多倫多,同屬五眼聯盟。
Dashlane 隱私政策:最大的問題是 VPN 第三方
蒐集什麼:
Dashlane 的蒐集範圍比較細緻,政策列出了明確的資料保留時間:
- 帳號刪除後 30 天:Registration Data、Billing Data、裝置資料(30 天後匿名化)
- IP 位址:生產日誌保留 45 天,備份另保留 1 年
- 支援錄音:最多保留 2 年
- Secured Data(加密密碼庫):帳號刪除時立即清除;13 個月未活動的帳號也會觸發刪除
這個條款透明度在三家中是最高的——Bitwarden 和 1Password 的資料保留政策都用模糊的「依法律要求」帶過,Dashlane 給出了具體的天數。
VPN 第三方問題——這是最需要注意的地方:
Dashlane Premium 內建 VPN,但這個 VPN 不是 Dashlane 自己做的,而是由 Hotspot Shield(AnchorFree) 提供。
Dashlane 官方政策寫明「部分功能(包含暗網監控與 VPN)由第三方合作夥伴提供」。這代表:
- 你使用 VPN 功能時,你的流量會通過 Hotspot Shield 的伺服器
- Hotspot Shield 有自己獨立的使用條款和隱私政策
- Dashlane 的「我們不分享你的 Secured Data」聲明,不涵蓋你透過他們 VPN 產生的網路流量
換句話說,你以為在用一個隱私工具,但 VPN 的部分在 Hotspot Shield 的基礎設施上跑,適用的是 Hotspot Shield 的隱私條款。
行銷用途資料分享:
Dashlane 政策明確說,為了避免對既有用戶顯示廣告,他們會把雜湊過的 Email 和裝置 ID 分享給廣告合作夥伴。技術上雜湊後是不可逆的,但這個分享行為本身的存在,對一個密碼管理器來說算是一個值得留意的條款。
免費方案已於 2025 年 9 月停用:
如果你現在還在用 Dashlane 免費帳號,它在 2025-09-16 已轉為唯讀(只能查看,無法新增或修改密碼),並且將在 2026-09-16 永久刪除。如果資料還存在裡面,需要在這個日期之前匯出。
管轄地:
Dashlane 總部在美國紐約,子公司在法國巴黎。跨司法管轄,適用 GDPR 和 CCPA。
三家橫向比較評分
以下評分基於官方政策文件、公開稽核資料與第三方技術評測(查證日:2026-04-26)。
| 評分維度 | Bitwarden | 1Password | Dashlane |
|---|---|---|---|
| 隱私政策透明度 | ★★★★★ | ★★★★☆ | ★★★★☆ |
| 資料蒐集量 | ★★★★☆ | ★★★★★ | ★★★☆☆ |
| 第三方分享條款 | ★★★★☆ | ★★★★☆ | ★★★☆☆ |
| 開源 / 稽核透明度 | ★★★★★ | ★★★☆☆ | ★★★☆☆ |
| 自架 / 脫離廠商可能性 | ★★★★★ | ★★☆☆☆ | ★☆☆☆☆ |
| 資料保留條款具體性 | ★★★☆☆ | ★★☆☆☆ | ★★★★★ |
補充說明各維度:
隱私政策透明度:Bitwarden 開源 + 完整稽核報告公開是最強的;Dashlane 給出具體保留天數加分;1Password 稽核報告不完整公開扣半顆星。
資料蒐集量:1Password 蒐集的個人資料在三家中最少(獨立評測確認);Bitwarden 使用 Google Analytics 輕微扣分;Dashlane 的行為數據蒐集範圍較細緻。
第三方分享條款:Bitwarden 和 1Password 都明確限制第三方用途;Dashlane 與廣告夥伴的雜湊 Email 分享行為在密碼管理器中相對罕見。
開源 / 稽核透明度:Bitwarden 的差距主要在這一維度——開源程式碼可自行審查,稽核報告完整公開,遠優於另外兩家。
自架 / 脫離廠商可能性:只有 Bitwarden 提供自架(Vaultwarden)。不使用 Bitwarden 公司的雲端服務就可以使用 Bitwarden,這在三家中是唯一做到的。
2026 年 ETH Zurich 安全漏洞研究:三家都受影響
這一點值得單獨提,因為評估隱私政策時不能忽略底層安全現況。
2026 年 2 月,瑞士聯邦理工學院(ETH Zurich)研究人員披露了針對主流雲端密碼管理器的安全研究,發現 Bitwarden、1Password、Dashlane(以及 LastPass)存在共計 27 處安全漏洞,攻擊向量主要集中在瀏覽器延伸套件的 Autofill 行為(惡意網頁可能在特定條件下誘發自動填入)。
三家對此的回應速度和補丁更新情況不同,但這件事說明的不是「不能用密碼管理器」,而是:
你信任一個密碼管理器的條件,不是「它說自己安全」,而是「它有沒有機制讓你驗證它是安全的、出事時有沒有快速的修補程序」。
在這個標準下,Bitwarden 開源的優勢最大——漏洞被發現時,社群可以直接看程式碼確認問題範圍,而不是等廠商公告。
缺點不省略
Bitwarden 的現實限制:
- 免費版不含 TOTP(2FA 整合),需升 Premium($19.80/年)才有
- 行動版 App 設計陽春,視覺體驗明顯不如 1Password
- 使用了 Google Analytics,對極度重視隱私的用戶是矛盾點
- 自架的 Vaultwarden 需要懂 Docker,普通用戶不適合
1Password 的現實限制:
- 閉源,信任基礎是公司聲譽 + 稽核報告,不是可自行驗證的程式碼
- 無免費方案(14 天試用後必須付費),無法先用再決定
- 2026 年漲價 33% 後,$47.88/年 的 CP 值明顯下降(詳見1Password 漲價評測)
Dashlane 的現實限制:
- VPN 由第三方 Hotspot Shield 提供,這部分不在 Dashlane 的隱私聲明保護範圍內
- 比 1Password 更貴($4.99/月 ≈ $59.88/年),是三家最貴的
- 免費帳號已停用,2026-09-16 起永久刪除——如果你還在用免費版,現在要處理
- 與廣告夥伴分享雜湊 Email 的做法對密碼管理器而言不理想
結論:如果隱私是你唯一的判斷標準
直接說結論,不模糊:
最注重隱私政策透明度的選擇:Bitwarden
開源可自行審查、稽核報告完整公開、可自架脫離任何廠商依賴——這三點在密碼管理器市場無競品可對標。如果你對「我怎麼知道你說的是真的」這個問題有強烈需求,Bitwarden 是唯一可以給你「你可以自己查」這個答案的選項。
最注重「蒐集少」的選擇:1Password
如果你不打算自行審計程式碼,只是想選一個蒐集最少個人資料的商業產品,1Password 在這個維度評分最高。漲價後的 $47.88/年 費用是否值得需要另外評估(見前篇)。
Dashlane:除非你具體需要內建 VPN
VPN 整合本身是獨特功能,但 Hotspot Shield 的第三方問題讓它在純隱私比較中處於劣勢。如果你需要 VPN,買一個獨立的 VPN(NordVPN 或 ProtonVPN)加上 Bitwarden 免費版,比訂 Dashlane Premium 在隱私保護上更可控。
最後說一件更根本的事:
三家都做到了密碼庫資料不可被廠商存取,這個基礎是成立的。但隱私政策裡真正值得在意的,是密碼庫以外的行為數據——你什麼時間點開 App、用了什麼功能、IP 是什麼——這些資料三家都在蒐集,差異只在透明度和保留時間。讀隱私政策的目的,不是期待找到一個「什麼都不蒐集」的工具,而是知道你在用的工具蒐集了什麼,然後做出有依據的選擇。
相關文章: