旅行與過境 — 隱私技術棧

邊境人員實際做什麼

在多數有電腦化海關的司法管轄區中，邊境對數位裝置的檢查已成為常規做法。具體而言，人員可能會：

視覺翻閱 — 開啟相簿、最近訊息、瀏覽器分頁、已安裝 App。便宜、常見、不留痕跡。
鑑識萃取 — 將手機連接 Cellebrite / Grayshift / MSAB 等裝置，傾印所有不需鎖碼即可存取的資料，然後對其餘部分進行離線破解。美、英、澳、加在次要檢查時普遍使用；其他國家亦廣泛採用。
雲端取得 — 拿到裝置後從你的帳戶（iCloud、Google）拉取雲端存放的內容。雲端不受裝置鎖碼保護。
扣留裝置 — 為了進行鑑識處理，將裝置留下數日或數週，同時讓你繼續行程但沒有那台裝置。

防禦不是「你沒什麼好藏的」，而是讓那些東西不要出現在過境時的裝置上。整本指南圍繞這個核心。

冷旅行裝置

最強的做法也是最簡單的：用一台不同於日常使用的裝置去旅行。冷旅行裝置：

一支實體上分離的手機（廉價的近期 Android 或第二支 iPhone），重新設定，只裝這趟行程所需的最小應用集——地圖、叫車、飯店/航空、一個訊息 App，可選一個無 KYC 錢包用於開銷。
或一台分離的筆電 — 乾淨的作業系統安裝、沒有工作檔案、沒有已儲存的登入資訊、沒有信箱。二手 ThinkPad 加 Linux 是可行的低預算選項；Chromebook 用訪客模式也是。
登入分離的身份 — 與日常不同的 Apple ID / Google 帳號 / Matrix 帳號，沒有連結的通訊錄或訊息紀錄。
難以關聯 — 如果可能，購買時繞過你家裡的帳單軌跡（在連鎖店現金購買、無帳戶市場的整新品）。

冷裝置存在的意義是讓檢查找到平淡無奇的旅行 App 與其他什麼都沒有。所有你真正在乎的東西——工作信箱、與編輯的訊息串、滿額餘額的錢包、孩子的照片——都留在沒進入檢查區的裝置上。

備份-清除模式

如果你必須帶著真正的裝置旅行（多數人都是），最划算的安全/努力比模式是：

出發前完整加密備份 — Time Machine 到加密外接硬碟、borg / restic 到加密遠端、Signal「設定新裝置」並刪除舊的、開啟 End-to-End 進階資料保護的 iCloud 備份、拿到新 SIM 後使用 Google「轉移到新手機」。
驗證備份可還原 — 實際嘗試在備用裝置或分割區上還原。未測試的備份只是一廂情願。
過境前清除 — 出廠重設，用最小集合重新登入：航空 App、飯店 App、一個訊息 App、一個錢包、一張地圖。帶著乾淨的裝置過境。
旅行後還原 — 一旦過了檢查區並回到你信任的網路上，從備份還原或從加密遠端取回原來的內容。

這個模式之所以有效，是因為多數檢查看的是裝置上有什麼，而不是你的雲端備份。雲端備份也可能被傳票觸及，但那需要法律程序，而不是航廈邊上 20 分鐘的視覺翻閱。這個不對稱性才是重點。

eSIM 對比實體 SIM

無論你選哪個，目標都一樣：別讓家鄉電信商的帳單軌跡跟著你進入境外資料連線。比較：

實體旅行 SIM — 抵達後在攤位購買或提前訂購。當地電信商看得到你做什麼，家鄉電信商看不到。容易在裝置間互換、旅行結束後容易丟棄。缺點：實體 SIM 槽會洩漏；海關可在檢查時取出 SIM，遺失/被竊的手機會把 SIM 一起帶走。
eSIM（實名） — 透過 App 啟用，由你在全球 eSIM 市集的實名帳戶計費。方便。最糟的隱私屬性：把境外連線綁回到一個已知身份。
eSIM（XMR 支付、無 KYC） — 像 Cypher eSIM 這類服務接受 Monero 並發放不綁定帳單身份的 eSIM 啟用碼。最接近「拋棄式 SIM」語意的 eSIM 形式。若你沒有 XMR 餘額可付，參見如何無 KYC 購買 Monero。
連朋友方案的熱點 — 實際上不私密（你的朋友現在出現在你的旅行連線裡），而且通常是稅務上的形狀，朋友的電信商遲早會注意到。

多數旅程：目的地有 XMR 支付的 eSIM 就選那個，沒有的話用當地實體 SIM。把家鄉 SIM 放在家裡的抽屜裡，關機保存。

合法拒絕解鎖

本節高度取決於你身處何地。請把以下視為一份概述，而非法律意見——請查證你即將過境的特定邊境法律。

美國（公民） — CBP 主張可在邊境無令狀要求解鎖。對美國公民拒絕不能導致拒絕入境，但裝置可被扣留以進行鑑識處理。在 2026 年中期之前的美國判例法上，拒絕生物辨識解鎖比拒絕密碼解鎖更具法律辯護空間。
美國（非公民） — 拒絕可能導致拒絕入境、撤銷簽證或被遣返。法律算盤完全不同。
英國 — RIPA 第 49 條可強制揭露密碼；拒絕本身即構成刑事犯罪，最高可處兩年監禁。英國是英語世界中「必須解鎖」最強的制度。
歐盟 — 因會員國而異。法、德、荷有特定判例法；部分國家要求機場鑑識萃取需有令狀，部分則否。
威權政體 — 假設任何拒絕都會被視為可疑行為。在這種地方，冷裝置模式最為重要。

實務上的意義：合法拒絕的槓桿是真的，但因司法管轄區而異，對非公民也不對稱。不要把行程建立在這個槓桿上。把行程建立在「過境的裝置上沒有任何敏感內容」之上，把合法拒絕當作備案，而不是主要防線。

飯店 Wi-Fi、機場充電器、公共 USB

多數旅行隱私指南把這三件事綁在同一段，但它們其實是不同的威脅：

飯店與機場 Wi-Fi — 強制入口頁、有時強制建立帳戶、有時深度封包檢測。防禦很單純：在開啟任何瀏覽器之前就先啟動的 VPN 客戶端、隧道掉線時截斷流量的 kill switch。從最佳無 KYC VPN 短名單挑一個，連線前先啟動。
公共 USB 充電（即「果汁劫持」） — 流行媒體誇大了。現代 iOS 與 Android 預設拒絕與充電器的資料握手；你必須主動同意「信任此裝置」。實際風險是惡意線材，不是惡意插座。便宜的防禦：自備 USB-C 線，或一個 USB 資料阻斷器。不要跟陌生人借線，即便是在貴賓室。
飯店房間乙太網與 TV 輸入埠 — 對旅客來說幾乎不是有用的威脅面；列在這只因指南喜歡提它。跳過。

昂貴的防禦（法拉第袋、每日輪換裝置、專用旅行路由器）適合高不對稱性的旅行——調查報導、異議活動、敵意場所的資安研究。對日常旅行而言只是表演。冷裝置 + 開啟即啟動 VPN + 自己的線材，就涵蓋了現實的第 95 百分位攻擊者。

旅行後的重置

旅程結束。現在：

在重新接入家中網路之前先從境外網路斷開 — 切換 VPN 出口、刪除這趟旅行記住的 SSID、若你用過旅行專用的訊息 App 就登出。
盤點安裝過的 App — 為了「進飯店 Wi-Fi」或「付這台計程車」而裝的東西現在應該移除。應用商店在你解除安裝後仍會洩漏中繼資料；那部分追不回來，但你可以停損。
輪換敏感憑證 — 在你經過未知網路且非端到端加密協定使用過的所有憑證。電郵密碼、交易所登入、那一次在飯店電腦上輸入過的任何登入。
清除冷裝置，或關機收存 — 若你帶了一台專用旅行手機，趁記憶猶新時出廠重設，封存回抽屜以待下次旅行。
若你採用備份-清除模式則從備份還原 — 並驗證還原確實乾淨。

什麼不值得做

有些旅行隱私指南會反覆提及但很少深究的事：

日常旅行用法拉第袋 — 只在威脅模型包括特定場所的 IMSI 抓取或秘密蜂巢追蹤時才有用。從機場到飯店的常規流程，按下關機鍵就夠了。
不假思索就買的「拋棄機」 — 一台 40 美元解鎖 Android 登入你日常使用的 Google 帳號，那不是拋棄機，只是一台比較差的手機。裝置背後的身份才是關鍵；標籤上的價格不是。
在你不理解的裝置上做激進的作業系統強化 — Pixel 上的 GrapheneOS 很優秀當你能管理它時。一台你在邊境櫃台被自己鎖在外的錯誤配置強化裝置，比一台你能順利解鎖的預設裝置更糟。
完全拒絕備份 — 對雲端被傳票的偏執讓旅客連備份都不做。從統計上看，遺失/被竊的裝置遠比你的特定雲端被傳票更可能發生。加密備份勝過沒有備份。