La cosa più comune per aggirare la censura sul Web è l'utilizzo di reti private virtuali: le VPN. Queste sono state sviluppate per consentire alle aziende in diverse località di connettere le proprie reti interne tramite canali crittografati tramite Internet. Le VPN possono anche essere utilizzate per connettere un computer privato da una rete controllata dal governo non libera a un server su Internet gratuito, utilizzando esattamente lo stesso principio.
Ci sono anche varie app con la funzione VPN. Il funzionamento è semplice, una VPN stabilisce una sorta di tunnel crittografato su uno smartphone o computer a un server remoto. Da questo "endpoint", si accede alla rete Internet pubblica. Un esempio pratico: se si sta utilizzando un computer o uno smartphone in Russia, ma il server VPN si trova in Giappone, gli operatori dei siti Web che si visitano penseranno che l'utente connesso si trova in Giappone. Questo gioco "a nascondino" si basa sul fatto che non ci si presenta col proprio indirizzo IP, ma con quello del server VPN.
Di solito i regimi che controllano il traffico Internet sono in grado di rilevare quando qualcuno utilizza una VPN. Tuttavia, non possono rilevare cosa ci sta facendo qualcuno, ovvero quali dati fluiscono avanti e indietro nel tunnel VPN. Alcune dittature hanno vietato l'uso della VPN per questo motivo. Tali regimi bloccano quindi l'accesso ai server VPN all'estero o, in rari casi, addirittura perseguitano gli utenti individualmente. Ma i governi di solito non possono intraprendere un'azione generale contro ogni VPN, perché molte società straniere si affidano anche alle VPN per le comunicazioni interne dell'azienda. Quindi, fintanto che i governi non elencano gli indirizzi IP dei server VPN stranieri nei loro firewall, e quindi li bloccano, è possibile utilizzarli per aggirare la censura.
Seppur la VPN può essere molto utile nei casi di censura, c'è il rovescio della medaglia: la privacy. Infatti quando i dati fanno la deviazione tramite il provider VPN, bisognerà fidarsi del proprio provider, poiché è lui che gestisce il tunnel. L'azienda fornitrice può anche vedere a quali siti Web accedi, quando e con quale frequenza. Il provider potrebbe anche essere in grado di vedere il contenuto non crittografato delle tue comunicazioni, come semplici e-mail. Questi dati possono essere memorizzati e, in particolare, i dati sul comportamento di navigazione possono essere venduti anche per scopi di marketing. Nel peggiore dei casi, potrebbero vendere o fornire dati anche alle autorità governative. Anche se il provider promette di non vendere i dati, esiste già il rischio che questi vengano archiviati. Non passa giorno senza che venga segnalata una nuova fuga di dati, a causa di scarsa sicurezza o di attacchi di hacker criminali.