Юрисдикцията на VPN обяснена: 5 / 9 / 14 Eyes, обискът на Mullvad и делото за журнали на PureVPN
Маркетингът на VPN отделя голямо внимание на юрисдикцията. Двете най-добре документирани събития на съдебно сътрудничество — обискът на Mullvad през 2023 г. и сътрудничеството на PureVPN с ФБР през 2017 г. — показват, че това, което доставчикът съхранява, има по-голямо значение от знамето на държавата.
Какво всъщност означава 5 / 9 / 14 Eyes
5 Eyes е споразумение за обмен на сигнално разузнаване между САЩ, Великобритания, Канада, Австралия и Нова Зеландия, с произход в следвоенното споразумение UKUSA. 9 Eyes добавя Дания, Франция, Нидерландия и Норвегия. 14 Eyes добавя Германия, Белгия, Италия, Швеция и Испания. Маркетингът на VPN популяризира идеята, че VPN, регистриран в някоя от тези 14 държави, е изложен на риск, защото правителството домакин би могло да го принуди да предаде данни и да сподели тези данни с по-широкия съюз. Твърдението е частично вярно — тези правителства разполагат с правни рамки за искания за данни — но не е цялата история.
Къде са базирани големите одитирани VPN
Mullvad: Гьотеборг, Швеция (в 14 Eyes). Оперативното дружество на NordVPN, Nordvpn S.A.: Панама (извън Eyes). Proton VPN: Plan-les-Ouates, Женева, Швейцария (извън Eyes; Швейцария също е извън ЕС и рамката за правни искания на САЩ). Оперативното дружество на ExpressVPN, Express VPN International Ltd.: Британски Вирджински острови (извън Eyes). Surfshark B.V.: Нидерландия (в 9 Eyes). Две от петте — Mullvad и Surfshark — са в юрисдикции на Eyes; три са извън. И петте са публикували одити за no-logs.
Обискът на Mullvad през 2023: какво всъщност се случи
На 18 април 2023 г. шестима служители от Националния оперативен отдел (NOA) на Швеция пристигнаха в офиса на Mullvad в Гьотеборг със заповед за обиск, с намерението да изземат компютри, съдържащи данни на клиенти. Заповедта беше издадена на 17 февруари 2023 г. в рамките на международно правно сътрудничество с германските власти. Mullvad документира събитието публично същия ден на mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised. Според разказа на Mullvad и последвалите репортажи полицията си тръгна, без да изземе нищо, защото данните, които заповедта търсеше, не съществуваха на сървърите. Историята на одитите на Mullvad от Cure53 (най-скорошен: 4-ти одит на инфраструктурата, юни 2024) документира конфигурацията на сървъри no-logs, която доведе до този резултат. Изводът: юрисдикцията наистина имаше значение — обискът се състоя — но оперативната позиция за поверителност беше решаващият фактор.
Сътрудничеството PureVPN-ФБР през 2017: обратното
През октомври 2017 г. ФБР използва журнали на VPN връзки от PureVPN, за да идентифицира Ryan Lin, 24-годишен мъж от Масачузетс, в обширно дело за кибертормоз. Маркетингът на PureVPN преди делото беше подчертавал твърдение за no-logs. Клетвената декларация на ФБР (цитирана в дела на Министерството на правосъдието и в масови репортажи на bleepingcomputer.com и другаде) документира, че PureVPN всъщност е запазила журнали на връзките, които включват домашния IP адрес на клиента в началото на сесията, и че тези журнали са били достатъчни, за да идентифицират Lin чрез неговите VPN сесии. Делото е каноничният обратен пример: маркетингово твърдение, опровергано от това, което доставчикът действително е съхранявал, и юрисдикцията на доставчика (Хонконг — извън Eyes) не защити данните, защото данните съществуваха и отговаряха на американско правно искане.
Какво предсказва и какво не предсказва юрисдикцията
Юрисдикцията е реален рисков фактор, когато бъде отправено правителствено искане. Доставчик в юрисдикция на 14 Eyes с рамка за правно сътрудничество с искащата държава може да бъде принуден да предаде данни, които притежава. Но юрисдикцията не предсказва какво притежава доставчикът. Доставчик no-logs в 14 Eyes (Mullvad) няма какво да предаде; доставчик, водещ журнали, в юрисдикция извън Eyes (PureVPN около 2017 г.) има. Събитията с Mullvad и PureVPN заедно установяват, че предсказващата променлива е оперативната практика — проверена чрез одит — а не знамето на държавата.
Какво да преценявате през 2026
Три фактора предсказват реалните резултати за поверителността по-надеждно от юрисдикцията сама по себе си. (1) Обхват и актуалност на одита — обхваща ли най-скорошният публикуван одит конфигурацията на ниво сървър и е ли в рамките на последните 24 месеца? (2) Клиенти с отворен код — публикуват ли се настолните и мобилните приложения като отворен код? Mullvad и Proton VPN публикуват и двете своите клиенти в GitHub. (3) Документирана реакция на реално събитие на правна принуда — Mullvad има едно (обискът от 2023 г.), PureVPN има обратното (делото от 2017 г.). Повечето доставчици нямат нито едно. Прилагайте юрисдикцията като критерий за разграничаване, след като първите три са изпълнени, а не като водещ фактор.
Източници
5 / 9 / 14 Eyes: en.wikipedia.org/wiki/Five_Eyes (с препратки към оригиналното споразумение UKUSA). Обиск на Mullvad 2023: mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised. История на одитите на Mullvad: mullvad.net/en/blog/tag/audits. Дело PureVPN/Lin: bleepingcomputer.com/news/security/cyberstalking-suspect-arrested-after-vpn-providers-shared-logs-with-the-fbi. Юрисдикция на NordVPN: nordvpn.com/blog/jurisdiction. Юрисдикция на Proton VPN: protonvpn.com/features/swiss-based. ExpressVPN trust: expressvpn.com/trust. Surfshark trust: surfshark.com/trust-center. Всички URL адреси са достъпени на 2026-04-30.