Jurisdikce VPN vysvětlena: 5 / 9 / 14 Eyes, razie u Mullvadu a případ logů PureVPN
Marketing VPN přikládá jurisdikci velkou váhu. Dvě nejlépe zdokumentované události soudní spolupráce — razie u Mullvadu v roce 2023 a spolupráce PureVPN s FBI v roce 2017 — ukazují, že na tom, co poskytovatel ukládá, záleží více než na vlajce země.
Co 5 / 9 / 14 Eyes ve skutečnosti znamená
5 Eyes je ujednání o sdílení signálových zpravodajských informací mezi USA, Velkou Británií, Kanadou, Austrálií a Novým Zélandem, s počátky v poválečné dohodě UKUSA. 9 Eyes přidává Dánsko, Francii, Nizozemsko a Norsko. 14 Eyes přidává Německo, Belgii, Itálii, Švédsko a Španělsko. Marketing VPN rozšířil představu, že VPN registrovaná v kterékoli z těchto 14 zemí je ohrožena, protože její hostitelská vláda by ji mohla přinutit k předání dat a sdílení těchto dat s širší aliancí. Toto tvrzení je zčásti pravdivé — tyto vlády skutečně mají právní rámce pro žádosti o data — ale není to celý příběh.
Kde mají velké auditované VPN sídlo
Mullvad: Göteborg, Švédsko (v 14 Eyes). Provozní subjekt NordVPN Nordvpn S.A.: Panama (mimo Eyes). Proton VPN: Plan-les-Ouates, Ženeva, Švýcarsko (mimo Eyes; Švýcarsko je rovněž mimo EU a mimo americký rámec právních žádostí). Provozní subjekt ExpressVPN Express VPN International Ltd.: Britské Panenské ostrovy (mimo Eyes). Surfshark B.V.: Nizozemsko (v 9 Eyes). Dva z pěti — Mullvad a Surfshark — jsou v jurisdikcích Eyes; tři jsou mimo. Všech pět zveřejnilo audity bez logů.
Razie u Mullvadu v roce 2023: co se skutečně stalo
Dne 18. dubna 2023 dorazilo šest příslušníků švédského Národního operačního oddělení (NOA) do kanceláře Mullvadu v Göteborgu s domovním příkazem v úmyslu zabavit počítače obsahující zákaznická data. Příkaz byl vydán 17. února 2023 v rámci mezinárodní právní spolupráce s německými úřady. Mullvad událost téhož dne veřejně zdokumentoval na mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised. Podle vyjádření Mullvadu a následného zpravodajství policie odešla, aniž cokoli zabavila, protože data, která příkaz požadoval, na serverech neexistovala. Historie auditů Mullvadu od Cure53 (nejnovější: 4. audit infrastruktury, červen 2024) dokumentuje serverovou konfiguraci bez logů, která vedla k tomuto výsledku. Z toho plyne: na jurisdikci skutečně záleželo — razie se konala — ale rozhodujícím faktorem byla operativní ochrana soukromí.
Spolupráce PureVPN s FBI v roce 2017: opačný případ
V říjnu 2017 použila FBI logy připojení VPN od PureVPN k identifikaci Ryana Lina, čtyřiadvacetiletého muže z Massachusetts, v rozsáhlém případu kyberstalkingu. Marketing PureVPN před tímto případem zdůrazňoval tvrzení o absenci logů. Místopřísežné prohlášení FBI (citované v podáních ministerstva spravedlnosti a hlavním zpravodajství na bleepingcomputer.com a jinde) zdokumentovalo, že PureVPN ve skutečnosti uchovával logy připojení, které zahrnovaly domácí IP adresu zákazníka na začátku relace, a že tyto logy stačily k identifikaci Lina prostřednictvím jeho relací VPN. Tento případ je kanonickým opačným příkladem: marketingové tvrzení vyvrácené tím, co poskytovatel skutečně ukládal, a jurisdikce poskytovatele (Hongkong — mimo Eyes) data neochránila, protože data existovala a odpovídala americké právní žádosti.
Co jurisdikce předpovídá a co ne
Jurisdikce je reálný rizikový faktor, jakmile je podána vládní žádost. Poskytovatel v jurisdikci 14 Eyes s rámcem právní spolupráce se žádající zemí může být přinucen předat data, která drží. Jurisdikce však nepředpovídá, co poskytovatel drží. Poskytovatel bez logů ve 14 Eyes (Mullvad) nemá co předat; poskytovatel uchovávající logy v jurisdikci mimo Eyes (PureVPN kolem roku 2017) ano. Události kolem Mullvadu a PureVPN společně dokládají, že předpovídající proměnnou je operativní praxe — ověřená auditem — nikoli vlajka země.
Co zvážit v roce 2026
Tři faktory předpovídají reálné výsledky v oblasti soukromí spolehlivěji než jurisdikce samotná. (1) Rozsah a aktuálnost auditu — pokrývá nejnovější zveřejněný audit konfiguraci na úrovni serveru a je z posledních 24 měsíců? (2) Open-source klienti — jsou desktopové a mobilní aplikace zveřejněny jako open source? Mullvad i Proton VPN zveřejňují své klienty na GitHubu. (3) Zdokumentovaná reakce na skutečný případ právního nátlaku — Mullvad ji má (razie z roku 2023), PureVPN má tu opačnou (případ z roku 2017). Většina poskytovatelů nemá ani jednu. Jurisdikci použijte jako kritérium pro rozhodnutí o remíze, jakmile jsou splněny první tři, nikoli jako hlavní faktor.
Zdroje
5 / 9 / 14 Eyes: en.wikipedia.org/wiki/Five_Eyes (s citacemi původní dohody UKUSA). Razie u Mullvadu 2023: mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised. Historie auditů Mullvadu: mullvad.net/en/blog/tag/audits. Případ PureVPN/Lin: bleepingcomputer.com/news/security/cyberstalking-suspect-arrested-after-vpn-providers-shared-logs-with-the-fbi. Jurisdikce NordVPN: nordvpn.com/blog/jurisdiction. Jurisdikce Proton VPN: protonvpn.com/features/swiss-based. ExpressVPN trust: expressvpn.com/trust. Surfshark trust: surfshark.com/trust-center. Všechny URL navštíveny 2026-04-30.