VPN-i jurisdiktsioon selgitatuna: 5 / 9 / 14 Eyes, Mullvadi läbiotsimine ja PureVPN-i logide juhtum
VPN-i turundus teeb jurisdiktsioonist palju numbrit. Kaks kõige paremini dokumenteeritud kohtukoostöö juhtumit — Mullvadi 2023. aasta läbiotsimine ja PureVPN-i 2017. aasta FBI-koostöö — näitavad, et see, mida pakkuja talletab, loeb rohkem kui riigilipp.
Mida 5 / 9 / 14 Eyes tegelikult tähendab
5 Eyes on signaaliluure jagamise kokkulepe USA, Suurbritannia, Kanada, Austraalia ja Uus-Meremaa vahel, mille juured ulatuvad Teise maailmasõja järgse UKUSA kokkuleppeni. 9 Eyes lisab Taani, Prantsusmaa, Hollandi ja Norra. 14 Eyes lisab Saksamaa, Belgia, Itaalia, Rootsi ja Hispaania. VPN-i turundus on populariseerinud arusaama, et mõnes neist 14 riigist registreeritud VPN on ohus, sest selle asukohariigi valitsus võiks sundida seda andmeid välja andma ja jagama neid andmeid laiema liiduga. Väide on osaliselt tõene — neil valitsustel on andmepäringuteks õiguslikud raamistikud — kuid see ei ole kogu lugu.
Kus suured auditeeritud VPN-id asuvad
Mullvad: Göteborg, Rootsi (14 Eyes hulgas). NordVPN-i tegevusettevõte Nordvpn S.A.: Panama (väljaspool Eyes-i). Proton VPN: Plan-les-Ouates, Genf, Šveits (väljaspool Eyes-i; Šveits on samuti väljaspool ELi ja USA õiguspäringute raamistikku). ExpressVPN-i tegevusettevõte Express VPN International Ltd.: Briti Neitsisaared (väljaspool Eyes-i). Surfshark B.V.: Holland (9 Eyes hulgas). Kaks viiest — Mullvad ja Surfshark — asuvad Eyes-i jurisdiktsioonides; kolm on väljaspool. Kõik viis on avaldanud logivabad auditid.
Mullvadi 2023. aasta läbiotsimine: mis tegelikult juhtus
18. aprillil 2023 saabus kuus ametnikku Rootsi riiklikust operatsioonide osakonnast (NOA) läbiotsimismäärusega Mullvadi Göteborgi kontorisse kavatsusega arestida kliendiandmeid sisaldavad arvutid. Määrus oli väljastatud 17. veebruaril 2023 rahvusvahelise õiguskoostöö raames Saksamaa ametiasutustega. Mullvad dokumenteeris sündmuse avalikult samal päeval aadressil mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised. Mullvadi enda kirjelduse ja hilisema kajastuse järgi lahkus politsei midagi arestimata, sest määruses nõutud andmeid serverites ei eksisteerinud. Mullvadi Cure53 auditiajalugu (viimane: 4. taristuaudit, juuni 2024) dokumenteerib logivaba serverikonfiguratsiooni, mis selle tulemuse tootis. Tagajärg: jurisdiktsioon küll loes — läbiotsimine toimus — kuid operatiivne privaatsushoiak oli otsustav tegur.
PureVPN-i 2017. aasta FBI-koostöö: vastupidi
2017. aasta oktoobris kasutas FBI PureVPN-i VPN-ühenduse logisid, et tuvastada Ryan Lin, 24-aastane Massachusettsi mees, ulatuslikus küberahistamise juhtumis. PureVPN-i turundus oli enne juhtumit rõhutanud logivaba väidet. FBI vande all antud tunnistus (tsiteeritud justiitsministeeriumi dokumentides ja peavoolukajastuses aadressil bleepingcomputer.com ja mujal) dokumenteeris, et PureVPN oli tegelikult säilitanud ühenduslogid, mis sisaldasid kliendi kodu-IP-aadressi seansi alguses, ning et need logid olid piisavad, et tuvastada Lin tema VPN-seansside kaudu. Juhtum on kanooniline vastunäide: turundusväide, mille lükkas ümber see, mida pakkuja tegelikult talletas, ning pakkuja jurisdiktsioon (Hongkong — väljaspool Eyes-i) ei kaitsnud andmeid, sest andmed eksisteerisid ja vastasid USA õiguspäringule.
Mida jurisdiktsioon ennustab ja mida mitte
Jurisdiktsioon on reaalne riskitegur, niipea kui esitatakse valitsuse päring. Pakkujat, kes asub 14 Eyes-i jurisdiktsioonis, millel on õiguskoostöö raamistik päringut esitava riigiga, võidakse sundida välja andma tema valduses olevaid andmeid. Kuid jurisdiktsioon ei ennusta, mis on pakkuja valduses. Logivabal pakkujal 14 Eyes-i hulgas (Mullvad) ei ole midagi välja anda; logisid pidaval pakkujal väljaspool Eyes-i jurisdiktsiooni (PureVPN 2017. aasta paiku) on. Mullvadi ja PureVPN-i sündmused üheskoos tõestavad, et ennustav muutuja on operatiivne praktika — kontrollitud auditiga — mitte riigilipp.
Mida 2026. aastal kaaluda
Kolm tegurit ennustavad reaalse maailma privaatsustulemusi usaldusväärsemalt kui jurisdiktsioon üksi. (1) Auditi ulatus ja värskus — kas värskeim avaldatud audit hõlmab serveritasemel seadistust ning kas see jääb viimase 24 kuu sisse? (2) Avatud lähtekoodiga kliendid — kas töölaua- ja mobiilirakendused on avaldatud avatud lähtekoodina? Mullvad ja Proton VPN avaldavad mõlemad oma kliendid GitHubis. (3) Dokumenteeritud reageering tõelisele juriidilise sunduse juhtumile — Mullvadil on üks (2023. aasta läbiotsimine), PureVPN-il on vastupidine (2017. aasta juhtum). Enamikul pakkujatel pole kumbagi. Rakenda jurisdiktsiooni kui viigimurdjat, kui esimesed kolm on täidetud, mitte kui peamist tegurit.
Allikad
5 / 9 / 14 Eyes: en.wikipedia.org/wiki/Five_Eyes (viidetega algsele UKUSA kokkuleppele). Mullvadi 2023. aasta läbiotsimine: mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised. Mullvadi auditiajalugu: mullvad.net/en/blog/tag/audits. PureVPN/Lini juhtum: bleepingcomputer.com/news/security/cyberstalking-suspect-arrested-after-vpn-providers-shared-logs-with-the-fbi. NordVPN-i jurisdiktsioon: nordvpn.com/blog/jurisdiction. Proton VPN-i jurisdiktsioon: protonvpn.com/features/swiss-based. ExpressVPN-i usaldus: expressvpn.com/trust. Surfsharki usaldus: surfshark.com/trust-center. Kõik URL-id külastatud 2026-04-30.