VPN-lainkäyttöalue selitettynä: 5 / 9 / 14 Eyes, Mullvadin ratsia ja PureVPN-lokitapaus
VPN-markkinointi tekee paljon numeroa lainkäyttöalueesta. Kaksi parhaiten dokumentoitua oikeudellisen yhteistyön tapahtumaa — Mullvadin ratsia 2023 ja PureVPN:n FBI-yhteistyö 2017 — osoittavat, että se, mitä palveluntarjoaja tallentaa, merkitsee enemmän kuin maan lippu.
Mitä 5 / 9 / 14 Eyes todellisuudessa tarkoittaa
5 Eyes on signaalitiedustelun jakojärjestely Yhdysvaltojen, Ison-Britannian, Kanadan, Australian ja Uuden-Seelannin välillä, jonka juuret ovat toisen maailmansodan jälkeisessä UKUSA-sopimuksessa. 9 Eyes lisää Tanskan, Ranskan, Alankomaat ja Norjan. 14 Eyes lisää Saksan, Belgian, Italian, Ruotsin ja Espanjan. VPN-markkinointi on popularisoinut ajatuksen, että mihin tahansa näistä 14 maasta rekisteröity VPN on vaarassa, koska sen isäntämaan hallitus voisi pakottaa sen luovuttamaan tietoja ja jakamaan ne laajemman liittouman kanssa. Väite on osittain totta — näillä hallituksilla on oikeudelliset kehykset tietopyynnöille — mutta se ei ole koko tarina.
Missä suuret auditoidut VPN:t sijaitsevat
Mullvad: Göteborg, Ruotsi (14 Eyes -järjestelyssä). NordVPN:n operatiivinen yhtiö Nordvpn S.A.: Panama (Eyes-järjestelyn ulkopuolella). Proton VPN: Plan-les-Ouates, Geneve, Sveitsi (Eyes-järjestelyn ulkopuolella; Sveitsi on myös EU:n ja Yhdysvaltain oikeuspyyntökehyksen ulkopuolella). ExpressVPN:n operatiivinen yhtiö Express VPN International Ltd.: Brittiläiset Neitsytsaaret (Eyes-järjestelyn ulkopuolella). Surfshark B.V.: Alankomaat (9 Eyes -järjestelyssä). Kaksi viidestä — Mullvad ja Surfshark — sijaitsevat Eyes-lainkäyttöalueilla; kolme on ulkopuolella. Kaikki viisi ovat julkaisseet lokittomuusauditoinnit.
Mullvadin ratsia 2023: mitä todellisuudessa tapahtui
18. huhtikuuta 2023 kuusi Ruotsin kansallisen operaatio-osaston (NOA) virkamiestä saapui Mullvadin Göteborgin toimistoon etsintäluvalla aikomuksenaan takavarikoida tietokoneita, jotka sisältäisivät asiakastietoja. Lupa oli myönnetty 17. helmikuuta 2023 kansainvälisessä oikeudellisessa yhteistyössä saksalaisten viranomaisten kanssa. Mullvad dokumentoi tapahtuman julkisesti samana päivänä osoitteessa mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised. Mullvadin selostuksen ja myöhemmän raportoinnin mukaan poliisi lähti takavarikoimatta mitään, koska luvassa vaadittuja tietoja ei ollut olemassa palvelimilla. Mullvadin Cure53-auditointihistoria (viimeisin: 4. infrastruktuuriauditointi, kesäkuu 2024) dokumentoi lokittoman palvelinkokoonpanon, joka tuotti tämän tuloksen. Seuraus: lainkäyttöalueella oli kyllä merkitystä — ratsia tapahtui — mutta operatiivinen tietosuoja-asenne oli ratkaiseva tekijä.
PureVPN:n FBI-yhteistyö 2017: vastakohta
Lokakuussa 2017 FBI käytti PureVPN:n VPN-yhteyslokeja tunnistaakseen Ryan Linin, 24-vuotiaan Massachusettsin miehen, laajassa verkkovainotapauksessa. PureVPN:n markkinointi oli ennen tapausta korostanut lokittomuusväitettä. FBI:n valaehtoinen lausunto (lainattu DoJ:n asiakirjoissa ja valtavirran raportoinnissa osoitteessa bleepingcomputer.com ja muualla) dokumentoi, että PureVPN oli itse asiassa säilyttänyt yhteyslokeja, jotka sisälsivät asiakkaan koti-IP-osoitteen istunnon alussa, ja että nämä lokit riittivät tunnistamaan Linin hänen VPN-istuntojensa kautta. Tapaus on kanoninen vastaesimerkki: markkinointiväite, jonka se kumosi, mitä palveluntarjoaja todellisuudessa tallensi, ja palveluntarjoajan lainkäyttöalue (Hongkong — Eyes-järjestelyn ulkopuolella) ei suojannut tietoja, koska tiedot olivat olemassa ja vastasivat Yhdysvaltain oikeuspyyntöä.
Mitä lainkäyttöalue ennustaa ja mitä ei
Lainkäyttöalue on todellinen riskitekijä, kun viranomaispyyntö esitetään. Palveluntarjoaja 14 Eyes -lainkäyttöalueella, jolla on oikeudellinen yhteistyökehys pyytävän maan kanssa, voidaan pakottaa luovuttamaan hallussaan olevat tiedot. Mutta lainkäyttöalue ei ennusta, mitä palveluntarjoaja pitää hallussaan. Lokittomalla palveluntarjoajalla 14 Eyes -järjestelyssä (Mullvad) ei ole mitään luovutettavaa; lokeja pitävällä palveluntarjoajalla Eyes-järjestelyn ulkopuolisella lainkäyttöalueella (PureVPN noin vuonna 2017) on. Mullvadin ja PureVPN:n tapahtumat osoittavat yhdessä, että ennustava muuttuja on operatiivinen käytäntö — auditoinnilla todennettu — ei maan lippu.
Mitä punnita vuonna 2026
Kolme tekijää ennustaa todellisia tietosuojatuloksia luotettavammin kuin lainkäyttöalue yksinään. (1) Auditoinnin laajuus ja ajantasaisuus — kattaako tuorein julkaistu auditointi palvelintason kokoonpanon, ja onko se viimeisten 24 kuukauden sisältä? (2) Avoimen lähdekoodin asiakkaat — julkaistaanko työpöytä- ja mobiilisovellukset avoimena lähdekoodina? Mullvad ja Proton VPN julkaisevat molemmat asiakkaansa GitHubissa. (3) Dokumentoitu reaktio todelliseen oikeudellisen pakottamisen tapahtumaan — Mullvadilla on yksi (ratsia 2023), PureVPN:llä on vastakohta (vuoden 2017 tapaus). Useimmilla palveluntarjoajilla ei ole kumpaakaan. Käytä lainkäyttöaluetta ratkaisevana tekijänä, kun ensimmäiset kolme täyttyvät, ei pääasiallisena tekijänä.
Lähteet
5 / 9 / 14 Eyes: en.wikipedia.org/wiki/Five_Eyes (viitteineen alkuperäiseen UKUSA-sopimukseen). Mullvadin ratsia 2023: mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised. Mullvadin auditointihistoria: mullvad.net/en/blog/tag/audits. PureVPN/Lin-tapaus: bleepingcomputer.com/news/security/cyberstalking-suspect-arrested-after-vpn-providers-shared-logs-with-the-fbi. NordVPN:n lainkäyttöalue: nordvpn.com/blog/jurisdiction. Proton VPN:n lainkäyttöalue: protonvpn.com/features/swiss-based. ExpressVPN Trust: expressvpn.com/trust. Surfshark Trust: surfshark.com/trust-center. Kaikki URL-osoitteet luettu 2026-04-30.