Penjelasan Yurisdiksi VPN: 5 / 9 / 14 Eyes, Penggeledahan Mullvad, dan Kasus Log PureVPN
Pemasaran VPN banyak membesar-besarkan soal yurisdiksi. Dua peristiwa kerja sama pengadilan yang terdokumentasi paling baik — penggeledahan Mullvad 2023 dan kerja sama PureVPN dengan FBI 2017 — menunjukkan bahwa apa yang disimpan penyedia lebih penting daripada bendera negara.
Apa arti sebenarnya 5 / 9 / 14 Eyes
5 Eyes adalah pengaturan berbagi intelijen sinyal antara AS, Inggris, Kanada, Australia, dan Selandia Baru, yang berasal dari perjanjian UKUSA pasca-Perang Dunia II. 9 Eyes menambahkan Denmark, Prancis, Belanda, dan Norwegia. 14 Eyes menambahkan Jerman, Belgia, Italia, Swedia, dan Spanyol. Pemasaran VPN telah mempopulerkan gagasan bahwa VPN yang terdaftar di salah satu dari 14 negara ini berisiko karena pemerintah negara penyelenggaranya dapat memaksanya menyerahkan data dan membagikan data itu kepada aliansi yang lebih luas. Klaim itu sebagian benar — pemerintah-pemerintah tersebut memang memiliki kerangka hukum untuk permintaan data — tetapi itu bukan keseluruhan ceritanya.
Di mana VPN besar yang diaudit berbasis
Mullvad: Gothenburg, Swedia (dalam 14 Eyes). Entitas operasional NordVPN, Nordvpn S.A.: Panama (di luar Eyes). Proton VPN: Plan-les-Ouates, Jenewa, Swiss (di luar Eyes; Swiss juga di luar UE dan kerangka permintaan hukum AS). Entitas operasional ExpressVPN, Express VPN International Ltd.: Kepulauan Virgin Britania (di luar Eyes). Surfshark B.V.: Belanda (dalam 9 Eyes). Dua dari lima — Mullvad dan Surfshark — berada di yurisdiksi Eyes; tiga di luar. Kelimanya telah menerbitkan audit no-logs.
Penggeledahan Mullvad 2023: apa yang sebenarnya terjadi
Pada 18 April 2023, enam petugas dari Departemen Operasi Nasional Swedia (NOA) tiba di kantor Mullvad di Gothenburg dengan surat perintah penggeledahan, berniat menyita komputer yang berisi data pelanggan. Surat perintah itu diterbitkan pada 17 Februari 2023 dalam kerja sama hukum internasional dengan otoritas Jerman. Mullvad mendokumentasikan peristiwa itu secara publik pada hari yang sama di mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised. Menurut keterangan Mullvad dan pemberitaan selanjutnya, polisi pergi tanpa menyita apa pun karena data yang dicari surat perintah tersebut tidak ada di server. Riwayat audit Cure53 Mullvad (terbaru: audit infrastruktur ke-4, Juni 2024) mendokumentasikan konfigurasi server no-logs yang menghasilkan keluaran ini. Implikasinya: yurisdiksi memang berpengaruh — penggeledahan terjadi — tetapi postur privasi operasional adalah faktor penentunya.
Kerja sama PureVPN dengan FBI 2017: kebalikannya
Pada Oktober 2017, FBI menggunakan log koneksi VPN dari PureVPN untuk mengidentifikasi Ryan Lin, pria berusia 24 tahun asal Massachusetts, dalam kasus cyberstalking yang luas. Pemasaran PureVPN sebelum kasus itu telah menekankan klaim no-logs. Pernyataan tertulis (affidavit) FBI (dikutip dalam berkas DoJ dan pemberitaan arus utama di bleepingcomputer.com dan lainnya) mendokumentasikan bahwa PureVPN, faktanya, telah menyimpan log koneksi yang mencakup alamat IP rumah pelanggan saat awal sesi, dan bahwa log tersebut cukup untuk mengidentifikasi Lin melalui sesi VPN-nya. Kasus ini adalah contoh kebalikan kanonik: klaim pemasaran yang dibantah oleh apa yang sebenarnya disimpan penyedia, dan yurisdiksi penyedia (Hong Kong — di luar Eyes) tidak melindungi data karena data itu ada dan responsif terhadap permintaan hukum AS.
Apa yang diprediksi dan tidak diprediksi oleh yurisdiksi
Yurisdiksi adalah faktor risiko nyata ketika permintaan pemerintah diajukan. Penyedia di yurisdiksi 14 Eyes dengan kerangka kerja sama hukum dengan negara peminta dapat dipaksa menyerahkan data yang dimilikinya. Namun, yurisdiksi tidak memprediksi apa yang dimiliki penyedia. Penyedia no-logs di 14 Eyes (Mullvad) tidak punya apa pun untuk diserahkan; penyedia penyimpan-log di yurisdiksi non-Eyes (PureVPN sekitar 2017) punya. Peristiwa Mullvad dan PureVPN bersama-sama menetapkan bahwa variabel prediktifnya adalah praktik operasional — diverifikasi oleh audit — bukan bendera negara.
Apa yang perlu dipertimbangkan pada 2026
Tiga faktor memprediksi hasil privasi dunia nyata secara lebih andal daripada yurisdiksi semata. (1) Cakupan dan kemutakhiran audit — apakah audit terbaru yang dipublikasikan mencakup konfigurasi tingkat server, dan apakah dalam 24 bulan terakhir? (2) Klien sumber terbuka — apakah aplikasi desktop dan seluler dipublikasikan sebagai sumber terbuka? Mullvad dan Proton VPN sama-sama mempublikasikan klien mereka di GitHub. (3) Respons terdokumentasi terhadap peristiwa paksaan hukum yang nyata — Mullvad punya satu (penggeledahan 2023), PureVPN punya kebalikannya (kasus 2017). Sebagian besar penyedia tidak punya keduanya. Terapkan yurisdiksi sebagai pemisah seri setelah tiga faktor pertama terpenuhi, bukan sebagai faktor utama.
Sumber
5 / 9 / 14 Eyes: en.wikipedia.org/wiki/Five_Eyes (dengan kutipan ke perjanjian UKUSA asli). Penggeledahan Mullvad 2023: mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised. Riwayat audit Mullvad: mullvad.net/en/blog/tag/audits. Kasus PureVPN/Lin: bleepingcomputer.com/news/security/cyberstalking-suspect-arrested-after-vpn-providers-shared-logs-with-the-fbi. Yurisdiksi NordVPN: nordvpn.com/blog/jurisdiction. Yurisdiksi Proton VPN: protonvpn.com/features/swiss-based. Trust ExpressVPN: expressvpn.com/trust. Trust Surfshark: surfshark.com/trust-center. Semua URL diakses pada 2026-04-30.