VPN-lögsaga útskýrð: 5 / 9 / 14 Eyes, húsleitin hjá Mullvad og PureVPN-loggamálið
VPN-markaðssetning gerir mikið úr lögsögu. Tvö best skráðu dómssamstarfsmálin — húsleitin hjá Mullvad 2023 og FBI-samstarf PureVPN 2017 — sýna að það sem þjónustuaðilinn geymir skiptir meira máli en landsfáninn.
Hvað 5 / 9 / 14 Eyes þýðir raunverulega
5 Eyes er samkomulag um deilingu merkjaleyniþjónustu milli Bandaríkjanna, Bretlands, Kanada, Ástralíu og Nýja-Sjálands, með rætur í UKUSA-samkomulaginu eftir seinni heimsstyrjöld. 9 Eyes bætir við Danmörku, Frakklandi, Hollandi og Noregi. 14 Eyes bætir við Þýskalandi, Belgíu, Ítalíu, Svíþjóð og Spáni. VPN-markaðssetning hefur gert vinsæla þá hugmynd að VPN skráð í einhverju þessara 14 landa sé í hættu því stjórnvöld gistilandsins gætu þvingað það til að afhenda gögn og deila þeim gögnum með víðara bandalaginu. Fullyrðingin er að hluta sönn — þessi stjórnvöld hafa lögfræðilegar umgjörðir fyrir gagnabeiðnir — en hún er ekki öll sagan.
Hvar stóru endurskoðuðu VPN-in eru staðsett
Mullvad: Gautaborg, Svíþjóð (innan 14 Eyes). Rekstrarfélag NordVPN, Nordvpn S.A.: Panama (utan Eyes). Proton VPN: Plan-les-Ouates, Genf, Sviss (utan Eyes; Sviss er einnig utan ESB og bandarísku réttarbeiðnaumgjörðarinnar). Rekstrarfélag ExpressVPN, Express VPN International Ltd.: Bresku Jómfrúaeyjar (utan Eyes). Surfshark B.V.: Holland (innan 9 Eyes). Tvö af fimm — Mullvad og Surfshark — eru í Eyes-lögsögum; þrjú eru utan. Öll fimm hafa birt log-lausar úttektir.
Húsleitin hjá Mullvad 2023: hvað gerðist í raun
Þann 18. apríl 2023 mættu sex fulltrúar frá Aðgerðadeild sænska ríkisins (NOA) með húsleitarheimild á skrifstofu Mullvad í Gautaborg með það fyrir augum að leggja hald á tölvur sem innihéldu viðskiptavinagögn. Heimildin hafði verið gefin út 17. febrúar 2023 í alþjóðlegu réttarsamstarfi við þýsk yfirvöld. Mullvad skráði atburðinn opinberlega sama dag á mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised. Samkvæmt frásögn Mullvad og síðari umfjöllun fór lögreglan án þess að leggja hald á neitt því gögnin sem heimildin krafðist voru ekki til á netþjónunum. Cure53-úttektarsaga Mullvad (nýjast: 4. innviðaúttekt, júní 2024) skráir log-lausu netþjónauppsetninguna sem skilaði þessari niðurstöðu. Afleiðingin: lögsaga skipti vissulega máli — húsleitin átti sér stað — en rekstrarleg einkalífsafstaða var úrslitaþátturinn.
FBI-samstarf PureVPN 2017: hið gagnstæða
Í október 2017 notaði FBI VPN-tengiloggar frá PureVPN til að auðkenna Ryan Lin, 24 ára mann frá Massachusetts, í umfangsmiklu netáreitnimáli. Markaðssetning PureVPN fyrir málið hafði lagt áherslu á log-lausa fullyrðingu. Eiðsvarin yfirlýsing FBI (vitnað í í skjölum dómsmálaráðuneytisins og almennri umfjöllun á bleepingcomputer.com og víðar) skráði að PureVPN hefði í raun varðveitt tengiloggar sem innihéldu heima-IP-tölu viðskiptavinarins við upphaf lotu, og að þessir loggar nægðu til að auðkenna Lin gegnum VPN-lotur hans. Málið er hið dæmigerða gagndæmi: markaðsfullyrðing afsönnuð með því sem þjónustuaðilinn geymdi í raun, og lögsaga þjónustuaðilans (Hong Kong — utan Eyes) varði ekki gögnin því gögnin voru til og svöruðu bandarískri réttarbeiðni.
Hvað lögsaga spáir fyrir um og hvað ekki
Lögsaga er raunverulegur áhættuþáttur þegar beiðni frá stjórnvöldum berst. Þjónustuaðila í 14 Eyes-lögsögu með réttarsamstarfsumgjörð við landið sem leggur fram beiðnina má þvinga til að afhenda gögn sem hann hefur í vörslu sinni. En lögsaga spáir ekki fyrir um hvað þjónustuaðilinn hefur í vörslu sinni. Log-laus þjónustuaðili innan 14 Eyes (Mullvad) hefur ekkert að afhenda; loggageymandi þjónustuaðili í lögsögu utan Eyes (PureVPN um 2017) hefur það. Atburðirnir hjá Mullvad og PureVPN saman staðfesta að spábreytan er rekstrarleg framkvæmd — sannreynd með úttekt — ekki landsfáninn.
Hvað á að vega árið 2026
Þrír þættir spá fyrir um raunverulegar einkalífsniðurstöður áreiðanlegar en lögsaga ein og sér. (1) Úttektarumfang og nýleiki — nær nýjasta birta úttektin yfir uppsetningu á netþjónastigi og er hún innan síðustu 24 mánaða? (2) Opinn hugbúnaður biðlara — eru skjáborðs- og farsímaforritin birt sem opinn hugbúnaður? Mullvad og Proton VPN birta bæði biðlara sína á GitHub. (3) Skráð viðbrögð við raunverulegu lögþvingunarmáli — Mullvad hefur eitt (húsleitin 2023), PureVPN hefur hið gagnstæða (málið frá 2017). Flestir þjónustuaðilar hafa hvorugt. Beittu lögsögu sem úrslitaatriði þegar fyrstu þrír þættirnir eru uppfylltir, ekki sem aðalþætti.
Heimildir
5 / 9 / 14 Eyes: en.wikipedia.org/wiki/Five_Eyes (með tilvísunum í upprunalega UKUSA-samkomulagið). Húsleit hjá Mullvad 2023: mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised. Úttektarsaga Mullvad: mullvad.net/en/blog/tag/audits. PureVPN/Lin-mál: bleepingcomputer.com/news/security/cyberstalking-suspect-arrested-after-vpn-providers-shared-logs-with-the-fbi. Lögsaga NordVPN: nordvpn.com/blog/jurisdiction. Lögsaga Proton VPN: protonvpn.com/features/swiss-based. Trúnaður ExpressVPN: expressvpn.com/trust. Trúnaður Surfshark: surfshark.com/trust-center. Allar vefslóðir sóttar 2026-04-30.