VPN jurisdikcija paaiškinta: 5 / 9 / 14 Eyes, Mullvad krata ir PureVPN žurnalų byla
VPN rinkodara daug akcentuoja jurisdikciją. Du geriausiai dokumentuoti teisinio bendradarbiavimo įvykiai — Mullvad 2023 m. krata ir PureVPN 2017 m. bendradarbiavimas su FTB — rodo, kad tai, ką tiekėjas saugo, svarbiau nei šalies vėliava.
Ką iš tikrųjų reiškia 5 / 9 / 14 Eyes
5 Eyes yra signalinės žvalgybos dalijimosi susitarimas tarp JAV, JK, Kanados, Australijos ir Naujosios Zelandijos, kilęs iš pokario UKUSA susitarimo. 9 Eyes prideda Daniją, Prancūziją, Nyderlandus ir Norvegiją. 14 Eyes prideda Vokietiją, Belgiją, Italiją, Švediją ir Ispaniją. VPN rinkodara išpopuliarino idėją, kad bet kurioje iš šių 14 šalių registruotas VPN yra rizikingas, nes jo valdžia galėtų priversti jį perduoti duomenis ir tais duomenimis pasidalyti su platesniu aljansu. Teiginys yra iš dalies teisingas — tos valdžios iš tikrųjų turi teisinius duomenų užklausų pagrindus — bet tai nėra visa istorija.
Kur įsikūrę pagrindiniai audituoti VPN
Mullvad: Geteborgas, Švedija (14 Eyes). NordVPN veikiantis subjektas Nordvpn S.A.: Panama (už Eyes ribų). Proton VPN: Plan-les-Ouates, Ženeva, Šveicarija (už Eyes ribų; Šveicarija taip pat yra už ES ir JAV teisinių užklausų sistemos ribų). ExpressVPN veikiantis subjektas Express VPN International Ltd.: Britų Mergelių salos (už Eyes ribų). Surfshark B.V.: Nyderlandai (9 Eyes). Du iš penkių — Mullvad ir Surfshark — yra Eyes jurisdikcijose; trys yra už jų ribų. Visi penki yra paskelbę no-logs auditus.
Mullvad 2023 m. krata: kas iš tikrųjų įvyko
2023 m. balandžio 18 d. šeši Švedijos Nacionalinio operacijų departamento (NOA) pareigūnai atvyko į Mullvad biurą Geteborge su kratos orderiu, ketindami konfiskuoti kompiuterius su klientų duomenimis. Orderis buvo išduotas 2023 m. vasario 17 d. tarptautinio teisinio bendradarbiavimo su Vokietijos institucijomis pagrindu. Mullvad tą pačią dieną viešai dokumentavo įvykį adresu mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised. Pagal Mullvad pasakojimą ir vėlesnius pranešimus, policija išėjo nieko nekonfiskavusi, nes orderyje reikalauti duomenys serveriuose neegzistavo. Mullvad Cure53 audito istorija (naujausias: 4-asis infrastruktūros auditas, 2024 m. birželis) dokumentuoja no-logs serverio konfigūraciją, kuri lėmė šį rezultatą. Pasekmė: jurisdikcija iš tikrųjų turėjo reikšmės — krata įvyko — bet operatyvinė privatumo laikysena buvo lemiamas veiksnys.
PureVPN 2017 m. bendradarbiavimas su FTB: priešingybė
2017 m. spalį FTB panaudojo PureVPN VPN ryšio žurnalus, kad identifikuotų Ryan Lin, 24 metų vyrą iš Masačusetso, plačiai nuskambėjusioje kibernetinio persekiojimo byloje. PureVPN rinkodara prieš bylą akcentavo no-logs teiginį. FTB priesaikos pareiškimas (cituojamas Teisingumo departamento dokumentuose ir pagrindinės žiniasklaidos pranešimuose bleepingcomputer.com bei kitur) dokumentavo, kad PureVPN iš tikrųjų buvo saugojęs ryšio žurnalus, apimančius kliento namų IP adresą sesijos pradžioje, ir kad tų žurnalų pakako Lin identifikuoti per jo VPN sesijas. Byla yra kanoninis priešingas pavyzdys: rinkodaros teiginys, paneigtas to, ką tiekėjas iš tikrųjų saugojo, ir tiekėjo jurisdikcija (Honkongas — už Eyes ribų) neapsaugojo duomenų, nes duomenys egzistavo ir atitiko JAV teisinę užklausą.
Ką jurisdikcija prognozuoja ir ko ne
Jurisdikcija yra realus rizikos veiksnys, kai pateikiama valdžios užklausa. Tiekėjas 14 Eyes jurisdikcijoje, turintis teisinio bendradarbiavimo pagrindą su užklausą pateikiančia šalimi, gali būti priverstas perduoti turimus duomenis. Tačiau jurisdikcija neprognozuoja, ką tiekėjas turi. No-logs tiekėjas 14 Eyes (Mullvad) neturi ko perduoti; žurnalus saugantis tiekėjas ne Eyes jurisdikcijoje (PureVPN apie 2017 m.) turi. Mullvad ir PureVPN įvykiai kartu patvirtina, kad prognozuojamasis kintamasis yra operatyvinė praktika — patikrinta auditu — o ne šalies vėliava.
Ką pasverti 2026 m.
Trys veiksniai realaus pasaulio privatumo rezultatus prognozuoja patikimiau nei vien jurisdikcija. (1) Audito aprėptis ir naujumas — ar naujausias paskelbtas auditas apima konfigūraciją serverio lygmeniu, ir ar jis ne senesnis nei 24 mėnesių? (2) Atvirojo kodo klientai — ar darbalaukio ir mobiliosios programėlės paskelbtos kaip atvirasis kodas? Mullvad ir Proton VPN abu skelbia savo klientus GitHub. (3) Dokumentuota reakcija į tikrą teisinio priverstinio reikalavimo įvykį — Mullvad turi vieną (2023 m. krata), PureVPN turi priešingą (2017 m. byla). Dauguma tiekėjų neturi nė vieno. Taikykite jurisdikciją kaip lygiųjų atskyrimo kriterijų (tiebreaker), kai pirmieji trys įvykdyti, o ne kaip pagrindinį veiksnį.
Šaltiniai
5 / 9 / 14 Eyes: en.wikipedia.org/wiki/Five_Eyes (su citatomis į originalų UKUSA susitarimą). Mullvad 2023 m. krata: mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised. Mullvad audito istorija: mullvad.net/en/blog/tag/audits. PureVPN/Lin byla: bleepingcomputer.com/news/security/cyberstalking-suspect-arrested-after-vpn-providers-shared-logs-with-the-fbi. NordVPN jurisdikcija: nordvpn.com/blog/jurisdiction. Proton VPN jurisdikcija: protonvpn.com/features/swiss-based. ExpressVPN trust: expressvpn.com/trust. Surfshark trust: surfshark.com/trust-center. Visi URL atverti 2026-04-30.