Jurysdykcja VPN wyjaśniona: 5 / 9 / 14 Eyes, nalot na Mullvad i sprawa dzienników PureVPN
Marketing VPN-ów dużo robi wokół jurysdykcji. Dwa najlepiej udokumentowane przypadki współpracy z wymiarem sprawiedliwości — nalot na Mullvad w 2023 i współpraca PureVPN z FBI w 2017 — pokazują, że to, co dostawca przechowuje, ma większe znaczenie niż flaga kraju.
Co tak naprawdę oznacza 5 / 9 / 14 Eyes
5 Eyes to porozumienie o wymianie wywiadu sygnałowego między USA, Wielką Brytanią, Kanadą, Australią i Nową Zelandią, mające korzenie w powojennym układzie UKUSA. 9 Eyes dodaje Danię, Francję, Holandię i Norwegię. 14 Eyes dodaje Niemcy, Belgię, Włochy, Szwecję i Hiszpanię. Marketing VPN-ów spopularyzował przekonanie, że VPN zarejestrowany w którymkolwiek z tych 14 krajów jest zagrożony, ponieważ jego rząd przyjmujący mógłby zmusić go do wydania danych i udostępnić te dane szerszemu sojuszowi. Stwierdzenie jest częściowo prawdziwe — te rządy rzeczywiście dysponują ramami prawnymi do żądania danych — ale to nie cała historia.
Gdzie mają siedziby duże audytowane VPN-y
Mullvad: Göteborg, Szwecja (w 14 Eyes). Podmiot operacyjny NordVPN, Nordvpn S.A.: Panama (poza Eyes). Proton VPN: Plan-les-Ouates, Genewa, Szwajcaria (poza Eyes; Szwajcaria jest również poza UE i amerykańskimi ramami żądań prawnych). Podmiot operacyjny ExpressVPN, Express VPN International Ltd.: Brytyjskie Wyspy Dziewicze (poza Eyes). Surfshark B.V.: Holandia (w 9 Eyes). Dwa z pięciu — Mullvad i Surfshark — znajdują się w jurysdykcjach Eyes; trzy są poza nimi. Wszystkie pięć opublikowało audyty no-logs.
Nalot na Mullvad w 2023: co się naprawdę wydarzyło
18 kwietnia 2023 sześciu funkcjonariuszy szwedzkiego Wydziału Operacji Narodowych (NOA) przybyło do biura Mullvad w Göteborgu z nakazem przeszukania, zamierzając zająć komputery zawierające dane klientów. Nakaz został wydany 17 lutego 2023 w ramach międzynarodowej współpracy prawnej z władzami niemieckimi. Mullvad udokumentował to zdarzenie publicznie tego samego dnia pod adresem mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised. Zgodnie z relacją Mullvad i późniejszymi doniesieniami policja odeszła bez zajęcia czegokolwiek, ponieważ dane, których szukał nakaz, nie istniały na serwerach. Historia audytów Cure53 dla Mullvad (najnowszy: czwarty audyt infrastruktury, czerwiec 2024) dokumentuje konfigurację serwerów no-logs, która doprowadziła do tego wyniku. Wniosek: jurysdykcja miała znaczenie — nalot się odbył — ale czynnikiem rozstrzygającym była operacyjna postawa wobec prywatności.
Współpraca PureVPN z FBI w 2017: odwrotność
W październiku 2017 FBI wykorzystało dzienniki połączeń VPN od PureVPN do zidentyfikowania Ryana Lina, 24-letniego mieszkańca Massachusetts, w rozległej sprawie cyberstalkingu. Marketing PureVPN przed tą sprawą podkreślał deklarację no-logs. Oświadczenie FBI (cytowane w pismach DoJ i głównych doniesieniach na bleepingcomputer.com i innych) dokumentowało, że PureVPN faktycznie zachował dzienniki połączeń zawierające domowy adres IP klienta na początku sesji i że dzienniki te wystarczyły do zidentyfikowania Lina poprzez jego sesje VPN. Sprawa ta jest kanonicznym przykładem odwrotnym: deklaracja marketingowa zaprzeczona przez to, co dostawca faktycznie przechowywał, a jurysdykcja dostawcy (Hongkong — poza Eyes) nie ochroniła danych, ponieważ dane istniały i odpowiadały amerykańskiemu żądaniu prawnemu.
Co jurysdykcja przewiduje, a czego nie
Jurysdykcja jest realnym czynnikiem ryzyka, gdy zostaje złożone żądanie rządowe. Dostawca w jurysdykcji 14 Eyes z ramami współpracy prawnej z krajem żądającym może zostać zmuszony do wydania danych, które przechowuje. Jednak jurysdykcja nie przewiduje, co dostawca przechowuje. Dostawca no-logs w 14 Eyes (Mullvad) nie ma nic do wydania; dostawca przechowujący dzienniki w jurysdykcji spoza Eyes (PureVPN około 2017) ma. Wydarzenia z Mullvad i PureVPN razem dowodzą, że zmienną prognostyczną jest praktyka operacyjna — zweryfikowana audytem — a nie flaga kraju.
Co rozważyć w 2026
Trzy czynniki przewidują rzeczywiste rezultaty w zakresie prywatności bardziej wiarygodnie niż sama jurysdykcja. (1) Zakres i aktualność audytu — czy najnowszy opublikowany audyt obejmuje konfigurację na poziomie serwera i czy mieści się w ostatnich 24 miesiącach? (2) Klienci open source — czy aplikacje desktopowe i mobilne są publikowane jako open source? Mullvad i Proton VPN publikują swoich klientów na GitHubie. (3) Udokumentowana reakcja na rzeczywiste zdarzenie przymusu prawnego — Mullvad ma takie (nalot z 2023), PureVPN ma jego odwrotność (sprawa z 2017). Większość dostawców nie ma żadnego. Stosuj jurysdykcję jako kryterium rozstrzygające po spełnieniu pierwszych trzech, a nie jako czynnik nadrzędny.
Źródła
5 / 9 / 14 Eyes: en.wikipedia.org/wiki/Five_Eyes (z cytatami z oryginalnego układu UKUSA). Nalot na Mullvad w 2023: mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised. Historia audytów Mullvad: mullvad.net/en/blog/tag/audits. Sprawa PureVPN/Lin: bleepingcomputer.com/news/security/cyberstalking-suspect-arrested-after-vpn-providers-shared-logs-with-the-fbi. Jurysdykcja NordVPN: nordvpn.com/blog/jurisdiction. Jurysdykcja Proton VPN: protonvpn.com/features/swiss-based. ExpressVPN trust: expressvpn.com/trust. Surfshark trust: surfshark.com/trust-center. Wszystkie adresy URL otwarto 2026-04-30.