Юрисдикция VPN: «5 / 9 / 14 глаз», обыск у Mullvad и дело о логах PureVPN
VPN-маркетинг придаёт юрисдикции большое значение. Два наиболее задокументированных случая судебного сотрудничества — обыск у Mullvad в 2023 году и содействие PureVPN ФБР в 2017 году — показывают, что важнее то, что хранит провайдер, чем флаг страны.
Что на самом деле означает «5 / 9 / 14 глаз»
«5 глаз» — это соглашение об обмене радиоэлектронной разведкой между США, Великобританией, Канадой, Австралией и Новой Зеландией, берущее начало в послевоенном соглашении UKUSA. «9 глаз» добавляют Данию, Францию, Нидерланды и Норвегию. «14 глаз» добавляют Германию, Бельгию, Италию, Швецию и Испанию. VPN-маркетинг популяризировал идею о том, что VPN, зарегистрированный в любой из этих 14 стран, находится под угрозой, поскольку правительство принимающей страны может принудить его выдать данные и поделиться ими с более широким альянсом. Это утверждение отчасти верно — у этих правительств действительно есть правовые механизмы для запросов данных — но это не вся картина.
Где базируются крупные аудированные VPN
Mullvad: Гётеборг, Швеция (входит в «14 глаз»). Операционное юридическое лицо NordVPN, Nordvpn S.A.: Панама (вне «глаз»). Proton VPN: План-ле-Уат, Женева, Швейцария (вне «глаз»; Швейцария также вне ЕС и вне рамок правовых запросов США). Операционное юридическое лицо ExpressVPN, Express VPN International Ltd.: Британские Виргинские острова (вне «глаз»). Surfshark B.V.: Нидерланды (входят в «9 глаз»). Двое из пяти — Mullvad и Surfshark — находятся в юрисдикциях «глаз»; трое — вне. Все пять опубликовали аудиты отсутствия логов.
Обыск у Mullvad в 2023 году: что произошло на самом деле
18 апреля 2023 года шесть сотрудников Национального оперативного управления Швеции (NOA) прибыли в офис Mullvad в Гётеборге с ордером на обыск, намереваясь изъять компьютеры с данными клиентов. Ордер был выдан 17 февраля 2023 года в рамках международного правового сотрудничества с немецкими властями. Mullvad публично задокументировал событие в тот же день на mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised. Согласно изложению Mullvad и последующим сообщениям, полиция ушла, ничего не изъяв, потому что данных, которые искал ордер, на серверах не существовало. История аудитов Mullvad от Cure53 (последний: 4-й аудит инфраструктуры, июнь 2024) документирует конфигурацию серверов без логов, которая и привела к такому исходу. Вывод: юрисдикция действительно имела значение — обыск состоялся, — но решающим фактором стала операционная политика обеспечения приватности.
Содействие PureVPN ФБР в 2017 году: обратный случай
В октябре 2017 года ФБР использовало логи подключений PureVPN, чтобы идентифицировать Райана Лина, 24-летнего жителя Массачусетса, в обширном деле о киберпреследовании. Маркетинг PureVPN до этого дела подчёркивал заявление об отсутствии логов. Аффидевит ФБР (приведённый в материалах Министерства юстиции и в публикациях основных СМИ на bleepingcomputer.com и других) задокументировал, что PureVPN фактически хранил логи подключений, включавшие домашний IP-адрес клиента в начале сессии, и что этих логов было достаточно, чтобы идентифицировать Лина по его VPN-сессиям. Это хрестоматийный обратный пример: маркетинговое заявление, опровергнутое тем, что провайдер на самом деле хранил, и юрисдикция провайдера (Гонконг — вне «глаз») не защитила данные, потому что данные существовали и соответствовали правовому запросу США.
Что юрисдикция предсказывает, а что нет
Юрисдикция — это реальный фактор риска, когда поступает правительственный запрос. Провайдера в юрисдикции «14 глаз» с механизмом правового сотрудничества со страной-запросчиком можно принудить выдать данные, которые он хранит. Но юрисдикция не предсказывает, что провайдер хранит. Провайдеру без логов в «14 глазах» (Mullvad) нечего выдавать; провайдеру, хранящему логи, в юрисдикции вне «глаз» (PureVPN около 2017 года) — есть. События Mullvad и PureVPN вместе устанавливают, что предсказательная переменная — это операционная практика, подтверждённая аудитом, а не флаг страны.
Что взвешивать в 2026 году
Три фактора предсказывают реальные исходы для приватности надёжнее, чем одна лишь юрисдикция. (1) Охват и свежесть аудита — покрывает ли последний опубликованный аудит конфигурацию на уровне серверов и сделан ли он за последние 24 месяца? (2) Клиенты с открытым исходным кодом — публикуются ли настольные и мобильные приложения как открытый исходный код? Mullvad и Proton VPN оба публикуют свои клиенты на GitHub. (3) Задокументированная реакция на реальный случай юридического принуждения — у Mullvad он есть (обыск 2023 года), у PureVPN есть обратный (дело 2017 года). У большинства провайдеров нет ни того, ни другого. Применяйте юрисдикцию как фактор для разрешения «ничьей» после того, как удовлетворены первые три, а не как заголовочный фактор.
Источники
«5 / 9 / 14 глаз»: en.wikipedia.org/wiki/Five_Eyes (со ссылками на исходное соглашение UKUSA). Обыск у Mullvad в 2023 году: mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised. История аудитов Mullvad: mullvad.net/en/blog/tag/audits. Дело PureVPN/Лина: bleepingcomputer.com/news/security/cyberstalking-suspect-arrested-after-vpn-providers-shared-logs-with-the-fbi. Юрисдикция NordVPN: nordvpn.com/blog/jurisdiction. Юрисдикция Proton VPN: protonvpn.com/features/swiss-based. Trust ExpressVPN: expressvpn.com/trust. Trust Surfshark: surfshark.com/trust-center. Все URL получены 2026-04-30.