VPN-jurisdiktion förklarad: 5 / 9 / 14 Eyes, Mullvad-razzian och PureVPN-loggfallet
VPN-marknadsföring gör mycket av jurisdiktionen. De två bäst dokumenterade fallen av domstolssamarbete — Mullvad-razzian 2023 och PureVPN-FBI-samarbetet 2017 — visar att vad leverantören lagrar spelar större roll än landsflaggan.
Vad 5 / 9 / 14 Eyes faktiskt betyder
5 Eyes är en överenskommelse om delning av signalspaning mellan USA, Storbritannien, Kanada, Australien och Nya Zeeland, med ursprung i UKUSA-avtalet efter andra världskriget. 9 Eyes lägger till Danmark, Frankrike, Nederländerna och Norge. 14 Eyes lägger till Tyskland, Belgien, Italien, Sverige och Spanien. VPN-marknadsföring har populariserat idén att ett VPN registrerat i något av dessa 14 länder är utsatt eftersom dess värdregering skulle kunna tvinga det att lämna ut data och dela dessa data med den bredare alliansen. Påståendet är delvis sant — dessa regeringar har rättsliga ramverk för dataförfrågningar — men det är inte hela historien.
Var de stora granskade VPN:erna har sitt säte
Mullvad: Göteborg, Sverige (i 14 Eyes). NordVPN:s driftbolag Nordvpn S.A.: Panama (utanför Eyes). Proton VPN: Plan-les-Ouates, Genève, Schweiz (utanför Eyes; Schweiz står dessutom utanför EU och det amerikanska ramverket för rättsliga förfrågningar). ExpressVPN:s driftbolag Express VPN International Ltd.: Brittiska Jungfruöarna (utanför Eyes). Surfshark B.V.: Nederländerna (i 9 Eyes). Två av de fem — Mullvad och Surfshark — befinner sig i Eyes-jurisdiktioner; tre står utanför. Alla fem har publicerat no-logs-granskningar.
Mullvad-razzian 2023: vad som faktiskt hände
Den 18 april 2023 anlände sex tjänstemän från Sveriges nationella operativa avdelning (NOA) till Mullvads kontor i Göteborg med en husrannsakningsorder, i avsikt att beslagta datorer som innehöll kunddata. Ordern hade utfärdats den 17 februari 2023 inom ramen för internationellt rättsligt samarbete med tyska myndigheter. Mullvad dokumenterade händelsen offentligt samma dag på mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised. Enligt Mullvads redogörelse och efterföljande rapportering lämnade polisen platsen utan att beslagta något eftersom de uppgifter ordern efterfrågade inte fanns på servrarna. Mullvads Cure53-granskningshistorik (senast: 4:e infrastrukturgranskningen, juni 2024) dokumenterar den no-logs-serverkonfiguration som ledde till detta utfall. Konsekvensen: jurisdiktionen spelade visst roll — razzian ägde rum — men den operativa integritetshållningen var den avgörande faktorn.
PureVPN-FBI-samarbetet 2017: motsatsen
I oktober 2017 använde FBI VPN-anslutningsloggar från PureVPN för att identifiera Ryan Lin, en 24-årig man från Massachusetts, i ett omfattande cyberstalkningsfall. PureVPN:s marknadsföring hade före fallet betonat ett no-logs-påstående. FBI:s edsvurna utsaga (citerad i DoJ-inlagor och i etablerad rapportering på bleepingcomputer.com och annorstädes) dokumenterade att PureVPN i själva verket hade behållit anslutningsloggar som innehöll kundens hem-IP-adress vid sessionens start, och att dessa loggar räckte för att identifiera Lin via hans VPN-sessioner. Fallet är det kanoniska motexemplet: ett marknadsföringspåstående som motbevisas av vad leverantören faktiskt lagrade, och leverantörens jurisdiktion (Hongkong — utanför Eyes) skyddade inte data eftersom data existerade och svarade mot en amerikansk rättslig förfrågan.
Vad jurisdiktionen förutsäger och inte förutsäger
Jurisdiktionen är en verklig riskfaktor när en myndighetsförfrågan görs. En leverantör i en 14 Eyes-jurisdiktion med ett ramverk för rättsligt samarbete med det begärande landet kan tvingas lämna ut data den innehar. Men jurisdiktionen förutsäger inte vad leverantören innehar. En no-logs-leverantör i 14 Eyes (Mullvad) har inget att lämna ut; en loggförande leverantör i en icke-Eyes-jurisdiktion (PureVPN omkring 2017) har det. Mullvad- och PureVPN-händelserna fastställer tillsammans att den förutsägande variabeln är operativ praxis — kontrollerad genom granskning — inte landsflaggan.
Vad man bör väga in 2026
Tre faktorer förutsäger verkliga integritetsutfall mer pålitligt än jurisdiktionen ensam. (1) Granskningsomfattning och aktualitet — täcker den senaste publicerade granskningen konfigurationen på servernivå, och ligger den inom de senaste 24 månaderna? (2) Klienter med öppen källkod — publiceras skrivbords- och mobilapparna som öppen källkod? Mullvad och Proton VPN publicerar båda sina klienter på GitHub. (3) Dokumenterat svar på en verklig händelse av rättsligt tvång — Mullvad har ett (razzian 2023), PureVPN har det motsatta (fallet 2017). De flesta leverantörer har inget av det. Tillämpa jurisdiktionen som avgörare när de tre första är uppfyllda, inte som den främsta faktorn.
Källor
5 / 9 / 14 Eyes: en.wikipedia.org/wiki/Five_Eyes (med hänvisningar till det ursprungliga UKUSA-avtalet). Mullvad-razzian 2023: mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised. Mullvad-granskningshistorik: mullvad.net/en/blog/tag/audits. PureVPN/Lin-fallet: bleepingcomputer.com/news/security/cyberstalking-suspect-arrested-after-vpn-providers-shared-logs-with-the-fbi. NordVPN-jurisdiktion: nordvpn.com/blog/jurisdiction. Proton VPN-jurisdiktion: protonvpn.com/features/swiss-based. ExpressVPN trust: expressvpn.com/trust. Surfshark trust: surfshark.com/trust-center. Alla webbadresser hämtade 2026-04-30.