Юрисдикція VPN пояснена: 5 / 9 / 14 Eyes, рейд на Mullvad і справа про журнали PureVPN
Маркетинг VPN робить багато довкола юрисдикції. Дві найкраще задокументовані події судової співпраці — рейд на Mullvad у 2023 році та співпраця PureVPN з ФБР у 2017 році — показують, що те, що зберігає провайдер, важить більше, ніж прапор країни.
Що насправді означає 5 / 9 / 14 Eyes
5 Eyes — це угода про обмін радіотехнічною розвідкою між США, Великою Британією, Канадою, Австралією та Новою Зеландією, що бере витоки з повоєнної угоди UKUSA. 9 Eyes додає Данію, Францію, Нідерланди та Норвегію. 14 Eyes додає Німеччину, Бельгію, Італію, Швецію та Іспанію. Маркетинг VPN популяризував ідею, що VPN, зареєстрований у будь-якій із цих 14 країн, перебуває під загрозою, оскільки уряд приймаючої країни міг би змусити його видати дані та поділитися цими даними з ширшим альянсом. Це твердження частково правдиве — ці уряди справді мають правові рамки для запитів даних — але це не вся історія.
Де базуються великі аудитовані VPN
Mullvad: Гетеборг, Швеція (у 14 Eyes). Операційна особа NordVPN, Nordvpn S.A.: Панама (поза Eyes). Proton VPN: План-ле-Уат, Женева, Швейцарія (поза Eyes; Швейцарія також поза ЄС і поза американськими рамками правових запитів). Операційна особа ExpressVPN, Express VPN International Ltd.: Британські Віргінські острови (поза Eyes). Surfshark B.V.: Нідерланди (у 9 Eyes). Дві з п'яти — Mullvad і Surfshark — перебувають у юрисдикціях Eyes; три — поза ними. Усі п'ять опублікували аудити без логів.
Рейд на Mullvad у 2023: що насправді сталося
18 квітня 2023 року шестеро співробітників шведського Національного оперативного департаменту (NOA) прибули до офісу Mullvad у Гетеборзі з ордером на обшук, маючи намір вилучити комп'ютери, що містять дані клієнтів. Ордер було видано 17 лютого 2023 року в рамках міжнародної правової співпраці з німецькою владою. Mullvad публічно задокументував цю подію того ж дня за адресою mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised. Згідно з версією Mullvad та подальшими повідомленнями, поліція пішла без вилучення будь-чого, оскільки даних, які шукав ордер, на серверах не існувало. Історія аудитів Cure53 для Mullvad (найновіший: четвертий аудит інфраструктури, червень 2024) документує конфігурацію серверів без логів, яка дала такий результат. Висновок: юрисдикція справді мала значення — рейд відбувся — але вирішальним чинником була операційна позиція щодо приватності.
Співпраця PureVPN з ФБР у 2017: протилежність
У жовтні 2017 року ФБР використало журнали з'єднань VPN від PureVPN для ідентифікації Раяна Ліна, 24-річного мешканця Массачусетсу, у масштабній справі про кіберсталкінг. Маркетинг PureVPN до цієї справи наголошував на заяві про відсутність логів. Афідевіт ФБР (цитований у документах Міністерства юстиції та провідних повідомленнях на bleepingcomputer.com та інших) задокументував, що PureVPN насправді зберігав журнали з'єднань, що містили домашню IP-адресу клієнта на початку сесії, і що цих журналів було достатньо для ідентифікації Ліна через його сесії VPN. Ця справа є канонічним зворотним прикладом: маркетингова заява, спростована тим, що провайдер насправді зберігав, а юрисдикція провайдера (Гонконг — поза Eyes) не захистила дані, оскільки дані існували і відповідали американському правовому запиту.
Що юрисдикція прогнозує, а що ні
Юрисдикція є реальним чинником ризику, коли надходить урядовий запит. Провайдера в юрисдикції 14 Eyes з рамками правової співпраці з країною, що подає запит, можна змусити видати дані, які він зберігає. Але юрисдикція не прогнозує, що провайдер зберігає. Провайдер без логів у 14 Eyes (Mullvad) не має чого видавати; провайдер, що веде журнали, у юрисдикції поза Eyes (PureVPN близько 2017) — має. Події з Mullvad і PureVPN разом доводять, що прогностичною змінною є операційна практика — перевірена аудитом — а не прапор країни.
Що зважити у 2026
Три чинники прогнозують реальні результати щодо приватності надійніше, ніж сама юрисдикція. (1) Обсяг і актуальність аудиту — чи охоплює найновіший опублікований аудит конфігурацію на рівні сервера і чи він у межах останніх 24 місяців? (2) Клієнти з відкритим кодом — чи публікуються десктопні та мобільні застосунки як open source? Mullvad і Proton VPN публікують своїх клієнтів на GitHub. (3) Задокументована реакція на реальну подію правового примусу — Mullvad має таку (рейд 2023), PureVPN має її протилежність (справа 2017). Більшість провайдерів не має жодної. Застосовуйте юрисдикцію як вирішальний критерій після того, як перші три задоволено, а не як основний чинник.
Джерела
5 / 9 / 14 Eyes: en.wikipedia.org/wiki/Five_Eyes (з посиланнями на оригінальну угоду UKUSA). Рейд на Mullvad у 2023: mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised. Історія аудитів Mullvad: mullvad.net/en/blog/tag/audits. Справа PureVPN/Lin: bleepingcomputer.com/news/security/cyberstalking-suspect-arrested-after-vpn-providers-shared-logs-with-the-fbi. Юрисдикція NordVPN: nordvpn.com/blog/jurisdiction. Юрисдикція Proton VPN: protonvpn.com/features/swiss-based. ExpressVPN trust: expressvpn.com/trust. Surfshark trust: surfshark.com/trust-center. Усі URL-адреси відкрито 2026-04-30.