Giải thích về quyền tài phán VPN: 5 / 9 / 14 Eyes, vụ khám xét Mullvad và vụ nhật ký PureVPN
Marketing của VPN thổi phồng nhiều về quyền tài phán. Hai sự kiện hợp tác tư pháp được ghi nhận đầy đủ nhất — vụ khám xét Mullvad năm 2023 và vụ hợp tác với FBI của PureVPN năm 2017 — cho thấy những gì nhà cung cấp lưu trữ quan trọng hơn lá cờ quốc gia.
5 / 9 / 14 Eyes thực chất nghĩa là gì
5 Eyes là một thỏa thuận chia sẻ tình báo tín hiệu giữa Mỹ, Anh, Canada, Úc và New Zealand, có nguồn gốc từ hiệp định UKUSA thời hậu Thế chiến II. 9 Eyes bổ sung Đan Mạch, Pháp, Hà Lan và Na Uy. 14 Eyes bổ sung Đức, Bỉ, Ý, Thụy Điển và Tây Ban Nha. Marketing của VPN đã phổ biến hóa ý tưởng rằng một VPN đăng ký tại bất kỳ quốc gia nào trong số 14 nước này đều có rủi ro vì chính phủ sở tại có thể cưỡng chế họ giao nộp dữ liệu và chia sẻ dữ liệu đó với liên minh rộng lớn hơn. Tuyên bố này đúng một phần — những chính phủ đó quả thực có khung pháp lý cho việc yêu cầu dữ liệu — nhưng đó không phải toàn bộ câu chuyện.
Các VPN lớn được kiểm toán đặt trụ sở ở đâu
Mullvad: Gothenburg, Thụy Điển (thuộc 14 Eyes). Pháp nhân vận hành của NordVPN là Nordvpn S.A.: Panama (ngoài Eyes). Proton VPN: Plan-les-Ouates, Geneva, Thụy Sĩ (ngoài Eyes; Thụy Sĩ cũng nằm ngoài EU và khung yêu cầu pháp lý của Mỹ). Pháp nhân vận hành của ExpressVPN là Express VPN International Ltd.: Quần đảo Virgin thuộc Anh (ngoài Eyes). Surfshark B.V.: Hà Lan (thuộc 9 Eyes). Hai trong số năm — Mullvad và Surfshark — nằm trong các quyền tài phán Eyes; ba còn lại thì ở ngoài. Cả năm đều đã công bố các cuộc kiểm toán no-logs.
Vụ khám xét Mullvad năm 2023: chuyện thực sự đã xảy ra
Vào ngày 18 tháng 4 năm 2023, sáu cảnh sát từ Cục Tác chiến Quốc gia Thụy Điển (NOA) đã đến văn phòng Mullvad ở Gothenburg với một lệnh khám xét, có ý định thu giữ các máy tính chứa dữ liệu khách hàng. Lệnh này được ban hành vào ngày 17 tháng 2 năm 2023 trong khuôn khổ hợp tác pháp lý quốc tế với nhà chức trách Đức. Mullvad đã công khai ghi nhận sự kiện ngay trong ngày tại mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised. Theo lời kể của Mullvad và các bài đưa tin sau đó, cảnh sát đã ra về mà không thu giữ được gì vì dữ liệu mà lệnh khám yêu cầu không tồn tại trên các máy chủ. Lịch sử kiểm toán Cure53 của Mullvad (gần nhất: cuộc kiểm toán hạ tầng lần thứ 4, tháng 6 năm 2024) ghi nhận cấu hình máy chủ no-logs đã tạo ra kết quả này. Hệ quả: quyền tài phán quả thực có ảnh hưởng — vụ khám xét đã xảy ra — nhưng tư thế vận hành về quyền riêng tư mới là yếu tố quyết định.
Vụ hợp tác với FBI của PureVPN năm 2017: trường hợp ngược lại
Vào tháng 10 năm 2017, FBI đã dùng nhật ký kết nối VPN từ PureVPN để nhận diện Ryan Lin, một người đàn ông 24 tuổi ở Massachusetts, trong một vụ án theo dõi qua mạng quy mô lớn. Trước vụ án, marketing của PureVPN đã nhấn mạnh tuyên bố no-logs. Bản tuyên thệ của FBI (được trích dẫn trong các hồ sơ của Bộ Tư pháp và các bài đưa tin chính thống tại bleepingcomputer.com và những nơi khác) ghi nhận rằng PureVPN trên thực tế đã lưu giữ nhật ký kết nối bao gồm địa chỉ IP tại nhà của khách hàng ở thời điểm bắt đầu phiên, và rằng những nhật ký đó đủ để nhận diện Lin qua các phiên VPN của anh ta. Vụ án này là ví dụ phản chứng kinh điển: một tuyên bố tiếp thị bị mâu thuẫn bởi những gì nhà cung cấp thực sự lưu trữ, và quyền tài phán của nhà cung cấp (Hồng Kông — ngoài Eyes) đã không bảo vệ được dữ liệu vì dữ liệu vẫn tồn tại và đáp ứng được một yêu cầu pháp lý của Mỹ.
Quyền tài phán dự báo được và không dự báo được điều gì
Quyền tài phán là một yếu tố rủi ro thực sự khi có một yêu cầu từ chính phủ. Một nhà cung cấp ở quốc gia thuộc 14 Eyes có khung hợp tác pháp lý với nước đưa ra yêu cầu có thể bị cưỡng chế giao nộp dữ liệu mà họ nắm giữ. Nhưng quyền tài phán không dự báo được nhà cung cấp nắm giữ những gì. Một nhà cung cấp no-logs trong 14 Eyes (Mullvad) không có gì để giao nộp; một nhà cung cấp lưu nhật ký ở quốc gia ngoài Eyes (PureVPN khoảng năm 2017) thì có. Hai sự kiện Mullvad và PureVPN cùng nhau xác lập rằng biến số dự báo là thực hành vận hành — được xác minh bằng kiểm toán — chứ không phải lá cờ quốc gia.
Những gì cần cân nhắc vào năm 2026
Ba yếu tố dự báo kết quả về quyền riêng tư trong thực tế đáng tin cậy hơn quyền tài phán đơn thuần. (1) Phạm vi và độ mới của kiểm toán — cuộc kiểm toán công bố gần nhất có bao gồm cấu hình cấp máy chủ không, và có nằm trong vòng 24 tháng gần đây không? (2) Ứng dụng khách mã nguồn mở — các ứng dụng máy tính và di động có được công bố dưới dạng mã nguồn mở không? Cả Mullvad và Proton VPN đều công bố các ứng dụng khách của họ trên GitHub. (3) Phản ứng được ghi nhận trước một sự kiện cưỡng chế pháp lý thực tế — Mullvad có một (vụ khám xét năm 2023), PureVPN có một trường hợp ngược lại (vụ án năm 2017). Hầu hết các nhà cung cấp không có cả hai. Hãy áp dụng quyền tài phán như một tiêu chí phân định khi ba yếu tố đầu đã được thỏa mãn, chứ không phải như yếu tố hàng đầu.
Nguồn
5 / 9 / 14 Eyes: en.wikipedia.org/wiki/Five_Eyes (với trích dẫn đến hiệp định UKUSA gốc). Vụ khám xét Mullvad 2023: mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised. Lịch sử kiểm toán Mullvad: mullvad.net/en/blog/tag/audits. Vụ PureVPN/Lin: bleepingcomputer.com/news/security/cyberstalking-suspect-arrested-after-vpn-providers-shared-logs-with-the-fbi. Quyền tài phán NordVPN: nordvpn.com/blog/jurisdiction. Quyền tài phán Proton VPN: protonvpn.com/features/swiss-based. Trust của ExpressVPN: expressvpn.com/trust. Trust của Surfshark: surfshark.com/trust-center. Tất cả URL được truy cập ngày 2026-04-30.