Bagaimana Yurisdiksi VPN Memengaruhi Anda?

‘Yurisdiksi’ layanan VPN adalah negara tempat layanan VPN berada atau didirikan secara sah. Sistem hukum negara ini akan memengaruhi undang-undang dan peraturan privasi yang dipatuhi oleh layanan VPN.

Tingkat pengawasan dan kontrol yang dijalankan pemerintah atas penggunaan internet bervariasi antarnegara. Yurisdiksi yang intrusif atau berbahaya mungkin bisa memaksa layanan VPN untuk memantau, mengumpulkan, atau membagikan data tentang penggunanya.

Server VPN tunduk pada yurisdiksi negara tempat mereka berada secara fisik. Pihak berwenang di negara ini memiliki wewenang secara hukum untuk menyita server guna memeriksa datanya.

Akan tetapi, meski pihak berwenang ini dapat menyita server itu sendiri, mereka tidak dapat memaksa perusahaan VPN untuk memberikan informasi karena perusahaan VPN memiliki basis di negara yang berbeda. Inilah sebabnya kebijakan pencatatan log VPN sama pentingnya dengan yurisdiksi yang bagus.

Tergantung sejauh mana negara meregulasi internet, Anda mungkin ingin memilih layanan VPN yang berlokasi di luar negara tempat tinggal Anda.

Yurisdiksi yang memiliki undang-undang privasi yang kuat dan tidak terlibat dalam perjanjian berbagi data internasional tentu menjadi pilihan yang masuk akal.

Jika menggunakan VPN untuk tujuan privasi, berarti Anda sudah yakin bahwa Anda tidak dapat memercayai pihak tertentu—baik itu situs web yang dikunjungi maupun pemerintah.

Namun, menggunakan VPN yang berbasis di yurisdiksi invasif justru menambah satu lagi pihak yang tidak dapat dipercaya. Layanan VPN bisa dipaksa untuk menyerahkan informasi pengguna kepada pihak berwenang, yang kemudian dapat dibagikan dengan negara lain sesuai dengan perjanjian berbagi intelijen.

Jika salah satu lokasi ini tunduk pada undang-undang yang invasif, lokasi tersebut bisa jadi rentan terhadap pencarian tanpa dasar dan pelanggaran privasi atas nama ‘keamanan’.

Walaupun penting, yurisdiksi hanyalah salah satu dari banyak faktor yang perlu dipertimbangkan saat memilih VPN. Seberapa penting persisnya yurisdiksi ini bergantung pada tingkat perlindungan yang Anda butuhkan.

Jika Anda membutuhkan perlindungan terhadap pengawasan yang ditargetkan, memilih VPN di yurisdiksi yang aman sepertinya tidak akan cukup untuk melindungi Anda. Badan intelijen nasional memiliki akses ke sumber daya yang luas—jika dipilih, ada hal lain yang patut Anda khawatirkan, tidak hanya sekadar yurisdiksi VPN.

Kepercayaan juga menjadi faktor utama. VPN masih bisa membohongi pelanggannya dan bekerja sama dengan pihak berwenang meskipun VPN tersebut beroperasi di yurisdiksi yang “aman”.

Sebagai kesimpulan, jika Anda ingin melindungi privasi online, lokasi server yang terhubung dan praktik perusahaan yang mengendalikannya justru cenderung lebih penting daripada tempat perusahaan didirikan.

Walau demikian, yurisdiksi VPN masih penting jika Anda sangat peduli dengan privasi. Anda bisa jadi rentan terhadap masalah berikut:

Pengawasan dan Penyimpanan Data

Beserta infrastruktur pengawasan mereka yang lazim, badan intelijen nasional seperti NSA dan GCHQ memiliki wewenang untuk memaksa organisasi domestik mencatat log, memberikan, dan mendekripsi informasi privat.

Di Amerika Serikat, Patriot Act (Undang-Undang Patriot) memprakarsai wewenang baru atas pengumpulan data federal melalui penggunaan Surat Keamanan Nasional. Undang-undang ini memberikan wewenang kepada pihak berwenang untuk memaksa unit bisnis yang sah menjadi alat pengumpulan data bagi lembaga negara.

Permintaan ini bisa saja dibarengi dengan perintah pembungkaman yang melarang perusahaan mengungkapkan apa pun yang diperintahkan kepada mereka. Beberapa perusahaan VPN menerbitkan warrant canary (surat pernyataan) dalam upaya untuk mengatasi masalah ini. Kami akan membahasnya nanti dalam panduan ini.

Terdapat preseden mengenai hal ini. Pada tahun 2013, layanan email aman Lavabit menjadi sasaran FBI dalam upaya mengumpulkan informasi tentang Edward Snowden.

Lavabit dipanggil dengan perintah pembungkaman untuk menyerahkan kunci enkripsi konten email penggunanya. Alhasil, FBI akan bisa mengakses semua komunikasi pelanggan Lavabit secara real-time dengan kunci ini, bukan hanya milik Snowden.

Pendiri Lavabit, Ladar Levison, akhirnya menyerahkan kunci enkripsi perusahaan dan menutup layanan tersebut secara bersamaan. Pihak berwenang AS selanjutnya mengancam akan menahan Levison dengan alasan bahwa tindakannya melanggar perintah pengadilan.

Sama halnya dengan Riseup, layanan VPN yang berbasis di Seattle ini dipaksa mengumpulkan data penggunanya untuk diserahkan kepada pihak berwenang pemerintah, serta diberi perintah pembungkaman agar mereka tidak mengungkapkan hal ini kepada penggunanya.

HideMyAss, penyedia VPN yang berbasis di Inggris Raya, juga menerima perintah pengadilan untuk mengumpulkan data dan menyerahkannya kepada pihak berwenang untuk tujuan penyelidikan kejahatan. Kejadian ini tidak terungkap hingga setelah penuntutan.

Itulah tadi beberapa contoh kasus yang bisa diketahui umum, tetapi kemungkinan besar masih terdapat contoh lain yang belum kami ketahui.

Perjanjian Berbagi Data

Perjanjian pengawasan internasional, seperti Aliansi Five Eyes, Nine Eyes, dan Fourteen Eyes, mengizinkan negara anggotanya untuk memanfaatkan “Menerima peraturan privasi yang disepakati paling banyak anggota,” seperti yang dikatakan EFF.

Artinya, setiap negara anggotanya dapat memanfaatkan data pengawasan massal yang diserahkan oleh anggota lain.

Praktik berbagi intelijen di antara negara ini berimplikasi luas terhadap pengguna internet dan VPN khususnya. Masuk akal untuk berasumsi bahwa jika salah satu negara ini mendapatkan akses ke data Anda, data tersebut bisa dibagikan dengan negara lain.

Jika undang-undang yang memperluas kemampuan pengawasan elektronik disahkan di salah satu negara ini, perundang-undangan yang sama seolah-olah disahkan di setiap negara yang terlibat dalam perjanjian tersebut.

Dengan kata lain, besar kemungkinan aktivitas Anda dikumpulkan dan diserahkan kepada badan intelijen di mana pun Anda berada.

Lokasi Server Virtual dan Server Sewaan

Beberapa layanan VPN menyewa servernya dari pusat data demi mengurangi biaya operasional. Dengan menyewa server, biaya pengoperasian jaringan server internasional bisa sangat ditekan jika dibangingkan dengan memiliki sendiri server secara langsung.

Meski dapat mengurangi beban biaya penyedia VPN, tindakan ini bisa menimbulkan masalah terkait privasi.

Server VPN yang disewa tersebut adalah milik pusat data yang menyewakannya. Jadi, pusat data bisa jadi menyimpan catatan log aktivitas Anda, terlepas dari kebijakan log perusahaan VPN tersebut.

Tergantung yurisdiksi pusat data tersebut, pihak berwenang setempat juga dapat memaksa host server untuk menyimpan atau membagikan data pengguna.

Jika demikian, yurisdiksi dan kebijakan pencatatan log perusahaan VPN menjadi tidak berguna. Pihak berwenang setempat bisa langsung mendatangi host server untuk menyita informasi yang mereka butuhkan. Anda dapat mempelajari selengkapnya tentang server VPN sewaan di panduan kami tentang lokasi server virtual.

Jika privasi merupakan hal yang penting bagi Anda, sebaiknya pilih layanan VPN yang berbasis di luar Aliansi Five Eyes, Nine Eyes, atau Fourteen Eyes.

Negara yang terlibat dalam aliansi ini kemungkinan besar ikut serta dalam kegiatan pengawasan invasif, penyimpanan data, dan program pengumpulan intelijen.

Selain itu, negara yang paling kuat dalam aliansi ini kemungkinan besar juga akan mampu memaksa anggota lain untuk melakukan pencatatan log atau bentuk kerja sama lainnya.

• Tidak ada hubungan dengan negara yang intrusif. Beberapa pemerintah secara politis berkewajiban atau terhubung dengan negara invasif yang lebih kuat. Hubungan internasional ini bisa membahayakan privasi data Anda.
• Riwayat surat perintah dan panggilan pengadilan. Hindari negara dan pemerintah yang memiliki riwayat penyensoran atau penuntutan online atas konten log penelusuran warganya.
• Undang-undang privasi dan netralitas internet yang kuat. Meski tidak akan memengaruhi privasi Anda secara langsung, undang-undang netralitas internet menyiratkan bahwa pemerintah memiliki hubungan dengan ISP dan penyedia telekomunikasi yang bisa merugikan konsumen.

Apa Itu Surga Privasi?

Pada dasarnya, Anda disarankan memilih VPN yang berbasis di negara yang dianggap sebagai “surga privasi”.

Surga privasi adalah negara yang memiliki lingkungan hukum dan politik yang bersahabat dengan gagasan privasi online. Negara ini jarang ikut campur dalam pengawasan wajib, penyimpanan data, atau perjanjian berbagi data, serta sering membanggakan beberapa undang-undang privasi terkuat di dunia.

Meskipun negara ini tidak memiliki kewajiban berbagi data pengguna dengan pihak berwenang internasional, mereka sering kali tidak memiliki peraturan yang diperlukan guna memastikan data pengguna terlindungi dengan baik. Artinya, Anda bisa mengorbankan keamanan demi privasi.

Negara yang sering disebut sebagai surga privasi meliputi Kepulauan Virgin Britania Raya, Panama, Seychelles, Kepulauan Cayman, dan Malaysia.

Sejumlah besar perusahaan VPN memilih mendaftarkan perusahaannya di negara tersebut guna memastikan layanannya tetap privat dan seaman mungkin. Contohnya, antara lain ExpressVPN, NordVPN, dan Astrill.

Ada juga beberapa layanan VPN yang terbukti dapat dipercaya meski beroperasi di yurisdiksi yang “berbahaya”. Private Internet Access (PIA), misalnya, tidak bisa memberikan data kepada pemerintah AS dalam kasus pengadilan resmi meskipun terdapat panggilan pengadilan untuk menyerahkan informasi.

Selain itu, terdapat segelintir layanan VPN tanpa log yang benar-benar telah lulus uji kasus nyata atau telah diaudit oleh pihak ketiga. VPN di yurisdiksi luar negeri yang aman benar-benar dapat memberikan perlindungan tambahan karena kecil kemungkinan VPN tersebut dapat dipaksa untuk menyerahkan data kepada pihak berwenang.

Apakah Layanan VPN Membutuhkan Warrant Canary?

Warrant canary adalah istilah sehari-hari untuk pernyataan yang dipublikasikan secara teratur dan dirancang untuk membuktikan bahwa penyedia layanan belum dihubungi oleh lembaga pemerintah atau dipaksa untuk menyerahkan data pengguna.

 

Permintaan data seperti “Surat Keamanan Nasional AS” (US National Security Letter) biasanya datang dengan perintah pembungkaman yang menghalangi perusahaan target untuk mengungkapkan fakta bahwa perusahaan tersebut telah disusupi.

Tujuan dari warrant canary adalah untuk mengatasi batasan hukum ini dan memperingatkan penggunanya bahwa data mereka mungkin tidak lagi aman—tanpa secara teknis melanggar perintah pengadilan agar tidak melakukannya.

Warrant canary umumnya berfungsi untuk memberi tahu pengguna bahwa belum ada surat perintah pengadilan, perintah pembungkaman, atau panggilan pengadilan pada tanggal tertentu.

Jika warrant canary tidak diperbarui atau jika dihapus sepenuhnya, pengguna patut berasumsi bahwa larangan berbicara telah diberlakukan dan host telah menerima permintaan hukum.

Banyak layanan VPN memilih mempertahankan warrant canary untuk membantu meyakinkan pengguna bahwa mereka bisa dipercaya.

Namun, hanya karena layanan VPN mempertahankan warrant canary, tidaklah berarti layanan tersebut masih privat atau aman. Demikian juga, banyak layanan yang dapat diandalkan dan bereputasi memilih tidak mempertahankan warrant canary sebagai hal yang mendasar karena efektivitasnya masih diperdebatkan di kalangan para ahli.

Beberapa ahli berpendapat bahwa pemerintah dapat memaksa perusahaan untuk mempertahankan warrant canary sekalipun telah disusupi sehingga menjadikannya tidak lagi berguna.

Ada juga kemungkinan layanan yang telah disusupi memilih untuk tidak mengubah warrant canary mereka supaya tidak kehilangan pelanggan. Artinya, banyak warrant canary yang hanya merupakan sandiwara pemasaran dari perusahaan yang tidak terlalu peduli dengan privasi penggunanya.

Sayangnya, tidak ada cara untuk mengetahui secara pasti jika pengubahan warrant canary merupakan indikator sebenarnya dari perintah pengadilan. Jadi, pengguna dipaksa untuk berspekulasi dalam memutuskan arti dari warrant canary yang hilang atau berubah.

Daripada secara khusus mencari VPN yang memiliki warrant canary, sebaiknya anggap surat ini sebagai fitur bonus tambahan setelah Anda berhasil mengidentifikasi layanan VPN yang bisa dipercaya.

Kebanyakan orang terbayang NSA saat mereka memikirkan pengawasan massal. Faktanya, hampir setiap negara memiliki badan intelijen sinyal (SIGINT) sendiri.

Badan-badan intelijen ini memusatkan perhatian pada penegakan hukum, pengumpulan data, dan kontra intelijen dengan mencegat sinyal elektronik dan komunikasi online. Terlebih lagi, mereka sering saling bekerja sama.

Aliansi Five Eyes, Nine Eyes, dan Fourteen Eyes adalah tiga dari beberapa perjanjian intelijen internasional paling penting yang melakukan pengawasan terkoordinasi semacam ini. Aliansi tersebut juga merupakan yurisdiksi VPN terburuk dalam hal privasi.

 

Berikut ini daftar entitas pengawasan global utama yang patut Anda ketahui:

1. Aliansi Five Eyes

 

Negara yang tergabung di Five Eyes, antara lain AS, Inggris Raya, Kanada, Australia, dan Selandia Baru.

Perjanjian berbagi intelijen ini dapat dirunut kembali ke PD II dan Perjanjian UKUSA, yang awalnya dirancang sebagai kemitraan antara Amerika Serikat dan Inggris Raya.

Selama beberapa dekade terakhir, anggota dan jangkauan perjanjiannya semakin berkembang. Negara anggota, yang dikenal sebagai Aliansi Five Eyes, kini bekerja sama dalam mengumpulkan, menganalisis, dan saling berbagi intelijen baik di dalam negeri maupun internasional.

Namun, dokumen yang dibocorkan oleh Edward Snowden mengungkapkan bahwa negara Five Eyes saling memantau warga negaranya masing-masing dan saling berbagi intelijen—meskipun negara-negara tersebut telah sepakat supaya tidak saling memata-matai sebagai musuh.

Selain itu, negara Five Eyes juga bekerja sama dalam mengirimkan dan memberlakukan pemberitahuan penyimpanan data. Dengan kata lain, satu negara dapat menekan negara lain untuk menyerahkan catatan log pengguna VPN yang berada dalam yurisdiksinya.

Jadi, tidak heran jika banyak di antara negara Five Eyes yang termasuk dalam pelanggar privasi digital terburuk.

Jika Anda khawatir akan privasi saat menggunakan VPN, negara Five Eyes dianggap sebagai yurisdiksi VPN terburuk.

Sistem Pengawasan ECHELON

Negara Five Eyes menggunakan ECHELON, yakni jaringan stasiun mata-mata yang dirancang untuk pengawasan global dan pengumpulan data.

ECHELON mampu mencegat data yang dikirimkan melalui telepon, faks, dan komputer. Stasiun ECHELON juga dapat melacak rekening bank dan bahkan mencegat data yang dikirim ke dan dari relai satelit. Semua data ini disimpan di basis data ekstensif yang mampu menyimpan jutaan catatan tentang individu.

Meskipun bukti sudah semakin bertambah selama hampir 30 tahun, AS masih menyangkal keberadaan ECHELON, sedangkan pemerintah Inggris Raya selalu mengelak.

Terlepas dari penyangkalan ini, berbagai pelapor telah mengonfirmasi kebenarannya dengan mendokumentasikan aspek tertentu proyek ECHELON.

2. Aliansi Nine Eyes

 

Aliansi Nine Eyes merupakan perluasan dari Aliansi Five Eyes. Aliansi ini terdiri atas sekelompok negara yang lebih besar yang juga bekerja sama untuk berbagi intelijen. Aliansi ini meliputi semua negara Five Eyes, ditambah Prancis, Denmark, Norwegia, dan Belanda.

Keberadaan Aliansi Nine Eyes menjadi terkenal setelah diungkapkan oleh Edward Snowden pada 2013. Pada dasarnya, aliansi Nine Eyes merupakan perluasan dari perjanjian Five Eyes yang bekerja sama untuk mengumpulkan dan mendistribusikan data pengawasan massal.

Keempat negara tambahan ini masih bekerja sama satu sama lain—juga dengan kelima negara dalam aliansi awal—meskipun tidak memiliki program pengawasan domestik seluas AS, Inggris, atau Australia.

Aliansi Nine Eyes merupakan pengaturan antarentitas SIGINT dan tidak diresmikan oleh perjanjian formal apa pun.

3. Aliansi Fourteen Eyes

 

Aliansi Fourteen Eyes mencakup semua anggota aliansi Nine Eyes serta Jerman, Belgia, Italia, Swedia, dan Spanyol.

Nama resmi dari aliansi Fourteen Eyes adalah SIGINT Seniors of Europe (SSEUR), yang sudah ada dalam berbagai bentuk sejak tahun 1982. Dulu dirancang untuk pertukaran intelijen militer, aliansi ini kini diperluas hingga mencakup informasi pengawasan terhadap warga biasa.

Pertemuan SIGINT Seniors diadakan setiap tahun dan dihadiri oleh para pimpinan badan SIGINT termasuk BND, NSA, DGSE, GCHQ, dan lainnya. Pertemuan ini memberikan wadah bagi para pimpinan intelijen global untuk membahas kerja sama dan pengembangan.

The SIGINT Seniors of the Pacific merupakan entitas serupa yang didirikan pada tahun 2005. Negara anggotanya mencakup semua negara Five Eyes serta India, Prancis, Singapura, Thailand, dan Korea Selatan.

Negara terkemuka lainnya termasuk Israel dan Jepang juga diyakini bekerja sama dengan aliansi Fourteen Eyes dan NSA.

4. Uni Eropa (UE)

 

Uni Eropa adalah sekumpulan negara Eropa yang berdaulat. UE merupakan salah satu serikat politik dan ekonomi terbesar dan paling kuat di dunia serta bermasalah dalam hal pengawasan dan privasi data.

Meskipun kebijakan kerja sama Uni Eropa sama sekali tidak seluas atau se-invasif yang ada di Aliansi Five Eyes, Nine Eyes, dan Fourteen Eyes, negara anggota UE tetap terlibat dalam perjanjian berbagi data.

Aturan ini memiliki beberapa pengecualian. Mahkamah Konstitusi Rumania (CCR) pada tahun 2009 memutuskan bahwa tuntutan UE merupakan pelanggaran terhadap hak privasi warga negara Rumania.

Keputusan ini menjadikan Rumania sebagai surga privasi pengguna yang aman di antara negara UE. Keputusan ini juga membantu menjelaskan mengapa layanan VPN seperti CyberGhost mungkin memilih untuk menjadikan Rumania sebagai basis operasi mereka.

Beberapa negara lebih privat daripada negara lain, tetapi terdapat banyak negara yang bekerja sama dengan Five Eyes atau pihak berwenang SSEUR dan memiliki riwayat berbagi data. Hal ini perlu diingat saat memilih VPN yang berbasis di yurisdiksi UE.

5. Organisasi Kerja Sama Shanghai (SCO)

 

Organisasi Kerja Sama Shanghai (SCO)—juga dikenal sebagai Pakta Shanghai—merupakan aliansi politik dan ekonomi Eurasia antara Rusia, Tiongkok, Pakistan, India, Kirgistan, Kazakhstan, Uzbekistan, dan Tajikistan.

SCO terutama berfokus pada keamanan nasional anggotanya, dan umumnya bekerja dalam memerangi ekstremisme dalam berbagai bentuknya.

Selama beberapa tahun terakhir, kegiatan SCO meluas hingga mencakup peningkatan kerja sama militer, berbagi intelijen, dan kontra terorisme. Besar kemungkinan negara anggota SCO mengumpulkan dan berbagi data dengan cara yang mirip dengan aliansi intelijen Barat.

6. Negara dengan Tingkat Penyensoran Ketat

 

Negara tertentu melarang penggunaan VPN dan melanggar privasi warganya terlepas dari adanya perjanjian internasional.

Pelanggar terburuk pembatasan internet meliputi Tiongkok, UEA, Turki, Rusia, Oman, Irak, dan Belarus meskipun daftar ini masih jauh dari kata lengkap.

Meskipun kecil kemungkinannya Anda akan menemukan VPN atau server VPN yang berbasis secara fisik di salah satu negara ini, sebaiknya Anda waspada. Kami menemukan banyak VPN yang memiliki hubungan dengan perusahaan Tiongkok yang patut dipertanyakan dalam penyelidikan kami tentang kepemilikan aplikasi VPN gratis oleh Tiongkok.

Yurisdiksi yang memiliki hubungan dekat dengan pemerintah ini—seperti Hong Kong—juga harus dihindari jika Anda khawatir akan privasi data.

Untuk informasi lebih lanjut tentang legalitas VPN dan pembatasan penggunaannya, Anda dapat membaca panduan khusus undang-undang VPN kami.

Kami telah memeriksa kebijakan privasi dari layanan VPN paling populer di pasaran. Temuan kami menunjukkan bahwa sejumlah besar penyedia VPN memiliki basis di yurisdiksi yang berpotensi membahayakan data pengguna.

Tabel berikut ini mencantumkan semua 90 layanan VPN yang telah kami uji. Tabel tersebut menjelaskan kepada Anda tentang yurisdiksi layanan VPN dan apakah mereka mempertahankan warrant canary atau tidak.

Jika Anda mencari VPN tertentu, gunakan Ctrl+F untuk menemukan penyedia yang ingin diketahui.