Jak jurysdykcje VPN wpływają na Ciebie?

„Jurysdykcja” usługi VPN to kraj, w którym ma ona swoją siedzibę lub jest zarejestrowana. System prawny obowiązujący w danym kraju będzie miał wpływ na prawa i przepisy dotyczące ochrony prywatności, którym podlega VPN.

Poziom nadzoru i kontroli, jaki rządy mają nad Internetem, różni się w zależności od kraju. Inwazyjne jurysdykcje mogą zmusić usługę VPN do monitorowania, gromadzenia lub udostępniania danych o jej użytkownikach.

Serwery VPN podlegają jurysdykcji kraju, w którym się znajdują.

Organy państwowe mają prawo do zajęcia lokalnego serwera w celu zbadania przechowywanych na nim danych. Nie mogą jednak zmusić firmy VPN do udostępnienia informacji, ponieważ ma ona siedzibę w innym kraju, poza zasięgiem ich władzy. Właśnie dlatego polityka przechowywania logów usługi VPN jest równie ważna, co dobra jurysdykcja.

W zależności od tego, w jakim stopniu Twój kraj zamieszkania reguluje kwestie związane z Internetem, możesz wybrać usługę VPN zlokalizowaną poza nim, gdzie obowiązują przepisy chroniące prywatność, a międzynarodowe porozumienia w zakresie udostępniania danych nie mają zastosowania.

Jeśli próbujesz ukryć swoją aktywność w Internecie, lepiej unikaj VPN-ów z siedzibą w inwazyjnej jurysdykcji. Mogą one zostać zmuszone przez władze do przekazania danych użytkowników, które następnie zostaną udostępnione innym krajom sojuszniczym w ramach porozumień o wymianie informacji wywiadowczych.

Jeśli chodzi o jurysdykcje, należy zwrócić uwagę na trzy elementy mające największy wpływ na Twoje bezpieczeństwo.

Jeśli którekolwiek z tych miejsc podlega inwazyjnym prawom, możesz być narażony na nieuzasadnione przeszukiwanie i naruszanie prywatności w imię „bezpieczeństwa”.

Jurysdykcja, choć ważna, jest tylko jednym z wielu czynników, które należy wziąć pod uwagę przy wyborze usługi VPN. To, jak bardzo jest ona istotna, zależy od poziomu ochrony, którego potrzebujesz.

Jeśli szukasz ochrony przed ukierunkowaną inwigilacją, wybór VPN-u w bezpiecznej jurysdykcji raczej nie wystarczy, by Cię ochronić. Krajowe agencje wywiadowcze mają dostęp do ogromnych zasobów – jeśli trafisz pod ich lupę, przyjdzie Ci martwić się nie tylko o jurysdykcję swojej usługi VPN.

Zaufanie również jest ważnym czynnikiem. Usługa VPN może okłamywać swoich klientów i współpracować z władzami, nawet jeśli działa w „bezpiecznej” jurysdykcji.

Ostatecznie, jeśli chcesz chronić swoją prywatność w sieci, ważniejsze od lokalizacji siedziby firmy będą prawdopodobnie lokalizacja serwerów, z którymi się łączysz, oraz praktyki firmy kontrolującej te serwery.

Jurysdykcje VPN są nadal ważne, jeśli naprawdę zależy Ci na prywatności. Jako użytkownik Internetu, jesteś narażony na następujące problemy:

Nadzór i przechowywanie danych

Narodowe agencje wywiadowcze, takie jak NSA i GCHQ, oprócz swojej zwykłej infrastruktury inwigilacyjnej, mają prawo zmuszać organizacje krajowe do rejestrowania, udostępniania i odszyfrowywania prywatnych informacji.

W Stanach Zjednoczonych ustawa Patriot Act wprowadziła nowe uprawnienia do zbierania danych federalnych poprzez wykorzystanie pism National Security Letter. Przepisy te dają władzom prawo do zmuszenia legalnej firmy, aby stała się narzędziem zbierania danych dla agencji państwowych.

Żądaniom tym może towarzyszyć zakaz ujawniania przez firmę, do czego jest zmuszana. Niektóre sieci VPN, próbują rozwiązać ten problem, publikując oświadczenie warrant canary, które omówimy w dalszej części przewodnika.

Wystąpił już w tej kwestii precedens. W 2013 roku bezpieczny serwis e-mail Lavabit został wzięty na celownik przez FBI w celu zdobycia informacji o Edwardzie Snowdenie.

Serwis Lavabit otrzymał wezwanie sądowe do ujawnienia kluczy szyfrujących zawartość poczty elektronicznej swoich użytkowników. Pozwoliłoby to FBI na dostęp do komunikacji w czasie rzeczywistym wszystkich klientów Lavabit, nie tylko Snowdena.

Założyciel firmy, Ladar Levison, przekazał klucze szyfrujące i jednocześnie zamknął serwis. W następstwie władze amerykańskie zaczęły grozić Levisonowi aresztowaniem, argumentując, że jego działania naruszają nakaz sądowy.

Podobnie Riseup, usługa VPN z siedzibą w Seattle, została zmuszona do zbierania danych o użytkownikach dla władz państwowych i otrzymała zakaz ujawniania tego faktu swoim klientom.

HideMyAss, dostawca usług VPN z siedzibą w Wielkiej Brytanii, również otrzymał nakaz sądowy gromadzenia danych i udostępniania ich władzom w związku z dochodzeniem karnym, co zostało ujawnione dopiero po wniesieniu oskarżenia.

To tylko przykłady spraw, które zostały udostępnione publicznie – bardzo możliwe, że istnieją inne, o których jeszcze nie wiemy.

Umowy o udostępnianiu danych

Międzynarodowe porozumienia o inwigilacji, takie jak Sojusz Pięciorga, Dziewięciu i Czternastu Oczu pozwalają krajom członkowskim na korzystanie, jak to określa EFF, z „najmniejszego wspólnego mianownika prywatności”.

Innymi słowy, każdy kraj uczestniczący w projekcie korzysta z danych uzyskanych poprzez masową inwigilację, które udostępniają inni członkowie.

Oznacza to, że istnieje duże prawdopodobieństwo, iż Twoja aktywność będzie zapisywana i udostępniana agencjom wywiadowczym bez względu na to, gdzie się znajdujesz.

Lokalizacje serwerów wirtualnych i serwery wynajmowane

Niektóre usługi VPN wynajmują swoje serwery w centrach danych, ponieważ jest to znacznie tańsze niż posiadanie ich na własność.

Choć może to zmniejszyć koszty ogólne, bywa problematyczne z punktu widzenia prywatności.

Wynajmowane serwery VPN należą do centrów danych, które mogą przechowywać dzienniki dotyczące Twojej aktywności niezależnie od polityki przechowywania logów firmy VPN.

W zależności od jurysdykcji centrum danych władze lokalne mogą zmusić właściciela serwera do przechowywania lub udostępniania danych użytkowników.

W takim przypadku jurysdykcja i zasady przechowywania logów firmy VPN są bezużyteczne. Lokalne władze mogą udać się bezpośrednio do właściciela serwera, aby przejąć potrzebne informacje.

Więcej na temat wynajmowanych serwerów VPN dowiesz się w naszym przewodniku po wirtualnych lokalizacjach serwerów.

Jeśli zależy Ci na prywatności, zalecamy wybranie usługi VPN zlokalizowanej poza państwami Sojuszu Pięciorga, Dziewięciu lub Czternastu Oczu.

Kraje zaangażowane w te porozumienia są bardziej skłonne do uczestnictwa w inwazyjnych programach inwigilacji, przechowywania danych i zbierania informacji.

Jest też prawdopodobne, że najpotężniejsze państwa w tych sojuszach będą w stanie zmusić pozostałych członków do przechowywania logów lub innych form współpracy.

Czym jest raj danych?

Ogólnie zaleca się, aby wybrać VPN z siedzibą w kraju, który jest uważany za „raj danych”.

Raj danych to kraj, którego środowisko prawne i polityczne jest przyjazne dla idei prywatności w sieci. Państwa te rzadko uczestniczą w obowiązkowym nadzorze, przechowywaniu danych czy umowach o udostępnianiu danych i często mogą pochwalić się jednymi z najsolidniejszych na świecie praw dotyczących prywatności.

Choć raje danych nie są zobowiązane do udostępniania danych użytkowników międzynarodowym organom władzy, zwykle nie mają adekwatnych przepisów, które skutecznie chroniłyby te dane.

Kraje często określane jako raj danych to Brytyjskie Wyspy Dziewicze, Panama, Seszele, Kajmany i Malezja.

Wiele firm VPN, jak ExpressVPN czy NordVPN rejestruje swój biznes w tych państwach, aby zapewnić klientom maksymalny poziom prywatności.

Istnieją jednak również usługi VPN, które okazały się godne zaufania, mimo że działają w „niebezpiecznej” jurysdykcji. Na przykład firma Private Internet Access (PIA) nie udostępniła danych rządowi Stanów Zjednoczonych w oficjalnej sprawie sądowej, mimo wezwania do udzielenia informacji.

Tylko garstka usług VPN niegromadzących logów zdała test w prawdziwym życiu lub uzyskała pozytywny wynik niezależnego audytu. VPN z jurysdykcją w raju danych zwiększa poziom bezpieczeństwa poprzez minimalizację ryzyka, że zostanie zmuszony do przekazania danych.

Czy usługi VPN potrzebują oświadczenia warrant canary?

Warrant canary to regularnie publikowane oświadczenie, które ma dowodzić, że z dostawcą usług nie skontaktowała się agencja rządowa ani nie został on zmuszony do udostępnienia danych użytkowników.

Żądania dostępu do danych, takie jak „US National Security Letter” (NSL), zwykle zawierają zakaz udzielania informacji, który uniemożliwia firmie zmuszonej do współpracy ujawnienie tego faktu.

Celem oświadczenia warrant canary jest obejście tych ograniczeń prawnych i ostrzeżenie użytkowników, że ich dane mogą nie być już bezpieczne, nie naruszając przy tym technicznie nakazu sądu.

Oświadczenia warrant canary zazwyczaj informują użytkowników, że od określonej daty nie było nakazu sądowego, zakazu udzielania informacji lub wezwania do sądu. Jeśli oświadczenie przestaje być aktualizowane lub zostanie całkowicie usunięte, użytkownicy powinni założyć, że wprowadzono zakaz udzielania informacji, a usłudze doręczono żądanie prawne.

Wiele usług VPN decyduje się na utrzymywanie oświadczenia warrant canary, aby przekonać użytkowników, że można im zaufać.

Niestety sam fakt, że usługa VPN korzysta z oświadczenia warrant canary, nie oznacza, że zapewnia ona prywatność lub bezpieczeństwo. Wiarygodne usługi mogą ich unikać, ponieważ ich skuteczność bywa kwestionowana.

Niektórzy eksperci twierdzą, że rządy mogą zmusić firmy do utrzymywania oświadczenia warrant canary, nawet po uzyskaniu dostępu do ich danych, co czyni tę funkcję bezużyteczną. Możliwe jest również, że usługa nie będzie chciała zmienić swojego oświadczenia warrant canary, aby nie stracić klientów. W tym sensie warrant canary jest niczym więcej niż marketingowym chwytem.

Niestety, nie ma sposobu, aby sprawdzić, czy zmiana oświadczenia warrant canary jest godnym zaufania wskaźnikiem wystawienia nakazu sądowego. Użytkownicy są zmuszeni polegać na spekulacjach, aby zdecydować, co znaczy brak lub zmiana oświadczenia.

Zalecamy traktowanie oświadczeń warrant canary jako dodatkowej funkcji po zidentyfikowaniu godnej zaufania usługi VPN, a nie szukanie VPN-u, który je posiada.

Kiedy mowa o masowej inwigilacji, większość ludzi myśli o NSA. W rzeczywistości prawie każdy kraj ma swoją agencję wywiadu sygnałowego (SIGINT).

Zajmują się one egzekwowaniem prawa, gromadzeniem danych i kontrwywiadem poprzez przechwytywanie sygnałów elektronicznych i komunikacji online.

Sojusze Pięciorga, Dziewięciu i 14 Oczu to trzy najbardziej znaczące międzynarodowe porozumienia wywiadowcze, które prowadzą tego rodzaju skoordynowaną inwigilację.

Ich kraje członkowskie to również najgorsze jurysdykcje VPN pod względem prywatności, ponieważ istnieje większe prawdopodobieństwo, że zastosują się do żądań agencji sojuszniczych.

Oto lista głównych podmiotów zajmujących się globalnym nadzorem, o których warto wiedzieć:

1. Sojusz Pięciorga Oczu

 

Kraje sojuszu Pięciorga Oczu to Stany Zjednoczone, Wielka Brytania, Kanada, Australia i Nowa Zelandia.

Dane porozumienie o wymianie informacji wywiadowczych ma swoje początki w czasach II wojny światowej i porozumieniu UKUSA, które pierwotnie miało być partnerstwem między Stanami Zjednoczonymi a Wielką Brytanią.

W ciągu ostatnich kilkudziesięciu lat traktat rozrósł się zarówno pod względem liczby członków, jak i zasięgu. Jego kraje członkowskie, znane jako Sojusz Pięciorga Oczu, współpracują ze sobą, aby gromadzić, analizować i dzielić się informacjami wywiadowczymi zarówno w kraju, jak i za granicą.

Choć kraje sojuszu zgodziły się nie szpiegować siebie nawzajem jako przeciwników, dokumenty, które opublikował Edward Snowden, ujawniły, że monitorują swoich obywateli i dzielą się tymi informacjami między sobą.

Państwa Sojuszu Pięciorga Oczu, oprócz dzielenia się danymi uzyskanymi w procesie inwigilacji, współpracują również przy wysyłaniu i egzekwowaniu nakazów przechowywania danych. Oznacza to, że jeden kraj może zmusić drugi do przekazania dzienników użytkowników VPN znajdujących się na terenie jego jurysdykcji.

Nie powinno być niespodzianką, że wiele krajów Sojuszu Pięciorga Oczu nagminnie narusza prywatność cyfrową.

Jeśli martwisz się o swoją prywatność podczas korzystania z VPN, kraje Sojuszu Pięciorga Oczu są uważane za najgorsze z możliwych jurysdykcji VPN.

System wywiadowczy ECHELON

Kraje sojuszu Pięciorga Oczu wykorzystują ECHELON, sieć stacji szpiegowskich przeznaczonych do globalnej obserwacji i zbierania danych.

ECHELON może przechwytywać dane wysyłane przez telefony, faksy i komputery. Jej stacje mogą śledzić konta bankowe, a nawet przechwytywać dane wysyłane do i z przekaźników satelitarnych. Wszystkie te dane są zapisywane w ogromnych bazach danych, które mogą przechowywać miliony rekordów dotyczących poszczególnych osób.

Mimo że dowodów na istnienie systemu ECHELON przybywa od prawie 30 lat, Stany Zjednoczone nadal zaprzeczają jego istnieniu, a rząd Wielkiej Brytanii konsekwentnie uchyla się od odpowiedzi.

Pomimo tych zaprzeczeń, różni informatorzy potwierdzili prawdę, dokumentując pewne aspekty projektu ECHELON.

2. Sojusz Dziewięciu Oczu

 

Sojusz Dziewięciu Oczu jest rozszerzeniem Sojuszu Pięciorga Oczu. Składa się z większej grupy krajów, które również współpracują w celu wymiany informacji wywiadowczych. Należą do niego wszystkie kraje Sojuszu Pięciorga Oczu, a także Francja, Dania, Norwegia i Holandia.

O istnieniu Sojuszu Dziewięciu Oczu stało się głośno po ujawnieniu informacji przez Edwarda Snowdena w 2013 r. Jest to w zasadzie rozszerzenie porozumienia Pięciorga Oczu mające na celu gromadzenie i dystrybucję danych uzyskanych w procesie masowej inwigilacji.

Chociaż te cztery dodatkowe kraje nie mają tak rozbudowanych programów inwigilacji, jak Stany Zjednoczone, Wielka Brytania czy Australia, to jednak współpracują ze sobą i ze wszystkimi pięcioma krajami należącymi do oryginalnego sojuszu.

Sojusz Dziewięciu Oczu jest porozumieniem pomiędzy jednostkami SIGINT i nie jest potwierdzony żadnym formalnym traktatem.

3. Sojusz Czternastu Oczu

 

W skład Sojuszu Czternastu Oczu wchodzą wszyscy członkowie Dziewięciu Oczu oraz Niemcy, Belgia, Włochy, Szwecja i Hiszpania.

Oficjalna nazwa Sojuszu Czternastu Oczu to SIGINT Seniors of Europe (SSEUR), który istnieje w różnych formach od 1982 r. Niegdyś miał służyć wymianie informacji wojskowych, obecnie został rozszerzony o informacje dotyczące zwykłych obywateli.

Spotkanie SIGINT Seniors Meeting odbywa się co roku i biorą w nim udział liderzy agencji SIGINT. Oferuje ono przestrzeń do dyskusji na temat współpracy i rozwoju.

SIGINT Seniors of the Pacific to podobna jednostka, która została utworzona w 2005 roku. Jej członkami są wszystkie kraje Sojuszu Pięciorga Oczu oraz Indie, Francja, Singapur, Tajlandia i Korea Południowa.

Uważa się, że inne ważne kraje, w tym Izrael i Japonia, również ściśle współpracują z Sojuszem 14 Oczu i NSA.

4. Unia Europejska (UE)

 

Unia Europejska to zbiór suwerennych narodów europejskich. Chociaż polityka współpracy Unii Europejskiej nie jest tak inwazyjna, jak w przypadku Sojuszy Pięciorga, Dziewięciu i Czternastu Oczu, państwa członkowskie UE również zawierają umowy o wymianie danych.

W 2009 roku Sąd Konstytucyjny Rumunii (CCR) orzekł, że żądania UE stanowią naruszenie prawa obywateli Rumunii do prywatności. To sprawia, że Rumunia jest bezpiecznym schronieniem dla użytkowników dbających o prywatność w UE i wyjaśnia, dlaczego usługi VPN takie jak CyberGhost mogły zdecydować się na prowadzenie działalności w tym kraju.

Niektóre kraje chronią prywatność bardziej niż inne, ale jest wiele takich, które współpracują z Sojuszem Pięciorga Oczu lub SSEUR i mają historię udostępniania danych. Warto o tym pamiętać, wybierając VPN z siedzibą w jurysdykcji UE.

5. Szanghajska Organizacja Współpracy (SCO)

 

Szanghajska Organizacja Współpracy (SCO) — znana również jako Pakt Szanghajski — to euroazjatycki sojusz polityczny i gospodarczy pomiędzy Rosją, Chinami, Pakistanem, Indiami, Kirgistanem, Kazachstanem, Uzbekistanem i Tadżykistanem.

SCO koncentruje się przede wszystkim na bezpieczeństwie narodowym swoich członków i zasadniczo zajmuje się zwalczaniem ekstremizmu.

W ciągu ostatnich kilku lat działalność SCO rozszerzyła się o wzmożoną współpracę wojskową, wymianę informacji wywiadowczych i walkę z terroryzmem. Jest bardzo prawdopodobne, że kraje członkowskie SCO zbierają i dzielą się danymi w podobny sposób, jak zachodnie sojusze wywiadowcze.

6. Kraje z silną cenzurą

 

Niektóre kraje zakazują korzystania z VPN-ów i naruszają prywatność swoich obywateli, nie zważając na umowy międzynarodowe.

Najgorszymi winowajcami w zakresie ograniczania dostępu do Internetu są Chiny, Zjednoczone Emiraty Arabskie, Turcja, Rosja, Oman, Irak i Białoruś. Nie jest to jednak pełna lista.

Choć to mało prawdopodobne, że znajdziesz usługę VPN lub serwer VPN, który fizycznie znajduje się w którymś z tych krajów, warto być czujnym. W naszym dochodzeniu dotyczącym chińskiej własności bezpłatnych aplikacji VPN znaleźliśmy wiele VPN-ów powiązanych z wątpliwymi chińskimi firmami.

Należy także unikać jurysdykcji blisko związanych z tymi rządami (takich jak Hongkong), jeśli obawiasz się o prywatność swoich danych.

Aby uzyskać więcej informacji na temat legalności usług VPN i ograniczeń w ich używaniu, możesz przeczytać nasz przewodnik po przepisach dotyczących usług VPN.

Sprawdziliśmy polityki prywatności najpopularniejszych usług VPN na rynku. Okazało się, że znaczna liczba dostawców VPN ma siedzibę w jurysdykcjach, które mogą potencjalnie narażać dane użytkowników na niebezpieczeństwo.

W poniższej tabeli wymieniono wszystkie 80 przetestowanych przez nas usług VPN. Znajdziesz tu informacje o ich jurysdykcjach oraz o tym, czy utrzymują oświadczenie warrant canary. Sieci VPN, których oświadczenie warrant canary jest nieaktualne, są oznaczone kolorem czerwonym, ponieważ istnieje wysokie prawdopodobieństwo, że zostały zmuszone do udostępnienia swoich danych.