Jak jurysdykcje VPN wpływają na Ciebie?

„Jurysdykcja” usługi VPN to kraj, w którym ma ona swoją siedzibę lub jest zarejestrowana. System prawny obowiązujący w danym kraju będzie miał wpływ na prawa i przepisy dotyczące ochrony prywatności, którym podlega VPN.

Poziom nadzoru i kontroli, jaki rządy mają nad korzystaniem z Internetu, różni się w zależności od kraju. Inwazyjna lub niebezpieczna jurysdykcja może zmusić usługę VPN do monitorowania, gromadzenia lub udostępniania danych o jej użytkownikach.

Serwery VPN podlegają jurysdykcji kraju, w którym się znajdują. Władze tego kraju mają prawo do zajęcia serwera w celu zbadania jego danych.

Jednak o ile władze mogą zająć sam serwer, nie mogą zmusić firmy VPN do udostępnienia informacji, ponieważ ma ona siedzibę w innym kraju. Właśnie dlatego polityka przechowywania logów usługi VPN jest równie ważna, co dobra jurysdykcja.

W zależności od tego, w jakim stopniu Twój kraj zamieszkania reguluje kwestie związane z Internetem, możesz wybrać usługę VPN zlokalizowaną poza nim.

Warto postawić na jurysdykcję, która ma silne prawo dotyczące ochrony prywatności i nie jest zaangażowana w międzynarodowe umowy o udostępnianiu danych.

Jeśli używasz VPN-u do ochrony prywatności, wiesz już, że nie możesz ufać niektórym stronom – czy to witrynom, które odwiedzasz, czy swojemu rządowi.

Korzystanie z usługi VPN z siedzibą w inwazyjnej jurysdykcji po prostu dodaje jeszcze jeden niegodny zaufania podmiot. Może on zostać zmuszony do przekazania władzom informacji o użytkowniku, które następnie mogą zostać udostępnione innym krajom zgodnie z umowami o wymianie informacji wywiadowczych.

Jeśli którekolwiek z tych miejsc podlega inwazyjnym prawom, możesz być narażony na nieuzasadnione przeszukiwanie i naruszanie prywatności w imię „bezpieczeństwa”.

Jurysdykcja, choć ważna, jest tylko jednym z wielu czynników, które należy wziąć pod uwagę przy wyborze usługi VPN. To, jak bardzo jest ona istotna, zależy od poziomu ochrony, którego potrzebujesz.

Jeśli szukasz ochrony przed ukierunkowaną inwigilacją, wybór VPN-u w bezpiecznej jurysdykcji raczej nie wystarczy, by Cię ochronić. Krajowe agencje wywiadowcze mają dostęp do ogromnych zasobów – jeśli trafisz pod ich lupę, przyjdzie Ci martwić się nie tylko o jurysdykcję swojej usługi VPN.

Zaufanie również jest ważnym czynnikiem. Usługa VPN może okłamywać swoich klientów i współpracować z władzami, nawet jeśli działa w „bezpiecznej” jurysdykcji.

Ostatecznie, jeśli chcesz chronić swoją prywatność w sieci, ważniejsze od lokalizacji siedziby firmy będą prawdopodobnie lokalizacja serwerów, z którymi się łączysz, oraz praktyki firmy kontrolującej te serwery.

Jurysdykcje VPN są nadal ważne, jeśli naprawdę zależy Ci na prywatności. Jako użytkownik Internetu, jesteś narażony na następujące problemy:

Nadzór i przechowywanie danych

Narodowe agencje wywiadowcze, takie jak NSA i GCHQ, oprócz swojej zwykłej infrastruktury inwigilacyjnej, mają prawo zmuszać organizacje krajowe do rejestrowania, udostępniania i odszyfrowywania prywatnych informacji.

W Stanach Zjednoczonych ustawa Patriot Act wprowadziła nowe uprawnienia do zbierania danych federalnych poprzez wykorzystanie pism National Security Letter. Przepisy te dają władzom prawo do zmuszenia legalnej firmy, aby stała się narzędziem zbierania danych dla agencji państwowych.

Żądaniom tym może towarzyszyć zakaz ujawniania przez firmę, do czego jest zmuszana. Niektóre sieci VPN, próbują rozwiązać ten problem, publikując oświadczenie warrant canary, które omówimy w dalszej części przewodnika.

Wystąpił już w tej kwestii precedens. W 2013 roku bezpieczny serwis e-mail Lavabit został wzięty na celownik przez FBI w celu zdobycia informacji o Edwardzie Snowdenie.

Serwis Lavabit otrzymał wezwanie sądowe do ujawnienia kluczy szyfrujących zawartość poczty elektronicznej swoich użytkowników. Pozwoliłoby to FBI na dostęp do komunikacji w czasie rzeczywistym wszystkich klientów Lavabit, nie tylko Snowdena.

Założyciel firmy, Ladar Levison, przekazał klucze szyfrujące i jednocześnie zamknął serwis. W następstwie władze amerykańskie zaczęły grozić Levisonowi aresztowaniem, argumentując, że jego działania naruszają nakaz sądowy.

Podobnie Riseup, usługa VPN z siedzibą w Seattle, została zmuszona do zbierania danych o użytkownikach dla władz państwowych i otrzymała zakaz ujawniania tego faktu swoim użytkownikom.

HideMyAss, dostawca usług VPN z siedzibą w Wielkiej Brytanii, również otrzymał nakaz sądowy gromadzenia danych i udostępniania ich władzom w związku z dochodzeniem karnym, co zostało ujawnione dopiero po wniesieniu oskarżenia.

To tylko przykłady spraw, które zostały udostępnione publicznie – bardzo możliwe, że istnieją inne, o których jeszcze nie wiemy.

Umowy o udostępnianiu danych

Międzynarodowe porozumienia o inwigilacji, takie jak Sojusz Pięciorga, Dziewięciu i Czternastu Oczu pozwalają krajom członkowskim na korzystanie, jak to określa EFF, z „najmniejszego wspólnego mianownika prywatności”.

Innymi słowy, każdy kraj uczestniczący w projekcie korzysta z danych uzyskanych poprzez masową inwigilację, które udostępniają inni członkowie.

Praktyki tych państw w zakresie dzielenia się danymi wywiadowczymi mają istotne konsekwencje dla użytkowników Internetu, a w szczególności dla usług VPN. Można założyć, że jeśli któreś z tych państw uzyska dostęp do Twoich danych, zostaną one udostępnione innym krajom.

Jeśli w jednym z tych krajów zostanie przyjęta ustawa rozszerzająca możliwości nadzoru elektronicznego, to tak, jakby to samo prawo zostało przyjęte w każdym kraju sojuszu.

Oznacza to, że istnieje duże prawdopodobieństwo, iż Twoja aktywność będzie zapisywana i udostępniana agencjom wywiadowczym bez względu na to, gdzie się znajdujesz.

Lokalizacje serwerów wirtualnych i serwery wynajmowane

Niektóre usługi VPN wynajmują swoje serwery w centrach danych, aby obniżyć koszty działalności. Dzięki temu prowadzenie międzynarodowej sieci serwerów jest znacznie tańsze niż posiadanie ich na własność.

Choć może to zmniejszyć koszty ogólne dostawcy VPN, bywa problematyczne z punktu widzenia prywatności.

Wynajmowane serwery VPN należą do centrów danych, które je udostępniają. Centrum danych może przechowywać dzienniki dotyczące Twojej aktywności niezależnie od polityki przechowywania logów firmy VPN.

W zależności od jurysdykcji centrum danych władze lokalne mogą zmusić gospodarza serwera do przechowywania lub udostępniania danych użytkowników.

W takim przypadku jurysdykcja i zasady przechowywania logów firmy VPN są bezużyteczne. Lokalne władze mogą udać się bezpośrednio do gospodarza serwera, aby przejąć potrzebne informacje. Więcej na temat wynajmowanych serwerów VPN dowiesz się w naszym przewodniku po lokalizacjach serwerów wirtualnych.

Jeśli zależy Ci na prywatności, zalecamy wybranie usługi VPN zlokalizowanej poza państwami Sojuszu Pięciorga, Dziewięciu lub Czternastu Oczu.

Kraje zaangażowane w te porozumienia są bardziej skłonne do uczestnictwa w inwazyjnych programach inwigilacji, przechowywania danych i zbierania informacji.

Jest też prawdopodobne, że najpotężniejsze państwa w tych sojuszach będą w stanie zmusić innych członków do przechowywania logów lub innych form współpracy.

Oceniając jurysdykcję VPN, weź pod uwagę następujące czynniki:

• Brak powiązań z państwami inwazyjnymi. Niektóre rządy są politycznie zobowiązane lub powiązane z potężniejszymi, inwazyjnymi państwami. Te międzynarodowe powiązania mogą zagrażać prywatności Twoich danych.

 

• Historia nakazów i wezwań do sądu. Unikaj krajów i rządów, które w przeszłości stosowały cenzurę internetową lub ścigały obywateli na podstawie zawartości ich rejestrów przeglądania stron internetowych.

 

• Silne prawa dotyczące prywatności i neutralności sieci. Chociaż prawa dotyczące neutralności sieci nie będą miały bezpośredniego wpływu na Twoją prywatność, sugerują, że rząd ma relacje z dostawcami usług internetowych i operatorami telekomunikacyjnymi, które mogą zaszkodzić konsumentom.

Czym jest raj danych?

Ogólnie zaleca się, aby wybrać VPN z siedzibą w kraju, który jest uważany za „raj danych” lub inaczej mówiąc „enklawę prywatności”.

Raj danych to kraj, którego środowisko prawne i polityczne jest przyjazne dla idei prywatności w sieci. Państwa te rzadko uczestniczą w obowiązkowym nadzorze, przechowywaniu danych czy umowach o udostępnianiu danych i często mogą pochwalić się jednymi z najsolidniejszych na świecie praw dotyczących prywatności.

Chociaż kraje te nie są zobowiązane do udostępniania danych użytkowników władzom międzynarodowym, to często nie posiadają również przepisów niezbędnych do zapewnienia właściwej ochrony danych użytkowników. Oznacza to, że możesz narażać swoje bezpieczeństwo na szwank w imię prywatności.

Kraje często określane jako raj danych to Brytyjskie Wyspy Dziewicze, Panama, Seszele, Kajmany i Malezja.

Wiele firm VPN decyduje się na zarejestrowanie swojej działalności w tych państwach, aby mieć pewność, że ich usługi pozostają tak prywatne i bezpieczne, jak to tylko możliwe. Przykładami są ExpressVPN, NordVPN, Astrill i Surfshark.

Istnieją również usługi VPN, które okazały się godne zaufania, mimo że działają w „niebezpiecznej” jurysdykcji. Na przykład firma Private Internet Access (PIA) nie udostępniła danych rządowi Stanów Zjednoczonych w oficjalnej sprawie sądowej, mimo wezwania do udzielenia informacji.

Na rynku dostępnych jest kilka usług VPN, które nie przechowują logów, przeszły testy w warunkach rzeczywistych lub zostały skontrolowane przez strony trzecie. Usługa VPN w bezpiecznej jurysdykcji zagranicznej stanowi po prostu dodatkową warstwę ochrony, ponieważ istnieje mniejsze prawdopodobieństwo, że zostanie zmuszona do przekazania danych władzom.

Czy usługi VPN potrzebują oświadczenia warrant canary?

Warrant canary to potoczne określenie regularnie publikowanego oświadczenia, które ma dowodzić, że z dostawcą usług nie skontaktowała się agencja rządowa ani nie został on zmuszony do udostępnienia danych użytkowników.

Żądania dostępu do danych, takie jak „US National Security Letter” (NSL), zwykle zawierają zakaz udzielania informacji, który uniemożliwia firmie zmuszonej do współpracy ujawnienie tego faktu.

Celem oświadczenia warrant canary jest obejście tych ograniczeń prawnych i ostrzeżenie użytkowników, że ich dane mogą nie być już bezpieczne, nie naruszając przy tym technicznie nakazu sądu.

Oświadczenia warrant canary zazwyczaj informują użytkowników, że od określonej daty nie było nakazu sądowego, zakazu udzielania informacji lub wezwania do sądu.

Jeśli oświadczenie przestaje być aktualizowane lub zostanie całkowicie usunięte, użytkownicy powinni założyć, że wprowadzono zakaz udzielania informacji, a gospodarzowi doręczono żądanie prawne.

Wiele usług VPN decyduje się na utrzymywanie oświadczenia warrant canary, aby przekonać użytkowników, że można im zaufać.

Niestety sam fakt, że usługa VPN korzysta z oświadczenia warrant canary, nie oznacza, że zapewnia ona prywatność lub bezpieczeństwo. Podobnie wiele wiarygodnych i renomowanych usług z zasady rezygnuje z utrzymywania oświadczenia warrant canary, ponieważ jego skuteczność jest nadal kwestionowana przez ekspertów.

Niektórzy eksperci twierdzą, że rządy mogą zmusić firmy do utrzymywania oświadczenia warrant canary, nawet po uzyskaniu dostępu do ich danych, co czyni tę funkcję bezużyteczną.

Możliwe jest również, że usługa nie będzie chciała zmienić swojego oświadczenia warrant canary, aby nie stracić klientów. W tym sensie wiele oświadczeń warrant canary jest niczym więcej niż marketingowym chwytem firm, które tak naprawdę nie dbają o prywatność użytkowników.

Niestety, nie ma sposobu, aby sprawdzić, czy zmiana oświadczenia warrant canary jest godnym zaufania wskaźnikiem wystawienia nakazu sądowego. Użytkownicy są zmuszeni polegać na spekulacjach, aby zdecydować, co znaczy brak lub zmiana oświadczenia.

Zalecamy traktowanie oświadczeń warrant canary jako dodatkowej funkcji po zidentyfikowaniu godnej zaufania usługi VPN, a nie szukanie VPN-u, który je posiada.

Kiedy mowa o masowej inwigilacji, większość ludzi myśli o NSA. W rzeczywistości prawie każdy kraj ma swoją agencję wywiadu sygnałowego (SIGINT).

Zajmują się one egzekwowaniem prawa, gromadzeniem danych i kontrwywiadem poprzez przechwytywanie sygnałów elektronicznych i komunikacji online. Co więcej, często ze sobą współpracują.

Sojusze Pięciorga, Dziewięciu i 14 Oczu to trzy najbardziej znaczące międzynarodowe porozumienia wywiadowcze, które prowadzą tego rodzaju skoordynowaną inwigilację. Ich kraje członkowskie to również najgorsze jurysdykcje VPN pod względem prywatności.

Oto lista głównych podmiotów zajmujących się globalnym nadzorem, o których warto wiedzieć:

1. Sojusz Pięciorga Oczu

 

Kraje sojuszu Pięciorga Oczu to Stany Zjednoczone, Wielka Brytania, Kanada, Australia i Nowa Zelandia.

Dane porozumienie o wymianie informacji wywiadowczych ma swoje początki w czasach II wojny światowej i porozumieniu UKUSA, które pierwotnie miało być partnerstwem między Stanami Zjednoczonymi a Wielką Brytanią.

W ciągu ostatnich kilkudziesięciu lat traktat rozrósł się zarówno pod względem liczby członków, jak i zasięgu. Jego kraje członkowskie, znane jako Sojusz Pięciorga Oczu, współpracują ze sobą, aby gromadzić, analizować i dzielić się informacjami wywiadowczymi zarówno w kraju, jak i za granicą.

Choć kraje sojuszu zgodziły się nie szpiegować siebie nawzajem jako przeciwników, dokumenty, które opublikował Edward Snowden, ujawniły, że monitorują swoich obywateli i dzielą się tymi informacjami między sobą.

Państwa Sojuszu Pięciorga Oczu, oprócz dzielenia się danymi uzyskanymi w procesie inwigilacji, współpracują również przy wysyłaniu i egzekwowaniu nakazów przechowywania danych. Oznacza to, że jeden kraj może zmusić drugi do przekazania dzienników użytkowników VPN znajdujących się na terenie jego jurysdykcji.

Nie powinno być niespodzianką, że wiele krajów Sojuszu Pięciorga Oczu nagminnie narusza prywatność cyfrową.

Jeśli martwisz się o swoją prywatność podczas korzystania z VPN, kraje Sojuszu Pięciorga Oczu są uważane za najgorsze z możliwych jurysdykcji VPN.

System wywiadowczy ECHELON

Kraje sojuszu Pięciorga Oczu wykorzystują ECHELON, sieć stacji szpiegowskich przeznaczonych do globalnej obserwacji i zbierania danych.

ECHELON może przechwytywać dane wysyłane przez telefony, faksy i komputery. Stacje ECHELON mogą śledzić konta bankowe, a nawet przechwytywać dane wysyłane do i z przekaźników satelitarnych. Wszystkie te dane są zapisywane w ogromnych bazach danych, które mogą przechowywać miliony rekordów dotyczących poszczególnych osób.

Mimo że dowodów na istnienie systemu ECHELON przybywa od prawie 30 lat, Stany Zjednoczone nadal zaprzeczają jego istnieniu, a rząd Wielkiej Brytanii konsekwentnie uchyla się od odpowiedzi.

Pomimo tych zaprzeczeń, różni informatorzy potwierdzili prawdę, dokumentując pewne aspekty projektu ECHELON.

2. Sojusz Dziewięciu Oczu

 

Sojusz Dziewięciu Oczu jest rozszerzeniem Sojuszu Pięciorga Oczu. Składa się z większej grupy krajów, które również współpracują w celu wymiany informacji wywiadowczych. Należą do niego wszystkie kraje Sojuszu Pięciorga Oczu, a także Francja, Dania, Norwegia i Holandia.

O istnieniu Sojuszu Dziewięciu Oczu stało się głośno po ujawnieniu informacji przez Edwarda Snowdena w 2013 r. Jest to w zasadzie rozszerzenie porozumienia Pięciorga Oczu mające na celu gromadzenie i dystrybucję danych uzyskanych w procesie masowej inwigilacji.

Chociaż te cztery dodatkowe kraje nie mają tak rozbudowanych programów inwigilacji, jak Stany Zjednoczone, Wielka Brytania czy Australia, to jednak współpracują ze sobą i ze wszystkimi pięcioma krajami należącymi do oryginalnego sojuszu.

Sojusz Dziewięciu Oczu jest porozumieniem pomiędzy jednostkami SIGINT i nie jest potwierdzony żadnym formalnym traktatem.

3. Sojusz Czternastu Oczu

 

W skład Sojuszu Czternastu Oczu wchodzą wszyscy członkowie Dziewięciu Oczu oraz Niemcy, Belgia, Włochy, Szwecja i Hiszpania.

Oficjalna nazwa Sojuszu Czternastu Oczu to SIGINT Seniors of Europe (SSEUR), który istnieje w różnych formach od 1982 r. Niegdyś miał służyć wymianie informacji wojskowych, obecnie został rozszerzony o informacje dotyczące zwykłych obywateli.

Spotkanie SIGINT Seniors Meeting odbywa się co roku i biorą w nim udział liderzy agencji SIGINT, w tym BND, NSA, DGSE, GCHQ i innych. Spotkania te oferują przestrzeń dla liderów światowego wywiadu do dyskusji na temat współpracy i rozwoju.

SIGINT Seniors of the Pacific to podobna jednostka, która została utworzona w 2005 roku. Jej członkami są wszystkie kraje Sojuszu Pięciorga Oczu oraz Indie, Francja, Singapur, Tajlandia i Korea Południowa.

Uważa się, że inne ważne kraje, w tym Izrael i Japonia, również ściśle współpracują z Sojuszem 14 Oczu i NSA.

4. Unia Europejska (UE)

 

Unia Europejska to zbiór suwerennych narodów europejskich. Jest jedną z największych i najpotężniejszych unii politycznych i gospodarczych na świecie, ale jest też problematyczna pod względem nadzoru i prywatności danych.

Chociaż polityka współpracy Unii Europejskiej nie jest tak dalekosiężna i inwazyjna jak w przypadku Sojuszy Pięciorga, Dziewięciu i Czternastu Oczu, państwa członkowskie UE również zawierają umowy o wymianie danych.

Istnieją jednak pewne wyjątki od tej reguły. W 2009 roku Sąd Konstytucyjny Rumunii (CCR) orzekł, że żądania UE stanowią naruszenie prawa obywateli Rumunii do prywatności.

To sprawia, że Rumunia jest bezpiecznym schronieniem dla użytkowników dbających o prywatność wśród krajów Unii Europejskiej i wyjaśnia, dlaczego usługi VPN takie jak CyberGhost mogły zdecydować się na prowadzenie działalności w tym kraju.

Niektóre kraje chronią prywatność bardziej niż inne, ale jest wiele takich, które współpracują z Sojuszem Pięciorga Oczu lub SSEUR i mają historię udostępniania danych. Warto o tym pamiętać, wybierając VPN z siedzibą w jurysdykcji UE.

5. Szanghajska Organizacja Współpracy (SCO)

 

Szanghajska Organizacja Współpracy (SCO) — znana również jako Pakt Szanghajski — to euroazjatycki sojusz polityczny i gospodarczy pomiędzy Rosją, Chinami, Pakistanem, Indiami, Kirgistanem, Kazachstanem, Uzbekistanem i Tadżykistanem.

SCO koncentruje się przede wszystkim na bezpieczeństwie narodowym swoich członków i zasadniczo zajmuje się zwalczaniem ekstremizmu w jego różnych formach.

W ciągu ostatnich kilku lat działalność SCO rozszerzyła się o wzmożoną współpracę wojskową, wymianę informacji wywiadowczych i walkę z terroryzmem. Jest bardzo prawdopodobne, że kraje członkowskie SCO zbierają i dzielą się danymi w podobny sposób, jak zachodnie sojusze wywiadowcze.

6. Kraje z silną cenzurą

 

Niektóre kraje zakazują korzystania z VPN-ów i naruszają prywatność swoich obywateli, nie zważając na umowy międzynarodowe.

Najgorszymi winowajcami w zakresie ograniczania dostępu do Internetu są Chiny, Zjednoczone Emiraty Arabskie, Turcja, Rosja, Oman, Irak i Białoruś. Nie jest to jednak pełna lista.

Choć to mało prawdopodobne, że znajdziesz usługę VPN lub serwer VPN, który fizycznie znajduje się w którymś z tych krajów, warto być czujnym. W naszym dochodzeniu dotyczącym chińskiej własności bezpłatnych aplikacji VPN znaleźliśmy wiele VPN-ów powiązanych z wątpliwymi chińskimi firmami.

Należy także unikać jurysdykcji blisko związanych z tymi rządami (takich jak Hongkong), jeśli obawiasz się o prywatność swoich danych.

Aby uzyskać więcej informacji na temat legalności usług VPN i ograniczeń w ich używaniu, możesz przeczytać nasz specjalny przewodnik po przepisach dotyczących usług VPN.

Sprawdziliśmy polityki prywatności najpopularniejszych usług VPN na rynku. Okazało się, że znaczna liczba dostawców VPN ma siedzibę w jurysdykcjach, które mogą potencjalnie narażać dane użytkowników na niebezpieczeństwo.

W poniższej tabeli wymieniono wszystkie 90 przetestowanych przez nas usług VPN. Znajdziesz tu informacje o ich jurysdykcji oraz o tym, czy utrzymują oświadczenie warrant cannary.

Jeśli szukasz konkretnego VPN-u, użyj kombinacji klawiszy Ctrl+F, aby znaleźć wybranego dostawcę.