Hur påverkar VPN-jurisdiktioner dig?

En VPN-tjänsts jurisdiktion är det land där den är juridiskt baserad eller skattskyldigt. Landet i frågas rättssystem påverkar de lagar och integritetsbestämmelser som VPN-tjänsten omfattas av.

Nivån på den övervakning och kontroll som staten har över internetanvändningen varierar från land till land. En inkräktande eller farlig jurisdiktion kan tvinga en VPN-tjänst att övervaka, samla in eller dela data om sina användare.

VPN-servrar är föremål för jurisdiktionen i det land där de är fysiskt belägna. Myndigheterna i det landet har juridisk rätt att beslagta servern för att undersöka den beträffande data.

Men även om dessa myndigheter kan beslagta själva servern kan de inte tvinga VPN-företaget att dela information, eftersom det är baserat i ett annat land. Det är därför som en VPN-tjänsts loggningspolicy är lika viktig som en bra jurisdiktion.

Beroende på i vilken utsträckning ditt eget land reglerar internet kan du vilja välja en VPN-tjänst utanför ditt hemland.

Det är också förnuftigt att välja en jurisdiktion som har starka integritetslagar och vars land inte är part i internationella avtal om datadelning.

Om du använder en VPN-tjänst av integritetsskäl anser du antagligen redan att du inte kan lita på vissa parter – oavsett om det är webbplatserna du besöker eller myndigheter.

Om du då använder en VPN-tjänst som är baserat i en inkräktande jurisdiktion lägger du helt enkelt till ytterligare en otillförlitlig part i ekvationen. Den skulle kunna tvingas att överlämna användarinformation till myndigheter, som sedan kan delas med andra länder enligt avtal om utbyte av information.

Om någon av dessa platser är föremål för inkräktande lagar kan de vara mottagliga för omotiverade sökningar och integritetskompromissar av ”säkerhetsskäl”.

Även om den är viktig är jurisdiktionen bara en av många faktorer att tänka på när du väljer en VPN-tjänst. Exakt vilken betydelse den har beror på vilken skyddsnivå du behöver.

Om du letar efter skydd mot riktad övervakning är det osannolikt att en VPN-tjänst i en säker jurisdiktion är nog för att skydda dig. Nationella underrättelsetjänster har tillgång till en mängd olika resurser – om du pekas ut behöver du oroa dig för mer än jurisdiktionen för din VPN-tjänst.

Tillit är också en viktig faktor. En VPN-tjänst kan fortfarande ljuga för sina kunder och samarbeta med myndigheter även om den verkar i en ”säker” jurisdiktion.

Om du är ute efter att skydda din integritet online så är platsen för de servrar du ansluter till och praxis hos det företag som kontrollerar dem i slutändan sannolikt viktigare än var företaget har sitt säte.

Men, med detta sagt, är VPN-jurisdiktioner fortfarande viktiga om du verkligen bryr dig om din integritet. Du kan vara sårbar för följande problem:

Övervakning och lagring av uppgifter

Tillsammans med sin vanliga övervakningsinfrastruktur har nationella underrättelsetjänster som NSA och GCHQ befogenhet att tvinga inhemska organisationer att logga, dela och dekryptera privat information.

I USA innebar Patriot Act nya befogenheter för federal datainsamling genom användning av nationella säkerhetsbrev. Dessa lagar ger myndigheterna makt att tvinga en legitim verksamhet att bli ett datainsamlingsverktyg för statliga myndigheter.

Dessa förfrågningar kan åtföljas av en tystnadsplikt som gör det olagligt för företaget att avslöja vad de tvingas göra. Vissa VPN-företag publicerar Warrant Canaries i ett försök att ta itu med detta problem. Vi diskuterar dem mer ingående längre fram i den här guiden.

Det finns ett prejudikat för detta. Under 2013 riktade FBI in sig på den säkra e-posttjänsten Lavabit i ett försök att samla in information om Edward Snowden.

Lavabit kallades in för rätta med en tystnadsplikt för krypteringsnycklarna till användarnas e-postinnehåll. Detta skulle ge FBI tillgång till kommunikation i realtid för alla Lavabits kunder, inte bara Snowden.

Företagets grundare, Ladar Levison, överlämnade företagets krypteringsnycklar och stängde samtidigt av tjänsten. Amerikanska myndigheter fortsatte att hota Levison med arrestering och hävdade att hans handlingar stred mot domstolsbeslutet.

Ett liknande exempel var med den Seattle-baserade VPN-tjänsten Riseup som också tvingades att samla in användardata för statliga myndigheter, och som också blev belagd med tystnadsplikt för att stoppa företaget från att avslöja detta för sina användare.

HideMyAss, en VPN-leverantör baserad i Storbritannien, fick också ett domstolsbeslut att samla in data och dela detta med myndigheter för en brottsutredning. Detta avslöjades först efter åtalet.

Detta är bara exempel på olika fall som har gjorts tillgängliga för allmänheten – det är mycket troligt att det finns andra exempel som vi ännu inte känner till.

Datadelningsavtal

Internationella övervakningsavtal som 5 Eyes-, 9 Eyes- och 14 Eyes-allianserna gör det möjligt för medlemsländerna att dra nytta av, som EFF uttrycker det, ”den lägsta gemensamma nämnaren för integritetsskydd”.

Med andra ord får varje deltagande land dra nytta av de massövervakningsuppgifter som de andra medlemmarna får tag på.

Dessa länders praxis för utbyte av information har omfattande konsekvenser för internetanvändare och i synnerhet VPN-tjänster. Det är rimligt att anta att om någon av dessa nationer får tillgång till dina uppgifter, kan de sedan delas med andra länder.

Om en lag som utökar den elektroniska övervakningskapaciteten antas i ett av dessa länder är det som om samma lagstiftning antas i alla länder som berörs av avtalet.

Detta innebär att det finns en stor chans att din aktivitet samlas in och delas med en underrättelsebyrå, oavsett var i världen du befinner dig.

Virtuella serverplatser och hyrda servrar

Vissa VPN-tjänster hyr sina servrar från datacenter för att minska driftkostnaderna. Detta gör det betydligt billigare att köra ett internationellt servernätverk än att äga servrarna direkt.

Även om detta kan minska en VPN-leverantörs omkostnader kan det vara problematiskt ur integritetsynpunkt.

Hyrda VPN-servrar tillhör det datacenter som hyr ut dem. Det är möjligt för datacentret att föra loggar över din aktivitet oavsett VPN-företagets loggningspolicy.

Beroende på datacentrets jurisdiktion kan lokala myndigheter också tvinga servervärden att lagra eller dela användardata.

I sådana fall är VPN-företagets jurisdiktion och loggningspolicy irrelevant. Lokala myndigheter kan gå direkt till servervärden för att beslagta den information de behöver. Du kan läsa mer om hyrda VPN-servrar i vår guide tillplatser med virtuella servrar.

Om du bryr dig om din integritet rekommenderar vi att du väljer en VPN-tjänst baserad utanför 5 Eyes-, 9 Eyes- eller 14 Eyes-allianserna.

De länder som är medlemmar i dessa allianser är mycket mer benägna att delta i inkräktande övervakning, datalagring och program för insamling av data.

Det är också troligt att de mäktigaste nationerna i dessa allianser kan tvinga andra medlemmar till att logga eller till andra former av samarbete.

Vad är ett integritetsparadis?

Det rekommenderas generellt att du väljer en VPN-tjänst baserat i ett land som anses vara ett ”integritetsparadis”.

Ett integritetsparadis är ett land med en rättslig och politisk miljö som är vänligt inställd till idén om integritet på nätet. Dessa länder deltar sällan i obligatoriska övervaknings-, datalagrings- eller datadelningsavtal, och de kan ofta stoltsera med några av världens starkaste integritetslagar.

Även om dessa länder inte är skyldiga att dela användardata med internationella myndigheter saknar de ofta de bestämmelser som krävs för att se till att användardata skyddas på rätt sätt. Detta innebär att du kan äventyra din säkerhet för bättre integritet.

Länder som ofta kallas integritetsparadis är bl.a. Brittiska Jungfruöarna, Panama, Seychellerna, Caymanöarna och Malaysia.

Många VPN-företag väljer att registrera sina företag i dessa länder för att säkerställa att deras tjänst förblir så privat och säker som möjligt. Exempel på detta är ExpressVPN, NordVPN och Astrill.

Det finns också några VPN-tjänster som har visat sig vara tillförlitliga trots att de verkar i en ”farlig” jurisdiktion. Private Internet Access (PIA) kunde t.ex. inte tillhandahålla uppgifter till den amerikanska regeringen i ett officiellt domstolsärende, trots en stämning för information.

Det finns en handfull faktiskt loggfria VPN-tjänster som har klarat verkliga tester eller som har granskats av tredje part. En VPN-tjänst i en säker offshore-jurisdiktion ger helt enkelt ytterligare skydd, eftersom det finns mindre chans att den kan tvingas att överlämna data till myndigheter.

Behöver VPN-tjänster en Warrant Canary?

En Warrant Canary är ett vardagligt uttryck för ett regelbundet publicerat uttalande som är utformat för att bevisa att en tjänsteleverantör inte har kontaktats av en statlig myndighet eller tvingats att dela användardata.

 

Dataförfrågningar som exempelvis ”US National Security Letter” (NSL) kommer vanligtvis med en tystnadsplikt som hindrar målföretaget från att avslöja det faktum att det har äventyrats.

Syftet med en Warrant Canary är att komma runt dessa rättsliga begränsningar och varna användarna att deras uppgifter inte längre är säkra, utan att tekniskt sett bryta mot domstolsbeslutet om att inte göra det.

Warrant Canaries fungerar vanligtvis genom att informera användarna om att det inte har förekommit något domstolsutfärdad häktningsorder, tystnadsplikt eller stämning från och med ett visst datum.

Om denna Warrant Canary inte uppdateras, eller om den tas bort helt, ska användarna anta att en tystnadsplikt har trätt i kraft och att värden har delgivits en rättslig begäran.

Många VPN-tjänster väljer att upprätthålla en Warrant Canary för att hjälpa till att övertyga användarna att de är tillförlitliga.

Men bara för att en VPN-tjänst upprätthåller en Warrant Canary betyder det inte att tjänsten är privat eller säker. På samma sätt väljer många tillförlitliga och välrenommerade tjänster principiellt att inte upprätthålla en Warrant Canary, eftersom deras effektivitet fortfarande ifrågasätts bland experter.

Vissa experter hävdar att myndigheter kan tvinga företag att upprätthålla en Warrant Canary även om det har komprometterats, vilket gör den värdelös.

Det är också möjligt att en komprometterad tjänst väljer att inte ändra sin Warrant Canary av rädsla för att förlora kunder. I denna mening är många Warrant Canaries inget annat än marknadsföringsspel från företag som inte riktigt bryr sig om användarnas integritet.

Tyvärr finns det inget sätt att med säkerhet veta om en ändrad Warrant Canary är en sann indikator på ett domstolsbeslut. Användare är tvungna att förlita sig på spekulation för att avgöra vad innebörden av en borttagen eller ändrad Warrant Canary är.

Vi rekommenderar att du ser på en Warrant Canary som en extra bonusfunktion när du har identifierat en annars tillförlitlig VPN-tjänst, istället för att specifikt leta efter en VPN-tjänst som har en.

De flesta tänker på NSA när de tänker på massövervakning. I själva verket har nästan varje land sin egen signalspaningstjänst.

Dessa myndigheter fokuserar på brottsbekämpning, datainsamling och kontraspionage genom att avlyssna elektroniska signaler och kommunikation online. Dessutom arbetar de ofta tillsammans.

5 Eyes-, 9 Eyes- och 14 Eyes-allianserna är tre av de viktigaste internationella datadelningsavtalen som genomför denna typ av samordnad övervakning. De är också de sämsta VPN-jurisdiktionerna när det gäller integritet.

 

Här är en lista över de viktigaste globala övervakningsenheterna som du bör ha kännedom om:

1. 5 Eyes-alliansen

 

5 Eyes-länderna är USA, Storbritannien, Kanada, Australien och Nya Zeeland.

Detta avtal om utbyte av information kan spåras tillbaka till andra världskriget och UKUSA-avtalet, som ursprungligen utformades som ett partnerskap mellan USA och Storbritannien.

Under de senaste årtiondena har fördraget vuxit både i medlemmar och i räckvidd. Medlemsländer i 5 Eyes-alliansen samarbetar nu för att samla in, analysera och dela information både nationellt och internationellt.

Även om 5 Eyes-länderna har gått med på att inte spionera på varandra som motståndare avslöjade dokument läckta av Edward Snowden att nationerna övervakar varandras medborgare och delar denna data sinsemellan.

Förutom att dela övervakningsdata sinsemellan arbetar 5 Eyes-länderna också tillsammans för att skicka och verkställa datalagringsmeddelanden. Detta innebär att en nation kan pressa en annan att överlämna loggar om en VPN-användare inom deras jurisdiktion.

Det bör inte komma som någon överraskning att flera av 5 Eyes-länderna är bland de värsta missbrukarna av digital integritet.

Om du är orolig för din integritet när du använder en VPN-tjänst anses 5 Eyes-länderna vara de sämsta VPN-jurisdiktioner som finns.

ECHELONs övervakningssystem

5 Eyes-nationerna använder ECHELON, ett nätverk av spionstationer utformade för global övervakning och datainsamling.

ECHELON kan avlyssna data som skickas via telefoner, fax och datorer. ECHELON-stationer kan spåra bankkonton och t.o.m. avlyssna data som skickas till och från satellitreläer. Alla dessa data lagras i omfattande databaser som kan hålla miljontals uppgifter om privatpersoner.

Även om bevisen har ökat i nästan 30 år förnekar USA fortfarande att ECHELON existerar, medan den brittiska regeringen konsekvent har undvikit ämnet.

Trots dessa förnekanden har flera visselblåsare bekräftat sanningen genom att dokumentera vissa aspekter av ECHELON-projektet.

2. 9 Eyes-alliansen

 

9 Eyes-alliansen är en förlängning av 5 Eyes-alliansen. Den består av en större grupp länder som också samarbetar för att dela information. Detta inkluderar alla 5 Eyes-länder samt Frankrike, Danmark, Norge och Nederländerna.

9 Eyes-alliansens existens blev känd efter Edward Snowdens avslöjanden 2013. Det är i huvudsak en förlängning av 5 Eyes-avtalet som samarbetar för att samla in och distribuera massövervakningsdata.

Även om de fyra ytterligare nationerna inte har inhemska övervakningsprogram som är lika omfattande som i USA, Storbritannien eller Australien samarbetar de fortfarande med varandra och samtliga fem länder i den ursprungliga alliansen.

9 Eyes-alliansen är ett arrangemang mellan signalspaningsenheter och regleras inte av något formellt fördrag.

3. 14 Eyes-alliansen

 

14 Eyes-alliansen omfattar alla medlemmar i 9 Eyes-alliansen samt Tyskland, Belgien, Italien, Sverige och Spanien.

Det officiella namnet på 14 Eyes-alliansen är SIGINT Seniors of Europe (SSEUR) och har funnits i olika former sedan 1982. Alliansen utformades för utbyte av militära underrättelser, men har nu utvidgats till att omfatta övervakningsinformation om vanliga medborgare.

Mötet för SIGINT Seniors hålls årligen och med deltagande av ledarna för SIGINT-organen, däribland BND, NSA, DGSE och GCHQ m.fl. Dessa möten ger utrymme för globala underrättelseledare att diskutera samarbete och utveckling.

SIGINT Seniors of the Pacific är en liknande enhet som bildades 2005. I medlemsstaterna ingår alla 5 Eyes-länder samt Indien, Frankrike, Singapore, Thailand och Sydkorea.

Andra viktiga länder, däribland Israel och Japan, tros också ha ett nära samarbete med 14 Eyes-alliansen och NSA.

4. Europeiska unionen (EU)

 

Europeiska unionen är en grupp av suveräna europeiska nationer. Det är en av de största och mäktigaste politiska och ekonomiska unionerna i världen, och det är också problematiskt när det gäller övervakning och dataintegritet.

Även om EU:s samarbetspolitik inte är i närheten av att vara lika långtgående eller inkräktande som den i 5-, 9- och 14 Eyes-allianserna deltar EU:s medlemsstater fortfarande i avtal om datadelning.

Det finns vissa undantag från denna regel. Under 2009 fastslog Rumäniens författningsdomstol att EU:s krav var en kränkning av rumänska medborgares rätt till integritet.

Detta gör Rumänien till en säker fristad för användarintegritet bland EU-länderna, och hjälper till att förklara varför VPN-tjänster som CyberGhost kan välja att basera sin verksamhet där.

Vissa länder är mer privata än andra, men det finns många som samarbetar med 5 Eyes eller SSEUR-myndigheter och har ett förflutet av att ha delat data. Detta är värt att komma ihåg när du väljer en VPN-tjänst med säte i en EU-jurisdiktion.

5. Shanghais samarbetsorganisation (SCO)

 

Shanghais samarbetsorganisation (SCO) – som även kallas Shanghaipakten – är en eurasisk, politisk och ekonomisk allians mellan Ryssland, Kina, Pakistan, Indien, Kirgizistan, Kazakstan, Uzbekistan och Tadzjikistan.

SCO fokuserar främst på medlemmarnas nationella säkerhet och arbetar generellt med att bekämpa extremism i dess olika former.

Under de senaste åren har SCO:s verksamhet utvidgats till att omfatta ökat militärt samarbete, utbyte av underrättelser och terrorismbekämpning. Det är mycket troligt att SCO:s medlemsländer samlar in och delar data på ett liknande sätt som västerländska datadelningsallianser.

6. Länder med hög censur

 

Vissa länder förbjuder VPN-användning och gör intrång i sina medborgares integritet oavsett internationella avtal.

De värsta brottslingarna för internetrestriktioner är Kina, Förenade Arabemiraten, Turkiet, Ryssland, Oman, Irak och Belarus, även om denna lista är långt ifrån uttömmande.

Även om det är ganska osannolikt att du hittar en VPN-tjänst eller en VPN-server som är fysiskt baserad i något av dessa länder är det värt att vara vaksam. Vi hittade massvis av VPN-tjänster med kopplingar till tvivelaktiga kinesiska företag i vår undersökning av det kinesiska ägandet av kostnadsfria VPN-appar.

Jurisdiktioner med nära band till dessa stater – som Hongkong – bör också undvikas om du är orolig för din dataintegritet.

Om du vill ha mer information om VPN-tjänsters lagenlighet och begränsningar för deras användning kan du läsa vår separata guide till VPN-lagar.

Vi granskade integritetspolicyn för de mest populära VPN-tjänsterna på marknaden. Vi fann att ett betydande antal VPN-leverantörer är baserade i jurisdiktioner med potential att äventyra användardata.

Följande tabell listar alla 80 VPN-tjänster vi testat. Den informerar om deras jurisdiktion och huruvida de upprätthåller en Warrant Canary eller inte.

Om du söker efter en specifik VPN-tjänst kan du använda Ctrl+F för att hitta den leverantör du letar efter.