NordVPN hrozí odchodem z Kanady kvůli zákonu o sledování Bill C-22

Co by kanadský zákon o zákonném přístupu skutečně vyžadoval od poskytovatelů VPN

Kanadský návrh zákona Bill C-22, známý jako Lawful Access Act, sklízí ostrou kritiku od technologických společností, organizací na ochranu občanských svobod a nyní také od alespoň jednoho velkého poskytovatele VPN. Legislativa by vytvořila právní rámec, který by od poskytovatelů elektronických služeb vyžadoval uchovávání metadat a – což je klíčové – budování technických kapacit umožňujících vládním agenturám přístup k těmto datům na vyžádání.

Pro většinu internetových služeb by splnění požadavků znamenalo zaznamenávání aktivity uživatelů nebo úpravu zásad uchovávání dat. Pro poskytovatele VPN jsou sázky vyšší. Základní přidaná hodnota VPN spočívá v tom, že neuchovává záznamy o tom, kdo se připojil, kdy nebo co dělal online. Bill C-22 by po poskytovatelích nepožadoval jen změnu nastavení zásad. Žádal by je o přestavbu jejich architektury způsobem, který by zásadně narušil produkt, který prodávají. Kritici také varují, že formulace zákona týkající se „technických kapacit" je dostatečně široká, aby nařídila obcházení šifrování, čímž by fakticky vznikla zadní vrátka, která by mohly využívat vlády a která by nakonec mohli odhalit i zlomyslní aktéři.

Debata o kanadském zákonu o zákonném přístupu a VPN přitáhla pozornost také ve Spojených státech, kde kongresové vedení údajně vyjádřilo obavy, že ustanovení zákona o sledování by mohla mít přeshraniční dopady na data a zájmy národní bezpečnosti.

Proč NordVPN říká, že raději odejde, než aby se podřídil

NordVPN byl ve své reakci přímočarý: pokud Bill C-22 společnost přinutí zkompromitovat svou architekturu bez uchovávání logů nebo oslabit ochranu šifrování, raději opustí kanadský trh, než aby se podřídil. Postoj společnosti odráží širší zásadu, že plnění určitých příkazů k dohledu je technicky neslučitelné s provozováním důvěryhodné VPN služby.

Nejde o planou hrozbu. Když vlády v jiných jurisdikcích přijaly podobné požadavky, někteří poskytovatelé na odchod z trhu skutečně přistoupili. Vzorec je známý: legislativa je přijata, poskytovatelé dostanou lhůtu pro splnění požadavků, ti, kteří odmítají budovat zadní vrátka, zavřou místní servery a nasměrují uživatele k připojení přes servery v přívětivějších jurisdikcích. Uživatelé v postižené zemi si přístup prostřednictvím zahraničních serverů často zachovají, ale právní ochrana a záruky výkonu se značně oslabí.

Varování NordVPN plní také vedlejší účel. Tím, že jej společnost zveřejnila, vyvíjí politický tlak během legislativního procesu a signalizuje kanadským zákonodárcům, že agresivní příkazy k dohledu mají reálné ekonomické a reputační náklady. Podle zpráv se proti některým aspektům zákona ohradily také další technologické společnosti, včetně Apple.

Kteří další poskytovatelé VPN by mohli odejít a kteří zůstat

NordVPN pravděpodobně nebude sám, pokud Bill C-22 projde ve své současné podobě. Poskytovatelé postavení na přísných zásadách bez uchovávání logů a transparentních zprávách by čelili stejné nemožné volbě: přebudovat infrastrukturu, aby umožnili sledování, nebo stáhnout kanadské servery. Menší poskytovatelé s menším politickým vlivem a menšími prostředky na vedení právních sporů by mohli odejít ještě rychleji.

Ne každý poskytovatel by však odešel. Některé VPN služby fungují na základě volnějších závazků v oblasti ochrany soukromí a v minulosti spolupracovaly s vládními žádostmi v jiných zemích. Pro uživatele, kteří VPN využívají především k odemykání streamovacího obsahu s geografickým omezením, nikoli k ochraně soukromí, by tito poskytovatelé mohli zůstat dostupní. Riziko spočívá v tom, že kanadští uživatelé, kteří u vyhovujících poskytovatelů zůstanou, nemusí mít ponětí o míře, do jaké by jejich provoz mohl být přístupný úřadům.

Tato dynamika odráží vývoj v částech Evropy, kde soudní příkazy a legislativní tlak již donutily poskytovatele VPN do obtížných situací při plnění požadavků. Evropský útlak VPN nabízí jasný náhled na to, jak to v praxi dopadá: poskytovatelé, kteří upřednostňují soukromí, mají tendenci odporovat nebo odejít, zatímco ti se slabšími závazky se přizpůsobí a zůstanou. Kanadští uživatelé by měli tento precedens brát vážně při zvažování svých možností.

Pro uživatele, kteří konkrétně zvažují NordVPN oproti alternativám s různými právními strukturami a vlastnickými poměry, se vyplatí porovnat poskytovatele z hlediska zásad ochrany soukromí, jurisdikce a návrhu infrastruktury, a to ještě před tím, než jakýkoli legislativní výsledek rozhodnutí vynucuje. Srovnání jako NordVPN vs Windscribe je jedním z příkladů, jak vyhodnotit tyto kompromisy vedle sebe, zejména proto, že Windscribe je poskytovatel se sídlem v Kanadě, který by sám čelil otázkám ohledně dodržování předpisů podle Bill C-22.

Co by kanadští uživatelé měli nyní udělat pro ochranu svého soukromí

Bill C-22 zatím nebyl přijat a legislativní proces může vést k pozměňovacím návrhům, které zúží rozsah sledování. Čekat na přijetí zákona, než začnete jednat, je však špatný přístup. Zde jsou praktické kroky, které by kanadští uživatelé měli podniknout nyní.

Prověřte svého současného poskytovatele VPN. Zjistěte, kde má společnost sídlo, co říkají její zveřejněné zásady bez uchovávání logů a zda někdy prošla nezávislým auditem. Poskytovatelé se sídlem v Kanadě budou čelit přímé právní expozici podle Bill C-22. Poskytovatelé se sídlem jinde, ale provozující kanadské servery, mohou být také nuceni k dodržování předpisů v závislosti na tom, jak je zákon napsán.

Přečtěte si vyjádření poskytovatelů k zákonu. NordVPN zveřejnil svůj postoj. Zkontrolujte, zda váš současný poskytovatel vydal nějaké prohlášení k canadské legislativě o sledování. Mlčení může být samo o sobě výmluvné.

Pochopte, co „bez logů" skutečně znamená. Ne všechna tvrzení o absenci logů jsou si rovna. Hledejte poskytovatele, kteří zveřejnili výsledky auditu třetí stranou potvrzující jejich architekturu, nikoli jen marketingové materiály.

Zvažte diverzitu jurisdikcí. Pokud je ochrana soukromí prioritou, zjistěte, kde je mateřská společnost vašeho poskytovatele registrována a jakým právním systémům podléhá. Poskytovatel se sídlem mimo zpravodajskou alianci Five Eyes funguje za jiných omezení než ten se sídlem v Kanadě, Spojených státech, Spojeném království nebo Austrálii.

Situace kolem kanadského zákona o zákonném přístupu a VPN se stále vyvíjí a konečné znění legislativy má zásadní význam. Směr vývoje je však jasný. Kanadští uživatelé, kterým záleží na digitálním soukromí, by měli začít hodnotit své možnosti nyní, dokud jsou konkurenční alternativy stále široce dostupné. Čekání, až poskytovatelé začnou rušit kanadskou infrastrukturu, vás nutí reagovat pod tlakem, místo abyste učinili informované rozhodnutí.