NordVPN uhkaa poistua Kanadasta lakiehdotus C-22:n valvontalain vuoksi

Mitä Kanadan Lawful Access -lakiehdotus todella edellyttäisi VPN-palveluntarjoajilta

Kanadan lakiehdotus C-22, tunnettu nimellä Lawful Access Act, saa kovaa kritiikkiä teknologiayrityksiltä, kansalaisvapauksien puolustajilta ja nyt myös ainakin yhdeltä merkittävältä VPN-palveluntarjoajalta. Lainsäädäntö loisi oikeudellisen kehyksen, joka velvoittaisi sähköisten palveluiden tarjoajat säilyttämään metatietoja ja – mikä ratkaisevaa – rakentamaan teknisiä valmiuksia, joiden avulla viranomaiset voisivat päästä käsiksi kyseisiin tietoihin vaatimuksesta.

Useimmille verkkopalveluille vaatimustenmukaisuus tarkoittaisi käyttäjätoiminnan kirjaamista tai tietojen säilytyskäytäntöjen muuttamista. VPN-palveluntarjoajille panos on korkeampi. VPN:n keskeinen arvolupaus on se, että se ei tallenna tietoja siitä, kuka yhdisti, milloin tai mitä he tekivät verkossa. Lakiehdotus C-22 ei ainoastaan pyytäisi tarjoajia muuttamaan käytäntöasetusta. Se kehottaisi heitä rakentamaan arkkitehtuurinsa uudelleen tavoin, jotka perustavanlaatuisesti heikentävät heidän myymäänsä tuotetta. Kriitikot varoittavat myös, että lakitekstin "teknisiä valmiuksia" koskeva kieli on riittävän laaja velvoittamaan salauksen kiertämiseen, luoden käytännössä takaovia, joita hallitukset voisivat hyödyntää ja jotka pahantahtoiset toimijat saattaisivat lopulta löytää.

Kanadan Lawful Access -lakiehdotuksen ja VPN:ien välinen kiista on herättänyt huomiota myös Yhdysvalloissa, missä kongressin johtajat ovat tiettävästi ilmaisseet huolensa siitä, että lakiehdotuksen valvontasäännöksillä voisi olla heijastusvaikutuksia maiden rajat ylittäviin tietoihin ja kansallisiin turvallisuusetuihin.

Miksi NordVPN sanoo mieluummin poistuvansa kuin noudattavansa lakia

NordVPN on ollut suora vastauksessaan: jos lakiehdotus C-22 pakottaa yrityksen vaarantamaan no-logs-arkkitehtuurinsa tai heikentämään salaussuojauksia, se poistuu Kanadan markkinoilta mieluummin kuin noudattaa lakia. Yrityksen kanta heijastaa laajempaa periaatetta, jonka mukaan tiettyjen valvontavelvoitteiden noudattaminen on teknisesti yhteensopimaton luotettavan VPN-palvelun tarjoamisen kanssa.

Tämä ei ole tyhjä uhkaus. Kun muiden lainkäyttöalueiden hallitukset ovat säätäneet vastaavia vaatimuksia, osa palveluntarjoajista on toteuttanut markkinoilta poistumisen. Kaava on tuttu: laki hyväksytään, tarjoajille annetaan määräaika noudattamiseen, ne jotka eivät suostu rakentamaan takaovia sulkevat paikalliset palvelimensa ja ohjaavat käyttäjät yhdistämään myönteisemmillä lainkäyttöalueilla sijaitsevien palvelimien kautta. Käyttäjät kyseisessä maassa pääsevät usein edelleen käsiksi palveluun ulkomaisten palvelimien kautta, mutta oikeudelliset suojat ja suorituskyytakeet heikkenevät huomattavasti.

NordVPN:n varoitus palvelee myös toissijaisena tarkoituksena. Julkistamalla kantansa yritys kohdistaa poliittista painetta lainsäädäntöprosessin aikana, signaloiden kanadalaisille lainsäätäjille, että aggressiivisilla valvontavelvoitteilla on todelliset taloudelliset ja maineeseen liittyvät kustannukset. Myös muiden teknologiayritysten, kuten Applen, on tiettävästi vastustettu lakiehdotuksen tiettyjä osa-alueita.

Mitkä muut VPN-palveluntarjoajat saattaisivat seurata perässä ja mitkä saattaisivat jäädä

NordVPN ei todennäköisesti jää yksin, jos lakiehdotus C-22 hyväksytään nykyisessä muodossaan. Tiukan no-logs-politiikan ja läpinäkyvyysraporttien ympärille rakennetut palveluntarjoajat kohtaisivat saman mahdottoman valinnan: rakentaa infrastruktuurinsa uudelleen valvonnan mahdollistamiseksi tai poistaa Kanadan palvelimet. Pienemmät palveluntarjoajat, joilla on vähemmän poliittista vaikutusvaltaa ja resursseja oikeudellisten haasteiden käymiseen, saattaisivat poistua vieläkin nopeammin.

Kaikki palveluntarjoajat eivät kuitenkaan poistuisi. Osa VPN-palveluista toimii löyhempien tietosuojasitoumusten pohjalta ja on historiallisesti tehnyt yhteistyötä viranomaisten pyyntöjen kanssa muissa maissa. Käyttäjille, jotka turvautuvat VPN:iin ensisijaisesti suoratoistopalveluiden aluerajoitusten kiertämiseen tietosuojan sijaan, nämä palveluntarjoajat saattaisivat pysyä saatavilla. Riskinä on, että kanadalaiset käyttäjät, jotka pysyvät vaatimustenmukaisilla palveluntarjoajilla, eivät ehkä ymmärrä, missä määrin heidän liikenteensä voisi tulla viranomaisten saataville.

Tämä dynamiikka peilaa sitä, mitä on tapahtunut osissa Eurooppaa, missä tuomioistuinmääräykset ja lainsäädännöllinen paine ovat jo pakottaneet VPN-palveluntarjoajat vaikeisiin vaatimustenmukaisuustilanteisiin. Euroopan VPN-vastainen toiminta tarjoaa selkeän ennakkokuvan siitä, miten tämä käytännössä etenee: tietosuojaa priorisoivat palveluntarjoajat taipuvat vastustamaan tai poistumaan, kun taas heikommilla sitoumuksilla toimivat sopeutuvat ja jäävät. Kanadalaisten käyttäjien tulisi suhtautua tähän ennakkotapaukseen vakavasti arvioidessaan vaihtoehtoiaan nyt.

Käyttäjille, jotka punnitsevat erityisesti NordVPN:ää suhteessa erilaisiin oikeudellisiin rakenteisiin ja omistukseen perustuviin vaihtoehtoihin, palveluntarjoajien vertaileminen tietosuojakäytäntöjen, lainkäyttöalueen ja infrastruktuurin suunnittelun osalta kannattaa tehdä ennen kuin mikään lainsäädäntöpäätös pakottaa ratkaisun. Vertailu kuten NordVPN vs Windscribe on yksi esimerkki siitä, miten näitä kompromisseja voidaan arvioida rinnakkain – erityisesti koska Windscribe on kanadalainen palveluntarjoaja, joka itse kohtaisi vaatimustenmukaisuuskysymyksiä lakiehdotus C-22:n nojalla.

Mitä kanadalaisten käyttäjien tulisi tehdä nyt tietosuojansa suojelemiseksi

Lakiehdotus C-22 ei ole vielä hyväksytty, ja lainsäädäntöprosessi saattaa johtaa muutoksiin, jotka kaventavat sen valvonnan laajuutta. Odottaminen lain voimaantuloon asti on kuitenkin väärä lähestymistapa. Tässä ovat käytännön toimenpiteet, jotka kanadalaisten käyttäjien tulisi tehdä nyt.

Tarkasta nykyinen VPN-palveluntarjoajasi. Katso, missä yritys on rekisteröity, mitä sen julkaistu no-logs-käytäntö sanoo ja onko se koskaan läpikäynyt riippumattoman auditoinnin. Kanadaan rekisteröidyt palveluntarjoajat kohtaavat suoran oikeudellisen altistuksen lakiehdotus C-22:n nojalla. Muualle rekisteröidyt, mutta Kanadan palvelimia operoivat palveluntarjoajat saatetaan myös velvoittaa noudattamaan lakia riippuen siitä, miten laki kirjoitetaan.

Lue palveluntarjoajien lausunnot lakiehdotuksesta. NordVPN on julkistanut kantansa. Tarkasta, onko nykyinen palveluntarjoajasi antanut minkäänlaista lausuntoa Kanadan valvontalainsäädännöstä. Hiljaisuus voi itsessään olla merkityksellistä.

Ymmärrä, mitä "no-logs" todella tarkoittaa. Kaikki no-logs-väitteet eivät ole samanarvoisia. Etsi palveluntarjoajia, jotka ovat julkaisseet kolmannen osapuolen auditoinnin tulokset arkkitehtuurinsa vahvistamiseksi, eikä pelkkää markkinointitekstiä.

Harkitse lainkäyttöalueen monimuotoisuutta. Jos tietosuoja on prioriteetti, selvitä, missä palveluntarjoajasi emoyhtiö on rekisteröity ja minkä oikeusjärjestelmien alainen se on. Five Eyes -tiedusteluliittoutuman ulkopuolella toimiva palveluntarjoaja toimii erilaisissa rajoitteissa kuin Kanadaan, Yhdysvaltoihin, Yhdistyneeseen kuningaskuntaan tai Australiaan rekisteröity.

Kanadan Lawful Access -lakiehdotuksen ja VPN:ien tilanne kehittyy edelleen, ja lainsäädännön lopullinen teksti on äärimmäisen tärkeä. Mutta kehityksen suunta on selvä. Digitaalisesta tietosuojastaan huolehtivien kanadalaisten käyttäjien tulisi alkaa arvioida vaihtoehtojaan nyt, kun kilpailukykyiset vaihtoehdot ovat vielä laajalti saatavilla. Odottaminen siihen asti, kunnes palveluntarjoajat alkavat sulkea kanadalaista infrastruktuuria, jättää sinut reagoimaan paineen alla sen sijaan, että tekisit harkitun valinnan.