Yksityisyys

VPN:t ja valtion valvonta: Mitä käyttäjien tulisi tietää

27. maaliskuuta 20265 min lukuaika

VPN:t ja valtion valvonta: Mitä käyttäjien tulisi tietää

VPN:iä suositellaan laajalti yksityisyydensuojavälineenä, myös Yhdysvaltain liittovaltion virastojen toimesta. Saattaakin olla yllätys, että demokraattilainsäätäjät esittävät nyt vakavia kysymyksiä siitä, voiko VPN:n käyttö – erityisesti sellaisen, joka reitittää liikenteen ulkomaisten palvelimien kautta – altistaa amerikkalaiset käyttäjät tahattomasti luvattomalle valtion valvonnalle ulkomaiseen tiedusteluvalvontalakiin (FISA) kuuluvan pykälän 702 nojalla. On olennaista ymmärtää, mitä pykälä 702 käytännössä tarkoittaa ja miten VPN:n lainkäyttöalue vaikuttaa altistumiseesi, jotta voit tehdä tietoon perustuvia yksityisyyspäätöksiä.

Mikä on FISA:n pykälä 702 ja miksi sillä on merkitystä?

FISA:n pykälä 702 on Yhdysvaltain laki, joka valtuuttaa tiedustelupalvelut keräämään viestintää Yhdysvaltojen ulkopuolella olevilta ei-yhdysvaltalaisilta henkilöiltä ilman yksittäistä tuomioistuinmääräystä. Tarkoituksena on ulkomainen tiedustelutieto. Ongelma on se, että amerikkalaisten käyttäjien tiedot voivat joutua tämän keräyksen piiriin, jos heidän viestintänsä kulkee ulkomaisen infrastruktuurin kautta tai koskee ulkomaisia osapuolia.

Kun VPN reitittää internetliikenteesi Yhdysvaltojen ulkopuolella sijaitsevien palvelimien kautta, tietosi kulkevat teknisesti ulkomaisen infrastruktuurin läpi. Riippuen siitä, missä kyseinen palvelin sijaitsee, minkä lainkäyttöalueen alaisuudessa VPN-palveluntarjoaja toimii ja miten palveluntarjoaja reagoi oikeudellisiin pyyntöihin, liikenteesi voisi teoriassa kuulua pykälän 702 mukaisten keräysohjelmien piiriin. Lainsäätäjät kysyvät nyt, luoko tämä porsaanreiän, joka asettaa yksityisyydestään huolehtivat amerikkalaiset suurempaan valvontariskiin – ei pienempään.

Tämä ei ole teoreettinen reunatapaus. Kyse on rakenteellisesta kysymyksestä siitä, miten valvontalaki on vuorovaikutuksessa VPN-arkkitehtuurin kanssa, ja se ansaitsee selkeän vastauksen.

VPN:n lainkäyttöalueen merkitys yksityisyydellesi

Kaikki VPN:t eivät ole samanarvoisia, ja lainkäyttöalue on yksi tärkeimmistä muuttujista, jotka on syytä ymmärtää. Yhdysvalloissa rekisteröity VPN-palveluntarjoaja on Yhdysvaltain lainsäädännön alainen, mukaan lukien FISA-määräykset ja kansallisen turvallisuuden kirjeet, jotka voivat pakottaa tietojen luovuttamiseen ja sisältävät salassapitomääräyksiä, jotka estävät palveluntarjoajaa jopa ilmoittamasta asiasta käyttäjille.

Yhdysvaltain oikeudellisen ulottuvuuden ulkopuolisissa maissa toimivat palveluntarjoajat noudattavat eri sääntöjä. Sveitsissä on esimerkiksi vahvat perustuslailliset yksityisyydensuojat, eikä se kuulu Five Eyes-, Nine Eyes- tai Fourteen Eyes -tiedusteluyhteistyöliittoutumiin. Sveitsiläistä VPN-palveluntarjoajaa ei voida pakottaa Yhdysvaltain tuomioistuinmääräyksellä luovuttamaan käyttäjätietoja samalla tavalla kuin amerikkalaista yritystä.

hide.me on rekisteröity Malesiaan ja toimii tiukan ei-lokituspolitiikan mukaisesti, mikä tarkoittaa, että käyttäjäaktiviteetista, yhteyden aikaleimoista, IP-osoitteista tai selaushistoriasta ei ole tallennettuja tietueita luovutettavaksi, vaikka oikeudellinen pyyntö tehtäisiin. Lainkäyttöalueella on merkitystä, mutta myös sillä, mitä tietoja ylipäänsä on olemassa. Palveluntarjoajalla, joka ei kerää lokitietoja, ei ole mitään luovutettavaa riippumatta siitä, mikä hallitus pyytää niitä.

Mitä tämä tarkoittaa sinulle

Jos olet yhdysvaltalainen VPN:n käyttäjä, tässä ovat käytännön johtopäätökset tästä käynnissä olevasta poliittisesta keskustelusta:

VPN-palveluntarjoajasi sijainnilla on merkitystä. Yhdysvalloissa rekisteröity palveluntarjoaja on FISA-määräysten alainen. Palveluntarjoaja, joka on sijoittautunut maahan, jolla ei ole keskinäistä oikeusapusopimusta Yhdysvaltain kanssa tai jossa on vahva kansallinen yksityisyyslainsäädäntö, tarjoaa korkeamman rakenteellisen suojan.

Palvelimen sijainti ja palveluntarjoajan sijainti ovat eri asioita. Yhdysvaltalainen VPN-yritys, joka ajaa palvelimia Saksassa, on silti yhdysvaltalainen yritys, joka on Yhdysvaltain lainsäädännön alainen. Älä sekoita palvelimen maantieteellistä sijaintia palveluntarjoajan lainkäyttöalueeseen.

Ei-lokituspolitiikat ovat merkityksellisiä vain, kun ne on riippumattomasti varmennettu. Etsi palveluntarjoajia, jotka ovat läpikäyneet kolmannen osapuolen auditoinnin ei-lokitusväitteidensä osalta. Tietosuojailmoitukseen kirjatut käytännöt eivät ole sama asia kuin arkkitehtuuritasolla toteutettu tietojen minimointi.

Pykälä 702 kohdistuu ulkomaisiin henkilöihin, mutta keräys on laajaa. Jos tietosi kulkevat ulkomaisen infrastruktuurin kautta, ne saatetaan kerätä sivutuotteena. Vastaus ei ole VPN:ien välttäminen; se on sellaisen VPN-palveluntarjoajan valitseminen, jonka oikeudellinen rakenne ja tietokäytännöt rajoittavat altistumista.

Lainsäätäjät, jotka esittävät näitä kysymyksiä, tekevät käyttäjille palveluksen. Valvontalain ja kuluttajien yksityisyysvälineiden välisen vuorovaikutuksen tarkastelu on tervettä ja pitkään odotettua. Sen tulisi kannustaa VPN-palveluntarjoajia olemaan avoimempia, ei vähemmän avoimia.

Yksityisyysarkkitehtuuriltaan kestävän VPN:n valitseminen

Kongressin tutkinnan perimmäinen viesti ei ole se, että VPN:t olisivat huonoja. Liittovaltion virastot suosittelevat niitä edelleen, ja hyvästä syystä: hyvin valittu VPN parantaa merkittävästi yksityisyysasentoasi. Viesti on se, että valitsemasi VPN:n yksityiskohdilla on enemmän merkitystä kuin useimmat käyttäjät ymmärtävät.

Yksityisyys ei ole ominaisuus, johon voi luottaa sokeasti. Se edellyttää ymmärrystä siitä, missä palveluntarjoaja on rekisteröity, mitä tietoja se tallentaa, onko sen ei-lokituspolitiikka auditoitu ja miten se reagoi oikeudellisiin pyyntöihin. Nämä eivät ole esoteerisia teknisiä kysymyksiä; ne ovat käytännön kriteerejä, jotka määrittävät, suojaako VPN:si sinua todella vai siirtääkö se altistumisesi vain muualle.

hide.me rakennettiin periaatteen pohjalle, jonka mukaan VPN-palveluntarjoajan tulisi olla rakenteellisesti kykenemätön vaarantamaan yksityisyytesi – ei vain sopimuksellisesti haluton tekemään niin. Varmennetun ei-lokituspolitiikan, yksityisyyttä kunnioittavilla lainkäyttöalueilla sijaitsevien palvelimien ja tiedusteluyhteistyöliittoutumiin kuulumattomuuden ansiosta hide.me on suunniteltu kestämään juuri sen tyyppistä oikeudellista tarkastelua, jota pykälä 702 edustaa. Jos haluat ymmärtää enemmän siitä, miten salaus ja VPN-protokollat suojaavat tietojasi siirron aikana, [VPN-salausoppaastamme](#) on hyvä aloittaa.

Keskustelu, jota lainsäätäjät käyvät juuri nyt, on sellainen, jota jokaisen VPN:n käyttäjän tulisi käydä myös itse.

// UKK

Mikä on FISA:n pykälä 702 ja miten se liittyy VPN:n käyttöön?

FISA:n pykälä 702 valtuuttaa Yhdysvaltain tiedustelupalvelut keräämään viestintää Yhdysvaltojen ulkopuolella olevilta ei-yhdysvaltalaisilta henkilöiltä ilman yksittäistä tuomioistuinmääräystä. Kun VPN reitittää liikenteen ulkomaisten palvelimien kautta, amerikkalaisten käyttäjien tiedot voisivat teoriassa joutua tämän keräyksen piiriin.

Voivatko Yhdysvaltain viranomaiset pakottaa VPN-palveluntarjoajan luovuttamaan käyttäjätietoja?

Yhdysvalloissa rekisteröity VPN-palveluntarjoaja voidaan pakottaa luovuttamaan tietoja FISA-määräysten ja kansallisen turvallisuuden kirjeiden kautta, jotka voivat myös sisältää salassapitomääräyksiä, jotka estävät palveluntarjoajaa ilmoittamasta asiasta käyttäjille.

Vaikuttaako VPN:n sijaintimaa sen yksityisyyteen?

Kyllä, lainkäyttöalue on kriittinen muuttuja, sillä Yhdysvaltain oikeudellisen ulottuvuuden ulkopuolella toimivat palveluntarjoajat noudattavat eri sääntöjä, eikä heitä voida pakottaa Yhdysvaltain tuomioistuinmääräyksillä samalla tavalla kuin amerikkalaisia yrityksiä.

Miksi Sveitsiä mainitaan esimerkkinä suotuisasta VPN-lainkäyttöalueesta?

Sveitsissä on vahvat perustuslailliset yksityisyydensuojat, eikä se kuulu Five Eyes-, Nine Eyes- tai Fourteen Eyes -tiedusteluyhteistyöliittoutumiin, mikä tarkoittaa, että sveitsiläisellä VPN-palveluntarjoajalla on erilaiset oikeudelliset velvoitteet kuin Yhdysvalloissa sijaitsevalla palveluntarjoajalla.

Miksi ei-lokituspolitiikalla on merkitystä, vaikka VPN-palveluntarjoaja saisi oikeudellisen pyynnön?

Palveluntarjoajalla, joka ei kerää lokitietoja, ei ole tallennettuja tietueita käyttäjäaktiviteetista, yhteyden aikaleimoista, IP-osoitteista tai selaushistoriasta luovutettavaksi, mikä tarkoittaa, että luovutettavaa ei ole riippumatta siitä, mikä hallitus esittää oikeudellisen pyynnön.

VPN:t ja valtion valvonta: Mitä käyttäjien tulisi tietää

Mikä on FISA:n pykälä 702 ja miksi sillä on merkitystä?

VPN:n lainkäyttöalueen merkitys yksityisyydellesi

Mitä tämä tarkoittaa sinulle

Yksityisyysarkkitehtuuriltaan kestävän VPN:n valitseminen

// UKK

// Aiheeseen liittyvät