Saat memilih virtual private network, Anda mungkin meneliti hal-hal seperti protokol VPN, harga, kecepatan, kemampuan streaming, dan fitur lainnya sebelum memutuskan. Semua adalah faktor penting, namun satu pertimbangan krusial sering terabaikan: **yurisdiksi**.
Yurisdiksi merujuk pada negara tempat perusahaan VPN terdaftar secara resmi dan hukum negara mana yang mengikatnya. Karena undang-undang privasi dan regulasi retensi data sangat bervariasi antarnegara, yurisdiksi memiliki implikasi privasi besar bagi pengguna VPN.
Seberapa besar? Menurut saya, menggunakan VPN yang berbasis di negara yang mewajibkan pencatatan data pengguna justru lebih buruk bagi privasi Anda daripada tidak menggunakan VPN sama sekali. Demikian juga jika hukum suatu negara mengizinkan badan intelijen domestik atau asing untuk memaksa perusahaan mencatat dan membagikan data pengguna. Itu adalah dua *red flag* terbesar dalam layanan VPN dan alasan utama mengapa saya selalu memperhatikan yurisdiksi selama lebih dari satu dekade pengalaman menguji dan mereview VPN.
Yurisdiksi adalah isu kompleks yang sering sulit diurai, tetapi saya selalu memastikan bahwa layanan VPN yang saya rekomendasikan berbasis di yurisdiksi di mana ia tidak bisa dipaksa untuk memata-matai penggunanya. Sayangnya, masih banyak kebingungan tentang bagaimana hukum lokal berlaku bagi perusahaan VPN dan wewenang apa yang mungkin dimiliki badan asing atas VPN di negara lain.
Yang benar-benar penting bagi privasi Anda adalah memastikan VPN yang digunakan terpercaya, memiliki kebijakan *no-logs* yang diaudit secara rutin, dan berbasis di yurisdiksi yang ramah privasi tanpa hukum retensi data yang bisa memaksa VPN mencatat data pengguna. Poin plus jika VPN tersebut bersifat *open-source* dan klaim *no-logs*-nya telah diuji di dunia nyata.
Jumlah ‘Mata’ Bukan Detail Terpenting
Keyakinan lama di kalangan online adalah bahwa berisiko menggunakan VPN yang berbasis di negara **14 Eyes**, yaitu kelompok 14 negara yang berbagi data pengawasan di bawah aliansi intelijen.
Tapi yang sebenarnya penting bagi privasi Anda adalah menggunakan VPN yang berbasis di negara yang **tidak memiliki** hukum retensi data wajib yang memungkinkan otoritas memaksa perusahaan VPN mencatat lalu lintas pengguna. Tidak adanya regulasi semacam inilah yang memungkinkan VPN mengklaim kebijakan *no-logs* yang genuin, terlepas dari apakah VPN itu berbasis di negara 14 Eyes atau bukan.
Dengan kata lain, lanskap regulasi lokal memiliki pengaruh jauh lebih besar daripada sebutan ‘Mata’ mana pun dalam menentukan keamanan suatu VPN.
Contohnya: Mullvad, salah satu VPN paling privat yang tersedia dan yang sering saya rekomendasikan untuk pengguna dengan kebutuhan privasi kritis, berbasis di Swedia, salah satu negara 14 Eyes. Namun, kerangka hukum di Swedia sedemikian rupa sehingga otoritas tidak dapat memaksa perusahaan VPN mencatat data pengguna. Mullvad hanya tunduk pada hukum Swedia, artinya badan intelijen dari negara 14 Eyes lain (atau negara mana pun) tidak berkuasa untuk ikut campur dan memaksa Mullvad mencatat data.
Selain itu, Mullvad sepenuhnya *open-source* dan memiliki kebijakan *no-logs* yang telah diaudit, menawarkan transparansi tinggi dan ketenangan pikiran bahwa perusahaan tidak mencatat aktivitas pengguna. Lebih lanjut, Mullvad menyatakan mempekerjakan pengacara untuk memantau lanskap hukum (di Swedia dan luar negeri) dan siap menghentikan layanannya jika suatu pemerintah secara hukum mampu memaksa perusahaan memata-matai pengguna.
Bahkan, kebijakan Mullvad diuji pada 2023 ketika otoritas Swedia, berdasarkan surat perintah penggeledahan, menyergap kantor Mullvad di Gothenburg untuk menyita data pelanggan. Namun, polisi Swedia pergi dengan tangan hampa karena datanya tidak ada.
Demikian pula, Windscribe, yang juga berbasis di negara 14 Eyes (Kanada), menjaga privasi yang ketat dan tidak tunduk pada hukum yang memaksa pencatatan data. Windscribe telah diuji beberapa kali di dunia nyata—sekali oleh otoritas Yunani pada 2023 (yang kemudian menutup kasusnya tahun 2025 karena kurang data), dan baru-baru ini oleh otoritas Belanda yang dilaporkan menyita server Windscribe pada Februari. Kasus Belanda masih berlangsung saat ini, tetapi CEO Windscribe Yegor Sak mengatakan tidak ada data pengguna yang berisiko karena memang tidak ada data untuk diserahkan.
Di banyak yurisdiksi (di dalam atau luar 14 Eyes), otoritas mungkin secara hukum dapat mendatangi perusahaan VPN dengan surat perintah, menuntut penyerahan data yang ada terkait investigasi aktif. Tetapi jika VPN benar-benar tidak mencatat data, ia tidak akan memiliki apa pun yang berguna untuk diserahkan.
Namun di yurisdiksi tertentu, seperti Amerika Serikat, otoritas dapat mengeluarkan *subpoena*, surat perintah, atau tindakan hukum lain yang mencakup *gag order*, yang dapat mencegah perusahaan VPN mengungkap fakta bahwa mereka diperintahkan mulai mencatat data. Selain itu, Wired melaporkan bahwa pembuat undang-undang AS baru-baru ini mengirim surat kepada direktur intelijen AS, meminta konfirmasi apakah pengguna VPN di AS pada dasarnya melepaskan perlindungan konstitusional mereka dari pengawasan pemerintah tanpa surat perintah saat terhubung ke server luar negeri. Jika jawabannya ya, ini bisa menjadi masalah besar jika Anda menggunakan layanan VPN abal-abal yang mengumpulkan data atau jika VPN Anda bisa dipaksa oleh perintah hukum untuk mulai mencatat.
Akan tetapi, VPN yang terpercaya dan dibangun untuk privasi sejak awal tidak bisa serta-merta menekan tombol dan mulai mencatat dari satu menit ke menit berikutnya. Kepatuhan terhadap perintah semacam itu mengharuskan VPN mengubah kode servernya dan pada dasarnya seluruh desain infrastrukturnya untuk mulai merekam data yang berguna—belum lagi mengkhianati seluruh basis penggunanya.
Inilah mengapa hal-hal seperti server *RAM-only*, perangkat lunak *open-source*, laporan transparansi, dan audit pihak ketiga rutin sangat penting di samping yurisdiksi. Infrastruktur server *RAM-only* memastikan tidak ada data yang bertahan di *hard drive* dan semua data terhapus total saat server dimatikan atau direstart. Jika aplikasi VPN bersifat *open-source*, kode sumbernya tersedia untuk diawasi siapa pun, sehingga upaya pencatatan rahasia bisa terdeteksi.
Laporan transparansi yang merinci jumlah dan jenis permintaan hukum yang diterima VPN dalam periode tertentu (serta respons perusahaan) penting untuk membangun kepercayaan publik. Dan meskipun audit independen tidak memberikan gambaran lengkap, audit tersebut adalah sinyal kepercayaan krusial yang dapat memvalidasi klaim VPN bahwa mereka tidak mencatat dan infrastrukturnya telah diatur dengan benar.
VPN dengan pengaturan privasi yang wajar akan kesulitan mulai memata-matai pengguna, sekalipun bisa dipaksa. Namun inti dari yurisdiksi VPN yang baik adalah ia **seharusnya tidak bisa** dipaksa.
Di Mana Sebaiknya (dan Tidak Sebaiknya) VPN Berbasis
Secara umum, pilihlah VPN yang berbasis di yurisdiksi **tanpa** hukum retensi data wajib, didukung oleh kerangka perlindungan data kuat dengan pengawasan yang tepat untuk membatasi *overreach* pemerintah dan surat perintah dari negara lain. Beberapa yurisdiksi terbaik untuk VPN antara lain Swiss (Proton VPN), British Virgin Islands (ExpressVPN), Panama (NordVPN), Swedia (Mullvad), Gibraltar, dan Rumania.
Pengguna VPN yang berfokus pada privasi harus berpikir dua kali memilih VPN berbasis di AS karena risiko terkait *national security letters* (yang bisa memaksa perusahaan menyerahkan catatan) dan *gag orders*.
VPN berbasis di Inggris juga berisiko karena Investigatory Powers Act memberi pemerintah wewenang melemahkan enkripsi, memberlakukan *gag orders*, dan memaksa ISP serta berpotensi VPN untuk mencatat data. Hukum serupa di Australia juga membuat VPN berbasis di sana berisiko.
VPN berbasis di negara dengan sensor dan pengawasan internet ketat tidak boleh dipertimbangkan. Misalnya, VPN mana pun yang beroperasi di Tiongkok harus disetujui pemerintah dan memberikan akses *backdoor* kepada otoritas.
Cari VPN dengan Yurisdiksi yang Jelas
Sementara banyak VPN didirikan dan beroperasi di satu yurisdiksi, lainnya mungkin beroperasi dari satu negara tetapi mendirikan entitas hukum terdaftar di yurisdiksi berbeda. Ini mungkin dilakukan untuk manfaat pajak atau memastikan perusahaan VPN terdaftar secara hukum di yurisdiksi aman, meski tidak beroperasi fisik di negara tersebut.
Juga, beberapa perusahaan induk VPN mungkin berkantor pusat di negara yang sama sekali berbeda. Misalnya, perusahaan induk ExpressVPN, Kape Technologies, adalah perusahaan berbasis di Inggris, tetapi ExpressVPN secara hukum berbasis di British Virgin Islands. ExpressVPN memperjelas dalam kebijakan privasinya bahwa mereka beroperasi sesuai hukum BVI. Demikian pula, kantor NordVPN berada di Lituania, tetapi di bawah yurisdiksi Panama, semua permintaan data “harus mengikuti proses hukum yang sesuai menurut undang-undang Republik Panama,” menurut kebijakan privasi perusahaan.
Karena semua ini, struktur kepemilikan dan yurisdiksi aktual VPN terkadang sulit dipahami.