邮件存储地至关重要
您的邮件元数据可以揭示 您与谁沟通、何时沟通以及沟通频率. 数据的存储位置决定了谁可以合法访问它——无论您是否知情。
大多数电子邮件提供商的总部设在美国,该国的联邦法律允许在没有搜查令的情况下对非美国人的通信进行监视,并强制公司交出存储在世界任何地方的数据。其他提供商则在通过五眼、九眼或十四眼联盟共享情报的国家/地区运营。
RacterMX 将您的数据存储在冰岛——处于所有监控联盟之外,依法享有全面的 GDPR 保护。
管辖权对比
邮件服务商在管辖权、监控风险和隐私法方面的对比。
| 服务商 | 管辖权 | 数据存储 | 监控暴露风险 | 隐私法律 |
|---|---|---|---|---|
| RacterMX | 🇮🇸 冰岛 (Texas LLC) | 冰岛 | 无 — 处于所有眼联盟之外 | 冰岛数据保护法, 通过 EEA 遵循 GDPR, 全球最高的互联网自由度评分 |
| 重新发送 | 🇺🇸 美国 | 美国 | FISA 702, CLOUD 法案, NSLs, 爱国者法案 | 联邦隐私法有限,缺乏全面的数据保护 |
| SendGrid (Twilio) | 🇺🇸 美国 | 美国 | FISA 702, CLOUD 法案, NSLs, 爱国者法案 | 联邦隐私法有限,缺乏全面的数据保护 |
| Mailgun (Sinch) | 🇺🇸 美国 | 美国 | FISA 702, CLOUD 法案, NSLs, 爱国者法案 | 联邦隐私法有限,缺乏全面的数据保护 |
| Postmark (ActiveCampaign) | 🇺🇸 美国 | 美国 | FISA 702, CLOUD 法案, NSLs, 爱国者法案 | 联邦隐私法有限,缺乏全面的数据保护 |
| Amazon SES | 🇺🇸 美国 | 多个美国区域 | FISA 702, CLOUD 法案, NSLs, 爱国者法案 | 联邦隐私法有限,缺乏全面的数据保护 |
| ImprovMX | 🇫🇷 法国 | 法国 / 欧盟 | 法国情报法 (DGSI), 欧盟数据保留指令 | 符合 GDPR,但法国是九眼联盟成员 |
| Fastmail | 🇦🇺 澳大利亚 | 澳大利亚 / 美国 | 澳大利亚《协助与访问法》(AA Act),五眼联盟 | AA 法案允许强制后门并附带禁言令 |
| ProtonMail | 🇨🇭 瑞士 | 瑞士 | 瑞士情报合作协议 | 虽然隐私法严格,但瑞士法律互助协定 (MLAT) 允许合作 |
| Tutanota (Tuta) | 🇩🇪 德国 | 德国 | 德国情报机构 (BND), 通过欧盟合作加入九眼联盟 | 符合 GDPR,但德国是十四眼联盟成员 |
| 转发邮件 | 🇺🇸 美国 | 美国 | FISA 702, CLOUD 法案, NSLs | 联邦隐私法有限,缺乏全面的数据保护 |
| SimpleLogin (Proton) | 🇨🇭 瑞士 / 🇫🇷 法国 | 瑞士 | 瑞士 MLAT,法国九眼联盟成员身份 | 混合型 — 瑞士托管但具有法国母公司背景 |
美国托管邮件的问题
大多数邮件基础设施公司——Resend、SendGrid、Mailgun、Postmark、Amazon SES、Forward Email——都在美国注册,并在美国本土存储数据。这使它们受制于一系列在大多数民主国家都没有对等法律的联邦监控法。
FISA 第 702 条
允许美国国家安全局(NSA)对涉及非美国人的通信进行无证批量收集。在实践中,美国人的数据经常通过“附带收集”被卷入其中,并且联邦调查局(FBI)可以在没有搜查令的情况下进行搜索。该法案于 2024 年 4 月重新授权,并扩大了“电子通信服务提供商”的定义。
CLOUD 法案 (2018)
强制美国公司交出存储在世界任何地方的数据,无论数据物理位置在哪里或适用什么当地隐私法律。在德国托管数据的美国公司仍必须遵守美国政府命令 — 即使这样做违反了 GDPR。
国家安全信函 (NSLs)
联邦调查局 (FBI) 可以在没有司法批准的情况下要求获取客户数据——包括邮件元数据、账户记录和交易历史。国家安全信函 (NSLs) 附带有封口令:公司不能告诉你他们收到了信函,不能告诉你你的数据被披露,否则将面临刑事处罚。
缺乏全面的联邦隐私法
与欧盟 (GDPR)、冰岛 (冰岛数据保护法) 甚至巴西 (LGPD) 不同,美国没有全面的联邦数据保护立法。隐私保护碎片化分布在特定行业的法律中(如医疗的 HIPAA,教育的 FERPA),没有普遍的数据保护权。
五/九/十四眼联盟国家的问题
“眼”联盟是国家之间在信号情报 (SIGINT) 采集方面进行合作的情报共享协议。如果您的邮件提供商在任何成员国运营,您的数据可能会在联盟内被共享——而您对此并不知情,也无需经过您的同意。
五眼联盟
🇺🇸 美国 · 🇬🇧 英国 · 🇨🇦 加拿大 · 🇦🇺 澳大利亚 · 🇳🇿 新西兰
核心联盟。成员国自由分享原始信号情报,包括截获的通信和元数据。起源于二战后的英美协定 (1946)。
九眼联盟
五眼联盟 + 🇩🇰 丹麦 · 🇫🇷 法国 · 🇳🇱 荷兰 · 🇳🇴 挪威
拥有共享情报访问权的扩展合作伙伴。法国的 DGSI 和丹麦的 FE 已被记录参与联合监控行动。
十四眼联盟
九眼联盟 + 🇩🇪 德国 · 🇧🇪 比利时 · 🇮🇹 意大利 · 🇸🇪 瑞典 · 🇪🇸 西班牙
正式名称为欧洲资深信号情报组织 (SSEUR)。成员国在信号情报收集和分析方面进行合作。已有记录显示德国联邦情报局 (BND) 向美国国家安全局 (NSA) 分享大规模元数据。
如果您的邮件提供商总部位于这 14 个国家中的任何一个,您的数据可能会根据情报合作协议在联盟内被访问和共享——无需搜查令、无需通知,也无需您的同意。
冰岛不是任何“眼联盟”的成员。
为什么选择冰岛
RacterMX 选择冰岛是因为没有任何其他管辖区能提供同等水平的隐私法、监控联盟独立性和互联网基础设施的结合。
- 处于所有眼联盟之外。冰岛不是五眼、九眼或十四眼情报共享协议的成员。没有义务向外国情报机构分享数据。
- EEA 成员 — 通过法律而非合同实现完全 GDPR 合规。冰岛通过《冰岛数据保护法》(第 90/2018 号) 将 GDPR 纳入国内法。这是国家法律,由独立机构 (Persónuvernd) 执行。
- 《冰岛数据保护法》提供了超出 GDPR 的额外保护。冰岛的国家执行标准包含了冰岛宪法的特定条款,包括基于宪法第 71 条的明确隐私保护。
- 不对邮件提供商强制要求数据保留。与执行数据保留指令的欧盟成员国不同,冰岛对邮件服务商没有强制性的数据保留要求。
- 互联网自由度全球排名第 1。冰岛在自由之家的《网络自由》报告中得分为 94/100——这是所有受评估国家中的最高分。
- 宪法将隐私保护作为基本权利。冰岛宪法第 71 条保障隐私权,包括通信和通讯的隐私。
- 没有大规模监控计划的历史。冰岛没有记录在案的大规模监控基础设施,没有批量数据采集计划,也没有类似 NSA、GCHQ 或 BND 的机构。
如需深入了解冰岛的隐私基础设施、可再生能源和数据中心优势,请参阅我们的 专属冰岛页面.