四个 Nordic 司法管辖区,用于托管。
逐条法规,以简明语言呈现。
瑞典、芬兰、挪威、冰岛——四种宪法性新闻自由制度,各有不同的法律形态。具体法律、具体判例法、EU / EEA 成员身份立场,以及每种制度对境内服务器的实际意义。
| Sweden | Finland | Norway | Iceland | |
|---|---|---|---|---|
| 堡垒 | STO.001 | HEL.001 | OSL.001 | RKV.001 |
| 欧盟成员 | 是(1995 年) | 是(1995 年) | 否 · EEA | 否 · EEA |
| 宪法新闻自由法 | Tryckfrihetsförordningen (1766) | Sananvapauslaki + §12 | §100 Grunnloven (1814) | §73 + IMMI (2010) |
| 信源披露 | 刑事罪行 | 法定罪行 | 强力保护 | 法定保护 |
| GDPR | 直接(欧盟) | 直接(欧盟) | EEA 框架内 | EEA 框架内 |
| 监管机构 | IMY | DPO | Datatilsynet | Persónuvernd |
| 大规模数据留存 | 无一般性强制要求 | 无一般性强制要求 | 无一般性强制要求 | 无一般性强制要求 |
瑞典——世界上历史最悠久的成文新闻自由制度。
瑞典的 Tryckfrihetsförordningen(新闻自由法)颁布于 1766 年,早于美国建国。它是四部宪法性法律之一,效力高于普通法律。结合 1991 年颁布的 Yttrandefrihetsgrundlagen(言论自由基本法),瑞典为出版商、记者及其信源提供书面的、司法强制的对抗国家干预的保护屏障。
对于通信基础设施运营商而言,相关事实是:根据瑞典法律,披露匿名信源本身就是刑事罪行——即使是警察在询问该信源时也不例外。国家要求运营数据所必须满足的门槛由宪法而非调查人员的自由裁量权设定。两项约束在加密货币付款、无身份托管模式下同样成立。
瑞典在欧盟内直接适用 GDPR。瑞典数据保护局(IMY)是欧洲最强硬的机构之一——第 5 条最小化原则得到切实执行。瑞典还拥有欧洲最著名的托管争议内容先例——Bahnhof 自 2010 年起在 Pionen 地堡托管 WikiLeaks,未曾遭受成功的国家干预。
最适合的场景: 希望获得最悠久宪法传统、四国中最严格 GDPR 监管机构,以及托管争议性内容成熟法律记录的客户。
芬兰——悄然是最始终如一的新闻自由国家。
芬兰将言论自由保护直接写入宪法。第 12 条赋予每个人言论自由权、不受事先干预的发表权,并保证公开行使言论的条件写入普通法律而非留给行政机关裁量。Sananvapauslaki——《大众媒体言论自由行使法》——以芬兰立法著称的精确程度实施了这一宪法权利。
对于基础设施运营商而言,重要的两个运营事实是:(1)Sananvapauslaki 认可一名运营负责人,其法定职责包括信源保护,强制披露信源身份是法定罪行;(2)宪法制度约束了国家从通信基础设施强制获取数据的能力,使常规行政要求比许多同类司法管辖区更难实施。
芬兰在欧盟内并直接适用 GDPR。数据保护监察专员办公室保守、规范,并准备发布具有约束力的决定。芬兰过去十年在世界新闻自由指数中持续名列前茅——隐私基础设施的文化和法律环境异常稳定。
最适合的场景: 最重视法律可预期性和政治平稳环境的客户。芬兰是权衡最清晰、监管机构最明确的司法管辖区。
挪威——EEA,非欧盟。一个有实质意义的区别。
挪威是欧洲经济区成员,但不是欧盟成员。这一实际后果有实质意义且往往被低估。欧盟法院对挪威运营商没有直接管辖权;未纳入 EEA 协议的仅限欧盟的二级法律文件对挪威不具约束力;挪威保留对数据保护执法的独立国家权力。
这不是法律漏洞——挪威通过 EEA 协议使 GDPR 生效,Datatilsynet 是活跃的监管机构。它提供的是一个与欧盟隐私规范高度一致、但独立于其余欧盟成员国可能通过的纯欧盟立法的第二主权法律论坛。
在 EEA 框架 GDPR 之上是挪威宪法第 100 条,最初起草于 1814 年,2004 年进行了实质性修订。它保障言论自由和通信基础设施免受任意国家行动——写于普通成文法之上,与瑞典和芬兰的等效条款处于相同的法律架构位置。
最适合的场景: 希望在 EEA 框架 GDPR 覆盖范围内,但置身欧盟政治机构和欧洲法院直接管辖之外的客户。"第二主权论坛" 的理由。
Iceland——欧洲最明确的隐私原则。
2010 年,Althingi——Iceland 议会——通过决议,指示该国向任何单一司法管辖区中最强综合言论自由、信源保护和主机豁免制度迈进。该决议即冰岛现代媒体倡议,IMMI。其若干支柱现已写入普通法律;其余原则塑造了 Iceland 法院和监管机构解读通信案件的方式。
在 IMMI 之上是 Iceland 宪法第 73 条,保障言论自由并禁止预先审查。Iceland 是 EEA 成员但不在欧盟内——GDPR 通过 EEA 协议适用,由 Persónuvernd 执行,但欧洲法院对 Iceland 运营商没有直接管辖权。
Iceland 没有大规模数据留存的法定强制要求。国家安全立法相对范围较窄。该国体量小、法治强,跨政治光谱的保护通信基础设施政治共识异常持久。著名历史先例(1984 Hosting 对 WikiLeaks 相关内容的抗辩、OrangeWebsite 15 年运营记录)是本地判例法,四国中无其他司法管辖区拥有。
最适合的场景: 希望获得欧洲最明确官方背书、不受欧盟政治左右的 EEA 框架 GDPR,以及在 IMMI 岛上运营基础设施象征价值的客户。
何时选择哪种。四种威胁模型,四个答案。
选择 Stockholm。
Tryckfrihetsförordningen(1766 年)加上 Bahnhof / WikiLeaks 运营先例。在成熟度上遥遥领先。
选择 Helsinki。
芬兰始终是四国中政治上最无聊的。Sananvapauslaki 在信源保护法定义务方面的措辞最为精确。
选择 Oslo。
挪威仅在 EEA 内,因此未经纳入的欧盟二级法律不适用,欧洲法院无直接管辖权。Datatilsynet 是独立的。
选择 Reykjavík。
IMMI 是议会决议,明确指示该国在任何单一司法管辖区建立最强的综合隐私制度。其他地方没有等效声明。
问题,已解答。
审慎读者在选择 Nordic 堡垒前提出的八个法规层面问题。
瑞典、芬兰、挪威和 Iceland 都在欧盟吗?
瑞典和芬兰是,挪威和冰岛否。瑞典于 1995 年加入欧盟,芬兰亦于 1995 年加入。挪威和冰岛多次拒绝加入欧盟,但于 1994 年加入欧洲经济区——它们通过 EEA 协议纳入大部分欧盟单一市场法律(包括 GDPR),但仍处于欧盟政治机构和欧洲联盟法院直接管辖之外。对托管的实际影响:仅限欧盟的二级法规对挪威或冰岛没有约束力,欧洲联盟法院对其境内运营商亦无直接权力。
四个地区中哪个新闻自由保护最强?
难以客观排名。瑞典拥有最长的持续宪法保护(Tryckfrihetsförordningen 自 1766 年起)。Iceland 拥有最明确的现代原则(2010 年 IMMI 议会决议)。芬兰拥有最精确的法定信源保护(Sananvapauslaki)。挪威拥有最古老的宪法条款(1814 年宪法第 100 条)。对于不同的客户画像,不同的各有优势——见下方对比表。
GDPR 是否适用于每台服务器?
是的。瑞典和芬兰是欧盟成员国,直接适用 GDPR。挪威和冰岛通过 EEA 协议纳入 GDPR,并由各自的国家监管机构(Datatilsynet、Persónuvernd)执行。对 NordBastion 的运营影响:第 5 条数据最小化在每个堡垒节点均为法律义务,在原则层面的承诺之上更进一步。
X 国执法部门可以强制获取 Y 国服务器上的数据吗?
通过正式的司法协助——原则上是的。实际上,该流程极为缓慢(司法协助请求需数周至数月),要求外国当局证明双重犯罪(该行为在两个国家均须违法),并须经过受理国法院依受理国宪法法律审查。来自 X 国针对瑞典服务器数据的请求,须在任何数据移交之前依瑞典新闻自由法律审查。这与国内请求有本质区别。
有没有单一"最佳"Nordic 国家用于托管?
没有,任何告诉你有的托管商都是过度销售。四个司法管辖区权衡不同事项。瑞典和芬兰在欧盟内且在欧洲法院管辖范围内,但拥有最强的书面新闻自由法规和信源保护法律。挪威和 Iceland 处于欧盟政治之外但在 EEA 内且在欧洲法院直接管辖之外。正确的选择取决于哪种权衡与你的威胁模型相匹配——跨所有四个运营的独特价值在于你无需承诺一个单一答案。
NordBastion 运营公司本身注册在哪里?
在爱沙尼亚。NordBastion OÜ 是一家爱沙尼亚私人有限公司。爱沙尼亚不是四个运营司法管辖区之一,但选择其公司法是因为爱沙尼亚电子居留和底层公司框架非常适合注重隐私的运营商(全数字化、无需亲自到场、公司注册透明)。无论运营公司注册在哪里,服务器实际位于瑞典、芬兰、挪威和 Iceland 境内。
IMMI 是什么?
冰岛现代媒体倡议(IMMI)——2010 年由冰岛议会(Althingi)全票通过的决议,指示冰岛在任何单一管辖区内颁布最强的言论自由、信源保护与主机豁免综合制度。此后,IMMI 的数项支柱已被写入冰岛普通法律;其余原则则影响着冰岛法院和监管机构对通信案件的解释方式。对于隐私托管用户而言,IMMI 是欧洲任何地方对这一运营立场最明确的官方背书。
四个 Nordic 国家的法律中是否均有金丝雀声明的等效机制?
不——金丝雀声明是托管公司的运营实践,而非法定制度。使金丝雀声明有意义的法律框架是这样一条规则:要求交出数据的法院命令同时可能禁止运营商公开确认该命令的存在。在所有四个 Nordic 国家,这种禁言条款结构均存在,这意味着已公布节奏下金丝雀声明更新缺失本身就是具有法律意义的信号。NordBastion 的金丝雀声明每月一日重申,并以已公布的 PGP 密钥签名;参见 /warrant-canary/。
Anonymous VPS hosting in 2026 — the cluster.
This guide is one spoke of a larger series. The pillar walks the three privacy layers end to end — the sibling spokes below dive into the specifics.
Three independent layers — signup, payment, network — explained, legal context included, common mistakes flagged.
What “no KYC” actually means — and what it does not.
XMR end-to-end — wallet, transfer, confirmations, change.
Lightning invoice → paid VPS in under 30 seconds.
SSH keys, ufw, fail2ban, kernel knobs, unattended-upgrades.