查看原文
其他

通力法评 | “翻墙”违法吗?企业如何“合法”翻墙

杨迅 通力律师 2020-10-27

作者:通力律师事务所   杨迅

近日, 广东韶关市公安机关对一名“翻墙”的个人作出罚款1000元人民币的行政处罚, 依据是违反国务院1996年颁布的《中华人民共和国计算机信息网络国际联网管理暂行规定》(“联网规定”)第四和第十条: “擅自建立、使用非法定信通道进行国际联网。”


消息一出引起社会热议。部分企业, 尤其是跨国公司, 对自身存在的绕开中国网关联网的行为也颇有忧虑。令笔者感觉欣慰的是, 从本世纪初, 笔者专注信息网络安全有关法律以来, 已就“翻墙”问题向众多跨国公司出具过法律意见, 也都提示了其中的法律风险并指出了降低风险的途径。


目前, 国家对网络安全的管控显著加强了, 非法“翻墙”的法律风险也加大了, 但是总体的法律原则并没有改变: 即, 通过VPN的境外联网本身并不违法, 如果附带接入互联网的功能, 则需要采取一些技术手段和管理措施控制风险。


一、联网规定下的法律要求



概括来说, 联网规定给计算机网络的国际联网提出了以下两项要求: 


(一) 国际联网必须通过中国政府认可的出入口信道; 以及

(二) 接入互联网必须通过接入网络。


其中上述第一项规定通常能够被遵守: 一般而言, 通过“三大运营商”进行的联网都会使用中国政府认可的出入口信道。跨国公司的中国实体与境外公司互联所租用的VPN, 通常而言也是架设在中国政府认可的出入口信道之上的。只有极少数企业存在通过购买境外服务, 私接信道的情况。


上述第二项规定所禁止的就是所谓“翻墙”。该规定要求通过中国政府认可的ISP及其接入网络接入互联网, 从而该ISP可以确保屏蔽政府禁止访问的非法网站, 体现在网络空间的主权。如果从境外网络接入互联网则是违反了这项规定。


二、各部门对“翻墙”违法行为的态度及其演变



总体而言, 公安机关对“翻墙”的态度最为严谨, 其执法力度也有增强的趋势。工信部门对此的态度相对宽松。


联网规定虽然早在1996年就颁布, 有据可循的执法案例却相当少。以至于在很长一段时间里,  “翻墙”操作被普遍认为是一种默认的存在。直到2012年, 国家对网络安全高度重视之后, 相关案例在逐渐增多。


从工信部角度, 从其2012年颁布的《关于进一步规范因特网数据中心(IDC)业务和因特网接入服务(ISP)业务市场准入工作的通告》以及2017年《关于清理规范互联网网络接入服务市场的通知》, 其关注的焦点在于禁止非法经营互联网接入业务和其他国际联网业务, 对于企业为自身业务和管理需要使用VPN联网的未作禁止。对于使用VPN而附带的接入互联网功能则未置可否。


从公案机关和检察机关对VPN的使用和“翻墙”的态度看, 2012年以来, 显然是加强了对非法销售和提供VPN和接入服务的执法。对该行为在起诉时的定性一般包括: (1)非法经营, 和(2)提供侵入、非法控制计算机信息系统程序、工具罪。前者是显而易见的, 而后者则暗示使用“VPN”可能是“侵入、非法控制计算机信息系统”(大部分案件以“缓刑”或“情结轻微, 不构成犯罪”结案)。所幸, 迄今为止, 没有人由于使用VPN遭受刑事处分。


上述广东韶关市公安机关对一名“翻墙”的个人作出的行政处罚, 据悉, 是第一起针对个人使用VPN翻墙行为本身所开出的罚单。这可能意味着公安部门对“翻墙”的执法力度加强了。


三、跨国联网的实践问题



笔者了解到, 很多跨国公司由于业务需要, 采用接入地区或全球服务器的方式, 进行全球联网。其IT结构如下图所示: 



跨国公司通常出于以下目的使用上述IT结构: (1)信息和资源的内部共享; (2)访问企业私有云和云管理; (3)加快境外网站的访问速度; 以及(4)部分中国境内员工出于工作需要访问一些被屏蔽的网站。显然, 这种网络结构并不符合联网规定的要求, 即它使得中国境内的员工有条件通过中国境外的接入网络访问互联网。


事实上, 政府不可能不知道这种联网方式的存在, 但是由于企业的确出于正常经营活动的需要采取该种联网方式, 据笔者所知, 尚未有企业仅仅因为采用这种联网方式遭受处罚。


四、实践建议



纵然跨国企业的上述联网方式尚未受到处罚, 但是考虑到日益严格的执法, 不少企业也开始着手调整网络结构和管理实践, 以期较低风险。主要的方法包括: 


(一) 建立互连网接入双通道: 对境内员工(或大部分境内员工)封闭境外互连网通道, 另设通过中国接入网络的境内互联网接入通道。


(二) 内设屏蔽网关: 模仿中国政府的“黑名单”, 结合企业自身的信息安全需要(这可能是更重要的原因), 自动屏蔽一些非法和敏感网站, 或仅提供对必要网站的访问。


(三) 建立内部管理制度、制定IT使用手册以及加强培训, 要求员工按照中国法律要求使用网络, 并且根据《网络安全法》的要求留存网络日志。这样, 一旦有员工滥用VPN和境外互连网联接, 企业可以有所抗辩。



联系人:


>


杨迅

通力律师事务所


✎ 往期分享



通力法评 | “虚拟币”在中国法律下的定位
通力法评 | 《疫苗管理法》下的新制度创设
Llinks Review | New Systems under the Vaccine Administration Law
通力法评 | 人类遗传信息和健康信息出境的公共安全和知识产权限制
通力法评 | “稻香村”商标之争背后的法与理
通力法评 | 区块链新规解读: 从否定到有限开放


长按下图识别二维码关注我们


© 通力律师事务所

本微信所刊登的文章仅代表作者本人观点, 不代表通力律师事务所的法律意见或建议。我们明示不对任何依赖该等文章的任何内容而采取或不采取行动所导致的后果承担责任。如需转载或引用该等文章的任何内容, 请注明出处。

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存