【热点刑评】陈沛文、徐晔:打击非法VPN到底在打击什么?
💻
为深入贯彻落实全国公安机关网上秩序,打击整治“净网2020”专项行动工作部署,北京市公安局自5月起至12月底,在全市集中开展“净网2020”专项行动,进一步营造安全、清朗、有序的网络环境。
此次专项行动将重点围绕持续深化网上违法犯罪打击、强化网上违法有害信息治理、督促网络运营单位落实网络安全义务三个方面开展打击整治,在打击违法犯罪方面重点强调了要对VPN(虚拟专用网络)进行大力整治。VPN的主要功能是在公用网络上建立专用虚拟网络,进行加密通讯。如果个人或企业对自己的数据传输有加密的需求,就可以使用VPN解决该问题。因此VPN在计算机领域有广泛应用。正是因为VPN能被运用在各种领域,当VPN技术被应用于某些被禁止的领域时,将可能会产生相应的违法责任。
目前,VPN最典型的使用方式是通过它进行“翻墙”。众所周知中国互联网与国外互联网之间有一座“墙”,而在“墙”内想要访问Twitter、Youtube等外国网站是会被“墙”所屏蔽的,而想要实现对这些外国网站的访问,就需要借助VPN软件进行翻墙。而这种“翻墙”行为在一定程度上与我国互联网管控行为是相悖的,对于提供相关技术支持的企业而言,就可能会存在由此引发的违规经营风险。结合这样的背景,不难理解为什么此次“净网2020“行动中,将非法VPN的整治放在一个如此重要的地位。
但在这种背景下,对于相关VPN技术的使用者,及提供VPN技术的企业或个人,其行为究竟是否违法,违反何种法律法规,是否会因此而受到刑事责任的追究,仍然是一个值得我们深入探讨的问题。只有准确理解了非法VPN所打击的核心点及其打击的法律依据,才能够更好地指引相关企业依法依规的经营,同时避免在专项打击过程中,因为法律认识的分歧,产生打击过当,妨碍技术正常使用的情形。
ONE
打击非法VPN的法律依据及打击思路分析
虽然,此次“净网2020”行动,提出了打击非法VPN的要求,但对于其打击的依据及可能的法律后果却语焉不详。因此,我们需要全面的梳理关于VPN管制的相关法律规范,明确非法VPN非法性的判断标准,才能准确理解此次打击的核心思路及打击重点。
国务院在1996年2月1日发布的《中华人民共和国计算机信息网络国际联网管理暂行规定》(以下简称《暂行规定》)第八条对国际联网业务提出了许可、审批的要求。而1997年5月20日国务院对《暂行规定》第八条进行了修改后,明确进行国际联网经营活动,必须取得国际联网经营许可证。2000年9月25日颁布的《中华人民共和国电信条例》中(以下简称“电信条例”),亦延续了该种许可、审批管理模式。《电信条例》第七、八、九条规定,电信业务经营按照电信业务分类,实行许可制度。经营基础电信业务,须取得《基础电信业务经营许可证》。经营增值电信业务,业务覆盖范围在两个以上省、自治区、直辖市的,须取得《跨地区增值电信业务经营许可证》;业务覆盖范围在一个省、自治区、直辖市行政区域内的,须取得《增值电信业务经营许可证》。电信业务分类的具体划分以《电信业务分类目录》为准。之后《条例》进行了两次修改,此三条并未改动。
随着信息技术的不断发展,为了适应新技术、新类型电信业务,2015年工信部发布了《电信业务分类目录(2015年版)》(以下简称《目录2015》),该目录于2016年3月1日开始实施。原来作为《电信条例》附录的《电信业务分类目录》于同年6月被工信部宣布废止。形成了以专项业务许可名录作为《电信条例》规范补充的立法模式。因此,以经营为目的提供VPN服务,属于该分类目录中的何种业务类型,是我们需要明确的基础性问题。
在《目录(2015年版)》将国内互联网虚拟专用网业务(IP-VPN)业务,作为一种需要行政许可的增值电信业务进行规范。结合《目录(2015年版)》释义,所谓国内互联网虚拟专用网业务(IP-VPN)业务是指:“经营者利用自有或租用的互联网网络资源,采用TCP/IP协议,为国内用户定制互联网闭合用户群网络的服务。互联网虚拟专用网主要采用IP隧道等基于TCP/IP的技术组建,并提供一定的安全性和保密性,专网内可实现加密的透明分组传送。”可以明确的是,该种业务分类仅针对为国内用户定制互联网闭合用户群网络的服务。所谓的闭合用户群是指,由若干个用户组成的封闭通信群体。该种IP-VPN由于其限制为国内用户,所产生的数据也仅在国内进行传播,并不会通过国家进出口信道,与国外服务器产生数据的交换。因此,对于国内(IP-VPN)业务的提供,需要以行政许可为前提,否则将属于非法经营行为。
而对于国际VPN业务,在《目录(2015)》中实际上作为基础电信业务在国际数据通信业务中并未像国内(IP-VPN)业务一样明确加以规定,但结合《目录(2015年版)》释义,国际VPN业务应当包含在国际数据通信业务中。所谓国际数据通信业务是指:“国家之间或国家与地区之间,通过IP承载网、帧中继和ATM等网络向用户提供虚拟专线、永久虚电路(PVC)连接,以及利用国际线路或国际专线提供的数据或图像传送业务。利用国际专线提供的国际会议电视业务和国际闭合用户群的数据业务属于国际数据通信业务。”而用于“翻墙”活动的VPN的业务实际上可以理解为国际闭合用户群的数据业务。
首先,从技术角度来看。VPN工作原理是在通过加密手段在公共网络上建立一条虚拟的专用信息传输通道。这条线路是点对点的,只有在线路内部的用户才可以通过该虚拟通道进行高速、私密的数据交流,即在若干个用户之间组成了闭通信群体。而这样的国际虚拟信息传输通道的业务,与国际闭合用户群的数据业务的内涵是一致的。
其次,从法律角度来看。对比A14-4国际数据通信业务、A24-1固定网国内数据传送业务、B13国内互联网虚拟专用网业务三种业务的描述。可以得出这样的结论,数据传送业务包括一般的数据传输和通过专用虚拟网的数据传输。国际数据通信业务将该两种类型的数据传送业务分别进行了规定,将国内一般数据传输业务规定为基础电信业务,而将国内专用虚拟网的数据传输规定为增值电信业务。而对于国际数据传输,不论是一般还是专用虚拟网数据传统,均规定为管理更加严格的基础电信业务。
综上所述,国际IP-VPN业务属于第一类基础电信业务,根据《电信条例》,基础电信业务至少需要取得《基础电信业务经营许可证》才可以经营。所以,无证进行经营性国内、国际IP-VPN业务是违反《电信条例》的非法经营行为,这也是此次打击非法VPN业务的核心法律依据。
TWO
非法经营VPN业务是否涉嫌非法经营罪
如前所述,未取得《增值电信业务经营许可证》经营国内IP-VPN业务或者未取得《基础电信业务经营许可证》经营国际IP-VPN业务的行为,违反了《电信条例》的相关规定,属于非法经营行为。但是相关行为是否构成非法经营罪,依然需要分析刑法是否将该种行为规定为犯罪。如果刑法并未将经营IP-VPN业务的行为规定为犯罪,根据罪刑法定的原则,该业务就不构成非法经营罪。
刑法中规定了四种非法经营行为,前三种情况都与电信业务无关。第四种为非法经营罪的兜底条款,但不是所有的非法经营行为都可以通过认定为是非法经营罪的兜底条款从而认定为非法经营罪,需要看相应的司法解释是否将该行为规定为非法经营罪。如果将所有非法经营行为揽括入非法经营罪的兜底条款,则会导致该罪不当扩张,这是与罪刑法定原则相悖的。
最高人民法院在《关于准确理解和适用刑法中“国家规定”的有关问题的通知》第三项明确指出:“各级人民法院审理非法经营犯罪案件,要依法严格把握刑法第二百二十五条第(四)的适用范围。对被告人的行为是否属于刑法第二百二十五条第(四)规定的“其它严重扰乱市场秩序的非法经营行为”,有关司法解释未作明确规定的,应当作为法律适用问题,逐级向最高人民法院请示。”因此,未经许可经营IP-VPN业务的行为是否构成非法经营罪,要以最高人民法院的司法解释作为认定前提。
而关于经营何种电信业务属于非法经营罪,最高人民法院于2000年发布的《关于审理扰乱电信市场管理秩序案件具体应用法律若干问题的解释》中(以下简称《电信解释》)进行了规定。《电信解释》第一条规定:“违反国家规定,采取租用国际专线、私设转接设备或者其他方法,擅自经营国际电信业务或者涉港澳台电信业务进行营利活动,扰乱电信市场管理秩序,情节严重的,依照刑法第二百二十五条第(四)项的规定,以非法经营罪定罪处罚。《电信解释》中将租用国际专线、私设转接设备、其他方式擅自经营国际电信业务的行为规定为非法经营罪。而提供非法经营IP-VPN业务的行为是否属于此三种情况需要进行一定的分析。
首先,针对租用国际专线、私设转接设备的非法经营行为,其核心都是通过建立物理设施从而实现国内外数据互通,这与通过VPN建立虚拟通道实现国内外数据互通有着本质的区别。再次,对于其他方法应当如何理解这一问题,最高人民法院、最高人民检察院、公安部2003发布的《办理非法经营国际电信业务犯罪案件联席会议纪要》(以下简称“非法经营电信业务纪要”)的通知中亦予以了明确。《非法经营电信业务纪要》的第二条第二款规定:“《解释》第一条所称“其他方法”,是指在边境地区私自架设跨境通信线路;利用互联网跨境传送IP话音并设立转接设备,将国际话务转接至我境内公用电话网或转接至其他国家或地区;在境内以租用、托管、代维等方式设立转接平台;私自设置国际通信出入口等方法。《非法经营电信业务纪要》提到的四种情况架设跨境通信线路、设立转接设备传送IP语音、设立转接平台、私自设置国际通信出入口,亦都是通过建立物理设备的方式从而实现国内外数据互通。因此,结合《电信解释》和《非法经营电信业务纪要》可以得出,目前非法经营罪所打击的是非法设立物理通信设施经营国际电信业务的行为。而VPN所创设的虚拟通道是建立在现有物理通信设施之上,它并未建立新的物理通信设施。因此在相关司法解释未将非法经营IP-VPN业务的行为予以明确时,不能简单将其作为犯罪处理。即便要追究相关行为人非法经营罪的责任,亦应当作为法律适用问题,逐级向最高人民法院请示。
THREE
非法VPN是否涉嫌提供侵入、非法控制计算机信息系统程序、工具罪
在实践当中服务商提供VPN技术及程序的行为有可能或被识别为非法经营罪,也有可能会被作为提供侵入、非法控制计算机信息系统程序、工具罪进行打击。实践中亦有将提供VPN技术用于“翻墙“的行为当作提供侵入、非法控制计算机信息系统程序、工具罪进行打击的司法案例。但综合分析VPN技术的核心技术功能,我们认为采用VPN技术的翻墙软件不存在突破或避开了计算机信息系统安全保护措施的功能,因此其不具有侵入性和破坏性,不构成提供侵入、非法控制计算机信息系统程序、工具罪。
我们“翻墙“中所称的“墙”,实际上是指中国国家防火墙(英文名称为,Great Firewall of China,以下简称“GFW”),但目前没有任何一个官方文件承认GFW的存在。如果GFW确属国家性质的计算机信息系统网络安全防护措施,那么就应该通过相关的规范性法律文件将其公开,并赋予其可以限制公民的通讯自由等权利,否者GFW就没有权利限制中国公民正常访问国外网站。因此,根据“法无禁止皆可为”的原则,使用VPN翻墙当然不构成犯罪,因此提供VPN服务的服务商当然也不构成犯罪。
而GFW阻止中国公民访问外国网站实际上是通过网络攻击的方式实现,GFW并不具有保护计算机信息系统安全的功能。目前,中国的网络通过位于北京、上海、广东的国际出口已经和全球进行了互联,所以从物理层来讲,我们可以访问国外的任何网站。事实上,我们确实可以访问大部分的国外网站,但唯独不能访问推特、谷歌等特定的外国网站。这是因为GFW从中“作梗”,从网络层、传输层、应用层阻碍了对用户对这些国外网站的访问。
GFW具体是如何工作的目前无人知晓,但是其基本的工作原理还是较为清晰的。第一,GFW会抓取并复制所有经由国际出入口出境的原始数据包,第二,由于数据包是经过协议加密的,因此GFW在获取原始数据包后会按照相应的协议规则对其进行解包,第三,解包后数据包里的数据就呈现在GFW面前,之后GFW会将解包后的数据进行关键词匹配,如果存在例如“Twitter”的文本,就会通过一些手段切断本次访问。
目前已知的GFW会采取以下手段来阻止访问:①DNS挟持,域名解析指向错误IP地址;②封锁IP,通过“路由黑洞”,丢弃指定IP包;③TCP RST阻断,比如A和Twitter之间建立了TCP连接,此时GFW伪造了一个TCP包发给Twitter,使Twitter异常的断开了与A之间的TCP连接至从而阻断④封锁端口。这四种阻断方法本质上就是我们通常所说的网络攻击。
而VPN技术运用于“翻墙”的基础原理,实际上是通过数据加密方式逃避GFW的检测从而防御GFW的攻击,达到翻墙的效果。“翻墙”VPN所作的工作就是将数据用其他协议进行包装,使得数据包只会在发出请求IP地址的计算机中进行解包,GFW不能解密数据包,因此只能让其通过国际网关进入国内。在这个过程中,VPN的作用就是对数据包进行加密,从而逃离GFW的攻击。因此,VPN技术作为一种防御性的信息传输方式实现“翻墙”的目的,而其技术本身不具有侵入性、破坏性。
综上,VPN从设计技术原理与实现功能上并非作为专门用于非法侵入、或者未经许可非法控制他人计算机系统的程序,而是将通用且常用的技术、协议转化为可执行程序进而访问境外网站的工具。提供该技术工具的行为,不应当作为提供侵入、非法控制计算机信息系统程序、工具罪进行打击。
结语
经过前文的分析,我们可以得出以下结论:在未取得基础电信业务许可证经营国际IP-VPN业务违反了《电信条例》的相关规定,需要承担相应的行政违法责任。但在目前的刑法体系之下,非法经营国际IP-VPN业务不构成非法经营罪亦不构成提供侵入、非法控制计算机信息系统程序、工具罪。
虽然,当前VPN行业确实存在鱼龙混杂的情况,急需得到治理。但在刑法未将其规定为犯罪的情形下,盲目的将其作为犯罪打击是不可取的。如确需以刑法的手段整治该种非法经营的行为,最高人民法院应当尽快以司法解释的形势加以明确,否则在实践中不免会产生过渡打击或非法打击的情形。即便目前对于将非法经营VPN业务进行刑事打击的法律依据尚不充足,但这并不意味着相关经营者可以高枕无忧,随着“净网2020”行动的深入推动,相关的司法解释和法律规范亦会不断的完善,若不能及时调整经营结构,在相关行为被司法解释明确予以打击时,或恐尾大不掉,陷入刑事风险之中。
作者简介
陈沛文
靖霖刑事律师机构
网络犯罪研究与辩护部主任
华东政法大学刑事诉讼法学硕士,2016年国际刑事法院模拟法庭大赛中文赛(荷兰•海牙国际赛)亚军、最佳辩手。律师执业以来成功办理了多件无罪、罪轻的刑事辩护案件。专业扎实、理论功底深厚,曾在各级期刊、论坛中发表多篇学术论文,曾获各级律师论坛一、二等奖。专业研究网络犯罪、金融犯罪案件,以及企业的专项刑事法律顾问业务与企业家刑事风险防范业务。为多家企业提供专项刑事法律顾问服务。
添加作者个人微信交流联系
徐晔
靖霖杭州所 实习律师
添加作者个人微信交流联系
排版设计:马倩
(文中部分图片来自网络,若有侵权请联系删除)
靖霖刑事律师机构,由上海靖予霖律师事务所、浙江靖霖律师事务所及其分所共同设立,专门从事刑事业务(刑事辩护、刑事代理、刑事合规),总部设在上海靖予霖律师事务所。机构已在北京、上海、杭州、南京、宁波、济南、昆明、武汉、贵阳、广州、温州、绍兴、义乌、天津、福州设有办公室,长春、西安、太原办公室正在设立中,拥有律师300余人。
出版专业书籍十本,有大量刑案及项目积累,办案经验丰富,技术精湛,奉行“专业、优质、兢业”服务理念,攻刑以专,相靖予霖。
联系我们
<< 点击关注
专业 |优质 | 兢业
上海(总部):黄浦区中山东二路88号外滩SOHO,C座19层
021-32206717
杭州:滨江区江南大道4760号亚科中心B座15、16层
0571-87392937/87392255
南京:鼓楼区清江南路7号越洋国际商务中心5层
025-86707788
北京:朝阳区东三环北路甲19号嘉盛中心23层
010-82488010
宁波:鄞州区文康路128号(浙商银行大厦)16楼
0574-87636510
义乌:西江路300号西江园B座1001室
0579-85335539
温州:鹿城区大南路温州世贸中心4101室
0577-88688612
贵阳:观山湖区长岭北路贵阳国际金融中心14号楼15
0851-84837890
济南:历下区经十路9777号鲁商国奥城4号楼15层
0531-55569506
昆明:滇池路569号南亚风情第壹城国际B座19层1903室
0871-67126852
广州:广州市天河区华就路23号润德大厦7D
020-33373788
武汉:武昌区中北路海山金谷大厦12楼
027-87363402、81360262
绍兴:越城区延安东路654号新地大厦9楼
0575-88623887
天津:红桥区北马路170号陆家嘴金融广场A座39层
福州:台江区宁化街道振武路70号福晟钱隆广场34层
0591-83802112
长春(筹):生态大街与美和路交汇环球贸易中心2号写字楼30楼
西安(筹):长安区东长安街航天城广场二号写字楼807室
常年招聘刑辩英才
联系人:覃女士
联系电话:15692107006
邮箱:cissieqin@163.com