一、可疑的电信经营许可资质
1、业务内容和模式并不吻合
2、翻墙服务不符合VPN所要求的“闭合用户群”网络特征
3、“国内互联网资质”是否涵盖跨境性质的访问服务?
二、合规性风险
1、违反境外社交平台服务协议
2、没有关于刑法第285条第三款的出罪理由
三、被架空的隐私政策——附一例“灵狐浏览器”用户行政处罚案
文末附:关于上一篇文章的简要概括
最新记录:2020年10月10日早晨,“tuber浏览器”关键词在百度搜索引擎、知乎、微信公众号搜索引擎、华为应用市场均正常显示,app本身连接正常;但到了下午,app显示正在维护;前述一切平台均屏蔽了“tuber”这一关键词。然而,灵狐等竞品却依旧健在,从中或见些许端倪。以下为正文。
该文以一种中立视角,讨论了目前流行的、一类具有突破GFW“安全保护措施”的“合法”翻墙浏览器的功能实现原理、使用体验、敏感信息屏蔽效果等问题。在文末,笔者花费少许笔墨,非常克制地评价了这种产品的积极意义。然而前文对于这些浏览器背后的运营方资质问题(主要是电信业务经营许可资质的定性)没有进行分析;尚未涉关于上述产品使用过程中的用户隐私问题;也忽视了“本地化屏蔽”模块必然篡改境外社交平台网页内容、搜索结果等,此类行为很可能涉嫌违反第三方平台服务协议。因此,借着近日“Tuber浏览器”的“火爆”,本文对上述几项遗留问题作简要讨论——进而从反面对这类产品作一定批判性分析。一、可疑的电信经营许可资质——国内互联网虚拟专用网?根据天眼查显示的信息,此类翻墙浏览器运营方申请到的系工信部《电信业务分类目录(2015年版)》中的B-13 国内互联网虚拟专用网业务资质。
国内互联网虚拟专用网业务与“翻墙服务”存在三个层面的显著区别。
其导致的直接问题是:将拥有VPN资质等同于“合法经营翻墙服务”——此种解释是比较牵强的。
目录中,该业务的官方定义为:国内互联网虚拟专用网业务(IP-VPN)是指经营者利用自有或租用的互联网网络资源,采用TCP/IP协议,为国内用户定制互联网闭合用户群网络的服务。互联网虚拟专用网主要采用IP隧道等基于TCP/IP的技术组建,并提供一定的安全性和保密性,专网内可实现加密的透明分组传送。
中华人民共和国通信行业标准《基于网络的虚拟IP专用网(IP-VPN)框架》(YD/T 1190-2002)将虚拟专用网(Virtual Private Network)定义为:在共享网络中,通过多种技术(如隧道、加密等)实现原有专用网络的能力,并在保证网络的安全性、可靠性、可管理性的同时提供更强的扩展性和灵活性。①VLL组网-虚拟专用线:系VPN最简单的一种形式,通过运营商边缘节点向用户提供两个CPE设备间的点到点连接业务。
②VPRN组网-虚拟专用路由网:通过公网IP忘了进行多站点广域路由网络业务的一种仿真。
③VPDN组网-虚拟专用拨号网:远端用户通过PSTN/ISDN等方式拨入公网IP网,并由网络边缘设备将数据包隧穿公网以传送至目的网络。
④VPLS组网-虚拟专用LAN网段
tuber浏览器等产品的功能原理系基于境外虚拟专用服务器(Virtual Private Server)的代理服务,具体来说即使用了shadowsocks协议。比照下图所示的proxy server的业务特性,可见,基于socks协议的翻墙代理服务与前述虚拟专用网业务的任意一种模式皆无法吻合。2、翻墙服务不符合VPN所要求的“闭合用户群”网络特征另外,电信业务分类目录中,关于“虚拟专用网”的构成要件还包括:闭合用户群(CLOSED USER GROUP)。根据前述标准3.1.10条作如下定义:指很多特定的用户站点形成的一个闭合的用户群,通过基于网络的IP-VPN业务来保证其间的通讯,并防止未经授权的其他站点方总这些站点;某个CUG内部使用私有的IP地址,多个CUG之间的地址空间可以重用。本业务特性防止了未经授权的包扩散到网络内部,包欺骗、在传输中修改数据包等攻击方工,并可以对不同类型包进行处理、统计和计费。百度对“闭合用户群”的定义系:由若干个用户组成的封闭通信群体。群体内的用户之间可以相互呼叫,阻止群内用户呼出以及群外用户呼入,为某些要求通信保密的用户提供了方便。
用大白话来说,它即是VPN的早期使用场景——用于企业内网的远程访问等,在该场景下,禁止内网用户随意访问外网、禁止未授权的外部服务器与VPN网关建立连接或向其发送数据。正如上文所述,VPN代理最初解决的核心问题系内网数据在公网领域的安全交换。在传统的企业场景中,VPN是不可能用于“翻墙”服务的,其原因在于,企业内网服务器为了保证安全,应当遵循最小特权(Least Privilege)原则,限制内网的Internet服务,以减少IP地址暴露于公网进而遭受攻击的可能性。这一点,从Windows Server内IE浏览器中默认的增强安全配置(ESC)中亦可见一斑——当你使用Windows服务器系统使用浏览器,会发现访问任何网站都需要手动授权,否则将断开连接,这一功能便起到了保护服务器的作用。
显然,翻墙服务的运营特征完全违背了“闭合用户群”的要求。虽然VPN和proxy server通常皆为“用户端-服务端”架构,然而后者建立的系一项完全开放的网络,而非像VPN那样的局域网。从技术层面看,更明显的区别在于:
“VPN方式是将客户端和服务器配置在一个LAN域,所有在配置VPN服务器时要求给服务器指定LAN于内的IP,且声明可以用于分配给客户端的IP范围,每个客户端连接VPN后,会分配到一个特定的IP地址,可以通过ipconfig/ifconfig查看到。代理方式,服务器只接受客户端的请求数据包,然后转发,客户端不会分配得到特定的IP地址。”(载于《浅谈VPN和代理》via blackwolfsec.cc)然而作为“翻墙”服务的VPN代理,却使得供应商必须完全开放内网对Internet的访问权限,此种运营模式本身与传统企业私人网络的应用场景产生了分立,完全与VPN代理的初衷渐行渐远。更直白地说,此类衍生的VPN服务,天生就是为了规避GFW这样的审查系统而存在的。因此,维基百科“VPN”词条首段的定义,就毫不掩饰VPN技术衍生出了规避网络审查的功能。
这是一个老生常谈的问题,即,将翻墙工具等同于VPN,系一项非常大的误解。若这种概念的混淆始终得不到解决,那么在此基础上的一切讨论都将是儿戏。因此必须再次强调的是,“虚拟专用网业务”和翻墙服务完全是两种性质截然不同的东西。严格意义上,翻墙服务所对应的业务特征,并不能和2015版工信部出台的电信业务分类目录中的任何一项完全吻合。笔者下此结论或许有些武断,但实际上这是非常符合逻辑的结论——在一个“司法实践中通常将翻墙工具认定为侵入计算机信息系统的工具”的时代,翻墙业务本身不可能成为一项单独存在的、正式的、明文规定的业务,否则其将与刑法相关条文的适用产生严重冲突。当然,这并不意味着翻墙服务经营必然无需任何资质——最基本的icp经营许可是不可或缺的。然而,若将翻墙业务的目的、功能全盘托出,审批机关或许没有足够理由冒风险向其颁发相关资质。
因此,这类浏览器以获得“国内互联网虚拟专用网”资质为由,自证其翻墙服务不存在法律风险,以下两种可能性必居其一:但可以肯定的是,不宜将单纯拥有“国内虚拟专用网经营许可“视为一张万能的、毫无风险地通往“自由经营翻墙工具”的资格证。3、“国内互联网资质”是否涵盖跨境性质的访问服务?亦有读者认为,上述产品运营方享有的皆系境内VPN资质,并不包含跨境数据传输。笔者认为其有一定道理。《电信业务分类目录》于文件末尾标注:基于互联网的国际闭合用户群数据业务属互联网国际数据传送业务,利用国际专线的国际闭合用户群数据服务属国际数据通信业务。因此,即使退一步,认定翻墙服务依旧符合“闭合用户群”业务特性,但因其使用了国际专线,或由于其“跨境互联网访问”的业务特性,或许将其归为“国际数据传送业务”更符合“翻墙业务”的本质。
笔者一直以来受到这个问题的困扰,在此前文章曾提及:实际上,在上述目录中,可能产生争议的门类尚有①第一类基础电信业务中的“A14-4 国际数据通信业务”;②第二类基础电信业务中“A24-1 固定网国内数据传送业务”中的“虚拟IP专线数据传送业务”;③第二类基础电信业务中“A24-1 固定网国内数据传送业务”中的“虚拟专用网(不含IP-VPN)业务”。希望有专业、行业背景的前辈能对上述诸多概念作解答,十分感谢!二、合规性风险:违反境外社交平台服务协议+没有关于刑法第285条第三款“提供侵入计算机信息系统的工具”的出罪理由这是一项非常容易联想到的合规性问题。任何国家的任何互联网产品,都不会容许第三方随意篡改其服务内容——用Bilibili Evolved篡改B站的界面和内容、用AC-baidu影响搜索引擎的SEO结果、屏蔽广告,且不论行政、刑事责任问题,首先在民事上显然系一种违反用户协议的行为。
随便拿youtube举例即可:
Permissions and Restrictions(载于www.youtube.com/t/terms(访问日期 2020.10.10))
You may access and use the Service as made available to you, as long as you comply with this Agreement and applicable law. You may view or listen to Content for your personal, non-commercial use. You may also show YouTube videos through the embeddable YouTube player.The following restrictions apply to your use of the Service. You are not allowed to:
②circumvent, disable, fraudulently engage with, or otherwise interfere with any part of the Service (or attempt to do any of these things), including security-related features or features that(a) prevent or restrict the copying or other use of Content or (b) limit the use of the Service or Content;
只要您遵守本协议和适用法律,便可以访问和使用向您提供的服务。您可以查看或收听内容,以用于个人非商业用途。您也可以通过嵌入式YouTube播放器显示YouTube视频。②规避,禁用,欺诈性地使用或以其他方式干扰服务的任何部分(或尝试做任何这些事情),包括与安全相关的功能或(a)阻止或限制对内容或内容的复制或其他使用的功能
尽管翻墙浏览器对第三方平台搜索结果的屏蔽,系为了境内服务的合规性要求,但这并不代表境内服务商可以由于一国政策之原因篡改境外服务平台的服务内容,尤其在“这类平台并不实际运营于境内”的情形下,这些企业无须符合国内关于互联网业务的法律法规和政策要求。
因此,翻墙浏览器的境内合规性是建立在对第三方平台服务协议的违反基础之上的。
司法实践中的关于刑法285Ⅲ的法教义学论证方式无一例外以下述形式展开:
★【大前提:刑法285Ⅲ/法释〔2011〕19号】
专门用于侵入计算机信息系统的程序、工具的内涵系:具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据的功能的;或其他专门设计用于侵入、非法控制计算机信息系统、非法获取计算机信息系统数据的程序、工具(兜底条款)。
★【小前提:翻墙软件的原理】
在前端计算机和境外VPN代理服务器之间建立虚拟专用通道,将前端计算机访问某个受限网站的请求通过通道发送给境外 VPN 代理服务器,由 VPN 代理服务器接收目标网站的响应后,将获取到的信息原样转发给前端计算机。这样,前端计算机就绕开监管,建立了一个 VPN 通道访问境外的受限网站。
(注:此种解释方式表面上是在描述VPN,实质上却是对proxy工作原理的精确描述)
★【结论】
这种绕过计算机信息系统或者相关设备防护措施的行为,符合提供用于侵入、非法控制计算机信息系统的程序、工具罪的客观特征。
虽然tuber浏览器自行屏蔽了敏感网站,似乎具备了合规性。然而,实施基于socks协议的proxy境外网站访问代理,本身落入了刑法285Ⅲ的框架中。简言之,这种翻墙浏览器归根结底是骗过了GFW,使得GFW本身屏蔽境外网站的目的完全无法实现。根据既往的、多年的司法实践惯例,使用混淆流量方式欺骗GFW系统,系一种侵入计算机信息系统的功能。提供这样的翻墙浏览器产品,必须被认定为:提供侵入计算机信息系统的工具,否则将与此前的类案出现不同判的问题,导致刑法法律适用的不稳定。这是一个很尴尬的问题。在诸多网民们对此类翻墙浏览器的出现大为惊喜之余,必须考虑,这种产品以合法的面目出现,本身是“对此前相关产品予以刑法打击”的一次打脸。在此前文章中,笔者提及:虽然“翻墙软件”并没有实际侵入GFW系统,但由于GFW系统的设计目的落空(无法防止人们访问境外网站),因此该行为也将受到该罪名的规制;而一旦翻墙软件自行加设了审查制度,则相当于以另一个独立于GFW系统的程序实现了GFW原本的目的(甚至反而帮助其过滤更加细化),因此便没有触犯该罪的风险了。——这种解释导出的结论是:刑法285保护的不是计算机信息系统安全,而是计算机信息系统的设计目的,它将这一罪名原本的规制范围扩大到了十分夸张的程度。这种“口袋“倾向不仅仅影响的是这一领域的问题,还包括一系列关于破坏计算机信息系统等罪名的使用,涵盖的领域包括但不限于此前红极一时的pandownload事件、qq晨风机器人事件等。三、被架空的隐私政策——附一例“灵狐浏览器”用户行政处罚案
事实上,仅仅看了这类产品的用户协议(包括用户守则),笔者便认定,其隐私政策已经没有阅读的必要了。
原因很简单。“主动浏览传播违反《七》和《九》的内容”涵盖的范围是在太大,其界限亦十分不明确。同样基于前述规定的知乎用户守则,知乎用户或许更加感同身受一些。笔者仅需分享今天早晨的体验:在三个关于“tuber浏览器”的问题下原封不动复制了之前那篇关于翻墙浏览器的分析,结果到了下午,我收到了三个系统封禁提示,一路从“删除回答“、到”禁言1天“,再到“禁言7天”。回顾一下那篇文章,其中究竟有什么违法的内容呢?我寻找了半天,依旧找不到但凡一个敏感性词汇。任何一种不受限制的、由平台方以“一种不明确的规定”主导的隐私使用的“排除授权条款”,皆相当于否定了整个“隐私政策”本身存在的意义;更何况,这种事情发生在“浏览器”这种“充斥高度敏感个人信息的使用场景”,本就是一件令人窒息的操作。与其使用这种软件,为何不使用隐私政策更加有利于用户的Chrome呢?
从翻墙实现原理上,上述浏览器无外乎基于shadowsocks的socks5代理协议。其使用位于阿里云香港等境外VPS作为跳板(即任意境外proxy服务端),中转用户发送的境外网站访问请求,经远端服务器转发、接收数据并最终传回至境内用户端;总体上,虽然用户最终访问了境外网站,但从表现形式上看,仅仅是和远端VPS建立了通讯,由于这一连接指向的域名不在GFW系统的屏蔽范围内,因此可以畅通无阻地经过国际出入口。因此,上述浏览器突破GFW审查系统的方式与市面上大部分VPN、基于Proxy的翻墙软件没有任何区别。
②【关于竞品体验】
从软件设计和体验上,三款windows平台的浏览器(灵狐、雷兔、绿光)近乎一个模子刻出来的,其体现在以下几个方面:
①浏览器内核均为chromium,甚至版本号都一模一样;
②安装过程的动画一模一样,浏览器整体GUI的设计除了皮肤文件不同以外,其余没有任何区别;
③可执行文件所在路径的结构和内容近乎一模一样;
④均要求手机实名验证,否则无法启动代理;首次使用会提示相关规范,以非常严厉的口吻警告用户禁止访问非法网站;
⑤均在广告中以“符合《网络安全法》”、“屏蔽了有危害内容”为卖点。
③【关于屏蔽敏感信息的效果】
因此,上述浏览器最特别之处便在于对“非法内容的屏蔽”。其将原本GFW审查系统实现的功能作了本地化移植,敏感网站一律不允许访问,且功能非常强大,包括但不限于:
①在可以访问google等搜索引擎的情况下,做到:主动干预和屏蔽谷歌的搜索结果,甚至比百度自己的屏蔽机制还要强悍。
②在访问youtube、Wikipedia时,自动过滤敏感搜索结果,排除了一切可能涉及危害的内容;(原理亦可能同上)
③对于链接直接访问的干预和屏蔽可以精确、具体化到任意一个维基百科的词条、某个YouTube视频等。合理怀疑浏览器本身内置了针对页面的明文检测模块或后门,可以完全无视TLS加密对检测的干扰。
①前述浏览器产品并非正常的市场竞争关系,本质上只是换了个外壳。从知识产权角度看,这些产品系近乎相同的计算机软件,使用了近乎一模一样的技术。从中直接反映:其背后有同一主体的协调、或存在合作关系;②因“翻墙浏览器”的存在,刑法285第三款“提供侵入计算机信息系统的工具罪”的适用显现出十分严重的问题。此种软件与以往被认定为“专门用于侵入计算机信息系统的工具”的软件原理一模一样。
虽然软件实质上存在比GFW审查系统更苛刻的综合性过滤手段;但事实上,抛开这些附加模块不谈,其proxy的功能是彻彻底底的“规避GFW系统审查”的功能,符合以往所有被施以刑事处罚(刑法第285条第三款)案例中认定的情节。
然而,在相同的法教义学论证框架之下,普通的翻墙软件和自带过滤功能的翻墙浏览器却有着近乎截然不同的结局。
它完全印证了笔者此前文章的观点——以“提供侵入计算机信息系统的工具罪”处罚“翻墙软件”事实上是一种为了防止GFW屏蔽目的落空的、一项口袋罪的变体。