9000字长文讲清VPN的法律规制(法律基础与典型案例)

转自:吴旭华律师团队

VPN的基本概况

VPN(“Virtual Private Network”,虚拟专用网)属于远程访问技术,通过对数据包的加密和数据包目标地址的转换来实现远程安全通讯。简单地说就是利用公用网络架设专用网络,进行加密通讯。VPN通道可通过VPN服务器、硬件VPN、软件VPN、集成VPN等多种方式实现。VPN在企业网络中有广泛应用,如对于出差的员工,公司的IT部门会在他们的电脑上装上VPN软件,可以连接到一台由公司内部控制的电脑服务器上,叫“VPN服务器”(VPN Server),出差员工连上VPN以后,他上网时就不再直接访问公共互联网,而是通过VPN服务器实现间接访问。在互联网发展前早期,代理服务器似乎更为人所知,也具有更广泛的应用场景。代理服务器(Proxy Server)是一种代理网络用户去取得网络信息存在,是个人网络和Internet服务商之间的中间代理机构,负责转发合法的网络信息,对转发进行控制和登记。对比两者关系,VPN只是代理服务器中的一种形式。代理服务器是为了处理内部网络访问外部网络的问题,而VPN大多是解决外部网络访问内部网络问题。

VPN的相关规范性文件

2003年4月,国家信息产业部颁发了《电信业务分类目录》,将虚拟专用网业务从基础电信业务中分离出来,成为独立的增值电信业务分类。只是此处的“虚拟专用网”概念与行业内的VPN业务有一定区别,属于后者的一部分。《电信业务分类目录》规定:国内互联网虚拟专用网业务(IP-VPN)是指经营者利用自有或租用的互联网网络资源,采用TCP/IP协议,为国内用户定制互联网闭合用户群网络的服务。互联网虚拟专用网主要采用IP隧道等基于TCP/IP的技术组建,并提供一定的安全性和保密性,专网内可实现加密的透明分组传送。2006年1月,信息产业部发布《关于两项增值电信业务及国内多方通信服务的通告》,正式开放“国内因特网虚拟专用网业务”(B13)和“在线数据处理与交易处理业务”(B21)两项增值电信业务,也宣告了上述两项增值电信业务由商用试验转为正式商用,且应当进行资质申请。2015年1月27日,工信部回应VPN被封事件,表示一些不良信息应该按照中国法律进行管理。工信部此前发布规定,在中国提供VPN服务的公司必须登记注册,否则将“不会受到中国法律的保护”。2017年1月,工信部发布《关于清理规范互联网网络结构服务市场的通知》(工信部信管函[2017]32号)指出,近年来,网络信息技术日新月异,云计算、大数据等应用蓬勃发展,我国互联网网络接入服务市场面临难得的发展机遇,但无序发展的苗头也随之显现,亟需整治规范。为进一步规范市场秩序,强化网络信息安全管理,促进互联网行业健康有序发展,工业和信息化部决定自即日起至2018年3月31日,在全国范围内对互联网网络接入服务市场开展清理规范工作。规范的对象主要是未经电信主管部门批准,无国际通信业务经营资质的企业和个人,不得租用国际专线或者VPN,违规开展跨境电信业务经营活动。上述通知,意味着一直以来用VPN来“翻墙”出境访问的监管灰色地带被彻底曝光取缔。

VPN与“翻墙”的关联

如前所述,VPN是一种远程加密通讯技术,为何与“翻墙”扯上关系呢?这需要首先简单了解我国的GFW,中文名是:防火长城(英文名称Great Firewall of China,简写为Great Firewall,缩写GFW),也称中国防火墙或中国国家防火墙,是指我国政府在其管辖互联网内部建立的多套网络审查系统的总称,包括相关行政审查系统,是中国对互联网内容进行自动审查和过滤监控、由计算机与网络设备等软硬件所构成的系统。GFW中的主要技术包括国家入口网关的IP封锁、主干路由器的关键字过滤阻断、域名劫持和HTTPS证书过滤等四种。因为GFW的存在,导致部分VPN软件商,通过私自架设服务器,利用公网网络,通过软件、硬件等设备,把国内与国外对应服务器进行互连互通,使相应的用户能够获取GFW之外的境外信息,由此形成了一系列灰黑产业链。这种跨越GFW的网络访问行为,也就是俗称的“翻墙”,即绕过相应的IP封锁、内容过滤、域名劫持、流量限制等,实现对境外网络内容的访问。因此,VPN技术除了应用于企业内部加密通讯之外,也是“翻墙”的底层技术,由此也产生了系列的黑灰产业链。

关于VPN的民事案例

01

使用VPN访问境外网站获取的证据不予采信

审理法院

安徽省芜湖经济技术开发区人民法院

审理程序

一审

案号

(2018)皖0291民初4662号

裁判时间

2019-11-30

——关于原告潘行紫旻提交光盘中的屏幕快照、视频。根据《中华人民共和国计算机信息网络国际联网管理暂行规定》第六条规定,计算机信息网络直接进行国家联网,必须使用邮电部国家公用电信网提供的国际出入口信道。任何单位和个人不得自行建立或者使用其他信道进行国际联网。而本案中原告潘行紫旻提交的屏幕快照、视频显示,其是在中国使用ExpressVPN访问了被告谷歌有限责任公司经营的Gmail邮箱,并进行了相关邮件内容的查阅,违反了前述行政法规的规定,本院依法不予采信。

评析

该判决对证据不予采信的理由是因为“在中国使用ExpressVPN访问了被告谷歌有限责任公司经营的Gmail邮箱,并进行了相关邮件内容的查阅”,违反了《中华人民共和国计算机信息网络国际联网管理暂行规定》第六条的规定。而根据该规定第三条第(三)项的规定:“国际出入口信道,是指国际联网所使用的物理信道”。所谓的物理信道,与逻辑信道共同组成通信信道,物理信道是指用于传输数据信号的物理通路,它由传输介质与有关通信设备组成;逻辑信道指在物理信道的基础上,发送与接收数据信号的双方通过中间结点所实现的逻辑通路,由此为传输数据信号形成的逻辑通路。因此,使用VPN软件突破GFW,并未突破国际联网所用的物理通路,即其接入互联网实际仍然使用了国际联网所使用的物理信道,并非是自行建立或者使用其他信道进行国际联网的行为,本案法律适用有值得商榷之处。

02

发布VPN代理服务商品违反平台规则被下架

审理法院

杭州市余杭区人民法院

审理程序

一审

案号

(2014)杭余民初字第1874号

裁判时间

2014-09-19

——淘宝禁售商品管理规范规定,淘宝用户不得出售国家法律法规禁止出售,或根据淘宝平台管理要求禁止出售的商品。禁售商品名录详见本规范附件一《禁发商品及信息名录&对应违规处理》。附件一禁发商品及信息名录及对应违规处理规定,禁发商品及信息之(三)反动等破坏性信息类包括破网、翻墙软件及VPN代理服务;其对应违规处理:属严重违规行为,每次扣四十八分。该规则背景:根据相关法律法规,破网、翻墙软件及VPN等软件涉及提供对境外网站非法访问,极易产生不良后果,影响和谐社会,请不要在淘宝上发布。具体情形:包含但不限于:1)翻墙、破网软件及相关教程,如自由门、无界、逍遥游等;2)所有VPN产品,包括账号、服务器、软件、卡密及变相的网络加速器等,如世纪VPN变异成世纪加速器。翻墙软件是指通过代理链接访问境外网站的软件。本案中,被告在其店铺发布商品信息的商品名称为“美国/香港/多国/服务器代理/一次购买终身使用/windowsapp”,其宝贝详情用英文介绍商品,根据其介绍,使用该软件,可越过相关政府机构的监管,随时查找任何信息,如上维基百科或youtube或推特,也即禁发商品及信息之(三)反动等破坏性信息类所指的翻墙软件。故原告发布的商品信息属被告规定的禁发商品及信息。

评析

原告认为VPN翻墙软件不是法律明文规定禁止销售,电商平台将其归类于扣48分的禁售商品属不当。法院认为被告在其店铺发布商品信息的商品,根据其介绍,使用该软件可越过相关政府机构的监管,随时查找任何信息,如上维基百科或youtube或推特,也即禁发商品及信息之(三)反动等破坏性信息类所指的翻墙软件。最终,法院对其违法性并未认定,只是认为违反了平台规则,平台有权依法处罚。该判决更加务实权威,值得同类案件参考。

关于VPN的刑事案例

01

刘冰洋提供侵入、非法控制计算机信息系统程序、工具罪

审理法院

河南省新野县人民法院

审理程序

一审

案号

(2017)豫1329刑初556号

裁判时间

2017-11-09

——经认定,被告人非法出售的“Shadowsocks”软件及服务,可以绕开我国互联网防火墙的监管,非法访问境外互联网站,收看非法电视、收听非法广播。

本院认为,被告人刘冰洋违反国家规定,提供侵入、非法控制计算机信息系统的程序,情节特别严重,其行为已构成提供侵入、非法控制计算机信息系统程序、工具罪,依法应当受到惩罚。

02

陈越、林坤、金小玲提供侵入、非法控制计算机信息系统程序、工具罪

审理法院

河南省光山县人民法院

审理程序

一审

案号

(2018)豫1522刑初220号

裁判时间

2018-09-25

——自2014年起,被告人陈越在淘宝网上开网店经营影楼素材,在经营过程中,发现网游加速器VPN软件有较大利润,该VPN软件具有游戏加速和访问国内(大陆地区)IP不能访问的外国网站的功能。

本院认为,被告人陈越,林坤,金小玲向不特定人提供侵入、非法控制计算机信息系统的程序、工具,情节严重,其行为均已构成提供侵入、非法控制计算机信息系统程序、工具罪。

03

戴XX提供侵入、非法控制计算机信息系统程序、工具罪

审理法院

上海市宝山区人民法院

审理程序

一审

案号

(2018)沪0113刑初1606号

裁判时间

2018-09-20

——在该网站出售VPN翻墙软件账户,同时租用境外服务商的多台服务器向前述账户提供可以访问国内IP不能访问的外国网站服务。

本院认为,被告人戴XX提供专门用于侵入、非法控制计算机信息系统的程序、工具,情节特别严重,其行为已构成提供侵入、非法控制计算机信息系统程序、工具罪。

04

雷某、周某甲、邝某、董某提供侵入、非法控制计算机信息系统的程序、工具罪

审理法院

扬州经济技术开发区人民法院

审理程序

一审

案号

(2019)苏1091刑初107号

裁判时间

2019-07-09

——2013年以来,被告人雷某为牟取非法利益,先后在湖南省郴州市北湖区人社局家属区、北湖区中级人民法院一号院1幢103室开设工作室,并先后招录被告人周某甲为工作室负责人兼业务员,被告人邝某、董某为业务员,通过向上家购买VPN账号后在网络上出售,为买家提供可以访问国内IP不能访问的外国网站服务。

本院认为,被告人雷某、周某甲、邝某、董某提供专门用于侵入、非法控制计算机信息系统的程序、工具,其中被告人雷某、周某甲、邝某情节特别严重,被告人董某情节严重,其行为均构成提供侵入、非法控制计算机信息系统的程序、工具罪。

05

黄中强提供侵入计算机信息系统程序、工具罪

审理法院

南宁市江南区人民法院

审理程序

一审

案号

(2019)桂0105刑初633号

裁判时间

2019-12-25

——2015年至2019年7月29日期间,被告人黄中强在其位于南宁市江南区的家中,通过网络非法向谢某、梁某等数百人出售具有“翻墙”功能的VPN软件SSTap与PafastSS游戏加速器的使用权限,并从中获利。经勘验,被告人黄中强出售的VPN软件SSTAP具有避开计算机信息系统安全保护措施,绕开我国互联网防火墙的监管,非法访问境外互联网站的功能。本院认为,被告人黄中强以营利为目的,非法为他人提供专门用于侵入计算机信息系统的程序、工具,情节特别严重,其行为已构成提供侵入计算机信息系统程序、工具罪。

评析

上述五个案件,被告人分别在多地因向他人提供VPN软件获利,最终被不同法院以提供侵入计算机信息系统程序、工具罪入罪判刑。《刑法》第二百八十五条第三款规定:提供专门用于侵入、非法控制计算机信息系统的程序、工具罪是指提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。该罪名的行为表现分为两种:一种提供专门用于侵入、非法控制计算机信息系统的程序、工具;另一种是明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具。第一种明确要求提供程序、工具是“专门”用于侵入、非法控制计算机信息系统。而如前所述,VPN软件并非只是用于此等目的,还包括了大量企业的正常使用,因此并不适用该情形。而后面一种定罪前提是被告需要“明知”他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供,这种主观故意也极难在司法实务中查明。因此,以提供侵入计算机信息系统程序、工具罪对普通的提供VPN软件获利的行为定罪,在法律适用上存在欠妥之处。

06

朱皓拒不履行信息网络安全管理义务罪

审理法院

湖北省荆州市荆州区人民法院

审理程序

一审

案号

(2018)鄂1003刑初150号

裁判时间

2018-12-24

——用户购买该软件后,可以访问国内IP不能访问的境外互联网网站。为了牟取非法利益,2017年6月,朱皓租用境内外服务器开始建立自己的VPN平台,为他人提供通道在网上予以出售。2017年7月17日,朱皓在接到荆州市公安局关停VPN业务的通知后,仍未停止经营,拒不改正,直至同年9月27日案发。经鉴定,2017年8月1日至同年9月27日产生连接境外IP记录的会员账号数量为478个,朱皓的支付宝交易记录收入共计人民币40350元。

本院认为,被告人朱皓身为网络服务的提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,公诉机关指控其行为构成提供侵入、非法控制计算机信息系统的程序、工具罪的罪名不当,应当以拒不履行信息网络安全管理义务罪,予以处罚。

评析

《刑法》第二百八十六条之一为拒不履行信息网络安全管理义务罪,具体是指网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:(一)致使违法信息大量传播的;(二)致使用户信息泄露,造成严重后果的;(三)致使刑事案件证据灭失,情节严重的;(四)有其他严重情节的。单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。2019年10月25日,最高人民法院、最高人民检察院发布《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》(法释[2019]15号),明确了拒不履行信息网络安全管理义务罪的主体范围、前提条件和入罪标准。其中“监管部门责令采取改正措施”,是指网信、电信、公安等依照法律、行政法规的规定承担信息网络安全监管职责的部门以责令整改通知书或者其他文书形式,责令网络服务提供者采取改正措施。该案中,朱皓在接到荆州市公安局关停VPN业务的通知后,仍未停止经营,拒不改正,符合该罪名的构成要件。该案判决在前,而司法解释颁布在后,因此,以后此类行为的入罪标准将应以司法解释为准。

07

薛赢非法经营罪

审理法院

浙江省温州市泰顺县人民法院

审理程序

一审

案号

(2018)浙0329刑初46号

裁判时间

2018-03-26

——2015年7月至2017年5月,被告人薛赢在未取得《中华人民共和国增值电信业务经营许可证》的情况下,私自在泰顺县三魁镇锦溪路45号的家中架设VPN服务器,并通过账号为“网络诚信第一商”和“10XXX17”的淘宝店铺销售VPN代理服务,营业额达人民币47万余元。

本院认为:一、关于国内互联网虚拟专用网业务(IP-VPN)的性质问题。根据《中华人民共和国电信条例》所附的《电信业务分类目录》第B13规定,国内互联网虚拟专用网业务(IP-VPN)是指经营者利用自有或租用的互联网网络资源,采用TCP/IP协议,为国内用户定制互联网闭合用户群网络的服务。互联网虚拟专用网主要采用IP隧道等基于TCP/IP的技术组建,并提供一定的安全性和保密性,专网内可实现加密的透明分组传送。该业务属于增值电信业务。根据《中华人民共和国电信条例》第七条、《电信业务经营许可管理办法》第四条规定,经营电信业务,应当依法取得电信管理机构颁发的经营许可证。

二、关于被告人行为的定性问题。被告人薛赢经营的是国内互联网虚拟专用网业务。根据浙江省通信管理局浙通网安函(2017)217号给泰顺县公安局的答复,薛赢个人及其所经营的电脑店均没有取得国家关于国内互联网虚拟专用网业务的经营许可。因此,被告人薛赢违反国务院的行政法规和工业和信息化部的部门规章的规定,非法从事增值电信业务的经营活动,扰乱电信市场秩序,属于非法经营活动。由于被告人薛赢的经营数额已达到47万元,根据我省的相关规定,属于非法经营“情节严重”,应当以非法经营罪追究刑事责任。

08

廖某甲非法经营

审理法院

合肥高新技术产业开发区人民法院

审理程序

一审

案号

(2018)皖0191刑初142号

裁判时间

2018-05-03

——2014年6月,被告人廖某甲注册成立合肥市软可信息科技有限公司,未经国家信息产业部门许可,擅自经营虚拟专用网络VPN业务并通过支付宝账号收款。

本院认为:被告人廖某甲违反国家规定,采取租用国际专线,擅自经营国际电信业务进行营利活动,扰乱电信市场管理秩序,非法经营额共计.38元,情节严重,其行为已构成非法经营罪。

09

陈某某、曹某某非法经营罪

审理法院

湖南省郴州市北湖区人民法院

审理程序

一审

案号

(2018)湘1002刑初268号

裁判时间

2018-10-01

——2016年初,被告人陈某某、曹某某未经国务院信息产业部门批准,在未取得《跨地区增值电信业务经营许可证》的情况下,为非法牟利,在全国多地的电信运营商处租赁商务宽带网络服务,通过软路由系统架设服务器,建立业务节点,改造成所谓的“混拨VPN”服务,即增值电信业务中的互联网接入服务业务,并利用专人定制的一套后台管理软件进行非法销。

本院认为,被告人陈某某、曹某某、曾某某未经国务院信息产业部门批准,非法经营增值电信业务,扰乱电信市场秩序,情节严重,三被告人的行为均已构成非法经营罪。

10

彭兆敏、王蒙蒙及杨倩非法经营罪

审理法院

安徽省合肥市包河区人民法院

审理程序

一审

案号

(2018)皖0111刑初885号

裁判时间

2018-11-07

——该公司自成立之初,即未经国家信息产业部门许可,擅自经营虚拟专用网络VPN“赤兔加速器”业务,并以此为主营业务。

本院认为,被告人彭兆敏、王蒙蒙及杨倩违反国家规定,未经许可经营国际通信数据业务,涉案总金额元,情节严重,其行为构成非法经营罪。

11

解辉非法经营一审刑事判决

审理法院

山东省枣庄市峄城区人民法院

审理程序

一审

案号

(2020)鲁0404刑初28号

裁判时间

2020-3-25

——2018年12月至2019年8月20日,被告人解辉在无任何资质的情况下,为了获取非法利益,通过在互联网上搭建服务器销售“VPN”翻墙软件,并使用支付宝、等方式进行收款,非法经营数额20余万元。本院认为,被告人解辉未经电信行政主管部门许可,从事电信经营活动,扰乱市场秩序,情节严重,其行为构成非法经营罪,应予惩处。

12

安徽XX有限公司、李某某非法经营

审理法院

安徽省合肥市蜀山区人民法院

审理程序

一审

案号

(2019)皖0104刑初330号

裁判时间

2020-3-30

——自2013年1月开始,XX公司未经国家信息产业部门许可,擅自租用国外多地服务器,通过开发、销售“豆荚加速器”软件经营虚拟专用网络VPN业务,并以此为主营业务。XX公司开发经营的“豆荚加速器”虽然表面上是一款加速软件,但其实质是在租用国外多地服务器基础上,通过运用虚拟专用网络VPN(技术),使得该“豆荚加速器”具有直接登陆境外IP访问境外网站等功能,从而得以对外大量销售,故其实际经营的业务为虚拟专用网VPN业务,即《中华人民共和国电信条例》所附的《电信业务分类目录》中第一类增值电信业务里的“互联网虚拟专用网业务”,该业务实行许可制度,未取得经营许可证,不得擅自经营。本院认为:被告单位安徽XXXXX有限公司违反国家规定,未经许可擅自经营国际电信业务进行营利活动,扰乱电信市场管理秩序,非法经营数额共计.5元;被告人李某某系该公司直接负责的主管人员,涉案非法经营数额为.5元,被告人孙某系该公司直接责任人员,涉案非法经营数额为.17元,均属情节特别严重,其行为均已构成非法经营罪。

评析

《刑法》第二百二十五条【非法经营罪】违反国家规定,有下列非法经营行为之一,扰乱市场秩序,情节严重的,处五年以下有期徒刑或者拘役,并处或者单处违法所得一倍以上五倍以下罚金;情节特别严重的,处五年以上有期徒刑,并处违法所得一倍以上五倍以下罚金或者没收财产:(一)未经许可经营法律、行政法规规定的专营、专卖物品或者其他限制买卖的物品的;(二)买卖进出口许可证、进出口原产地证明以及其他法律、行政法规规定的经营许可证或者批准文件的;(三)未经国家有关主管部门批准非法经营证券、期货、保险业务的,或者非法从事资金支付结算业务的;(四)其他严重扰乱市场秩序的非法经营行为。目前,只有中国电信、中国移动、中国联通这三家基础电信企业具备国际通信设施服务业务、互联网国际数据传送业务,以及国际数据通信业务的经营资质,可为其他企业提供国际专线租用服务。其他企业的经营若涉足上述业务,必须先取得相关合法运营资质,否则将涉嫌非法经营。以VPN软件提供他人使用,违反了国家的运营资质要求,若(1)个人非法经营数额在五万元以上,或者违法所得数额在一万元以上的;(2)单位非法经营数额在五十万元以上,或者违法所得数额在十万元以上的;(3)虽未达到上述数额标准,但两年内因同种非法经营行为受过二次以上行政处罚,又进行同种非法经营行为的,则构成该罪名。结束语综上所述,VPN本身是一项中立性的技术,可为企业内部加密通讯提供支持,保护企业的合法权益,但也可能被不法分子利用,用于非法目的。目前,VPN在网络黑色产业链中也得到了较多的应用,如被犯罪分子用来访问境外违法网址,收集并向国内灌输暴恐、色情、攻击社会主义制度等方面的违法信息,实施网络诈骗、赌博、贩毒、恶意攻击等相关的网络犯罪活动。此种情况下,司法机关应按照相关行为所涉嫌的具体罪名,对滥用VPN的犯罪行为进行严厉打击。而如果单纯提供VPN软件并以此盈利,扰乱市场秩序且情节严重的,可以非法经营罪定罪。如果未达到非法经营罪的定罪标准,可考虑由行政主管部门予以行政处罚,若仍拒不改正,只要符合两高司法解释的定罪要求,可以拒不履行信息网络安全管理义务罪进行定罪。

吴旭华律师

华东政法大学法学学士,浙江大学法律硕士

计算机专业学科背景,全国信息化工程师

从事律师行业20余年,二级律师。现任杭州市律师协会互联网信息专委会主任、浙江大学公共管理学院专家、浙江国际电子商务研究院专家、杭州市律师协会理事、杭

州仲裁委员会仲裁员等。