作者:金茂律师事务所 万波 律师
一、问题的提出
印度的一项将于6月27日生效的新网络安全法律引起了相关人士的热议,印度这项新法案要求VPN供应商保存和移交其印度客户的姓名、地址、联系电话、电子邮件地址、首次注册时间、提供服务的日期、雇用服务的原因、分配给用户的IP地址等。供应商还将被要求以180天的滚动方式保存这些客户数据,但任何有关加密货币的数据存储时间被为五年,并根据印度法律调查的要求提供给政府。印度电子和信息技术部中负责应对网络安全威胁的办公室——计算机应急响应小组(CERT-In)发布了一份声明,称新规定适用于为印度客户提供VPN服务的供应商,即使服务器在国外也不例外。不提供此信息的供应商可能被罚款,甚至依据印度《信息技术法案》被判处最高一年监禁。
VPN,即虚拟专用网络,是指通过公用网络建立的临时连接,可以被用于加密数据、远程访问、更换IP地址等。因此VPN经常被用于绕过政府或机构对IP地址的限制,以访问被屏蔽的网站。随着近些年数字化营销的快速发展,在通过一些境外社交媒体、小程序、短视频、直播间(如WhatsApp、Twitter)开展外贸业务的领域,通过VPN“翻墙”进行展业的现象并不罕见,结合客户的咨询,本文对境内主体使用VPN的法律规则和案例进行专门分析。
二、VPN简介
VPN(“Virtual Private Network”,虚拟专用网)属于远程访问技术,通过对数据包的加密和数据包目标地址的转换来实现远程安全通讯。VPN在网络中有广泛应用,如对于出差的员工,公司的IT部门会在他们的电脑上装上VPN软件,可以连接到一台由公司内部控制的电脑服务器上,叫“VPN服务器”(VPN Server),出差员工连上VPN以后,他上网时就不再直接访问公共互联网,而是通过VPN服务器实现间接访问。
VPN第一个特点是它还会加密通过互联网发送的信息,让拦截通信的人无法读取,包括互联网服务提供商;VPN的另一个特点是它可以重定向网络地址,当它与网站联系时,会伪装电脑、手机或其他终端设备的位置,因此,VPN技术也成了“翻墙”的底层技术,用于绕过IP封锁、内容过滤、流量限制,实现对境外网站的访问。
但技术人员指出,通过VPN发送与接收的数据仍会通过VPN供应商的机器,用户的账号、密码信用卡信息等有被VPN供应商截取的风险。为了使客户放心,一些VPN供应商承诺使用“无日志”(no-log)政策,例如,ExpressVPN声称不记录用户的联系信息,只将内部进程必要的信息存储在RAM中,在用户会话结束后立即删除。
正是这种VPN发送与接收数据的隐蔽性,成为了印度本次立法的理由,印度官员称,这项针对VPN供应商的新规并不是为了阻碍言论自由和侵犯个人隐私,而是为了更好地打击网络犯罪。
目前尚未看到权威的关于我国VPN市场现状报告,但以印度的VPN市场为参考,根据VPN供应商Atlas VPN的一份报告,自新冠疫情以来,大量印度公司因远程工作增加了对VPN的依赖,印度的VPN渗透率从2020年的3%上升到2021年上半年的25%以上,安装量达到3.487亿,比2020年增长671%,增长速度全球最快。
三、相关规定
2017年1月,工信部发布《关于清理规范互联网网络结构服务市场的通知》(以下简称“《通知》”)。《通知》要求:“未经电信主管部门批准,不得自行建立或租用专线(含虚拟专用网络VPN)等其他信道开展跨境经营活动。基础电信企业向用户出租的国际专线,应集中建立用户档案,向用户明确使用用途仅供其内部办公专用,不得用于连接境内外的数据中心或业务平台开展电信业务经营活动”。通过该文我们可以看出,未经批准的VPN跨境经营活动被明确禁止。但基础电信企业提供的国际专线服务,则在用户内部办公专用的范围内被允许。
首先,我国并未单就VPN相关服务或者技术出台过相关规定,但VPN作为一项经常被使用的电子通信的服务,受到我国电信相关的法律规制。由于企业在使用VPN时主要进行跨地区的信息加密传输。因此,跨境VPN应当被认定为一种国际的通信业务和服务,属于电信业务中的一种。《中华人民共和国电信条例》第五十八条和第六十四条明确禁止组织和个人擅自经营国际电信业务,并且要求在我国境内从事国际通信业务必须通过国际通信出入口局进行。
其次,《电信业务分类目录》2015年版就VPN进行了更加明确的规定。对国内虚拟专用网业务,增值电信业务的B13项进行了明确界定,即“国内互联网虚拟专用网业务(IP-VPN)是指经营者利用自有或租用的互联网网络资源,采用TCP/IP协议,为国内用户定制互联网闭合用户群网络的服务。”
而国际虚拟专用网则出现在了目录中的基础电信业务A14-4下。根据该项,国际数据通信业务是……利用国际线路或国际专线提供的数据或图像传送业务。尽管在该项中并未出现虚拟专用网或者VPN字样,但该项包含“利用国际线路提供数据的业务”,因此相较于基础电信其他子类,跨境VPN更应归入该项。
另外,《国际通信出入口局管理办法》第二十二条则要求,“以经营电信业务为目的,通过互联网国际出入口设置虚拟网络的,应当报信息产业部批准。以内部使用为目的,通过互联网国际出入口设置虚拟专用网的,应当报信息产业部备案。”
综上可以看出,我国相关法规对于VPN的查处依据为,“未经电信主管部门批准,无国际通信业务经营资质的企业或个人,租用国际专线或VPN,私自开展跨境的电信业务经营活动。”即,只要经中国电信主管部门批准的有经营国际通信业务资质的企业和个人,可以依法合规在中国提供VPN服务,而以内部使用为目的的企业,备案后可以在中国依法使用跨境VPN服务。
根据上述分析我们可以发现,我国对于VPN服务根据是否跨境进行了划分。如果VPN服务只是为境内互联使用,则应当归属在增值电信业务分类下,而如果是外资企业需要使用跨境VPN,则服务的提供商必须具备基础电信业务的资质。企业如需使用跨境VPN,必须向有国际通信业务经营资质的企业或者个人租用。外贸企业、跨国企业因办公自用等原因,需要通过专线等方式跨境联网时,可以向依法设置国际通信出入口局的电信业务经营者租用,《通知》的相关规定不会对其正常运转造成影响。
四、案例分析
自2017年01月17日工信部发布《关于清理规范互联网网络接入服务市场的通知》后,全国开始重点整理违规VPN市场,同时各地不断出现个人因使用VPN软件浏览某些境外网站被行政处罚的案例,处罚依据是我国《计算机信息网络国际联网管理暂行规定》(以下简称“《暂行规定》”)第六条和第十四条。
该规定第六条的全文为:“计算机信息网络直接进行国际联网,必须使用邮电部国家公用电信网提供的国际出入口信道。任何单位和个人不得自行建立或者使用其他信道进行国际联网。”违反第六条的法律后果规定在第十四条:“由公安机关责令停止联网,给予警告,可以并处15000元以下的罚款;有违法所得的,没收违法所得。”
使用裁判文书网、威科法律信息库等数据库进行检索,与翻墙行为相关并因此受到行政处罚的案例类型包括:
(1)使用VPN翻墙
(2)向他人提供利用VPN翻墙的方法
(3)使用VPN 翻墙并传播违法信息
(4)向他人提供VPN作为翻墙工具
(5)网络运营者提供翻墙服务/未及时删除与翻墙相关的违法信息
使用VPN的行政处罚案例表
在上述26个行政处罚案例中,仅有四起的相对人为企业,其基本情况如下表:
从上述案例和分析中可见,企业因违法使用VPN受到行政处罚的案例在与VPN相关的处罚案例中占比较小。且依据《暂行规定》第十四条的处罚规定,在企业内部使用VPN,没有违法目的,不产生违法所得,且不涉及制售VPN的前提下,行政处罚的范围限于警告或并处15000元以下的罚款。
除行政责任外,制售VPN的个人和企业还可能涉及刑事犯罪。关于制售VPN的相关刑事犯罪案件,对该行为主要存在以下两种定性:
第一,以非法经营罪定罪量刑。例:浙江省泰顺县人民法院(2018)浙0329刑初46号判决。经查明,被告人薛某在未取得《中华人民共和国增值电信业务经营许可证》的情况下,私自在家中架设VPN服务器,并通过淘宝店铺销售VPN代理服务,营业额达47万余元。法院认为,被告人薛某违反国务院的行政法规和工业和信息化部的部门规章的规定,非法从事增值电信业务的经营活动,扰乱电信市场秩序,属于非法经营活动,且达到“情节严重”的程度,应当以非法经营罪追究刑事责任,判处有期徒刑三年,缓刑三年,并处罚金10万元。
第二,以提供侵入、非法控制计算机信息系统程序、工具罪定罪量刑。例:江苏省灌云县人民法院(2020)苏0723刑初126号刑事判决。经查明,被告人黄某某在网站出售翻墙软件账户,同时租用境外服务商的5台服务器向前述账户提供可以访问国内IP不能访问的外国网站服务,非法获利137147.5元。法院认为,被告人黄某某无视国家法律,提供专门用于侵入、非法控制计算机信息系统程序、工具,其行为已构成提供侵入、非法控制计算机系统程序、工具罪。
此外,未获电信经营许可,未经信息产业部批准,擅自设置国际通信出入口进行国际通信的企业,将会面临较为严峻的行政处罚。以工信电管罚字第[2011]1号为例,该案中,企业擅自扩大国内因特网虚拟专用网业务覆盖范围,违反《电信业务经营许可管理办法》(工信部令第5号)第十六条规定,未取得国际通信业务经营许可、擅自与香港一公司合作跨境经营因特网虚拟专用网业务,违反《电信条例》(国务院令第291号)第五十九条和《国际通信出入口局管理办法》第十九条、第二十五条规定,被工信部处以一百万元罚款。
四、小结意见
根据上文分析,对于企业所需使用的跨境VPN服务,需要寻找具备国际通信业务经营资质的企业,或是设置国际通信出入口局的电信业务经营者。因此,可以认为,凡是不具备国际通信业务经营资质的企业或是个人,其在中国开展相关经营活动均存在合规性的法律风险。而根据《电信业务分类目录》,跨境VPN应当被归为第一类基础电信业务(《目录》A14-4)。根据工信部官网发布的《工信部批准从事电信业务的基础电信企业和增值电信企业名单》(截至2015年1月31日),我国目前拥有A1许可证的,且业务种类涵盖国际通信设施服务业务的基础电信运营商有中国移动、中国联通、中国电信。虽然工信部并未公开跨境VPN的运营商名单,但在工信部网站上能够检索到工信部同意中国联通、中国移动、中国电信设置在不同地区的国际通信信道出入口批复。(如下图)
可见,三大运营商在部分地区具备合规运营国际通信信道的资质。三大运营商在不同地区、城市提供国际的VPN专线服务,而收费则按照不同宽带速率进行调整。需要注意的是,一些地区可能仅批准一到两家基础运营商运营,因此在该地区可能仅有一到两家公司能够提供跨境VPN服务。
而根据《电信业务分类目录》对国内虚拟专用网业务,增值电信业务的B13项进行的明确界定,即“国内互联网虚拟专用网业务(IP-VPN)是指经营者利用自有或租用的互联网网络资源,采用TCP/IP协议,为国内用户定制互联网闭合用户群网络的服务”,如果服务商具备增值电信相关业务等相关许可,则可以依法提供仅支持中国境内互联的VPN服务。
从上述分析可知,在我国目前只有基础电信运营商可以提供合规的跨境VPN服务,由其他企业或者境外公司提供的跨境VPN服务则存在合规的风险。作为跨境VPN服务使用者的企业,在中国可以向运营商合法合规地租用跨境VPN服务,由基础电信运营商为其搭建VPN服务。
但需要注意的是,根据《国际通信出入口局管理办法》第十九条规定,国际通信传输信道专线只能在规定的业务范围内用于点对点的通信,并仅供用户内部使用,不得用于经营电信业务。另外,根据工信部《关于清理规范互联网网络接入服务市场的通知》,要求基础电信企业“向用户明确使用用途仅供其内部办公专用,不得用于连接境内外的数据中心或业务平台开展电信业务经营活动。”也就是说,跨境VPN服务只能在企业内部使用。由于《管理办法》及《通知》规制的对象是基础电信企业,因此在企业与基础电信企业的VPN租用协议中,基础电信企业可能会通过合同的方式对企业使用VPN的方式进行限制。
此外,根据《计算机信息网络国际互联网安全保护管理办法》第十二条的规定,互联单位、接入单位、使用计算机信息网络国际互联网的法人或者其他组织,应当自网络正式联通之日起三十日内,到所在地的省、自治区、直辖市人民政府公安机关指定的受理机关办理备案手续,并且将接入本网络的单位和用户情况备案,且及时报告接入单位和用户的变更情况。
总体来说,为防范风险,企业应在符合相关监管政策规定前提下使用VPN,向电信业务运营商购买或者租用VPN之前要确认VPN服务商的运营资质。有国际通信业务资格的合格基础电信业务运营商也应获得设立国际通信出入口局的批准。VPN应该严格限制在内部使用,不得用于连接境内外的数据中心或业务平台开展电信业务经营活动。
企业应密切注意各个监管部门的监管趋势。目前各部门对“翻墙”行为的态度不一,总体而言,公安机关对“翻墙”执法力度呈现增长的态势。上述因使用VPN受到行政处罚案例中,作出处罚决定的机关均为公安机关。就工信部而言,从2012年颁布的《关于进一步规范因特网数据中心(IDC)业务和因特网接入服务(ISP)业务市场准入工作的通告》以及2017年《关于清理规范互联网网络接入服务市场的通知》,主要目的在于禁止非法经营互联网接入业务和其他国际联网业务,对于企业为自身业务和管理需要使用VPN联网的没有作出禁止。工信部也在发布会上明确,跨境开展经营电信业务活动的规定,规范的对象是未经电信主管部门批准,无国际通信业务经营资质的企业或个人租用专线或VPN违规开展业务,相关规定不会影响国内国外广大企业合规开展跨境业务。但随着互联网监管力度日趋强化,企业应实时地了解各部门的监管态度,以便提前准备应对。
此外,企业应就使用跨境VPN服务过程中可能带来的风险提前作出预防措施安排。例如企业可以结合自身网络安全需求,设置内部屏蔽网关,自动屏蔽非法和敏感网站,或只提供必要网站的访问,并根据《网络安全法》的要求留存相应的网络日志,若员工违反企业的VPN使用规定,滥用VPN和境外互连网联接,构成VPN违法行为,企业在面对执法机关时可以有所抗辩。
实习生张月勤对本文亦有贡献