非法經營VPN類業務定性問題研究

● 郭樹正 /文

*北京市海淀區人民檢察院［100089］

［基本案情］鄧某在自己的電腦設備上架設VPN翻墻軟件［1］（其名為“飛越 SS”、“影梭云”），使用戶能夠通過該軟件訪問國內IP所無法訪問的如谷歌等網站，并搭建了一個網站用于提供、販賣該軟件給他人使用，非法獲利人民幣13957.57元。后廣東省東莞市第一人民法院以鄧某的行為觸犯《刑法》第285條第3款規定之罪，判處鄧某9個月有期徒刑，并處罰金，鄧某及其辯護人對此無異議，未提出上訴，判決已生效。

一、《刑法》第285條第3款規定解析

筆者認為探究擅自經營VPN類業務行為的定性，首先應當明確《刑法》第285條第3款［2］之規定的構罪情況。本案定性的主要依據應當包括《關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》（以下簡稱《解釋》）。《解釋》第2條界定了什么樣的計算機系統程序屬于具有專門非法入侵、或未經許可非法控制他人計算機信息系統功能的程序，該類型程序、工具功能的共性是能夠不經過計算機設備使用者的允許，來獲取（主要方式為遠程獲取）相關計算機設備中的數據（即“計算機信息系統數據”）或者對相關設備進行控制。根據《解釋》所表達之意，這類程序、工具所展現出的功能更類似于黑客所使用的網絡攻擊軟件，若無這類功能，則不應當認定符合《解釋》第2條規定。

以上法律規定中包含了“計算機信息系統”與“計算機信息系統數據”兩個關鍵術語，故分析該罪還應當對二者進行簡單界定。筆者認為應當綜合相關司法解釋、行政法規的規定，并根據技術發展對概念做出一定延伸，“計算機信息系統”是能夠自動處理數據的智能手機設備、虛擬機設備、云計算設備及其相關附屬設備所構成的交互系統。那么由此系統產生的數據，即是法律規定中所保護的“計算機信息系統數據”。

根據《網絡安全法》的規定，計算機網絡與數據被認為是國家主權的一部分，故法律應僅保護國內計算機信息系統的安全，一國無權保護他國的計算機信息系統安全，境外的數據當然不包含于其中，境外產生的數據經過互聯網傳輸到國內后，我國才有權限管控，單純在境外產生、流轉的數據我國無權限控制，也無權力保護。

因此，筆者認為我國法律所保護的“計算機信息系統數據”應該進行解釋為：依賴于計算機及相關硬件設備，通過人機交互的方式在國內產生數據，并存儲、傳輸于國內的操作系統數據、軟件及附屬數據、可讀寫文件數據、網絡訪問數據等。簡而言之，我國法律保護的“計算機信息系統數據”應當限制為國內的計算機信息系統數據，即保護并管制在中國產生、傳輸的數據。

此外，應當理解什么是“計算機信息系統安全保護措施”。對于相關的保護措施，國內雖然沒有具體法律法規予以規定，但是行業內或學術上一般認為相關技術包括加密技術、身份識別技術、殺毒與防火墻技術、入侵檢測與網絡監控等［3］。可是計算機技術本身并不等同于能夠上升至法律法規規定的“計算機信息系統安全保護措施”，“保護措施”可以是一種或數種技術的結合。但是對于什么是相關保護措施，并無現行法律法規進行界定，也沒有行政法規對破壞“計算機信息系統安全保護措施”的行為進行規制。在沒有法律法規的情況下，一般的計算機使用者不會去刻意查找學習相關文獻，現階段對該“措施”的模糊規定，導致無法從刑法上明確相關內涵與外延，因此將破壞保護措施的行為直接上升至刑事處罰有待商榷。

二、利用“虛擬專用網”技術“翻墻”的基本原理

國內出于互聯網安全等方面的考慮，對國際聯網的數據采取域外IP 封鎖［4］、網絡數據內容過濾、域名劫持、網絡流量限制等手段，實現國內對域外網絡內容訪問的限制［5］，因此國內聯網用戶對于絕大多數境外互聯網數據無法訪問，國內的聯網只能稱之為“部分國際聯網”，其主要是國內聯網。

一般國內外習慣性地將國內存在的一系列限制網絡訪問的措施概括為“長城防火墻”（GreatFireWall——國際互聯網網絡隔離系統，以下簡稱GFW）。雖然該系統從未得到官方的承認，但該系統確實存在。中國大陸的計算機設備接入國際互聯網都需要通過中國大陸的網關，就像出入境檢查一樣，GFW通過技術手段對用戶數據進行查驗，對于存在大陸禁止性信息的數據，GFW會直接對其進行屏蔽，造成普通用戶無法訪問相關內容。GFW對互聯網信息進行過濾分析，同時阻礙國內用戶訪問域名在國外的網站，也阻礙國外用戶訪問域名在國內的網站。

如果將擅自經營VPN業務牟利的行為，定性為《刑法》第285條第3款規定之罪，則應當分析VPN翻墻工具是否具有《解釋》第2條規定的功能。“翻墻”所用的技術一般都是“虛擬專用網”（Virtual Private Network）技術，簡稱VPN技術，其通過技術手段，采用較強的加密協議“通道協議（Tunneling Protocol）”來通過互聯網進行傳輸加密的私人信息數據。利用VPN類工具“翻墻”，即繞過相應的國內互聯網限制性手段，實現國內網絡對國際互聯網網絡內容的訪問。但是“技術”不等于采用該技術的“工具”，采用加密協議技術是VPN技術的內核，也就是說采用這個技術進行數據交互，那么數據就必然加密，采用技術本身并不違法，但是非法使用該技術制造工具就有可能觸犯法律。此外，最高人民法院指導性案例認為構成該罪的程序工具，應當具備故意逃避殺毒軟件程序查殺、防火墻控制的特征，這些特征VPN類翻墻工具皆不具備。

三、利用“虛擬專用網”技術“翻墻”的法律問題探究

（一）翻墻工具之定性

首先，《刑法》第285條規定了三款罪名［6］，筆者認為該三款罪名立法的邏輯順序應當是，首先保護國家的重點計算機信息系統及其中留存的數據、保護除前者之外的系統及數據、懲罰非法提供有害性工具者。該條所規定的侵入、獲取、控制行為皆存在重大的社會危害性，其行為侵害了計算機信息系統的正常運行，也侵害了相關數據的正常處理，其行為獲取了國家保護的數據或他人的私人數據，獲取這些數據會造成惡劣影響，應當受到刑罰處罰；如果缺乏危害性，則不能構成該條款規定之罪。全國人大常委會法工委刑法室曾針對《刑法》第285條第3款做出解釋，指出行為人所提供的程序、工具只能用于實施非法侵入、非法控制計算機信息系統。［7］此外，這類程序、工具還應當滿足三個要件，即首先該程序本身即具有非法獲取數據或進行未經授權許可控制的功能；其次該程序本身具有避開或者突破計算機系統安全保護措施的功能；此外該程序在設計時，其主要實現的功能是非法獲取他人數據或未經授權許可對其他電子設備系統進行控制，這并不需要通過程序在客觀表現上所反映的特性界定其范圍，而是通過設計者的主觀動機予以界定［8］。

前述規定的三款罪名中，前兩款罪名應當滿足違反國家規定進而實施非法行為的構成要件，第三款罪名是保護性、兜底性罪名，主要目的是為了懲罰那些為前兩款罪名提供非法工具的行為，因此當然應當有“違反國家規定”的構成要件要求。即便不考慮該要件，構成第三款罪名也應當要求所提供的有害性工具，對目標計算機信息系統及數據造成了實質性危害。如果所提供的工具及提供行為，既不能滿足“違反國家規定”的構成要件，也沒有對目標計算機系統及數據造成實質危害，那么就不應當構成第三款罪名，即“提供侵入、非法控制計算機信息系統程序、工具罪”。

綜上所述，筆者認為采用VPN技術的翻墻工具不能滿足上述要求，主要原因是該工具從設計技術原理與實現功能上就不是一種專門用于非法侵入、或者未經許可非法控制他人計算機系統的程序，而是將通用且常用的技術、協議轉化為可執行程序進而訪問境外網站的工具。即使對上述存在異議，也應當根據《解釋》第10條［9］規定，對相關的程序工具提請司法鑒定后再作出結論。本文所討論案例中并未對此進行任何司法鑒定或者提交省級以上主管部門檢驗，因此不能對此行使自由裁量權。

（二）“翻墻”是否破壞計算機信息系統安全保護措施

首先，VPN技術并不存在非法控制計算機信息系統的功能，如果認為本案中的“飛越SS”“影梭云”翻墻軟件存在非法控制或侵入的功能，則應當對其進行軟件的功能性鑒定，但本案中并未進行相關鑒定，因此應當認定該翻墻軟件并不具有相關功能。其次，在正常情況下網絡犯罪涉及翻墻軟件時，僅是將翻墻軟件作為輔助性工具，即違法行為人可能將有害性工具部署于境外網絡環境中，通過翻墻工具將境外的有害工具同國內網絡鏈接，進而實施違法行為，但是若以此定罪，則提供工具者必須明知他人存在使用翻墻工具進行計算機類犯罪的行為。就本案而言似乎并不存在該情況，即便存在該情況，司法機關也未對此予以證明，因此無法認定。

唯一的問題就是使用采用VPN技術的翻墻軟件，是否存在突破或避開了計算機信息系統安全保護措施的功能。對于大陸用戶而言，翻墻軟件是采用VPN技術通過對數據進行強加密，從而避開GFW的監控檢查，獲取境外的數據信息。對于GFW而言，其無法直接審查經過VPN技術強加密后的交互數據，被加密的數據因此可以混過GFW的安檢，所以數據可以較為便捷的進行境內外數據交互。

那么想要認定他人販賣翻墻工具牟利的行為觸犯《刑法》第285條第3款之規定，筆者認為必須滿足兩個前提條件：一是GFW是計算機信息系統安全保護措施；二是通過中國大陸網關和GFW的數據是受中國法律保護的數據。只有滿足該兩個條件，才能認為VPN軟件滿足刑法規定的避開計算機信息系統的安全保護措施，沒有經過合法授權或者在合法授權之外非法獲取了其他計算機信息系統數據的客觀要件。構成該條款規定之罪，應當滿足提供行為或該工具本身“違反國家規定”，或者工具對目標計算機系統及數據造成實質危害。但是提供翻墻軟件并未違反《刑法》第285條相關的國家規定，使用翻墻軟件也不會對目標計算機與系統造成實質危害。

首先，GFW并未存在于任何官方文件中，在國內無規可循，無文獻可查。維基百科指出GFW屬于“金盾工程”的一部分。“金盾工程”系中國電子政務建設的代表之作，其涵蓋范圍較大，相關的官方文件已經公布，但GFW和該工程不能相提并論，涉及GFW的文件并未公開，但卻事實存在［10］。“法無禁止皆可為”，如果長城防火墻確屬中國的計算機信息系統網絡安全防護措施，那么其相關的規范性法律文件應當公開，如果相關法律文件無法被公民所知，那么公民就無從遵守、執行，更談不上違反法律。因此，雖然使用翻墻軟件避開了GFW的內容審查，但是GFW定性不清，沒有法律賦予其相關的權限限制公民的通訊自由等權利，不能解釋為刑法規定的“計算機信息系統安全保護措施”。即便將其解釋為“計算機信息系統安全保護措施”，翻墻工具也未故意逃避查殺、逃避控制，翻墻工具所采用的VPN技術本身就是加密技術。安全保護措施所保護的是本機的系統與數據，而翻墻工具交互數據的對象是國外的系統及數據，其僅是通過了像關隘一樣的GFW，未對國家的任何系統與數據造成影響，因此也不能認為“翻墻”破壞了計算機信息系統安全保護措施。

（三）使用VPN翻墻軟件訪問數據行為之定性

筆者前文已論述了我國所保護的計算機信息系統及其所產生的數據，應當是國內產生、傳輸的數據，境外的系統及數據如果未對我國造成危害或影響時，我國并無管轄權限。使用翻墻軟件的行為僅是通過中國網絡的關隘，進而同國際互聯網數據進行交互，其所獲取的數據也是境外計算機信息系統所產生的數據，在未發生對境外系統與數據的違法行為前，我國對這些數據并無管轄權限。

根據社會一般經驗，使用本案中“飛越SS”“影梭云”此類功能簡單VPN翻墻工具的用戶，一般都是不具有自己搭建VPN能力的普通用戶，翻墻的目的一般是為了從國外的網絡中瀏覽、獲取一定的信息，或者前往網絡游戲的其他服務區玩游戲，此類行為獲取的數據并非通過侵入他人計算機信息系統而非法獲取的數據，只是正常的數據交互根本不會對國外的計算機信息系統及數據造成危害。因此筆者認為，使用翻墻工具獲取的境外計算機信息系統數據在未涉及犯罪問題前，其并不屬于刑法所保護的數據范圍。綜上所述，VPN類翻墻軟件并非系專門用于侵入、非法控制計算機信息系統的程序、工具，使用該類工具的翻墻行為也未破壞計算機信息系統的安全保護措施，其獲取的數據在對境內外產生有社會危害性的行為前，并不屬于刑法所管轄的數據范圍，因此販賣翻墻軟件的行為不能構成《刑法》第285條第3款規定之罪。

四、非法經營“VPN”行為之定性

（一）關于經營VPN類業務資質的相關規定

VPN類業務屬于電信業務的一部分，經營電信業務需要國家允許的資質，這些規定初期散現于《計算機信息網絡國際聯網出入口信道管理辦法》第2條［11］、《計算機信息網絡國際聯網管理暫行規定》第6條［12］等。現階段關于電信業務的規定大部分已整合至《電信條例》之中。《電信條例》第7條、第9條、第13條［13］規定了經營電信業務的許可制度、審批制度和需要滿足的條件等。根據工業與信息化部《電信業服務分類目錄》B章B13款規定，國內互聯網虛擬專用網業務（IP-VPN）屬于電信業務中的增值電信業務。2017年工信部《關于清理規范互聯網網絡接入服務市場的通知》進一步明確了未經許可任何單位和個人都不得擅自經營VPN業務，且使用范圍限于租用者內部辦公使用，不得私自連接訪問域外網絡數據。綜上，依照《中國互聯網管理條例》相關規范，從事互聯網增值信息服務不僅需要“基礎電信業務許可證”，也需要“增值電信業務許可證”，即提供VPN類網絡代理服務，實際上需要經過相關部門行政審批。沒有獲得此資質、未經過審批，任何單位或個人不允許隨意開展這項業務。

我國最初是中國郵電電信總局擁有“電信業務經營許可證”“增值電信業務經營許可證”“跨地區增值電信業務經營許可證”的相關經營資質，后該單位拆分為中國電信、中國移動、中國聯通公司，在實施“三網合一”后，三家公司均可以自主經營電信業務，也就是說除了這三大運營商之外，再無其他組織機構或個人有資質經營相關電信業務。這說明經營電信業務是國家專營事項，經營VPN業務是國家限制經營事項。

（二）非法經營VPN類業務牟利行為之定性

筆者認為擅自經營VPN業務的行為，應當定性為《刑法》第225條規定之罪。販賣翻墻軟件的行為，其本質是一種非法擅自經營VPN類業務的行為，VPN類業務屬于電信業務中的增值電信業務，經營該業務當然應當適用規制電信市場的相關法律法規。根據《刑法》第96條規定，“國家規定”包含行政法規，未經許可獲得經營資質卻擅自經營VPN類業務的行為，違反了《電信條例》的相關規定。根據《關于審理擾亂電信市場管理秩序案件具體應用法律若干問題的解釋》第1條規定，任何單位、個人不得違反國家規定，擾亂電信市場管理秩序，采用租用國際專線或其他方法，擅自經營國際電信業務進行營利活動，情節嚴重的應當將此行為認定為非法經營罪。筆者認為未經行政主管部門許可擅自經營VPN類業務的行為，屬于私自設置國際通信出入口的類型之一，這種行為符合前述司法解釋的規定。擅自經營VPN類業務牟利的行為，既違反了《電信條例》，也違反了相關司法解釋。因此多次出售VPN類軟件經營牟利的行為，屬于非法經營電信業務情節嚴重的范疇，在目前情況下，這種行為更宜定性為非法經營罪而非本文案例中認定的罪名。

注釋：

［1］本案所指非法經營VPN類業務，是指未經授權擅自將能夠訪問境外網站（如谷歌、推特等）的工具在網絡上售賣并非法獲利的行為。該案判決詳見（2017）粵1971刑初250號刑事判決書。

［2］我國《刑法》第285條第3款規定了提供侵入、非法控制計算機信息系統程序、工具罪，筆者認為該罪設立的主要目的是為了規制計算機類犯罪中提供犯罪工具的行為。

［3］參見馮慶曦：《計算機信息系統安全技術的研究及其應用》，載《電腦開發與應用》2012年第6期。

［4］本文所指的IP地址信息封鎖，是指通過技術手段將域外IP地址加入國內互聯網連接時的黑名單，國內用戶訪問域外IP時需要通過網絡服務運營商的服務器向域外服務器發送訪問請求數據，但因國內所發送數據包被阻斷，導致向域外服務器的訪問請求無法得到回應，最終使國內IP地址無法訪問域外網站。

［5］參見陳龍、麥永浩、黃傳河：《計算機取證技術》，武漢大學出版社2007年版，第135-140頁。

［6］即“非法侵入計算機信息系統罪”“非法獲取計算機信息系統數據、非法控制計算機信息系統罪”“提供侵入、非法控制計算機信息系統程序、工具罪”。

［7］全國人大常委會法工委刑法室：《中華人民共和國刑法條文說明、立法理由及相關規定》，北京大學出版社2009年版，第592頁。

［8］參見李少平主編：《解讀最高人民法院司法解釋、指導性案例 刑事卷（下）》，人民法院出版社2016年版，第665-666頁。

［9］最高人民法院、最高人民檢察院《關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》第10條規定，對于是否屬于難以確定的，應當委托省級以上負責計算機信息系統安全保護管理工作的部門檢驗。司法機關根據檢驗結論，并結合案情具體情況認定。

［10］參見沈逸：《超越推墻與守墻之爭，推進長城防火墻改革》，http：//news.fudan.edu.cn/2015/0630/39349.html，訪問日期：2018年10月3日。

［11］該辦法第2條規定，我國境內的計算機信息網絡直接進行國際聯網，必須使用郵電部國家公用電信網提供的國際出入口信道。任何單位和個人不得自行建立或者使用其它信道（含衛星信道）進行國際聯網。

［12］該規定第6條規定，計算機信息網絡直接進行國際聯網，必須使用郵電部國家公用電信網提供的國際出入口信道。任何單位和個人不得自行建立或者使用其他信道進行國際聯網。

［13］《電信條例》第7條規定，國家對電信業務經營按照電信業務分類，實行許可制度。經營電信業務，必須依照本條例的規定取得國務院信息產業主管部門或者省、自治區、直轄市電信管理機構頒發的電信業務經營許可證。未取得電信業務經營許可證，任何組織或者個人不得從事電信業務經營活動。第9條規定，經營基礎電信業務，須經國務院信息產業主管部門審查批準，取得《基礎電信業務經營許可證》。經營增值電信業務，業務覆蓋范圍在兩個以上省、自治區、直轄市的，須經國務院信息產業主管部門審查批準，取得《跨地區增值電信業務經營許可證》；業務覆蓋范圍在一個省、自治區、直轄市行政區域內的，須經省、自治區、直轄市電信管理機構審查批準，取得《增值電信業務經營許可證》。第13條規定：“經營增值電信業務，應當具備下列條件：（一）經營者為依法設立的公司；（二）有與開展經營活動相適應的資金和專業人員；（三）有為用戶提供長期服務的信譽或者能力；（四）國家規定的其他條件。”