非法經營VPN類業務定性問題研究

郭樹正

摘 要：擅自經營、銷售VPN類業務及相關軟件牟利是一種違法行為，當前司法實務對該行為的定性分別是《刑法》第285條第3款與第225條規定之罪，該二罪在犯罪構成方面存在巨大差異。本文以廣東鄧某案為切入，分析VPN技術的基本原理、VPN類軟件的性質，通過對相關技術的說明以探討如何對擅自經營VPN類業務牟利的行為進行認定。

關鍵詞：VPN 計算機信息系統 增值電信業務 非法經營

[基本案情]鄧某在自己的電腦設備上架設VPN翻墻軟件[1]（其名為“飛越SS”、“影梭云”），使用戶能夠通過該軟件訪問國內IP所無法訪問的如谷歌等網站，并搭建了一個網站用于提供、販賣該軟件給他人使用，非法獲利人民幣13957.57元。后廣東省東莞市第一人民法院以鄧某的行為觸犯《刑法》第285條第3款規定之罪，判處鄧某9個月有期徒刑，并處罰金，鄧某及其辯護人對此無異議，未提出上訴，判決已生效。

一、《刑法》第285條第3款規定解析

筆者認為探究擅自經營VPN類業務行為的定性，首先應當明確《刑法》第285條第3款[2]之規定的構罪情況。本案定性的主要依據應當包括《關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》（以下簡稱《解釋》）。《解釋》第2條界定了什么樣的計算機系統程序屬于具有專門非法入侵、或未經許可非法控制他人計算機信息系統功能的程序，該類型程序、工具功能的共性是能夠不經過計算機設備使用者的允許，來獲取（主要方式為遠程獲取）相關計算機設備中的數據（即“計算機信息系統數據”）或者對相關設備進行控制。根據《解釋》所表達之意，這類程序、工具所展現出的功能更類似于黑客所使用的網絡攻擊軟件，若無這類功能，則不應當認定符合《解釋》第2條規定。

以上法律規定中包含了“計算機信息系統”與“計算機信息系統數據”兩個關鍵術語，故分析該罪還應當對二者進行簡單界定。筆者認為應當綜合相關司法解釋、行政法規的規定，并根據技術發展對概念做出一定延伸，“計算機信息系統”是能夠自動處理數據的智能手機設備、虛擬機設備、云計算設備及其相關附屬設備所構成的交互系統。那么由此系統產生的數據，即是法律規定中所保護的“計算機信息系統數據”。

根據《網絡安全法》的規定，計算機網絡與數據被認為是國家主權的一部分，故法律應僅保護國內計算機信息系統的安全，一國無權保護他國的計算機信息系統安全，境外的數據當然不包含于其中，境外產生的數據經過互聯網傳輸到國內后，我國才有權限管控，單純在境外產生、流轉的數據我國無權限控制，也無權力保護。

因此，筆者認為我國法律所保護的“計算機信息系統數據”應該進行解釋為：依賴于計算機及相關硬件設備，通過人機交互的方式在國內產生數據，并存儲、傳輸于國內的操作系統數據、軟件及附屬數據、可讀寫文件數據、網絡訪問數據等。簡而言之，我國法律保護的“計算機信息系統數據”應當限制為國內的計算機信息系統數據，即保護并管制在中國產生、傳輸的數據。

此外，應當理解什么是“計算機信息系統安全保護措施”。對于相關的保護措施，國內雖然沒有具體法律法規予以規定，但是行業內或學術上一般認為相關技術包括加密技術、身份識別技術、殺毒與防火墻技術、入侵檢測與網絡監控等[3]。可是計算機技術本身并不等同于能夠上升至法律法規規定的“計算機信息系統安全保護措施”，“保護措施”可以是一種或數種技術的結合。但是對于什么是相關保護措施，并無現行法律法規進行界定，也沒有行政法規對破壞“計算機信息系統安全保護措施”的行為進行規制。在沒有法律法規的情況下，一般的計算機使用者不會去刻意查找學習相關文獻，現階段對該“措施”的模糊規定，導致無法從刑法上明確相關內涵與外延，因此將破壞保護措施的行為直接上升至刑事處罰有待商榷。

二、利用“虛擬專用網”技術“翻墻”的基本原理

國內出于互聯網安全等方面的考慮，對國際聯網的數據采取域外IP 封鎖[4]、網絡數據內容過濾、域名劫持、網絡流量限制等手段，實現國內對域外網絡內容訪問的限制[5]，因此國內聯網用戶對于絕大多數境外互聯網數據無法訪問，國內的聯網只能稱之為“部分國際聯網”，其主要是國內聯網。

一般國內外習慣性地將國內存在的一系列限制網絡訪問的措施概括為“長城防火墻”（GreatFireWall——國際互聯網網絡隔離系統，以下簡稱GFW）。雖然該系統從未得到官方的承認，但該系統確實存在。中國大陸的計算機設備接入國際互聯網都需要通過中國大陸的網關，就像出入境檢查一樣，GFW通過技術手段對用戶數據進行查驗，對于存在大陸禁止性信息的數據，GFW會直接對其進行屏蔽，造成普通用戶無法訪問相關內容。GFW對互聯網信息進行過濾分析，同時阻礙國內用戶訪問域名在國外的網站，也阻礙國外用戶訪問域名在國內的網站。

如果將擅自經營VPN業務牟利的行為，定性為《刑法》第285條第3款規定之罪，則應當分析VPN翻墻工具是否具有《解釋》第2條規定的功能。“翻墻”所用的技術一般都是“虛擬專用網”（Virtual Private Network）技術，簡稱VPN技術，其通過技術手段，采用較強的加密協議“通道協議（Tunneling Protocol）”來通過互聯網進行傳輸加密的私人信息數據。利用VPN類工具“翻墻”，即繞過相應的國內互聯網限制性手段，實現國內網絡對國際互聯網網絡內容的訪問。但是“技術”不等于采用該技術的“工具”，采用加密協議技術是VPN技術的內核，也就是說采用這個技術進行數據交互，那么數據就必然加密，采用技術本身并不違法，但是非法使用該技術制造工具就有可能觸犯法律。此外，最高人民法院指導性案例認為構成該罪的程序工具，應當具備故意逃避殺毒軟件程序查殺、防火墻控制的特征，這些特征VPN類翻墻工具皆不具備。

三、利用“虛擬專用網”技術“翻墻”的法律問題探究

（一）翻墻工具之定性

首先，《刑法》第285條規定了三款罪名[6]，筆者認為該三款罪名立法的邏輯順序應當是，首先保護國家的重點計算機信息系統及其中留存的數據、保護除前者之外的系統及數據、懲罰非法提供有害性工具者。該條所規定的侵入、獲取、控制行為皆存在重大的社會危害性，其行為侵害了計算機信息系統的正常運行，也侵害了相關數據的正常處理，其行為獲取了國家保護的數據或他人的私人數據，獲取這些數據會造成惡劣影響，應當受到刑罰處罰；如果缺乏危害性，則不能構成該條款規定之罪。全國人大常委會法工委刑法室曾針對《刑法》第285條第3款做出解釋，指出行為人所提供的程序、工具只能用于實施非法侵入、非法控制計算機信息系統。[7]此外，這類程序、工具還應當滿足三個要件，即首先該程序本身即具有非法獲取數據或進行未經授權許可控制的功能；其次該程序本身具有避開或者突破計算機系統安全保護措施的功能；此外該程序在設計時，其主要實現的功能是非法獲取他人數據或未經授權許可對其他電子設備系統進行控制，這并不需要通過程序在客觀表現上所反映的特性界定其范圍，而是通過設計者的主觀動機予以界定[8]。

前述規定的三款罪名中，前兩款罪名應當滿足違反國家規定進而實施非法行為的構成要件，第三款罪名是保護性、兜底性罪名，主要目的是為了懲罰那些為前兩款罪名提供非法工具的行為，因此當然應當有“違反國家規定”的構成要件要求。即便不考慮該要件，構成第三款罪名也應當要求所提供的有害性工具，對目標計算機信息系統及數據造成了實質性危害。如果所提供的工具及提供行為，既不能滿足“違反國家規定”的構成要件，也沒有對目標計算機系統及數據造成實質危害，那么就不應當構成第三款罪名，即“提供侵入、非法控制計算機信息系統程序、工具罪”。

綜上所述，筆者認為采用VPN技術的翻墻工具不能滿足上述要求，主要原因是該工具從設計技術原理與實現功能上就不是一種專門用于非法侵入、或者未經許可非法控制他人計算機系統的程序，而是將通用且常用的技術、協議轉化為可執行程序進而訪問境外網站的工具。即使對上述存在異議，也應當根據《解釋》第10條[9]規定，對相關的程序工具提請司法鑒定后再作出結論。本文所討論案例中并未對此進行任何司法鑒定或者提交省級以上主管部門檢驗，因此不能對此行使自由裁量權。

（二）“翻墻”是否破壞計算機信息系統安全保護措施

首先，VPN技術并不存在非法控制計算機信息系統的功能，如果認為本案中的“飛越SS”“影梭云”翻墻軟件存在非法控制或侵入的功能，則應當對其進行軟件的功能性鑒定，但本案中并未進行相關鑒定，因此應當認定該翻墻軟件并不具有相關功能。其次，在正常情況下網絡犯罪涉及翻墻軟件時，僅是將翻墻軟件作為輔助性工具，即違法行為人可能將有害性工具部署于境外網絡環境中，通過翻墻工具將境外的有害工具同國內網絡鏈接，進而實施違法行為，但是若以此定罪，則提供工具者必須明知他人存在使用翻墻工具進行計算機類犯罪的行為。就本案而言似乎并不存在該情況，即便存在該情況，司法機關也未對此予以證明，因此無法認定。

唯一的問題就是使用采用VPN技術的翻墻軟件，是否存在突破或避開了計算機信息系統安全保護措施的功能。對于大陸用戶而言，翻墻軟件是采用VPN技術通過對數據進行強加密，從而避開GFW的監控檢查，獲取境外的數據信息。對于GFW而言，其無法直接審查經過VPN技術強加密后的交互數據，被加密的數據因此可以混過GFW的安檢，所以數據可以較為便捷的進行境內外數據交互。

那么想要認定他人販賣翻墻工具牟利的行為觸犯《刑法》第285條第3款之規定，筆者認為必須滿足兩個前提條件：一是GFW是計算機信息系統安全保護措施；二是通過中國大陸網關和GFW的數據是受中國法律保護的數據。只有滿足該兩個條件，才能認為VPN軟件滿足刑法規定的避開計算機信息系統的安全保護措施，沒有經過合法授權或者在合法授權之外非法獲取了其他計算機信息系統數據的客觀要件。構成該條款規定之罪，應當滿足提供行為或該工具本身“違反國家規定”，或者工具對目標計算機系統及數據造成實質危害。但是提供翻墻軟件并未違反《刑法》第285條相關的國家規定，使用翻墻軟件也不會對目標計算機與系統造成實質危害。

首先，GFW并未存在于任何官方文件中，在國內無規可循，無文獻可查。維基百科指出GFW屬于“金盾工程”的一部分。“金盾工程”系中國電子政務建設的代表之作，其涵蓋范圍較大，相關的官方文件已經公布，但GFW和該工程不能相提并論，涉及GFW的文件并未公開，但卻事實存在[10]。“法無禁止皆可為”，如果長城防火墻確屬中國的計算機信息系統網絡安全防護措施，那么其相關的規范性法律文件應當公開，如果相關法律文件無法被公民所知，那么公民就無從遵守、執行，更談不上違反法律。因此，雖然使用翻墻軟件避開了GFW的內容審查，但是GFW定性不清，沒有法律賦予其相關的權限限制公民的通訊自由等權利，不能解釋為刑法規定的“計算機信息系統安全保護措施”。即便將其解釋為“計算機信息系統安全保護措施”，翻墻工具也未故意逃避查殺、逃避控制，翻墻工具所采用的VPN技術本身就是加密技術。安全保護措施所保護的是本機的系統與數據，而翻墻工具交互數據的對象是國外的系統及數據，其僅是通過了像關隘一樣的GFW，未對國家的任何系統與數據造成影響，因此也不能認為“翻墻”破壞了計算機信息系統安全保護措施。

（三）使用VPN翻墻軟件訪問數據行為之定性

筆者前文已論述了我國所保護的計算機信息系統及其所產生的數據，應當是國內產生、傳輸的數據，境外的系統及數據如果未對我國造成危害或影響時，我國并無管轄權限。使用翻墻軟件的行為僅是通過中國網絡的關隘，進而同國際互聯網數據進行交互，其所獲取的數據也是境外計算機信息系統所產生的數據，在未發生對境外系統與數據的違法行為前，我國對這些數據并無管轄權限。

根據社會一般經驗，使用本案中“飛越SS”“影梭云”此類功能簡單VPN翻墻工具的用戶，一般都是不具有自己搭建VPN能力的普通用戶，翻墻的目的一般是為了從國外的網絡中瀏覽、獲取一定的信息，或者前往網絡游戲的其他服務區玩游戲，此類行為獲取的數據并非通過侵入他人計算機信息系統而非法獲取的數據，只是正常的數據交互根本不會對國外的計算機信息系統及數據造成危害。因此筆者認為，使用翻墻工具獲取的境外計算機信息系統數據在未涉及犯罪問題前，其并不屬于刑法所保護的數據范圍。綜上所述，VPN類翻墻軟件并非系專門用于侵入、非法控制計算機信息系統的程序、工具，使用該類工具的翻墻行為也未破壞計算機信息系統的安全保護措施，其獲取的數據在對境內外產生有社會危害性的行為前，并不屬于刑法所管轄的數據范圍，因此販賣翻墻軟件的行為不能構成《刑法》第285條第3款規定之罪。