首页

>

法律知识

>

刑法知识
出售、出租VPN“翻墙”软件的刑法适用
上海市杨浦区人民检察院

时间: 2022-05-17

3

29

【摘要】 明确规定未经批准,不但自行建立虚拟专用网络VPN,给行政部门对VPN出售者进行行政处罚、责令关闭VPN提供了法律依据

邵旻 上海市杨浦区人民检察院第六检察部主任、检察官


王浩 上海社会科学院硕士研究生


内容摘要:当前,出售、出租 VPN“翻墙”软件的行为定罪上存在三种不同观点做法。 VPN“翻墙”因未破坏计算机系统,因而出售、出租该软件的行为不构成提供侵入、非法控制计算机信息系统程序、工具罪。 VPN“翻墙”软件出售、出租者因未经营国际电信业务,不构成非法经营罪。 VPN“翻墙”软件出售、出租者属于网络服务提供者,需要履行网络安全法等法规定的义务,拒不履行该义务而造成严重后果的,可以认定为拒不履行信息网络安全管理义务罪。


关键词:信息网络安全管理义务 非法侵入 翻墙 非法经营罪 网络安全法


一、基本案情


2015年7月至2016年12月,被告人胡某租用国内、国外服务器,自行制作并出租“土行孙”“四十二”翻墙软件有偿为境内网络用户提供境外互联网浏览服务。 2016年3月公安机关约谈被告人胡某,责令其停止联网,2016年10月20日,对胡某所在的上海丝洱网络科技有限公司销售“四十二”翻墙软件提供国际联网服务,作出责令停止联网、给予警告,并处罚款人民币15000元,没收违法所得人民币40445.06元的行政处罚决定。 被告人胡某拒不改正,于2016年10月至2016年12月30日继续出租“土行孙”翻墙软件,违法所得共计人民币236167元。经鉴定,“土行孙”翻墙软件采用了gotunnel程序,可以实现代理功能,使本地计算机通过境外代理服务器访问境外网站。


二、诉讼与办案情况


上海市浦东网安支队在工作中发现,有人私自开设VPN,为国内客户提供境外互联网接入服务。进一步调查发现,被告人胡某有重大作案嫌疑。 2016年12月30日,被告人胡某被通知到案,其主动承认利用“土行孙”翻墙软件为客户提供翻墙服务并非法获利23万余元人民币的犯罪事实。


2016年12月30日因涉嫌拒不履行信息网络安全管理义务罪被刑事拘留,2017年1月26日被取保候审。


2018年1月19日,侦查机关认为犯罪嫌疑人胡某的行为触犯刑法第二百二十五条,涉嫌非法经营罪,将本案移送上海市浦东新区人民检察院审查起诉。


2018年7月24日, 上海市浦东新区人民检察院以拒不履行信息网络安全管理义务罪对被告人胡某提起公诉。


2018年9月11日, 上海市浦东新区人民法院以拒不履行信息网络安全管理义务罪判处被告人胡某拘役六个月,缓刑六个月,罚金人民币三万元。


三、评析


本案的争议问题在于,第一,胡某应当认定为非法经营罪、提供非法侵入、非法控制计算机信息系统的程序、工具罪,还是拒不履行信息网络安全管理义务罪? 第二,如何正确理解适用拒不履行信息网络安全管理义务罪?


(一)VPN简介


VPN(Virtual Private Network,虚拟专用网络),是指利用公共通信基础设施构建的虚拟专用或私有网络,通过对数据加密而进行远程网络访问或通信的技术。


目前,各种VPN主要采用隧道技术来实现私有数据传输功能。 它是VPN的基本实现技术,VPN的虚拟特征虚拟特征就是由其实现的。 其基本原理是,它在公用网络上建立一条数据通道来运载用户信息。 通常情况下,互联网用户上网是通过数据终端,将联网请求直接发送数据到网络服务器。 网络服务器在接收到用户的数据请求后,将网络数据直接通过公用网络回传至用户界面。而使用VPN翻墙软件时,VPN软件在境内服务器与境外代理服务器之间架列起一条加密的信息隧道,同时将用户的数据请求打包加密,通过该隧道传送到境外代理服务器,再通过境外代理服务器访问境外网站,以此达到“翻墙”目的。“翻墙”行为通常是为了获取一定国内互联网无法访问的信息,如访问境外社交网站、获取外文学术资源等正当目的,但也有部分不法分子利用VPN“翻墙”恶意传播政治谣言,传播恐怖、极端主义信息,访问淫秽色情网站等,给社会造成了极大的危害。


(二)对“提供侵入、非法控制计算机信息系统程序、工具罪”的否定


刑法第285条第3款规定,提供侵入、非法控制计算机信息系统程序、工具罪是提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的行为。 最高人民法院、最高人民检察院于2011年8月1日颁布的《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(法释〔2011〕19号),“专门用于侵入、非法控制计算机系统的程序、工具”是指(一)具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据的功能的;(二)具有避开或者突破计算机信息系统安全保护措施, 未经授权或者超越授权对计算机信息系统实施控制的功能的;(三)其他专门设计用于侵入、非法控制计算机信息系统、非法获取计算机信息系统数据的程序、工具。


由上述规定可知,在认定提供侵入、非法控制计算机信息系统程序、工具罪时,首先要认定行为人非法提供的程序,是否具有以下两个特征:一是可以避开或者突破计算机信息系统安全保护措施;二是能够非法获取计算机系统数据或对计算机系统实施控制。而在出售VPN翻墙软件的案件当中,在这两方面上均会引起争议。


一方面,VPN翻墙软件并未避开或者突破计算机信息系统安全保护措施。 首先,中国长城防火墙(GFW,Great Firewall of China的简称)的法律地位不明确。 我国官方并无明文规定有GFW的存在,纵使客观上存在“墙”这样的互联网监管措施,但GFW并非绝对禁止国内用户访问国际互联网,只是在一定时间内,通过一定的技术手段(如IP封锁)限制国内用户浏览部分境外网站,同时也限制部分境外用户访问国内特定网站。“墙”从未得到官方公开层面的确认,将“墙”认定为计算机信息系统安保措施缺乏法律依据。 因此对于前述案例涉案的“土行孙”翻墙软件,“翻墙”的说法不确切,并无所谓“墙”的存在。


其次,VPN翻墙软件并未非法获取计算机系统数据或对计算机信息系统实施控制。《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》,“计算机信息系统” 是指具备自动处理数据功能的系统,包括计算机、网络设备、通信设备、自动化控制设备等。根据前文所述,VPN技术本质是一种远程访问技术,通过数据加密、服务器代理等方式访问特定互联网资源。 通过VPN访问境外网站本身,并不直接侵害计算机、网络设备、信息设备、自动化控制设备的系统,并未绕开或者突破这些系统的安全保护措施。 另外,“未经授权或超越授权获取计算机信息系统数据”,应当理解成未经数据所有者、处置者的授权或超越授权获取计算机信息系统数据。,通过VPN访问的国外网站数据资源,属于国外互联网的公开数据内容,用户无需授权即可正常获取这类数据,因而并不存在“未经授权或超越授权获取计算机信息系统数据”。


在本案中,胡某制作、出租“土行孙”“翻墙”软件,因并无法律明文规定的“GFW”国家互联网监管措施,该软件也并不具有非法获取计算机信息系统数据的功能,且“翻墙”并未对计算机系统、网络造成实质性损害,因此该行为不构成提供侵入、非法控制计算机信息系统程序、工具罪。 故定罪需审慎。


(三)对认定为“


非法经营罪”的反对有观点认为制作、 出租、 出售VPN“翻墙” 软件成立非法经营罪, 如浙江省泰顺县人民法院在(2018)浙0329刑初46号判决书中认为:“


一、关于国内互联网虚拟专用网业务(IP-VPN)的性质问题。


根据《中华人民共和国电信条例》所附的《电信业务分类目录》第B13规定,国内互联网虚拟专用网业务(IP-VPN)是指经营者利用自有或租用的互联网网络资源,采用TCP/IP协议,为国内用户定制互联网闭合用户群网络的服务。 互联网虚拟专用网主要采用IP隧道等基于TCP/IP的技术组建,并提供一定的安全性和保密性,专网内可实现加密的透明分组传送。 该业务属于增值电信业务。 根据《中华人民共和国电信条例》第7条、《电信业务经营许可管理办法》第4条规定,经营电信业务,应当依法取得电信管理机构颁发的经营许可证。 ”对此,笔者旗帜鲜明的表示反对。


首先,出售VPN“翻墙”软件不一定属于经营互联网虚拟专用网业务。 根据《中华人民共和国电信条例》所附的《电信业务分类目录》第B13规定,国内互联网虚拟专用网业务(IP-VPN)是指经营者利用自有或租用的互联网网络资源,采用TCP/IP协议,为国内用户定制互联网闭合用户群网络的服务。 而广义VPN“翻墙”软件除IP-VPN(虚拟专用网,相当于假设在公用网络上的企业内部局域网)之外,还包括采用MPLS技术为主的MPLS-VPN(境外专网)。 电信条例所规定的虚拟专用网业务仅包含IP-VPN,并未包含如今主流采用的MPLS-VPN。 因而,绝大多数VPN软件,并不属于电信增值业务,制作、出售、出租VPN软件不需要专门许可。


其次,制作、出售、出租VPN软件并非经营国际电信业务。《最高人民法院关于审理扰乱电信市场管理秩序案件具体应用法律若干问题的解释》(法释[2000]12号)第一条规定,“违反国家规定,采取租用国际专线、私设转接设备或者其他方法,擅自经营国际电信业务或者涉港澳台电信业务进行营利活动,扰乱电信市场管理秩序,情节严重的,依照刑法第225条第4项的规定,以非法经营罪定罪处罚。 ”《办理非法经营国际电信业务犯罪案件联席联席会议纪要》(公通字[2002]29号)第2条规定,解释第1条所称“其他方法”,是指在边境地区私自架设跨境通信线路;利用互联网跨境传送IP话音并设立转接设备,将国际话务转接至我境内公用电话网或转接至其他国家或地区;在境内以租用、托管、代维等方式设立转接平台;私自设置国际通信出入口等方法。 ”也即若要认定出售VPN“翻墙”软件为非法经营罪所规制的行为,就应当认为VPN属于私自设立国际通信出入口,也就是所谓的国际信道。 根据《中华人民共和国计算机信息网络国际联网管理暂行规定》第6条规定,“计算机信息网络直接进行国际联网,必须使用邮电部国家公用电信网提供的国际出入口信道。 任何单位和个人不得自行建立或者使用其他信道进行国际联网。 ”根据《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》第3条第3项规定:“(三)国际出入口信道,是指国际联网所使用的物理信道。 ”VPN“翻墙”软件,无论是IP-VPN还是MPLS-VPN,都需要物理信道,如通信光缆、电缆等进行通信,而其并未私自架设物理上的国际通信线路或采取租用国际专线、私设转接设备等方法联网,而仍采用中国合法运营商的国际出入口信道进行国际联网,即在既有的通信线路上进行通信。 该通信行为并未被现有法律法规所规制,我国并无法律禁止访问国际互联网。因此制作、出售、出租VPN软件并不能认定各位经营国际电信业务,也即不能依照。


最后,从非法经营罪设定的本质来看,非法经营罪的认定依赖于前置性法规,其本质是对特许经营权的保护,而我国没有明确的信息关防的说法,“翻墙”服务已不属于行政许可范围,行政规定中亦无刑事法则,采用口袋罪非法经营罪来规制已饱受诟病,故笔者认为,制作、出售、出租VPN软件不宜以非法经营罪处罚。


(四)对认定为“拒不履行信息网络安全管理义务罪的”的支持


刑法第286条之一规定拒不履行信息网络安全管理义务罪,“网络服务提供者不履行法律、 行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的(一)致使违法信息大量传播的;(二)致使用户信息泄露,造成严重后果的;(三)致使刑事案件证据灭失,情节严重的;(四)有其他严重情节的。 ”


首先,提供VPN软件给他人进行通信服务的人,属于网络服务提供者,应当受该刑法条文的规制。最高人民法院、最高人民检察院《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》(法释〔2019〕15号)第1条对网络服务提供者做了规定:“(一)网络接入、域名注册解析等信息网络接入、计算、存储、传输服务;(二)信息发布、搜索引擎、即时通讯、网络支付、网络预约、网络购物、网络游戏、网络直播、网站建设、安全防护、广告推广、应用商店等信息网络应用服务;(三)利用信息网络提供的电子政务、通信、能源、交通、水利、金融、教育、医疗等公共服务。 ”提供VPN软件给他人的人,属于提供网络接入的网络服务提供者。


其次,对于架设虚拟专线网络VPN有明确的行政规定。《工业和信息化部关于清理规范互联网网络接入服务市场的通知》(工信部信管函[2017]32号)第二节第4条规定,“违规开展跨境业务问题。 未经电信主管部门批准,不得自行建立或租用专线(含虚拟专用网络VPN)等其他信道开展跨境经营活动。 ”,明确规定未经批准,不但自行建立虚拟专用网络VPN,给行政部门对VPN出售者进行行政处罚、责令关闭VPN提供了法律依据。在本案中,2016年3月、10月公安机关两次约谈被告人胡某要求停止联网服务。 2016年10月20日,上海市公安局浦东分局对被告人胡某利用上海丝洱网络科技有限公司擅自建立虚拟专用网络VPN进行国际联网的行为,作出责令停止联网、警告、并处罚款人民币15000元、没收违法所得人民币40445.06元的行政处罚决定。 胡某拒不改正,于2016年10月至2016年12月30日,继续出租“土行孙”翻墙软件,违法所得236167元。 胡某的行为,符合拒不履行信息网络安全管理义务罪的行政前置处罚条件。


最后,非法提供VPN软件给他人用于“翻墙”符合本罪定罪情节“(四)有其他严重情节的”。最高人民法院、最高人民检察院《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》(法释〔2019〕15号)第6条规定,“拒不履行信息网络安全管理义务,具有下列情形之一的,应当认定为刑法第286条之一第1款第4项规定的“有其他严重情节”:(一)对绝大多数用户日志未留存或者未落实真实身份信息认证义务的;(二)二年内经多次责令改正拒不改正的;”本案中,被告人胡某作为普通网络服务提供者,既无能力,又无雄厚的资金对适用VPN用户日志进行留存或落实其真实身份信息认证,因而符合本罪“有其他严重情节”的规定。


综上所述,对于制作、出售、出租VPN“翻墙”软件的网络服务提供者,在现行刑法尚未对出售VPN的行为作出明确规定之前,在行政前置法已责令采取改正措施而拒不改正的情况下,可以认定该行为为拒不履行信息网络安全管理义务罪。


【声明】 部分文章和信息来源于互联网、律师投稿,刊载此文是出于传递更多信息和学习之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明于本网联系,我们将予以及时更正或删除。 联系邮箱:help@wenfa.cn ,在线反馈

点赞

收藏

关注作者

关于作者
  • 邵旻、王浩

  • 专业律师 分享

阅读

获赞

305

评论

21

wenfa.cn 在线问法

关注我们