● 郭树正 /文
*北京市海淀区人民检察院[100089]
[基本案情]邓某在自己的电脑设备上架设VPN翻墙软件[1](其名为“飞越 SS”、“影梭云”),使用户能够通过该软件访问国内IP所无法访问的如谷歌等网站,并搭建了一个网站用于提供、贩卖该软件给他人使用,非法获利人民币13957.57元。后广东省东莞市第一人民法院以邓某的行为触犯《刑法》第285条第3款规定之罪,判处邓某9个月有期徒刑,并处罚金,邓某及其辩护人对此无异议,未提出上诉,判决已生效。
笔者认为探究擅自经营VPN类业务行为的定性,首先应当明确《刑法》第285条第3款[2]之规定的构罪情况。本案定性的主要依据应当包括《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下简称《解释》)。《解释》第2条界定了什么样的计算机系统程序属于具有专门非法入侵、或未经许可非法控制他人计算机信息系统功能的程序,该类型程序、工具功能的共性是能够不经过计算机设备使用者的允许,来获取(主要方式为远程获取)相关计算机设备中的数据(即“计算机信息系统数据”)或者对相关设备进行控制。根据《解释》所表达之意,这类程序、工具所展现出的功能更类似于黑客所使用的网络攻击软件,若无这类功能,则不应当认定符合《解释》第2条规定。
以上法律规定中包含了“计算机信息系统”与“计算机信息系统数据”两个关键术语,故分析该罪还应当对二者进行简单界定。笔者认为应当综合相关司法解释、行政法规的规定,并根据技术发展对概念做出一定延伸,“计算机信息系统”是能够自动处理数据的智能手机设备、虚拟机设备、云计算设备及其相关附属设备所构成的交互系统。那么由此系统产生的数据,即是法律规定中所保护的“计算机信息系统数据”。
根据《网络安全法》的规定,计算机网络与数据被认为是国家主权的一部分,故法律应仅保护国内计算机信息系统的安全,一国无权保护他国的计算机信息系统安全,境外的数据当然不包含于其中,境外产生的数据经过互联网传输到国内后,我国才有权限管控,单纯在境外产生、流转的数据我国无权限控制,也无权力保护。
因此,笔者认为我国法律所保护的“计算机信息系统数据”应该进行解释为:依赖于计算机及相关硬件设备,通过人机交互的方式在国内产生数据,并存储、传输于国内的操作系统数据、软件及附属数据、可读写文件数据、网络访问数据等。简而言之,我国法律保护的“计算机信息系统数据”应当限制为国内的计算机信息系统数据,即保护并管制在中国产生、传输的数据。
此外,应当理解什么是“计算机信息系统安全保护措施”。对于相关的保护措施,国内虽然没有具体法律法规予以规定,但是行业内或学术上一般认为相关技术包括加密技术、身份识别技术、杀毒与防火墙技术、入侵检测与网络监控等[3]。可是计算机技术本身并不等同于能够上升至法律法规规定的“计算机信息系统安全保护措施”,“保护措施”可以是一种或数种技术的结合。但是对于什么是相关保护措施,并无现行法律法规进行界定,也没有行政法规对破坏“计算机信息系统安全保护措施”的行为进行规制。在没有法律法规的情况下,一般的计算机使用者不会去刻意查找学习相关文献,现阶段对该“措施”的模糊规定,导致无法从刑法上明确相关内涵与外延,因此将破坏保护措施的行为直接上升至刑事处罚有待商榷。
国内出于互联网安全等方面的考虑,对国际联网的数据采取域外IP 封锁[4]、网络数据内容过滤、域名劫持、网络流量限制等手段,实现国内对域外网络内容访问的限制[5],因此国内联网用户对于绝大多数境外互联网数据无法访问,国内的联网只能称之为“部分国际联网”,其主要是国内联网。
一般国内外习惯性地将国内存在的一系列限制网络访问的措施概括为“长城防火墙”(GreatFireWall——国际互联网网络隔离系统,以下简称GFW)。虽然该系统从未得到官方的承认,但该系统确实存在。中国大陆的计算机设备接入国际互联网都需要通过中国大陆的网关,就像出入境检查一样,GFW通过技术手段对用户数据进行查验,对于存在大陆禁止性信息的数据,GFW会直接对其进行屏蔽,造成普通用户无法访问相关内容。GFW对互联网信息进行过滤分析,同时阻碍国内用户访问域名在国外的网站,也阻碍国外用户访问域名在国内的网站。
如果将擅自经营VPN业务牟利的行为,定性为《刑法》第285条第3款规定之罪,则应当分析VPN翻墙工具是否具有《解释》第2条规定的功能。“翻墙”所用的技术一般都是“虚拟专用网”(Virtual Private Network)技术,简称VPN技术,其通过技术手段,采用较强的加密协议“通道协议(Tunneling Protocol)”来通过互联网进行传输加密的私人信息数据。利用VPN类工具“翻墙”,即绕过相应的国内互联网限制性手段,实现国内网络对国际互联网网络内容的访问。但是“技术”不等于采用该技术的“工具”,采用加密协议技术是VPN技术的内核,也就是说采用这个技术进行数据交互,那么数据就必然加密,采用技术本身并不违法,但是非法使用该技术制造工具就有可能触犯法律。此外,最高人民法院指导性案例认为构成该罪的程序工具,应当具备故意逃避杀毒软件程序查杀、防火墙控制的特征,这些特征VPN类翻墙工具皆不具备。
首先,《刑法》第285条规定了三款罪名[6],笔者认为该三款罪名立法的逻辑顺序应当是,首先保护国家的重点计算机信息系统及其中留存的数据、保护除前者之外的系统及数据、惩罚非法提供有害性工具者。该条所规定的侵入、获取、控制行为皆存在重大的社会危害性,其行为侵害了计算机信息系统的正常运行,也侵害了相关数据的正常处理,其行为获取了国家保护的数据或他人的私人数据,获取这些数据会造成恶劣影响,应当受到刑罚处罚;如果缺乏危害性,则不能构成该条款规定之罪。全国人大常委会法工委刑法室曾针对《刑法》第285条第3款做出解释,指出行为人所提供的程序、工具只能用于实施非法侵入、非法控制计算机信息系统。[7]此外,这类程序、工具还应当满足三个要件,即首先该程序本身即具有非法获取数据或进行未经授权许可控制的功能;其次该程序本身具有避开或者突破计算机系统安全保护措施的功能;此外该程序在设计时,其主要实现的功能是非法获取他人数据或未经授权许可对其他电子设备系统进行控制,这并不需要通过程序在客观表现上所反映的特性界定其范围,而是通过设计者的主观动机予以界定[8]。
前述规定的三款罪名中,前两款罪名应当满足违反国家规定进而实施非法行为的构成要件,第三款罪名是保护性、兜底性罪名,主要目的是为了惩罚那些为前两款罪名提供非法工具的行为,因此当然应当有“违反国家规定”的构成要件要求。即便不考虑该要件,构成第三款罪名也应当要求所提供的有害性工具,对目标计算机信息系统及数据造成了实质性危害。如果所提供的工具及提供行为,既不能满足“违反国家规定”的构成要件,也没有对目标计算机系统及数据造成实质危害,那么就不应当构成第三款罪名,即“提供侵入、非法控制计算机信息系统程序、工具罪”。
综上所述,笔者认为采用VPN技术的翻墙工具不能满足上述要求,主要原因是该工具从设计技术原理与实现功能上就不是一种专门用于非法侵入、或者未经许可非法控制他人计算机系统的程序,而是将通用且常用的技术、协议转化为可执行程序进而访问境外网站的工具。即使对上述存在异议,也应当根据《解释》第10条[9]规定,对相关的程序工具提请司法鉴定后再作出结论。本文所讨论案例中并未对此进行任何司法鉴定或者提交省级以上主管部门检验,因此不能对此行使自由裁量权。
首先,VPN技术并不存在非法控制计算机信息系统的功能,如果认为本案中的“飞越SS”“影梭云”翻墙软件存在非法控制或侵入的功能,则应当对其进行软件的功能性鉴定,但本案中并未进行相关鉴定,因此应当认定该翻墙软件并不具有相关功能。其次,在正常情况下网络犯罪涉及翻墙软件时,仅是将翻墙软件作为辅助性工具,即违法行为人可能将有害性工具部署于境外网络环境中,通过翻墙工具将境外的有害工具同国内网络链接,进而实施违法行为,但是若以此定罪,则提供工具者必须明知他人存在使用翻墙工具进行计算机类犯罪的行为。就本案而言似乎并不存在该情况,即便存在该情况,司法机关也未对此予以证明,因此无法认定。
唯一的问题就是使用采用VPN技术的翻墙软件,是否存在突破或避开了计算机信息系统安全保护措施的功能。对于大陆用户而言,翻墙软件是采用VPN技术通过对数据进行强加密,从而避开GFW的监控检查,获取境外的数据信息。对于GFW而言,其无法直接审查经过VPN技术强加密后的交互数据,被加密的数据因此可以混过GFW的安检,所以数据可以较为便捷的进行境内外数据交互。
那么想要认定他人贩卖翻墙工具牟利的行为触犯《刑法》第285条第3款之规定,笔者认为必须满足两个前提条件:一是GFW是计算机信息系统安全保护措施;二是通过中国大陆网关和GFW的数据是受中国法律保护的数据。只有满足该两个条件,才能认为VPN软件满足刑法规定的避开计算机信息系统的安全保护措施,没有经过合法授权或者在合法授权之外非法获取了其他计算机信息系统数据的客观要件。构成该条款规定之罪,应当满足提供行为或该工具本身“违反国家规定”,或者工具对目标计算机系统及数据造成实质危害。但是提供翻墙软件并未违反《刑法》第285条相关的国家规定,使用翻墙软件也不会对目标计算机与系统造成实质危害。
首先,GFW并未存在于任何官方文件中,在国内无规可循,无文献可查。维基百科指出GFW属于“金盾工程”的一部分。“金盾工程”系中国电子政务建设的代表之作,其涵盖范围较大,相关的官方文件已经公布,但GFW和该工程不能相提并论,涉及GFW的文件并未公开,但却事实存在[10]。“法无禁止皆可为”,如果长城防火墙确属中国的计算机信息系统网络安全防护措施,那么其相关的规范性法律文件应当公开,如果相关法律文件无法被公民所知,那么公民就无从遵守、执行,更谈不上违反法律。因此,虽然使用翻墙软件避开了GFW的内容审查,但是GFW定性不清,没有法律赋予其相关的权限限制公民的通讯自由等权利,不能解释为刑法规定的“计算机信息系统安全保护措施”。即便将其解释为“计算机信息系统安全保护措施”,翻墙工具也未故意逃避查杀、逃避控制,翻墙工具所采用的VPN技术本身就是加密技术。安全保护措施所保护的是本机的系统与数据,而翻墙工具交互数据的对象是国外的系统及数据,其仅是通过了像关隘一样的GFW,未对国家的任何系统与数据造成影响,因此也不能认为“翻墙”破坏了计算机信息系统安全保护措施。
笔者前文已论述了我国所保护的计算机信息系统及其所产生的数据,应当是国内产生、传输的数据,境外的系统及数据如果未对我国造成危害或影响时,我国并无管辖权限。使用翻墙软件的行为仅是通过中国网络的关隘,进而同国际互联网数据进行交互,其所获取的数据也是境外计算机信息系统所产生的数据,在未发生对境外系统与数据的违法行为前,我国对这些数据并无管辖权限。
根据社会一般经验,使用本案中“飞越SS”“影梭云”此类功能简单VPN翻墙工具的用户,一般都是不具有自己搭建VPN能力的普通用户,翻墙的目的一般是为了从国外的网络中浏览、获取一定的信息,或者前往网络游戏的其他服务区玩游戏,此类行为获取的数据并非通过侵入他人计算机信息系统而非法获取的数据,只是正常的数据交互根本不会对国外的计算机信息系统及数据造成危害。因此笔者认为,使用翻墙工具获取的境外计算机信息系统数据在未涉及犯罪问题前,其并不属于刑法所保护的数据范围。综上所述,VPN类翻墙软件并非系专门用于侵入、非法控制计算机信息系统的程序、工具,使用该类工具的翻墙行为也未破坏计算机信息系统的安全保护措施,其获取的数据在对境内外产生有社会危害性的行为前,并不属于刑法所管辖的数据范围,因此贩卖翻墙软件的行为不能构成《刑法》第285条第3款规定之罪。
VPN类业务属于电信业务的一部分,经营电信业务需要国家允许的资质,这些规定初期散现于《计算机信息网络国际联网出入口信道管理办法》第2条[11]、《计算机信息网络国际联网管理暂行规定》第6条[12]等。现阶段关于电信业务的规定大部分已整合至《电信条例》之中。《电信条例》第7条、第9条、第13条[13]规定了经营电信业务的许可制度、审批制度和需要满足的条件等。根据工业与信息化部《电信业服务分类目录》B章B13款规定,国内互联网虚拟专用网业务(IP-VPN)属于电信业务中的增值电信业务。2017年工信部《关于清理规范互联网网络接入服务市场的通知》进一步明确了未经许可任何单位和个人都不得擅自经营VPN业务,且使用范围限于租用者内部办公使用,不得私自连接访问域外网络数据。综上,依照《中国互联网管理条例》相关规范,从事互联网增值信息服务不仅需要“基础电信业务许可证”,也需要“增值电信业务许可证”,即提供VPN类网络代理服务,实际上需要经过相关部门行政审批。没有获得此资质、未经过审批,任何单位或个人不允许随意开展这项业务。
我国最初是中国邮电电信总局拥有“电信业务经营许可证”“增值电信业务经营许可证”“跨地区增值电信业务经营许可证”的相关经营资质,后该单位拆分为中国电信、中国移动、中国联通公司,在实施“三网合一”后,三家公司均可以自主经营电信业务,也就是说除了这三大运营商之外,再无其他组织机构或个人有资质经营相关电信业务。这说明经营电信业务是国家专营事项,经营VPN业务是国家限制经营事项。
笔者认为擅自经营VPN业务的行为,应当定性为《刑法》第225条规定之罪。贩卖翻墙软件的行为,其本质是一种非法擅自经营VPN类业务的行为,VPN类业务属于电信业务中的增值电信业务,经营该业务当然应当适用规制电信市场的相关法律法规。根据《刑法》第96条规定,“国家规定”包含行政法规,未经许可获得经营资质却擅自经营VPN类业务的行为,违反了《电信条例》的相关规定。根据《关于审理扰乱电信市场管理秩序案件具体应用法律若干问题的解释》第1条规定,任何单位、个人不得违反国家规定,扰乱电信市场管理秩序,采用租用国际专线或其他方法,擅自经营国际电信业务进行营利活动,情节严重的应当将此行为认定为非法经营罪。笔者认为未经行政主管部门许可擅自经营VPN类业务的行为,属于私自设置国际通信出入口的类型之一,这种行为符合前述司法解释的规定。擅自经营VPN类业务牟利的行为,既违反了《电信条例》,也违反了相关司法解释。因此多次出售VPN类软件经营牟利的行为,属于非法经营电信业务情节严重的范畴,在目前情况下,这种行为更宜定性为非法经营罪而非本文案例中认定的罪名。
注释:
[1]本案所指非法经营VPN类业务,是指未经授权擅自将能够访问境外网站(如谷歌、推特等)的工具在网络上售卖并非法获利的行为。该案判决详见(2017)粤1971刑初250号刑事判决书。
[2]我国《刑法》第285条第3款规定了提供侵入、非法控制计算机信息系统程序、工具罪,笔者认为该罪设立的主要目的是为了规制计算机类犯罪中提供犯罪工具的行为。
[3]参见冯庆曦:《计算机信息系统安全技术的研究及其应用》,载《电脑开发与应用》2012年第6期。
[4]本文所指的IP地址信息封锁,是指通过技术手段将域外IP地址加入国内互联网连接时的黑名单,国内用户访问域外IP时需要通过网络服务运营商的服务器向域外服务器发送访问请求数据,但因国内所发送数据包被阻断,导致向域外服务器的访问请求无法得到回应,最终使国内IP地址无法访问域外网站。
[5]参见陈龙、麦永浩、黄传河:《计算机取证技术》,武汉大学出版社2007年版,第135-140页。
[6]即“非法侵入计算机信息系统罪”“非法获取计算机信息系统数据、非法控制计算机信息系统罪”“提供侵入、非法控制计算机信息系统程序、工具罪”。
[7]全国人大常委会法工委刑法室:《中华人民共和国刑法条文说明、立法理由及相关规定》,北京大学出版社2009年版,第592页。
[8]参见李少平主编:《解读最高人民法院司法解释、指导性案例 刑事卷(下)》,人民法院出版社2016年版,第665-666页。
[9]最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第10条规定,对于是否属于难以确定的,应当委托省级以上负责计算机信息系统安全保护管理工作的部门检验。司法机关根据检验结论,并结合案情具体情况认定。
[10]参见沈逸:《超越推墙与守墙之争,推进长城防火墙改革》,http://news.fudan.edu.cn/2015/0630/39349.html,访问日期:2018年10月3日。
[11]该办法第2条规定,我国境内的计算机信息网络直接进行国际联网,必须使用邮电部国家公用电信网提供的国际出入口信道。任何单位和个人不得自行建立或者使用其它信道(含卫星信道)进行国际联网。
[12]该规定第6条规定,计算机信息网络直接进行国际联网,必须使用邮电部国家公用电信网提供的国际出入口信道。任何单位和个人不得自行建立或者使用其他信道进行国际联网。
[13]《电信条例》第7条规定,国家对电信业务经营按照电信业务分类,实行许可制度。经营电信业务,必须依照本条例的规定取得国务院信息产业主管部门或者省、自治区、直辖市电信管理机构颁发的电信业务经营许可证。未取得电信业务经营许可证,任何组织或者个人不得从事电信业务经营活动。第9条规定,经营基础电信业务,须经国务院信息产业主管部门审查批准,取得《基础电信业务经营许可证》。经营增值电信业务,业务覆盖范围在两个以上省、自治区、直辖市的,须经国务院信息产业主管部门审查批准,取得《跨地区增值电信业务经营许可证》;业务覆盖范围在一个省、自治区、直辖市行政区域内的,须经省、自治区、直辖市电信管理机构审查批准,取得《增值电信业务经营许可证》。第13条规定:“经营增值电信业务,应当具备下列条件:(一)经营者为依法设立的公司;(二)有与开展经营活动相适应的资金和专业人员;(三)有为用户提供长期服务的信誉或者能力;(四)国家规定的其他条件。”