网络“翻墙”可能涉及的违法甚至犯罪问题,是一个牵涉法学和网络技术的双领域问题。很多司法人员和学者不了解相关技术原理,而很多技术专家和鉴定人员,又不能准确理解相关法律,所以目前在定性、处罚、鉴定、研讨和论文写作中常能看到很多错误理解。
一、“翻墙”的基本原理:就是简单的代理访问
“墙”这个概念从未正式出现在任何法律法规或公开的文件上,这里也不再过多讨论“墙”的历史和具体运行方式。可以确定的是,直到目前,国家防火墙的工作机制还是采用的黑名单模式,也就是例如Google、推特这种在黑名单上的境外网站及应用无法从境内直接访问,而不在黑名单上的境外网站和应用则不受此限制。基于此,要解决对前者的访问问题即实现“翻墙”其实很简单:通过不在黑名单上不受限制的境外服务器,中转与被受限网站服务器间的来往流量,即代理访问,就可实现访问受限网站(即“翻墙”)之目的。
而代理访问是互联网上重要且很常见的应用服务,甚至可以说是互联网的本质特征之一:既然互联网是网状结构的,那么,其各个节点间的互相访问,天然就不仅仅只有一条直线可走。实际上,代理访问不仅具有隐藏真实IP,充当保护层和安全墙,突破网站的区域限制的功能,还能通过内容缓存提高访问速度,实现负载均衡以及对内部资源访问的控制,因此,它是互联网上最常见的服务应用之一。
虽然“翻墙”的原理就是如此简单,但当前绝大多数法律人甚至鉴定专家都对此缺乏基本了解,主观上神秘化了“墙”与“翻墙”,认为“墙”这个东西非常厉害,要实现“翻墙”,就必须魔高一丈,必须更加神秘、更加有技术含量。
而且,现在很多文章不仅将代理协议、中转服务器、虚拟专用服务器(Virtual Private Server,VPS服务器)、客户端等不同概念混为一谈,胡乱分类,还有文章甚至错误地认为“加密”是翻墙的主要原理。其实,现在对互联网网站的访问加密已成为主流,但并不是用来“翻墙”的。
二、对“翻墙”的两大常见误解
(一)误解一:“翻墙”都是使用VPN,VPN就是“翻墙”工具
对VPN(虚拟专用网络)的这种看法,在大多数司法部门、鉴定机构、学者律师甚至“翻墙”工具使用者脑子里都根深蒂固,非常流行。实际上,大多数是人云亦云,并不是在了解技术原理基础上的准确认定和评价。
如前所言,其实当前主流翻墙方式已不是VPN,而仅仅就是一个简单的代理访问。
在VPN中,任意两个节点间的连接并不存在传统专网所需的端到端的物理链接,而是在现有网络上使用隧道协议创建了一个虚拟的点对点连接而形成的。这样,可以认为数据是在一条专用的数据链路上进行了安全传输,如同架设了专用网络一样,但实际上VPN使用的仍是互联网上的公用链路,只不过它是“虚拟”的专用网络。
工信部《电信业务分类目录》(2015版)B13中写到:“国内互联网虚拟专用网业务(IP-VPN),是指经营者利用自有或租用的互联网网络资源,采用TCP/IP协议,为国内用户定制互联网闭合用户群网络的服务。互联网虚拟专用网主要采用IP隧道等基于TCP/IP的技术组建,并提供一定的安全性和保密性,专网内可实现加密的透明分组传送。”
VPN的设计初衷是为了在不安全的网络中传输机密信息,严格意义上的VPN技术,其关键核心原理及特征并不是代理服务架构,而是加密传输的专用隧道协议。而VPN之所以能附带实现“翻墙”,主要是因为其自带了代理服务器。在互联网早期,想要实现“翻墙”,最重要的就是寻找到合适的代理,而恰恰是VPN自带代理服务器,因此一度成为“翻墙”的首选。
但是,将VPN用于“翻墙”会带来两个问题和不便:其一,其建立连接的协议和过程本身具有极高的辨识度,极易被识别和阻断;其二,其速度也会因为要强加密和解密而变得缓慢。
而云计算的兴起以及虚拟专用服务器(VPS服务器)的普及,使得拥有一个可以部署代理协议的服务器变得非常简便且经济。所以后来更加轻便的Socks5会话层专用代理协议,如shadowscoks等全面替代VPN而成为了主流的“翻墙”方式。
至于为何大家会把“翻墙”和VPN等同起来?主要有两个原因:其一,因为曾经有段时期VPN确实是最常用的翻墙方式;其二,苹果的IOS系统和安卓两大系统的状态栏包括相关应用商店,都将仅是代理访问的各种非VPN应用习惯性地标记、显示为了“VPN”,由此引发和加重了这一混淆。
(二)误解二:“翻墙”就是建立或使用了非法定信道,是非法接入网络
由于之前对“翻墙”行为的定性和处罚,很多都不是结合了技术与法律的评价,因此也难以自圆其说,受到的质疑非常多。
近年来,一些司法人员也在寻找更适合的处罚依据,这种情况下,非法经营和建立、使用非法定信道甚至非法接入网络这种老古董级别的概念都被翻出来适用,并逐步成为“翻墙”处罚的主流。
1.“翻墙”并没有也不需要“建立、使用非法定信道”
关于“国际出入口信道”这个概念,起源于1996年出台的《中华人民共和国计算机信息网络国际联网管理暂行规定》(1997年修正)第六条:“计算机信息网络直接进行国际联网,必须使用邮电部国家公用电信网提供的国际出入口信道。任何单位和个人不得自行建立或者使用其他信道进行国际联网。”
1998年国务院信息化领导小组发布的《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》第三条:“本办法下列用语的含义是:(三)国际出入口信道,是指国际联网所使用的物理信道。”这条明确了国际出入口信道的物理性质。
而最常见的“翻墙”基本上都是借助程序、软件实现的,因此可以直接否定“翻墙”是建立、使用非法定信道的定性。
2.“翻墙”不是“非法接入网络”
还有少数人别出心裁,定性“翻墙”是非法“接入网络”的。这最早也出自上述96年《暂行规定》,其第三条规定:“个人、法人和其他组织(以下统称用户)使用的计算机或计算机信息网络,需要进行国际联网的,必须通过接入网络进行国际联网。”
如果认真理解《暂行规定》,加上前述《电信业务分类目录》B14对“互联网接入服务”的表述(“指利用接入服务器和相应的软硬件资源建立业务节点,并利用公用通信基础设施将业务节点与互联网骨干网相连接,为各类用户提供接入互联网的服务”),就会知道,“接入网络”就是将互联网服务带入寻常百姓家,连接这“最后一公里”,同样有很明显的物理属性。而现在,最主要的接入单位就是移动、联通、电信等网络业务提供商(Internet Service Provider,简称ISP)。
除了物理属性决定了“翻墙”这种软件层面的工具、服务不可能“建立使用非法定信道”或“非法接入非网络”外,一个更显而易见、更简单的道理是:如前所述,“翻墙”的基本原理和过程就是一个最简单的代理访问,只需正常访达位于境外且不在“墙”黑名单上的代理服务器即可实现“翻墙”。同时,既然这些被选择访问的境外代理服务器不在黑名单上,对其访问是根本不受限的,那么还有任何必要去建立、使用“非法定信道”或“非法接入网络”吗?
实际上,“翻墙”访问,从个人终端开始,到小区路由器,再到运营商机房,再到省级出入口,再通过国际出入口到达境外服务器的过程,与正常访问境外网站的过程,没有任何区别,也不需要有任何区别。
总之,除了有人自行发射或沟通通讯卫星或私自铺设光缆接入境外网络这类的超常规方式外(当然这是毫无必要的),基本上主流“翻墙”都是通过合法的基础民用接入网络和国际出入口信道实现的跨境数据交换。
三、对单纯“翻墙”定罪处罚的常见谬误
这里先讨论对单纯的翻墙行为或单纯提供、销售翻墙工具、服务的刑事处罚问题。这也是目前争议较大,关注较多的。
其中的刑事处罚,最常见的是针对提供、销售翻墙工具、服务的行为。从近年来的案例检索来看,“提供侵入、非法控制计算机信息系统程序、工具罪”和“非法经营罪”在实践中占主导地位。
(一)并不构成刑法第285条第三款规定的提供侵入、非法控制计算机信息系统程序、工具罪
“翻墙”的过程,无论是利用VPN还是通过shadowsocks等专用协议进行,本质上都是简单的借助数据中转服务实现的代理访问,没有、也不需要任何主动攻击行为,不存在、也根本不需要避开或突破任何计算机信息系统安全保护措施。“翻墙”的一般目的是浏览访问境外网站、服务,就是正常的互联网数据信息交互,不存在、也根本不需要未经授权或者超越授权非法控制和非法获取数据。
另外,如果认定提供“翻墙”工具、服务是提供侵入、非法控制计算机信息系统程序、工具罪,那么,是否应该明确指出被侵入、被非法控制、被非法获取数据的对象?同时,使用这些工具和服务的主体是不是就构成了相应的侵入、非法控制、非法获取数据等违法甚至犯罪行为?
如果判了提供者,是否也应追究使用者的刑事或行政责任?但事实上,这些相应的、逻辑上的必然法律释明或者法律制裁均没有过,也不应该有。
(二)并不构成非法经营罪
以非法经营给销售“翻墙”工具、服务行为定罪常见的逻辑是:“翻墙”就是VPN,属于电信业务因此需要取得经营许可证,销售“翻墙”工具、服务未取得相关许可证,属于违反国家规定,扰乱了电信市场秩序,如果情节严重,依据《刑法》第225条认定为非法经营罪,而且大多数适用的是该条第四项兜底条款。
前面我们已经说明过,“翻墙”并不等于VPN,因此对于用shadowsocks等非VPN方式翻墙的,已没有讨论必要。这里专门讨论一下,如果确实销售、提供的是VPN 方式“翻墙”的工具和服务,是否构成非法经营罪。
2011年最高法《关于准确理解和适用刑法中“国家规定”的有关问题的通知》明确规定:“各级人民法院审理非法经营犯罪案件,要依法严格把握刑法第二百二十五条第(四)项的适用范围。对被告人的行为是否属于刑法第二百二十五条第(四)规定的‘其他严重扰乱市场秩序的非法经营行为’,有关司法解释未作明确规定的,应当作为法律适用问题,逐级向最高人民法院请示。”
目前常用来给使用VPN“翻墙”定非法经营罪的司法解释是最高人民法院《关于审理扰乱电信市场管理秩序案件具体应用法律若干问题的解释》(法释【2000】12号)的第一条:“违反国家规定,采取租用国际专线、私设转接设备或者其他方法,擅自经营国际电信业务或者涉港澳台电信业务进行营利活动,扰乱电信市场管理秩序,情节严重的,依照非法经营罪定罪处罚。”
但是,这一条规定的违法经营电信业务方式与VPN并无关系:
首先,该解释限定的是“采取租用国际专线、私接转接设备或者其他方法”,这些都是物理层面的方法。2002年《办理非法经营国际电信业务犯罪案件联席会议纪要》(公通字[2002]29号)更是进一步明确规定:前述《解释》第一条所称“其他方法”,是指:“在边境地区私自架设跨境通信线路;利用互联网跨境传送IP话音并设立转接设备,将国际话务转接至我境内公用电话网或转接至其他国家或地区;在境内以租用、托管、代维等方式设立转接平台;私自设置国际通信出入口等方法。”
其次,更重要的是,从该解释第二条的内容“实施本解释第一条规定的行为,具有下列情形之一的,属于非法经营行为“情节严重”:(一)经营去话业务数额在一百万元以上的;(二)经营来话业务造成电信资费损失数额在一百万元以上的……”可看出,这里电信业务指的是基础电信业务中的来话、去话业务,也就是要接入固定网或者移动网等公用电话网络。
而根据前述的《电信业务分类目录》相关定义,国内互联网虚拟专用网业务(IP-VPN)属于纯互联网的增值电信业务,既非物理设备,更不是来话、去话这种接入公用电话网络的基础电信业务。
综上可知,以非法经营给销售、提供VPN方式翻墙的行为定罪貌似合理,其实是对司法解释的错误理解。而实践中更常见的错误是,为了“靠上”非法经营罪,将所有“翻墙”方式一概都认定为VPN。但其实它们之间有大的不同,而且后者早已不是主流了,不再赘述。
实际判例中还有根据2015年《关于依法严厉打击非法电视网络接收设备违法犯罪活动的通知》(新广电发[2015]229 号),认为“翻墙”工具属于非法电视网络接收设备从而认定非法经营的,这个逻辑过于荒谬,不值一驳,不再浪费笔墨。
四、对单纯“翻墙”行政处罚的分析
提供、销售“翻墙”工具和服务尚不够刑事犯罪的,以及个人的“翻墙”行为均有过行政处罚。根据近年来公开的部分案例看,比较常见的有三种处罚理由和依据,下面一一分析。
(一)“建立、使用非法定信道进行国际联网”作为处罚理由并不成立
如前所论述,目前主要“翻墙”的方式包括VPN的基本原理都是代理访问,而代理访问现在已经是互联网上最常见的数据信息交互形式。
代理访问和直接访问所经过的国际出入口信道都是一样的。不排除有人能自行沟通通信卫星或私自铺设光缆,但是否有这个必要?简单的代理访问即可实现翻墙,而作为中转的境外代理服务器也不在“墙”的黑名单上,根本没有访问限制,那么,有什么必要去建立、适用非法定信道?
如前所言,目前所有的“翻墙”过程,基本上都是由客户端通过境内合法的ISP(网络业务提供商)接入互联网,然后经过合法的国际出入口到达位于境外的代理服务器(直到这一步,“翻墙”与其他正常的对境外网站的访问没有任何区别),然后再通过代理服务器访问并返回其他被“墙”网站的信息。
如果实践中发现确有建立非法定信道来“翻墙”的,那么处罚时就应明确指出,其从个人客户端直到境外目标网站整个访问路径所建立、使用的非法定信道是何种形式,在哪个节点,而不是顾名思义地将代理访问的路径直接联想为非法定信道(除非明文禁止代理访问)。
其实,这个路径和节点其实非常好查,使用tracert(traceroute)类的网络常用工具,就能很简单、方便地显现从个人客户端到境外目标网站经过的所有路由节点。
(二)“非法接入网络进行国际联网”作为处罚理由也不成立
如前所述,“翻墙”的过程,从家庭网络到小区宽带,到ISP(网络业务提供商)的机房,再到城域网,再到骨干网,直到越过国际出入口到达境外代理服务器,和所有其他正常上网行为的接入方式和路径都是一样的。没有、也没必要非法接入网络。唯一的区别就是,到达境外后通过代理服务器间接访问其他被“墙”的网站。
(三)“提供专门用于危害网络安全活动的程序、工具”作为处罚理由也不成立
这一行政处罚依据的是《中华人民共和国网络安全法》第二十七条和六十三条。其实质是对符合刑法中提供侵入、非法控制计算机信息系统程序、工具罪行为但情节轻微不构成犯罪的行政处罚。
如前所述,“翻墙”并没有提供专门用于危害网络安全活动的程序、工具。其基本原理就是一个最简单代理访问,即便是使用VPN方式也是一样的代理访问过程。这是互联网上最常见的应用服务,没有也不需要任何攻击性功能。
五、“翻墙”可能的罪与罚
“翻墙”本身从原理上来说是中性的,但“翻墙”就没有任何违法风险吗?那也绝对不是。具体要看“翻墙”的目的及“翻墙”后实施的具体行为。
(一)“翻墙”工具和服务提供者的罪与罚
刑事上,这些提供者确实可能构成犯罪。但目前最常用的提供侵入、非法控制计算机信息系统程序、工具罪以及非法经营罪都是错误适用。实际上,根据不同情节,可能构成的罪名有:拒不履行信息网络安全管理义务罪、帮助信息网络犯罪活动罪,以及其他犯罪的共犯。
行政上,可能违反《网络安全法》,如:拒不履行信息网络安全管理义务行为(《网络安全法》第二十八、四十二、四十七条)、帮信行为(《网络安全法》第二十七、六十三条)。
而提供VPN“翻墙”服务的,也确实可能违反《电信条例》《国际通信出入口局管理办法》《关于清理规范互联网网络接入服务市场的通知》等行政法规。
(二)“翻墙”工具和使用者的罪与罚
从使用者来讲,仅有“翻墙”这个动作并不必然违法及犯罪,还要看其“翻墙”后的行为。实际上,关键是看“翻墙”后获取的信息及后续行为。最主要的是,不能将“翻墙”后可能接触到的我国法律法规明确禁止发布、传播的各种违法信息向境内传播。
《网络安全法》《全国人大常委会关于维护互联网安全的决定》《全国大会常委员会关于加强网络信息保护的决定》《计算机信息网络国际联网安全保护管理办法》《电信条例》《互联网信息服务管理办法》《网络信息内容生态治理规定》《互联网跟帖评论服务管理规定》《互联网用户账号信息管理规定》等均有对传播违法有害信息的禁止性规定。
传播违法信息可能触犯的罪名有很多:寻衅滋事罪、诽谤罪、制作复制出版贩卖传播淫秽物品牟利罪、传播淫秽物品罪、宣扬恐怖主义极端主义罪、煽动实施恐怖活动罪、编造故意传播虚假恐怖信息罪、利用邪教组织破坏法律实施罪、煽动民族仇恨民族歧视罪,等等。
上述行为即便情节轻微尚不够犯罪也可能触发《网络安全法》《治安管理处罚法》中的行政处罚。
如果是以“翻墙”为手段,目的就是实施其他违法犯罪的,那么,按照其目的或行为触犯的法律法规,进行定罪处罚即可。
(三)新规若出台,有可能单纯“翻墙”即违法
国家网信办于两年前的2021年11月14日发布了《网络数据安全管理条例(征求意见稿)》,其第四十一条规定了三款:“国家建立数据跨境安全网关,对来源于中华人民共和国境外、法律和行政法规禁止发布或者传输的信息予以阻断传播。任何个人和组织不得提供用于穿透、绕过数据跨境安全网关的程序、工具、线路等,不得为穿透、绕过数据跨境安全网关提供互联网接入、服务器托管、技术支持、传播推广、支付结算、应用下载等服务。境内用户访问境内网络的,其流量不得被路由至境外。”如果将来这一条真生效,那么有可能单纯“翻墙”即违法。
