实践中,利用 VPN 技术与境外服务器对接,帮助用户“翻墙”[1]访问境内IP不能访问的境外网站的现象并不少见,因为非法提供VPN“翻墙”服务涉嫌犯罪的案件也时有发生。
近期,因为需要为一起涉VPN 刑事案件提供法律意见,我们对 86份与VPN 有关的刑事判决书进行了梳理和研究,就此类案件的两种常见入罪逻辑做了分析。
司法案例
案例一:浙江省泰顺县人民法院(2018)浙0329刑初46号刑事判决书
公诉机关指控并经法院审理查明,被告人薛某在未取得《中华人民共和国增值电信业务经营许可证》的情况下,私自在家中架设VPN服务器,并通过淘宝店铺销售VPN代理服务,营业额达47万余元。
法院认为,被告人薛某违反国务院的行政法规和工业和信息化部的部门规章的规定,非法从事增值电信业务的经营活动,扰乱电信市场秩序,属于非法经营活动,且达到“情节严重”的程度,应当以非法经营罪追究刑事责任。
案例二:江苏省灌云县人民法院(2020)苏0723刑初126号刑事判决书
法院查明,被告人黄某某在网站出售翻墙软件账户,同时租用境外服务商的5台服务器向前述账户提供可以访问国内IP不能访问的外国网站服务,非法获利137147.5元。
法院认为,被告人黄某某无视国家法律,提供专门用于侵入、非法控制计算机信息系统程序、工具,其行为已构成提供侵入、非法控制计算机系统程序、工具罪。
律师评析
VPN是指依靠ISP(Internet服务提供商)和其他NSP(网络服务提供商),在公用网络中利用隧道、加密等技术,构建一个专门的虚拟网络,是“翻墙”软件的常用技术。VPN 属于一种计算机网络通用技术,该技术本身并不存在直接违法的问题,但不意味着不受监管。
工信部发布的《工业和信息化部关于清理规范互联网网络接入服务市场的通知》(工信部信管函[2017]32号)明确指出,未经电信主管部门批准,不得自行建立或租用专线(含虚拟专用网络VPN)等其他信道开展跨境经营活动。
《中华人民共和国电信条例》第七条规定,国家对电信业务经营按照电信业务分类,实行许可制度。经营电信业务,必须依照本条例的规定取得国务院信息产业主管部门或者省、自治区、直辖市电信管理机构颁发的电信业务经营许可证。未取得电信业务经营许可证,任何组织或者个人不得从事电信业务经营活动。
案例一中,法院在阐述裁判理由时指出,互联网虚拟专用网业务的性质属于增值电信业务。经营电信业务,应当依法取得电信管理机构颁发的经营许可证。薛某个人及其所经营的电脑店均没有取得国家关于国内互联网虚拟专用网业务的经营许可,属于非法经营活动。
在该案中,法院将提供VPN“翻墙”服务认定为《中华人民共和国电信条例》所附的《电信业务分类目录》中第一类增值电信业务里的“互联网虚拟专用网业务”,由于该业务实行许可制度,未取得经营许可证,不得擅自经营,被告人未经许可,非法经营增值电信业务,因此构成非法经营罪。类似的裁判思路,在安徽省合肥市包河区人民法院(2018)皖0111刑初885号刑事判决书中也有体现,被告人未经国家信息产业部门许可,擅自经营虚拟专用网络VPN“赤兔加速器”业务,涉案总金额1098118元。法院认为,被告人违反国家规定,未经许可经营国际通信数据业务,情节严重,其行为构成非法经营罪。
案例二中,入罪逻辑与案例一的截然不同。法院认为,被告人黄某某通过租用境外服务器的方式,创建网站予以销售翻墙软件,该软件具有避开国家防火墙,帮助境内计算机与境外服务器直接连接并进行数据传输的功能,其行为符合提供侵入、非法控制计算机信息系统程序、工具罪的构成要件。
在该案中,法院将提供VPN“翻墙”服务认定为销售软件产品,由于该软件具有避开国家防火墙,帮助境内计算机与境外服务器直接连接并进行数据传输的功能,因此认为被告人的行为构成提供侵入、非法控制计算机信息系统程序、工具罪。[2]类似的裁判思路,在河南省郸城县人民法院(2020)豫1625刑初643号刑事判决书中也有体现,被告人通过互联网非法销售VPN翻墙软件从而非法获利。经侦查发现,被告人在境外服务器创建网站,后租用四十条境外服务器线路连接到自己的网站,突破计算机系统安全保护措施,超越授权获取计算机信息数据,为用户提供境外上网服务。法院认为,被告人提供专门用于侵入、非法控制计算机的程序、工具,情节特别严重,构成提供侵入、非法控制计算机信息系统程序、工具罪,应予依法惩处。
案例一和案例二两种入罪逻辑的区别在于,案例一将提供VPN翻墙服务的行为认定为擅自经营电信业务的行为,被告人由于未经许可经营电信业务而构成非法经营罪;案例二将提供VPN翻墙服务认定为销售软件产品的行为,由于软件产品具有避开国家防火墙,帮助境内计算机与境外服务器直接连接并进行数据传输的功能而构成提供侵入、非法控制计算机信息系统程序、工具罪。
值得追问的是,将提供VPN翻墙服务的行为认定是销售软件产品还是经营电信业务的标准是什么?就目前的司法案例看,并不明确,更多是不同地区司法机关对特定事实的认定和对法律的理解存在差异所致。
值得说明的是,非法提供VPN“翻墙”服务的行为,除了定性为非法经营罪和提供非法侵入、控制计算机信息系统程序、工具罪,还可能会被认定为拒不履行信息网络安全管理义务罪。[3]限于篇幅,本文对此不详述。
[1]网络语境下的所谓“翻墙”,是指通过一定的技术手段突破我国对国外网络信息的管控,实现对被限制网络内容的访问。
[2]《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第二条规定,
具有下列情形之一的程序、工具,应当认定为刑法第二百八十五条第三款规定的“专门用于侵入、非法控制计算机信息系统的程序、工具”:
(一)具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据的功能的;
(二)具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权对计算机信息系统实施控制的功能的;
(三)其他专门设计用于侵入、非法控制计算机信息系统、非法获取计算机信息系统数据的程序、工具。
[3]在湖北省荆州市荆州区人民法院(2018)鄂1003刑初150号刑事判决书,被告人创建网站推广其代理销售和自己建立并销售的VPN软件(用户购买该软件后,可以访问国内IP不能访问的境外互联网网站),公诉机关指控被告人犯提供侵入、非法控制计算机信息系统的程序、工具罪,但法院认为,公诉机关指控其行为构成提供侵入、非法控制计算机信息系统的程序、工具罪的罪名不当,应当以拒不履行信息网络安全管理义务罪,予以处罚。类似的裁判观点,在上海市浦东新区人民法院(2018)沪0115刑初2974号刑事判决书也有体现。