郭树正

摘 要：擅自经营、销售VPN类业务及相关软件牟利是一种违法行为，当前司法实务对该行为的定性分别是《刑法》第285条第3款与第225条规定之罪，该二罪在犯罪构成方面存在巨大差异。本文以广东邓某案为切入，分析VPN技术的基本原理、VPN类软件的性质，通过对相关技术的说明以探讨如何对擅自经营VPN类业务牟利的行为进行认定。

关键词：VPN 计算机信息系统 增值电信业务 非法经营

[基本案情]邓某在自己的电脑设备上架设VPN翻墙软件[1]（其名为“飞越SS”、“影梭云”），使用户能够通过该软件访问国内IP所无法访问的如谷歌等网站，并搭建了一个网站用于提供、贩卖该软件给他人使用，非法获利人民币13957.57元。后广东省东莞市第一人民法院以邓某的行为触犯《刑法》第285条第3款规定之罪，判处邓某9个月有期徒刑，并处罚金，邓某及其辩护人对此无异议，未提出上诉，判决已生效。

一、《刑法》第285条第3款规定解析

笔者认为探究擅自经营VPN类业务行为的定性，首先应当明确《刑法》第285条第3款[2]之规定的构罪情况。本案定性的主要依据应当包括《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》（以下简称《解释》）。《解释》第2条界定了什么样的计算机系统程序属于具有专门非法入侵、或未经许可非法控制他人计算机信息系统功能的程序，该类型程序、工具功能的共性是能够不经过计算机设备使用者的允许，来获取（主要方式为远程获取）相关计算机设备中的数据（即“计算机信息系统数据”）或者对相关设备进行控制。根据《解释》所表达之意，这类程序、工具所展现出的功能更类似于黑客所使用的网络攻击软件，若无这类功能，则不应当认定符合《解释》第2条规定。

以上法律规定中包含了“计算机信息系统”与“计算机信息系统数据”两个关键术语，故分析该罪还应当对二者进行简单界定。笔者认为应当综合相关司法解释、行政法规的规定，并根据技术发展对概念做出一定延伸，“计算机信息系统”是能够自动处理数据的智能手机设备、虚拟机设备、云计算设备及其相关附属设备所构成的交互系统。那么由此系统产生的数据，即是法律规定中所保护的“计算机信息系统数据”。

根据《网络安全法》的规定，计算机网络与数据被认为是国家主权的一部分，故法律应仅保护国内计算机信息系统的安全，一国无权保护他国的计算机信息系统安全，境外的数据当然不包含于其中，境外产生的数据经过互联网传输到国内后，我国才有权限管控，单纯在境外产生、流转的数据我国无权限控制，也无权力保护。

因此，笔者认为我国法律所保护的“计算机信息系统数据”应该进行解释为：依赖于计算机及相关硬件设备，通过人机交互的方式在国内产生数据，并存储、传输于国内的操作系统数据、软件及附属数据、可读写文件数据、网络访问数据等。简而言之，我国法律保护的“計算机信息系统数据”应当限制为国内的计算机信息系统数据，即保护并管制在中国产生、传输的数据。

此外，应当理解什么是“计算机信息系统安全保护措施”。对于相关的保护措施，国内虽然没有具体法律法规予以规定，但是行业内或学术上一般认为相关技术包括加密技术、身份识别技术、杀毒与防火墙技术、入侵检测与网络监控等[3]。可是计算机技术本身并不等同于能够上升至法律法规规定的“计算机信息系统安全保护措施”，“保护措施”可以是一种或数种技术的结合。但是对于什么是相关保护措施，并无现行法律法规进行界定，也没有行政法规对破坏“计算机信息系统安全保护措施”的行为进行规制。在没有法律法规的情况下，一般的计算机使用者不会去刻意查找学习相关文献，现阶段对该“措施”的模糊规定，导致无法从刑法上明确相关内涵与外延，因此将破坏保护措施的行为直接上升至刑事处罚有待商榷。

二、利用“虚拟专用网”技术“翻墙”的基本原理

国内出于互联网安全等方面的考虑，对国际联网的数据采取域外IP 封锁[4]、网络数据内容过滤、域名劫持、网络流量限制等手段，实现国内对域外网络内容访问的限制[5]，因此国内联网用户对于绝大多数境外互联网数据无法访问，国内的联网只能称之为“部分国际联网”，其主要是国内联网。

一般国内外习惯性地将国内存在的一系列限制网络访问的措施概括为“长城防火墙”（GreatFireWall——国际互联网网络隔离系统，以下简称GFW）。虽然该系统从未得到官方的承认，但该系统确实存在。中国大陆的计算机设备接入国际互联网都需要通过中国大陆的网关，就像出入境检查一样，GFW通过技术手段对用户数据进行查验，对于存在大陆禁止性信息的数据，GFW会直接对其进行屏蔽，造成普通用户无法访问相关内容。GFW对互联网信息进行过滤分析，同时阻碍国内用户访问域名在国外的网站，也阻碍国外用户访问域名在国内的网站。

如果将擅自经营VPN业务牟利的行为，定性为《刑法》第285条第3款规定之罪，则应当分析VPN翻墙工具是否具有《解释》第2条规定的功能。“翻墙”所用的技术一般都是“虚拟专用网”（Virtual Private Network）技术，简称VPN技术，其通过技术手段，采用较强的加密协议“通道协议（Tunneling Protocol）”来通过互联网进行传输加密的私人信息数据。利用VPN类工具“翻墙”，即绕过相应的国内互联网限制性手段，实现国内网络对国际互联网网络内容的访问。但是“技术”不等于采用该技术的“工具”，采用加密协议技术是VPN技术的内核，也就是说采用这个技术进行数据交互，那么数据就必然加密，采用技术本身并不违法，但是非法使用该技术制造工具就有可能触犯法律。此外，最高人民法院指导性案例认为构成该罪的程序工具，应当具备故意逃避杀毒软件程序查杀、防火墙控制的特征，这些特征VPN类翻墙工具皆不具备。

三、利用“虚拟专用网”技术“翻墙”的法律问题探究

（一）翻墙工具之定性

首先，《刑法》第285条规定了三款罪名[6]，笔者认为该三款罪名立法的逻辑顺序应当是，首先保护国家的重点计算机信息系统及其中留存的数据、保护除前者之外的系统及数据、惩罚非法提供有害性工具者。该条所规定的侵入、获取、控制行为皆存在重大的社会危害性，其行为侵害了计算机信息系统的正常运行，也侵害了相关数据的正常处理，其行为获取了国家保护的数据或他人的私人数据，获取这些数据会造成恶劣影响，应当受到刑罚处罚；如果缺乏危害性，则不能构成该条款规定之罪。全国人大常委会法工委刑法室曾针对《刑法》第285条第3款做出解释，指出行为人所提供的程序、工具只能用于实施非法侵入、非法控制计算机信息系统。[7]此外，这类程序、工具还应当满足三个要件，即首先该程序本身即具有非法获取数据或进行未经授权许可控制的功能；其次该程序本身具有避开或者突破计算机系统安全保护措施的功能；此外该程序在设计时，其主要实现的功能是非法获取他人数据或未经授权许可对其他电子设备系统进行控制，这并不需要通过程序在客观表现上所反映的特性界定其范围，而是通过设计者的主观动机予以界定[8]。

前述规定的三款罪名中，前两款罪名应当满足违反国家规定进而实施非法行为的构成要件，第三款罪名是保护性、兜底性罪名，主要目的是为了惩罚那些为前两款罪名提供非法工具的行为，因此当然应当有“违反国家规定”的构成要件要求。即便不考虑该要件，构成第三款罪名也应当要求所提供的有害性工具，对目标计算机信息系统及数据造成了实质性危害。如果所提供的工具及提供行为，既不能满足“违反国家规定”的构成要件，也没有对目标计算机系统及数据造成实质危害，那么就不应当构成第三款罪名，即“提供侵入、非法控制计算机信息系统程序、工具罪”。

综上所述，笔者认为采用VPN技术的翻墙工具不能满足上述要求，主要原因是该工具从设计技术原理与实现功能上就不是一种专门用于非法侵入、或者未经许可非法控制他人计算机系统的程序，而是将通用且常用的技术、协议转化为可执行程序进而访问境外网站的工具。即使对上述存在异议，也应当根据《解释》第10条[9]规定，对相关的程序工具提请司法鉴定后再作出结论。本文所讨论案例中并未对此进行任何司法鉴定或者提交省级以上主管部门检验，因此不能对此行使自由裁量权。

（二）“翻墙”是否破坏计算机信息系统安全保护措施

首先，VPN技术并不存在非法控制计算机信息系统的功能，如果认为本案中的“飞越SS”“影梭云”翻墙软件存在非法控制或侵入的功能，则应当对其进行软件的功能性鉴定，但本案中并未进行相关鉴定，因此应当认定该翻墙软件并不具有相关功能。其次，在正常情况下网络犯罪涉及翻墙软件时，仅是将翻墙软件作为辅助性工具，即违法行为人可能将有害性工具部署于境外网络环境中，通过翻墙工具将境外的有害工具同国内网络链接，进而实施违法行为，但是若以此定罪，则提供工具者必须明知他人存在使用翻墙工具进行计算机类犯罪的行为。就本案而言似乎并不存在该情况，即便存在该情况，司法机关也未对此予以证明，因此无法认定。

唯一的问题就是使用采用VPN技术的翻墙软件，是否存在突破或避开了计算机信息系统安全保护措施的功能。对于大陆用户而言，翻墙软件是采用VPN技术通过对数据进行强加密，从而避开GFW的监控检查，获取境外的数据信息。对于GFW而言，其无法直接审查经过VPN技术强加密后的交互数据，被加密的数据因此可以混过GFW的安检，所以数据可以较为便捷的进行境内外数据交互。

那么想要认定他人贩卖翻墙工具牟利的行为触犯《刑法》第285条第3款之规定，笔者认为必须满足两个前提条件：一是GFW是计算机信息系统安全保护措施；二是通过中国大陆网关和GFW的数据是受中国法律保护的数据。只有满足该两个条件，才能认为VPN软件满足刑法规定的避开计算机信息系统的安全保护措施，没有经过合法授权或者在合法授权之外非法获取了其他计算机信息系统数据的客观要件。构成该条款规定之罪，应当满足提供行为或该工具本身“违反国家规定”，或者工具对目标计算机系统及数据造成实质危害。但是提供翻墙软件并未违反《刑法》第285条相关的国家规定，使用翻墙软件也不会对目标计算机与系统造成实质危害。

首先，GFW并未存在于任何官方文件中，在国内无规可循，无文献可查。维基百科指出GFW属于“金盾工程”的一部分。“金盾工程”系中国电子政务建设的代表之作，其涵盖范围较大，相关的官方文件已经公布，但GFW和该工程不能相提并论，涉及GFW的文件并未公开，但却事实存在[10]。“法无禁止皆可为”，如果长城防火墙确属中国的计算机信息系统网络安全防护措施，那么其相关的规范性法律文件应当公开，如果相关法律文件无法被公民所知，那么公民就无从遵守、执行，更谈不上违反法律。因此，虽然使用翻墙软件避开了GFW的内容审查，但是GFW定性不清，没有法律赋予其相关的权限限制公民的通讯自由等权利，不能解释为刑法规定的“计算机信息系统安全保护措施”。即便将其解释为“计算机信息系统安全保护措施”，翻墙工具也未故意逃避查杀、逃避控制，翻墙工具所采用的VPN技术本身就是加密技术。安全保护措施所保护的是本机的系统与数据，而翻墙工具交互数据的对象是国外的系统及数据，其仅是通过了像关隘一样的GFW，未对国家的任何系统与数据造成影响，因此也不能认为“翻墙”破坏了计算机信息系统安全保护措施。

（三）使用VPN翻墙软件访问数据行为之定性

笔者前文已论述了我国所保护的计算机信息系统及其所产生的数据，应当是国内产生、传输的数据，境外的系统及数据如果未对我国造成危害或影响时，我国并无管辖权限。使用翻墙软件的行为仅是通过中国网络的关隘，进而同国际互联网数据进行交互，其所获取的數据也是境外计算机信息系统所产生的数据，在未发生对境外系统与数据的违法行为前，我国对这些数据并无管辖权限。

根据社会一般经验，使用本案中“飞越SS”“影梭云”此类功能简单VPN翻墙工具的用户，一般都是不具有自己搭建VPN能力的普通用户，翻墙的目的一般是为了从国外的网络中浏览、获取一定的信息，或者前往网络游戏的其他服务区玩游戏，此类行为获取的数据并非通过侵入他人计算机信息系统而非法获取的数据，只是正常的数据交互根本不会对国外的计算机信息系统及数据造成危害。因此笔者认为，使用翻墙工具获取的境外计算机信息系统数据在未涉及犯罪问题前，其并不属于刑法所保护的数据范围。综上所述，VPN类翻墙软件并非系专门用于侵入、非法控制计算机信息系统的程序、工具，使用该类工具的翻墙行为也未破坏计算机信息系统的安全保护措施，其获取的数据在对境内外产生有社会危害性的行为前，并不属于刑法所管辖的数据范围，因此贩卖翻墙软件的行为不能构成《刑法》第285条第3款规定之罪。