此前,我办理的C某租售翻墙软件(SSR)案件终于迎来了终局结果,公安机关在检察机关的“建议”下同意撤回案件,本案实质上获得了无罪处理,当事人不会面临刑事追诉。
然而司法实践中,还是有部分司法机关仍将租售翻墙软件(VPN或SSR)行为认定为犯罪行为。如我近期办理的L某售卖可用于翻墙软件的路由器案,中部某地区公安机关坚持认定L某构成提供侵入、非法控制计算机信息系统程序、工具罪,并将其先行刑事拘留。基于现有的办案经验和刑事法律分析,我依旧认为租售翻墙软件在现有刑事法律规范中并不构成犯罪,即使司法机关前期对相关行为进行初步侦查,也应当做出罪处断。
首先,无论如何扩张解释《刑法》第二百八十五条第三款及相关司法解释条款,租售翻墙软件并不构成相关罪名。依照《刑法》第二百八十五条第三款的规定:“提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。”
依照最高法、最高检2011年发布的《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下称《司法解释》)第二条规定:“具有下列情形之一的程序、工具,应当认定为刑法第二百八十五条第三款规定的专门用于侵入、非法控制计算机信息系统的程序、工具:(一)具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据的功能的;(二)具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权对计算机信息系统实施控制的功能的;(三)其他专门设计用于侵入、非法控制计算机信息系统、非法获取计算机信息系统数据的程序、工具。”
应当注意到,该罪涉及的程序、工具在功能上必须具备侵入、控制功能,且突破的是对数据的保护措施或授权机制。然而,所谓VPN翻墙软件并不属于司法解释中规定的专门用于侵入、非法控制计算机信息系统的程序,售卖翻墙软件的行为也不构成《刑法》第二百八十五条第三款规定的提供侵入、非法控制计算机信息系统程序、工具罪,具体理由如下:
一、VPN翻墙访问境外网站在技术层面并未侵入、非法控制计算机信息系统
01
1.VPN的技术原理本质是加密通讯
VPN(Virtual2Private2Network,虚拟专用网络),是指利用公共通信基础设施构建的虚拟专用或私有网络,通过对数据加密而进行远程网络访问或通信的技术。其原理是在公用网络上建立一条数据通道来运载用户信息。这种技术大量运用于日常工作生活中,可以比喻成在公共道路网络中单独开发出一条通往特定区域的小路。高校和企业也经常利用VPN技术供自家用户访问数据资源。
02
2.“墙”不是计算机信息系统保护措施,只是内容审查和信息阻断机制
本案翻墙软件所涉及的“墙”是中国国家防火墙的俗称,也即防火长城(英文名Great Firewall of China,简写为Great Firewall,缩写GFW),是指中华人民共和国政府在其管辖因特网内部建立的多套网络审查系统的总称,包括相关行政审查系统。此系统起步于1998年,首要设计者为北京邮电大学原校长方滨兴,被称为“国家防火墙之父”。
一方面,从技术角度出发,在具体应用中,“墙”只是在一定时间内,通过一定的技术手段(如IP封锁)限制国内用户浏览部分境外网站,同时也限制部分境外用户访问国内特定网站。“墙”并非隔断了境内互联网用户与境外互联网整体的联系,而只是针对特定的境外网站进行信息封锁,可以类比理解成内地娱乐圈对特定境外艺人的“封杀”。
另一方面,从目的角度出发,所谓“计算机保护措施”一般指的是数据所有者出于数据安全考虑,设立的各种避免外部用户通过非法手段侵入内部网络获取数据所采取的各项措施。具体包括安装网络防火墙、病毒查杀、内部数据加密等手段。“墙”的作用并非保护境外互联网数据安全,而是防止境外不良信息的传入。且被“墙”屏蔽的境外互联网数据本身也不归属于我国境内任何一家主体,“墙”也不能认定成我国某主体基于保护境外网站数据安全的考量设立的网络防火墙。因此“墙”不属于“计算机保护措施”。
境外网站在现实生活中并不遥远,我们完全可以整理出目前不需要翻墙软件就可以自由访问的多个境外网站网址。同时部分网络游戏也可以不使用翻墙软件就可以登录境外服务器。这些事实都说明“墙”并非顾名思义是将境内境外互联网隔断的“墙壁”,而只是对特定内容审查屏蔽的信息阻断机制。
03
3.“翻墙”的过程是通过加密通讯方式实现信息交互
目前很多浏览外网的软件不再使用VPN技术,转而使用SSR技术。SSR即shadowsocks-R的简称,是Shadowsocks(简称SS,有称影梭)的分支和升级版本。而Shadowsocks是一种基于Socks5代理方式的加密传输协议。SSR的运行原理和SS的运行原理基本相同。其在“翻墙”过程的运用是将本地用户访问境外特定网站的请求数据上传至服务器打包加密向境外服务器节点传输,由境外服务器按照请求访问特定网站(与境外用户正常访问网站一样),将获取的数据打包加密传输给本地服务器解密,本地服务器再将解密后的数据发送给用户,从而实现访问境外特定网站的目的。从技术角度看,整个过程只有发送访问请求和加密动作,所访问的内容是其数据所有者公开呈现在互联网上的,并不涉及对特定计算机信息系统的侵入和非法控制。这一过程我们可以理解为境内用户联系到一个境外用户代其访问境外网站,并将上面的信息记录下来,加密以后传递给前者,前者解密后实现间接访问境外网站的目的。
这里我们可以得出两个基本事实:一方面,“墙”并非是一种计算机信息系统保护措施,技术上也没有将全部境外互联网直接隔断,而只是一种内容审查和信息阻断机制;另一方面,利用翻墙软件访问被“墙”阻断信息的境外网站的手段是加密通讯,全过程中并未对计算机信息系统发起侵入、非法控制的行为。
以下SSR类软件翻墙访问境外网站技术原理示意图
二、SSR类翻墙软件不属于《司法解释》第二条规定的专门用于侵入、非法控制计算机信息系统的程序、工具
01
1.SSR类翻墙软件并不具备避开或者突破计算机信息系统安全保护措施的功能
结合SSR类软件翻墙访问境外网站的技术原理,我们不难发现,整个过程并未突破计算机保护措施,而只是通过加密通讯手段避开了“墙”的内容审查和信息阻断。由于现有法律法规也并没有给“墙”一个明确的法律地位,所以我们可以通过一个形象的例子比喻SSR类软件翻墙访问境外网站的过程。原本互通有无的道路上,某个主体在通往特定区域的道路上人为设卡,符合这个主体要求的人员可由此路继续同行。而此时有人为了继续通往该区域,就采取挖地道的方式成功避开设卡人员的审查,通往了该区域。首先,挖地道的行为并未破坏道路上的设卡;其次,设卡行为本身并没有法律法规依据;最后,设卡主体也并非该区域的主人,该区域与外界设立道路表明并未禁止外界人员进入该区域。
回到翻墙软件是否为“侵入、非法控制工具”的问题。对于何为“侵入工具”和“非法控制工具”,全国人大法工委做了立法说明,“所谓专门用于非法侵入计算机信息系统的程序、工具,主要是指专门用于非法获取他人登录网络应用服务、计算机系统的账号、密码等认证信息以及智能卡等认证工具的计算机程序、工具;所谓专门用于非法控制计算机信息系统的程序、工具,主要是指可用于绕过计算机信息系统或者相关设备的防护措施,进而实施非法入侵或者获取目标系统中数据信息的计算机程序。”
由此可见,这两种程序、工具:一种是能非法获取认证信息,进而侵入他人计算机信息系统的程序、工具;另一种是能绕过防护措施,进而控制目标系统的程序、工具。由前述技术原理部分可知,SSR类翻墙软件并没有侵入任何计算机程序,也没有非法获取登录账号密码、认证工具。由于“墙”并非境外网站的防护措施,因此使用SSR类翻墙软件在访问境外网站时更没有绕开计算机信息系统的防护措施,更没有进一步控制目标计算机信息系统。故SSR类翻墙软件不具备立法说明提到的“侵入工具”和“非法控制工具”的基本特征,不属于此类工具。
02
2. SSR类翻墙软件访问境外网站还是依托国家电信网,并未另行建立国际出入口信道
根据《计算机信息网络国际联网管理暂行规定》第六条的规定:“计算机信息网络直接进行国际联网,必须使用邮电部国家公用电信网提供的国际出入口信道。任何单位和个人不得自行建立或者使用其他信道进行国际联网。”这表明,境内用户原本就可以通过境内电信网实现国际联网。而结合之前SSR技术原理的分析,使用SSR类翻墙软件实质上是通过加密通讯的方式实现避开“墙”的内容审查屏蔽和信息阻断机制,其获取被屏蔽的境外网站数据还是依托国家电信网的国际出入口信道,并没有另行建立其他国际联网信道。换言之,使用SSR类翻墙软件访问外网时,接入单位仍是国内电信运营商。在实际操作中,如果设备断网,即使打开SSR类翻墙软件也无法访问境外网站,这就可以印证翻墙软件并没有独立建立国际出入口信道的功能。
03
3.外网数据并不归属于某个特定主体,访问获取相关数据并不需要授权
使用SSR类软件实现翻墙访问境外被屏蔽的网站,也不属于《司法解释》第二条“未经授权获取计算机信息系统数据”的情况。首先,“翻墙”并无审批流程和授权主体。“墙”的存在并没有得到任何国家机关正式法律文件的承认,也没有任何规范性文件列明合法“翻墙”的审批流程。故使用翻墙软件访问被“墙”屏蔽网站并没有获取授权的可能性。
另外,从数据权角度分析,国内也不存在任何主体有权对“翻墙”访问境外网站的行为进行授权。授权的基础是有权利基础。而被“墙”屏蔽的境外网站域名归属是境外公司,数据权自然也归属这些公司。这些网站的数据资源在国际联网中是公开的,反而是“墙”主动对相关网站进行了屏蔽。故使用SSR类翻墙软件避开这一屏蔽机制的做法也不需要进行授权审批。
三、从立法逻辑出发,访问外网行为没有被定罪,帮助访问外网行为也不应当认定为犯罪
从立法逻辑出发,《刑法》第285条的相关罪名都是针对特定一类破坏计算机信息系统安全管理秩序犯罪行为进行规制的。其中第3款规定的提供侵入、非法控制计算机信息系统程序、工具罪可以视为《刑法》第285条第1款、第2款规定的非法侵入计算机信息系统罪、非法获取计算机信息系统数据罪、非法控制计算机信息系统罪的帮助行为独立化。帮助行为构成犯罪的同时意味着被帮助行为理应构成犯罪,即使用侵入、非法控制侵入计算机信息系统程序、工具的行为当然符合《刑法》第二百八十五条第一、二款规定罪名的构成要件。
司法实践中,使用翻墙软件访问外网的行为虽然不值得提倡,但实务中一般不对使用翻墙软件的用户进行行政处罚,更不会认定其构成犯罪。个别被处罚的使用者,也主要是因其在境外网站从事了其他违法行为。在我办理的相关案件中,司法机关往往考虑到使用外网的人员可能从事犯罪活动,部分地区更是考虑到可能涉及境外势力破坏社会稳定,由此才主动出击对租售翻墙软件的行为进行规制。但目前来看,从《刑法》相关罪名设立逻辑出发,在浏览外网行为尚不构成犯罪的情况下,提供翻墙软件的行为并不构成提供侵入、非法控制侵入计算机信息系统程序、工具罪。
