相关链接

「“规避GFW审查系统”的刑法问题」刍议——(一)三种入罪路径下的22则典型案例



目录

一、VPN的技术中立性?——与“翻墙”无关
二、Proxy Server的技术中立性?——开发者自己都不承认
三、VPN=翻墙?——不过是冰山一角罢了
四、法官忽视了VPN的技术中立性?——完全没有这样的案例
五、避免“醉翁之意不在酒”的无效讨论——翻墙问题的讨论前景



正文

每当谈及“提供侵入、非法控制计算机信息系统程序、工具罪”这一罪名,学者们热衷于探讨“VPN(Virtual Private Network)”技术的中立性,以此为由,认为VPN工具不可能系“专门用于”侵入计算机信息系统的工具。
笔者虽然亦认为,在面对“翻墙”的法律规制问题之时,刑法应当充分保持其谦抑性;然而对于“技术中立性”这种辩解路径,笔者不得不提出质疑——此种论证既有稻草人谬误之嫌,偏离了问题的关键,系对翻墙技术的误解;同时又将讨论局限在了一个非常狭小的领域,不足以全面覆盖“规避GFW审查”的所有技术手段。

一、VPN的技术中立性?——与“翻墙”无关
在人们的印象里,VPN(虚拟专用网络)系用于加密连接,使处在公网领域的公司职工得以安全地通过一条逻辑隧道访问企业、单位的VPN网关,进而访问内部网络和敏感数据。VPN具有技术中立性本就是个显而易见的事实。

A virtual private network (VPN) extends a private network across a public network and enables users to send and receive data across shared or public networks as if their computing devices were directly connected to the private network. 


VPN technology was developed to provide access to corporate applications and resources to remote or mobile users, and to branch offices. For security, the private network connection may be established using an encrypted layered tunneling protocol, and users may be required to pass various authentication methods to gain access to the VPN.


via Wikipeda(https://en.wikipedia.org/wiki/Virtual_private_network#cite_note-1


「“规避GFW审查系统”的刑法问题」刍议——(二)“VPN技术的中立性”没有任何探讨价值-法学随想
然而这种事实完全不能用于为“翻墙”工具辩护。
正如上文所述,VPN代理最初解决的核心问题系内网数据在公网领域的安全交换。在传统的企业场景中,VPN是不可能用于“翻墙”服务的,其原因在于,企业内网服务器为了保证安全,应当遵循最小特权(Least Privilege)原则,限制内网的Internet服务,以减少IP地址暴露于公网进而遭受攻击的可能性。这一点,从Windows Server内IE浏览器中默认的增强安全配置(ESC)中亦可见一斑——当你使用Windows服务器系统使用浏览器,会发现访问任何网站都需要手动授权,否则将断开连接,这一功能便起到了保护服务器的作用。

「“规避GFW审查系统”的刑法问题」刍议——(二)“VPN技术的中立性”没有任何探讨价值-法学随想

然而作为“翻墙”服务的VPN代理,却使得供应商必须完全开放内网对Internet的访问权限,此种运营模式本身与传统企业私人网络的应用场景产生了分立,完全与VPN代理的初衷渐行渐远。更直白地说,此类衍生的VPN服务,天生就是为了规避GFW这样的审查系统而存在的因此,维基百科“VPN”词条首段的定义,就毫不掩饰VPN技术衍生出了规避网络审查的功能

 In other applications, Internet users may secure their connections with a VPN to circumvent(规避) geo-blocking(地理封锁) and censorship(审查制度) or to connect to proxy servers to protect personal identity and location to stay anonymous on the Internet. Some websites, however, block access to known VPN technology to prevent the circumvention of their geo-restrictions, and many VPN providers have been developing strategies to get around these blockades.


via Wikipeda(https://en.wikipedia.org/wiki/Virtual_private_network#cite_note-1

然而必须要注意,VPN本身并不是“翻墙”的核心原理,而是VPN网关的代理服务发挥了作用。
对于“翻墙”服务来说,规避GFW有两大核心问题,其一,使用代理服务器(Proxy Server)中转数据以避开IP地址以及端口封锁(同时避免使用被污染的DNS服务);其二,混淆流量,使得GFW无法辨别某一连接是否系代理服务、亦或是普通的网站访问流量,在业内被称为“依附的自由”。
既然Google网站的IP地址被TCP阻断、BGP劫持、DNS污染,何不使用境外未被封锁的服务器作为代理人,帮助我发送访问网页的请求,并回传该服务器收到的数据呢?就用户和Proxy Server而言,其颇有种行纪合同中委托人和行纪人关系的味道,亦与公司法中“实际控制人”的概念有几分神似。

「“规避GFW审查系统”的刑法问题」刍议——(二)“VPN技术的中立性”没有任何探讨价值-法学随想


因此,我们必须承认,VPN的加密功能本身,至少从当今来看,并非系规避GFW审查的核心原理,而是其代理服务器的架构起到了逃避封锁的主要作用
相反,由于VPN须保证数据的强安全性,其建立连接的过程本身具有辨识度极高的特征,在不施加流量混淆的情况下,极易被GFW识别,一经识别便定点封锁VPN网关地址,使得用户连接中断——这也是为什么,近年来具有流量混淆功能的、更加轻便的Socks5协议大有碾压VPN翻墙服务(国外知名的有ExpressVPN、NordVPN等等)之趋势。

与此同时,当前热门的Shadowsocks、V2ray、Trojan等类似以Socks5协议为基础的翻墙工具,实际上,与前述VPN翻墙服务的形式有几分相似,皆是Proxy Server在发挥主要的作用。然而,就“建立连接”的工作原理而言,VPN与Socks5实际上运行在完全不同的网络层级,前者主要在数据链路层活动,无限接近于互联网最底层,而后者主要处在OSI模型中的会话层(相对应的,在TCP/IP模型中处于应用层)。具体可详见Youtuber“电丸科技AK”的视频VPN才是主流?比Shadowsocks和v2ray好在哪里?【硬核翻墙系列】第七期(下图截取自该视频)。

「“规避GFW审查系统”的刑法问题」刍议——(二)“VPN技术的中立性”没有任何探讨价值-法学随想

因此,从这个意义上看,将VPN的概念进行毫无边界的泛化,乃至涵盖并代指所有包含“规避GFW审查”功能的技术,是极为不妥的。其产生的直接问题是——至少对于“非法经营罪”的罪名,学者们根本没有能力辨别各类工具究竟是否属于基础电信业务亦或是增值电信业务,因为他们甚至对于研究对象都没有形成正确的认识,因此在论证过程中会产生极其滑稽的谬误。

同时,必须要注意,严格意义上的VPN技术,并不包含Proxy Server架构,而作为“翻墙服务”的代理服务,亦完全无须使用VPN技术。VPN和Proxy是完全相互独立的两种概念;然而可惜的是,当前的司法实践、以及法学学者们却将其混为一谈。

值得一提的是,对于Google Play Store以及美服Apple Store中存在的带有“VPN”字样的app,并非皆是字如其名、使用了VPN技术,相反,此类app很有可能系一个提前绑定了Shadowsocks服务器节点的Socks5代理工具。


二、Proxy Server的技术中立性?——开发者自己都不承认

回到本文主题,那么对于Shadowsocks等工具,是否值得探讨Proxy Server的技术中立性呢?我想,亦无须学者多此一举,连程序开发者自己都公开声明,此类协议以及相关联的框架、软件包皆是为GFW量身定制的。从下图中V2ray的官方白话文指南可见一斑。

「“规避GFW审查系统”的刑法问题」刍议——(二)“VPN技术的中立性”没有任何探讨价值-法学随想


不同于当年快播案当事人对于P2P技术中立性的无力辩解和死缠烂打,这群热爱自由的“翻墙”协议开发者们则优雅得多,他们根本不屑于隐瞒自己的观点,他们天生是为了突破GFW而存在的。

而此类工具事实上确实提供了高度定制化的、专门用于规避封锁的服务。用户可以自行定制使用协议、线路、境外的代理服务器,实现完全不受束缚的DIY。

(当然,V2ray提供的Proxy本身还可以是反向代理,用于内网穿透等应用场景,但该功能毕竟系一项附属功能。)

「“规避GFW审查系统”的刑法问题」刍议——(二)“VPN技术的中立性”没有任何探讨价值-法学随想


因此学者们原本根本无须讨论"VPN"技术的中立性,因为不仅翻墙不需要使用VPN技术,且其他代理协议的开发者们自己便承认了此类工具的终极目标就是与GFW抗衡

要了解“GFW与翻墙工具的斗争史”,建议读者前往谷歌搜索并阅读Yandere@萌的文章墙与梯的较量——那些年我们一起用过的翻墙手段



三、VPN=翻墙?——不过是冰山一角罢了

当我们讨论VPN犯罪问题,实际上讨论的不过是制售“翻墙”工具罢了,或许系为了掩盖这一敏感词汇,以谋求学术上不受审查的侵扰,学界经常将相关问题的标题套一个“VPN”的帽子。然而,事实上VPN翻墙的方式已经不再是规避GFW系统的主力军了,但其确实在历史中发挥了相当大的作用。从墙与梯的较量——那些年我们一起用过的翻墙手段,可见除VPN之外的许多其他技术。以下列表格为例,除了VPN以外,尚有数十种不同的规避GFW审查的方式,他们之中大部分无法受到现行刑法的规制。

(以下列表格式:技术名称——GFW击败它的方式)

①HTTP 代理 & SOCKS 代理、网页代理——未加密的明文检测

②修改系统DNS服务器——GFW的DNS抢答、劫持、篡改数据包

③HTTPS 代理——垃圾二进制(garbage binary)探针

④修改本地hosts/使用CloudFlare CDN——SSL证书使用的TLS协议头明文暴露主机域名,GFW以此进行SNI RST

⑤VPN PPTP协议、OpenVPN、Cisco AnyConnect等——明显的流量特征和可识别性(e.g.“原版OpenVPN在TCP模式下握手包会被Reset,UDP模式下握手包会被丢弃”)

⑥VPNGate(SoftEtherVPN)(包含HTTPS混淆)、蓝灯(Lantern)(P2P加密隧道代理)——VPNGate服务端暴露、蓝灯几乎被封锁得不可用

全外壳协议 SSH翻墙/赛风(混淆的SSH)——根据流量大小识别翻墙意图

GoAgent 基于云平台代理服务

Shadowsocks、V2Ray、ShadowsocksR、Trojan等新型proxy协议——代理服务器ip封锁、未知流量的限速、UDP QOS

域前置(Domain fronting)/ESNI加密服务器名称指示(Encrypted Server Name Indication)(TLS1.3)——可参见文章《报告:中国的防火长城已经封锁加密服务器名称指示(ESNI)》



四、法官忽视了VPN的技术中立性?——完全没有这样的案例

王金钧学长在其论文《非法VPN的刑法定性》中指出,有一则案例,法官忽视了VPN的技术中立性,该案件对应笔者上篇文章中第四章、第一节的第九个案例。

在案例1中,法院并未就“loco”加速器的这一非法的用途作出实质的解释,而从案例1鉴定的结果来看,法院也只是希望依靠将其评价为“VPN”来认定其非法性,从而默认其突破了计算机信息系统安全保护措施。在对“计算机信息系统安全保护措施”作出合法合理的解释前,这种认定实际上否认了VPN工具的技术中立性。

王金钧,公众号:网络法学研究院学生习作|非法VPN的刑法定性
笔者不赞同这一观点。具体可见对应案例的判决书。

经云南省公安厅电子证据检验鉴定中心检验,被告人桑某某电脑中提取的“loco”加速器经运行分析,检验意见为“可确定该软件系VPN通道一端,是一个VPN软件,可与VPN服务器建立通道,实现相互的数据传输。当VPN服务器为境外服务器时可实现突破国家信息关防,具有帮助境内计算机用户与境外服务器直接连接进行数据传输的功能,进而使境内计算机用户能够访问到在境内无法访问的境外网站”。

王宇扬,公众号:不能使用该名称「“规避GFW审查系统”的刑法问题」刍议——(一)三种入罪路径下的22则典型案例

根据鉴定意见,法院并非希望依靠将其评价为“VPN”来认定其非法,其关键点依旧应当着眼于最后一句话——使境内计算机用户能够访问到在境内无法访问的境外网站。这句话几乎已经成为类案的官方钦点套话。一个连接企业内网的IPsec VPN不能被入罪,一个连接学校内网的SSL VPN当然也不能入罪,因为他们根本没有Proxy的功能。即使是一个境外的企业服务器,若其系一个高度封闭的内网,由于也不存在Proxy功能,因此根本不能实现突破GFW的目的。

但是Loco极速器本质上依旧是通过Proxy代理服务实现规避封锁的功能,但基础协议本身可以是VPN,也可以是Socks5。此种突破封锁的原理在上文已经阐述地很清楚了,但判决书以及鉴定意见并没有很准确地阐明该原理的具体实现方法,对于这一瑕疵,应当归结为表达的偏差,而非对VPN技术中立性的理解偏差。从上一篇文章中引用的学者论文便可见意思一致、但更加严谨的表达。

其“翻墙”原理是:通过戴某所提供的账号密码,在前端计算机和境外VPN代理服务器之间建立虚拟专用通道,将前端计算机访问某个受限网站的请求通过通道发送给境外 VPN 代理服务器,由 VPN 代理服务器接收目标网站的响应后,将获取到的信息原样转发给前端计算机。这样,前端计算机就绕开监管,建立了一个 VPN 通道访问境外的受限网站。这种绕过计算机信息系统或者相关设备防护措施的行为,符合提供用于侵入、非法控制计算机信息系统的程序、工具罪的客观特征。

梅礼匀(宝山区检察院第一检察部副主任).提供VPN“翻墙”服务的行为如何定性[J].人民检察,2019(06):49-50.

从这个意义上看,法院显然对涉案软件的“非法用途”作了实质性解释,且几乎所有依托刑法第285条第三款入罪的案件,都采用了这种解释方法。当前,没有任何一个法官,仅仅凭一种工具系“VPN工具”,便认定其具有侵入计算机信息系统的功能。



五、避免“醉翁之意不在酒”的无效讨论——翻墙问题的讨论前景

讨论VPN技术的中立性,对于“翻墙”工具制售的刑法问题,是基本上毫无意义的。

问题的关键在于,GFW系统究竟属不属于“计算机信息系统安全保护措施”。一些案件的法官很有意思,对上述概念进行画蛇添足,在“保护措施"一词后方平添了一个突兀的“(系统)”,从中反而可见这名法官对于规制路径选择、法律涵摄本身的不自信。对于这一问题,笔者认为史宇航博士提出的质疑系一种更富有建设性的意见。

司法解释的表述是“具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据的功能的”。授权既是一个计算机术语,也是法律概念。

作为计算机术语,授权访问主要是指进入某一系统进行添加、删除、修改、复制等操作的资格,案中的情形并非是进入某一系统,而是离开某一系统;作为法律概念,授权的前提是授权人对授权内容具有权利,而案件里国家显然对被屏蔽的网站不享有权利。因此该罪名的适用是存在问题的。

VPN=侵入、非法控制计算机信息系统程序、工具? - 史宇航的文章 - 知乎 https://zhuanlan.zhihu.com/p/29089998

进一步探讨,国家机关作为一个公法人,是否对于中国国境之外的信息享有权利?若享有,才得以认为GFW本质上是一种计算机信息系统安全保护措施,防止国民对于“由国家或国家机关”享有的“几乎一切境外信息、数据”进行越权访问。然而这种解释是很荒谬的。与此同时,传统意义上的所谓“计算机信息安全保护措施”,皆系一种防御的姿态,系阻止外部服务器访问内部网络,而非系主动对外展开极为广泛、种类丰富的网络攻击手段。从这个意义上看,将GFW系统解释为字面意义上的“防火墙”是十分不恰当的。

一方面,对于翻墙刑法问题的讨论,无法脱离“GFW”这一房中巨象单独展开讨论,因为若不存在“GFW系统”,则“制售翻墙工具”根本没有入罪的必要。

因此很有趣的一点是,若学者反对将规避GFW系统的工具定性为侵入计算机信息系统的工具,那么他们就必须面对一个难题——选择其他罪名的原因究竟是什么?

非法经营罪?如果是无偿提供工具呢?如果系不属于电信业务、无须经营许可证便可开展的普通信息服务呢?

拒不履行信息网络安全管理义务罪?既然“网络服务提供者的义务规定应当是成文且明确的”,因此依旧不得不费力地论证——为何提供规避GFW系统的工具违反了某一行政法明确规定的义务

除此之外,在GFW于翻墙技术的对垒过程中,如何规制在技术发展过程中产生的新技术?若对GFW系统本身熟视无睹,又如何解释这些新发展的技术是否具有社会危害性?亦或是这样说——但凡得以实现外网访问的工具皆具有社会危害性吗?

可见,无论哪种路径,最终的讨论又将回归“GFW系统”这一本体。从这个意义上看,假使GFW系统本身没有被赋予正式的法律意义、未得到符合程序规定的合法授权,一切建立在GFW系统之上的行为的危害性讨论,都不过是“醉翁之意不在酒”、“顾左右而言他”罢了。

因此,很遗憾,在这样畸形的、不受法律规制的互联网审查背景下,当前的刑法问题讨论,与其说是在选择更为合理的规制路径,不妨说是找一个比较像样、看得过去的口袋罪名罢了。而由于当前几乎所有主流国家都不会对一国之境外的信息进行如此广泛、全面的封锁,因此笔者亦认为,至少就现状而言,进行比较法的研究,意义也着实有限。

当然,司法工作者、学者、法学生亦不能放弃希望,应当乐于“在镣铐上跳舞”,至少寄希望于对相关罪名的入罪进行严格控制,避免刑事处罚泛滥,烦扰民间适法行为的实施,乃至为其他地域、其他国家的人所耻笑。


本篇文章来源于本人微信公众号: 不能使用该名称