作者:王宇扬

同步发布至个人网站:legalwyy.com

作者邮箱:admin@legalwyy.com

(关于相关内容的研究、探讨和交流,请尽量通过作者邮箱联系。平日较繁忙,因此无法及时回复后台私信。)



正文


数据跨境安全网关条款及其罚则对于当前翻墙产业的影响是重大的,但其表述又难免使人放松警惕,有人给出如下理由:该条款规范的系翻墙业务的“提供者”,而不触及“使用者”,因而这项规定并不妨碍普通人获取境外信息以辅助社会生产及生活娱乐。
这种观点是极其片面的。


一、“互联网接入”、“线路”与“服务器托管”的重要价值

自DNS污染与SNI阻断成为数据跨境安全网关(传统称“GFW”)并行的主要技术特征起,人们便放弃了单纯的“抗DNS污染疗法”,转而采用境外服务器作为跳板,以此访问国家禁止访问的相关信息。至此,翻墙产业存在的根基,是大量用于绕开数据跨境安全网关的“互联网接入服务”和“服务器托管业务”的一级供应商和下级经销商,此两者是翻墙产业的“关键”基础设施,是经济命脉。
但显然,该行政法规范以其先进的立法技术,准确把握了前述“命脉”,进一步宣告了针对相关服务的直接的、具体的行政法义务,包括但不限于:
1、电信、联通、移动及其分销商对线路资源的行政法义务:相关企业须严格管理线路资源、带宽资源,避免被直接或间接用于“绕开数据跨境安全网关”;
2、IDC服务提供商对主机资源的行政法义务:相关企业须避免其裸金属服务器以任何形式对外提供翻墙代理业务(包括但不限于提供无审计、无TOS条款限制的裸金属服务器、基于任何虚拟化技术的VPS主机、暴露端口转发操作权限的类PaaS管理面板等)。
事实上,上述平台的监管义务在早期便以政策性文件、其他规范性法律文件的形式被确认,但这种羸弱的监管依据带来的问题是监管强度的模糊及不确定,甚至可能有寻租机会。一旦相关义务以行政法规的形式呈现,同时配套设定了行政处罚和附属刑法规范,那么平台与监管机构间的暧昧关系便失去了温存的土壤。如果说传统GFW体系发挥作用的关键在于网络技术,那么“数据跨境安全网关”这一法律概念的诞生,便意味着前述体系的进一步丰富,即不再单纯依托骨干网相关路由器的信息审计功能,而是把相关责任落实到“人”本身,进一步压实、压紧风险防范义务。
在近年来针对全国非法挖矿业务的打击行动中,我们看到监管机关给“互联网接入提供商”与“服务器托管提供商”施加的压力是巨大的,一旦通管局等部门使用相关审计监测技术检测到具有挖矿特征的行为,不仅相关业务须立即暂停,甚至面临整条线路或机房被清退的风险。而监管责任对挖矿的致命打击,对于翻墙产业来说也同样适用,行政风险的提升带来的直接影响是业务资源的不稳定,有可能导致服务价格进一步上升。
无论是传统境外VPN公司以“加密”、“隐私”为卖点的产品(NordVPN、ExpressVPN),还是受众范围更广的机场服务(通常提供一个或数个以vmess、trojan等协议为基础的线路配置信息订阅域名),甚至是自行托管位于境外的VPS虚拟主机、独服等搭建基于前述协议的代理服务端,一切的根源都在于“服务器”,前文所述的接入服务和服务器托管风险当然会击鼓传花式得给整个翻墙产业带来深远影响。

 

二、境外翻墙市场繁荣的基础条件

那么,为何当前翻墙市场依旧表现出异常繁荣的景象呢?
事实上,在十年多的实践中,我们常面临一个死循环问题,就好比某人手机号已注销,其要给绑定的微信换绑手机,但换绑的安全验证条件是收取当前手机号的验证码。这种令人啼笑皆非的事情常常发生于新人身上,即——在其能力范围内能找到的翻墙服务销售商全在谷歌,而访问谷歌的前提条件却是先翻墙成功。
我们猛然发现,一大票“机场”、“VPS”供应商似乎坐落于境外,这些服务商的网站大多使用不受境内备案条件限制的境外域名和主机资源,相当多的平台域名或IP本身就已经被屏蔽了,因此,它们的优势在于地理位置超脱法律管辖范围,因而很难令行政机关追溯和处置这些平台的控制者,即,监管无法直接落实到“人”本身。
更有意思的问题在于,许多人无法理解,为何当前我国还存在着可以直接与境外翻墙业务对连的途径。甚至在笔者从事相关打击跨国网络犯罪的实践中,发现了技术人员的类似困惑:犯罪分子为何可以在不与国内电信经营实体建立任何商业往来的条件下,为国内受众提供内容服务?事实上,这一问题非常容易解答。我国作为一个现代国家,不可避免需要同全球互联网建立联系,国内电信运营商总会通过国际出入口与其它国家的电信运营商建立互联,这些互联的交易价格和结算依线路服务质量的不同而有所区别。但更重要的是,电信运营商不必与全球所有运营商都直接建立合作关系,只要与国内运营商合作的全球电信运营商之间存在错综复杂的互联,那么在访问并非直连的IP地址时,直接从具有直接合作关系的线路绕道,无论如何都能找到最终的目标。这样看来,直连和非直连的最大区别,仅在于路由条件和服务质量的区别,这也是为何一些便宜的翻墙线路,延迟很高,速度很慢,根本原因在于,从你的主机到达相应代理服务器所需要耗费的时间太长(某些时候甚至可能绕地球一圈),途径的节点基于各种各样的原因也有可能发生带宽资源耗尽或歧视性的QoS(即为了保障更高等级用户的连接质量,而给“屌丝”用户制造一些随机丢包的麻烦)——毕竟你花的钱不足以让你拥有“高贵”的直连和稳定的可达性。
(在技术方面,“互联网”的上述优势很大程度上要归功于AS自治系统和BGP协议的运作,基于此,互联网本身的“网状结构”优势体现得淋漓尽致。更具体的技术普及与本文主题脱节,但仍然有所帮助,详见本文文末附录。)
一些技术小白还会问,为何相关部门不重拳出击,实时监控并屏蔽主流平台的服务域名和整个IP段呢?事实上,这种屏蔽常常发生,但通常缘起于边界网关对特定IP或特定端口就数据包通信时所使用的翻墙代理协议特征本身进行的探测,而非人为地、运动式地对特定平台所有IP进行批量“清除”。批量清除看似简单粗暴,实则面临相当大的困难。诸多机场业务依托的物理机资源是大型的国际IDC云服务商,机场主租用IDC资源时,会附带租用数量相当的IPv4或IPv6地址段(一般来说要有冗余,须多于预期上线的主机资源),随后被分配给相应的主机用于互联网通信。IDC服务商拥有的IP段数量繁多,其中并不是所有IP段或一个IP段中的所有地址都恰好被分配了给了机场服务;事实上,许多邻近的IP地址很可能服务于正常的国际业务,相关部门为了少量被用于绕开数据跨境安全网关的IP地址,动辄屏蔽整个IP段,很可能误伤正常的跨国业务,且这种一揽子的屏蔽甚至可能引发违反相关国际法义务的风险。
我国是联合国下属专门机构——国际电信联盟的成员国,全国人大早已批准我国于1992年12月22日在日内瓦签署的《国际电信联盟组织法》和《国际电信联盟公约》。这意味着中国需要履行公约规定的国际法义务,包括但不限于维系国际电信业务的正常运行,依法保障国际电信业务的开放并应尽力使这类业务能供其国内网的公众普遍使用。
因此,某种程度上,许多人对未来可能实施“白名单策略”的担忧似乎有些杞人忧天、不切实际。翻墙业务的繁荣,事实上完全可以说是顺应了经济全球化的浪潮,大量专门用于绕开数据跨境安全网关的活动与重要的跨国经贸合作业务之间相伴相生、鱼龙混杂,同时“非法”的翻墙产业似乎也间接受到了来自国际法规范的“庇护”。

 

三、机场翻墙业务的隐患

——“国内中转”的业务特征极容易带来全盘崩溃的风险

对于普通百姓来说,自行搭建境外服务器实在是强人所难。我们的生活丰富多彩,除了上网之外,每个人心中显然也有别的实现人生价值的方式,让每个人都耗费巨大的精力和时间成本研究翻墙是不现实的。因此,以“机场”形式提供的服务的存在具有必然性,且会长期成为主流的绕开数据跨境安全网关的途径。
在多年的实践中我们发现,大部分人对于机场等“翻墙”产品质量问题的容忍度很高;换言之,它们对服务质量的要求低得可怜,只要达到“可用”的状态便心安理得。但事实上,许多“极客”,对线路质量、带宽(以单线程为主要评价标准)、延迟、全年无故障时间(甚至不惜长期挂探针进行测试)的要求又非常高。这种翻墙市场消费端的两极分化是严厉政策环境下的必然产物。毕竟,初来乍到者第一次实现了通信的从无到有本已是重大跨越,速度的快慢反而显得不那么重要。
但事实上,公众对低服务质量的容忍态度,或多或少会随着人生阅历、消费能力、工作、学习和娱乐需求的变化而改变。当他们对服务质量提出更高的要求时,通常也意味着交易对价的陡然上升。
机场等翻墙业务究竟有多赚钱,以至于令如此多的人不惜以坐牢为代价,冒险经营相关业务?这一切都源于翻墙市场服务端和消费端巨大的信息差。许多机场会用小白可以理解的方式,讲述他们的线路多么好,甚至是“企业级”的存在;但事实上,绕开数据跨境安全网关建立国际联网,本应是高度个性化的服务,而非以”大锅饭”的形式提供。机场用户端的情况通常十分复杂,大家处在不同地区,使用的是不同运营商提供的服务,这些运营商也通常具有不同的国际骨干网线路资源,并与不同的国际运营商对连。这种消费者不均衡的情况带来的首要问题是,一个机场的同一线路在A来看十分好用,但对于B来说甚至无法使用。为了缓解消费者差异带来的服务体验不可控的问题,机场主或多或少需要使用“黑科技”,以保障服务的相对均衡——而“国内中转机”就是黑科技之一。
机场在整个翻墙产业的地位究竟是怎样的?说得难听一些,你可能永远不知道机场主提供的线路有多少级上级供应商,这些线路途经了多少个中转节点,有多少个看似位于不同地区的节点使用的是同一个国内中转节点作为跳板……在整个领域,我们常常听说某地某运营商的网络可以做到“拉万物”。这个黑话的意思是,特定运营商的网络可以与大量位于境外的运营商建立良好、稳定的互联。例如,某A平台境外VPS供应商的主机,其使用的网络与境内B运营商无直连通道,但是A平台主机与境内C运营商的互联有极高的服务质量,那么,要改善B运营商连接问题的最好方法,便是搭建一个隶属于C运营商的跳板,在B运营商通过C运营商转发互联网请求至A,这种移花接木很好地解决了B与A无法直连的问题。
许多机场利用国内中转机,改善境外非直连线路的服务质量,以较低的成本提供了看起来更好的服务。但问题在于,这种做法增加了维护成本,节点的增多必然带来系统性风险的增加。回归本文正题,倘若境内运营商的监管义务加重,国内可用的中转资源很难继续稳定运作,其导致的后果是,某天中转节点可能突然暴毙,机房清退服务,那么所有建立在该中转节点之上的境外翻墙线路也就随之一起暴毙了。
这样看来,整个翻墙产业链的上游,具体来说即国内中转的供应链,面临了更大的行政法风险,那么最终的苦果几乎还是要由广大机场服务消费者群体来承受——或加价、或速度慢、或跑路……当消费者遇到这样的问题时,难道他们可以引述《民法典》《消费者权益保护法》的规范保护自身权益吗?


附录:翻墙互联网运作的基础——AS和BGP

 

1、“导航”:IP网络的基础——自治系统(AS)与界网关协议(BGP)

依据本领域通识,我们知道,人类IPv4地址的数量为2的32次方个。IP地址相当于互联网用户的手机号码、寻路标识。这些地址的分配不是随意散发,通常由区域性的因特网注册管理机构(在亚太地区,如APNIC)管理IP段资源的预批准(Pre-approval)[1]及后续交易。

拥有了IP地址,并不意味互联随即正常运行。“互联网络”的网状结构意味着,从一个目标到达另一个目标有无数种方法,如果没有一种导航机制为数据包提供路由策略,那么你发送的请求大概率会迷路、兜圈;最终,当数据包预设的存活时间(Time To Live,简写TTL)耗尽时,便会放弃寻路,回传“跃点数超限”的结果。

防止迷路的方式是,通过AS自治系统路由策略,控制特定 IP 地址空间的列表以及与其连接的其他 AS 的列表。AS 通过边界网关协议(BGP)通知其到其他 AS 和路由器的路由策略。BGP 路由器从世界各地的 AS 中获取所有这些信息,并将其放入称为路由表的数据库中,以确定从 AS 到 AS 的最快路径。当数据包到达时,BGP 路由器会参考其路由表来确定数据包接下来应转到哪个 AS。[2]

 

2、“公路”:IP网络的物理条件——中国与全球(物理意义上)的互联

有了 “导航”,但没有供数据包通行的道路,那一切都是白搭。行车导航之于公路,就如同IP网络和跨国通讯电缆的关系一般。

1987年9月20日,我国从北京向海外发出的中国第一封电子邮件“Across the GreatWall we can reach every corner in the world.”,自此以后,我国的跨国线路等国际电信基础设施迎来快速发展。

关于国际线路资源现状的阐述,详见该知乎答主的文章:

国内至国际骨干Tier1 ISPs线路整理(2022年更新篇) - sjlleo的文章 - 知乎

https://zhuanlan.zhihu.com/p/451683996



[1]详情见APNIC官网相关页面。(Link:https://www.apnic.net/manage-ip/manage-resources/transfer-resources/listing/)

[2]转引自Cloudflare官网关于自治系统的描述。(Link: https://www.cloudflare.com/zh-cn/learning/network-layer/what-is-an-autonomous-system/)



既往文章:

GFW法学研究的全新篇章 | “数据跨境安全网关”条款——《网络数据安全管理条例(Draft)》第41条、第66条评注

“数据跨境安全网关”条款评注(一):第一版前言勘误——兼谈近阶段的人生感悟



本篇文章来源于本人微信公众号: 不能使用该名称