前言
 
日前,国家互联网信息办公室公布《网络数据安全管理条例(征求意见稿)》,条例第41条(及其罚则第66条)中关于“数据跨境安全网关”的行政法律规范引发业界乃至全社会的广泛关注。
有不少人已蓄势待发,早早写下文章预言:所谓“数据跨境安全网关”是一种对“GFW”(即“中国国家防火墙”、“防火长城”)的“正名”——即第一次为其赋予正式的法律地位;事实上这种说法可能存在问题:
第一,这一条款根本不能称作是“首次正名”。在GFW的授权基础与“突破GFW”行刑问题的衔接》一文笔者就曾提及,“GFW审查”本身就有与之相契合的授权规范。如《网络安全法》第50条:“国家网信部门和有关部门……发现法律、行政法规禁止发布或者传输的信息的,应当要……;对来源于中华人民共和国境外的上述信息,应当通知有关机构采取技术措施和其他必要措施阻断传播。”与其说GFW审查系统是一种计算机设备,不如更加抽象地说它是一种软硬件集成、产品化的审计服务、一种部署或依附在骨干网节点或国际出口路由节点的技术措施——《网络安全法》事实上已经总结得十分到位。从这个意义上看,“数据跨境安全网关”的命名本身没有特别大的立法价值;关键点反而在第二款及其罚则。
第二,先斩后奏违反了“法无授权不可为”的基本原理和“先立法后执法”的逻辑顺序;在刑法已经提供规制方法的基础上再搞行政立法,是一种奇怪的做法。行政法规范的出台从来不是一种对行政管理权的事后评价,而只能是一种事前许可;因此按照这一逻辑,“禁止提供绕过、穿透安全网关的程序、工具”这一禁止性规定和对应罚则的确立,反而是在宣誓:在这一草案经过法制部门审核、室务会会议正式通过审议、发布并生效前,一切针对“禁止提供绕过、穿透安全网关的程序、工具”的行为进行行政处罚的行为都是无法可依、严重违法的。这是一个任何普通人都知晓的道理——毕竟,倘若在草案转正前这些行政行为本身就已合法化且在付诸实践,那么还有什么好征求公众意见的呢?但事实上,针对“提供翻墙线路、服务器或其他VPN工具”的行为,刑法甚至早已将其纳入规制范围,且根据相关司法解释,几乎不存在“情节尚不构成犯罪”的灰色区域;换言之,刑法根本未给行政法的规制留下适用空间。那么这一条款的制定就显得非常诡异了:它究竟是要依靠一个小小的部门规章抢走刑法规制路径的风头,还是想凭一己之力对抗司法机关、进而直接抬高刑事入罪标准?
带着上述两个问题审视“数据跨境安全网关”条款,笔者更多的疑惑还在后头,有很多问题可以尽情地展开研究;因此笔者十分激动地复出,并很乐意继续围绕相关条款作深入研究,续接此前“GFW”系列文章。
与此同时,就着条文中提及的“服务器托管”、“线路”等概念,笔者猛然发现,我们此前很少深入“翻墙”服务实际的产业链中,去探究那些令少数人“引以为傲”的“出国线路”究竟来源何方。在不考虑立法正当性的前提下,《网络数据安全管理条例(Draft)》第41条第二款采用的立法技术无疑是十分精彩的,用一句网络流行语来说,就是:“我不装了”,“我摊牌了”。它近乎涵盖了平常人一切可能的“出国方案”,它变得十分“年轻”、“干练”、“充满活力”,不再是当年那个“僵硬”、“虚伪”、“老掉牙”的“国际出入口信道”管理规范了。
谈到这里,这个条文却着实令我有些哭笑不得。一方面,它完全证明了我此前的一系列文章中绝大部分观点的正确性,令我十分自豪;与此同时,又令我有些胆战心惊,“惊”在两方面:第一,由此产生的法规范冲突怎么办?以前的、正在进行的翻墙行政处罚、刑事案件怎么办?第二,当所有的商业线路资源全部为行政法规范作否定评价后,恐怕只有“出于家庭事务目的”自行托管境外服务器才得以被称得上是“较为合规”的冲浪方法了。这项规范注定会给整个产业带来深远影响,相较曾经的《工业和信息化部关于清理规范互联网网络接入服务市场的通知》,普通人受到的影响也会更加超乎想象。
因此,受到这一全新法规范(草案)的激励,本文相较于此前的数十篇文章,将会把重点放在此前未讨论过的领域,存在全新的内容和更深入的分析,请读者朋友们耐心阅读,如有纰漏,敬请指出。
另由于本文篇幅预计十分夸张,结合此前笔者发文的经验,这次的文章将会按章节单独成篇发布,以更好地改善读者阅读体验。因此笔者将采用定时更新和补充的做法,待全文更新完毕再予以整合发布在个人网站legalwyy.com中。
全文计划篇幅可能超过5万字,争取在一个月之内完成。
 
目前拟定的全文基本结构分为四大块,大致结论附后:
1、第一章从“行政主体”及“抽象行政行为”的角度,屡清本文研究对象——《网络数据安全管理条例(征求意见稿)》(下称“本条例”)的性质、制定机构及目前所处的立法阶段。

本章结论:根据国发〔2018〕6号,国家互联网信息办公室属于“国务院办事机构”,依据《国务院行政机构设置和编制管理条例》第六条之规定,本不具有独立的行政管理职能。然基于国发〔2014〕33号,该机构得到国务院行政法规的特别授权,例外地获得了行政主体资格,具有了与国务院直属机构近乎相同的地位,因而得在授权的行政职能范围(即)内制定本条例。

根据《规章制定程序条例》,本条例尚处于起草阶段,尚未经法制机构审查,也未经室务会议审议;因此处于立法早期阶段。(故后续内容可能发生变化,若发生变化,该系列后续文章或章节会同步调整、更新或勘误。)

2、第二章依据本条例制定依据和规范意旨,探索数据跨境安全网关”第41条(规范本身)的上位法依据,并就第66条(罚则)的合法性提出严重质疑
本章结论:条例第41条“数据跨境安全网关”相关规定的上位法依据系《中华人民共和国网络安全法》第50条,然而该条款没有直接对应的罚则。从行政处罚设定权和具体规定权的基本原理看,遍历网络安全法罚则一章中的所有条款,不存在任何与本条例第66条规定的“处违法所得一倍以上十倍以下的罚款”相同的处罚幅度,因而,即便默认网络安全法存在与“突破或绕开数据跨境安全网关”之行为相同、类型近似、或至少被抽象化了的模糊规范,也难逃“因超越上位法处罚幅度或范围而根本违法”的嫌疑。更何况,抛开处罚种类和幅度限制不谈,网络安全法罚则一章规制的行为本身均难以和“突破或绕开数据跨境安全网关”之行为相提并论。若以此认为上位法没有对该行为设定处罚依据,那么条例第66条就是在自行设定处罚依据,因而严重违反《行政处罚法》第13条第二款之规定(处罚种类及幅度的严格限制)。
 
3、第三章系“数据安全跨境网关”概念分析及对法律体系颠覆性影响的评价。
本章结论:这一概念的提出,或许有助于对“突破GFW”行为的胡乱解释现象进行正本清源。但事实上,以“数据安全跨境网关”的法学概念作为民间概念“GFW”的替代品,完全颠覆了此前行政执法、刑事司法领域对“翻墙行为”以及“提供翻墙服务之行为”做出行政处罚决定、刑事司法判决的所依据的法律条文及对条文的解释。倘若本条例该条款最终真的一字不差地被予以保留和正式公布,将导致众多行政机关、司法机关颜面尽失,难以处理和评价此前依据“国际出入口信道”条款做出的大量行政处罚以及依据“提供侵入计算机信息系统的工具”做出的大量刑事判决,其终将沦为难以解决的历史包袱。
 
4、第五章逐字逐句讨论具体概念,由于涉及到结合实际情况的分析,故难以直接在大纲给出抽象结论,本章讨论的概念包括:
【第一款中】

(1)“来源于中华人民共和国境外的信息”;

本节讨论境内外信息源的界限,尤其是我国香港和台湾地区信息源性质的问题;并由此探讨刑事司法实务中可能遭遇的特殊案例:黑灰产服务商依托“境内”服务器及CDN分发信息,但同时通过屏蔽大陆地区IP地址的方式禁止大陆用户访问的信息,这类信息必须通过境外proxy代理服务器获得非大陆地区境外IP地址,才能诱骗服务器或CDN防火墙、流量过滤实例放行数据包。在此情形下,前述信息压根不属于“数据跨境安全网关”阻断的信息,但却必须通过proxy代理才能访问,如何评价该行为? (2)“法律和行政法规禁止发布或者传输的信息”; 本节讨论该准用性规范的具体范围,检索该表述中对应的法律或行政法规具体条款,如《网络信息内容生态治理规定》等。 (3)“予以阻断传播”。 安全网关阻断传播原理的再次深入,就曾经文章作补充技术说明。  

【第二款中】

(4)“任何个人和组织”; 如何与本条例第2条第三款“自然人因个人或者家庭事务开展数据处理活动,不适用本条例”之规定相衔接?这直接关系到自然人就数据跨境安全网关采取措施的合法与违法性界限问题。如朋友间基于好意实惠分享?多个好友抱团共享?5人?10人?20人?全班?在共享Netflix家庭账号的同时附带性地提供跨境线路链接?并以Netflix会员费的形式进行一定的收费以补贴亏空?……日常生活中的情形十分复杂,现有条例之规定显然难以应付,需要动用立法精神和法律解释,这其中又会有政策导向等不确定性因素。 (5)“用于穿透、绕过数据跨境安全网关的程序、工具、线路等”; 对于“穿透、绕过”:主要分析何为“穿透”、何为“绕过”,介绍两种情形之区别; 对于程序、工具:分析目前流行的v2ray、trojan等linux服务端应用(包括x-ui等可视化web管理面板)、将v2ray、trojan、ssr等链接打包式地转换为clash、surge、surfboard、Loon等支持的订阅链接进行共享(包括开发和分发以转换订阅链接为目的的Subscription Converter前端面板与Sub-web后端程序),还包括商业化的流量中转转发面板(如闲蛋、极光面板)、直接用于建立iptables、socat、brook端口转发工具(包括一键安装命令等);出厂开箱即用的翻墙路由器、或内置PassWall等插件的软路由系统或以准系统附带包含内置有VPN插件的系统镜像作为附带性服务等复杂情形; 对于线路分析目前主流的VPS供应商、国内链接至国外POP点的云服务商或普通企业内网IPLC/IEPL线路,例如国内由世纪互联运营的上海Azure与搭建在境外(如东南亚、南亚)等由Microsoft运营的海外Azure POP节点之间的内网互联问题;用于优化路由的境内端口(流量)转发供应商、基础电信运营互联网接入协议、面向公众开放的电信CN2/CN2 GIA“国际精品网”增值服务等; (6)“为穿透、绕过数据跨境安全网关提供互联网接入、服务器托管、技术支持、传播推广、支付结算、应用下载等服务” 对于“互联网接入”:讨论运营商和云服务商之间订立的带宽合同的违约责任、基础电信运营商、云服务商的注意义务等问题; 对于“务器托管”介绍当前云服务器售卖形式,例如独服(“杜甫”)、共享线路、基于KVM、OpenVZ、ESXi 、Hyper-V、Vmware的虚拟化…… 对于“技术支持”实现proxy代理、流量混淆与加密、端口转发面板,及前者对应的一键安装脚本的开发者、致力于维护开源程序的程序员…… 对于“传播推广”和“应用下载”当前傻瓜级别的伪“VPN”程序(活跃于多个平台端口,如Lantern、NordVPN等);网盘上传和分享VPN程序…… 对于“支付结算”探讨助力黑灰产转移非法收入或从事洗钱的第四方支付平台、以及通过比特币、USDT等虚拟货币形式提供结算服务以换取高昂手续费的服务。  

【第三款中】

(7)“境内用户访问境内网络的”、“其流量不得被路由至境外”; 这个情形如:在为Proxy程序设定代理规则时,错误使用全局代理,或者因缺失GeoIP数据库、gfwlist、Chnlist、chnroute6数据库或DNS解析问题、或错误开启IPV6 DNS解析而翻墙软件尚难以支持代理IPV6流量时,境内用户访问境内网络时,其流量难免被路由至境外proxy服务器。

暂定篇章结构如上。但后续随时可能发生调整,敬请谅解。
下周笔者将更新第一篇:主要谈条例(草案)本身的合法性、规范意旨,条文上位法依据和罚则的问题,欢迎关注。

GFW法学研究的全新篇章 | “数据跨境安全网关”条款——《网络数据安全管理条例(Draft)》第41条、第66条评注

原文始发于微信公众号(不能使用该名称):GFW法学研究的全新篇章 | “数据跨境安全网关”条款——《网络数据安全管理条例(Draft)》第41条、第66条评注
最后修改:2022 年 05 月 01 日
如果觉得我的文章对你有用,请随意赞赏