在华跨国公司还能使用VPN吗?

发布时间:2017-12-04

文 | 刘冠男 汇业律师事务所 律师

2017年1月17日,工信部下发了《关于清理规范互联网网络接入服务市场的通知》(工信部信管函[2017]32号),一时间,监管部门在全国范围内对互联网网络接入服务市场开展清理规范工作,大批量的“翻墙”软件被封,同时,也让很多在华跨国公司的法务们慌了神。几乎所有的在华跨国公司在日常经营中均需要使用VPN与国外总部或者分支机构进行业务交流,很多外企法务向我们咨询,他们公司还能使用VPN吗?怎样合规地使用VPN?是否需要履行相应的法律手续?……等一系列问题。

VPN(Virtual Private Network,虚拟专用网),简单地说,就是向用户提供了一种通过公用网络安全地对公司内部专用网络进行远程访问的连接方式。事实上,光连接VPN并不能直接“翻墙”,只有当VPN连接国际通信信道时才可以实现我们日常说的 “翻墙”。

一、公司能否自建VPN?

(一)公司能否在境内自建VPN?

实践中,跨国公司通常会在境内以自建VPN的形式连接专用国际通信信道与境外总部、分支机构进行联通,该种自建行为是否合规?

《国际通信出入口局管理办法》规定,以经营电信业务为目的,通过互联网国际出入口设置虚拟网络的,应当报信息产业部(现已更名为工信部)批准。以内部使用为目的,通过互联网国际出入口设置虚拟专用网的,应当报信息产业部备案。

根据上述规定,公司以“内部使用为目的,通过互联网国际出入口设置VPN”的需要向工信部办理备案手续,但根据我们与监管部门的实际沟通,目前监管部门并未开放相关的备案程序,公司实际上无法进行该类备案。因此,严格意义上说,公司以“自用”为目的自行设置VPN的行为未被明确允许,属于法律监管的灰色地带。

(二)公司能否在境外搭建VPN架构以访问某些“不适”网站?

根据《国际通信出入口局管理办法》及工信部信管函[2017]32号的相关规定,基础电信企业向用户出租的国际专线,只能在规定的业务范围内用于点对点通信,明确使用用途仅供其内部办公专用,不得用于连接境内外的经营性数据中心或业务平台。

由于受限于上述条件(包括点对点通信、不得连接境外的经营性数据中心或业务平台),通常跨国公司会通过境外的VPN搭建间接架构连接境外数据中心,最终实现国内VPN用户访问境外“不适”网站的目的。(具体见下图)

笔者认为,从法律层面该问题涉及两个方面:其一,通过境外服务器搭建技术架构,因技术架构的搭建行为发生在境外,不属于中国法律的调整范围,不受中国政府的监管范畴。其二,中国监管部门从未在法律层面禁止境内用户访问谷歌等“不适”网站,因此,境内用户访问谷歌的行为本身不属于违法行为。

二、公司能否租用VPN?

根据《电信条例》及《电信业务分类目录(2015年版)》的相关规定,在国内开展互联网虚拟专用网络(IP-VPN)经营服务的,需要获得工信部颁发的第B13类增值电信业务经营许可,且取得该资质的公司仅具备向终端用户提供国内VPN租用服务的资质,无法直接向用户提供跨境业务。

因此,公司需要向第三方租用VPN服务的,有义务对供应商的业务资质进行审查。

三、公司是否需要租用国际通信信道? 

不论是自建VPN或向有电信经营资质的第三方租用VPN,公司需要进行跨境传输的,还必须通过合法渠道租用国际通信信道。

根据《国际通信出入口局管理办法》的规定,在中华人民共和国境内从事国际通信业务,必须通过信息产业部批准设立的国际通信出入口进行。任何组织和个人不得利用其它途径进行国际通信。

目前,只有三大基础运营商(中国电信、中国移动及中国联通)拥有开展国际通信设施服务业务资质。因此,跨国公司要与境外总部、分支机构实现互联网通信的,必须向三大基础运营商租用专门的国际通信信道,不得向不具有相应电信业务经营许可资质的单位或个人租用国际通信信道。

四、公司合法设置了VPN,是否就ok了?

对于法务们而言,解决了自家公司VPN设置的合规性问题,是否就“万事大吉”了?综合现在的监管动态,笔者认为公司还需重视VPN使用的合规性问题,包括:

(一)严格限制使用范围

此次工信部信管函[2017]32号文禁止的违规开展跨境业务,指未经电信主管部门批准,不得自行建立或租用专线(含虚拟专用网络VPN)等其他信道开展跨境经营活动。根据相关规定及监管实践,此处的“经营活动”指“将租用的国际通信传输线路借用、转租、转包或非法提供给第三方使用”,对于“企业内部员工因办公用途的使用”,一般不认定为开展跨境经营活动。

因此,公司有义务严格限制VPN的使用范围,任何涉及向公司外部人员(包括公司访客)提供VPN服务的,存在被认定为开展跨境经营活动的法律风险。

(二)网络运营者的内容审查义务

但即使公司通过上文所述的合规途径设置VPN供内部员工办公使用的,根据《网络安全法》及《电信条例》等规定,网络运营者作为网络法律的第一责任主体,应当加强网络管理,制定网络安全及使用的管理制度,加强网络内容审查,并应当采取切实必要的措施防止用户非法使用网络服务。

公司在向员工提供VPN服务时,应当采取必要的措施防止用户(内部工作人员)非法使用VPN账号,包括但不限于:

  • 加强用户账户管理,严禁用户向第三方非法借用、出租、出售账户;

  • 加强用户使用VPN账号的合规性审查,并制定相应的政策制度;

  • 对用户使用VPN账号访问内容的审查,尤其是对用户对于涉恐、涉暴、涉政等内容的转发行为的管理。

返回列表