企业合规使用VPN的常见问题解析
发布时间:2023-06-08
文 | 史宇航 汇业律师事务所 顾问
一、VPN是一种什么样的技术?
VPN(virtual private network)即虚拟专用网络,是一种常用的互联网技术,通过隧道技术、加密、互联网协议在公共网络上构建模拟专用网络。
举个通俗的例子,当用户连接到VPN时,数据就像是被放进了一个加密的保险箱里,只有用户和VPN服务器能够打开它。这样,即使有人拦截数据,拦截者也无法读取或理解其中的内容。但如果不使用VPN,网络流量就像是裸露在公共场合中的一张明信片,任何人都可以轻松地看到发送和接收的信息。
二、VPN对企业意味着什么?
因为一些众所周知的原因,在中国境内直接连接“境外”互联网会遇到诸多阻碍,导致很多境外资源无法连接使用。因此用户需要通过VPN或其他技术进行国际联网,才能访问更多互联网资源。尤其当前很多AI技术的开放是根据地域进行划分,并不统一向全球开放,我国或因为各种原因暂时无法接入。比如OpenAI、New Bing、Google Play等服务目前都不面向中国境内开放,所以VPN的使用在某些场景下就显得不可或缺。
在实践中,VPN通常被用于国际联网、企业远程访问管理等领域。虽然VPN并不是一个国际联网的专用技术,但在公众话语体系中,VPN已然成为国际联网的代名词。实际上,各种专线反而更常用于企业的部署。在本文中,为便于理解,我们姑且将国际联网与VPN混同使用。
对企业而言,选择国际联网(VPN)的方案不仅意味着合规访问互联网资源,也意味着统筹自己的IT规划。根据我们的经验,企业在设置国际联网方案时,通常需要考虑以下因素:
1)如何访问国际互联网资源,能否通过该路径向境内提供境外互联网资源;
2)IT基础架构如何搭建,是否需要在中国境内设置服务器、配置管理人员;
3)如何共享集团内的信息资源,实现数据的统一管理;
4)数据跨境传输的技术基础。
三、企业能否进行国际联网(使用VPN),有什么规定和政策?
企业因为正常经营的需要,可以合规使用VPN。2017年7月,工业和信息化部新闻发言人、总工程师张峰在回答记者提问时表示:外贸企业、跨国企业因办公自用等原因,需要通过专线等方式跨境联网时,可以向依法设置国际通信出入口局的电信业务经营者租用。
《中华人民共和国计算机信息网络国际联网管理暂行规定》也要求国际联网必须使用国家公用电信网提供的国际出入口信道。工信部在2017年1月发布《关于清理规范互联网网络结构服务市场的通知》,要求清理违规开展跨境电信业务经营活动。
在行政执法案例中,已经出现了企业因为违规使用VPN而被处罚的案例。比如:2019年3月,湖南常德某游戏公司在官网提供名为加速器的VPN软件供用户下载,而该软件具备通过非法定信道进行国际联网功能,被给予警告处罚;2019年6月,浙江海宁某进出口公司违规使用某VPN进行国际联网,被给予警告以及停止使用该VPN的处罚。
在实践中,更为常见的情形是企业因为未使用合法信道,导致VPN处于不稳定的状态中,相关服务无法正常使用。根据《网络安全法》第50条,对来源于中国境外的禁止发布或者传输的信息,国家网信部门和有关部门应当通知有关机构采取技术措施和其他必要措施阻断传播。
四、企业该如何选择国际联网(VPN)?
《中华人民共和国计算机信息网络国际联网管理暂行规定》第6条规定,计算机信息网络直接进行国际联网,必须使用国家公用电信网提供的国际出入口信道。任何单位和个人不得自行建立或者使用其他信道进行国际联网。而我国提供国际联网(VPN)服务的经营者需要具有A14-4国际数据通信业务牌照,目前仅有三大运营商,即电信、联通与移动具有该牌照。
部分电信运营企业可能会持有固定网国内数据传送业务(A24-1)或国内互联网虚拟专用网业务(B13)。其中A24-1固定网国内数据传送业务的业务类型包括:虚拟IP专线数据传送业务与虚拟专用网(不含IP-VPN)业务等。B13国内互联网虚拟专用网业务(IP-VPN)是指经营者利用自有或租用的互联网网络资源,采用TCP/IP协议,为国内用户定制互联网闭合用户群网络的服务。虽然这两张牌照里都有VPN的字眼,但这两项牌照不涉及A14-4国际数据通信业务,仅能在有限范围内提供VPN服务,不能提供跨境VPN。比如2019年英国电信获得的IP-VPN牌照(虚拟专用网),并不涉及跨境的范畴。
因此,企业在选择供应商时,应注意相关牌照的具体范围,避免为牌照名称中VPN的字眼所迷惑,确保供应商确有资格提供国际联网业务。
实践中,还有一种情况是境外总部会与国际运营商签署统一的数据接入协议,其中也会涉及中国的国际联网(VPN接入)。该场景的合规需要关注境内运营商的选择,因为国际运营商通常会在中国境内与三大运营商合作提供VPN接入服务,以确保其网络架构的合规性。
五、国际联网(VPN)与数据出境有什么关系?
在某种程度上,国际联网(VPN)合规与数据出境合规是互为表里的。一方面,企业在开展数据出境合规工作时,需要向监管部门披露自己使用VPN的情况;另一方面,企业使用国际联网(VPN),就意味着极有可能存在数据出境的场景,需要有针对性地开展数据出境的合规工作。
对于数据出境,如果采用数据出境安全评估的方式,需要对数据出境的方式与链路进行申报。对于数据出境的方式,需要填写公共互联网传输、专线传输、VPN等;对于数据出境的链路,需要填写链路提供商、链路数量与带宽等信息,并就运营商等信息进行披露。如果使用标准合同的方式出境,也需要将数据出境的方式体现在标准合同与数据出境的个人信息保护影响评估中。
鉴于企业使用国际联网(VPN)的信息为三大运营商所掌握,这也意味着监管部门可以较为轻松地查到哪些企业存在通过国际联网数据出境情况。所以,使用国际联网(VPN)的企业需要尽快将数据出境的合规工作提上日程,企业在IT系统部署规划阶段,就需要统筹考虑国际联网(VPN)合规和数据出境合规。
六、企业使用国际联网(VPN)还有哪些风险?
根据工信部《关于清理规范互联网网络接入服务市场的通知》,要求基础电信企业“向用户明确使用用途仅供其内部办公专用,不得用于连接境内外的数据中心或业务平台开展电信业务经营活动。”鉴于该通知规制的对象是基础电信企业,因此在跨国公司与基础电信企业的国际联网(VPN)租用协议中,基础电信企业可能会通过合同的方式对跨国公司使用国际联网(VPN)的方式进行限制。此外,企业也有必要在自己的社交媒体政策中,对员工使用境外社交媒体进行规范,避免因为员工的不当言行影响公司正常的网络联通。
一旦发生纠纷,使用国际联网方式在境外生成的电子数据作为证据提交司法机关时,也会存在一定的挑战。部分法院目前并不认可使用违法VPN从境外相关网站所取得的证据,但也有广州互联网法院的司法判例认为:使用自行建立或者使用其他信道进行国际联网并不影响证据的合法性,在民事诉讼中对证据合法性的审查标准显然不宜过分拔高。企业如果通过三大运营商进行国际联网(VPN),则可能出现仅能在特定IP地址范围内或指定账号登陆后才能访问海外数据的情形,在发生争议时证据的真实性可能会受到挑战,企业需要提前做好这方面质证的准备。