外資企業(yè)如何依法使用VPN?
作者:史軍 沈慧力 2021-03-23越來越多在中國的外資企業(yè)將VPN(virtual private network,虛擬專用網(wǎng)絡)技術用于遠程和安全地連接企業(yè)的服務器。然而,除了它的加密通信功能,VPN在中國被廣泛使用的一個更重要的原因是VPN技術可以實現(xiàn)跨境聯(lián)網(wǎng)。本文中“VPN”特別指代的是跨境聯(lián)網(wǎng)場景下的VPN。
近年來,中國加強了對VPN的監(jiān)管。2019年5月,一家公司因為使用非法“代理軟件” 訪問海外網(wǎng)站而被罰款。此事引發(fā)網(wǎng)絡平臺上的熱烈討論。筆者留意到許多外資企業(yè)對VPN有實際需求,例如與全球其他辦公室開展協(xié)同辦公和數(shù)據(jù)交互,但是他們對于如何在遵守監(jiān)管政策的情況下使用VPN知之甚少。
外資企業(yè)私下租用或者組建非法VPN的情況非常普遍。本文將提供一些關于外資企業(yè)依法使用VPN的建議。
VPN技術是一種通過互聯(lián)網(wǎng)實現(xiàn)從設備到網(wǎng)絡連線的加密連接。這種加密連接有助于確保敏感信息安全傳輸。VPN使用隧道協(xié)議來實現(xiàn)發(fā)送端身份驗證、消息保密和準確性以及其他功能。它們可以防止未授權的人員竊聽流量,并允許用戶遠程執(zhí)行工作。今天,VPN技術在公司業(yè)務中被廣泛運用。
規(guī)管環(huán)境
2017年1月,工信部發(fā)布《關于清理規(guī)范互聯(lián)網(wǎng)網(wǎng)絡接入服務市場的通知》。通知明確稱,“未經(jīng)電信主管部門批準,不得自行建立或租用專線(含虛擬專用網(wǎng)絡VPN)等其他信道開展跨境經(jīng)營活動。基礎電信企業(yè)向用戶出租的國際專線,應集中建立用戶檔案,向用戶明確使用用途僅供其內(nèi)部辦公專用,不得用于連接境內(nèi)外的數(shù)據(jù)中心或業(yè)務平臺開展電信業(yè)務經(jīng)營活動。”
工信部官員就VPN的相關問題,也明確指出政府對于VPN的監(jiān)管態(tài)度和原則:外貿(mào)企業(yè)、跨國企業(yè)因辦公自用等原因,需要通過專線等方式跨境聯(lián)網(wǎng)時,可以向依法設置國際通信出入口局的電信業(yè)務經(jīng)營者租用。
VPN合規(guī)
對中國的外資企業(yè)來說,依法使用VPN的關鍵是找到和選擇有合法許可的服務提供商。該服務提供商必須有經(jīng)營國際通訊業(yè)務的資質,或者是一個已獲授權的具備國際通信出入口局的基礎電信業(yè)務運營商。目前在中國,只有已獲授權的基礎電信業(yè)務運營商提供的VPN服務才是合法的,由其他企業(yè)或者海外公司提供的則是非法的。
需要注意的是,從已獲授權的基礎電信業(yè)務運營商處獲得的VPN服務只能在企業(yè)內(nèi)部使用。一些獲授權的運營商要求連接VPN的服務器不能使用公共IP地址,或者不能轉租或用于商業(yè)用途。除此之外,根據(jù)《國際通信出入口局管理辦法》的有關規(guī)定,就算是供內(nèi)部使用,通過互聯(lián)網(wǎng)國際出入口設置VPN的,也應當報信息產(chǎn)業(yè)部備案。
合規(guī)建議
總體來說,外資企業(yè)應在符合相關監(jiān)管政策規(guī)定前提下使用VPN,向電信業(yè)務運營商購買或者租用VPN之前要確認VPN服務商的運營資質。有國際通信業(yè)務資格的合格基礎電信業(yè)務運營商也應獲得設立國際通信出入口局的批準。
外資企業(yè)應該使用合規(guī)系統(tǒng)或者協(xié)議建立VPN。VPN應該嚴格限制在內(nèi)部使用,不得用于連接境內(nèi)外的數(shù)據(jù)中心或業(yè)務平臺開展電信業(yè)務經(jīng)營活動。
外資企業(yè)應密切注意各個監(jiān)管部門的監(jiān)管趨勢,并提前安排預防措施。例如,外商投資企業(yè)應結合自身網(wǎng)絡安全需求,設置內(nèi)部屏蔽網(wǎng)關,自動屏蔽非法和敏感網(wǎng)站,或只提供必要網(wǎng)站的訪問。
外資企業(yè)應該根據(jù)《網(wǎng)絡安全法》的要求留存網(wǎng)絡日志,制定相應IT訪問手冊,定期監(jiān)管訪問日志,嚴厲處罰使用VPN的非法訪問行為。此外,提供培訓以提高員工對于非法使用VPN風險、嚴重后果的意識,也是一個不錯的方法。面對更為復雜的情況或者具體的問題,應尋求專業(yè)人士的意見。
