外資企業如何依法使用VPN?
作者:史軍 沈慧力 2021-03-23越來越多在中國的外資企業將VPN(virtual private network,虛擬專用網絡)技術用于遠程和安全地連接企業的服務器。然而,除了它的加密通信功能,VPN在中國被廣泛使用的一個更重要的原因是VPN技術可以實現跨境聯網。本文中“VPN”特別指代的是跨境聯網場景下的VPN。
近年來,中國加強了對VPN的監管。2019年5月,一家公司因為使用非法“代理軟件” 訪問海外網站而被罰款。此事引發網絡平臺上的熱烈討論。筆者留意到許多外資企業對VPN有實際需求,例如與全球其他辦公室開展協同辦公和數據交互,但是他們對于如何在遵守監管政策的情況下使用VPN知之甚少。
外資企業私下租用或者組建非法VPN的情況非常普遍。本文將提供一些關于外資企業依法使用VPN的建議。
VPN技術是一種通過互聯網實現從設備到網絡連線的加密連接。這種加密連接有助于確保敏感信息安全傳輸。VPN使用隧道協議來實現發送端身份驗證、消息保密和準確性以及其他功能。它們可以防止未授權的人員竊聽流量,并允許用戶遠程執行工作。今天,VPN技術在公司業務中被廣泛運用。
規管環境
2017年1月,工信部發布《關于清理規范互聯網網絡接入服務市場的通知》。通知明確稱,“未經電信主管部門批準,不得自行建立或租用專線(含虛擬專用網絡VPN)等其他信道開展跨境經營活動。基礎電信企業向用戶出租的國際專線,應集中建立用戶檔案,向用戶明確使用用途僅供其內部辦公專用,不得用于連接境內外的數據中心或業務平臺開展電信業務經營活動。”
工信部官員就VPN的相關問題,也明確指出政府對于VPN的監管態度和原則:外貿企業、跨國企業因辦公自用等原因,需要通過專線等方式跨境聯網時,可以向依法設置國際通信出入口局的電信業務經營者租用。
VPN合規
對中國的外資企業來說,依法使用VPN的關鍵是找到和選擇有合法許可的服務提供商。該服務提供商必須有經營國際通訊業務的資質,或者是一個已獲授權的具備國際通信出入口局的基礎電信業務運營商。目前在中國,只有已獲授權的基礎電信業務運營商提供的VPN服務才是合法的,由其他企業或者海外公司提供的則是非法的。
需要注意的是,從已獲授權的基礎電信業務運營商處獲得的VPN服務只能在企業內部使用。一些獲授權的運營商要求連接VPN的服務器不能使用公共IP地址,或者不能轉租或用于商業用途。除此之外,根據《國際通信出入口局管理辦法》的有關規定,就算是供內部使用,通過互聯網國際出入口設置VPN的,也應當報信息產業部備案。
合規建議
總體來說,外資企業應在符合相關監管政策規定前提下使用VPN,向電信業務運營商購買或者租用VPN之前要確認VPN服務商的運營資質。有國際通信業務資格的合格基礎電信業務運營商也應獲得設立國際通信出入口局的批準。
外資企業應該使用合規系統或者協議建立VPN。VPN應該嚴格限制在內部使用,不得用于連接境內外的數據中心或業務平臺開展電信業務經營活動。
外資企業應密切注意各個監管部門的監管趨勢,并提前安排預防措施。例如,外商投資企業應結合自身網絡安全需求,設置內部屏蔽網關,自動屏蔽非法和敏感網站,或只提供必要網站的訪問。
外資企業應該根據《網絡安全法》的要求留存網絡日志,制定相應IT訪問手冊,定期監管訪問日志,嚴厲處罰使用VPN的非法訪問行為。此外,提供培訓以提高員工對于非法使用VPN風險、嚴重后果的意識,也是一個不錯的方法。面對更為復雜的情況或者具體的問題,應尋求專業人士的意見。
