中国的VPN合规

越来越多在中国的外资企业将VPN(virtual private network,虚拟专用网络)技术用于远程和安全地连接企业的服务器。然而，除了它的加密通信功能，VPN在中国被广泛使用的一个更重要的原因是VPN技术可以实现跨境联网。本文中“VPN”特别指代的是跨境联网场景下的VPN。

近年来，中国加强了对VPN的监管。2019年5月，一家公司因为使用非法“代理软件” 访问海外网站而被罚款。此事引发网络平台上的热烈讨论。笔者留意到许多外资企业对VPN有实际需求，例如与全球其他办公室开展协同办公和数据交互，但是他们对于如何在遵守监管政策的情况下使用VPN知之甚少。

外资企业私下租用或者组建非法VPN的情况非常普遍。本文将提供一些关于外资企业依法使用VPN的建议。

VPN技术是一种通过互联网实现从设备到网络连线的加密连接。这种加密连接有助于确保敏感信息安全传输。VPN使用隧道协议来实现发送端身份验证、消息保密和准确性以及其他功能。它们可以防止未授权的人员窃听流量，并允许用户远程执行工作。今天，VPN技术在公司业务中被广泛运用。

规管环境

2017年1月，工信部发布《关于清理规范互联网网络接入服务市场的通知》。通知明确称，“未经电信主管部门批准，不得自行建立或租用专线（含虚拟专用网络VPN）等其他信道开展跨境经营活动。基础电信企业向用户出租的国际专线，应集中建立用户档案，向用户明确使用用途仅供其内部办公专用，不得用于连接境内外的数据中心或业务平台开展电信业务经营活动。”

工信部官员就VPN的相关问题，也明确指出政府对于VPN的监管态度和原则：外贸企业、跨国企业因办公自用等原因，需要通过专线等方式跨境联网时，可以向依法设置国际通信出入口局的电信业务经营者租用。

VPN合规

对中国的外资企业来说，依法使用VPN的关键是找到和选择有合法许可的服务提供商。该服务提供商必须有经营国际通讯业务的资质，或者是一个已获授权的具备国际通信出入口局的基础电信业务运营商。目前在中国，只有已获授权的基础电信业务运营商提供的VPN服务才是合法的，由其他企业或者海外公司提供的则是非法的。

需要注意的是，从已获授权的基础电信业务运营商处获得的VPN服务只能在企业内部使用。一些获授权的运营商要求连接VPN的服务器不能使用公共IP地址，或者不能转租或用于商业用途。除此之外，根据《国际通信出入口局管理办法》的有关规定，就算是供内部使用，通过互联网国际出入口设置VPN的，也应当报信息产业部备案。

合规建议

总体来说，外资企业应在符合相关监管政策规定前提下使用VPN，向电信业务运营商购买或者租用VPN之前要确认VPN服务商的运营资质。有国际通信业务资格的合格基础电信业务运营商也应获得设立国际通信出入口局的批准。

外资企业应该使用合规系统或者协议建立VPN。VPN应该严格限制在内部使用，不得用于连接境内外的数据中心或业务平台开展电信业务经营活动。

外资企业应密切注意各个监管部门的监管趋势，并提前安排预防措施。例如，外商投资企业应结合自身网络安全需求，设置内部屏蔽网关，自动屏蔽非法和敏感网站，或只提供必要网站的访问。。

外资企业应该根据《网络安全法》的要求留存网络日志，制定相应IT访问手册，定期监管访问日志，严厉处罚使用VPN的非法访问行为。此外，提供培训以提高员工对于非法使用VPN风险、严重后果的意识，也是一个不错的方法。面对更为复杂的情况或者具体的问题，应寻求专业人士的意见。

锦天城律师事务所高级合伙人史军、顾问沈慧力