从法律和技术上论证“墙”根本不存在

寂静回声

这是一个很有趣的现象——“翻墙”是一个同时牵涉法学和计算机技术的两个领域的跨学科问题。很多法学专家不了解技术；很多技术人员，也没有意愿探讨技术涉及的法律问题。
本文论证的逻辑链如下：
国际出入口信道是物理信道，现行法只规定不允许非法架设物理信道——翻墙必定使用合法物理信道（主要在第四章展开论证）——翻墙不违法
本文的主要结论如下：
①“个人使用vpn等工具翻墙”的禁止性规定是不存在的，无论是从技术角度还是法律方面，访问境外网站和境内网站没有任何本质区别；
②一切翻墙行为都必须使用国家批准的合法国际出入口信道，因为全球互联网的本来面貌就是所有国家网络基建的互联互通；
③GFW的运行基本原理是“网络攻击或入侵检测”；
④“翻墙”的基本原理是抵御“网络攻击或入侵检测”。


有很多人一看到“自行建立或使用”、“国际出入口信道”就激动地跳了起来，认为其含义和“使用vpn访问境外网站”是同一种意思，但实际上这是一个非常大的误解。首先，从立法渊源上看，“国际出入口信道”一词最早起源于1996年出台的《中华人民共和国计算机信息网络国际联网管理暂行规定》（下称暂行规定）和关于发布《计算机信息网络国际联网出入口信道管理办法》的通知（邮部〔１９９６〕４９２号）（下称管理办法）。但很遗憾，在两部规范性法律文件内，并没有对“国际出入口信道”作出释义。但从后者的第二条第二款我们可以从“（含卫星信道）”这一标注中洞察到“信道”可能的含义——即它很可能具有物理意义。
好在，1998年国务院信息化领导小组又出台了一部相关的部门规章，对“国际出入口信道”的含义作出了明确的规定。
关于印发《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》的通知
（国信［１９９８］００１号）
第三条 本办法下列用语的含义是：
（三）国际出入口信道，是指国际联网所使用的物理信道。
北大法宝 【法宝引证码】 CLI.4.19760 （现行有效）
因此，国际出入口物理信道，只限于陆地光缆、海底光缆以及卫星通讯等实际存在的、供国内外进行数据、信息交换的物理介质。
根据《电信业务分类目录（2015年版）》，国际联网所使用的物理信道包括但不限于以下几种：国际陆缆、国际海缆、陆地入境站、海缆登陆站、国际地面传输通道、国际卫星地球站、卫星空间段资源、国际传输通道的国内延伸段，以及国际通信网带宽、光通信波长、电缆、光纤、光缆等国际通信传输设施。

与此同时，我们在立法中可以发现不少细节，其足以就“国际出入口信道属于物理信道”这一论点找出进一步的佐证。
首先必须对GFW的渊源有一定的了解。
防火长城（英语：Great Firewall，常用简称：GFW，中文也称中国国家防火墙，中国大陆民众俗称墙、网络长城、功夫网等等），是对中华人民共和国政府在其互联网边界审查系统（包括相关行政审查系统）的统称。此系统起步于1998年，其英文名称得自于2002年5月17日Charles R. Smith所写的一篇关于中国网络审查的文章《The Great Firewall of China》，取与Great Wall（长城）相谐的效果，简写为Great Firewall，缩写GFW。
（维基百科）https://zh.wikipedia.org/wiki/%E ... B%E9%95%BF%E5%9F%8E
可以发现，GFW项目在1998年才刚刚起步，其命名甚至在2002年才出现，继而才出现“翻墙”这一概念。1996年《中华人民共和国计算机信息网络国际联网管理暂行规定》出台之时，甚至没有GFW这一概念的存在，事实上也根本不存在互联网审查，那么，1996年、1998年规范性法律文件中的概念何以提前预测并指向1998年以后才诞生的事物？一项禁止性规定又何以禁止不存在的东西？
因此，毫不避讳地说，若国内各地基层公安机关真的广泛存在“依据上述规范性法律文件对公民的‘翻墙’行为予以处罚”的现象，那绝对是明显的适用法律错误。

更进一步，《暂行规定》为“擅自设立非法国际出入口信道”的行为设定了行政处罚事项，而该处罚的裁量基准是“15000元人民币以下”。这个数字，从当今的经济水平来看，对于个人来说不算一个很大的数字（但实际上这个上限对于个人来说已经很高了）。但是我们不要忘了，设立该处罚事项的规范性法律文件是在1996年出台的，我们必须关注1996年前后的职工平均工资水平，才能洞察“1万5”在行政裁量基准上的合理与否。
关于公布上海市1998年度职工月平均工资、国有企业职工年平均工资及增长率的通知
二、1998年度全市国有企业职工年平均工资为11546元，比上年增长0.8%（增幅按国家统计局新口径作了相应调整）。凡按1998年国有企业职工年平均工资计算的事项，均按此水平执行。
沪劳保综发（1999）18号 上海市劳动和社会保障局 （链接：http://law.51labour.com/lawshow-36037.html）
你很难想象，在1998年，上海市作为全国经济重镇，职工的年平均工资才1万余元，但“翻一次墙”的行政处罚上限就可以达到一个上海普通职工工作一年半获得的工资——这不仅完全与行政法比例原则相违背，且即使是没有法学基础的人看到这样的景象都会感到震惊和难以置信。因此，我们从行政处罚的裁量基准可以反推得出，触犯上述规定的行政相对人，更可能是资本力量雄厚的企业——毕竟，一家有能力往台湾海峡私拉电线埋下海底光缆、或者为了“逛推特”专门制造并发射私人通信卫星的企业，才可能承受1万5的罚金。“建立国际出入口信道”，还真不是你普通人玩得起的！


有人会进一步质疑，“国际出入口信道”这一概念，有没有可能随着时代的发展以及新规范性法律文件的出台，从而被赋予新的内涵和外延呢？我们不妨找一找最近几年的相关文件和新闻来分析一下。
为了推动中国与塔吉克斯坦、巴基斯坦间国际通信业务的共同发展，促进区域的共同繁荣，工业和信息化部批准中国电信设置塔什库尔干国际通信信道出入口，为中亚、南亚区域经济发展提供良好的通信平台和保障。　　
中塔直达光缆的建设，可以满足中塔间双边落地业务需求……（省略）……中巴直达光缆的建设将从根本上改变……（省略）……，满足中把双边落地及转接业务需求，对巴基斯坦国际出入口带宽能力的丰富和提升具有重大战略意义。
工业和信息化部批准设置塔什库尔干国际通信信道出入口 发布时间：2011-06-27 来源：电信管理局 （链接：http://www.miit.gov.cn/n1146290/ ... 065495/content.html）
首先，从2011年工业和信息化部的“批准设置塔什库尔干国际通信信道出入口”的新闻中，我们可以明显看出一个因果联系，即【国际出入口的设立→提升了国际出入口带宽能力】，而只有物理意义的光缆才可能事实上增强数据出入境的吞吐量，虚拟网络连接是做不到的，因此很容易进一步推导得出——“设置国际通信信道出入口”其本身就是“建设直达光缆”，因此，此时“信道”仍然是物理意义上的。


行政法规作出一个禁止性规定，首先要有禁止的主体和对象。换言之，在我们讨论“翻墙违法性”之前，我们应当先讨论到底什么是“墙”，“墙”到底存不存在。
这道墙在我们每个人眼中看来，显然它是事实存在的。我在上一篇文章提及一个想法——“在一个个生活事实和亲身体验中，人的大脑永远不会欺骗自己”。但是，生活事实和亲身体验很可能影响我们对于一件事情在法律意义上的判断——因为人们倾向于相信，如果一件事情在生活中是被事实禁止的，那么他就一定规定在了法条上。
但实际上：
没有任何一个公开的规范性文件规定过：个人不允许访问境外网站。
没有一个哪怕是效力最低的红头文件敢声称：访问youtube、Twitter是违法的。

在上文，我们明确了现行法对于个人上网的禁止性规定只限于“禁止违规搭建违法物理信道”，那么翻墙是否就是其字面意思——从一堵墙私拉一根网线翻过去呢？答案是否定的。

（1）
任何人通过任何手段访问任何境外网站，不管是合法手段还是非法手段，不管是访问合法网站还是有违法信息的网站，其必定要通过中国电信、中国联通和中国移动三家电信运营商（经批准）架设的陆上或海底光缆。因此，翻墙不可能违反关于“物理信道”的规定，如果有，那就是适用法律错误。
翻墙工具怎么可以等同于“用于侵入计算机信息系统的程序、工具”？
一个最简单的反驳实例就是，GFW最早的原理是将google.com指向无效ip地址（即第四章论述的DNS污染/域名劫持），而最早的翻墙原理是在本地建立一个DNS库，将google.com指向真实的ip地址，或者使用8.8.8.8这样尚未被污染的DNS服务器，这样当你在浏览器键入google.com这一域名的时候，其就会访问正确的服务器。而这一行为的唯一操作步骤，就是打开windows的一个名为hosts的系统文件，将谷歌域名对应的ip地址录入，或者修改本地网卡的DNS设置，翻墙的效果就达成了。这样一个简单的步骤，怎么可能侵入了外人的计算机信息系统？
而“架设专用网络，进行数据加密”是一个非常常用的网络应用，很简单的例子，在家里访问学校的图书馆以及学术资源，要打开vpn软件，这就是建立了一个加密通道，其和翻墙软件的原理是一模一样的，只存在结果上的不同。而这种技术突破“我国技术安全防护措施”的唯一原因，是由于这个所谓的“防护措施”会对你的网络请求进行分析，而加密流量很难被分析。况且，现行的规范性法律文件从没有提及这些法院判决中提到的“我国技术安全防护措施”。

例如，“利用公用网络架设专用网络，并进行数据加密传输，使计算机信息系统自由访问中国境内无法访问的境外网站，因此，该软件属于“用于侵入计算机信息系统的程序、工具”。”这句话看似行云流水，但你细究下来，就会产生非常多的疑问——为什么一个工具可以自由访问原本无法访问的境外网站，就是侵入计算机信息系统的工具？为什么有些网站不能访问，其依据是什么？侵入的是哪一个计算机信息系统？该系统的ip地址是什么？地理位置具体在哪里？有什么相关规定吗？这种暧昧和含糊其辞其实不难理解，因为GFW这个词真的从未出现在某个文件上，但难以想象，“翻墙”这个词居然可以在相关的判决文书中随处可见。
（2）
全球互联网的本来面貌并非是每一个国家都在各自为政，各自建立一个庞大的“局域网”，相反，几乎所有国家的网络都是互联互通的。有了国家之间建设的陆上、海底光缆，民众访问境内网站和境外网站从技术上是没有任何区别的，在现行法意义上也是没有任何区别的。你可以简单地把它理解为国家级骨干网之间的连接和交换。而从国内访问境外服务器有一个特殊之处就在于，我国的国际出入口运营资质是被中国电信、中国联通、中国移动三家国家级ISP垄断的。
跨国企业使用跨境服务合规方式。跨国企业因协同办公、数据交互等自用需求，可以采用以下方式实现跨境联网：跨国企业从境内发起直接租用3家基础电信企业的国际专线（包括虚拟专网），与企业办公自用网络和设备连接；跨国企业从境外直接发起或委托境外运营商，向3家基础电信企业租用国际专线（包括虚拟专网），与企业办公自用网络和设备连接。跨国企业租用国际专线自建自用办公网络时，可委托有资质的第三方（含持国内IP-VPN、固定网国内数据传送等业务许可的企业）提供系统集成、代维代管等外包服务，但第三方企业不得从事国际专线（包括虚拟专网）的线路资源租售等电信业务经营活动。
2018年1月10日在北京召开了《跨境数据通信业务政策宣贯会暨产业联盟筹备大会》，国内数十家IP-VPN等相关业务经营企业参加了此次大会。
而国内数据跨境的物理传输介质一般为陆上光缆和海底光缆。通过上海直达美国的CN2骨干网海底光缆，亦或是从广州到香港的163骨干网线路的连接，国内和国外的数据完全可以自由地进行交换，而服务器的连接、数据包的交换、路由的选择，其本质上和访问国内服务器并没有什么区别，其协议的使用也是全球通用的。
所以，一个真正的国际互联网并不存在所谓的“墙”，它依旧是通过海底光缆等物理介质，作为OSI模型中的第一层，为其他几个层次的互联网运行提供服务。不管你是否翻墙，不管你访问的是合法的境外网站还是受到管制和审查的网站，一旦你成功ping同，实现了数据的交换，那么数据包就一定要通过我国设立的互联网国际出入口，从一条条光缆直达国外的服务器。你可以简单地把它理解为国家级骨干网之间的连接和交换。而从国内访问境外服务器有一个特殊之处就在于，我国的国际出入口运营资质是被中国电信、中国联通、中国移动三家国家级ISP垄断的。
跨国企业使用跨境服务合规方式。跨国企业因协同办公、数据交互等自用需求，可以采用以下方式实现跨境联网：跨国企业从境内发起直接租用3家基础电信企业的国际专线（包括虚拟专网），与企业办公自用网络和设备连接；跨国企业从境外直接发起或委托境外运营商，向3家基础电信企业租用国际专线（包括虚拟专网），与企业办公自用网络和设备连接。跨国企业租用国际专线自建自用办公网络时，可委托有资质的第三方（含持国内IP-VPN、固定网国内数据传送等业务许可的企业）提供系统集成、代维代管等外包服务，但第三方企业不得从事国际专线（包括虚拟专网）的线路资源租售等电信业务经营活动。
2018年1月10日在北京召开了《跨境数据通信业务政策宣贯会暨产业联盟筹备大会》，国内数十家IP-VPN等相关业务经营企业参加了此次大会。
而国内数据跨境的物理传输介质一般为陆上光缆和海底光缆。通过上海直达美国的CN2骨干网海底光缆，亦或是从广州到香港的163骨干网线路的连接，国内和国外的数据完全可以自由地进行交换，而服务器的连接、数据包的交换、路由的选择，其本质上和访问国内服务器并没有什么区别，其协议的使用也是全球通用的。
所以，一个真正的国际互联网并不存在所谓的“墙”，它依旧是通过海底光缆等物理介质，作为OSI模型中的第一层，为其他几个层次的互联网运行提供服务。不管你是否翻墙，不管你访问的是合法的境外网站还是受到管制和审查的网站，一旦你成功ping同，实现了数据的交换，那么数据包就一定要通过我国设立的互联网国际出入口，从一条条光缆直达国外的服务器。你可以简单地把它理解为国家级骨干网之间的连接和交换。而从国内访问境外服务器有一个特殊之处就在于，我国的国际出入口运营资质是被中国电信、中国联通、中国移动三家国家级ISP垄断的。
跨国企业使用跨境服务合规方式。跨国企业因协同办公、数据交互等自用需求，可以采用以下方式实现跨境联网：跨国企业从境内发起直接租用3家基础电信企业的国际专线（包括虚拟专网），与企业办公自用网络和设备连接；跨国企业从境外直接发起或委托境外运营商，向3家基础电信企业租用国际专线（包括虚拟专网），与企业办公自用网络和设备连接。跨国企业租用国际专线自建自用办公网络时，可委托有资质的第三方（含持国内IP-VPN、固定网国内数据传送等业务许可的企业）提供系统集成、代维代管等外包服务，但第三方企业不得从事国际专线（包括虚拟专网）的线路资源租售等电信业务经营活动。
2018年1月10日在北京召开了《跨境数据通信业务政策宣贯会暨产业联盟筹备大会》，国内数十家IP-VPN等相关业务经营企业参加了此次大会。
而国内数据跨境的物理传输介质一般为陆上光缆和海底光缆。通过上海直达美国的CN2骨干网海底光缆，亦或是从广州到香港的163骨干网线路的连接，国内和国外的数据完全可以自由地进行交换，而服务器的连接、数据包的交换、路由的选择，其本质上和访问国内服务器并没有什么区别，其协议的使用也是全球通用的。
所以，一个真正的国际互联网并不存在所谓的“墙”，它依旧是通过海底光缆等物理介质，作为OSI模型中的第一层，为其他几个层次的互联网运行提供服务。不管你是否翻墙，不管你访问的是合法的境外网站还是受到管制和审查的网站，一旦你成功ping同，实现了数据的交换，那么数据包就一定要通过我国设立的互联网国际出入口，从一条条光缆直达国外的服务器。
不管是DNS解析、TCP握手，还是AS自治系统、BGP、路由跳转、ICMP协议……一切的基础都是物理层。
如果你没有接入各大运营商设立在城市里的合法的城域网；
如果数据包没有经过各大国家级ISP的合法骨干网和路由节点AS自治系统；
如果境外数据访问没有经过国内三大运营商经国家批准设立的合法国际出入口并通过合法的陆上、海底光缆设施直达境外服务器……
你的一切数据交换和网站访问都是不可能凭空实现的。

换句话说，即使一家企业使用某个国外代理服务器作为中转节点以逃避GFW的审查，这一翻墙行为的一切基础都是建立在使用合法的国家互联网基础设施之上的。因为你不可能自己去发射一颗卫星专门用来刷推特，也不可能自己制造海底电缆，自发地潜水到海底接入别的国家的网络。
因此，对于普通个人和企业来说（这里的“普通”是指没有能力发射卫星、埋海底光缆），根本不存在所谓“非法的国际出入口信道”、非法的“接入网络”、“在不使用境内互联网络的前提下访问域外服务器”。


（3）
国际出入口就在那里等着你，海底光缆也在向你招手，凭什么不能访问境外网站呢？在看了下文GFW原理和翻墙原理的介绍，你就会知道，你不能访问境外网站的唯一原因是你正在遭受一个不受法律规制的系统的不间断网络攻击，而你使用任何途径翻墙的基本原理永远都是——你使用了某种技术抵御或避免了上述网络攻击。
你不能访问境外网站唯一的原因，是你正在遭受DNS劫持、域名污染、DDOS攻击、TCP旁路阻断、BGP劫持（黑洞路由）等网络攻击或防御手段。（这些专业名词会在第四章详细介绍。）这些攻击防御手段只有技术人员才能感受到，普通人唯一的感受就是无法访问外网。当前没有任何公开的官方文件证实了上述攻击手段存在，现行法也没有为上述任何网络攻击手段提供合法性依据。
DNS污染殃及全球用户的基本原理很简单，就是诸多国外用户的DNS请求被他们的ISP电信运营商随机分发给了全球的根域名缓存服务器（也就是那个优先级最低的电话簿），而碰巧，他们请求被分发给了来自中国的根域名服务器，而因为GFW的存在，其提供的是错误的、虚假的DNS解析服务，其造成的后果可想而知。
因此在这里我忍不住插一句题外话。我曾亲耳听见一个计算机专业毕业的人谈及中国的互联网安全现状。他说，因为全球大部分根域名服务器都设立在美国，所以美国掌握互联网的底层，中国必须建立GFW来保障互联网安全。现在，你应该可以体会到这种言论的恶毒之处。因为现在你终于了解到，电话簿可以随时复制，根域名服务器根本就不是什么互联网的底层，而是最高层（应用层）中一个很简单的技术，你的浏览器永远最先访问本地DNS缓存，往往一般都无须根域名服务器就能解析IP地址；而中国的根域名服务器会对境外服务器域名解析错误的ip地址，因此现实情况是中国的DNS污染在影响全球的互联网运行，而非美国影响了中国的互联网安全，这是完全的颠倒是非。

GFW的TCP旁路阻断的前提是“将主交换机的数据镜像到控制系统”。这其实也是目前业内猜测的 GFW系统存在的主要方式——GFW存在于骨干路由器节点，其作为一个设备附着在主干路由器身边，通过“分光”的方式把数据包复制到另外一根光纤上。基于此，GFW作为一个独立设备就可以作为旁观者分析经过其附着的主干路由器的所有数据包。
HTTP协议有非常明显的特征，可以轻易被GFW系统检测和识别，GFW进而依据HTTP协议规则对数据包进行拆解，由于其表现为明文，所以可以直接进行关键词匹配。例如，从HTTP的GET请求中取得请求的URL。然后GFW拿到这个请求的URL去与关键字做匹配，比如查找Twitter是否在请求的URL中。而关键字匹配使用的依旧是一些高效的正则表达式算。
（4）
你通过任何手段进行翻墙，这一行为的本质是抵御或逃避上述网络攻击，并使用国家批准的合法互联网基础设施访问境外网站，不存在违法的问题，也没有实际的社会危害。


有一定网络基础知识的人，在看完上述GFW原理之后，应当能够头脑风暴一下，想出很多合理的逃避审查的思路，主要的翻墙原理有以下几种。
（1）早期对DNS污染的应对——给hosts文件添加一个离线库就行了
（2）各种奇形怪状的加密协议，包括流量伪装，避免被直接拆包作关键词审查
（3）无视GFW发送的RST重置数据包
（4）连接境外未被封禁的代理服务器作为中转站，逃过GFW的ip封锁

黄海是我

我也从法律上论证一下，爷我就是法，说你违法就是违法