本文约10000字，全文阅读约15分钟。

点击蓝字关注我们

学生习作

非法VPN的刑法定性

作者介绍

王金钧，中国政法大学网络法学专业2019级研究生。

因全文篇幅较长，已删去脚注。

摘 要

在现有的处罚非法VPN销售的刑法案例中，常见的罪名有提供侵入、非法控制计算机信息系统程序、工具罪、拒不履行信息网络安全管理义务罪和非法经营罪三种。提供侵入、非法控制计算机信息系统程序、工具罪需要认定VPN突破了已有的计算机信息系统安全措施，在不法性来源上也要坚持严格的限定解释；非法经营罪除了在不法性来源上有所缺陷外，罪名本身具有兜底的性质；2019年的网络犯罪司法解释提升了拒不履行信息网络安全管理义务罪的可适用性，在承认VPN服务的中立性基础上，以行政通知作为判定网络服务提供者主观状态的节点，根据具体的危害后果入罪，厘清了此类网络帮助行为入罪的边界。

关键词

            VPN         非法经营罪        网络帮助行为        

提供侵入、非法控制计算机信息系统程序、工具罪 

一、问题的提出

出于网络管控和互联网安全方面的目的，尽管未得到官方组织的公开承认，互联网并未全面地对用户开放，即采取了一系列技术措施以限制国内用户访问域外网站。国内外用户习惯性地将国内存在的这一系列限制网络访问的措施概括为“长城防火墙（Great Fire Wall）”。出于商业交往、技术研发、学术研究等目的，部分组织或者事业单位可以使用VPN工具访问外网，而未经批准销售VPN工具则可能受到刑法的规制。VPN类工具自身的技术特征导致了在司法认定上的模糊，在目前可以查询到的案例中，主要有提供侵入、非法控制计算机信息系统罪、非法经营罪、拒不履行信息网络安全管理义务罪三种规制路径。可以看出，司法实务界对于非法销售VPN类工具的行为性质认定仍处于相当模糊的状态，本文从三个具有代表性的案例出发，试图厘清非法销售VPN在刑法上的定性。

二、是否构成刑法285条之三

对刑法285条之三进行分析可以发现，该罪在行为方式上有两类：一是提供专门用于侵入、非法控制计算机信息系统的程序和工具，一是明知是侵入和非法控制计算机信息系统的违法犯罪行为，而为其提供程序和工具的行为。即需要认定的核心问题是，第一，VPN类工具是专门用于侵入、非法控制计算机信息系统的工具；第二，如果VPN类工具不是专门用于上述行为的工具，那么则需要认定——VPN类工具客观上有侵入、非法控制计算机信息系统的作用，且行为人在主观上构成了明知。

    【案例1】2015年3月底，桑家某、桑小某在曲靖陆某家中经预谋，由桑家某通过淘宝购买vpn服务源代码，再经过修改，命名为“loco”加速器，并租用国内、国外服务器，搭建网站，使国内互联网线路连接国际互联网，并于2015年11月上线销售。由购买者通过微信、支付宝付款形式购买其“loco”软件，提供vpn服务访问国内用户不能访问的国外网站及搜索引擎。后于2016年7月继续在昆明市西山区银鹏大厦c座1502室继续犯罪活动，至2017年7月份关闭该vpn网站。整个过程中被告人桑家某负责解决技术问题，被告人桑小某从事网上销售客服工作。公诉机关认为，被告人桑家某、桑小某制作并出售“loco”加速器、提供vpn服务器牟利的行为触犯了《中华人民共和国刑法》第二百八十五条第三款之规定，应当以提供侵入、非法控制计算机信息系统程序、工具罪追究二被告人的刑事责任，被告人桑小某在共同犯罪中属于从犯，可以对其从轻或者减轻处罚，二被告人有自首情节，可以从轻或者减轻处罚。

    在判决书中还对“loco”加速器的性质进行了认定，检验意见为“可确定该软件系vpn通道一端，是一个vpn软件，可与vpn服务器建立通道，实现相互的数据传输。当vpn服务器为境外服务器时可实现突破国家信息关防，具有帮助境内计算机用户与境外服务器直接连接进行数据传输的功能，进而使境内计算机用户能够访问到在境内无法访问的境外网站”。尽管就VPN工具的功能和原理进行了阐述，但判决并未就VPN工具如何侵入、非法控制计算机信息系统展开讨论，也并未说明此VPN工具如何对上述行为起到了实质性的帮助作用。

（一）VPN工具的技术中立性质

对于技术中立原则的阐述最早可以见于1983年“环球电影制片公司诉索尼公司案”中，产品只要满足“实质性非侵权用途”的认定，其生产和销售商就可以免于承担因产品使用所造成的侵权责任。尽管技术中立原则在如今有了不同的发展，但仍可以给我带来一定的启示：尽管VPN工具在中国互联网这一特殊的网域之下可能产生非法性，但其并非一诞生就具备了非法的性质。VPN技术即虚拟私人网络（Vitual Private Network），这项技术采用了独特的加密协议，其技术初衷就在于建立一条更加安全的点对点数据传输通道。实际上，也有大量的商业公司、学术科研机构使用合法的VPN，从而满足其商业信息交流、学术资源共享等需求。从这一角度来说，VPN应当被认定具备“实质性非侵权用途”，从而否定了其是“专门”用于侵入、非法控制计算机信息系统程序、工具的可能性。

从两高出台的《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》（下称《解释》）对于“专门用于侵入、非法控制计算机信息系统的程序、工具”的认定中可以看出：此类工具应当具备“避开或者突破计算机信息系统安全保护措施”的特性。即对VPN类工具的非法定性应当从其是否突破了“计算机信息系统安全保护措施”来展开，尽管未对“计算机信息系统安全保护措施”作出定义，但《解释》对“计算机信息系统”予以了包括了网络和通信设备在内的较为宽泛的界定。事实上，对于网络通信的限制并不见于任一官方文件中。既然对于网络通信所采取的此类保护措施“并不存在”，那么对于VPN类工具是否突破了计算机信息系统安全保护措施的问题，就需要司法机关的实质认定。在案例1中，法院并未就“loco”加速器的这一非法的用途作出实质的解释，而从案例1鉴定的结果来看，法院也只是希望依靠将其评价为“VPN”来认定其非法性，从而默认其突破了计算机信息系统安全保护措施。在对“计算机信息系统安全保护措施”作出合法合理的解释前，这种认定实际上否认了VPN工具的技术中立性。

（二）“违反国家规定”的认定

从对刑法第285条三个罪名的分析来看，前两款非法侵入计算机信息系统、非法获取计算机信息系统数据、非法控制计算机信息系统都有“违反国家规定”的要求，第三款虽然没有写上这一点，但却规定了“依照前两款的规定处罚”。从罪名的设置来看，第三款的罪名实际上是“帮助行为的正犯化”，是立法上对于网络时代犯罪发展的回应。因此，此处“非法”必须理解为“违反国家规定”，如果将“非法”理解为一切违法行为，那么不仅在逻辑上存在问题，也会导致罪刑相当原则的崩溃。根据我国《刑法》第96条，“违反国家规定”中的“规定”，不仅囊括了全国人大及其常委会所制定的法律和决定，也将国务院所制定的行政法规、行政措施以及发布的决定、命令包含在内。我国《刑法》所遵循的是相对的罪刑法定原则，即除了罪名应当由刑法所设定以外，罪状部分可以由《刑法》96条中所规定的主体所制定的规范性文件来填补。由于我国并非实行自然犯和行政犯的二元立法，相对的罪刑法定原则使《刑法》得以应对日新月异的犯罪模式和特点。但这一扩张只能是有限的扩张，司法机关应当严格按照《刑法》第96条的规定来解释，倘若所有规范性文件都能成为犯罪构成要素的补充，那么罪刑法定原则将会沦为空谈。

对于案例1被告人的行为评价，需要从其销售VPN是否“违反国家规定”来界定。对于国家电信业务经营的规范，层级最高的就是国务院所颁布的《电信条例》，其第7条明确规定了在我国经营电信业务应当获得行政许可。依据罪刑法定的严格解释，《电信条例》第69条对于“未经许可经营电信业务”的罚则规定最高只是停业整顿，而并非“依照刑法有关规定处罚”。对于“非法”、“违反国家规定”的界定，应当从刑法、援引条文两个层面来看：一方面罪名设置中有空白罪状，另一方面则需要援引条文中有对刑事责任的衔接。可见，《电信条例》的相关规定并不在刑法第285条的援引规范之内。对于VPN类工具的相关规定还可见于2017年由工信部颁布的《关于清理规范互联网网络接入服务市场的通知》，而这一规范显然层级太低，并不能满足刑法第96条对援引条文的规定。

与案例1相同的是，绝大多数以提供侵入、非法控制计算机信息系统程序、工具罪裁判的此类犯罪，在判决书都并未写明具体援引了哪一条文。事实上，在行政法规层面，我国并没有与刑法的衔接条款，从而导致了刑法二百八十五条之三在评价这一类行为时的捉襟见肘。仅从符合罪刑法定的角度来说，对于此类行为的处罚，行政责任和刑事责任应当是环环相扣的，不能无视刑法第96条的规定援引超过被严格限定的规范性文件。从这个角度来看，非法VPN销售也并不构成此罪。 

三、非法经营罪的争议

非法经营罪实际上处罚三种行为：第一，未经许可经营专营专卖的物品或其他限制专卖的物品；第二，买卖进出口许可证等法律许可文件；第三，未经批准经营有关证券、期货、保险等业务，此罪的兜底条款则为司法部门将其他严重扰乱市场秩序的行为犯罪化提供了方便之门。根据《电信条例》第7条，我国对电信业务实行许可制度。事实上，尽管相关规范并未说明，但电信业务具有不可否认的专营性质。经营VPN服务的行为，事实上可能侵犯了两个方面的法益：一是网络空间秩序的稳定；二是市场秩序的稳定，在这一方面主要是指电信业务的专营秩序。“网络社会”、“现实社会”在现如今不断交叉，网络社会的失序对现实生活的影响也越来越大。“刑法的目的与任务具有明确性：任何行为，只要没有侵害、威胁刑法所保护的法益，刑法就不得干预。”VPN销售的不法性判定，要从其法益的侵害性上来看，而“网络秩序”的判定也应当结合具体的危害后果，因为“对法益的侵害与威胁具有程度差异，只有当行为对法益的侵害与威胁达到一定程度时才能作为犯罪处理”。从非法经营罪的犯罪构成来看，侵害市场秩序行为的入罪化，应当建立在明确的行政规范基础之上。这样的判定理由在于，前置的行政规范为行为的法益侵害程度提供了具体衡量的标准，换句话说，只要行为违反了行政法规并达到了相应的认定标准，我们才能将这一行为当作犯罪处理。而对于非法经营罪这样的兜底罪名来说，在认定上更加应当追求明确性。

【案例2】2015年7月，被告人彭某某、王某某及杨某共同出资成立安徽某信息技术有限公司，该公司自成立之初，即未经国家信息产业部门许可，擅自经营虚拟专用网络vpn“赤兔加速器”业务，并以此为主营业务。被告人彭某某主要负责公司管理及技术开发，被告人王某某主要负责网络服务器维护，被告人杨某负责产品营销推广，公司通过中国光大银行对公账户及支付宝账户收取客户费用，其中通过中国光大银行对公账号79×××36收款25648元，通过支付宝账户admin@zhiben.info收款1072470元。被告人彭某某、王某某及杨某三人非法经营数额共计1098118元。公诉机关据此认为，被告人彭某某、王某某及杨某违反国家规定，未经许可经营国际通信数据业务，涉案总金额1098118元，情节特别严重，三人的行为均触犯了《中华人民共和国刑法》第225条之规定，应以非法经营罪追究三被告人刑事责任。

（一）行为性质的明确

案例1的提供侵入、非法控制计算机信息系统的工具的认定忽视了VPN的中立性，试图以此说明该技术突破了计算机系统安全保障措施，并不是对VPN工具的准确定性。案例2在一定程度上比这种技术上的认定要更加准确，例如在其判决书中写到，“未经国家信息产业部门许可，擅自经营虚拟专用网络vpn赤兔加速器业务”，这一认定实际上反映了两个要素：第一，明确了电信业务的专营性质，即该类行为的不法性依据是对国家专营事业的破坏；第二，“非法”性质的说明，如前述刑法285条之三的规定，非法经营罪也有“违反国家规定”的前置要件，并依上述原理同样限缩在法律和行政法规这两个层级的规范性文件内。从这个角度来说，刑法的介入仍依据的是行政法规在刑事责任上的衔接性规定。

另外，相比于案例1，我们可以发现，案例2描述了行为人在VPN销售上的具体分工，例如，“被告人彭某某主要负责公司管理及技术开发，被告人王某某主要负责网络服务器维护，被告人杨某负责产品营销推广”。明确的分工是这类行为组织化、市场化的一个明显的标志。将此类行为以非法经营罪论处，本质上就说明了行为的经营本质；再进一步讲，评判非法经营罪的一个重要标准，要看行为人有没有经营性的目的、是否形成了常态化的经营组织。事实上，将此类行为归入非法经营的范畴，必须依据对“其他严重扰乱市场秩序的非法经营行为”内涵的界定,而这一界定必须坚持实质解释的原则,即必须严格依据非法经营罪的实质——侵犯了市场准入制度,作与《刑法》第225条前三项明确规定的非法经营行为类似的解释。所以以非法经营罪论处，应当遵循三个方面的严格认定：第一，明确的市场行为，即这类行为本质上加入了商品环节的流通；第二，明确的经营目的，行为人主观上必须追求以VPN的销售牟利；第三，明确的罪量标准，即这一行为必须是达到了非法经营罪的“情节严重”认定。

（二）司法解释上的定性

在对行为的“不法”认定上，不同于提供侵入、非法控制计算机信息系统程序、工具罪中的“违反国家规定”，非法经营罪的“不法”认定应当从行政法规、司法解释、刑法三个层面去理解，即需要满足出行政法规-司法解释-刑法的层层递进关系。最高人民法院《关于审理扰乱电信市场管理秩序案件具体应用法律若干问题的解释》（下称《解释（二）》）将VPN的销售纳入了非法经营罪的处罚范畴，依据这一解释，案例2行为人实际上只达到了“情节严重”的入罪标准，而未达到“情节特别严重”的标准，该判决至少对于“情节特别严重”的认定是不准确的。与前述刑法253条之三的“违反国家规定”的问题相似，将VPN销售的行为认定为非法经营罪，在行政责任与刑事责任的衔接上是存在疑问的。在《电信条例》第69条尚未有明确的刑事责任规定从而衔接刑法的情况下，依靠《解释（二）》将其纳入刑法的规制范畴，有一种“匆忙立法”之嫌。对于非法经营罪的解释，首先需要明确的是行为的不法性，即该行为对哪一类法益造成了危害，是否达到了刑法应当干预的结果。在行为的不法性质尚不明确的情况下，以司法解释的方式将其纳入刑法的规制范畴，就有司法造法之嫌。虽然司法造法是各国司法实务中的一个普遍现象,是成文法本身所存在的局限性与社会发展的需要之间张力作用的结果。一定条件下的造法职能的存在,是我国司法裁判的必然要求, 但这并不意味着司法机关就可以不断地扩张其造法职能,侵入立法领域。司法解释在对现有的刑法条文进行实质性的修改时，应当尽可能地遵循必要的原则，“一个立法机关以默许的方式把对法规的字面用语进行某些纠正的权力授予司法机关，只要这种纠正是确保基本公平和正义所需要的。只要这一权力能够以审慎的节制的方式行使，只要司法机关避免对法规作重大的修改”，这种态度上的尽可能的审慎，会将司法机关的造法行为对现有规范体系的损害降到最小。

但之所以《解释（二）》的做法并不明智，其中还有一个缘由是非法经营罪本身的性质。从其本身在刑法中所处的位置来看，它位于我国刑法第三章第八节“扰乱市场秩序罪”的部分，可以说是“兜底章节中的兜底罪名”。第八节“扰乱市场秩序罪”本身是第三章破坏社会主义市场经济秩序罪的一个兜底“筐”。非法经营罪作为“筐”中之“筐”, 实际上是所有破坏市场秩序的兜底性罪名,因而导致诸多的犯罪行为在触犯其他特定罪名的同时,都触犯了非法经营罪这样一个“万能胶”型的兜底式罪名。非法经营罪的发展最早可以追溯到97刑法之前的投机倒把罪，在这样的进程中，非法经营罪是立法的明确化、规范化的标志。但正是由于非法经营罪留下了一个“其他严重扰乱市场秩序的非法经营行为”的口子，导致所有扰乱市场秩序的行为都可以被纳入其中。《解释（二）》的出台有其时代特征，彼时《刑法修正案（九）》尚未出台，对于VPN的销售并没有合适的罪名来规制，在这一行为没有考虑到行政前置法在刑事责任上的缺失的情况下，依靠司法机关立法来填补处罚的空缺，可以说并不恰当。

四、拒不履行信息网络安全管理义务罪的探讨

当前信息时代背景下，在网络技术服务提供者之外扮演更强大管理功能的网络服务提供者，已经远远突破了20世纪技术服务提供者的“被动性、从属性、工具性和中立性”，而代之以主动性、自主性和空间性。相比于公权力机关，网络服务提供者拥有更多的资源和动力实现去网络空间的规制，而这也使得网络服务提供者的公共属性愈加凸显。“平台和用户之间初步形成了完整的‘权力’架构与运行体系”：第一，平台不断创立、更新或废止平台的规则，是在行使“准立法权”；第二，为了赢得更多的用户，平台会制定具体的管控措施以约束平台内的商家，是在行使“准行政权”；第三，在线争议解决则是平台在行使“准司法权”。对拒不履行信息网络安全管理义务罪的探讨不应当脱离这个背景，即在现今网络时代，网络服务提供者部分地承担了网络治理者的角色。拒不履行信息网络安全管理义务罪的成立，有三个因素需要考量：第一，网络服务提供者存在相应的网络安全管理义务，且这一义务有相应的规范性文件的支撑；第二，网络服务提供者应当履行义务而未履行，且经相关部门的责令仍不履行；第三，造成了法条规定的严重后果。如果说VPN的销售可以以此罪论处，那么也应当从这三个方面去评价。甚至可以说，在一定程度上，拒不履行信息网络安全管理义务罪的规制方式具有某种积极的意义。

【案例3】2012年朱某注册成立了荆州市某网络科技有限公司。2016年开始，朱某为牟利，在该公司经营地荆州市荆州区，创建www.osicp.com、www.un-idc.com、www.vpnadsl.cc等网站用于推广销售其代理的VPN软件。用户购买该软件后，可以访问国内IP不能访问的境外互联网网站。2017年6月，朱某租用境内外服务器建立了自己的VPN平台，为他人提供通道在网上予以出售。用户购买该VPN通道后，可以访问国内IP不能访问的境外互联网网站。2017年7月，朱某在接到荆州市公安局关停VPN业务的通知后，仍未停止经营，直至同年9月27日案发。在此案中，公诉机关认为，被告人朱某应当以刑法第二百八十五之三进行处罚，但法院判决定拒不履行信息网络安全管理义务罪。

（一）“网络服务提供者”的主体身份认定

对于“网络服务提供者”的定义，可以追溯到德国的《电信媒体法》，其明确了：第一，网络服务提供者不仅仅是指利用自己的电讯媒体为用户提供服务，利用他人的电讯媒体为用户提供服务也属于服务提供者的范畴；第二，服务提供者包含了法人和自然人。我国2019年发布的《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》（下称《解释（三）》）对“网络服务提供者”进行了明确的定义，《解释（三）》的界定与德国《电信媒体法》具有相似性。事实上，提供VPN服务的单位和个人都可以被解释其中第（一）项，即提供“网络接入、域名注册解析等信息网络接入、计算、存储、传输服务”，并且如同《电信媒体法》的规定，《解释（三）》也并没有将这种行为限定在利用自己的电信设备为用户提供服务的范围，案例3中朱某租用境外服务器提供VPN服务，在认定为网络服务提供者上并无阻碍。

（二）网络服务提供者的义务承担

另一与“网络服务提供者”主体认定相关的是其责任承担的问题。“在网络信息系统中，网络服务提供者提供的服务不同，各网络服务提供者在网络系统中的地位、对信息的控制能力、阻止违法犯罪行为的可能性等都有差异。提供的网络服务内容不同，提供者可能面临的法律义务与法律制裁不同。”德国《电信媒体法》在这种责任的分类上提供了一个很好的范式，其根据提供的服务不同将网络服务提供者划分为内容提供者、访问提供者、缓存提供者、托管提供者四类，其中内容提供者可能会承担完全的刑事责任，而其他三类网络服务提供商则具有一种责任特权，除非其与犯罪行为人达成“共谋”关系，否则并不承担刑事责任。而在我国的法律语境下，如于志刚教授所说，“与传统犯罪帮助行为相比，网络空间帮助行为在犯罪链条中的作用和危害性显著提升，与其相对应的刑法评价亦应当从严，才能实现对网络犯罪帮助行为的有效刑事制裁”，立法在一定程度上限缩了网络帮助行为的出罪可能。有的学者认为这种限缩是对网络服务提供者责任的无限扩张，而《刑事修正案（九）》则是一次情绪化的立法；也有学者认为在拒不履行信息网络安全管理义务罪中，应当对“信息网络安全管理义务”予以严格的限缩解释。但是《刑事修正案（九）》与其说是一次情绪化的立法，不如说是一次勇敢的尝试。一方面正视了网络空间结构特点对网络空间治理提出的挑战，另一方面，也对网络帮助行为的刑事责任承担进行了层层限缩，以防过重的“信息网络安全管理义务”阻碍技术发展，这一点可以体现在拒不履行信息网络安全管理义务罪上。

拒不履行信息网络安全管理义务罪的构成需要明确两点：第一，出于对罪刑法定原则的考虑，对于网络服务提供者的义务规定应当是成文且明确的：第二，网络服务提供者的种类繁多，参照德国《电信媒体法》的规定，义务的履行以其能力和具备的资源为考量，并非所有的网络服务提供者都承担相同的义务。“该罪在客观上表现为网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务。网络服务提供者不履行安全管理义务，其实质是不履行法律、行政法规规定的义务”，即例如《网络安全法》《关于加强网络信息保护的决定》《侵权责任法》《信息网络传播权保护条例》等规范性文件中所规定的网络服务提供者的删除违法信息、网络日志留存等义务，从《电信条例》的立法目的来讲，这一规范被纳入网络服务提供者的前置性义务规范中并没有问题，VPN服务可以被归入提供国际通信服务的范畴。但遗憾的是，尽管在案例3判决中写明朱某“接到荆州市公安局关停VPN业务的通知”，但却未明示此次通知所依据的规范性文件，判决也未写明作为网络服务提供者的朱某应当履行何种何类“信息网络安全管理义务”。

（三）帮助行为入罪的边界

冯军教授在评价刑法133条之一的罪名时曾写到：“对任何一个刑法条文的解释和适用，都必须从其规范的目的出发，刑法分则中每一个规定了犯罪构成要件和法定刑的条文，都具有自己特定的规范目的。”拒不履行信息网络安全管理义务罪的解释和适用，也离不开对其规范目的的探讨。《刑法修正案（九）》所新增的网络犯罪罪名是对网络时代新发展的一次较为全面的回应，并针对网络帮助行为建立起来了以共犯责任为核心的评价模式，拒不履行信息网络安全管理义务罪从本质上来说，仍然是帮助行为正犯化的体现。在前述刑法285之三罪名的探讨中，我提到了VPN工具的技术中立性质，但这一探讨是建立在对计算机信息系统安全保障措施的突破的讨论上的，并不能认为，只要认定了VPN工具的技术中立性质就一定能判定提供VPN服务不合法。如陈兴良教授所说，“技术的中立帮助行为，也可以称为中立的技术帮助行为，它与这里一般的帮助行为的不同之处就在于：行为人是提供技术的中立帮助。不能认为，只要是提供中立的技术帮助就一定不构成犯罪。”即实质上我们探讨的是中立帮助行为的入罪化，“罗克辛教授认为需要将中立帮助行为人对正犯实施犯行的决意是否知悉予以区分，进而进行检讨其可罚性问题。他认为应当将中立帮助行为分为以下两种情况：（1）帮助行为人对于正犯的犯罪决意确定的认识；（2）帮助行为人只是对正犯要实施犯行有预感。对于第一种情况，应当以帮助行为人和正犯行为之间的犯罪意思关联为基准来判断中立帮助行为的可罚性。对于第二种情况，则应当按照信赖原则为适用基础来判断”，罗克辛教授的观点实际上强调了行为人的主观状态在认定中立帮助行为的可罚性时的重要性。在拒不履行信息网络安全管理义务罪的构成上，“经监管部门责令采取改正措施而不改正”是其前置性的要件，我们可以说，这一要件实际上是对网络服务提供者主观状态的推定，“对此罪罪状进行分析之后就会发现，‘经监管部门责令采取改正措施’后，行为人的主观状态实际上就处于一种‘明知’的状态，这一‘明知’是对网络服务提供者自身未履行信息网络安全管理义务的明知”，这一要件的设置为网络服务提供者行为的不法性提供了部分的证成。

拒不履行信息网络安全管理义务罪为网络帮助行为的可罚性提供了一个很好的范式，如果说前述行政部门的通知构成一种主观上的推定，那么《解释（三）》的发布则提供一个明确的、客观的衡量标准，例如《解释（三）》明确了“其他严重情节”的含义。也就是说，此类行为依据《解释（三）》来衡量其具体的危害后果，从而判定是否构成拒不履行信息网络安全管理义务罪。这种判定首先承认了VPN服务在网络空间中的技术中立性，将行政部门的通知作为一个判定网络服务提供者主观状态的节点，最后依据具体的所造成的危害结果对VPN的销售进行犯罪定性，相比于前述两个罪名，这种评价才是正确的评价。

五、结论

对于提供VPN服务或者销售VPN的评价定性，必须要明确其不法性的来源。提供侵入、非法控制计算机信息系统罪否认了VPN服务的技术中立特质，将其认定为突破计算机信息系统安全保障措施的技术措施，且在“违反国家规定”的认定上并不明确，即相应的行政法规并没有明确的刑事责任规定；非法经营罪将提供VPN服务的行为认定为经营性、市场性的行为，并依据《电信条例》承认国家在电信业务经营上的部分垄断性，但是这种评价依然面临着行政法规在刑事责任规定上的缺失。更加严重的问题是，非法经营罪本身作为兜底章节中的兜底罪名，具有极为模糊的边界，甚至为所有的市场行为纳入其规制范畴提供了可能性，在《刑法修正案（九）》尚未出台的情况下，依据《解释（二）》将VPN的销售纳入其评价范围并不明智。《刑法修正案（九）》是对网络时代网络犯罪新特点的积极回应，尽管有学者指出，将中立帮助行为的出罪空间予以限缩和将帮助行为予以正犯化，会模糊可罚与不可罚之间的界限，容易将不具有可罚性的行为认定为犯罪，但在司法实务中，拒不履行信息网络安全管理义务罪的适用概率并不高。一方面可以说这一现象部分反映出法院在使用此类罪名时的审慎态度，另一方面也反映了拒不履行信息网络安全管理义务罪在具体严重后果认定上的模糊性。《解释（三）》明确了“网络服务提供者”、“经监管部门责令采取改正措施而不改正”以及四类入罪标准的认定，这些认定既可以说是对拒不履行信息网络安全管理义务的构成予以了严格的限缩，也可以从标准更加明确、客观的角度说《解释（三）》提高了此罪的可适用性。如前所述，VPN工具本身是一类技术中立行为，以行政通知作为判断网络服务提供者主观状态的节点，并根据具体的危害后果判断是否入罪，才是正确的评价方式。