◆尽管技术无好坏,但运用技术的行为有善恶之分,需准确认定行为人的主观故意,这就要结合具体事实综合认定。
◆根据网络爬虫的表现形式,可以划分为侵入系统、获取数据、破坏系统等类型,需以类型化、差异性方式对越界数据爬取行为定性。
◆网络服务器的承载有限度,网络爬虫频繁大规模访问,会大量占用服务器的带宽和运算能力,影响正常的网络服务,可能干扰计算机信息系统正常运行。
在日益复杂、快速变迁的互联网时代,有关数据犯罪的技术识别与刑法规制日益困难,对司法实践提出了新挑战。网络爬虫,是自动化浏览网络的一种程序或脚本,在互联网时代尤为必要,但也伴随侵入、控制或破坏计算机信息系统,导致重要数据泄露的刑事风险。司法实践往往采取以下规制路径:行为人违反robots协议利用爬虫抓取数据,或者绕过反爬虫设置抓取数据,即具有主观故意和客观违法行为而予以入罪。但一律入罪会导致处罚范围不当扩大,既不利于爬虫技术发展、网络数据共享与最大化利用,也与互联网的公益性质不相符合。因此,如何有效明确越界网络爬虫行为的刑事处罚边界,需进一步研究。
准确认定主观故意
在互联网时代,网络爬虫技术的运用十分普遍,被告人常常主张网络爬虫是行业公认的数据获取技术,以技术中立、没有认识到法益侵害结果进行辩护,以逃避刑事处罚。尽管技术无好坏,但运用技术的行为有善恶之分,需准确认定行为人的主观故意,这就要结合具体事实,综合以下因素认定。
其一,行为人从事行业及对网络爬虫技术的掌握程度。如果行为人从事互联网行业,具有大数据工作经验,则对爬虫技术有较高的风险意识和防范义务,可以认定行为人对网络爬虫的可能风险与后果有认识可能性。其二,设置特殊爬取指令。若行为人对网络爬虫设置了诸如屏蔽IP、身份验证等指令,说明行为人对其未经授权或超越授权的爬取行为有认识可能性。其三,爬取特定类型数据。行为人为满足其特定犯罪需求,必然针对特定类型的数据进行抓取,比如针对公民个人信息、商业秘密、著作权作品等就说明行为人对其抓取数据的性质有认识,也能推定行为人明知其行为可能造成危害后果。其四,未采取防范风险措施。如果行为人放任网络爬虫任意爬取数据,而未作范围限定,也未能有效监控,则表明行为人制造了风险却未履行有效防范风险转化为实害的作为义务。
类型分析客观违法行为
根据网络爬虫的表现形式,可以划分为侵入系统、获取数据、破坏系统等类型,需以类型化、差异性方式对越界数据爬取行为定性。
突破技术防护措施虽未抓取数据,亦可能构成犯罪。如果侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统,无论是否获取数据,均构成非法侵入计算机信息系统罪。即使进入非国家事务、国防建设、尖端科学技术领域的计算机信息系统而未抓取数据,但如果网络爬虫过快或大量重复访问,进而干扰了信息系统正常运行,后果严重的也可能构成破坏计算机信息系统罪。
突破技术防护措施抓取数据,需结合数据类型具体判断。数据的法律属性体现在其承载的信息内容上,也是判断法益侵害的有效指引,需结合爬取数据的类型展开分析。根据法律是否予以特别保护,可以将数据划分为普通数据与特殊数据。如果爬取互联网公开的普通数据,原则上不构成犯罪,因为公开数据忍受爬取也是互联网互联互通本质的体现;如果爬取非公开的普通数据,则需要结合具体案情,判断是否构成非法获取计算机信息系统数据罪。如果仅爬取个人信息、商业秘密、著作权等特殊数据而无后续利用、披露、信息网络传播等行为,则仍需判断是否构成非法获取计算机信息系统数据罪,一旦行为人有提供、出售、披露、信息网络传播等后续行为,则需全面评价前后两个行为。当然,尽管存在爬取特殊数据和后续侵犯特殊数据两个行为,但二者具有手段与目的的牵连关系,以从一重罪论处即可,无需数罪并罚。需注意,刑法第153条之一第三款规定,窃取或者以其他方法非法获取公民个人信息的,构成侵犯公民个人信息罪,因此仅大量爬取公民个人信息就可能构成侵犯公民个人信息罪。
利用爬虫技术破坏性访问,可能构成破坏计算机信息系统罪。破坏性访问既包括恶意大量访问行为,也包括任意删除、修改计算机信息系统数据行为。众所周知,网络服务器的承载有限度,网络爬虫频繁大规模访问,会大量占用服务器的带宽和运算能力,严重增加处理和注销负荷,如果不加控制持续访问,必然影响正常的网络服务,甚至导致网站或网络平台崩溃,可能因干扰计算机信息系统正常运行构成破坏计算机信息系统罪。如果行为人利用网络爬虫技术恶意删除计算机系统中的数据,甚至删除信息系统功能,后果严重或造成系统不能正常运行的,亦构成破坏计算机信息系统罪。
以规范目的限缩处罚范围
事实上,与计算机信息系统相关的罪名多在于保护计算机信息系统和数据安全,应据此立法目的将无实质法益侵害性的爬虫行为出罪,限缩刑事处罚范围,以实现数据开放、数据共享与数据安全平衡。
抓取公开数据,原则上不应予以入罪。公开数据即向不特定人公开的数据,原则上就允许网络爬虫爬取。当然,如果明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供爬取数据帮助的,则可能构成提供侵入、非法控制计算机信息系统程序、工具罪。
单纯违反robots协议抓取数据,不应予以入罪。robots协议又称为爬虫协议,本质上是受访网站与搜索引擎之间的一种交互方式,用于告知网络爬虫可以抓取网页的范围,初衷是指引网络爬虫更有效抓取有用信息,除维护网站正常运行、保护公共利益等正当原因外,不得禁止网络爬虫访问。而且,robots协议属于行业惯例,难以作为认定违法性的前提,因为非法侵入计算机信息系统等罪名中的“国家规定”,是指法律、行政法规等,并不包括行业惯例,否则属于不利于行为人的类推解释。此外,robots协议是单方声明,若一概将违反行为视为对计算机信息系统的非法侵入,则会导致计算机信息系统控制者尤其是网络巨头获得任意限制信息传播的绝对权力,不仅侵蚀互联网的公共属性,更易形成数据壁垒和垄断,对数据资源最大化利用造成威胁。当然,即使认为违反robots协议行为违反诚信原则和商业道德,也应首选不正当竞争等民事路径。
以计算机信息系统和数据安全为判断标准,实质评价突破反爬虫机制行为。应将与计算机信息系统安全密切相关的登录系统作为“非法侵入”的判断标准,对仅为落实实名制要求或记录用户行为,甚至仅为让用户在访问前阅读《用户协议》或《隐私政策》,以豁免法律风险的登录系统排除在外,以避免规范目的落空。如果为“白帽子”行为,即行为人突破防护措施以发现网站、网络平台的安全漏洞并督促其修复的,亦不应入罪。当然,如果一味以技术中立为借口放任恶意爬取数据行为,也会导致普遍搭便车现象,影响市场主体创新创造的积极性与主动性,制约数字经济健康发展,需要注意平衡安全秩序与发展的关系。
(作者单位:西南政法大学法学院)
