首页 说法 赵文捷网络爬虫技术泛化的涉刑风险

赵文捷网络爬虫技术泛化的涉刑风险

赵文捷网络爬虫技术泛化的涉刑风险

时代在进步,爆发式的数据信息铺天盖地而来,为获取有效信息,网络爬虫技术应运而生。“网络爬虫”技术,原本是一种中立的技术,是用设计的程序,在遵守robots协议的情况下对网站、手机APP、小程序或搜索引擎等进行数据的浏览和抓取,由此获得自己所需要的相关数据的过程。数据获得者从获得数据中分析数据并推测出互联网用户的喜好,将有关信息推送给互联网用户,以提高平台的客户粘性,从而达到提升知名度或盈利的目的。在数据抓取上,行业内通用的规则是robots协议,也称网络爬虫排除协议:通过爬虫技术可以访问和收集互联网站点的诸多信息,为了维护互联网秩序,尊重信息提供者的意志和隐私等,信息提供者可以在自己的站点设置robots协议,以告知爬虫控制者哪些信息是提供者不希望被爬取的。1

robots协议属于行业规则,其效力并未在法律上获得确认。一般认为只要遵守robots协议,就不涉及侵权问题。但是,在可观的数据红利面前,一些互联网公司往往选择挣脱该协议的束缚,强行爬取相关数据。因此,被强行爬取数据的公司便开始运用反爬技术以限制其他互联网企业的爬虫行为。随之而来是互联网数据安全的风险逐渐浮出水面,不仅互联网公司会被分流掉用户及流量,个人用户也将面临信息被盗用的风险。在这种背景下,互联网公司所得的数据及个人信息应受刑法保护的呼声与日俱增,而数据被广泛利用的现实与信息数据全面保护的需求间的冲突日渐凸显。笔者拟从非法获取计算机信息系统数据的相关案例,在刑法层面评价网络爬虫技术,并对其提出规制性建议,这在网络信息技术高速发展的时代具有重要意义。

01
数据与信息的权属概念

研究大数据时代爬虫技术是否具备合法性基础的核心问题,是明确信息权益和数据产权的归属。基于数据与信息之间高度关联但又有所区别的特点,极易在概念上造成混淆,进而因权属不明引发争议,因此,有必要厘清数据与信息这一组概念的内涵与外延。

从信息与数据的概念界分角度出发,数据是信息的具体表现形式,是信息的载体,信息需要经过数据化转变成数据才能存储和运输,用公式化的语言表达也就是——“数据=信息+数据冗余”。2具体而言,以视频数据为例,指的是数字化的视频信息记忆处理、加工视频信息过程中冗余的计算机语言、文字、代码、字符等;而视频信息,指的是视频所反映的可视化内容。3

将数据进行分类有助于明确数据权益的归属问题。根据数据所承载的信息来源不同,数据可以分为获得数据和形成数据两大类,最通俗的说法就是原始数据和二次加工数据。获得数据是指,数据控制者对信息所有者授权的个人身份信息、系统设备权限、位置权限等相关信息进行数据化记载而产生的数据。此数据为原始数据,系基于信息所有者授权,数据控制者仅享有用户授权范围内的数据自用权,不能脱离授权范围进行利用或者对外再授权。而形成数据是指,数据控制者通过对信息所有者授权的信息进行整理、摘编、储存、分析之后所记载的数据,为二次加工后的数据。例如,美团对于用户储存于平台的购买记录中的消费品类、价格、购买位置等信息进行统计,经过算法加工整理出用户消费喜好的数据。美团对于此类数据享有自用权以及向第三方再授权的权益。

数据控制者在数据红利的驱使下尽可能地挖掘数据价值,并期待所承载的信息能够充分共享与关联利用,这就是一种对数据进行处分的行为。但对数据进行处分的过程中,所伴随的信息泄露、隐私侵害、数据不当采集、转移与使用乃至数据垄断或数据滥用等弊端,且个人用户也难以分享数据红利,造成了数据运用的广泛外部性,既数据泛化和信息保护的隐秘性需求极具对抗,在实践中不仅会引发民事纠纷,并极有可能涉及刑事犯罪。以非法获取计算机信息系统数据罪为例,在中国裁判文书网检索到的一审裁判文书2018年243篇,2019年244篇、2020年214篇、2021年97篇,均为有罪判决(下图所示)。

02
网络爬虫技术存在刑事违法可能性

案例一:上海晟品网络科技有限公司等非法获取计算机信息系统数据案

2017年全国首例爬虫行为入罪案——上海晟品网络科技有限公司等非法获取计算机信息系统数据案,此典型案例预示着爬虫行为不仅存在民事违法的可能,已上升到刑事入罪的层面。该案中,上海晟品网络科技有限公司的主管人员,成功破解北京字节跳动公司的防范措施,采用爬虫技术抓取北京字节跳动公司服务器中存储的视频数据,造成北京字节跳动公司损失技术服务费人民币2万元。法院认为,“tt_spider”文件中包含通过头条号视频列表、分类视频列表、相关视频及评论3个接口对今日头条服务器进行数据抓取,并将结果存入到数据库中的逻辑。在数据抓取的过程中使用伪造device_id绕过服务器的身份校验,使用伪造UA及IP绕过服务器的访问频率限制,构成非法获取计算机信息系统数据罪。4

这种未经许可,未经允许强行突破或者绕过反爬技术,侵入“国家事务、国防建设、极端科学技术领域”之外的计算机信息系统,采用爬虫技术获取该计算机信息系统内部数据的行为,构成我国《刑法》第285条第2款非法获取计算机信息系统数据罪。

案例二:易某非法获取计算机信息系统数据、非法控制计算机信息系统案

被告人易某从华为公司线缆物控部调任后,未按公司的要求将ERP账户线缆类编码物料价格的查询权限清理,违反规定多次通过越权查询、借用同事账号登录的方式在ERP系统内获取线缆物料的价格信息。之后,易某发现ERP系统中的POL采购小程序存在漏洞,能通过特定操作绕过权限控制查看系统数据,便以此方式获取线缆物料的价格信息。易某将非法获取的价格数据以发短信、打电话、发电子邮件的方式告知深圳市金信诺高新技术股份有限公司(华为技术有限公司的供应商,以下简称金信诺公司),从而帮助金信诺公司在华为公司的招标项目中提高中标率。

法院认为,该行为符合最高人民检察院公布的第九批指导性案例检例第36号:卫梦龙、龚旭、薛东东非法获取计算机信息系统数据案评价的“侵入”行为,非法获取计算机信息系统数据罪中的“侵入”,是指违背被害人意愿、非法进入计算机信息系统的行为,其表现形式既包括采用技术手段破坏系统防护进入计算机信息系统,也包括未取得被害人授权擅自进入计算机系统,还包括超出被害人授权范围进入计算机信息系统。5

03
非法获取计算机信息系统数据罪与其他罪名的竞合
(一)关于法条竞合
侵犯公民个人信息罪和非法获取计算机信息系统数据罪是法条竞合的关系,公民个人信息数据相比于一般数据信息更具私密性,《刑法》对公民个人信息数据予以特别保护,属于特别法。根据特别法优于普通法的法条竞合处理原则,非法获取的信息是公民个人信息的,涉嫌我国《刑法》第253条之一的侵犯公民个人信息罪;如果非法获取的信息是公民个人信息之外的其他信息的,则涉嫌我国《刑法》第285条第2款的非法获取计算机信息系统数据罪。
(二)关于想象竞合
若被告人骗取他人游戏密码,非法侵入他人计算机信息系统,窃取他人的虚拟币价值达到数额较大,情节严重,被告人一行为触犯数罪名该如何定罪?是构成非法获取计算机信息系统数据罪还是盗窃抑或诈骗罪?例如:被害人游戏账号内的虚拟币被转移是否可以认定为盗窃罪?此类行为在2009年以前往往被定为盗窃罪。2009年《刑法修正案(七)》出台后有了“量身定做”的本罪名,但司法实践中存在不同观点,认为可能存在想象竞合的情况,直到2013年最高院给出明确答复后,才不再以盗窃罪论处,但理论界仍存在争议。
2013年最高院、最高检在起草《关于办理盗窃刑事案件适用法律若干问题的解释》过程中,有意见认为:对盗窃游戏币等虚拟财产的,应该以盗窃罪定罪处罚。最高院针对此类意见,研究后的结论是:此意见不妥。此后,2017年9月4日央行等七部委出台《关于防范代币发行融资风险的公告》:代币或“虚拟货币”是不由货币当局发行,不具有法偿性与强制性等货币属性,不具有与货币等同的法律地位,不能也不应作为货币在市场上流通使用。该公告进一步明确,包括比特币在内的相关虚拟货币,并不是真正的货币,其本质属于计算机信息系统数据。
如此说来,诈骗罪的犯罪对象也是财物,诈骗虚拟货币也不应以诈骗罪来论处。而且,若要符合诈骗罪的其他构成要件,应当明确行为人与被害人在进行交易之前,行为人主观上是否具有非法占有他人钱财的故意,客观上是否实施了虚构事实或隐瞒真相的行为;另外,被害人将游戏账号密码告诉行为人,此行为是否能够等同于其将游戏账号里的游戏币也一同处分?即被害人是否基于错误的认识做出了相应的财产处分行为。笔者认为,行为人的主观故意还是需要通过在案证据具体分析判断,并不能一概而论。
“通过有罪与无罪的判断、对义务与权利分配的判断,使人民在精神上相信自己生活在正义的环境里,从而获得对社会的信赖”,没有对网络健康有序环境的基本信赖,用户的网络失范行为将日益增多。6司法的判决就是一个判断的过程,无论是民事判决还是刑事判决,对不当使用爬虫技术的行为均持否定态度。
04
爬虫技术造成的损失价值认定

冯某在常某邀请其通过qq远程方式帮忙操作“阿希币”钱包参加空投项目期间,未经常某允许,将常某存放于电脑中的“阿希币”钱包密码非法获取,后将该钱包中的54868个“阿希币”分批次转走并变卖,法院最终以有利于上诉人的原则将财产损失按最低价值标准来计算被害人的经济损失。7

《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第十一条第三款规定:本解释所称“经济损失”,包括危害计算机信息系统犯罪行为给用户直接造成的经济损失,以及用户为恢复数据、功能而支出的必要费用。类似于“阿希币”、“比特币”等虚拟财产与金钱财物等有形财产、电力燃气等有相对恒定价值的无形财产存在明显差别,这些虚拟财产并不是我国认可流通领域的货币,不宜以侵犯财产法益的角度进行评价,应以侵犯公共秩序法益进行评价,且虚拟财产也存在相应价值,作为用户拥有的计算机数据而存在,其法律属性是计算机信息系统数据。对于被害人损失价值的认定,笔者认为从被害人购入价格、被告人变卖价格、案发时交易平台价格这三个价格中,根据有利于被告人原则,选取最低值来认定被害人的财产损失是适当的,且此类犯罪中被害人损失价值的认定对于定罪量刑至关重要,其中还涉及证据如何认定的问题。

05
数据合规路径
数据运用的广泛外部性和信息保护的隐秘性需求极具对抗的现实,督促互联网企业在企业发展道路上必须建立起有效的合规数据管理和应用流程。
(一)规范爬虫技术的信息收集
对于近年来出现的个人信息收集、泄露乱象,国家针对个人信息收集与使用已经陆续出台了一系列法律法规,例如网络安全法、个人信息保护法、数据安全管理办法(试行及再次征求意见稿)、数据安全标准体系建设指南等。结合上述文件精神,互联网企业在收集个人信息时必须遵循“合法正当”、“知情同意”和“最小必要”原则,而实践中,互联网公司应当从以下几个方面对于相关原则予以落实:首先,公开收集、使用个人信息的规则8,便于公民查询、修改、注销;其次,用户在首次注册或运行网页时以弹窗等明显的方式,通过设置最低阅读时限引导用户阅读隐私政策,在隐私政策中必须明示收集个人信息的目的、方式、范围等,并取得用户明确授权;再次,个人用户在拒绝授权时不得频繁征求用户同意干扰其正常使用或以开启业务功能等方式强行捆绑收集个人信息;最后,在涉及收集用户个人敏感信息时,应逐项获得主体的明示授权,特别是涉及收集个人生物识别信息时,明确收集的范围、方式、时间,应当按照直接关联、最低频率、最少数量的标准收集、使用,逐项征得个人用户的明示同意并向所在地网信部门备案。规范性收集行为,方可为互联网公司收集个人信息后的整合、分析、使用数据等行为创设合规性的基础。9
(二)规范获取数据的技术设置及措施
确保获取数据技术规范合规是互联网企业设置合规计划的重要环节。简单而言就是规范应用爬虫技术。那么,需要满足以下条件:首先,优化robots协议,设置受法律保护的特定类型信息不受抓取,并且加强反爬虫技术;其次,对于网络爬虫的行为应当以不阻碍被访问网页正常运作为标准;最后,对于抓取的信息中包含个人敏感信息或商业秘密等,在未明确授权的基础上应当及时停止并删除。
随着网络大数据时代的来临,数据增长给人们日常生活带来诸多红利的同时也衍生了许多风险和危机。比如:互联网用户企业数据、个人信息被泄露、滥用甚至盗用。如果“对数据抓取行为不加以限制约束,收集、处理、经营数据的相关平台以及提供优质内容用户的权益便都无法得到保障,从长远来看必将对互联网内容产业产生负面影响”。10基于维护法律秩序与互联网产业健康发展的需要,对网络爬虫行为涉刑案件进行研究,由此提出合规性建议,能充分有效预防利益驱使下数据滥用带来的涉刑风险。
无论是规范信息收集还是获取数据的技术规范,互联网公司在信息的获取、存储和使用环节均承担着保障信息与数据安全的义务。企业需要明确获取数据的主要技术——网络爬虫,可能涉及的刑事风险与行为边界,并以此作为互联网企业或个人的合规指引,设置规范化管理路径,从而找到数据红利与信息危机之间的平衡。
注:

1. 刘鹏:《利用网络爬虫技术获取他人数据行为的法律性质分析》,《信息安全研究》2019年第5期。

2. 徐宗新、陈沛文:《数据红利与信息危机——兼论网络爬虫的罪与罚》,《上海法学研究》集刊2021年第7卷。

3. 游涛、计莉卉:《使用网络爬虫获取数据行为的刑事责任认定———以“晟品公司”非法获取计算机信息系统数据罪为视角》,《法律适用》2019年第10期。

4. 参见北京市海淀区人民法院(2017)京0108刑初2384号刑事判决书。

5. 参见深圳市中级人民法院(2021)粤03刑终1657号刑事裁定书。

6. 刘艳红:网络爬虫行为的刑事规制研究——以侵犯公民个人信息犯罪为视角,《政治与法律》2019年第11期。

7. 参见河南省济源中级人民法院(2020)豫96刑终7号刑事裁定书。

8. 参见洪延清:《网路运营者隐私条款的多角色平衡和创新》,《中国信息安全》2017年第9期;郑佳宁:《知情同意原则在信息采 集中的适用与规则构建》,《东方法学》2020年第2期。

9. 徐宗新、陈沛文:《数据红利与信息危机——兼论网络爬虫的罪与罚》,《上海法学研究》集刊2021年第7卷。

10.  杨东、吴之洲:《数据抓取行为的法律性质———“马蜂窝事件”案例分析》,《中国社会科学报》2018年12月5日,第5版。

律师简介
赵文捷,西南政法大学硕士研究生。现为京师律所刑委会理事、网络犯罪研究中心副主任,北京市京师(深圳)律师事务所职务犯罪法律事务部主任、刑事业务研究中心副主任、审判研究中心研究员兼秘书长。
部分经典案例:
1.参与办理深圳市某区大型金融企业财务陈某某伙同林某某职务侵占案,涉嫌共同犯罪且涉案数额特别巨大,最刑建议十至十五年,通过积极辩护,最终法院采纳辩护意见,改变委托人林某某罪名,判处三年六个月有期徒刑;
2.深圳市顾某某诈骗案,时间久远且涉案金额较大,被害人通过各种途径经过一年多时间仍无法追回钱款,后接受委托授权,梳理证据,撰写文书,并和办案民警以及立案单位多次沟通和建议,帮助被害人控告成功并追回被骗钱款六十七万元;
3.办理一宗酒后“故意伤害”案件,为委托人争取到不起诉的结果。本案双方打斗过程中均有受伤且被害人存在过错,但侦查机关依据被害人受伤重的结果(轻伤一级),认定委托人构成故意伤害罪,辩护过程中和检察官保持良好的交流和沟通,最终让检察官认同辩护观点,委托人重获自由。
4.李某涉嫌买卖枪支案,法院审理阶段才受委托进行辩护,本案作为边境走私引出的枪支系列案,涉案人员二十余名,卷宗上百卷,通过积极辩护,发表相关法律意见及申请重新鉴定等措施,开庭当日在最刑建议三至四年的基础上,公诉人当庭变更量刑建议为三年以下有期徒刑,最终法院判处当事人缓刑;
5.运送他人偷越国边境罪,通过有效辩护,检察院不予批捕,委托人取保候审,后又在审查起诉阶段,争取到不起诉的结果。
 
曾发表的部分学术论文:
《法治论坛》——《有罪必究:一个司法神话的终结与超越》;
《佛山研究》——《从权利的失衡到温情的回归》;
《检察官与实践》——《论司法权威形成的困境和路径的选择》。
免责声明:文章内容来自网络,仅供学习交流,不代表津东方立场!本站不对其内容的真实性、完整性、准确性给予任何担保、明示、暗示和承诺,本文仅供读者参考!津东方尊重原作者的辛勤劳动并致力于保护原著版权以及相关的知识产权,所转载的文章,其版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请添加客服微信联系我们,我们将第一时间回复处理。如需转载本文,请在显著位置注明出处(津东方网站,以及文章链接): https://www.luozaitianjin.com/law/fa/69218.html
上一篇
下一篇

为您推荐

联系我们

联系我们

18522005300

在线咨询: QQ交谈

邮箱: 18302278523@qq.com

工作时间:周一至周五,8:00-18:00,节假日休息
关注微信
微信扫一扫关注我们

微信扫一扫关注我们

关注微博
返回顶部
error: