網絡爬蟲技術的安全風險和刑法應對

科學技術本身具有中立性，但其一旦進入社會領域，必然會被社會制度、社會組織和社會群體的各種利益、訴求和價值判斷所塑造和限制 。“快播案”“基因編輯案”等案件表明，原本價值無涉的科學技術，也可能因其技術特性被用于實施違法行為乃至刑事犯罪而產生安全風險。如何對這類中立技術進行合理的法律規制，實現自由與安全、效率與秩序的價值平衡，已經成為法律亟待解決的問題。

大數據時代的到來，催生了數據產業的崛起，數據已經成為互聯網產業最寶貴的資產。人工智能、智慧城市、用戶習慣、物聯網等新技術需要數據作為支撐，精準營銷、用戶畫像、分享經濟、個性化服務等互聯網生態經濟也需要數據作為基礎，互聯網 4.0 時代的用戶經濟逐漸依靠數據轉化為 4.0 時代的數據經濟 。如何實現數據保護和數據利用的平衡，已經成為受到廣泛關注的社會問題。作為一種獲取網絡數據的重要手段，網絡爬蟲在過去一直被視作價值無涉的中立技術，但近年來網絡爬蟲的安全風險愈演愈烈。網宿科技發布的《2021 上半年中國互聯網安全報告》顯示，惡意爬蟲攻擊量連年翻倍增長。2021 年上半年，網宿安全平臺共監測并攔截 Web 應用攻擊 101.13 億次、惡意爬蟲攻擊 341.47 億次，分別是 2020 年同期的 2.4倍、3.3 倍，2019 年 同 期 的 21.7 倍、6.3 倍 。龐大的數字折射出網絡爬蟲技術在互聯網大數據時代蘊含的安全隱憂。但目前我國對網絡爬蟲的法律規制尚處于起步階段。因此，本文將在分析網絡爬蟲刑事風險的基礎上，分析當前網絡爬蟲刑法規制的不足，明確刑法的基本立場，并提出相應對策。

1

網絡爬蟲的風險概述

網絡爬蟲是一種按照一定的規則，自動化爬取儲存于網絡中的計算機程序或者腳本的工具。其作用原理是通過模擬瀏覽器訪問網頁的過程，抓取目標網頁的數據。概言之，網絡爬蟲可以被簡化為一種在網絡空間內采集特定數據的工具。在法律層面，網絡爬蟲技術不僅在民法、競爭法等領域表現出侵權、不正當競爭的風險，也在刑法領域滋生了犯罪的風險。根據侵犯法益的不同，網絡爬蟲技術的刑事風險主要體現在以下幾個方面。

1.1　網絡爬蟲危害計算機信息系統安全

如上所述，網絡爬蟲的原理是模擬使用瀏覽器訪問網絡的過程，來獲取所需數據。這一過程類似于用戶對網絡的訪問。與之不同的是，網絡爬蟲程序依托計算機強大的計算能力，可以實現短時間內對目標網站的大量訪問，而這種訪問往往會造成目標網站在一定時間內產生擁堵，不僅影響其他用戶使用，還會造成網站服務器負擔過重，無法正常運行甚至宕機等后果。如果使用者不以爬取數據為目的，而是專門編寫網絡爬蟲形式的攻擊程序對網站進行自動化攻擊，那么其危害與一般黑客行為相比更是有過之而無不及。

1.2　網絡爬蟲危害知識產權

數據是具有可識別性的、能夠存儲客觀事實的各種符號，是信息的載體，其所展現的信息內容可能存在產權歸屬，如果在未經他人授權的情況下爬取具有產權性質的數據，會造成對產權的侵害。比如爬取網站上具有版權歸屬的影視作品、文學作品等。與“錄屏”“盜播”等行為方式需要行為人手動完成不同，網絡爬蟲可以通過執行自動化腳本完成對視頻等作品數據的抓取和儲存，因而表現出更強的法益侵害性。

1.3　網絡爬蟲危害個人信息安全

數據的價值在于其表征的信息，而那些能夠反映個人信息的數據，因其具有廣泛的用途和深度的可挖掘利用性，成為數據產業趨之若鶩的“石油”。隨著數據產業的發展，數據與數據主體的分離進一步加劇，數據在空間上脫離主體，集中于提供網絡資源和網絡服務的中間方。公民在使用互聯網產品時，其個人信息會被服務方采集，以數據的形式儲存在收集者的數據庫中。然而，由于部分運營者在收集、儲存數據后沒有采取足夠的技術保障措施，或者他人通過更高技術手段突破反爬措施，使得用戶個人信息遭到惡意爬蟲獲取，這不僅對公民個體的信息權、隱私權造成危害，還對公共信息安全提出了挑戰。

2

網絡爬蟲的規制現狀

有學者指出，與傳統風險相比，現代風險具有獨特性質，其兼具積極與消極意義，會帶來不確定性與危險，也具有開辟更多選擇自由的效果、風險的影響途徑不確定，以及現代風險形成有害影響的途徑不穩定且不可預測的特性。由以上分析可知，價值中立的網絡爬蟲技術，既可以有效推動數據的流動與利用，也可能被用來實施犯罪，且行為手段復雜，侵害法益多元，危害后果嚴重，所凸顯的刑事風險充分契合了當今風險社會的景觀。因此，包括我國在內的各國均試圖通過刑法對惡意爬蟲進行規制，但在實際效果上卻存在一定不足。

2.1　立法上：數據犯罪體系仍需完善

目前，我國刑法對網絡爬蟲的規制主要通過“侵犯公民個人信息罪”“非法獲取計算機信息系統數據罪”“破壞計算機信息系統罪”等罪名來實現，而這些罪名散布在刑法分則的多個章節，這就導致我國當前對網絡爬蟲的刑法規制，仍然呈現出片段性、不完整性與間接性。具體表現在，現行刑法只對非法“獲取”數據（包括個人信息）的行為進行了明確規定，而對于破壞數據完整性、可用性的行為，只能通過司法解釋的補充，適用破壞計算機信息系統罪，來實現對數據的“迂回保護”。此外，對于數據對象的保護范圍也相對狹窄，僅限于“計算機信息系統數據”“公民個人信息”兩類。

2.2　司法上：違法性評價標準模糊，罪數問題處理不明

首先，對于不同技術特征的獲取行為，刑法評價上未能明確區分。網站所有者對數據的保護措施主要有兩種：一是設置 robots 協議，即爬蟲協議，該協議存儲于網站根目錄中，是爬蟲訪問該網站時默認訪問的第一個文件，其作用是告知網絡爬蟲該網站的爬取規則；二是反爬技術措施，是指網站所有者通過在網頁中植入反爬代碼來從技術上約束網絡爬蟲。同時，根據是否違反 robots 協議及是否突破反爬措施，可以將網絡爬蟲分為善意爬蟲與惡意爬蟲。但這種劃分僅僅是技術意義上的評價，如何將技術判斷融入刑事違法性的判斷，是當前司法實務中面臨的一大問題。現有的裁判觀點對此大多采取回避態度，既有僅違反 robots 協議而入罪的，也有違反 robots 協議及突破反爬措施并存而入罪的。而相關罪名的構成要件對行為方式的規定又過于簡單，比如非法獲取計算機信息系統數據罪中的“侵入或其他技術手段”，以及“侵犯公民個人信息罪”的“獲取”，都存在寬泛的解釋空間。這導致當前對網絡爬蟲行為的違法性認定較為粗放，違反爬蟲協議、突破反爬措施的技術特征能否落入刑法文本的解釋范圍存在疑問。

其次，對于不同數據對象的獲取行為，刑法評價上未能明確區分。如開放數據與非開放數據的開放性、共享性不同，所體現的法益侵害和責任輕重也不盡相同，應在網絡爬蟲歸責時進行不同層次的分析。但我國司法實務未對不同類型數據“分而治之”，將網絡爬蟲抓取公開數據的行為入罪在當前司法實務中較為常見，其合理性卻值得質疑。以“范某、徐某、李某等侵犯公民個人信息案”為例，本案中被告人通過制作爬蟲軟件從“企查查”“天眼查”等網站上獲取企業法人的聯系方式等信息并提供給他人，法院最終以司法解釋規定“未經被收集者同意，將合法收集的公民個人信息向他人提供的，屬于‘提供公民個人信息’”為由，認定犯罪成立。然而，如果對司法解釋作如此理解，無疑會導致‘提供公民個人信息’的行為被放大。

最后，在筆者檢索到的 117 份涉網絡爬蟲犯罪判決書中，鮮有對網絡爬蟲的罪數問題進行討論。法院在認定網絡爬蟲行為的性質時，往往只說明行為符合刑法分則的哪一構成要件，進而對該罪名予以適用。例如，同樣是爬取包含個人信息的淘寶用戶訂單的行為，一些被認定為“侵犯公民個人信息罪”，一些則被認定為“非法獲取計算機信息系統數據罪”。但即使是單一的爬取行為，也有可能觸犯數個罪名。非法爬取包含公民個人信息的數據，完全可能既符合侵犯公民個人信息罪的構成要件，又符合非法獲取計算機信息系統數據罪的構成要件。

3

網絡爬蟲的規制立場

由上可知，雖然網絡爬蟲技術在刑法領域具有規制的必要性，但我國當前的刑事規制手段仍存在諸多不足。筆者認為，對網絡爬蟲技術進行刑法規制，應當堅持以下基本立場。

3.1　謙抑性和法秩序統一性

刑法具有謙抑性。在立法上，表現為針對某一行為，只有在具備處罰必要性，且其他部門法中不存在可以替代刑罰效果的制裁手段時，才能將其規定為犯罪，納入刑法的處罰范圍；在司法上，刑事制裁手段的嚴厲性決定了刑法只有在確有必要時才可介入。在探討網絡爬蟲的刑事規制邊界時需要認識到的是，許多網絡爬蟲案件存在民事救濟、行政救濟的可能，刑事處罰并非唯一解決途徑，尤其是那些反映了市場主體的數據競爭的案件。如果盲目地將刑法防線前移，容易使那些本就具有市場優勢的大型企業的地位進一步鞏固，阻礙技術創新和數據流通。因此在運用刑法對網絡爬蟲進行規制時，不可越俎代庖，應當時刻秉持謙虛、謹慎的態度，充分發揮刑法的補充性和最后性，使刑法扮演好社會保護的最后一道防線的角色。

刑法的謙抑性與法秩序統一性原理密切相關，后者是指在由憲法、刑法、行政法、民法等多個法領域構成的整體法秩序中不存在矛盾，法領域之間也不應作出相互矛盾、沖突的解釋 。而刑法語境下的法秩序統一性，是指刑法不能處罰其他部門法律所允許的行為。目前，已經出臺的《民法典》《網絡安全法》《反不正當競爭法》《數據安全法》《個人信息保護法》等前置法都從不同角度劃定了網絡爬蟲在自身法領域的合法邊界。如何在不違反前置法判斷結論的前提下對網絡爬蟲進行刑事評價，是當前要考慮的問題。最極端的后果是，刑法將其他部門法得出合法評價的網絡爬蟲行為認定為違法，這樣不僅會導致不同法領域判斷結論的沖突，還會損害法律的行為指引功能，使公民在選擇行為，即利用網絡爬蟲技術時陷入行動萎縮的境地。

3.2　安全與效率的價值平衡

任何科學技術在產生與發展時，其背后都交織著安全與效率二元價值的博弈。安全和秩序是法律所要實現的重要價值，它主要通過公法的實施，尤其是刑事法律的實施來保障 。網絡爬蟲技術的應用牽動著數據安全，因此在刑法領域，我們必須正視網絡爬蟲技術的安全風險。在信息網絡社會風險因素和潛在威脅不斷增大的背景下，非特定的風險和無序開始顯現。近年來頻頻出現的海量個人信息泄露事件使公民對數據和信息安全的要求與日俱增。不法分子通過惡意爬蟲侵入計算機信息系統，竊取具有重要價值的數據，其危害不僅針對公民個體，還對網絡安全、數據安全、信息安全等公共安全秩序造成極大威脅。對此，刑法應當發揮其風險防控與安全保護的作用。

然而，效率同樣是法律追求的價值目標。互聯網自誕生起始終秉持“自由、共享、開放”的發展理念，這一理念帶來的直接影響是資源分配與利用效率的提升。在大數據時代，人人都是數據的生產者，人人也都是數據的消費者。數據的價值不是其固有的，而是在流通、利用過程中產生的，數據本身不能產生任何利益 。《數據安全法》第七條規定：“國家保護個人、組織與數據有關的權益，鼓勵數據依法合理有效利用，保障數據依法有序自由流動，促進以數據為關鍵要素的數字經濟發展。”網絡爬蟲技術為數據流動搭建了一條“高速公路”，極大拓寬了數據獲取的途徑，提高了數據利用效率。通過爬蟲技術可以快速實現不同主體之間的數據交換，促進數據價值的最大化，降低信息獲取成本。當前，數據產業呈現精細化的趨勢，數據收集主體和利用主體也逐漸分離，形成“收集—分析—利用”模式的數據產業鏈。如果過度重視數據的安全性而忽視數據的利用價值，將進一步加劇大型數據企業對數據的“圈地運動”，不利于我國數據產業的發展和社會的進步。

如何確定網絡爬蟲行為的刑事界限，不僅適用于網絡爬蟲技術，同樣代表著刑法對于其他網絡技術的態度 。與安全和效率的二元價值相同，刑法應當追求法益保護和人權保障的相對平衡，不能出于對數據安全的保護而一味擴張犯罪圈，也不能將刑法的法益保護機能盲目讓位于數據利用的效率要求。在對網絡爬蟲技術進行規制時，應追求安全與效率的價值平衡，既要對利用網絡爬蟲實施犯罪的行為予以嚴密法網，也要保障網絡爬蟲技術的合法、合理使用，使其成為推動數據經濟發展的力量。

3.3　數據犯罪治理思路之轉變——從控制到利用

如上所述，安全和效率應當是刑法需要平衡的兩種基本價值取向，這一理念也與我國的現實情況相契合。有學者指出，對兩種價值取向的追求不同，衍生出對數據犯罪進行治理的兩種模式，分別是數據控制模式和數據利用模式 。前者注重保護數據主體對數據的權利，強調的是數據的本體安全，后者則注重保護數據的流動過程，強調的是數據的利用安全。目前，我國對數據犯罪治理采取的仍是數據控制模式，具體表現為通過禁止非法獲取或泄露數據等行為，來加強數據主體對數據的控制。然而這種思路忽視了數據的公共產品屬性，難以實現“共享”的價值目標，在具體規制效果上也難以令人滿意。上文提及的網絡爬蟲刑事規制現狀的不足，即可被視為該模式弊端的具體表現。與數據控制模式相比，數據利用模式旨在通過對數據 “動的安全”的維護，釋放數據的社會價值。該模式將規制重點轉移至數據濫用行為，引導數據利用者合理利用數據，從而實現對數據主體利益的更為全面的維護。此外，該模式也與當前我國數據前置法規（如《數據安全法》《個人信息保護法》等）的基本理念相契合，有利于避免刑法與前置法產生矛盾。

網絡爬蟲技術是獲取數據的重要手段，因此，借由網絡爬蟲的刑法規制，實現對數據犯罪治理從控制模式到利用模式的轉變，具有重要的意義。

4

網絡爬蟲的刑法應對

在確定了網絡爬蟲刑事規制的基本立場后，筆者擬提出相關對策。對網絡爬蟲進行刑法規制，應當從立法和司法兩種進路出發。在立法上嚴密法網，完善數據保護體系，充分發揮法律的行為指引功能，規范網絡爬蟲行為；在司法上完善違法性認定機制，不以技術判斷取代規范判斷，根據網絡爬蟲行為侵害的不同法益適用不同罪名，同時妥善處理罪數問題。

4.1　立法上：加快數據犯罪體系構建，完善數據保護體系框架

4.1.1　積極增設故意破壞數據新罪名

如前文所述，在大數據時代，數據已不再局限于服務計算機信息系統功能的正常實現，開始具有獨立意義，比如存放于網絡服務器云端的海量聚合數據。破壞型爬蟲完全可以在不對計算機服務器本身運行造成危害的情況下，對數據實施修改、刪除等操作，以破壞其“完整性”“可用性”。此類行為不僅不涉及對數據的合理利用，還會對數據的可利用性造成極大的損害，行為人實施此類行為的，也基本可以排除其存在合理利用數據的意圖，故對該類行為進行規制時，應當側重于對數據安全價值的保護，即強化對此類行為的刑法規制。目前對于該類行為，一般按照《刑法》第二百八十六條第二款，以“破壞計算機信息系統罪”論處。但此種做法存在兩個問題：一方面，導致破壞計算機信息系統罪的一般條款化，使其淪為兜底罪名；另一方面，若該行為所指向的數據對象為公民個人信息，破壞行為與獲取行為相比，前者的不法程度應當重于后者，但由于該罪與侵犯公民個人信息罪的法定刑存在顯著差異，容易產生處罰失衡。

因此筆者認為，可以在“破壞計算機信息系統罪”之外設立“破壞數據罪”，或者參照“侵犯公民個人信息罪”的修改，擴大“非法獲取計算機信息系統數據罪”的構成要件范圍，將其修改為“侵犯數據罪”，將侵害數據完整性和可用性的網絡爬蟲行為納入該罪范圍，以實現對數據犯罪和計算機信息系統犯罪的“分而治之”，實現處罰的均衡。同時，將數據犯罪單獨成罪，也有利于發揮立法的宣示作用，實現法律的行為指引功能，規范網絡爬蟲技術的使用。

4.1.2　謹慎增設過失危害數據新罪名

目前，我國對數據犯罪的規制，尚停留在故意犯罪層面，對于基于過失實施的損害數據法益的行為，缺乏相關罪名加以規制。據此，有學者指出，應當設立過失數據犯罪，以彌補刑法的處罰漏洞 。但筆者認為，不宜貿然設立過失數據犯罪。原因在于，與故意破壞數據行為不同，行為人基于過失實施的危害數據法益的行為，很有可能是出于合理獲取并利用數據的目的。例如，在“楊某、張某破壞計算機信息系統案”中，兩名被告共同開發了一款信貸查詢軟件，后由于目標網站登錄方式發生變化而被告人未能對爬蟲軟件及時調整，導致該信貸查詢軟件在短時間內對服務網站進行了極高頻率的訪問，造成系統服務器阻塞，無法正常運行，而法院最終判決二人構成破壞計算機信息系統罪。筆者認為該結論值得商榷，原因在于，二被告主觀上并不具有犯罪故意。因此，對此類行為加以規制時，應當充分考慮安全與效率的價值平衡，只有當帶來的收益遠大于成本時，對過失危害數據的行為犯罪化才具有正當性。也即，即使要設立過失犯罪，也應當設定較高的入罪門檻。

4.2　司法上：規范網絡爬蟲違法性認定機制，妥善處理罪數問題

刑法起源于沒有網絡的時代，其具體概念與網絡沒有任何關系，因此許多概念難以適用于網絡犯罪 。網絡犯罪的技術特征促使立法機關不得不在法律條文中采取一定的技術性描述，來將其行為手段納入刑法文本中，而受刑法穩定性和簡短價值的影響，這些規定往往過于籠統。換言之，目前我國刑法對網絡犯罪的構成要件，尤其是在對體現技術特征的行為方式的規定上呈現一種粗放狀態。這使得司法工作人員在判斷行為是否符合構成要件時，很難通過技術特征對行為加以識別，對網絡犯罪、計算機犯罪構成要件的解釋流于表面，導致部分罪名在司法實務中呈現“口袋化”趨勢，不當擴大刑法的處罰范圍。

在技術判斷難以融入規范判斷的背景下，對法定構成要件采取單純的形式解釋已無法滿足實質正義的需要，應當對構成要件進行實質解釋以得到妥當的處理結論。特別是在司法對網絡爬蟲普遍采取入罪態度的當下，充分發揮實質解釋的出罪功能已確有必要。根據張明楷教授對實質解釋論的闡述，對構成要件的解釋必須以法條的保護法益為指導，解釋一個犯罪的構成要件，必須首先明確該犯罪的保護法益，然后在刑法用語可能具有的含義內確定構成要件的具體內容 。也即對構成要件的解釋不能脫離法益保護的規范目的。若行為在字面上符合構成要件，但并沒有侵害刑法所保護的法益，那么就不存在實質違法性，不能將其評價為犯罪。具體而言，以法益為指導的網絡爬蟲犯罪司法認定需要注意 3 個問題。

4.2.1　兩大技術特征僅是判斷網絡爬蟲形式違法性的依據

如前文所述，善意爬蟲與惡意爬蟲的區別在于是否違反 robots 協議和是否突破反爬措施。因此，目前國內學者將其作為判斷網絡爬蟲違法性的依據。但筆者認為這一觀點值得商榷。

首先，“爬蟲協議”并非真正的“協議”，并不具有雙向性，只是運營者一方設定的規范爬蟲訪問的文件，僅能起到告知作用，不具備技術防護功能。目前關于該協議的法律性質，學界雖有諸多探討，但尚未有觀點將其提升到具有法律效力的高度，至多認為是一種行業習慣或商業道德 。即使在民事領域將其作為一種“格式條款”予以認定，但因為網站可以根據自身需求隨意制定爬蟲協議，該條款也極有可能因違反公平原則而無效，即違反爬蟲協議的爬取行為未必具有民事違法性。貿然將其作為判斷刑事違法性的依據，有越俎代庖之嫌。

其次，反爬措施在技術上具有限制爬蟲訪問的功能。能夠突破反爬措施的網絡爬蟲似乎能夠被非法獲取計算機信息系統數據罪“采取侵入或其他技術手段”的構成要件所涵攝，在侵犯公民個人信息罪中，也能夠根據前置法的規定解釋為“非法獲取”。有學者以國外的“代碼理論”為依據，認為能夠突破反爬代碼的網絡爬蟲體現了較強的規范違反意思，具有刑事違法性 。筆者認為，這種判斷路徑看似與我國刑法規定相契合，但只是對構成要件進行形式解釋得到的結論。“代碼理論”未能揭示數據犯罪的本質，僅僅提供了形式上的判斷標準。在刑法對數據犯罪構成要件規定過于簡單的情況下，容易造成處罰范圍不當擴張。以實質解釋為路徑進行分析可知，非法獲取計算機信息系統數據罪保護的法益是數據安全，具體而言，是數據的“保密性”與“可用性”，即數據未經授權不得“訪問、獲取”。因此，授權之“權”應當是數據內容訪問、獲取的權限，而非訪問手段的權限。據此，非法獲取計算機信息系統數據罪所規定的“侵入或其他技術手段”就應當被解釋為“突破數據內容訪問獲取之限制的手段”，對“非法獲取”的解釋同理。針對爬蟲技術設置的反爬措施不等同于保密措施，尤其是那些針對公開數據的反爬措施，比如裁判文書網的身份登錄認證等，只是用于限制訪問數據的方式，即禁止使用爬蟲技術訪問、限制爬蟲的訪問頻率等，但并不禁止人類用戶訪問獲取，即對數據本身的知悉、支配權利并沒有限制。因此，突破此類反爬措施的網絡爬蟲并不能落入相關犯罪構成要件的文本范圍，只有那些突破數據內容的訪問、獲取限制的網絡爬蟲，才可以被認定為“侵入或者其他技術手段”或“非法獲取”。

此外，企業可以自己制定爬蟲協議和反爬措施，諸如“百度”等互聯網巨頭出于保護自身利益的考慮，都設置了非常嚴苛的爬蟲協議和反爬措施。如果將違反爬蟲協議與反爬措施作為違法性判斷依據，無異于將判斷標準的制定委托于數據網站，會進一步促使大型互聯網企業對數據展開“圈地運動”，不僅會普遍擴大入罪風險，還會造成數據壟斷的消極后果，影響數據的流通與使用。

因此，筆者認為，技術上對善意爬蟲與惡意爬蟲進行區分，不意味著后者具有天然的違法性，特別是刑事違法性。違反 robots 協議和突破反爬措施，只能說明爬取行為存在形式上的違法性。若要認定爬取行為構成犯罪，該行為還必須具有實質違法性。而對實質違法性的認定，則只能訴諸實質解釋。

4.2.2　法益侵害性才是判斷網絡爬蟲實質違法性的依據

一般認為，法益具有立法批判與解釋指導機能，而實質解釋是發揮后一機能的有力手段，其主張以法益為指導，在可能的文義范圍內確定構成要件的涵攝范圍。若行為僅僅是在形式上符合構成要件，但并未侵害罪名所保護的法益的，就應當以法益侵害性的闕如將其出罪。基于爬取行為的性質及指向對象的不同，網絡爬蟲行為實質違法性的判斷可以分為兩種情形予以討論。

（1）利用網絡爬蟲實施攻擊行為的判斷。如前文所述，雖然網絡爬蟲的設計初衷在于更加方便、快捷地獲取數據，但也正是這一技術特性使得其能夠在短時間內對目標網站進行大量訪問。因此，實踐中存在大量利用網絡爬蟲對網站進行超頻訪問式的攻擊，使網站崩潰以至于無法被用戶正常使用的情形。此類行為并非為了獲取數據，而僅僅是利用爬蟲的技術特性來達到破壞正常網絡秩序的目的。換言之，網絡爬蟲并非手段，而是目的。而破壞計算機信息系統罪的保護法益正是計算機信息系統的安全，這種安全具有獨立保護的價值。因此，若網絡爬蟲行為并未導致目標計算機信息系統遭受破壞，或者有破壞的危險，那么就應當否定該行為的實質違法性。此時即使爬蟲違反了 robots 協議和反爬措施，也不能認定其構成破壞計算機信息系統罪。

（2）利用網絡爬蟲獲取數據行為的判斷。與攻擊型網絡爬蟲不同，獲取型網絡爬蟲的目的在于抓取目標網站的數據以進一步利用。網絡爬蟲只是手段，而不是目的。目前，司法實務中對獲取型爬蟲犯罪認定的一大爭議點是數據的公開性能否成為獲取型爬蟲犯罪的出罪事由，即數據的公開性是否可以阻卻爬取行為的實質違法性。對此，筆者認為，數據所征表的法益具有多樣性，故不能一概而論。數據的公開性是否具有排除實質違法性的功能，取決于其保密性是否屬于數據背后法益的保護內容。

以侵犯公民個人信息罪為例，該罪的保護法益是公民的信息權和隱私權，即公民有權決定其個人信息是否被他人知悉，以及被知悉的范圍等。網絡爬蟲抓取網絡上合法公開的個人信息的，不構成對該罪保護法益的侵犯，故不應認定為犯罪。另外，《民法典》第 1036 條規定，合理處理自然人自行公開或者其他依據合法公開的信息，不承擔侵權責任。以上文提及的“范某、徐某、李某等侵犯公民個人信息案”為例，本案中被告人通過制作爬蟲軟件從“企查查”“天眼查”等網站獲取企業法人的聯系方式等信息，而此類個人信息系合法公開，被告抓取該信息是用于提供征信查詢服務，屬于合理使用，在民事領域合法。因此，不管是基于法益保護原則還是法秩序統一性原理，對此類行為均不能追究刑事責任。

但是，如果數據的公開性與被保護法益無關的，依然可能構成犯罪，此類數據往往由于其反映信息的特殊性而受刑法單獨保護。以侵犯著作權罪為例，該罪的法益為著作權，包括作品的復制發行權、出版權等，而保密性不包含在內。因此對公開但具有著作權性質的網絡數據，比如視頻、文字作品等進行爬取，依然可能構成對著作權的侵犯。根據最高人民法院、最高人民檢察院《關于辦理侵犯知識產權刑事案件具體應用法律若干問題的解釋（二）》，該罪的行為方式“復制發行”，既包括“復制和發行”，也包括“復制”或“發行”，即單純的復制行為也可能構成對著作權法益的侵害，而網絡爬蟲對數據“抓取 + 存儲”的行為模式是否構成“復制”，就存在解釋的空間。

4.2.3　網絡爬蟲犯罪的罪數問題

如前文所述，關于網絡爬蟲的罪數問題，主要涉及非法獲取計算機信息系統數據罪與侵犯公民個人信息罪的關系。目前通說認為，非法獲取計算機信息系統數據罪是普通法，侵犯公民個人信息罪是特別法，因此應當適用法條競合“特別法優于普通法”的原則 。也有學者認為二者是非此即彼的關系，應當根據數據在具體犯罪中屬于對象還是手段，分別認定為數據犯罪（非法獲取計算機信息系統數據罪）還是傳統犯罪（侵犯公民個人信息罪）。筆者認為兩種方案均有值得商榷之處。

非法獲取計算機信息系統數據罪與侵犯公民個人信息罪并非簡單的法條競合，從構成要件可知，兩罪在行為方式和對象上表現出一種復雜的交叉關系。若按照前者將二罪理解為普通法與特別法的關系，容易導致司法工作人員出于對辦案效率的考量主動回避對涉案數據性質的認定，加重非法獲取計算機信息系統數據罪“口袋化”之趨勢。而后者的思路雖然很好地貫徹了數據法益獨立保護之理念，但未能給出判定數據在犯罪中所扮演角色的具體方案，其可行性存疑。筆者認為，數據除作為信息的載體征表傳統法益，以及服務于計算機信息系統功能的正常實現之外，確已具備獨立保護的必要。數據安全法益應當得到確認，即數據未經許可不得獲取、處理的公共秩序安全，非法獲取計算機信息系統數據罪的保護法益也正是在于數據安全的“保密性”“可用性”。對于非法獲取用戶個人信息數據的網絡爬蟲，由于侵害了包含數據安全、公民信息權和隱私權在內的雙重法益，因此成立想象競合犯，應從一重罪論處。此外，隨著數據犯罪的產業化、鏈條化態勢明顯，利用網絡爬蟲非法獲取數據而構成的上游犯罪，與基于數據而實施的下游犯罪之間在事實上是否具有通常的牽連性，從而能夠按照牽連犯處理，應當是需要考慮的問題。

5

結　語

在互聯網時代，網絡技術的應用為社會發展注入了新動力，但也產生了諸多問題。近年來，隨著數據產業的興起，網絡爬蟲技術在國內引發廣泛討論，其既推動數據利用又引發多元安全風險的兩面性，在現有網絡技術中具有一定代表性。對此，我們不能因噎廢食，懼于技術帶來的安全風險而畏葸不前，也不能過于激進，為了效率與發展而犧牲秩序與安全。當前，我國正逐漸完成對網絡技術法律規制體系的建構，刑法作為二次調整法，具有最后性和補充性，應當與其他前置法通力配合，通過對包括網絡爬蟲在內的眾多網絡技術的合理規制，實現互聯網空間治理和現實法益保護的目標。出具體威脅類型以及響應建議。

引用格式：孫永興 . 網絡爬蟲技術的安全風險和刑法應對 [J]. 信息安全與通信保密 ,2022(12):62-72.