網絡爬蟲行為的刑事法律風險
網絡爬蟲(Web Crawler)(簡稱爬蟲),是互聯網時代一項運用非常普遍的網絡信息搜索技術。簡單來說,它包含采集信息、數據存儲和信息提取三個步驟。這一技術最早應用于搜索引擎領域,隨著互聯網在社會生活領域的廣泛滲透,爬蟲技術的應用領域不斷拓寬。以日常所用軟件為例,出行軟件中爬蟲的占比較高,其中被各方火力集中攻擊的則屬中國鐵路客戶服務中心(12306)。此外,中國執行信息公開網、國家企業信用信息公示系統等也是被爬蟲的對象。而被爬蟲企業通常采取的對抗方式,包括圖片驗證碼、滑塊驗證、解密運算等,以增加爬蟲程序資源的成本,更有企業積極開發反爬蟲技術以限制網絡爬蟲的訪問權限。
理論上看,“爬蟲” 作為一項網絡信息搜索技術,具有技術中立性,并未被我國現行法律所明令禁止。但是在司法實務中,“技術中立原則”的適用也應有邊界。如果使用技術的人用以危害社會,利用技術手段實施犯罪行為,則不因“技術中立原則”而免除刑事責任。從深圳市谷米科技有限公司與武漢元光科技有限公司反不正當競爭案,到全國首例“爬蟲”技術侵入計算機系統犯罪案,可以看出,在運用爬蟲技術侵入系統、提取數據的過程中,輕則可能涉及民事違法,重則可能觸及刑事犯罪。
一、網絡爬蟲行為刑事案件概況
筆者通過在Alpha系統檢索網絡爬蟲行為所涉刑事案件,共得到刑事裁判文書25份。細化到具體罪名來看,網絡爬蟲業務刑事案件涉及最多的罪名為侵犯公民個人信息罪(占48%),后依次為侵犯著作權罪(占16%)、非法獲取計算機信息系統數據、非法控制計算機信息系統罪(占16%)、非法侵入計算機信息系統罪(占4%)、提供侵入、非法控制計算機信息系統程序、工具罪(占4%)、破壞計算機信息系統罪(占4%)、傳播淫穢物品罪(占4%)、詐騙罪(占4%)。
二、網絡爬蟲行為的主要刑事法律風險
在使用網絡爬蟲技術的過程中,從技術本身的使用行為到抓取數據后的使用、傳播行為,可能涉及非法侵入計算機信息系統罪、非法獲取計算機信息系統數據、非法控制計算機信息系統罪、侵犯公民個人信息罪、詐騙罪、侵犯著作權罪等。
(一)非法侵入計算機信息系統罪等
1、非法侵入計算機信息系統罪
根據《刑法》第二百八十五條第一款之規定,非法侵入計算機信息系統罪屬于行為犯。如果使用爬蟲技術,非法侵入國家事務、國防建設、尖端科學技術領域的計算機信息系統,則只要實施了侵入行為,即構成非法侵入計算機信息系統罪。在李文環、王碩、盧曉燕等非法侵入計算機信息系統罪一案中,被告人李文環使用“爬蟲”軟件,大量爬取全國各地及涼山州公安局交警支隊車管所公告的車牌放號信息,之后使用軟件采用多線程提交、批量刷單、驗證碼自動識別等方式,突破系統安全保護措施,將爬取的車牌號提交至“交通安全服務管理平臺”車輛報廢查詢系統,進行對比,并根據反饋情況自動記錄未注冊車牌號,建立全國未注冊車牌號數據庫。法院認為“被告人李文環等人為牟取私利,違法國家規定,侵入國家事務領域的計算機信息系統,構成非法侵入計算機信息系統罪。”
在司法實務中,法院對于“侵入”行為的認定,主要考量是否存在超越權限、對系統的正常運行產生影響等情形。對于大數據服務公司而言,其在運用爬蟲技術抓取國家企業信用信息公示系統、中國執行信息公開網等公開數據時,風險點在于是否對目標系統的正常運行產生影響。在被爬蟲網站已經采取反爬蟲技術的情況下,如果惡意破解反爬蟲技術抓取數據,進而對網站運行造成影響的,則可能構成非法侵入計算機信息系統罪。
此外,司法實務中容易引起爭議的是對“國家事務”的認定。雖然《關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》第十條規定“對于是否屬于刑法第二百八十五條、第二百八十六條規定的‘國家事務、國防建設、尖端科學技術領域的計算機信息系統’、‘專門用于侵入、非法控制計算機信息系統的程序、工具’、‘計算機病毒等破壞性程序’難以確定的,應當委托省級以上負責計算機信息系統安全保護管理工作的部門檢驗。”但是由于《刑法》和相關司法解釋并未對“國家事務”予以明確界定,導致實務中對于“國家事務的計算機信息系統”的認定不統一,部分案例中將地方政府網站也認定為“國家事務的計算機信息系統”。從刑法的謙抑性角度來看,對于“國家事務”應當進行限制解釋。“國家事務的計算機信息系統”應僅限于處理全國層面的國家內部治理事務和外交事務的計算機信息系統,對于地方國家權力機關的政務公開或網絡辦公系統,不應當認定為國家事務的計算機信息系統。
2、非法獲取計算機信息系統數據、非法控制計算機信息系統罪
《網絡安全法》第二十七條明確規定“任何個人和組織不得從事非法侵入他人網絡、干擾他人網絡正常功能、竊取網絡數據等危害網絡安全的活動。”實踐中,信息提供者會采取各種反爬蟲技術措施為爬蟲設置障礙或者增加爬蟲技術的成本。在各種反爬蟲策略中,Robots協議是技術界為了解決爬取方和被爬取方之間通過計算機程序完成關于爬取的意愿溝通而產生的一種機制。信息提供者可以在自己的站點設置Robots協議,以告知爬蟲控制者哪些信息是提供者不希望被爬取的。
根據《刑法》第二百八十五條第二款之規定,如果使用網絡爬蟲技術,惡意破解目標網站,非法侵入國家事務、國防建設、尖端科學技術領域之外的計算機信息系統,獲取該計算機信息系統中存儲、處理或者傳輸的非公開數據或者未授權數據,或者對該計算機信息系統實施非法控制,情節嚴重的,則構成非法獲取計算機信息系統數據、非法控制計算機信息系統罪。
在咼某某非法獲取計算機信息系統數據、非法控制計算機信息系統罪一案中,辯護人提出“咼某某編寫爬蟲腳本獲取計算機信息系統數據的行為不具有違法性”,而法院以“咼某某未經網站授權,利用特定網站的漏洞,通過編寫爬蟲腳本入侵特定網站的方式,批量獲取計算機信息系統中公民信息數據并用于出售”為由認定了該行為的非法性。
在上海晟品網絡科技有限公司、侯明強等非法獲取計算機信息系統數據罪一案中,侯明強指使被告人郭輝破解北京字節跳動網絡技術有限公司的防抓取措施,使用“tt_spider”文件實施視頻數據抓取行為,在數據抓取的過程中使用偽造device_id繞過服務器的身份校驗,使用偽造UA及IP繞過服務器的訪問頻率限制。法院認為“被告單位上海晟品網絡科技有限公司違反國家規定,采用技術手段獲取計算機信息系統中存儲的數據,情節嚴重,其行為已構成非法獲取計算機信息系統數據罪。”
需要注意的是,非法獲取計算機信息系統數據罪與侵犯公民個人信息罪是法條競合的關系,如果網絡爬蟲抓取的是公民個人信息,基于特別法條優先于普通法條的原則,適用侵犯公民個人信息罪的規定。
(二)侵犯公民個人信息罪
《網絡安全法》第四十四條規定“任何個人和組織不得竊取或者以其他非法方式獲取個人信息,不得非法出售或者非法向他人提供個人信息。”根據我國《刑法》第二百五十三條之一第一款之規定,違反國家有關規定,向他人出售或者提供公民個人信息,情節嚴重的,構成侵犯公民個人信息罪。根據本條第三款之規定,竊取或者以其他方法非法獲取公民個人信息的,亦構成侵犯公民個人信息罪。所謂“公民個人信息”,根據《辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第一條之規定,是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息,包括姓名、身份證件號碼、通信通訊聯系方式、住址、賬號密碼、財產狀況、行蹤軌跡等。
在彭中正、呂雷、周敏侵犯公民個人信息罪一案中,被告人彭中正辯解稱涉案信息來源是在網上抓取,并非非法獲取的。而法院認為“彭中正無論是從公司竊取還是自己加工獲取,未征得他人同意收集信息,均系非法手段,不影響本罪的構成。”因此,如果爬蟲控制者在未經他人同意或者超出權限許可范圍的情況下大量抓取公民個人信息,其手段即具有非法性,可能構成侵犯公民個人信息罪。
2019年下半年以來,套路貸產業鏈所依靠的大數據服務公司遭遇強監管。其中不乏有大數據服務公司成為了為“套路貸”犯罪分子提供“服務”的職業化群體,其爬取的數據維度較為細致,爬蟲技術被應用在“套路貸”的個人信息搜集和暴力催收上,具有嚴重的社會危害性。如果大數據服務公司在對“套路貸”犯罪不知情的情況下,單純出售、提供公民個人信息,情節嚴重的,可能構成侵犯公民個人信息罪;如果大數據服務公司在明知他人實施“套路貸”犯罪,出售、提供、幫助獲取公民個人信息的,根據《關于辦理“套路貸”刑事案件若干問題的意見》的規定,一般以相關犯罪的共犯論處。其中,對“明知”的判斷應當結合行為人的認知能力、既往經歷、行為次數和手段、與同案人、被害人的關系、獲利情況、是否曾因“套路貸”受過處罰、是否故意規避查處等主客觀因素綜合分析認定。
(三)詐騙罪
在電信詐騙泛濫的當下,網絡爬蟲技術也也成為了犯罪分子實施詐騙的工具,根據《關于辦理電信網絡詐騙等刑事案件適用法律若干問題的意見》的規定,利用“釣魚網站”鏈接、“木馬”程序鏈接、網絡滲透等隱蔽技術手段實施詐騙的,屬于酌定從重處罰情節。
在葉文榮、孫雷杰詐騙案中,被告人葉文榮雇傭他人,為謀取非法利益,通過購買爬蟲軟件獲取淘寶網新開店店家信息,冒充淘寶客服人員向店家發送店鋪未激活、交易關閉等虛假信息,以幫助店家解決問題為由誘騙被害人同意其進行遠程協助并提供支付寶賬戶及密碼,后其通過電腦遠程操作的方式使用被害人支付寶為視頻賬戶充值。法院認為“被告人葉文榮以非法占有為目的,利用電信網絡對不特定多數人實施詐騙,騙取財物數額特別巨大,其行為已構成詐騙罪”。
(四)侵犯著作權罪
根據《刑法》第二百一十七條之規定,如果行為人以營利為目的,未經著作權人許可,利用爬蟲軟件抓取他人享有著作權的作品,并擅自在網絡上傳播的,違法所得數額較大或者有其他嚴重情節的,則構成侵犯著作權罪。
在段某某侵犯著作權案中,被告人段某某未經著作權人許可,利用視頻搜索爬蟲技術,針對樂視、土豆等各大知名視頻網站的影視作品設置加框鏈接,收取用戶點擊、瀏覽影視作品后產生的廣告費。法院認為“被告人在本案中實施的是聚合以后的加框鏈接行為,鏈接技術本身是中立的,但技術中立并不代表采用該技術就不構成侵權或嚴重情況下不觸犯刑律。只有主觀上不明知或應知被鏈作品系侵權作品,客觀上未故意避開或破壞技術措施,僅是基于用戶指令為查找、定位、瀏覽、獲取相關信息而實施的客觀的網頁和目標間的轉換連接,才有可能豁免其相關責任。”“如果對此類行為再不予重視和規制,已經日趨健康的互聯網競爭秩序將回復殘酷的‘叢林弒殺’。被告人的行為使他人與其經濟利益相匹配的作品可控傳播范圍得以無限擴大,不僅展示了他人作品,而且使用戶能輕易直接獲得該作品,這種未經他人授權許可的作品再提供及牟利,本院無法得出其性質正當性的可能。”
在金某某、潘某侵犯著作權案中,被告人潘某負責編寫爬蟲軟件從互聯網上抓取小說數據儲存至其租用的阿里云服務器內,供用戶免費閱讀。法院認為“被告人金某某、潘某結伙,以營利為目的,未經玄霆公司許可,復制玄霆公司享有信息網絡傳播權的文字作品1024部,并通過信息網絡向公眾傳播,情節嚴重,其行為均已構成侵犯著作權罪。”
雖然技術本身具有中立價值,但這并不意味著其必然不受刑法規制。在對網絡爬蟲行為進行定性時,需綜合考慮行為人利用網絡爬蟲技術實施了何種行為,是否對刑法所保護的法益造成侵害,并結合行為人的主觀心理狀態予以判斷是否符合犯罪的構成要件。
