摘要:爬虫本质上是一种模拟浏览器并且高效率、大规模的获取数据的行为,相较于浏览器,其会面临网站方禁止访问的声明、服务协议等规范或者反爬虫的技术措施。但由于非法获取计算机信息系统数据罪的保护法益是数据安全,在涉及爬虫案件时,仅需考虑数据的保密性是否受到侵害。只有以保护数据的保密性为目的、仅限于特定人通过的身份认证机制,才能作为网络空间与封闭空间的界限,被这种界限所保护起来的信息是非公开信息。只有爬取非公开信息且达到情节严重的标准时,才能评价为不法。爬取公开信息但是违反网站规范或者突破反爬措施时,不具有该罪的法益侵害性,可运用合同法规则或者行政法规予以规制。
关键词:网络爬虫,数据安全,不法,非法获取计算机信息系统数据罪
随着互联网迈入Web3.0时代,数据资源的价值日益凸显。以往主要作为网络搜索引擎基础的爬虫技术,现阶段也成为了互联网企业、个人获取数据的常用工具。网络爬虫本身是个中立的技术手段,一方面,网络爬虫可以增加网站的曝光量,如百度、谷歌类搜索引擎的运用,而且也有利于促进数据的流通与共享,增进互联网用户福祉;但另一方面,大量的、长时间的爬取数据可能会给网站的运行带来过重的负担,并带来一些民事纠纷,乃至刑事处罚。爬虫案件涉及罪名众多,如侵犯公民个人信息罪、侵犯著作权罪、非法获取计算机信息系统数据罪等,但从具体罪名出发针对网络爬虫展开的教义学研究寥寥无几。鉴于爬虫案件涉及非法获取计算机信息系统数据罪的情况较多,且本罪名更能体现出大数据时代,企业、个人使用数据的需求与可能面临刑事制裁的冲突。因此,本文将在梳理网络爬虫引发争议的特殊之处,以及评析中外学者及司法实务对于爬虫行为不法内涵认定的各种理论的基础上,结合非法获取计算机信息系统数据罪的规定,厘清爬虫行为罪与非罪的界限。
一、网络爬虫的特点及法律争议厘清
网络爬虫(web crawler),又被称为网络蜘蛛,是一种按照一定的规则,自动抓取互联网信息的程序或脚本。相较于人工获取信息而言,网络爬虫的特殊之处,及其带来的法律问题,主要体现在以下三方面。
(一)网络爬虫可以大规模抓取数据
使用普通浏览器时,用户可能只是获取了信息,但使用爬虫则直接获取了数据。这里首先要阐述一下信息与数据的区分。在物理世界中,数据是信息的素材来源,为信息的收集和处理提供依据,我们通常所说的“数据化”、“大数据”发挥的正是这一功能。[1]在互联网语境下,数据则成为了信息的载体,以代码形式存在,只能被计算机读取,而信息则是数据所要表达的内容,可以直接被人眼识别, 2021年9月生效的《数据安全法》第3条也将数据定义为“任何以电子或者其他方式对信息的记录。”具体而言,当我们通过浏览器去浏览网页、观看视频时,肉眼已经获取了信息,但是作为载体的数据并没有获取,这些数据仅仅是缓存到了自己的计算机中,只要将电脑关闭,这些数据就消失了,除非将文字、视频等浏览的文件真正下载下来。
和普通浏览器只向用户呈现信息不同,爬虫直接作用于信息对应的数据载体,并将数据储存到Excel表、数据库或者其他可以控制的地方,然后根据需要,再将储存的数据以信息的形式展现出来,为人眼识别。爬虫之所以引发争议,违背网站方的意愿获取并利用数据功不可没,如:
【车来了案】元光公司为了提高自己开发的智能公交APP“车来了”在中国市场的用户量及信息查询的准确度,利用网络爬虫软件获取谷米公司服务器中的公交车行驶信息、到站时间等实时数据。将数据用于自己开发的智能公交APP软件“车来了”并对外提供给公众进行查询,使软件的准确度提高。经评估:谷米公司因被非法侵入计算机信息系统所造成的直接经济损失为24.43万元人民币。法院认定“车来了”APP的相关责任人员构成非法获取计算机信息系统数据罪。[2]
(二)网络爬虫具有高效性与干扰性
相较于用户人工使用浏览器获取信息而言,爬虫获取信息更加高效与精准,同时对系统的干扰力度也会更大。首先,爬虫不受浏览器页面的限制,不会一次只能访问一个特定网页上的信息,而是通过网页上的链接自动跳转到其他网页抓取数据,因此抓取数据非常高效,抓取范围也十分广大。[3]其次,爬虫程序中会向服务器写明要求,只抓取自己需要的数据,而非整个网页页面。[4]所以相对于浏览器,爬虫获取的信息也会更加精准。相较于人工手动而言,爬虫一方面节约了用户浏览网页和APP的时间与精力,另一方面也会大大增加服务器的负担,造成网络卡顿、延迟,更有甚者会造成系统的瘫痪,从而面临破坏计算机信息系统罪处罚的可能。[5]
(三)网络爬虫面临的限制及争议
由于网络爬虫的干扰性以及大规模抓取数据的特点,相较于浏览器,爬虫会面临网站经营者的更多的限制甚至封锁。限制的手段主要可分为两类。一是主观限制,主要表现为网站的单方声明、与用户签订的服务协议、在发现爬虫后向对方发送的停止侵权函告等;二是客观上采取技术措施,如上文提到的封锁IP地址,再如设置验证码、异步加载数据这类反爬虫措施等;此外还有一种介于两者之间的方式,即爬虫协议,它是网站所有者置于网站根目录下的文本文件,用来告知爬虫哪些网页可以被抓取,哪些网页不应被抓取。[6]其实也可以将其理解为一种单方声明,但是这种声明只有技术层面上的爬虫才能读懂。
在网站经营者采取反爬虫措施的情况下,争议最突出,因为在相关数据是否能被爬取的这个关键问题上,爬取方与被爬取方正好持截然相反的态度。如:
【晟品公司案】被告人张某某等人经共谋,破解北京字节网络技术有限公司的反爬措施,使用“tt spider”文件(也即爬虫程序)抓取“今日头条”服务器上的视频数据以及评论数据,并将结果存入数据库中,造成被害单位损失技术服务费人民币2万元。法院认为被告人采用技术手段获取计算机信息系统中存储的数据,情节严重,其行为构成非法获取计算机信息系统数据罪。
由于被告人抓取的今日头条用户上传的视频以及用户的评论本身就是公开,因此是否构罪,并非没有争议。换言之,无视禁止爬虫的声明、突破反爬措施或许是违法行为,但能否构成刑事不法,并且符合非法获取计算机信息系统数据罪的构成要件则是另一回事,在此,需要厘清刑事不法的认定标准。
二、爬取数据行为刑事不法的认定标准
在爬取数据行为不法内涵的认定方面,现有研究多集中于对“未经授权”的认定上,有学者直接指出,“网络爬虫抓取数据的正当性、有效性都源于数据主体的授权。” [7]这一解释路径,与美国大多数学者处理爬虫案件的思路一致。由于美国处理爬虫案件已经积累了20年司法经验,而我国目前有关网络爬虫方面的理论研究和司法实践尚处于发展阶段,因此本文将先介绍并分析美国在判断爬取数据的行为是否触犯CFAA时的标准[8],以作为本文探讨爬取数据行为的不法内涵的借鉴。
(一)爬取数据行为刑事不法标准的演变
在处理网络爬虫刑事案件时,美国实务界和理论界的关注焦点是《计算机欺诈及滥用法案》(CFAA)1030(a)(2)(C)的规定,即“未经授权或超越授权进入计算机系统,并从任何受保护的计算机上获取信息。”其中,法条明文规定的“未经授权”成为了本条款的解释重点。 从网络爬虫与CFAA相伴的20年审判史看,爬虫入罪的范围大小与“未经授权”解释的严格程度相关,大体上经历了一个从严厉到宽缓的变化。[9]围绕着未经授权的解释,大致可以分为规范标准、技术标准也即代码理论。
1.规范标准的内涵及问题
规范标准是网站方意志的直接体现,也是最易表达出网站方限制爬虫访问的意思的方式,其可以分为事前规范、爬虫协议以及停止函告三类。
(1)事前规范
事前规范是爬取数据前,网站向使用者传达的要求。如网页上的弹窗、告知等。在2000年至2010年的十年间,美国司法实践认为,像这类网站表达的所有对爬虫不满的信号,都足以说明爬虫进入系统是未经授权的,使用爬虫的人可能都没有认识到该信号的存在,就会触犯CFAA[10]。这种对爬虫极其宽广的刑事打击因具有高度的模糊性和任意性、可能违反宪法的正当程序条款而遭到质疑[11]。为解决这一合宪性危机,法院对该条款予以限缩,要求“使用条款”必须显而易见,否则对爬虫者无效。[12]但关键在于,即便是以非常醒目的方式,如网站入口处的用户协议,访问者需点击同意协议内容才可访问网站,按照用户通常习惯,也多会略过。更何况大多数协议本身内容复杂,未经过专业训练的用户在仔细研读后,可能也并不理解其含义,从而不知道哪些行为是被禁止的。因此,以事前规范作为“授权”的判断标准,并不能有效地增强法律适用的明确性。
(2)爬虫协议
爬虫协议是供爬虫程序阅读的robots.txt文件,直接作用于技术层面,为爬虫提供指引,但它并不能干扰爬虫的运行,爬虫完全可以不顾robot.txt禁止的内容而爬取数据。在法律层面,所以相较于网站的弹窗,服务协议这种给用户阅读的文件,其内容会更加明确地传达给爬虫程序,相当于将网站方的意志,翻译成计算机语言,供爬虫程序阅读和执行。因此,robot.txt可以克服事前规范模糊性的问题,予以爬虫程序更加明确的指示,但是事前规范所具有的任意性的问题依然存在,网站方可以完全凭自己的主观意愿,决定禁止爬取数据的范围,因而违反robot.txt并不能当然地意味着行为不法。
(3)事后函告
事后函告的情形为,如果某人在访问网页后,收到了停止函告(cease-and-desist letter)但依然使用爬虫,那么可认为其访问网站的权限被撤销了。[13]这种事后直接向爬取方发送函告,要求其停止爬虫的方式,相较于事前规范和爬虫协议来说,具有更明确的指向性,爬取方将更为清楚地知道自己的行为是否为网站所禁止。审判中,在判断行为人是否未经授权进入计算机系统方面,法庭只需调查两件事即可。一是网站方是否撤销了授权,二是行为人在知道自己访问网站的授权被撤销后,是否继续访问了网站。[14]但是,这种方式依然没有解决任意性的问题,网站方可以在任何时间,不需要任何理由向爬取方发送停止函告,撤销其访问网站的权限。换言之,事后函告还是意味着网站方仅凭者自己的意志便启动了严厉的国家机器,对爬取者予以刑事制裁。
2.代码理论的发展与不足
(1)早期代码理论
鉴于规范标准因模糊性而产生的宪法问题,Kerr教授在2003年又提出了代码理论(code-based theory),主张“未经授权”访问网站应该限制在突破或者绕开以代码为基础的技术措施的情形中。[15]较早在实务中以技术措施作为授权判断标准的,是2012年美国第九巡回法院处理的Nosal案。在该案中,法庭以立法背景为切入点,认为CFAA的立法目的是为了规制黑客行为,也即突破技术障碍侵入计算机系统,没有突破技术措施获取信息的行为,不构成未经授权。[16]
可以看出,此时“未经授权”的判断已经转换成了“侵入计算机系统”的判断。目前,以是否突破技术措施作为“未经授权”判断标准的观点已经成为主流,被美国学界和实务界广泛采纳,但同时也面临着各种批评。其中最主要的批评是,代码理论远没有想象中的那么清晰,它会让一些互联网的日常行为沦为CFAA的处罚对象。[17]比如要想突破封锁IP地址这种反爬技术措施,直接更换IP地址即可,但是在互联网的日常行为中,使用不同的IP地址,是一件非常正常的事情,封锁IP并不足以在拥有开放属性的网络上,建立起一道与外界隔绝的界限,以至于突破这个技术措施,值得用刑事法处罚。[18]因此,最早主张这种技术措施标准的Kerr教授后来也认为,突破这类仅仅延缓用户访问网站的技术措施,并不能被称之为侵入,遂放弃了这种早期的代码理论,转而以“身份认证”作为入侵判断的关键。
(2)以身份认证为基础的代码理论
在Kerr教授看来,对CFAA中有关未经授权从受保护的计算机系统中获取信息条款的解释,要先做一个转化。认定获取信息是否属于“未经授权”的关键在于认定侵入计算机系统的标准,而这种标准建立在身份认证的基础上。具体而言,在以物理空间的侵入标准为参考,Kerr教授提出了判断网络空间侵入的三层逻辑,第一,互联网原本是开放的;第二,以身份认证体系为基础的技术措施构建了互联网上的“小房子”,小房子内的空间是封闭的,需要识别身份的账号、密码代表的“钥匙”才能进入,否则便构成了侵入;第三,以非法方式获得他人的账号和密码进入系统,也是无权的。[19]
总之,以身份认证为基础的代码理论概括起来有两大特点,一方面认为身份认证系统承担了界分网站公开性与封闭性的功能,另一方面认为身份认证本身代表着授权,而且还是针对具体的人的授权。对于有身份认证系统的网站而言,绕过或突破身份认证措施进入网站抓取数据,就属于未经授权。这种升级版的代码理论在领英案的审理中得到了充分的体现,[20]在国内也得到了一些学者的支持,并应用于爬虫案件中,解释非法获取计算机信息系统数据罪的“侵入”概念。 [21]
但是身份认证标准,同样存在问题。第一,在信息社会的背景下,网络空间几乎成为了公众主要的交流空间,已经有了“公共场所”的属性。[22]因此仅以存在一套账号密码登录系统为由,便将公众日常使用的获取信息的网站、社交平台认定为诸如个人账户、公司内网等私密空间显然不合适。第二,行为人完全可以在登录账号密码后,再爬取数据,按照身份认证标准,此时行为人也属于被授权,从而使得账号密码系统失灵。第三,网站方完全可以通过简单的技术设置比如关闭账户,就能实现在法律层面上限制特定主体访问计算机系统的自由,如果以此作为侵入的标准,身份认证标准反而会扩大处罚范围。
(二)爬取数据行为不法标准的厘清
1.以“未经授权”为核心的不法标准的内在缺陷
其实,身份认证理论出现上述问题的原因,归根结底在于这是一个解释“未经授权”内涵的理论,而不是一个阐释爬取行为不法内涵的理论。无论是规范标准、还是代码理论都是围绕着未经授权展开的,而“授权”体现的始终是权利人的意志,代码被嵌入了价值理念,[23]因此,技术措施以及身份认证机制全都是表达权利人意志的手段,与规范的本质是相同的,都是数据网站围绕着自己的利益单方设置权利义务的行为。当行为人违反这类规范时,不应首先考虑刑事责任。在我国非法获取计算机信息系统数据罪的语境下,同样如此。正如有的学者所言,“非法性的本质在于违反国家规定,而根据我国刑法的规定,这里的‘法’须是高位阶的法律,否则会与刑法的谦抑性和最后手段性的基本原则与精神相抵触。” [24]事实上,根据我国刑法第96条的规定,违反国家规定的获取数据行为的行为才可能具有非法性。如果仅凭网站方设置的规则,便轻易决定访问者是否违法犯罪,那么网络用户将普遍面临入罪风险。
2. 爬取数据行为不法标准的厘清
若要真正厘清爬取数据行为不法的范围,不能将目光局限于“未经授权”上,它与不法其实是两个层面的概念。但在此处还需要进一步追问,为什么违背网站方的意愿访问网站或抓取数据不能引发刑事责任?
如果用任意性来解释的话,其实有些勉强,因为国内外刑法都不乏以是否违背被害人的意志来决定刑事不法的例子。比如在中国刑法体系中有不少罪名的侵害法益或者构成要件也包含了被害人的意志,如强奸罪所侵害的法益性自主权,再如盗窃罪的构成要件则要求违背被害人的意志转移占有。违背网站方的意愿抓取数据这件事与上述罪名所述的情况究竟有什么不同呢?其一,就可能侵害的法益来看,网络爬虫指向的是数据,就算涉及到了法益侵害,那也是数据法益,并不会像强奸罪的情况那样涉及被害人的意志。其二,盗窃罪的情况下侵害的是财产法益,而构成要件则涉及到了被害人的意志问题,但关键是被害人与被盗窃的财产之间存在着紧密的联系,且最终的被害人也是对财产享有占有、支配、收益、处分权利的所有人,因此违背其意志转移占有才显得那么重要。而在爬虫案件中,就个人账户或者公司内网中的数据而言,数据主体为公司和个人,但是诸如领英、今日头条这类诸多主体参与贡献数据的网站,数据主体是谁并非毫无疑问。在权利主体都不确定的情况下,讨论授权问题,未免过于荒谬。
美国学界之所以会将“未经授权”作为客观不法的决定性要素,关键原因还是在于CFAA对“未经授权”的明文规定。其实CFAA在通过之初,计算机系统都是不对外开放的,所以访问需经授权。但后来领英这类供公众发布和获取信息的社交平台开始兴起了,网络中的私密空间开始向着公共空间变化,此时再将不法范畴的核心限定为“未经授权”就不合适了。所以美国也有学者主张应当废除CFAA(a)(2)(C)项中有关未经授权的规定。[25]但对于非法获取计算机信息系统数据罪而言,由于法条中并无“未经授权”之类的罪状,因此,在讨论爬取数据是否触犯本罪时,也无需受限于网站方是否授权。
经过梳理,可以发现讨论爬取数据不法的范畴时需要考虑如下问题:
其一,爬取信息的公开性。只有真正的不对外开放、由网站方控制的信息,才会有授权要素发挥作用的空间。因此,区分网络上的私密空间和开放空间的界限至关重要。身份认证系统虽然提出了界分标准,但并不能发挥实际效果,尚需进一步完善,完善之处将在下文予以论述。
其二,对于公开的信息而言,网站方的意志并不是不法的决定性标准,一方面是由于数据的权属并不明晰,因此,即使是商业性质的数据抓取也不一定是不法行为。不过这些还只是一种应然层面的探讨,具体还要落实到一国法的具体规定上,才能真正确定爬虫数据不法的真正范畴。
三、非法获取计算机信息系统数据罪语境下爬取数据不法的阐释
在以美国法为参照梳理出理论与实务对爬取行为不法的认定误区、原因及修正方向后,本部分将结合我国刑法对非法获取计算机信息系统数据罪的规定,进一步探讨爬取行为在我国现行法语境下的不法范畴及其认定标准。根据我国刑法第285条第2款的规定,非法获取计算机信息系统数据罪的行为要素从字面上来看,是指违反国家规定,侵入计算机系统获取数据以及采用其他技术手段获取数据。由于爬虫兴起的时间并不长,目前还没有更为具体的国家规定来明确爬虫的入罪范围,因此需要结合本罪的法益来解释,爬取数据行为在何种程度上满足本罪的构成要件。
(一)爬取数据行为侵害的本罪法益
就保护法益的认定而言,传统观点根据非法获取计算机信息系统数据罪所处的体系位置,认定其具有破坏国家计算机信息安全管理秩序的性质。[26]但是管理秩序是一个非常抽象的概念,并不能给构成要件的解释提供有效指引。而且公民个人的笔记本电脑、智能手机这类与公共秩序无关的计算机信息系统中的数据也值得刑法保护,[27]因此,应该将本罪的保护重点具体到数据上来。而且从法条表述中也可以看出本罪的犯罪对象是计算机系统中的数据,保护的法益应该围绕数据展开。
随之而来的问题即是保护数据的什么内容。不少学者从数据安全的角度出发,按照国际通行的对数据安全的解释,认为本罪的法益应该围绕着数据的保密性、完整性和可用性。[28]这是信息社会中需要刑法保护的新价值形式。[29]数据的完整性和可用性则是指数据不被修改、损害,权利人能及时有效地获取和使用数据。爬虫的原理是模拟浏览器获取数据,正如日常使用浏览器浏览网页、下载文件不会损害数据、也不会妨害权利人继续使用数据那样,爬虫也不会损害数据的完整性和可用性,爬取数据的过程就是复制数据的过程。可见,如果从这三性去解读数据安全,爬虫可侵犯的其实只有数据的保密性。此外,由于本罪设立之初,就是为了打击不法分子“侵入计算机系统,窃取他人账户、密码等信息”的行为,目的还是为了保护信息,信息和数据的价值性不可分割,因此,只有在爬取非公开信息的情况下,才会侵害到本罪法益。
但是,司法实践并未从以上述三性为核心的数据安全出发解读本罪的保护法益,这或许是受到司法解释的影响。根据司法解释对情节严重的认定,在获取身份认证信息达到一定数量、违法所得以及造成经济损失达到一定数额或者出现其他情节严重的情形时,构成本罪。[30]身份认证信息是围绕着数据保护展开的,而且重在数据的保密性,但是违法所得及经济损失则与数据的三性并无直接关联,直接以违法所得或经济损失的数额来入罪,其实是模糊了本罪的保护法益。
如“车来了案”中,元光公司抓取谷米公司收集的公交行驶信息,但法院最后是以谷米公司侵入计算机系统所造成的损失数额来定罪的,而这一损失数额实际上为修复被元光公司破坏的系统程序所需要的费用,与数据并没有直接关联。[31]从本案的民事判决中,我们才得以窥见法院实际上想用本罪保护什么,毕竟根据刑法的谦抑性,被前置法保护的利益受到侵害后,才会有刑法发挥作用的空间。在民事判决中,法院先认可了公交实时类信息数据具有无形财产的属性,谷米公司对该信息数据享有占有、使用、收益及处分的权益,获取数据的方式不能违背谷米公司的意志,后指出元光公司利用爬虫获取原告软件中实时公交信息数据,并用于自己开发的软件并向外提供查询是一种搭便车的行为,破坏了他人市场竞争优势,违反诚实信用原则,构成不正当竞争。[32]
联系本案的民事判决就会发现,法院实际上是想用本罪去保护数据的财产利益。但关键问题出现了,法院虽然先肯定了谷米公司对数据享有的财产权益,但侧重点还是被告使用该数据造成的不正当竞争关系,最终也是以被告行为构成不正当竞争结案,对于其获取数据的行为并没有给予侵权评价。原因也很简单,民法典没有创设数据财产权,与物权、知识产权不同,原告投入精力、成本所获得的公交实时信息这种企业数据尚未形成真正的实体权利,在法律上如何定位与保护还是一片空白,甚至还面临着财产权化、[33]非权利化的争论。[34]即使是《数据安全法》也只是对个人数据的人格利益和财产利益进行了债权式的保护,[35]并未涉及企业数据权益的问题。因此,在民事审判中,法院将评价的重心放在了使用数据而非获取数据方面,以不正当竞争作为纠纷定性。其也明确指出本案的民事判决与刑事判决评价的事实基础并不相同,后者是以为获取他人数据的行为为事实基础。[36]
可以看出,民法在使用数据这一行为发生、原告丧失竞争优势后,才予以否定评价,因为只有在使用数据这一环节才会造成真正的经济损失,但是刑法则将不法的评价提前到了获取数据环节,实际上变相地权利化了企业数据。也有学者提出,在讨论爬虫数据刑事责任的认定时,应当对数据确权这一根本性前提予以细致分析,[37]本文也赞同该观点,并也在上文指出,数据权属不清,是美国实务界和理论界解释CFAA“未经授权”的内涵时面临的重大难题。但是,作为前置法的民法尚未对企业数据的财产权属性予以明确,直接用刑法展开对企业数据的财产权利的保护过于激进。而且,在司法实践中,由于获取数据并不会转移占有,也不会减损数据的价值,无法涵盖进传统财产犯罪构成要件中,于是就用非法获取计算机信息系统数据罪予以兜底,将数据的财产权益也解释进本罪的保护法益之中,这种做法已经违反了刑法的谦抑性与法秩序统一性原理。
因此,从法益的侵害视角来看,爬取数据的行为只有在侵犯了数据的保密性时才值得处罚,司法实践用本罪保护数据的财产性利益,过于扩张了刑法的打击面。只有在爬取非公开信息的情况下,才能有适用本罪的余地,当然,这里还存在着一个法益侵害程度的问题,也即非法公开信息的数量需要达到情节严重的范畴,如按司法解释规定,获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上,获取其他身份认证信息五百组以上。
(二)侵入计算机系统爬取数据的界定标准
由于本罪的保护法益为数据的保密性,对于侵入计算机系统获取数据的解释,也应当围绕数据的保密性展开。保密性显然属于客观层面,指数据不对外公开、处在网络的封闭空间内,需要技术措施来搭建。而网站的单方声明、服务协议、爬虫协议、停止函告等规范,是一种主观意愿,规范标准无法使得数据自动变为保密状态,因此违反网站的单方声明、服务协议,爬虫协议,停止函告等爬取数据的行为,并不属于本罪的规制范畴,仅需用民事法律或者行政法规予以规制即可。那么随之而来的问题是,突破什么样的技术屏障能称为侵入计算机系统,并且侵犯了数据的保密性。这就涉及到了如何认定网络空间开放性与封闭性的问题,代码理论从初级的技术措施标准发展到简单的身份认证标准,都没有很好地解决这个问题。
其实,对于网络空间而言,什么情况下是对公众开放的,什么情况下是个人空间,确实很难用一道界限说清楚。因为,网络空间的架构并不是通过钢筋铁板搭建的,而是通过功能设计实现的。[38]因此,需要思考区分对外开放的空间与个人空间的目的是什么。
在物理世界中,区分对外开放空间与私密空间的目的是需要一道界限,以保护私密空间中的人和物免受外界干扰,而这道界限,并不是为了完全隔绝外部空间,让任何人都不能进入,而是有选择性的给特定人创造一个不受其他人干扰的空间,以保护其人身与财产、精神及物质安全,如给房屋主人留下一扇门,供其出入。因此,物理世界的界限其实是通过控制特定的人的进出发挥隔绝作用的。
网络世界同样如此,屏障存在的意义也是为了发挥保护功能,如保护财产账户、单位内网等。对于非法获取计算机信息系统数据罪而言,其核心是为了保护计算机系统数据,因此,这道屏障应当发挥保护数据安全的功能,并且仅限特定的人通过。Kerr教授提出的身份认证标准之所以会失灵,也是因为没有考虑到网络空间屏障的功能,也即这套身份认证系统的目的是否是保护数据安全。总体而言,判断一个网站是否对外公开、身份认证机制能否发挥区分开放空间与封闭空间的作用,首先要判断该身份认证系统的目的是否是为了保护网站的信息数据不被泄露,其次还要看该身份认证机制是仅限于特定人通过,还是所有人经过一定流程都可以通过验证进入网站,只有前者才能真正建立一起一道隔绝外部网络环境的壁垒,突破这层屏障,才可以称得上侵入计算机系统。
从这一逻辑出发,在“车来了案”和“晟品公司案”中,虽然谷米公司和字节公司都有一套身份认证系统,但是所有的用户只要注册登记,就可以看到谷米公司软件中的所有车辆行驶信息,今日头条用户公开的所有视频和评论,可见,这套身份认证机制并非是为了保护网站的信息不被泄露,也并非仅限特定人查看,因此,公交行驶实时情况和今日头条上的视频均为公开信息,爬取对应信息,不能称之为侵入计算机系统,从而不应以非法获取计算机信息系统数据罪定罪处罚。
综上,根据对非法获取计算机信息系统数据罪构成要件以及违法性的阐释,只有爬取非公开信息并且达到情节严重的标准时,才能被评价为不法。对于爬取公开信息,但是违反了网站的声明、爬虫协议、服务条款或者突破反爬措施的情形,因为不具有本罪的法益侵害性,应当认为不具有刑法上的不法,不构成非法获取计算机信息系统数据罪,应用传统的合同法规则或者行政法规予以规制即可。
四、结语
爬虫本质上是一种模拟浏览器高效精准获取数据的程序,相较于浏览器其会面临网站方禁止访问的规范或者反爬虫的技术措施。美国学界和实务界围绕着《计算机欺诈及滥用法案》中“未经授权”的解释,将违反网站方主观意愿、突破反爬措施作为爬取数据行为不法的标准,导致网络爬虫的刑事处罚范围过于宽广。在当前网络时代,爬取具有公共性质的平台上的数据时,将不法的核心限定为“未经授权”并不合适,而是需要考虑爬取数据的公开性以及对相关利益的实质侵害程度,这离不开对实体法的解释。
具体到我国刑法的非法获取计算机信息系统数据罪,本文主张,由于本罪的保护法益为数据的保密性,因此,只有以保护网站的信息数据的保密性为目的、仅限于特定人通过的身份认证机制,才能作为网络空间与封闭空间的界限,违反网站声明、服务协议这类规范以及突破反爬措施,不能评价为侵入计算机系统。只有爬取非公开信息并且达到情节严重的标准时,才能评价为不法。若爬取的是公开信息,即便违反了网站方的禁止爬虫的规范或者突破反爬措施,也不构成本罪,以刑法的前置法规则处理即可。当然,成立非法获取计算机信息系统数据罪并不意味着排斥其他罪名,在爬取的数据构成其他罪的保护对象如公民个人信息、作品、商业秘密时,也可以与对应罪名想象竞合。
注释及参考文献(向上滑动阅览)
注释
[1]参见[英] 维克托·迈尔-舍恩伯格,肯尼思·库克耶:《大数据时代:生活、工作与思维的大变革》,盛杨燕、周涛译,浙江人民出版社2013年版,第132页。
[2]参见南山区人民法院(2017)0305刑初153号刑事判决书。
[3] See Cho, Junghoo, Crawling the Web: Discovery and maintenance of large-scale Web data, Stanford University, 2002, p.188.
[4]See Andrew Sellars, Twenty Years of Web Scraping and the Computer Fraud and Abuse Act, Boston University Journal of Science and Technology Law, Vol.24:372, p.388(2018).
[5]参见广东省深圳市南山区人民法院(2019)粤0305刑初193号刑事判决书。
[6]参见http://www.robotstxt.org/robotstxt.html
[7]杨志琼:《数据时代网络爬虫的刑法规制》,载《比较法研究》2020年第4期,第193页。
[8]普通浏览器获取的是信息,而爬虫获取的则是作为信息载体的数据,严格来说应该是爬取数据行为而非爬取信息行为,但实践中爬取信息的说法较为普遍,本文着重述评的美国学界与实务界因为并没有刻意区分信息与数据,所以有关爬虫不法认定的理论采取的也是获取信息的说法,为保持论述的简便,下文也会出现爬取信息的表述,意味爬取到的数据所承载的信息内容。
[9]See Andrew Sellars, Twenty Years of Web Scraping and the Computer Fraud and Abuse Act, Boston University Journal of Science and Technology Law, Vol.24:372, p.372-415(2018).
[10]See Southwest Airlines Co. v. Farechase, Inc., 318 F. Supp. 2d 435, 439–440 (N.D. Tex. 2004); Ticketmaster Corp. v. Tickets.com, Inc. No. 99-CV-7654 HLH(BQRX)(C.D. Cal. 2000); Register.com, Inc. v. Verio, Inc., 126 F. Supp. 2d 238 (S.D.N.Y. 2000).
[11]See Patricia L. Bellia, A Code-Based Approach to Unauthorized Access under the Computer Fraud and Abuse Act, George Washington Law Review, Vol. 84:1442, p.1473-1474(2016).
[12]See Cvent, Inc. v. Eventbrite, Inc., 739 F. Supp. 2d 927 (E.D. Vir. 2010).
[13]相关案例参见“Craigslist与3Taps案”、“Facebook与Power Ventures案”,See Craigslist Inc. v. 3Taps Inc., 942 F. Supp. 2d 962 (N. D. Cal. 2013), Facebook, Inc. v. Power Ventures, Inc. et al., 844 F.3d 1058 (9th Cir. 2016).
[14]See Annie Lee, Algorithmic Auditing and Competition under the CFAA: The Revocation Paradigm of Interpreting Access and Authorization, Berkeley Technology Law Journal, Vol.33:1307, p.1326(2018).
[15]See Orin S. Kerr, Cybercrime's Scope: Interpreting Access and Authorization in Computer Misuse Statutes, New York University Law Review, Vol.78:1596, p.1644-1646(2003).
[16]See United States v. Nosal Ⅰ, 676 F.3d 854, 862-63 (9th Cir. 2012).
[17]Annie Lee, Algorithmic Auditing and Competition under the CFAA: The Revocation Paradigm of Interpreting Access and Authorization, Berkeley Technology Law Journal, Vol.33:1307, p.1318(2018).
[18]See Orin S. Kerr, Norms of Computer Trespass, Columbia Law Review, Vol.116:1143, p.1179(2016).
[19]See Orin S. Kerr, Norms of Computer Trespass, Columbia Law Review, Vol.116:1143, p.1172(2016).
[20]See HiQ Labs, Inc. v. LinkedIn Corp., 273 F. Supp. 3d 1099 (N. D. Cal. 2017), HiQ Labs, Inc. v. LinkedIn Corp., 938 F. 3d 985 (9th Cir. 2019).
[21] 参见孙禹:《强行爬虫公开数据构成犯罪吗》,载《国家检察官学院学报》2021年第6期,第132页。
[22]参见于冲:《网络刑法的体系构建》,中国法制出版社2016年版,第327页。
[23]参见[美]劳伦斯·莱斯格:《代码2.0:网络空间中的法律》,李旭、沈伟伟译,清华大学出版社2018年版,第126页。
[24]孙杰:《数据爬取的刑法规制》,载《政法论丛》2021年第3期,第116页。
[25] See Laurent Sacharoff, Criminal Trespass and Computer Crime, William & Mary Law Review, Vol.62:571, p.641-644(2020).
[26]参见喻海松:《网络犯罪二十讲》,法律出版社2018年版,第30页。
[27]参见王华伟:《数据刑法保护的比较考察与体系建构》,载《比较法研究》2021年第5期,第146页。
[28]参见郭旨龙:《非法获取计算机信息系统数据罪的规范结构与罪名功能——基于案例与比较法的反思》,《政治与法律》2021年第1期,第65-68页;杨志琼:《我国数据犯罪的司法困境与出路:以数据安全法益为中心》,载《环球法律评论》2019年第6期,第162-163页;游涛:《使用网络爬虫获取数据行为的刑事责任认定》,载《法律适用》2019年第10期,第8页。我国的《网络安全法》虽然没有对数据安全进行解释,但是在网络安全中指出要保障网络数据的保密性、完整性及可用性。
[29]参见[德]乌尔里希.齐白:《全球风险社会与信息社会中的刑法》,周遵友、江溯等译,中国法制出版社2012年版,第308页。
[30]参见《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(法释〔2011〕19号),第100条。
[31]参见南山区人民法院(2017)0305刑初153号刑事判决书。
[32]参见广东省深圳市中级人民法院(2017)粤03民初822号民事判决书。
[33]参见龙卫球:《再论企业数据保护的财产权化路径》,载《东方法学》2018年第3期。
[34]参见梅夏英:《企业数据权益原论:从财产到控制》,载《中外法学》2021年第5期。
[35]参见季卫东:《大数据时代隐私权和个人信息保护研究》,载《政治与法律》2021年第10期,第10页。
[36]参见广东省深圳市中级人民法院(2017)粤03民初822号民事判决书。
[37]参见王华伟:《网络爬虫行为的罪责认定路径——数据确权与利益平衡》,载《环球法律评论》2023年第1期,第64页。
[38]See Lawrence Lessig, The Law of the Horse: What Cyber Law Might Teach, Harvard Law Review, Vol. 113:450, p.505-506(1999).
参考文献
[1] 郭旨龙:《非法获取计算机信息系统数据罪的规范结构与罪名功能——基于案例与比较法的反思》,载《政治与法律》2021年第1期。
[2] 季卫东:《大数据时代隐私权和个人信息保护研究》,载《政治与法律》2021年第10期
[3] 龙卫球:《再论企业数据保护的财产权化路径》,载《东方法学》2018年第3期。
[4] 梅夏英:《企业数据权益原论:从财产到控制》,载《中外法学》2021年第5期。
[5] 孙禹:《强行爬虫公开数据构成犯罪吗》,载《国家检察官学院学报》2021年第6期。
[6] 孙杰:《数据爬取的刑法规制》,载《政法论丛》2021年第3期。
[7] 王华伟:《数据刑法保护的比较考察与体系建构》,载《比较法研究》2021年第5期。
[8] 王华伟:《网络爬虫行为的罪责认定路径——数据确权与利益平衡》,载《环球法律评论》2023年第1期。
[9] 杨志琼:《我国数据犯罪的司法困境与出路:以数据安全法益为中心》,载《环球法律评论》2019年第6期。
[10] 杨志琼:《数据时代网络爬虫的刑法规制》,载《比较法研究》2020年第4期
[11] 游涛、计莉卉:《使用网络爬虫获取数据行为的刑事责任认定》,载《法律适用》2019年第10期。
[12] 喻海松:《网络犯罪二十讲》,法律出版社2018年版。
[13] 于冲:《网络刑法的体系构建》,中国法制出版社2016年版。
[14] [英] 维克托·迈尔-舍恩伯格,肯尼思·库克耶:《大数据时代:生活、工作与思维的大变革》,盛杨燕、周涛译,浙江人民出版社2013年版。
[15] [美]劳伦斯·莱斯格:《代码2.0:网络空间中的法律》,李旭、沈伟伟译,清华大学出版社2018年版。
[16] [德]乌尔里希.齐白:《全球风险社会与信息社会中的刑法》,周遵友、江溯等译,中国法制出版社2012年版。
[17] Andrew Sellars, Twenty Years of Web Scraping and the Computer Fraud and Abuse Act, Boston University Journal of Science and Technology Law, Vol.24:372 (2018).
[18] Annie Lee, Algorithmic Auditing and Competition under the CFAA: The Revocation Paradigm of Interpreting Access and Authorization, Berkeley Technology Law Journal, Vol.33:1307(2018).
[19] Cho, Junghoo, Crawling the Web: Discovery and maintenance of large-scale Web data, Stanford University, 2002, p.188.
[20] Laurent Sacharoff, Criminal Trespass and Computer Crime, William & Mary Law Review, Vol.62:571(2020).
[21] Lawrence Lessig, The Law of the Horse: What Cyber Law Might Teach, Harvard Law Review, Vol. 113:450(1999).
[22] Orin S. Kerr, Cybercrime's Scope: Interpreting Access and Authorization in Computer Misuse Statutes, New York University Law Review, Vol.78:1596(2003).
[23] Orin S. Kerr, Norms of Computer Trespass, Columbia Law Review, Vol.116:1143(2016).
[24] Patricia L. Bellia, A Code-Based Approach to Unauthorized Access under the Computer Fraud and Abuse Act, George Washington Law Review, Vol. 84:1442 (2016).
爬取数据行为刑事不法的认定——以非法获取计算机信息系统数据罪为中心
作者:周金才来源:德和衡律师事务所

摘要:爬虫本质上是一种模拟浏览器并且高效率、大规模的获取数据的行为,相较于浏览器,其会面临网站方禁止访问的声明、服务协议等规范或者反爬虫的技术措施。