網絡爬蟲行為的刑事規制研究?
——以侵犯公民個人信息犯罪為視角

劉艷紅

(東南大學法學院，江蘇南京 211189)

技術與法律的發展可相互促進，也彼此制衡。如何對原本中立的技術在法律上予以規制，這在網絡技術、信息技術高速發展的時代具有重要價值。本文擬以網絡爬蟲技術的違法判斷為例，對此予以探討。網絡爬蟲行為是一種按照一定的規則，自動地抓取萬維網信息的程序或者腳本。網絡爬蟲技術的應用場景廣泛，在搜索引擎、網絡輿情、大數據挖掘等方面的應用快速發展。現階段在國內從事“海量數據采集”的企業很多，它們大多是利用垂直搜索引擎技術來實現的。還有一些企業實現了多種技術的綜合運用。①參見薛麗敏、吳琦、李駿：《面向專用信息獲取的用戶定制主題網絡爬蟲技術研究》，《信息網絡安全》2017 年第2 期。國外有研究基于語義爬蟲框架支持網絡犯罪挖掘使用的案例，通過爬取欺詐、網絡色情、非法貿易、侵犯隱私、教唆、煽動各種犯罪等信息，從而預測犯罪趨勢和模式并找出可疑犯罪熱點。②Hosseinkhani J,Taherdoost H,Keikhaee S.ANTON Framework Based on Semantic Focused Crawler to Support Web Crime Mining Using SVM[J].Annals of Data Science,2019.此外，基于暗網不能通過常規搜索引擎和瀏覽器訪問，國外有學者利用暗網網絡爬蟲程序，使執法當局能夠搜索當前TOR 數據庫和以前版本數據庫，以檢測可疑和惡意網站。③Pannu M,Kay I,Harris D.Using Dark Web Crawler to Uncover Suspicious and Malicious Websites.International Conference on Applied Human Factors &Ergonomics.Springer,Cham,2018.隨著網絡爬蟲行為被廣泛應用，其犯罪邊界慢慢成為互聯網爭議的熱點，尤其是在大數據時代，隨著數據價值的日益凸顯，這類案件也越來越多。然而，網絡爬蟲行為的刑事法律規制相關研究尚不夠深入，同時，在網絡爬蟲案件中，隨著當下時代從“技術就是生產力”到“知識就是生產力”再到“信息就是生產力”的轉化，以及云計算、物聯網和大數據的應用與發展，個人信息成為大數據時代的重要財富，④參見曹詩權主編：《2017 年新型網絡犯罪研究報告》，中國人民公安大學出版社2018 年版，第83 頁。使用網絡爬蟲等高科技手段獲取公民個人信息的行為愈演愈烈。因此，結合公民個人信息保護的具體領域，探討網絡爬蟲行為的刑事法律規制問題，有利于對網絡爬蟲行為刑事規制問題的研究更具有場景化的效應，而且有利于對公民個人信息保護更具有針對性。

一、技術中立的網絡爬蟲行為可能構成犯罪

離開爬蟲行為，當下很多商業和公益性平臺所需的準確數據難以獲得，掌握爬蟲技術已經成為各大網站以及專業人士的必備技能。爬蟲行為的技術中立具有相對性，隨著科技與社會秩序的持續發展，今天被認為不合法的行為，明天可能被認定為合法，“而且也可能出現逆轉的發展：長期以來被視為沒有任何問題的做法和技術，現在可能會被認為是道德上可疑的并可被視為是違法的”。⑤[德]埃里克·希爾根多夫：《德國刑法學 從傳統到現代》，黃笑巖譯，北京大學出版社2015 年版，第376 頁。自1993年12 月首個基于爬蟲的網絡搜索引擎——JumpStation 誕生之后，⑥Kimmel-Smith S.Robot-generated databases on the World Wide Web.Database,1996,19(1):N/A.網絡爬蟲已被使用了二十余年，之前一直被視為沒有問題的中立技術，今天已被人們認為“道德上可疑的并可被視為違法”的技術，并從涉嫌民事違法的技術發展為涉嫌構成刑事犯罪的技術。在此情形下，探討網絡爬蟲行為的刑事違法性，以劃清爬蟲行為民事違法與刑事犯罪的界限，并恰當實現對網絡爬蟲行為的法律規制，無疑是一個亟需解決的理論和實踐問題。

元光公司爬蟲行為構成民事違法的案例充分說明了爬蟲行為是如何從技術中立發展到民事違法的。2015 年11 月至2016 年5 月，元光公司為提高本公司的APP 軟件“車來了”在市場上的用戶量和信息查詢的準確度，指使員工利用網絡爬蟲技術獲取谷米公司“酷米客”APP 的實時公交信息數據，將之用于“車來了”并對外提供給公眾查詢。法院認為，“元光公司利用網絡爬蟲技術大量獲取并無償使用‘酷米客’APP 實時公交信息數據的行為，是一種不勞而獲的行為，破壞他人的市場競爭優勢，具有主觀過錯，違反了誠實信用原則，擾亂了競爭秩序，構成不正當競爭”，并判處元光公司賠償谷米公司經濟損失及維權合理費用50 萬元。⑦參見廣東省深圳市中級人民法院(2017)粵03 民初822 號民事判決書。該判決的意義在于，“當大數據開發形成的智力成果具有獨創性成為著作權法保護的作品時，持有者可以大數據形成的作品成為一項法定權利來對之加以保護”，“當大數據不構成作品時，持有者通常會選擇不正當競爭來制止他人的未經許可使用行為。”⑧祝建軍：《利用爬蟲技術盜用他人數據構成不正當競爭》，《人民法院報》2019 年5 月23 日，第7 版。換言之，它確認了未經允許的爬蟲行為的民事違法性，從而開啟了對大數據權益的法律保護之旅。在此案之后，全國陸續出現了很多不當使用爬蟲軟件而被判處不正當競爭的案件。諸如，北京淘友天下技術公司采用爬蟲行為大量抓取、使用新浪微博用戶職業信息、教育信息不正當競爭案，⑨參見北京市海淀區人民法院(2015)海民(知)初字第12602 號民事判決書。國家圖書館出版社與北京百度網訊科技有限公司侵害作品信息網絡傳播權糾紛案，10參見北京市海淀區人民法院(2017)京0108 民初18684 號民事判決書。浙江泛亞電子商務有限公司訴北京雅虎網咨詢服務有限公司等侵犯著作權糾紛案，11參見北京市海淀區人民法院(2017)京0108 民初18684 號民事判決書。等等。這些案件對于規范爬蟲行為起到了很好的作用。

全國首例爬蟲行為入罪案(上海晟品公司爬蟲行為入罪案)則清晰展示了爬蟲行為從民事違法轉化到刑事入罪的變化。上海晟品網絡科技有限公司的主管人員，成功破解北京字節跳動公司的防范措施，采用爬蟲技術抓取北京字節跳動公司服務器中存儲的視頻數據，造成北京字節跳動公司損失技術服務費人民幣2 萬元。法院以非法獲取計算機信息系統數據罪對被告人予以定罪判刑。12參見北京市海淀區人民法院(2017)京0108 刑初2384 號刑事判決書。法院判決指出，爬蟲軟件在數據抓取的過程中，“使用了偽造device_id 繞過服務器的身份校驗，偽造UA及IP 繞過服務器的訪問頻率限制等規避或突破計算機系統保護措施的手段獲取數據，構成非法獲取計算機信息系統罪”。13參見北京市海淀區人民法院(2017)京0108 刑初2384 號刑事判決書。筆者認為，該案中的被告公司及主管人員未經許可，強行突破反爬技術，侵入“國家事務、國防建設、極端科學技術領域”之外的計算機信息系統，并采用爬蟲技術獲取該系統內的數據，其行為根據我國《刑法》第285 條第2 款的規定，構成非法獲取計算機信息系統數據罪。值得注意的是，該案判決特別指出：“在信息時代，‘爬蟲’技術是一種常見的數據抓取技術，最常用的領域是搜索引擎，該技術的有效使用有利于數據的共享和分析、造就了互聯網生態的繁榮，但并不意味該技術的使用沒有邊界。法官在此提醒互聯網行業的從業人員，必須在法律的框架之內合理使用該技術，違反法律規定利用該技術非法獲取數據可能構成犯罪。”14游濤、計莉卉：《北京海淀法院審結全國首例“爬蟲”技術侵入計算機系統犯罪案》，《人民法院報》2019 年1 月1 日，第3 版。該案是確認爬蟲行為刑事違法性的第一案，具有標志性意義。從爬蟲行為構成反不正當競爭案到爬蟲行為入罪案，體現了爬蟲行為的法律規制從民法到刑法的遞進。在前述元光公司使用爬蟲行為損害谷米公司合法權益案中，法院判決將這種使用爬蟲的行為認定為反不正當競爭的行為；根據我國《反不正當競爭法》第2 條的規定，反不正當競爭的行為是不“遵守法律和商業道德”的行為。可以說，從內在實質違法性的角度，這一判決為首例爬蟲行為入罪案奠定了基礎。因為，刑法中違法性的評價是“以了解作為價值標準和作為規章的適合人類行為的生活準則的道德準則為前提的”，15[德]馮·李斯特：《論犯罪、刑罰與刑事政策》，徐久生譯，北京大學出版社2016 年版，第13 頁。正是有了元光公司爬蟲行為系違反民事行為生活準則和道德即構成不正當競爭的判決，才有了不久之后全國首例使用爬蟲技術構成刑事犯罪的案件。從爬蟲行為反不正當競爭案到全國首例爬蟲行為入罪案，展現了爬蟲行為從民事違法到刑事違法的司法認定過程，它充分體現了我國司法實踐對爬蟲行為的態度。這一過程充滿司法理性，因為隨著爬蟲行為對各大網站數據的暴力爬取、強行爬取等行為的增多，已給網絡信息安全以及營運環境造成了極大的破壞。司法的判決就是一個判斷的過程，無論是民事判決還是刑事判決，都是對不當使用爬蟲行為在法律上的否定，“通過有罪與無罪的判斷、對義務與權利分配的判斷，使人民在精神上相信自己生活在正義的環境里，從而獲得對社會的信賴”，16孫笑俠：《司法的特性》，法律出版社2016 年版，第5 頁。沒有對網絡健康有序環境的基本信賴，用戶的網絡失范行為將日益增多。因此這兩個判決奠定了司法對不當使用爬蟲軟件的態度和立場，并為后續類似案件提供了可借鑒的樣本。與此同時，它們也表明，雖然爬蟲行為在精準搜索、大數據分析與預測等領域作出了重要貢獻，但是，如果“對數據抓取行為不加以限制約束，收集、處理、經營數據的相關平臺以及提供優質內容的用戶的權益便都無法得到保障，從長遠來看必將對互聯網內容產業產生負面影響”。17楊東、吳之洲：《數據抓取行為的法律性質——“馬蜂窩事件”案例分析》，《中國社會科學報》2018 年12 月5 日，第5 版。總之，爬蟲行為既可能涉及民事、行政違法，也可能構成犯罪；基于維護法秩序與互聯網產業健康發展的需要，對爬蟲行為的合理刑事規制極為必要。

二、網絡爬蟲行為侵犯公民個人信息“非法”性的形式判斷

對網絡爬蟲行為定性的關鍵是對運用爬蟲技術的行為的性質如何認定，即爬蟲行為是違法行為還是合法行為。因此，探討對爬蟲行為是否應當以及如何進行刑事規制，其核心是解決如何判斷爬蟲行為是否違法。然而，網絡爬蟲行為違法判斷不能泛化，結合當下web3.0 時代網絡犯罪其實就是信息犯罪的特質，以侵犯公民個人信息罪為視角，場景化地討論爬蟲行為的違法性問題無疑更具有針對性。Web 之父Tim Berners—Lee 對web3.0 進行了定義：“web3.0 是這樣一種互聯網：由數據定義內容，它能閱讀和理解內容。”18殷慧霞：《web3.0 及其教育應用探究》，《信息技術與信息化》2018 年第6 期。數據只是信息的代名詞而已，因此，3.0 時代的犯罪其實就是數據犯罪或信息犯罪。信息泛濫的時代使得如何防止爬蟲行為對公民個人信息的侵犯成為一個急迫的問題。

我國《刑法》第253 條之一第1 款規定：“違反國家有關規定，向他人出售或者提供公民個人信息，情節嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。”該條之一第2 款規定：“違反國家有關規定，將在履行職責或者提供服務過程中獲得的公民個人信息，出售或者提供給他人的，依照前款的規定從重處罰。”該條之一第3款規定：“竊取或者以其他方法非法獲取公民個人信息的，依照第一款的規定處罰。”毫無疑問，網絡爬蟲行為是否構成侵犯公民個人信息罪，主要取決于爬蟲行為是否為第253 條之一第3 款規定的“以其他方法非法獲取公民個人信息”行為。“以其他方法非法獲取公民個人信息”是該罪的違法構成要件。根據罪刑法定原則——“法無明文規定不為罪不為刑”基本的形式法治之要求，對這一要件的判斷，重點不在于“其他方法”，因為這一要素的規定本身為兜底性表述，而且，爬蟲行為可否認定為“其他方法”，其實依賴于是否“非法”獲取公民個人信息。因此，“以其他方法非法獲取公民個人信息”的判斷，重點應針對其中的“非法”要素進行。其具體可分兩個層面進行：第一個層面是合法性原則，我國《刑法》第253 條之一的“違反國家規定”也屬于其中的內容；第二層面是行業規則，即爬蟲協議。

首先，違反合法性原則的網絡爬蟲行為獲取公民個人信息的，可以認定為“以其他方法非法獲取公民個人信息”之“非法”。

所謂合法性原則，是指爬蟲行為應該符合國家法律、行政法規、部門規章等有關收集、處理、利用數據信息的規定，否則就可能被認定為非法爬取而入罪。我國《刑法》第253 條之一規定，構成侵犯公民個人信息罪的行為，必須首先是“違反國家規定”的行為，這里的“國家規定”，根據2017 年6 月1日施行的《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(以下簡稱：《信息犯罪司法解釋》)第2 條的規定，是指“違反法律、行政法規、部門規章有關公民個人信息保護的規定”。作為該罪前置法的國家規定，主要包括2016 年11 月7 日全國人大常委會通過的《網絡安全法》、2017 年12 月29 日全國信息安全標準化技術委員會制定的《信息安全技術個人信息安全規范》、2013 年7 月16 日工業和信息化部制定的《電信和互聯網用戶個人信息保護規定》、2012 年12 月28 日全國人大常委會通過的《關于加強網絡信息保護的決定》等。這些法律法規基本都確立了個人信息數據的取得使用等要遵循合法性原則。比如，《電信和互聯網用戶個人信息保護規定》第5 條規定：“電信業務經營者、互聯網信息服務提供者在提供服務的過程中收集、使用用戶個人信息，應當遵循合法、正當、必要的原則。”《關于加強網絡信息保護的決定》第1 條規定：“任何組織和個人不得竊取或者以其他非法方式獲取公民個人電子信息，不得出售或者非法向他人提供公民個人電子信息。”這些規定表明，技術中立的網絡爬蟲行為只要不當使用，也有認定其違法性的法律根據。

不過，這些法律法規雖然都涉及公民個人信息保護，但畢竟不是專門且全方位針對公民個人信息保護的立法，因此，它們屬于侵犯公民個人信息罪的前置法，但不是其中最重要的前置法。最重要的前置法，當屬個人信息保護法。2017 年3 月，在第十二屆全國人民代表大會第五次會議上，45 位全國人大代表提交了《關于制定<中華人民共和國個人信息保護法>的議案》，并將《中華人民共和國個人信息保護法(草案)》(以下簡稱：《個人信息保護法(草案)》)提交討論。《個人信息保護法(草案)》明確規定了個人信息收集處理和利用的合法性原則，其中第4 條規定：“個人信息的收集、處理和利用應當遵循合法、正當、必要的原則，不得違反法律、法規的規定和雙方的約定收集、處理和利用個人信息。”其第5 條規定了“知情同意原則”，即“不符合本法或其他法律、法規規定，或未經信息主體知情同意，不得收集個人信息。收集不需識別信息主體的個人信息，應當消除該信息的識別力，并不得恢復。”可見，該第4 條和第5 條之間是抽象和具體的關系，前者規范個人信息收集處理和利用的全過程，后者則重在規范個人信息的收集行為。“如果爬蟲控制者在未經用戶同意的情況下大量抓取用戶的個人信息，則有可能構成非法收集個人信息的違法行為”，19劉鵬：《利用網絡爬蟲技術獲取他人數據行為的法律性質分析》，《信息安全研究》2019 年第6 期。同時，這種行為自然也是不合法的。因此，如果行為人知情并同意他人收集自己的信息，則該種收集行為自然是合法的。換言之，知情同意原則作為一項獨立的個人信息保護原則，其同時具有具體化說明何為合法性原則的作用。因此，爬蟲行為如果違反合法性規則，就將不再是技術中立，而可能構成違法犯罪。與此同時，專門規制爬蟲行為的法律則為我國《網絡安全法》。該法第27 條規定，任何個人和組織不得從事非法侵入他人網絡、干擾他人網絡正常功能、竊取網絡數據等危害網絡安全的活動；不得提供專門用于從事侵入網絡、干擾網絡正常功能及防護措施、竊取網絡數據等危害網絡安全活動的程序、工具。可見，爬蟲行為的違法性根據，可以從我國《網絡安全法》第27 條中找到，該條所規定的不得“非法”侵入或干擾或竊取等危害網絡安全的規定，實際就是要求爬蟲行為必須遵循合法性原則。總之，以上《網絡安全法》《個人信息保護法(草案)》以及其他法律法規等相關內容，均確立了個人信息等數據的取得使用行為必須遵循合法性原則。這些內容概括起來，可以總稱為爬蟲行為必須遵循的合法性原則。違反這一原則爬取公民個人信息的爬蟲行為，無疑是非法的，將會構成犯罪。

司法實務也采取了這樣的立場。例如，2018 年2 月至4 月間，被告人馬某為牟利，使用自己編寫的爬蟲程序竊取APP 及網站的用戶信息，后使用微信(微信號sky53789，昵稱mm)聊天的方式出售給蘇某某(微信號mrsu8124，昵稱蘇某)(另案處理)包括姓名、聯系方式等內容的公民個人信息約20萬條，非法獲利共計2.4 萬元。法院判決認為：“被告人馬某違反國家相關規定，竊取公民個人信息后向他人出售，情節特別嚴重，其行為已構成侵犯公民個人信息罪。”20參見上海市金山區人民法院(2018)滬0116 刑初924 號刑事判決書。被告人魏江蒙通過網絡爬蟲程序下載含有公民姓名和電話號碼的工商個體戶和單位資料進行販賣，非法獲利55822 元。法院判決認為：“被告人魏江蒙違反國家規定獲取公民個人信息后向他人出售，情節特別嚴重，其行為已構成侵犯公民個人信息罪。”21參見河南省濟源市人民法院(2018)豫9001 刑初503 號刑事判決書。分析這兩個案件，被告人均是采用自己編寫的爬蟲軟件，未獲他人許可，竊取他人APP 或網站中的個人信息并出售，其行為符合侵犯公民個人信息罪的構成要件，從而成立該罪。

然而，由于這兩個案件的案情過于簡單，難以判斷爬蟲行為的實際過程和性質。以其判斷爬蟲行為是否為“其他方法”有些許意義，但若用來判斷爬蟲行為是否“非法”，似有不足。被告人余鋼濤違反與單位約定爬取員工信息數據一案，則充分說明了何為違反合法性原則構成犯罪的爬蟲行為。案例8.余鋼濤使用爬蟲技術侵犯公民個人信息案。2014 年4 月至6 月，被告人余鋼濤在淘寶(中國)軟件有限公司北京朝陽分公司工作，《某某集團數據安全規范(總綱)》規定，員工個人數據屬于敏感數據，敏感數據的提取等使用行為必須經過授權；根據該公司與余鋼濤訂立的《勞動合同》約定，員工離職，需歸還該公司的所有財產。在該公司工作期間，被告人余鋼濤違反上述規定，為達個人目的，私自使用爬蟲技術竊取某某集團員工的個人信息共計2 萬余條；2014 年6 月，被告人余鋼濤離職時，將上述信息存儲于電腦硬盤秘密帶走。對于該案，法院一審判決認為：“被告人余鋼濤犯非法獲取公民個人信息罪，判處拘役六個月，緩刑六個月，并處罰金人民幣二千元(緩刑考驗期限從判決確定之日起計算。罰金限判決生效后十日內繳納)。”22浙江省杭州市人民法院(2018)浙01 刑終441 號刑事裁定書。余鋼濤上訴稱，其對原判認定的基本事實無異議，但原判不能將違反公司內部規章制度等同于我國《刑法》第253 條之一規定的違反國家規定，也不能將公司與員工之間的勞動爭議糾紛認定成刑事案件；其收集的信息是在某某集團公共領域、正當公開的信息，其收集員工信息的行為是公開的合法行為并非竊取。

該案中，雖然余鋼濤竊取的也是單位員工個人信息，但這些信息在該集團內部屬敏感數據，并且根據該集團內部的規定，敏感數據的提取等使用行為必須經過授權。行為人未經授權私自提取，違反了《阿某集團數據安全規范(總綱)》的規定，同時，既然余鋼濤和其他員工一樣進入某某集團工作時即已知道，該集團的單位員工個人信息屬敏感數據、不得隨意提取等規定，那就意味著，余鋼濤私自提取員工個人信息共計2 萬余條的行為，違反了集團員工與集團之間的“約定”，具體而言是違反了前述《個人信息保護法(草案)》第4 條的合法性原則，即“個人信息的收集、處理和利用應當遵循合法、正當、必要的原則，不得違反法律、法規的規定和雙方的約定收集、處理和利用個人信息”。

另外，根據我國《網絡安全法》第20 條的規定：“國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改：(一)制定內部安全管理制度和操作規程，確定網絡安全負責人，落實網絡安全保護責任；……”據此，某某集團是負有義務維護本集團內部員工信息安全的，其制定的集團數據安全規范，是按照國家相關法律所制定的內部安全管理制度和操作規程。因此，余鋼濤違反該規定竊取他人信息的行為，其實是違反我國《網絡安全法》的行為，而不僅僅是違反集團內部規定而已。更何況，我國《網絡安全法》第44 條還規定：“任何個人和組織不得竊取或者以其他非法方式獲取個人信息，不得非法出售或者非法向他人提供個人信息。”可見，余鋼濤的行為根據我國《網絡安全法》的規定，也是違反信息收集提取應遵循的合法性原則的。

其次，違反行業規則即爬蟲協議獲取公民個人信息的行為，可以認定為“以其他方法非法獲取公民個人信息”之“非法”。

使用爬蟲行為應遵守行業規則。規范網絡爬蟲行為的行業規則是爬蟲協議，它又名Robots 協議，“是網站所有者通過位于置于網站根目錄下的文本文件Robots.txt，提示網絡機器人哪些網頁不應被抓取，哪些網頁可以抓取”，凡是沒有被該協議排除的數據則屬于網絡上公開的可以爬取的數據，因此，“在遵循Robots 協議的前提下，公開爬取數據的行為既不會侵犯信息提供者的權利，也不會構成不正當競爭。反之，如果違反Robots 協議，強行爬取他人的數據，則可能被認定為違反誠實信用和商業道德，構成不正當競爭”。23同前注19，劉鵬文。例如，在百度公司訴北京奇虎公司違反爬蟲協議構成不正當競爭一案的訴訟中，百度公司訴稱，百度網站依據robots 協議設置robots.txt 文件，奇虎公司違反該規則，其推出的360 搜索服務違規抓取百度公司多個欄目的內容，生成網頁快照復制件存儲于其自身服務器中，當用戶點擊相應搜索結果的鏈接時，直接向網民提供該“網頁快照”以替代百度公司向網民提供相應服務。奇虎公司則表示，robots.txt 僅指導和提示搜索引擎蜘蛛程序提示性TXT 文件，它既不是法規或標準也不是合約，不存在違反與不違反的問題，奇虎公司的搜索行為合法。24駱倩雯：《百度訴360 案索賠億元 判賠70 萬元》，《北京日報》2014 年8 月8 日，第6 版。該案中，奇虎公司之所以提出此番辯詞，原因在于，Robots 協議屬于典型的“君子協議”，它的目的是告知網絡爬蟲的編寫者，哪些數據是可以被收集的，哪些數據是不能被收集的，但是如果網絡爬蟲程序的編寫者不遵守Robots 協議，想要強行爬取網站的數據時，Robots 協議從技術上是無法阻止的。25同前注19，劉鵬文。正因如此，很多爬蟲案件中被告人都是以Robots 協議的法律地位和法律性質來抗辯的。然而，“Robots 協議由于簡單高效，成為國內外互聯網行業內普遍通行、普遍遵守的技術規范”。26李慧敏、孫佳亮：《論爬蟲抓取數據行為的法律邊界》，《電子知識產權》2018 年第12 期。該協議為世界各國互聯網參與者所遵守，它對于維護正常的網絡開放性秩序和信息提供者的權益，具有重要的倫理秩序與準行業規范作用。“在法律滯后或者缺失的情況下，如果不遵守這種商業倫理和行業習慣，必將破壞整個行業的平衡。”27楊華權、曲三強：《論爬蟲協議的法律性質》，《法律適用》2013 年第4 期。因此，對百度訴360 案，法院判決表示，“Robots 協議”被認定為搜索引擎行業內公認的、應當被遵守的商業道德，360 在推出搜索引擎的伊始沒有遵守百度網站的Robots 協議，其行為明顯不當，應當承擔相應的不利后果”，并最終判決奇虎公司賠償百度公司70 萬元。該案判決對Robots 協議出現糾紛如何處理進行了司法意義上的規范，因此，當使用爬蟲技術違背Robots 協議非法獲取公民個人信息時，即可認定為“以其他方法非法獲取公民個人信息”的行為。

由于Robots 協議無法阻止爬蟲行為，因此，判斷爬蟲行為是否違反Robots 協議還有一個簡單易行的辦法，即行為人是否采取了突破反爬程序的行為，強行爬取或者暴力爬取相關數據。

遵守Robots 協議的爬蟲行為，“它的存在能夠增加網站的曝光度，給網站帶來流量”，28同前注19，劉鵬文。它們被稱為善意爬蟲。與之相對的是惡意爬蟲。惡意爬蟲無視Robots 協議，“對網站中某些深層次的、不愿意公開的數據肆意爬取，其中不乏個人隱私或者商業秘密等重要信息。并且惡意爬蟲的使用方希望從網站多次、大量的獲取信息，所以其通常會向目標網站投放大量的爬蟲。如果大量的爬蟲在同一時間對網站進行訪問，很容易導致網站服務器過載或崩潰，造成網站經營者的損失”。29同前注19，劉鵬文。善意爬蟲和惡意爬蟲在爬取行為表現上差異很大。善意爬蟲遵守爬取規則，惡意爬蟲往往采取措施突破規則，也就是突破反爬措施。常見的反爬措施有IP 限制、驗證碼、登陸限制、數據偽裝、參數簽名、隱藏驗證和阻止調試等，30參見賀思聰編著：《爬蟲實戰從數據到產品》，電子工業出版社2019 年版，第5～10 頁。而非法爬蟲行為為了順利達到爬取海量數據的目的，往往會針對這些反爬措施進行破解，然后進行強行或者暴力爬取。這種行為即可證明爬取行為是違反了被爬網站的意愿，即違反了Robots 協議。這樣的標準，也在實務中逐漸得到認可，比如在中國裁判文書網數據被違法爬取事例中，有觀點即認為：“雖然我們不知道文書網是否通過‘爬蟲協議’宣示禁止爬蟲，但該網采用了驗證碼方式限制爬蟲，可以推斷被爬取并非網站所愿。”31舒銳：《莫讓裁判文書公開被違法爬蟲攪局》，《法制日報·法治周末》2019 年8 月6 日，第6 版。可見，將是否采取了突破反爬程序而強行或暴力爬取公民個人信息等相關數據，作為認定是否違反Robots 協議，進而是否屬于“以其他方法非法獲取公民個人信息”之“非法”，是非常重要的判斷標準。

例如，2014 年5 月初，被告人翁某某利用淘寶網站存在的漏洞，在店鋪源碼中植入url，執行該url指向的javascript，以獲取訪問被植入url 的淘寶店鋪的所有淘寶用戶的cookie(淘寶用戶登錄時產生的一組認證信息，利用cookie 可以執行對應賬號權限內的所有操作，無需帳號、密碼)，并利用其中的賣家cookie 將url 再次植入賣家淘寶店鋪源碼，實現自動循環，獲取更多的淘寶用戶cookie。32參見浙江省杭州市中級人民法院(2014)杭余刑初字第1231 號刑事裁定書。網絡爬蟲的工作原理是，“初始的URL 地址可以由用戶人為地指定，也可以由用戶指定的某個或某幾個初始爬取網頁決定。以初始URL 開始，即種子URL，當爬蟲訪問整個網頁時，它會自動識別網頁中所有URL，并將其添加到待爬取URL，按照一定的搜索策略訪問待爬取URL，采集對應URL 的網頁后將網頁存儲到數據庫中，根據新的URL 爬取網頁，同時從新網頁中獲取URL”。33潘曉英、陳柳等：《主題爬蟲技術研究綜述》，《計算機應用研究》2019 年第5 期。整個爬蟲過程就是不斷重復上述的爬取過程。該案中，被告人翁某某植入url 正是其爬蟲行為的常用技術手段，同時，翁某某通過植入url 獲取所有淘寶用戶的cookie，并利用cookie 可以執行對應賬號權限內的所有操作，從而無須用戶的賬號密碼就可以登錄獲取用戶信息了。這種行為，就是對網站通過賬號密碼等登錄限制這一反爬措施的突破，因此，翁某的行為違反了爬蟲協議，具備違法性。有的時候，對爬蟲協議的違反并不僅僅是采取了常見的反反爬蟲措施，而可能是采取了類似于反爬蟲措施的技術，使得其爬蟲行為也具有了反反爬蟲措施的性質，這同樣可以判斷爬蟲行為違反了爬蟲協議，具有違法性。

又如，被告人段某某于2013 年在互聯網上設立名為“窩窩電影網”的視頻網站，利用視頻“搜索爬蟲”技術，針對樂視、土豆等各大知名視頻網站的影視作品設置加框鏈接，為提高網站的知名度和被鏈接影視作品的點擊量，在網頁內設置目錄、索引、內容簡介、排行榜等方式推薦影視作品，吸引用戶點擊播放，并為提高用戶粘度，利用技術措施屏蔽權利人設置在部分影視作品上的片頭廣告。34參見上海市徐匯區人民法院(2017)滬0104 刑初325 號刑事判決書。該案判決中，雖然并未指出段某某使用的“搜索爬蟲”是否違背了爬蟲協議，但是，從其采取的爬蟲技術針對樂視、土豆等網站的影視作品設置加框鏈接的做法即可得知，段某某的這種行為實際就是針對樂視等網站的類似反反爬蟲措施的行為。因為，加框鏈接是深度鏈接的一種，它不鏈接到網頁，而是直接鏈接目標文章、圖片、網頁，是一種超鏈接方式；設鏈者往往“將他人網站中自己需要的內容呈現在自己的網頁中，而不需要的部分如他人網站名稱、廣告等則可以被自己網頁的內容遮擋住，容易造成用戶誤以為作品內容系設鏈網站提供的”，35(2013)上海市普陀區人民法院普刑(知)初字第11 號刑事判決書。或者點擊加框鏈接后，可在不脫離涉鏈網站的情況下，從被鏈的網站下載或在線打開文件的超鏈接方式，這種鏈接方式相當于替代了原網站的鏈接。采用這種加框鏈接技術的爬蟲行為，其本身就帶有鮮明的反反爬蟲措施的特點。雖然加框鏈接行為是否構成侵犯著作權罪在刑法理論和司法實務中有不同觀點，但是，加框鏈接行為本身即有惡意，它是在未經授權的情況下對他人網站信息的一種侵權行為，這是顯而易見的。惡意爬蟲行為的主觀故意以意志自由為前提，當被告人段某某采用搜索爬蟲技術并對他人網站采用加框鏈接等方式以獲得有關信息或者其相關權利時，表明行為人已經充分認識到其爬蟲行為是在突破其他網站權利人的權利基礎之上進行的，但仍然基于自由意志選擇繼續爬取，這與主動采取的反反爬蟲措施無異。因此，段某某使用“搜索爬蟲”技術的行為無疑違反了爬蟲協議。換言之，如果是合法爬蟲，沒有違反爬蟲協議，則肯定不會使用與反反爬蟲措施具有同樣違法效果的加框鏈接技術。

再如，在前述全國首例爬蟲行為入罪案中，被告人上海晟品公司及其有關人員，就是在用爬蟲軟件抓取數據的過程中，采用技術手段破解被害單位的反爬措施，使用“tt_spider”文件實施視頻數據抓取行為，在數據抓取的過程中使用偽造device_id 繞過服務器的身份校驗，使用偽造UA 及IP 繞過服務器的訪問頻率限制，其行為造成被害單位損失技術服務費2 萬元，從而構成非法獲取計算機信息系統數據罪。36北京市海淀區人民法院(2017)京0108 刑初2384 號刑事判決書。當破解了反爬措施，強行爬取相關數據時，爬蟲行為則為顯性的惡意爬取，并且，任何破解反爬措施的行為在技術上總是會留下痕跡證據，極易被識別，因此筆者認為它是判斷爬蟲行為是否違反Robots 協議的簡單易行的辦法。總之，“違反被爬取方的意愿，例如規避網站設置的反爬蟲措施、強行突破其反爬措施”，37同前注19，劉鵬文。或者刻意爬取受到法律保護的特定類型的信息，或者在極短時間內不停歇地發起爬取等，都有可能是“非法”的爬取行為。

在爬蟲行為非法獲取公民個人信息的違法構成要件的形式判斷層面，還涉及此罪與彼罪、一罪與數罪的區分。刑法中可規制網絡爬蟲行為的罪名有侵犯公民個人信息罪，非法侵入計算機信息系統罪，非法獲取計算機信息系統數據、非法控制計算機信息系統罪，提供侵入、非法控制計算機信息系統程序、工具罪等幾個罪名，如何準確區分這些罪名以精準定罪，也涉及侵犯公民個人信息罪形式入罪的問題。

例如，2016 年3 月，被告人朱某與QQ“黑產交易群”內自稱“二哥”(身份不明)的人取得聯系，“二哥”稱需要一些自考網的數據信息。被告人朱某便同高某等四人共同商議盜取自考網內個人數據信息，其他人表示同意。之后，該四人反復使用黑客軟件掃描網站漏洞并竊取到新疆自學考試網的賬號和密碼，并登陸該網站盜取公民信息30621 組。38參見陜西省漢中市中級人民法院(2017)陜0702 刑初100 號刑事裁定書。對該案被告人是定非法獲取計算機信息系統數據罪，還是侵犯公民個人信息罪呢?我國《刑法》第285 條第2 款規定，將入侵國家事務、國防建設、極端科學技術領域以外的其他計算機信息系統或采取其他技術手段，獲取該計算機信息系統中存儲、處理或者傳輸的數據的，構成非法獲取計算機信息系統數據罪。采用爬蟲行為侵入他人計算機信息系統并竊取其中的數據的，比如該案中朱某、高某等人的行為，是否一律可以構成非法獲取計算機信息系統數據罪，要看行為人所獲得的信息的性質。《刑法》第253 條之一的侵犯公民個人信息罪和第285 條第2 款的非法獲取計算機信息系統數據罪是法條競合的關系，公民個人信息也是數據的一種，只不過我國《刑法》第253 條之一對個人信息數據予以特別保護。因此，侵犯公民個人信息罪是特別法，非法獲取計算機信息系統數據罪是普通法，根據特別法優于普通法的法條競合處理原則，非法獲取的信息是公民個人信息的，應構成我國《刑法》第253 條之一的侵犯公民個人信息罪；如果非法獲取的信息是公民個人信息之外的其他信息的，則構成我國《刑法》第285 條第2 款的非法獲取計算機信息系統數據罪。該案中，朱、高兩人獲得的數據，主要是姓名、身份證號、生日、班級、手機號、成績、家庭住址、班位次、級位次等非法獲取的公民個人信息，共計414768 組，因此朱、高兩人采用爬蟲手段非法獲取自考網站內公民個人信息的行為，構成侵犯公民個人信息罪，而不是非法獲取計算機信息系統數據罪。

綜上所述，網絡爬蟲行為作為物聯網時代普遍運用的網絡信息搜集技術，本身是技術中立的而不涉及違規違法和犯罪的問題，但是，如果爬蟲行為不合規、不正當，則可能涉嫌非法。判斷非法與合法，重點是從形式層面進行的。對爬蟲行為而言，既要遵循《網絡安全法》《個人信息保護法(草案)》等有關信息保護的國家規定所確立的合法性原則，也要結合爬蟲技術的Robots 協議，將遵循該協議的爬蟲行為定性為善意爬取，將違反此協議的諸如破解反爬措施的行為定性為惡意爬取，從而綜合判斷爬蟲行為是否“以其他方法非法獲取公民個人信息”。合法性原則與爬蟲協議這一行業規則，即為判斷爬蟲行為是否非法的形式標準。

三、網絡爬蟲行為侵犯公民個人信息“非法”性的實質判斷

對網絡爬蟲行為是否為“以其他方法非法獲取公民個人信息”，尤其是其中“非法性”的判斷，不能僅從形式構成要件入手，還須從實質層面來進一步解釋和判斷。“在刑事立法中，不可能根據形式的違法性標準，判斷刑法應當禁止哪些行為；只能以實質的違法性即犯罪的本質為標準，判斷哪些行為值得科處刑罰。”39張明楷：《刑法理論與刑事立法》，《法學論壇》2017 年第6 期。為此，以下將基于實質刑法基本立場，結合侵犯公民個人信息罪“以其他方法非法獲取公民個人信息”這一違法構成要件，對爬蟲行為如何進行刑事規制和判斷進一步實質化、場景化的分析。有的爬蟲行為雖然表面上符合侵犯公民個人信息罪的構成要件，但是，對于形式上符合侵犯公民個人信息罪構成要件的爬蟲行為，還要看其實質上是否達到了應受處罰的法益侵害性。

如前所述，司法實踐中對不當爬蟲行為法律規制的“先民后刑”做法值得贊許，尤其是，在當下打擊侵犯公民個人信息犯罪呈擴大化趨勢的背景下更具價值。在立法方面，2015 年11 月1 日施行的《中華人民共和國刑法修正案(九)》將“出售、非法提供公民個人信息罪”和“非法獲取公民個人信息罪”整合為目前我國《刑法》第253 條之一的侵犯公民個人信息罪，同時擴大了犯罪主體和侵犯個人信息行為的范圍。很顯然，立法對侵犯公民個人信息犯罪的打擊體現的是擴大化、入罪化趨勢。這一立法導向，也在一定程度上影響了司法實踐。如前所述，我國專門的個人信息保護法尚未出臺，草案也還在討論之中。如果要充分發揮前置法的作用，發揮法定犯前置法對犯罪的過濾作用，就應該先制定個人信息保護法，再規定刑法侵犯個人信息罪的罪名。“在司法流水線上，違法行為率先與前置法照面，經過前置法的評價，行為可能會被評為合法或違法，如果前置法將行為評估為合法，則其沒有必要再進入下一評判環節。如果行為違法，但其違法性程度尚可被前置法截獲，則行為會被標記成違法，并將接受前置法的制裁。”40楊興培、田然：《刑法介入刑民交叉案件的條件》，《人民檢察》2015 年第15 期。在我國個人信息保護法還沒有出臺的背景下，充分發揮刑法實質解釋的價值評判功能，以實現形式入罪、實質出罪這一實質刑法的基本主張，以彌補侵犯公民個人信息罪前置法違法性上攔截之不足，無疑具有重要意義。

形式上的違法構成要件體現為對刑法規范的違反，實質的違法構成要件體現為對“通過刑法的目的或是任務的理解而推導出來的”，“基于實質根據來展開”的行為“非法”性的分析和判斷，41[日]山口厚：《刑法總論》(第3 版)，付立慶譯，中國人民大學出版社2018 年版，第103 頁。僅僅根據前述合法性原則以及Robots 協議，只能起到形式判斷的作用；于此之外，還要對其進行實質的判斷，看行為人“以其他方法非法獲取公民個人信息”的行為對法益的侵害或威脅是否達到實質可罰的程度。

實質判斷路徑之一是，行為人在權限許可范圍內使用爬蟲行為獲取公民個人信息的，不屬于“非法”，不應認定為犯罪。例如，犯罪嫌疑人某甲原系某互聯網公司網絡工程師，該公司內部使用一款企業即時聊天APP 作為辦公軟件，員工通過其個人賬號、密碼使用手機登錄后，如有工作需要，可點擊查看公司員工備注的個人信息。某甲采用專門的爬蟲程序，向該接口循環發送訪問請求，爬取到員工的姓名、員工號、手機號碼、職位職級以及公司組織架構等個人信息。42《利用網絡爬蟲獲取數據，就一定構成犯罪嗎?》http://www.ccw.com.cn/industry/2019-03-11/6679.html，2019 年8 月4 日訪問。在該案中，某甲通過爬蟲軟件獲取的公民個人信息數量無論多少條，都不能入罪。爬蟲獲取數據入罪只能是在沒有得到用戶知情同意的情況下才有可能。某甲作為單位的工程師，與該單位其他任何員工一樣，只要登錄即可看到本單位所有員工姓名、手機號等個人信息，此乃公司賦予員工的數據權利，利用爬蟲軟件批量下載這些數據和單個下載或查看這些數據在行為性質上沒有差別，即都是遵循了單位與員工的協議規定的合法行為，同時，所有員工對于單位賦予員工的此項權利也是知情的，這也意味著，在單位內部，員工獲取其他人的信息是符合知情同意原則的。“如果爬蟲控制者在未經用戶同意的情況下大量抓取用戶的個人信息，則有可能構成非法收集個人信息的違法行為。”43同前注19，劉鵬文。因此某甲的爬蟲行為雖然利用了反向編譯的方法破解源代碼等反爬蟲的方法，但是，甲實施的爬蟲行為是在單位許可的權限內的，因而不構成侵犯公民個人信息罪。

然而，如果行為人超出許可范圍，采用爬蟲行為爬取了不允許爬取的數據，則不能予以出罪。例如，被告人龔旭因工作需要，擁有登錄某網絡公司內部管理開發系統的賬號、密碼、Token 令牌(計算機身份認證令牌)，以及查看工作范圍內相關數據信息的權限。龔旭、衛夢龍經事先合謀，由前者向后者提供自己所掌握登錄信息，后者則使用這些信息違規在異地登錄該公司內部管理開發系統，查詢、下載該計算機信息系統中儲存的電子數據。該案被告人最終被以非法獲取計算機信息系統數據罪定罪處罰。雖然在該案中被告人并不是采取爬蟲行為取得數據，但是它表明，行為人超出授權范圍使用賬號、密碼、Token 令牌登錄系統獲取無權下載的數據，同樣構成犯罪。44《衛夢龍、龔旭、薛東東非法獲取計算機信息系統數據案》(檢例第36 號)，《檢察調研與指導》2017 年第6 期。這樣的判決對于爬蟲行為具有重要的指引意義。它意味著，雖然有授權可以合法獲得網絡數據，但是，如果超越授權范圍而惡意取得網絡數據的，則應構成犯罪。

以上論述表明，行為人在權限許可范圍內獲取數據，由于沒有突破許可權限，即便采用網絡爬蟲的方式獲取數據，也不構成非法獲取計算機信息系統數據罪。因為取得權限的情況下，網絡爬蟲模擬人工點擊，不斷向訪問接口發出訪問請求，批量獲取數據，只是提高了人工獲取數據的效率，并沒有突破權限許可。被許可而為的行為可以阻卻違法性，此種情形下，不應認定其爬蟲行為的“非法”而須出罪；反之，如果行為并未獲許可，或者爬蟲行為超出許可范圍，則屬于違反國家規定而為的爬取行為，可以認定其“非法性”并構成犯罪。

實質判斷路徑之二是，行為人采取爬蟲行為非法收集的如果是無法識別特定自然人身份的公民個人信息，即便爬蟲行為性質上非法，也不構成犯罪。例如，2015 年3 月，被告人馬適之利用其在北京恒安嘉新公司實習之機，未經網絡運營者及用戶同意許可，采用爬蟲技術搜集大量公民個人信息，包括手機號碼、訪問時間、用戶網頁瀏覽記錄，內容涉及全國多省市有關金融、股票、房產、貸款、保險等方面的用戶手機號碼。后來被告人將信息通過與張某、游某等合辦的公司出售牟利。被告人辯稱，他提供給某公司和他人的手機號碼，系用“號碼生成某”生成的，與北京恒安嘉新公司的數據無關。該案缺少兩者的數據進行一致性對比的證據，不能證明他利用了北京恒安嘉新公司的數據進行牟利。45參見湖北省宜昌市中級人民法院參見(2018)鄂05 刑終365 號刑事判決書。該案的關鍵在于馬適之提供給某公司以及他人的手機號碼，是否為公民個人信息。

何為公民個人信息，相關法律和司法解釋已有規定，其要點在于，要具有可識別性。根據我國《網絡安全法》第76 條第5 項的規定，公民個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。《信息犯罪司法解釋》第1 條規定，我國《刑法》第253條之一規定的“公民個人信息”，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證件號碼、通信通訊聯系方式、住址、賬號密碼、財產狀況、行蹤軌跡等。該司法解釋第3 條規定，“未經被收集者同意，將合法收集的公民個人信息向他人提供的”，屬于我國《刑法》第264 條之一規定的“提供公民個人信息”，“但是經過處理無法識別特定個人且不能復原的除外”。在此，我國《網絡安全法》規定的是只要能夠“識別自然人”個人身份的各種信息，但是，《信息犯罪司法解釋》規定的是“識別特定自然人身份”的各種信息，如何理解或界定這里的“特定自然人”?事實上，這兩個規定并不矛盾。能夠識別自然人的信息，自然是針對特定自然人而言的；識別，意味著辨別真偽，使不同自然人之間相區別，它其實內含了識別特定自然人之意。在此意義上，《信息犯罪司法解釋》只不過是對我國《網絡安全法》中的“識別自然人”進行了細化表述，兩者并無實質差別。因此，在法律適用上，直接判斷相關信息是否可以識別特定自然人即可。

馬適之等侵犯公民個人信息案的辯護人指出：“馬適之賣給印力承的手機是其利用‘號碼生成某’的編碼原理隨機生成的，但是這些手機號碼，若不與其他信息結合，則不能識別特定自然人的身份或者活動情況，故單純的手機號碼不屬于公民個人信息。馬適之提供印力承的手機號碼，供客戶用于電話銷售和廣告營銷，雖打擾了接電話者，但不能識別特定的自然人，其社會危害性不大，不需要動用刑法處罰。”46湖北省宜昌市中級人民法院參見(2018)鄂05 刑終365 號刑事判決書。如果馬適之賣給他人的手機號碼確系利用科技手段編碼原理隨機生成，那就意味著僅有這些號碼本身，并不能識別特定自然人。根據前述法律與司法解釋的規定，不與特定自然人相關聯的信息不能稱之為公民個人信息，該案中馬適之所出售的手機號碼是隨機生成的虛擬號碼，不是真實的手機號碼，因此難以識別特定自然人，因此這些手機號碼不應被認定為個人信息，馬適之的行為不應構成侵犯公民個人信息罪。法院的判決說理反而在一定程度上表明，法院并沒有充分的證據證明馬適之出售的是可以識別特定自然人的個人信息。法院判決指出：“公民使用的電話號碼已實名登記，每個電話號碼都對應特定的自然人，經查詢也可以單獨識別特定自然人身份。況且，上述司法解釋所列舉的公民個人信息包括了‘通信通訊聯系方式’即手機號碼或電話號碼。因此，手機號碼是公民個人信息的內容之一，可以認定為公民個人信息。馬適之和印力承共同販賣他人的手機號碼，應認定為侵犯公民個人信息罪。”47湖北省宜昌市中級人民法院(2018)鄂05 刑終365 號刑事判決書。手機號碼固然是公民個人信息，但不等于該案中的手機號碼也是公民個人信息。該案中的手機號碼是“號碼生成某”而生成的，“號碼生成某”就是“號碼生成器”的軟件，比如“思華手機號碼生成器V1.0 免費版”、“特達手機號碼生成器”、“海豚手機號碼生成軟件”等軟件，其所生成的號碼不會出現重復的現象，生成的號碼可以有虛擬的號碼，也可以生成現實存在的號碼。這些號碼與用戶在電信或移動等營業廳入網時的手機號不同，后者手機號可以迅速識別特定自然人身份，但是前者通過“號碼生成器”生成的手機號難以有這個作用。并且，該案中，司法機關也的確缺乏相應的證據證明這些生成的號碼可以識別特定自然人身份，刑事證據必須充分確實，否則，不能據以定罪。根據疑罪從無原則以及證據的證明標準，該案中的馬適之不應構成侵犯公民個人信息罪，對其應作無罪處理。

又如，大型旅游網站“馬蜂窩”使用爬蟲軟件技術，從攜程、藝龍、美團等其他平臺抓取或抄襲用戶生成的點評數據，并直接發布在自己的網站上。合計抄襲572 萬條餐飲點評、1221 萬條酒店點評，占“馬蜂窩”官網聲稱總點評數的85%。48參見前注17，楊東、吳之洲文。雖然“馬蜂窩事件”涉及侵犯其他平臺著作權等，但“馬蜂窩”利用爬蟲技術大量抓取并使用來自其他平臺的用戶點評信息的行為，是否構成侵犯公民個人信息罪呢?有觀點認為：“用戶的點評數據包含了大量的個人信息，甚至可以說正是點評中充滿真情實感的個人體驗才讓點評本身具有價值。因此，對具有可識別性的點評信息的收集、處理必須滿足個人信息保護的相關要求。顯然，馬蜂窩在抓取其他平臺用戶的點評數據時并未做到知情同意，更未符合合法、正當、必要原則要求。毫無疑問，馬蜂窩平臺的行為侵犯了用戶的個人信息權益。”49同前注17，楊東、吳之洲文。這種看法值得商榷。對侵犯公民個人信息罪中的公民個人信息不得擴大解釋為公民個人發布的任何信息。網絡消費平臺用戶點評數據，雖然的確包含了用戶的個人情感體驗與價值判斷，但這樣的信息并不具有識別特定自然人身份的功能，它們和自然人的姓名、手機號、出生日期、身份證號碼等具有本質的差別，因此，假設該案侵權行為情節嚴重，也不應認定存在“以其他方法非法獲取公民個人信息”而構成侵犯公民個人信息罪。

同樣，雖然病人的住院床號等是與公民個人有關的信息，但也不屬于《刑法》第253 條之一的“公民個人信息”。比如，行為人系醫藥代表，其為了給醫生準確發放用藥回扣，從醫院計算機主管處非法獲取了有關病床使用其負責銷售的藥品情況。相關信息只涉及病床號(相應病床由特定醫生負責)和使用特定藥品情況，并無病人姓名、身份證號等其他個人信息。如果要對其按侵犯公民個人信息罪定罪量刑，關鍵也在于如何認定公民個人信息的可識別性。根據前述法律和司法解釋的規定，該案中涉及的病床號、用藥情況等信息無法直接識別特定自然人，且“與權利人的人身安全、財產安全關聯不大，敏感性程度較低”。此外，“從行為人的主觀目的來看，其就是想獲取特定病床號的用藥情況，至于該病床所關聯的具體自然人并非其主觀所追求的”，同時，病床號等信息具有時效性和偶發性，也不同于固定和長期伴隨公民個人的信息，如居民身份證號碼、臉部生物信息等，即便泄露，也不會侵害公民信息權的法益，因此，該行為不應定為犯罪。

總之，爬蟲行為即便違反了機器人協議，其性質系非法獲取公民個人信息，但也不能據此認定成立侵犯公民個人信息罪。“法學家所面臨的挑戰不僅是對廣泛存在的而且是計劃中的技術進行法律評價，并且及早地說明可能存在的違法，以便于技術發展中進行修正。”50[德]埃里克·希爾根多夫：《德國刑法學 從傳統到現代》，黃笑巖譯，北京大學出版社2015 年版，第379 頁。基于實質可罰性的立場，如果行為人的入侵或竊取行為手段非法但對行為對象無害，比如竊取的是公開發布的或者經對方同意或授權的個人信息，或者竊取的信息無法識別特定自然人身份，則應該予以出罪。

綜上所述，使用爬蟲行為獲取公民個人信息的，不僅要從形式上判斷行為是否合法、是否正當，還要從實質上判斷違法行為是否有正當化阻卻事由，比如是否經授權或者許可而為的爬蟲行為，對“以其他方法非法獲取公民個人信息”中的“非法”進行實質價值的評判，同時，即便形式上是“非法”，仍需要從實質可罰性角度對于不應處罰的爬蟲行為進行出罪。通過形式判斷與實質判斷、形式入罪與實質出罪雙重機制，合理地實現對網絡爬蟲行為的刑事規制。

四、結語

在web3.0 時代，“數據是網絡的核心，而不是文檔或者人，并且這些數據都是可以被機器識別處理的數據，因此，用戶從網絡上獲取信息就像查詢數據庫一樣容易，而不必掌握各網站的數據組織架構”。51劉瓊、任樹懷：《論web3.0 下的信息共享空間》，《圖書館》2011 年第2 期。爬蟲技術正是這樣助推方便查詢與獲取數據的一項技術。網絡爬蟲作為常見的數據抓取技術，具有中立性。雖然對于網絡數據的共享、分析和相關行業的預判有著巨大作用，并在一定程度上實現了互聯網的塑造融合開放共享的理念，造就了網絡的繁榮和發展，但是，其使用不可超越法律的界限，否則中立就會轉化為非法，此類爬蟲行為就會面臨刑事入罪的風險。網絡爬蟲技術的使用要充分尊重信息權益保護的固有要求，要兼容考量網絡爬蟲技術的使用與法律權益保護，使兩者協調。未來二十年，網絡世界將面臨著無所不在的信息安全隱患，“任何以數字格式編寫并存儲的內容，只要直接或間接連接到互聯網，遲早都會被竊取，或者銷毀”。52[美]皮埃羅·斯加魯菲：《智能的本質》，任莉、張建宇譯，人民郵電出版社2019 年版，第149 頁。立足于中國網絡國情，如何針對網絡數據爬蟲行為進行特別立法，如何在已有法律框架內規制網絡爬蟲行為，是各個法律領域所面臨的共性問題。“尊重人意味著對犯罪人的懲罰必須是他應得的懲罰，亦即，犯罪人基于自己的意志選擇了犯罪行為，刑罰作為對其責任的清算具有正當性”，53張明楷：《責任論的基本問題》，《比較法研究》2018 年第3 期。因此，如何使對爬蟲行為的刑事規制具有正當性，如何針對這些新型科技行為進行違法性方面的形式與實質的雙重判斷，如何進行合理的入罪與出罪，預防其所帶來的社會危害風險，是刑事法律領域所面臨的個性化問題。只有從法律共性和刑事法個性領域，雙管齊下規制網絡爬蟲行為，才能營造健康的網絡發展環境，保障網絡信息尤其是公民個人信息的安全。