明確越界網絡爬蟲行為的刑事處罰邊界

吳衛

在日益復雜、快速變遷的互聯網時代，有關數據犯罪的技術識別與刑法規制日益困難，對司法實踐提出了新挑戰。網絡爬蟲，是自動化瀏覽網絡的一種程序或腳本，在互聯網時代尤為必要，但也伴隨侵入、控制或破壞計算機信息系統，導致重要數據泄露的刑事風險。司法實踐往往采取以下規制路徑：行為人違反robots協議利用爬蟲抓取數據，或者繞過反爬蟲設置抓取數據，即具有主觀故意和客觀違法行為而予以入罪。但一律入罪會導致處罰范圍不當擴大，既不利于爬蟲技術發展、網絡數據共享與最大化利用，也與互聯網的公益性質不相符合。因此，如何有效明確越界網絡爬蟲行為的刑事處罰邊界，需進一步研究。

準確認定主觀故意

在互聯網時代，網絡爬蟲技術的運用十分普遍，被告人常常主張網絡爬蟲是行業公認的數據獲取技術，以技術中立、沒有認識到法益侵害結果進行辯護，以逃避刑事處罰。盡管技術無好壞，但運用技術的行為有善惡之分，需準確認定行為人的主觀故意，這就要結合具體事實，綜合以下因素認定。

其一，行為人從事行業及對網絡爬蟲技術的掌握程度。如果行為人從事互聯網行業，具有大數據工作經驗，則對爬蟲技術有較高的風險意識和防范義務，可以認定行為人對網絡爬蟲的可能風險與后果有認識可能性。其二，設置特殊爬取指令。若行為人對網絡爬蟲設置了諸如屏蔽IP、身份驗證等指令，說明行為人對其未經授權或超越授權的爬取行為有認識可能性。其三，爬取特定類型數據。行為人為滿足其特定犯罪需求，必然針對特定類型的數據進行抓取，比如針對公民個人信息、商業秘密、著作權作品等就說明行為人對其抓取數據的性質有認識，也能推定行為人明知其行為可能造成危害后果。其四，未采取防范風險措施。如果行為人放任網絡爬蟲任意爬取數據，而未作范圍限定，也未能有效監控，則表明行為人制造了風險卻未履行有效防范風險轉化為實害的作為義務。

類型分析客觀違法行為

根據網絡爬蟲的表現形式，可以劃分為侵入系統、獲取數據、破壞系統等類型，需以類型化、差異性方式對越界數據爬取行為定性。

突破技術防護措施雖未抓取數據，亦可能構成犯罪。如果侵入國家事務、國防建設、尖端科學技術領域的計算機信息系統，無論是否獲取數據，均構成非法侵入計算機信息系統罪。即使進入非國家事務、國防建設、尖端科學技術領域的計算機信息系統而未抓取數據，但如果網絡爬蟲過快或大量重復訪問，進而干擾了信息系統正常運行，后果嚴重的也可能構成破壞計算機信息系統罪。

突破技術防護措施抓取數據，需結合數據類型具體判斷。數據的法律屬性體現在其承載的信息內容上，也是判斷法益侵害的有效指引，需結合爬取數據的類型展開分析。根據法律是否予以特別保護，可以將數據劃分為普通數據與特殊數據。如果爬取互聯網公開的普通數據，原則上不構成犯罪，因為公開數據忍受爬取也是互聯網互聯互通本質的體現；如果爬取非公開的普通數據，則需要結合具體案情，判斷是否構成非法獲取計算機信息系統數據罪。如果僅爬取個人信息、商業秘密、著作權等特殊數據而無后續利用、披露、信息網絡傳播等行為，則仍需判斷是否構成非法獲取計算機信息系統數據罪，一旦行為人有提供、出售、披露、信息網絡傳播等后續行為，則需全面評價前后兩個行為。當然，盡管存在爬取特殊數據和后續侵犯特殊數據兩個行為，但二者具有手段與目的的牽連關系，以從一重罪論處即可，無需數罪并罰。需注意，刑法第153條之一第三款規定，竊取或者以其他方法非法獲取公民個人信息的，構成侵犯公民個人信息罪，因此僅大量爬取公民個人信息就可能構成侵犯公民個人信息罪。

利用爬蟲技術破壞性訪問，可能構成破壞計算機信息系統罪。破壞性訪問既包括惡意大量訪問行為，也包括任意刪除、修改計算機信息系統數據行為。眾所周知，網絡服務器的承載有限度，網絡爬蟲頻繁大規模訪問，會大量占用服務器的帶寬和運算能力，嚴重增加處理和注銷負荷，如果不加控制持續訪問，必然影響正常的網絡服務，甚至導致網站或網絡平臺崩潰，可能因干擾計算機信息系統正常運行構成破壞計算機信息系統罪。如果行為人利用網絡爬蟲技術惡意刪除計算機系統中的數據，甚至刪除信息系統功能，后果嚴重或造成系統不能正常運行的，亦構成破壞計算機信息系統罪。

以規范目的限縮處罰范圍

事實上，與計算機信息系統相關的罪名多在于保護計算機信息系統和數據安全，應據此立法目的將無實質法益侵害性的爬蟲行為出罪，限縮刑事處罰范圍，以實現數據開放、數據共享與數據安全平衡。

抓取公開數據，原則上不應予以入罪。公開數據即向不特定人公開的數據，原則上就允許網絡爬蟲爬取。當然，如果明知他人實施侵入、非法控制計算機信息系統的違法犯罪行為而為其提供爬取數據幫助的，則可能構成提供侵入、非法控制計算機信息系統程序、工具罪。

單純違反robots協議抓取數據，不應予以入罪。robots協議又稱為爬蟲協議，本質上是受訪網站與搜索引擎之間的一種交互方式，用于告知網絡爬蟲可以抓取網頁的范圍，初衷是指引網絡爬蟲更有效抓取有用信息，除維護網站正常運行、保護公共利益等正當原因外，不得禁止網絡爬蟲訪問。而且，robots協議屬于行業慣例，難以作為認定違法性的前提，因為非法侵入計算機信息系統等罪名中的“國家規定”，是指法律、行政法規等，并不包括行業慣例，否則屬于不利于行為人的類推解釋。此外，robots協議是單方聲明，若一概將違反行為視為對計算機信息系統的非法侵入，則會導致計算機信息系統控制者尤其是網絡巨頭獲得任意限制信息傳播的絕對權力，不僅侵蝕互聯網的公共屬性，更易形成數據壁壘和壟斷，對數據資源最大化利用造成威脅。當然，即使認為違反robots協議行為違反誠信原則和商業道德，也應首選不正當競爭等民事路徑。

以計算機信息系統和數據安全為判斷標準，實質評價突破反爬蟲機制行為。應將與計算機信息系統安全密切相關的登錄系統作為“非法侵入”的判斷標準，對僅為落實實名制要求或記錄用戶行為，甚至僅為讓用戶在訪問前閱讀《用戶協議》或《隱私政策》，以豁免法律風險的登錄系統排除在外，以避免規范目的落空。如果為“白帽子”行為，即行為人突破防護措施以發現網站、網絡平臺的安全漏洞并督促其修復的，亦不應入罪。當然，如果一味以技術中立為借口放任惡意爬取數據行為，也會導致普遍搭便車現象，影響市場主體創新創造的積極性與主動性，制約數字經濟健康發展，需要注意平衡安全秩序與發展的關系。

（摘自2月15日《檢察日報》。作者單位：西南政法大學法學院）