数据抓取与非法获取计算机信息系统数据罪浅析

总第154期 李颖 阿里巴巴法律研究中心 王冀 阿里巴巴法律研究中心发表,[综合]文章

  所谓数据抓取行为,是一种通过既定规则,利用计算机爬虫程序自动抓取网页信息以获取数据的行为。1技术是把双刃剑,一方面,通过数据抓取技术,我们可以高效地读取和收集海量的网络数据,通过对数据的分析、挖掘、加工、处理进而得到有价值的信息,提供更好的增值服务和更多便利,实现社会福利的整体增长;但另一方面,由于数据在信息社会占据着越来越重要的地位,是经营者重要的竞争优势与商业资源,如果采用数据抓取等技术非法获得他人经年累月积累而来的丰富数据资源,这种行为可能触碰法律红线。

  关键词数据抓取刑法谦抑非法侵入

  非法获取计算机信息系统数据罪的"口袋化"现状

  就数据抓取主要涉及的刑事罪名而言,非法获取计算机信息系统数据罪是指违反国家规定,侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统,或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,情节严重的行为。

  数据抓取是否构成该罪,主要看两方面:首先看手段,即所实施的数据抓取手段是否"非法"。其次看情节是否严重,具体又分两种情形:一是数据抓取的对象是否包含身份认证信息;二是数据抓取行为所带来的违法所得或者造成的对方经济损失是否达到立案标准。

  在司法实践中,非法获取计算机信息系统数据罪已呈现明显的"口袋化"趋势2。具体而言,对非法获取计算机信息系统数据罪之"非法"(违反国家规定)的理解过于泛化,以及较低的刑事立案追诉标准(违法所得5000元以上),是其"口袋化"的根源。泛化的刑法干预、最高可达7年的刑罚规定,让数据产业的从业者颇为担忧。

  特别是2019年初,北京市海淀区人民法院认定"今日头条案"构成非法获取计算机信息系统数据罪后,该罪更是引起技术人员普遍关注,在法律界也引发热烈讨论3。本案中,犯罪人采取的手段是:在数据抓取的过程中使用伪造device_id绕过服务器的身份校验,使用伪造UA及IP绕过服务器的访问频率限制。

  法院认为,在数据采集过程中,被告采取了绕过或突破受害单位反"爬虫"安全措施的技术手段,未经许可进入受害单位的计算机系统,构成非法获取计算机信息系统数据的犯罪行为。这引发了技术人员的恐慌,他们认为这种绕过服务器身份校验和服务器访问频率限制的数据抓取方式,是目前进行数据抓取时所普遍采取的技术手段,如果法院仅因为被告采用了该技术手段,就认定构成非法获取计算机信息系统数据罪并加以刑事处罚,打击范围过大。

  笔者认为,对于避开技术措施和访问限制的数据抓取行为的非法性,进行严苛、一刀切的认定,并进行刑事惩处,可能会引发技术人员的恐慌。绕开或破解身份验证、变更访问账户访问地址、模拟生成常用useragent等数据抓取方式,是目前数据搜索、加工行业中广泛采用的技术手段。在当前数据智能时代背景下,什么样的技术手段会被认为构成刑法意义上的"非法获取"?司法实践中应怎样兼顾风险治理与鼓励创新之间的平衡?

  对数据抓取行为的刑法干预应当持审慎态度

  笔者认为,对数据抓取行为进行刑事非法性的评价时,应注意考虑如下四个问题:

  (一)对非法获取计算机信息系统数据罪之"非法"应进行实质性解释

  根据《刑法》第二百八十五条第二款规定,非法获取计算机信息系统数据罪的客观方面以获取数据行为具有非法性为要件,即必须是"违反国家规定,侵入计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据"。获取数据行为具有非法性的具体罪状表述是"违反国家规定"。《刑法》第九十六条规定:

  "本法所称违反国家规定,是指违反全国人民代表大会及其常务委员会制定的法律和决定,国务院制定的行政法规、规定的行政措施、发布的决定和命令。"

  就非法获取计算机信息系统数据罪而言,"非法(违反国家规定)"是指违反国家法律、行政法规规定,主要包括《网络安全法》《中华人民共和国计算机信息系统安全保护条例》《计算机信息网络国际联网安全保护管理办法》等,不应包括网络协会公约、Robots协议等。

  笔者认为,对非法获取计算机信息系统数据罪之"非法"的理解不能过于泛化,而应进行实质解释。按照刑法理论,法官在进行刑事法律的适用时应进行实质性解释,即在遵循罪刑法定原则前提下,对构成要件的解释不能停留在法条的字面含义上,而必须以保护法益为指导,考虑处罚的必要性和妥当性,在刑法用语可能具有的含义内确定构成要件的具体内容。4"侵入"是指行为人在未获许可的情况下,违背控制人或权利人的意愿进入其无权访问的计算机信息系统中,如不存在违背控制人或权利人的意愿进入或相关信息处于公众可轻易获取的状态下,就不存在所谓"侵入"问题。因此,在判断相关数据抓取行为是否构成非法获取计算机信息数据罪时,法官需要考虑利用数据抓取手段访问的网页内容是否对所有用户可见,且不采取任何技术防护措施,即其在互联网是否为公开的,是否处于一种任何公众想获取即可以获取的状态。如果相关用户想访问的网页内容处于任何公众都能轻易获取的状态,那么普通用户究竟是通过个人登录访问,还是利用数据抓取技术访问被抓取的对象,其所不同的只是获取信息的方式--用户是个别访问还是爬虫大规模访问,而并非行为是否"非法"的判断问题。

  值得讨论的是,是否网站对自己数据采取了一定的技术防护、限制访问手段,相关人员采取数据爬取的方式来获取数据就一定构成"非法手段"?这个"非法"是基于"法律规定",还是基于"网站采取技术防护措施"行为,抑或基于"robots协议"?笔者认为,从该罪的构成要件来说,"违反国家规定"应理解为仅限于违反国家有权机关制定的法律、法规等效力较高的规定,而并不包含网络协会公约、Robots协议等形式,因此从相关数据抓取行为违反网络协会公约、Robots协议中,并不能推导出行为人"违反国家规定"的结论。

  有人认为,非法侵入行为可以分为两类:一是非法用户侵入信息系统;二是合法用户的越权访问,未经批准、授权的越权访问均属于非法侵入。5那能否将绕开访问限制的数据爬取行为解释为"合法用户的越权访问"而认定为"非法侵入"?笔者认为,对用户访问数量等的限制,其前提仍是默认用户是有权限获取数据的,由于没有突破许可权限,即便采用网络爬虫的方式获取数据,也并非属于"合法用户的越权访问"。在用户被默认有访问权限的情况下,网络爬虫模拟人工点击来不断向访问接口发出访问请求,批量获取数据,只是提高了人工获取数据的效率,却没有突破权限许可,因而不构成越权访问。

  另外,变更访问账户或访问地址、模拟生成useragent等技术措施均属于"弱技术措施",相对于设置密码、加密算法等"强技术措施"来说,"弱技术措施"并不是对未经许可的访问者均表示绝对不允许。本质上,它只是对大规模机器访问的不允许,而对个人用户的访问是默认允许的。从技术角度看,大规模机器访问与个人用户访问只是单位时间内访问数量的差别。爬虫的访问只是提高了获取信息的效率,这种差别并非"允许"或"不允许"的差别。举个未必恰当的例子,这好比访问者是雇佣1万个自然人去访问,还是雇佣一个AI去访问,虽然在访问方式上存在一定差别,也不应当被认为是罪与非罪的界限。

  需要明确的是,数据被抓取对象所采用的限制相同访问账户、限制相同访问地址等防御措施的目的,均仅在于分辨访问者是普通用户还是爬虫程序,而不是为了禁止用户访问。普通用户代表着数据被抓取对象的用户或潜在用户,爬虫程序则意味着同业竞争对手。从商业竞争角度看,同一行业领域内的竞争对手之间的竞争,必然导致经济利益或收益的此消彼长,这种经济利益上的此消彼长是否属于"非法获利"或"违法所得",主要应当考虑其竞争手段是否非法,而不宜将对"弱技术措施"的突破简单地定性为刑法上"非法"。

  因此,笔者认为,对于采取突破限制访问技术手段的数据抓取行为而言,将其作为民事侵权或不正当竞争来处理是可以的、适度的,但作为刑事犯罪进行"刑事非法性"的认定似乎并不合适。贸然让刑法这一最后的法律手段过度介入,对这种访问手段进行突破性的惩罚、干预,可能会导致用力过猛,也不符合当前技术发展、运用的实际情况。

  (二)对大数据相关问题的调整应当秉持刑法谦抑原则

  目前,各国包括我国都在投入巨资推动大数据技术产业的创新发展。大数据时代的发展障碍在于数据的可获取性和流通性,因此各国都在通过各种方式降低数据获取的门槛,以促进数据的获取和流通。而整体适度宽松的政策和法律环境,是大数据技术产业发展的重要基础。现实中,激励创新和治理风险往往难以两全,激励创新可能带来风险,而治理风险可能抑制创新。6考虑大数据发展的特殊背景,刑法对大数据相关问题的调整应秉持谦抑原则。

  刑法的谦抑性要求刑事规制作为法律的最后一道屏障,应仅在民事法、行政法无法有效规制某类具有社会危害性的行为时,才介入进行规制,而不是一有损害发生,无论是否有严重社会危害性和规制必要性,刑法都冲在前面。我们必须认识到,刑法过度介入社会经济生活的调整,常常会带来更严重的社会问题,其中最重要的一点是刑罚影响的持久性会导致犯罪人相关从业资格的永久丧失,为其社会回归增加过多障碍。7基于刑罚的严厉性和对社会关系加以破坏后修复的高难度和高成本,让刑法提前、深入介入技术发展中的社会关系调整,可能耗费巨大的司法资源,同时加大社会管理成本、阻碍新技术的蓬勃发展。

  因此,刑法作为最后的法律手段,对于大数据技术发展中存在的问题和法律适用,应保持更审慎的态度,对于看不清、拿不准的,多听听来自数据产业的声音,不妨"让子弹飞一会儿",更多地以民事法、行政法为主进行调整和干预,让刑法仅非常谨慎地在特定范围内发挥作用。

  (三)数据抓取行为刑事不法性的认定不应无视技术共同体的一般认知

  考虑从业者对数据抓取行为的性质认识情况,过于严苛地把握其刑事非法性恐难为产业及从业者所接受。从数据抓取行业发展的现状看,众多程序员对数据抓取行为的"违法性"认识是严重不足的,大部分人认为技术抓取是目前大数据产业普遍采取的技术手段,并没有违法性,更不会构成犯罪。即使少数技术员认识到数据抓取行为属于不法行为,也仅仅认为属于民事侵权或行政违法而并非刑事犯罪行为。

  这种意识上的缺位,一方面需要我们加大法律教育、风险教育的力度,让更多人认识到数据抓取技术虽然本身并不违法,但对该技术的具体运用方式却可能构成违法犯罪;但另一方面,不做区分、泛化地将所有数据抓取、绕过技术措施或访问限制而抓取数据的行为,都认定为"非法",过于宽泛而打击面过大,可能将本应由著作权法、不正当竞争法处理的行为,变成刑事打击的对象,这也很难为大数据产业和广大技术人员所接受。

  而无论是立法的制定还是法律的适用,法律人都必须认识到法律的适用不是法律职业者的"自嗨",而必须考虑相关法律设计、适用结果能否得到绝大多数技术人员认可和接受,否则相关法律、司法解释即使制定出来,也很难被接受、遵守和落地执行,并造成"普遍违法"下的"选择性执法"现象。

  (四)绕开限制的数据爬取行为侵害的法益是私益而非社会公共秩序

  绕过技术措施或访问限制而抓取数据行为的社会危害性,更多是对商业利益的损害,通常并不具有破坏社会公共秩序的巨大危害。而在我国刑法中,非法获取计算机信息系统数据罪被规定在第二编第六章"妨害社会管理秩序"部分,而非侵害财产权部分,其进行刑事惩处的落脚点在于保护数据安全、维护正常的社会管理秩序。这使得法院在面对绕过技术措施或访问限制而抓取数据行为的罪与非罪认定时,并不能简单适用该罪的字面规定,而必须考量该罪名的立法目的在于维护社会管理秩序,重点在于认定相关行为是否妨害了数据安全、正常社会管理秩序,而非是否造成商业利益的损失。但在司法实务中,由于各类数据均被列为非法获取计算机信息系统数据罪的规制对象,而法律上是否构成犯罪的判断则需要深入考察法益实质而较难操作,导致该罪成为"口袋条款"而被不当泛化适用。8

  刑法上有"被允许的危险"的理论,是指随着科技发展,社会生活中不可避免地存在着具有侵害法益的危险行为,基于其对社会的有用性,即使发生了法益侵害结果,也应在一定范围内允许。9仅靠获取数据本身,是无法实现全部数据价值溢价的,还需要通过数据存储建立海量数据库,并投入巨大人力、物力对数据库进行处理、分析,才能得到更有价值的增量信息。在数据带来的价值和风险并存的特殊背景下,单纯非法获取数据行为的社会危害性是有限的,对其进行刑法规制时应当体现一定的从轻理念,而不宜对非法获取数据的行为进行过于严厉的评价。10由于数据抓取行为在大数据技术发展进程中被广泛运用,会为社会发展带来巨大利益,因此我们需要在一定程度上容忍其带来的侵害法益危险,而不能因噎废食,一律否定而以法律樊笼禁锢之。11

  因此,法院在判断绕过技术措施或访问限制而抓取数据行为的罪与非罪认定的过程中,需要注意排除那些不妨碍社会管理秩序、对社会发展有益的数据抓取行为,以免该罪较高的刑事处罚和泛化适用让数据技术人员产生恐慌,进而阻碍我国在数据技术方面的发展。

  随着互联网技术的快速发展,我们逐渐步入大数据智能时代,数据已成为数据时代最重要的战略性资源和生产力要素,如何合法获取、利用和开发数据,成为任何一个市场主体不得不面对的问题。网络并非法外之地,数据的抓取和利用同样需要行走在法律合理边界内,因此有必要剖析现有法律对数据抓取行为的规范和约束,避免因数据抓取和利用而发生重大法律风险。

  注解:

  1、李慧敏、孙佳亮:《论爬虫抓取数据行为的法律边界》,载《电子知识产权》2018年12期;游涛、计莉卉:《使用网络爬虫获取数据行为的刑事责任认定--以"晟品公司"非法获取计算机信息系统数据罪为视角》,载《法律适用》2019年第10期。

  2、杨志琼:《非法获取计算机信息系统数据罪"口袋化"的实证分析及其处理路径》,载《法学评论》,2018年第6期。其中,有关身份认证信息的案件116件,有关个人信息的案件42件,有关网络虚拟财产的案件97件,有关知识产权案件17件,其他网络财产性利益案件16件,数据产品案件8件。

  3、林维:《利用"爬虫"非法获取数据案评析:不完美法律制度下的解决方案》,载http://www.sohu.com/a/297646379_741570,2019年2月25日,2019年5月6日访问。

  4、张明楷:《实质解释论的再提倡》,载《中国法学》,2010年第4期。

  5、李勇:《非法获取计算机信息系统数据罪认定中两个难题》,载《中国检察官》(案例版),2012年第4期。

  6、张海波:《大数据的新兴风险与适应性治理》,载《探索与争鸣》,2018年第5期。

  7、彭文华:《我国刑罚体系的改革与完善》,载《苏州大学学报》(哲学社会科学版),2015年第1期。

  8、杨志琼:《非法获取计算机信息系统数据罪"口袋化"的实证分析及其处理路径》,载于《法学评论》,2018年第6期,第165页。

  9、张明楷:《论被允许的危险的法理》,载《中国社会科学》,2012年第11期。

  10、刘宪权、林雨佳:《大数据时代数据犯罪的类型与刑法应对》,载《改革开放新时代刑事法治热点聚焦》(下卷),中国人民公安大学出版社、群众出版社,2018年11月第1版,第1047页。

  11、陈志军:《对大数据技术应用的合理刑法规制》,载《中国人民公安大学学报(社会科学版)》,2018年第6期。



免责声明:凡本网注明"来源:XXX(非中国知识产权杂志出品)"的作品,均转载自其它媒体,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。本网转载其他媒体之稿件,意在为公众提供免费服务。如稿件版权单位或个人不想在本网发布,可与本网联系,本网视情况可立即将其撤除。新闻纠错:010-52188215,邮箱:chinaip@hurrymedia.com

会员留言


只有会员才可以留言, 请注册登陆
  • hr@acip.cn2012/5/23 10:14:48留言:我是华进公司负责这块事务的人员,请问下,如何修改上述信息呢?

    管理员回复:你好!
       修改公司信息,可以将你需要修改的内容,通过电子邮件发到邮箱里,由公司后台进行修改,邮箱是candice.chen@hurrymedia.com

查询及评价系统

文章检索

关键词:

在线调查

据悉,正在修订中的《专利法》四修,拟将恶意侵权专利赔偿额度从原有的最高三倍上限调整到最高五倍,五倍赔偿已经是目前世界上最高的赔偿额度,对此,你有什么看法?

没有考虑过
合理,打击侵权,确有必要
不合理,赔偿过高,国际上并无先例


激情欧美