網絡爬蟲的法律屬性與刑法應付,刑法論文摘要：網絡爬蟲作為一種新型的數據處理技術,使用價值與刑事風險兼具。對于網絡爬蟲的刑事法律應對,應當以網絡爬蟲附隨要素指向的法益為核心,關注網絡爬蟲的訪問權限和獲取數據的性質,同時兼顧考察行為人在使用技術經過中的合理注意義務,進而綜合判定行為能否涉嫌犯罪以及罪名的適用。本文關鍵詞語：網絡爬蟲;受權;非法獲取計算機信息系統數據罪;毀壞計算機信息系統罪;侵犯公民個人信息罪;一、問題的提出2022年,隨著多家大數據公司由于利用網絡爬蟲技術非法獲取數據被公安機關立案調查,網絡爬蟲的犯罪邊界問題成為互聯網業界、法學界關注的熱門。在嚴厲打擊網絡犯罪的高壓態勢之下,能夠預見到,將會有更多的類似案例出現,以往已經被互聯網業界習以為常的技術行為可能需要重新接受道德、社會規范乃至刑事法律的檢驗。司法機關在辦理此類案件經過中,不僅需要破除跨專業學科造成的知識鴻溝,準確理解技術行為的特征,更需要全面審視技術行為的內在價值與必要性,綜合判定行為的社會危害性,堅守罪刑法定原則,秉持刑法的謙抑性,慎用刑事制裁手段。結合一起實際案例,筆者擬通過通過數據訪問權限、數據性質、合理使用義務三個不同的角度理清網絡爬蟲的犯罪邊界。(一)基本案情2021年7月至2021年5月期間,行為人史某在某市家中,通過自行研發的計算機程序訪問某市交通管理局車輛管理所(下面簡稱車管所)網上選號系統,批量查詢某市車輛號碼牌照資源使用情況,同時自建數據庫系統對號碼牌照資源使用情況予以記錄、更新。現有證據能夠證實,僅2021年以來,行為人史某利用上述程序共計訪問車管所網上選號系統24659793次,獲取某市車牌號碼數量200多萬個,通過在淘寶上出售相關數據庫查詢權限,獲利人民幣4萬余元。經查,行為人施行的詳細行為:史某通過對網上選號系統進行研究,根據該系統的驗證邏輯編寫對應的網絡爬蟲程序,并將其部署在境外服務器上,在設定的時間段內(一般是晚上)訪問網上選號系統,批量獲取車牌號碼使用情況數據。其工作原理如下:第一,自動生成符合車管所網上選號系統校驗規則的信息,如身份證號碼、姓名等。第二,使用打碼平臺自動應對選號系統的驗證碼功能。第三,訪問車管所選號系統,根據正常選號流程進行號牌預選操作,通過邏輯條件判定號碼資源能否被占用,并將相關信息更新至數據庫。(二)分歧意見在案件辦理經過中,司法機關主要產生了兩種不同的分歧意見。第一種意見以為,史某在網絡爬蟲程序中附加使用打碼技術,屬于未經受權進行訪問,構成非法獲取計算機信息系統數據罪。第二種意見以為,在否認第一種意見的基礎上,應重點考察史某能否存在濫用網絡爬蟲的情況,其行為涉嫌毀壞計算機信息系統罪,但因證據缺乏,應對其作存疑不起訴處理。筆者贊同第二種意見,理由在于:對于網絡爬蟲犯罪邊界的合理區分,應當以網絡爬蟲附隨要素與法益為框架,關注網絡爬蟲的訪問權限和數據性質,兼顧考察行為人的合理注意義務。為明確觀點,筆者有必要對網絡爬蟲的概念、附隨要素及其法律屬性進行扼要的介紹。二、網絡爬蟲的概念及法律屬性(一)網絡爬蟲的概念網絡爬蟲(英語:webcrawler),也叫網絡蜘蛛(spider),是一種能夠自動化訪問并收集目的計算機信息系統數據的程序,設計初衷是通過計算機技術手段自動為網站編纂索引,并不斷更新信息。由于網絡爬蟲能夠高效地實現信息的讀取、儲存等工作,在搜索引擎應用之外,也往往被用于訪問特定網站,按照開發者設計的規則讀取、保存特定信息。網絡爬蟲種類繁多,一般來講,我們能夠以部署環境、使用場景對爬蟲進行分類。從部署環境來看,一般將網絡爬蟲分為服務器爬蟲和客戶端爬蟲兩個類型。兩者的區別好比制式一樣卻采用不同口徑彈藥的自動步槍,實際功能基本一致,但是服務器爬蟲能夠通過借助服務器端更具優勢的計算機信息系統資源多線程和更大的帶寬,在同一時間內訪問更多的信息資源。從使用場景來看,一般將網絡爬蟲分為通用爬蟲、聚焦爬蟲兩種類型。通用網絡爬蟲,又稱為全站爬蟲,它的主要功能是從互聯網中搜集網頁、采集信息,并下載到本地,構成一個互聯網資源的備份鏡像。這些備份鏡像能夠用于為搜索引擎建立索引提供支持,而備份鏡像文件的數據量決定著整個引擎系統的可用性,包括信息更新能否及時、涵蓋內容能否豐富等,而這正是搜索引擎系統(Baidu、Google、Bing等)的基礎。(二)網絡爬蟲的附隨要素我們國家法理學家張文顯曾闡述,假如精到準確地解釋和確定法律概念的意義,就能夠精到準確地描繪敘述法律現象,正確地進行法律推理。1網絡爬蟲通常來講有三種基本功能,分別是:訪問、下載、解析。訪問,是指網絡爬蟲根據代碼設定的邏輯,向計算機信息系統發送訪問請求,以期訪問數據;下載,是指將目的計算機信息系統儲存的數據傳輸、儲存到本地或指定的計算機信息系統中;解析,是指對計算機信息系統數據的內容進行分析、挑選。一般而言,這三種基礎性的功能本身并不會對計算機信息系統數據進行增加、刪除、修改操作。假如我們將網絡爬蟲放置于使用場景下進行考察,網絡爬蟲在共同的基本功能之上同時也遭到一些共同的要素影響,我們能夠將這些要素理解為網絡爬蟲的附隨要素,詳細包括下面內容:1.網絡爬蟲能否具有訪問數據的權限網絡爬蟲程序運行的前提是必須具有明確的訪問目的,而訪問權限也是網絡爬蟲面對的第一個門檻。對網絡爬蟲能否具有訪問數據權限的判定等同于危害計算機信息系統及數據安全刑事案件中的違法性判定的核心要素未經受權或者超越受權。2.網絡爬蟲獲取數據的性質與范圍網絡爬蟲能夠根據編寫者的設計,獲取特定或不特定的數據。這華而不實不僅包括了人類能夠感悟的、具有信息意義的數據資源(如此圖片、文字、視頻等),可以能包括本身應交由計算機信息系統進行解讀的非可視性的數據內容2(如CSS數據、網站根目錄、數據庫文件等)。網站控制者可能會基于計算機信息系統安全、原創性設計、隱私等考慮,拒絕別人獲取上述數據。3.網絡爬蟲對計算機信息系統流量帶寬和計算資源造成的影響網絡爬蟲作為一種高效、自動化的計算機信息系統程序,對目的網站的訪問頻次遠遠高于一般正常的人類用戶,在運行的經過中往往容易對目的網站計算機信息系統資源(一般是指服務器流量帶寬和計算資源)造成大量消耗,導致目的網站因缺乏足夠的帶寬和計算機資源以致于無法響應其他用戶的訪問請求。(三)網絡爬蟲的法律屬性出于對網絡爬蟲所引發的網絡安全與隱私的考慮,1994年,由荷蘭工程師MartijnKoster提出了一份行業技術規范,并在這里基礎之上,逐步發展出了一套完好的網絡爬蟲使用技術規范-Robots.txt協議3。Robots協議,英文全稱RobotsExclusionProtocol,其被設計者儲存于網站根目錄下的ASCII編碼的文本文件,網站站長能夠通過代碼注明下面信息:該網站能否允許網絡爬蟲抓取某一類特定的數據。近25年以來Robots協議由于簡單、高效,成為國內外互聯網行業內普遍通行、普遍遵守的技術規范4。但Robots協議本身并不具備任何的約束力。至今,在Robots官網上最顯著的位置,仍然有這樣一份聲明,其強調了Robots協議并非官方標準,不具備任何強迫執行力。在我們國家,第一個對Robots協議的法律性質作為較為完好闡述的見于百度公司VS.奇虎360案,在該案件判決中,法院就Robots協議的法律屬性進行了討論,并做出如下認定:Robots協議是技術規范,并非法律意義上的協議;Robots協議系網站服務商或所有者在自行編寫,屬于單方宣示;但其同時成認,Robots協議在互聯網領域具有通用性,是一份可行的技術標準。5筆者以為,在互聯網語境之下,存在著大量類似的技術行為,它們作為企業或用于挖掘商業價值、或用于維護本身權益的工具,已經成為了一種業界通行的商業慣例,進而成為一種特定的社會規范。這種新型的社會規范所伴隨的法益對傳統刑法學具有釜底抽薪的效應。6對于新型網絡犯罪而言,司法者假如刻意忽視這種社會規范,甚至以個人價值覆蓋社會規范,無疑會與實踐產生極大的分歧。因而,網絡爬蟲法律屬性確實定,必須需要回到計算機技術領域的視角下回答。1.訪問屬性訪問數據就是網絡爬蟲的本質屬性,也是其行為的起點,而由于訪問權限的設立,致使網絡爬蟲存在未經受權或者超越受權訪問數據的可能性,在實踐中,對受權的設計詳細可能表現為:訪問權限控制存在多種不同的機制。在傳統計算機信息傳統安全框架下,用戶身份認證信息是最經典也是最關鍵的權限控制方式。同時,也存在其他依附于該機制所構建的補充機制,如對訪問請求的IP地址范圍進行受權控制;又比方利用機器人協議和驗證碼機制對訪問對象進行受權限制。在網絡爬蟲的場景下,業內一般將用戶身份認證信息之外的措施稱之為反爬機制。在實踐中,有司法人士在案件論證中將反爬機制引入作為未經收入或者超越受權論理的立足點,以為:被告單位正是偽造了device＿id繞過了服務器的身份校驗,并使用偽造UA及IP繞過服務器的訪問頻率限制才實行了對被害單位服務器數據庫的訪問。被告單位繞過APP客戶端與被害單位網站服務器端的身份驗證系統,行為性質實際就已經屬于非法侵入被害單位的計算機信息系統了。7對此,筆者不能贊同。這種論證的本質偏差在于將反爬機制與前述的用戶身份認證信息作等同性理解,這種理解不僅導致刑事規制的不適當擴大,也反響了司法實踐人員對技術知識的誤解。我們國家刑法第285條非法侵入計算機信息系統罪的立法之初,主要針對的是以黑客攻擊等手段,突破控制者設立的安全保衛措施的不法行為。喻海松法官以為與計算機信息系統安全相關的數據中最為重要的是用于認證用戶身份的身份認證信息(如口令、證書等),此類數據通常是網絡安全的第一道防線,也是網絡盜竊的最主要對象。8這種結論并非是人為構造概念或者法益,而是對于計算機信息系統安全保衛的深入洞察、總結。我們反觀互聯網發展的歷史,身份認證信息系統無疑是用來保衛計算機信息系統和數據安全的最佳形式,它同時兼備了向用戶(人類)和計算機信息系統同時進行受權聲明的特質,不僅符合實際安全需要,而且符合社會規范的形式。正如國外著名的網絡法學者OrinS.Kerr闡述:借助用戶身份認證系統,網站主體能夠在互聯網中劃分出明確的兩個區域,開放空間和非開放空間。9而針對網絡爬蟲的反爬機制與用戶身份認證信息機制在規制對象上是不同的,這是為了保衛不同的法益而發展出的兩種完全不同的技術措施。反爬機制的構建并不需要以用戶身份認證信息為必備條件,其技術原理是通過對用戶的訪問IP\UA\訪問頻率等數據進行條件挑選進而屏蔽訪問請求。因而不難看出,其技術本身也暗含著一種受權,司法人員對這種受權理解為:不是通過真實的UA和IP進行的訪問,均是無權限的非法訪問。這種理解具有一定違和之處:當一名真實的用戶通過VPN訪問該網站時,由于使用的不是真實IP,所以構成了無權限的非法訪問。甚至于能夠得出一種結論,司法人員試圖用刑法保衛網站對于用戶行為的選擇權,任何用戶一旦違背網站的要求,就會有涉嫌觸犯刑法的可能性。這個結論無疑是荒唐的,也難以讓人接受。這也正是對刑法285條內涵受權理解的過度解讀帶來的消極結果。而由于司法人員對反爬機制的錯誤理解,導致其在論證的經過中并未意識到與反爬機制密切相關的法益損害問題。2.中性化的程序、工具屬性我們國家刑法第285條第3款規定了專門用于侵入、非法控制計算機信息系統的程序、工具,這本質上是對某類特定技術行為直接予以否認性評價。筆者以為,能夠從該條款入手,討論網絡爬蟲本身的價值與法律屬性。從罪狀來看,專門是界定一項技術能否被納入285條第3款予以規制的核心要素。刑法語意下的專門,是指行為人所提供的程序、工具只能用于施行非法侵入、非法控制計算機信息系統的用處。10立法者在設計該罪名構成要件時,顯然考慮認識到涉計算機信息系統類犯罪的客觀行為完全能夠由中性程序予以施行。通過專門二字對行為人研發程序、工具的主觀目的進行限定,進而避免了中性程序由于被用于犯罪而被刑事司法全面否認的情況,為中性程序、工具預留出罪途徑,兼顧了打擊犯罪和保障技術發展的需求。從實踐來看,網絡爬蟲的誕生有其必然性與合理性。萬物互聯時代的本質是信息借助計算機信息系統數據為載體,以互聯網為脈絡,跨實踐、地域、文化進行流轉,而一旦數據脫離流轉,成為一灘死水,那計算機信息系統不過是一臺大型的計算器,互聯網也將失去生命力,其也必然不會成為當代社會不可或缺的工具。為應對海量數據,自動化處理數據技術的發展成為唯一的解決出路,而網絡爬蟲應運而生。不難看出,數據流轉是一個典型的中性化的詞語,在互聯網語境之下,任何行為均是數據的流轉。閱讀網頁是數據的流轉,非法獲取計算機信息系統同樣是數據的流轉。而作為數據流轉工具之一的網絡爬蟲,也只是為實現數據流轉所不可缺的一種中性化的工具。三、網絡爬蟲的刑法應對刑法適用的基本原則要求主客觀相一致,而技術行為的客觀特征決定了司法機關開展刑事規制的切入點。結合本案,筆者將進一步闡述,刑事法律在面對網絡爬蟲乃至具有一樣技術特征的行為時,怎樣從數據訪問權限、數據性質、合理注意義務三個層面進行判定、適用。(一)數據訪問權限的合法性論證刑法目的之一是保障社會價值,維護社會管理秩序。計算機信息系統數據之所以值得被刑法保衛,是由于在互聯網社會背景之下,數據往往承載著特定的價值,如對公民而言,公民個人信息類數據具有多重價值,關系到公民的人身安全、隱私、財產安全等;如對企業而言,計算機信息系統數據往往本身就是商業機密的內容,內涵經濟利益;如對國家而言,關鍵基礎設施的地理位置等關系到國防安全等價值,其以電子數據的形式呈現,如GPS標示等,則理應被刑法保衛。而法律對上述數據的保衛又充分考慮到其流動性的問題,以數據所有者能否自愿、知情為根據對數據獲取的方式進行違法性判定。如行為人在數據所有者不知情、不自愿的情況下獲取了相關數據,其違法性顯而易見。(全國人民代表大會常務委員會關于加強網絡信息保衛的決定〕,(網絡安全法〕等法律規定也對上述判定方式進行明確性規定。而本案中,車牌號碼系車管所基于自愿、知情的前提條件下,通過計算機信息系統,允許民眾查詢的計算機數據,具有公開性(部分外地車管所采用公開宣告而非查詢的方式可以以提供公開性的例證)的特征,法律本身并沒有對公民獲取數據的數量、查詢的次數進行規定。因而,第一種意見將注意力集中在打碼技術上,以為通過機器學習、別人代填等非用戶自主填寫驗證碼的行為屬于未經受權的行為。筆者對該意見不予贊同。有學者曾闡述,非法數據訪問和非法獲取數據兩種基本行為方式,分別對應數據支配權限、數據知悉狀態兩個數據安全的本質特征。11一種訪問行為任意違背了上述兩個特征之一,有可能被評價為非法獲取計算機信息系統數據罪。但第一種意見顯然錯誤地理解了技術行為與指向的保衛對象。驗證碼機制在業界有多種技術標準,以CAPTCHA為例:其全稱是計算機和人類的圖靈測試(CompletelyAutomatedPublicTuringtesttotellComputersandHumansApart,簡稱CAPTCHA),是由谷歌公司研發的、一種較為常見的、并被廣泛采用的公共全自動程序,其設計的目的是防止計算機程序自動、批量地訪問某一計算機信息系統資源,其本身與網站主體的用戶身份認證系統是互相獨立的兩個系統。用通俗的方式理解:網站用戶身份驗證系統的構建者是網站主體本身,與網站本身架構所關聯,直接影響到網站數據的獲取權限;而CAPTCHA的構建者是谷歌公司,其主體程序所依托的是谷歌圍繞CAPTCHA所架設的系統。CAPTCHA作為獨立的程序,即便通過其認證,亦同時需要正確的用戶身份認證信息方可通過用戶身份認證系統。因而,驗證碼機制不過是另一種反爬機制,其與IP訪問限制、UA限制具有同樣的技術底色,所指向的保衛對象并非是數據的支配狀態或知悉狀態,因而將違背這兩種技術的行為認定為未經受權或超越受權并適用刑法285條,實際上是犯了張冠李戴的錯誤。(二)網絡爬蟲獲取的數據性質影響罪名的適用,非法獲取計算機信息系統數據罪與其他罪名可能存在競合的可能性盡管筆者并不以為行為人涉嫌非法獲取計算機信息系統數據罪,但本案事實牽涉到車牌號碼數據,這就引發了一個有趣的問題非法獲取計算機信息系統數據罪與侵犯公民個人信息罪在實踐中的競適宜用。在現代互聯網社會,公民個人信息與計算機信息系統數據有天然的重合性,數據作為信息的載體,勢必會導致以其為對象的犯罪競合。有觀點以為,侵犯公民個人信息罪與非法獲取計算機信息系統數據罪的適用:由于只要一個犯罪行為,屬于刑法中的想象競合犯,根據處理一個犯罪形態的規則,應當從一重罪處斷。12。筆者對這種觀點不予贊同。當范圍限定于以電子數據形式保存的公民個人信息,兩罪在邏輯上存在著穿插競合關系,這種競合是由于在立法時對罪狀進行列舉造成的法律規范的競合。兩罪之間關系能夠從身份認證信息與公民個人信息的關系推衍,在公民個人信息定義中,身份認證信息無疑是作為構成公民個人信息概念的一個子集,將內容單一的身份認證信息作為普通要素,而將構成愈加繁復的公民個人信息作為十分要素,區分對待,也正具體表現出兩個罪名的立法邏輯,因而非法獲取計算機信息系統數據屬于普通法,而侵犯公民個人信息屬于特殊法。在采用法條競合的觀點之下,能夠直接得出上述情況適用侵犯公民個人信息罪的結論。13上述論證的邏輯,同樣適用于非法獲取計算機信息系統數據罪與侵犯商業機密罪的竟合情況。一般而言,法條競合優先考慮的適用十分法優于普通法原則,但在實踐中,有學者對司法實踐進行歸納后,發現該罪名成為名副其實的口袋罪,14其本質上能夠用于評價所有非法獲取電腦系統數據的行為。由于犯罪構成判定簡單、入罪標準較低、不需額外占用司法資源等原因,已經成為了多種犯罪行為的兜底性罪名。(三)濫用網絡爬蟲可能構成毀壞計算機信息系統罪正如前文所述,網絡爬蟲的附隨要素之一就是占用計算機信息系統資源(主要是網絡帶寬和硬件資源)。因而,濫用網絡爬蟲技術極有可能是導致目的計算機信息系統沒有空閑資源響應用戶的請求,一般表現為網站、服務不能正常訪問。為了維護互聯網正常秩序,倡導合理使用數據采集技術,全國網信辦于2022年5月28日發布(數據安全管理辦法〕(征求意見稿),第16條規定:網站運營者采取自動化手段訪問收集網站數據,不阻礙網站正常運行;此類行為嚴重影響網站運行,如自動化訪問收集流量超過網站日均流量三分之一,網站要求停止自動化訪問收集時,應當停止。這項條款也被稱為網絡爬蟲條款,立法者并未直接否認網絡爬蟲,而是要求行為人對技術的使用應盡到合理注意義務,避免危害結果發生。正是出于對本身合法權益的維護,網絡服務提供商才逐步研究、發展、使用了驗證碼等反爬機制。從濫用網絡爬蟲的危害結果進行審視,網絡爬蟲與DDOS攻擊行為在技術行為上幾乎是一致的,最大區別在于,DDOS系通過發送大量的虛假訪問請求,惡意擠占對象的網絡帶寬資源,進而到達干擾計算機信息系統正常運行的結果,行為人主觀罪過形式為存心故意;而網絡爬蟲在使用的經過中,可能由于行為人主觀上的存心故意或者過失,導致上述結果的出現。因而,我們不能在出現了計算機信息系統被干擾的情況下,僅通過訪問請求的真實性去認定犯罪,而同時應該結合對行為人主觀層面的考察。司法機關能夠通過下面要素判定行為人能否進到了合理注意義務,以區別其主觀上究竟是存心故意還是過失:第一,行為人能否在研發、使用網絡爬蟲程序之前,主動收集風險信息,合理研發、設計網絡爬蟲程序,確保網絡爬蟲之中立性。詳細而言,司法機關應核實行為人能否曾主動了解過被訪問計算機信息系統的性質(能否屬于三大領域)、訪問權限、被訪問數據的性質、被訪問計算機信息系統架構等信息。行為人能否在技術可行性的基礎上,曾開展過合法性論證。第二,行為人在使用網絡爬蟲的經過中,能否持續性地對網絡爬蟲的運行狀態進行監控、修正,保持網絡爬蟲工具在合法、合理的范圍內運行。在實踐中,行為人對網絡爬蟲的使用并非是一個靜止的樣態,而是一個動態的、不斷優化的經過。行為人在施行的經過中,必然牽涉到對網絡爬蟲進行優化,而這種優化的本質內容是在網絡爬蟲的效率和對目的計算機信息系統的影響程度之間進行平衡、取舍,能夠從客觀上反響行為人的主觀認知和意志,進而幫助司法機關進一步明確行為人的主觀構成要件。就本案而言,涉案程序自2021年以來共計訪問24659793次,屬于高頻訪問行為。但高頻訪問只是文義上的描繪敘述,應關注高頻訪問行為能否造成了刑法上的危害結果。在這里類案件中,一般危害結果表現為對目的計算機信息系統流量帶寬的占用能否到達了網站所能承受的上限,嚴重影響了其他用戶的使用。但偵查機關在取證經過中,沒有能提取車管所網站儲存的行為人訪問數據,未對訪問行為的流量與網站對車管流量進行比照,不能證實車管所網站在行為人使用網絡爬蟲的時間段內出現不能正常訪問的情況(