網絡爬蟲的刑法應對

付強 李濤

摘 要：網絡爬蟲作為一種新型的數據處理技術，使用價值與刑事風險兼具。對于網絡爬蟲的刑事法律應對，應當以網絡爬蟲附隨要素指向的法益為核心，關注網絡爬蟲的訪問權限和獲取數據的性質，同時兼顧考察行為人在使用技術過程中的合理注意義務，從而綜合判斷行為是否涉嫌犯罪以及罪名的適用。

關鍵詞：網絡爬蟲 授權 非法獲取計算機信息系統數據罪 破壞計算機信息系統罪 侵犯公民個人信息罪

一、問題的提出

2019年，隨著多家大數據公司因為利用網絡爬蟲技術非法獲取數據被公安機關立案調查，網絡爬蟲的犯罪邊界問題成為互聯網業界、法學界關注的熱點。在嚴厲打擊網絡犯罪的高壓態勢之下，可以預見到，將會有更多的類似案例出現，以往已經被互聯網業界習以為常的技術行為可能需要重新接受道德、社會規范乃至刑事法律的檢驗。司法機關在辦理此類案件過程中，不僅需要破除跨專業學科造成的知識鴻溝，準確理解技術行為的特征，更需要全面審視技術行為的內在價值與必要性，綜合判斷行為的社會危害性，堅守罪刑法定原則，秉持刑法的謙抑性，慎用刑事制裁手段。結合一起實際案例，筆者擬通過通過數據訪問權限、數據性質、合理使用義務三個不同的角度理清網絡爬蟲的犯罪邊界。

（一）基本案情

2016年7月至2017年5月期間，行為人史某在某市家中，通過自行研發的計算機程序訪問某市交通管理局車輛管理所（以下簡稱“車管所”）網上選號系統，批量查詢某市車輛號碼牌照資源使用情況，同時自建數據庫系統對號碼牌照資源使用情況予以記錄、更新。現有證據可以證實，僅2017年以來，行為人史某利用上述程序共計訪問車管所網上選號系統24659793次，獲取某市車牌號碼數量200多萬個，通過在淘寶上出售相關數據庫查詢權限，獲利人民幣4萬余元。

經查，行為人實施的具體行為：史某通過對網上選號系統進行研究，按照該系統的驗證邏輯編寫對應的網絡爬蟲程序，并將其部署在境外服務器上，在設定的時間段內（一般是晚上）訪問網上選號系統，批量獲取車牌號碼使用情況數據。其工作原理如下：第一，自動生成符合車管所網上選號系統校驗規則的信息，如身份證號碼、姓名等。第二，使用“打碼”平臺自動應對選號系統的驗證碼功能。第三，訪問車管所選號系統，按照正常選號流程進行號牌預選操作，通過邏輯條件判斷號碼資源是否被占用，并將相關信息更新至數據庫。

（二）分歧意見

在案件辦理過程中，司法機關主要產生了兩種不同的分歧意見。

第一種意見認為，史某在網絡爬蟲程序中附加使用“打碼”技術，屬于未經授權進行訪問，構成非法獲取計算機信息系統數據罪。

第二種意見認為，在否定第一種意見的基礎上，應重點考察史某是否存在濫用網絡爬蟲的情況，其行為涉嫌破壞計算機信息系統罪，但因證據不足，應對其作存疑不起訴處理。

筆者贊同第二種意見，理由在于：對于網絡爬蟲犯罪邊界的合理區分，應當以網絡爬蟲附隨要素與法益為框架，關注網絡爬蟲的訪問權限和數據性質，兼顧考察行為人的合理注意義務。為明確觀點，筆者有必要對網絡爬蟲的概念、附隨要素及其法律屬性進行簡要的介紹。

二、網絡爬蟲的概念及法律屬性

（一）網絡爬蟲的概念

網絡爬蟲（英語：web crawler），也叫網絡蜘蛛（spider），是一種可以自動化訪問并收集目標計算機信息系統數據的程序，設計初衷是通過計算機技術手段自動為網站編纂索引，并不斷更新信息。因為網絡爬蟲可以高效地實現信息的讀取、儲存等工作，在搜索引擎應用之外，也往往被用于訪問特定網站，依照開發者設計的規則讀取、保存特定信息。網絡爬蟲種類繁多，一般來說，我們可以以部署環境、使用場景對爬蟲進行分類。

從部署環境來看，一般將網絡爬蟲分為服務器爬蟲和客戶端爬蟲兩個類型。兩者的區別好比制式相同卻采用不同口徑彈藥的自動步槍，實際功能基本一致，但是服務器爬蟲可以通過借助服務器端更具優勢的計算機信息系統資源——多線程和更大的帶寬，在同一時間內訪問更多的信息資源。

從使用場景來看，一般將網絡爬蟲分為通用爬蟲、聚焦爬蟲兩種類型。通用網絡爬蟲，又稱為全站爬蟲，它的主要功能是從互聯網中搜集網頁、采集信息，并下載到本地，形成一個互聯網資源的備份鏡像。這些備份鏡像可以用于為搜索引擎建立索引提供支持，而備份鏡像文件的數據量決定著整個引擎系統的可用性，包括信息更新是否及時、涵蓋內容是否豐富等，而這正是搜索引擎系統（Baidu、Google、Bing等）的基礎。

（二）網絡爬蟲的附隨要素

我國法理學家張文顯曾論述，如果精確地解釋和確定法律概念的意義， 就能夠精確地描述法律現象， 正確地進行法律推理。[1]網絡爬蟲通常來說有三種基本功能，分別是：訪問、下載、解析。訪問，是指網絡爬蟲依據代碼設定的邏輯，向計算機信息系統發送訪問請求，以期訪問數據;下載，是指將目標計算機信息系統儲存的數據傳輸、儲存到本地或指定的計算機信息系統中;解析，是指對計算機信息系統數據的內容進行分析、篩選。一般而言，這三種基礎性的功能本身并不會對計算機信息系統數據進行增加、刪除、修改操作。如果我們將網絡爬蟲放置于使用場景下進行考察，網絡爬蟲在共同的基本功能之上同時也受到一些共同的要素影響，我們可以將這些要素理解為網絡爬蟲的附隨要素，具體包括以下內容：

1.網絡爬蟲是否具有訪問數據的權限

網絡爬蟲程序運行的前提是必須具有明確的訪問目標，而訪問權限也是網絡爬蟲面對的第一個門檻。對網絡爬蟲是否具有訪問數據權限的判斷等同于危害計算機信息系統及數據安全刑事案件中的違法性判斷的核心要素——“未經授權或者超越授權”。

2.網絡爬蟲獲取數據的性質與范圍

網絡爬蟲可以按照編寫者的設計，獲取特定或不特定的數據。這其中不僅包括了人類可以感知的、具有信息意義的數據資源（如圖片、文字、視頻等），也可能包括本身應交由計算機信息系統進行解讀的非可視性的數據內容 [2]（如CSS數據、網站根目錄、數據庫文件等）。網站控制者可能會基于計算機信息系統安全、原創性設計、隱私等考慮，拒絕他人獲取上述數據。

3.網絡爬蟲對計算機信息系統流量帶寬和計算資源造成的影響

網絡爬蟲作為一種高效、自動化的計算機信息系統程序，對目標網站的訪問頻次遠遠高于一般正常的人類用戶，在運行的過程中往往容易對目標網站計算機信息系統資源（一般是指服務器流量帶寬和計算資源）造成大量消耗，導致目標網站因缺乏足夠的帶寬和計算機資源以至于無法響應其他用戶的訪問請求。

（三）網絡爬蟲的法律屬性

出于對網絡爬蟲所引發的網絡安全與隱私的考慮，1994年，由荷蘭工程師Martijn Koster提出了一份行業技術規范，并在此基礎之上，逐漸發展出了一套完整的網絡爬蟲使用技術規范-Robots.txt協議[3]。Robots協議，英文全稱Robots Exclusion Protocol，其被設計者儲存于網站根目錄下的ASCII編碼的文本文件，網站站長可以通過代碼注明以下信息：該網站是否允許網絡爬蟲抓取某一類特定的數據。近25年以來“Robots協議由于簡單、高效，成為國內外互聯網行業內普遍通行、普遍遵守的技術規范”[4]。但Robots協議本身并不具備任何的約束力。至今，在Robots官網上最顯著的位置，依然有這樣一份聲明，其強調了Robots協議并非官方標準，不具備任何強制執行力。在我國，第一個對Robots協議的法律性質作為較為完整論述的見于百度公司VS.奇虎360案，在該案件判決中，法院就Robots協議的法律屬性進行了討論，并做出如下認定：Robots協議是技術規范，并非法律意義上的協議;Robots協議系網站服務商或所有者在自行編寫，屬于單方宣示;但其同時承認，Robots協議在互聯網領域具有通用性，是一份可行的技術標準。[5]

筆者認為，在互聯網語境之下，存在著大量類似的技術行為，它們作為企業或用于挖掘商業價值、或用于維護自身權益的工具，已經成為了一種業界通行的商業慣例，進而成為一種特定的社會規范。這種新型的社會規范所伴隨的法益“對傳統刑法學具有釜底抽薪的效應。”[6]對于新型網絡犯罪而言，司法者如果刻意忽視這種社會規范，甚至以個人價值覆蓋社會規范，無疑會與實踐產生極大的分歧。因此，網絡爬蟲法律屬性的確定，必須需要回到計算機技術領域的視角下回答。

1.訪問屬性

訪問數據就是網絡爬蟲的本質屬性，也是其行為的起點，而因為訪問權限的設立，致使網絡爬蟲存在未經授權或者超越授權訪問數據的可能性，在實踐中，對“授權”的設計具體可能表現為：訪問權限控制存在多種不同的機制。在傳統計算機信息傳統安全框架下，用戶身份認證信息是最經典也是最關鍵的權限控制方式。同時，也存在其他依附于該機制所構建的補充機制，如對訪問請求的IP地址范圍進行授權控制;又比如利用機器人協議和驗證碼機制對訪問對象進行授權限制。在網絡爬蟲的場景下，業內一般將用戶身份認證信息之外的措施稱之為反爬機制。在實踐中，有司法人士在案件論證中將反爬機制引入作為“未經收入或者超越授權”論理的立足點，認為：“被告單位正是偽造了 device_id 繞過了服務器的身份校驗，并使用偽造 UA 及 IP 繞過服務器的訪問頻率限制才實行了對被害單位服務器數據庫的訪問。被告單位繞過APP客戶端與被害單位網站服務器端的身份驗證系統，行為性質實際就已經屬于非法侵入被害單位的計算機信息系統了”。[7]對此，筆者不能贊同。這種論證的本質偏差在于將反爬機制與前述的用戶身份認證信息作等同性理解，這種理解不僅導致刑事規制的不適當擴大，也反應了司法實踐人員對技術知識的誤解。

我國刑法第285條非法侵入計算機信息系統罪的立法之初，主要針對的是以黑客攻擊等手段，突破控制者設立的安全保護措施的不法行為。喻海松法官認為“與計算機信息系統安全相關的數據中最為重要的是用于認證用戶身份的身份認證信息（如口令、證書等），此類數據通常是網絡安全的第一道防線，也是網絡盜竊的最主要對象”。[8]這種結論并非是人為構造概念或者法益，而是對于計算機信息系統安全保護的深刻洞察、總結。我們反觀互聯網發展的歷史，身份認證信息系統無疑是用來保護計算機信息系統和數據安全的最佳形式，它同時兼備了向用戶（人類）和計算機信息系統同時進行“授權”聲明的特質，不僅符合實際安全需要，而且符合社會規范的形式。正如國外著名的網絡法學者Orin S. Kerr論述：“借助用戶身份認證系統，網站主體可以在互聯網中劃分出明確的兩個區域，開放空間和非開放空間。”[9]

而針對網絡爬蟲的反爬機制與用戶身份認證信息機制在規制對象上是不同的，這是為了保護不同的法益而發展出的兩種完全不同的技術措施。反爬機制的構建并不需要以用戶身份認證信息為必備條件，其技術原理是通過對用戶的訪問IP＼UA＼訪問頻率等數據進行條件篩選進而屏蔽訪問請求。因此不難看出，其技術本身也暗含著一種“授權”，司法人員對這種授權理解為：“不是通過真實的 UA 和 IP 進行的訪問，均是無權限的非法訪問”。這種理解具有一定違和之處：當一名真實的用戶通過VPN訪問該網站時，因為使用的不是真實IP，所以形成了無權限的非法訪問。甚至于可以得出一種結論，司法人員試圖用刑法保護網站對于用戶行為的選擇權，任何用戶一旦違反網站的要求，就會有涉嫌觸犯刑法的可能性。這個結論無疑是荒謬的，也難以讓人接受。這也正是對刑法285條內涵“授權”理解的過度解讀帶來的消極結果。而由于司法人員對反爬機制的錯誤理解，導致其在論證的過程中并未意識到與反爬機制密切相關的法益侵害問題。

2.中性化的程序、工具屬性

我國刑法第285條第3款規定了“專門用于侵入、非法控制計算機信息系統的程序、工具”，這實質上是對某類特定技術行為直接予以否定性評價。筆者認為，可以從該條款入手，探討網絡爬蟲本身的價值與法律屬性。

從罪狀來看，“專門”是界定一項技術是否被納入285條第3款予以規制的核心要素。刑法語意下的“專門”，是指“行為人所提供的程序、工具只能用于實施非法侵入、非法控制計算機信息系統的用途”。[10]立法者在設計該罪名構成要件時，顯然考慮認識到涉計算機信息系統類犯罪的客觀行為完全可以由中性程序予以實施。通過“專門”二字對行為人研發程序、工具的主觀目的進行限定，從而避免了中性程序因為被用于犯罪而被刑事司法全面否定的情況，為中性程序、工具預留出罪路徑，兼顧了打擊犯罪和保障技術發展的需求。

從實踐來看，網絡爬蟲的誕生有其必然性與合理性。萬物互聯時代的本質是信息借助計算機信息系統數據為載體，以互聯網為脈絡，跨實踐、地域、文化進行流轉，而一旦數據脫離流轉，成為一灘“死水”，那計算機信息系統不過是一臺大型的“計算器”，互聯網也將失去“生命力”，其也必然不會成為現代社會不可或缺的工具。為應對海量數據，自動化處理數據技術的發展成為唯一的解決出路，而網絡爬蟲應運而生。不難看出，“數據流轉”是一個典型的中性化的詞語，在互聯網語境之下，任何行為均是數據的流轉。瀏覽網頁是數據的流轉，非法獲取計算機信息系統同樣是數據的流轉。而作為數據流轉工具之一的網絡爬蟲，也只是為實現數據流轉所不可缺的一種中性化的工具。

三、網絡爬蟲的刑法應對

刑法適用的基本原則要求主客觀相一致，而技術行為的客觀特征決定了司法機關開展刑事規制的切入點。結合本案，筆者將進一步闡述，刑事法律在面對網絡爬蟲乃至具有相同技術特征的行為時，如何從數據訪問權限、數據性質、合理注意義務三個層面進行判斷、適用。

（一）數據訪問權限的合法性論證

刑法目的之一是保障社會價值，維護社會管理秩序。計算機信息系統數據之所以值得被刑法保護，是因為在互聯網社會背景之下，數據往往承載著特定的價值，如對公民而言，公民個人信息類數據具有多重價值，關系到公民的人身安全、隱私、財產安全等;如對企業而言，計算機信息系統數據往往本身就是商業秘密的內容，內涵經濟利益;如對國家而言，關鍵基礎設施的地理位置等關系到國防安全等價值，其以電子數據的形式呈現，如GPS標示等，則理應被刑法保護。而法律對上述數據的保護又充分考慮到其流動性的問題，以數據所有者是否“自愿、知情”為依據對數據獲取的方式進行違法性判斷。如行為人在數據所有者不知情、不自愿的情況下獲取了相關數據，其違法性顯而易見。《全國人民代表大會常務委員會關于加強網絡信息保護的決定》，《網絡安全法》等法律規定也對上述判斷方式進行明確性規定。

而本案中，車牌號碼系車管所基于“自愿、知情”的前提條件下，通過計算機信息系統，允許民眾查詢的計算機數據，具有公開性（部分外地車管所采用公開宣告而非查詢的方式也可以提供“公開性”的例證）的特征，法律本身并沒有對公民獲取數據的數量、查詢的次數進行規定。因此，第一種意見將注意力集中在“打碼”技術上，認為通過機器學習、他人代填等非用戶自主填寫驗證碼的行為屬于未經授權的行為。筆者對該意見不予贊同。有學者曾論述，非法數據訪問和非法獲取數據兩種基本行為方式，分別對應數據支配權限、數據知悉狀態兩個數據安全的本質特征。[11]一種訪問行為任意違反了上述兩個特征之一，有可能被評價為非法獲取計算機信息系統數據罪。但第一種意見顯然錯誤地理解了技術行為與指向的保護對象。

驗證碼機制在業界有多種技術標準，以CAPTCHA為例：其全稱是計算機和人類的圖靈測試（Completely Automated Public Turing test to tell Computers and Humans Apart，簡稱CAPTCHA），是由谷歌公司研發的、一種較為常見的、并被廣泛采用的公共全自動程序，其設計的目的是防止計算機程序自動、批量地訪問某一計算機信息系統資源，其本身與網站主體的用戶身份認證系統是相互獨立的兩個系統。用通俗的方式理解：網站用戶身份驗證系統的構建者是網站主體本身，與網站本身架構所關聯，直接影響到網站數據的獲取權限;而CAPTCHA的構建者是谷歌公司，其主體程序所依托的是谷歌圍繞CAPTCHA所架設的系統。CAPTCHA作為獨立的程序，即使通過其認證，亦同時需要正確的用戶身份認證信息方可通過用戶身份認證系統。

因此，驗證碼機制不過是另一種反爬機制，其與IP訪問限制、UA限制具有同樣的技術底色，所指向的保護對象并非是數據的支配狀態或知悉狀態，因此將違反這兩種技術的行為認定為“未經授權或超越授權”并適用刑法285條，實際上是犯了“張冠李戴”的錯誤。

（二）網絡爬蟲獲取的數據性質影響罪名的適用，非法獲取計算機信息系統數據罪與其他罪名可能存在競合的可能性

盡管筆者并不認為行為人涉嫌非法獲取計算機信息系統數據罪，但本案事實涉及到車牌號碼數據，這就引發了一個有趣的問題——非法獲取計算機信息系統數據罪與侵犯公民個人信息罪在實踐中的競合適用。在當代互聯網社會，公民個人信息與計算機信息系統數據有天然的重合性，數據作為信息的載體，勢必會導致以其為對象的犯罪競合。有觀點認為，侵犯公民個人信息罪與非法獲取計算機信息系統數據罪的適用：“由于只有一個犯罪行為，屬于刑法中的想象競合犯，按照處理一個犯罪形態的規則，應當從一重罪處斷。”[12]。筆者對這種觀點不予贊同。當范圍限定于以電子數據形式保存的公民個人信息，兩罪在邏輯上存在著交叉競合關系，這種競合是因為在立法時對罪狀進行列舉造成的法律規范的競合。兩罪之間關系可以從身份認證信息與公民個人信息的關系推衍，在公民個人信息定義中，身份認證信息無疑是作為構成公民個人信息概念的一個子集，將內容單一的身份認證信息作為普通要素，而將構成更加繁復的公民個人信息作為特別要素，區分對待，也正體現兩個罪名的立法邏輯，因此非法獲取計算機信息系統數據屬于普通法，而侵犯公民個人信息屬于特殊法。在采用法條競合的觀點之下，可以直接得出上述情況適用侵犯公民個人信息罪的結論。[13]上述論證的邏輯，同樣適用于非法獲取計算機信息系統數據罪與侵犯商業秘密罪的竟合情況。一般而言，法條競合優先考慮的適用“特別法優于普通法”原則，但在實踐中，有學者對司法實踐進行歸納后，發現該罪名成為名副其實的“口袋罪”，[14]其實質上可以用于評價所有非法獲取電腦系統數據的行為。因為犯罪構成判斷簡單、入罪標準較低、不需額外占用司法資源等原因，已經成為了多種犯罪行為的兜底性罪名。

（三）濫用網絡爬蟲可能構成破壞計算機信息系統罪

正如前文所述，網絡爬蟲的附隨要素之一就是占用計算機信息系統資源（主要是網絡帶寬和硬件資源）。因此，濫用網絡爬蟲技術極有可能是導致目標計算機信息系統沒有空閑資源響應用戶的請求，一般表現為網站、服務不能正常訪問。為了維護互聯網正常秩序，倡導合理使用數據采集技術，全國網信辦于2019年5月28日發布《數據安全管理辦法》（征求意見稿），第16條規定：“網站運營者采取自動化手段訪問收集網站數據，不妨礙網站正常運行;此類行為嚴重影響網站運行，如自動化訪問收集流量超過網站日均流量三分之一，網站要求停止自動化訪問收集時，應當停止”。這項條款也被稱為“網絡爬蟲”條款，立法者并未直接否定網絡爬蟲，而是要求行為人對技術的使用應盡到合理注意義務，避免危害結果發生。正是出于對自身合法權益的維護，網絡服務提供商才逐漸研究、發展、使用了驗證碼等反爬機制。

從濫用網絡爬蟲的危害結果進行審視，網絡爬蟲與DDOS攻擊行為在技術行為上幾乎是一致的，最大區別在于，DDOS系通過發送大量的虛假訪問請求，惡意擠占對象的網絡帶寬資源，從而達到干擾計算機信息系統正常運行的結果，行為人主觀罪過形式為故意;而網絡爬蟲在使用的過程中，可能因為行為人主觀上的故意或者過失，導致上述結果的出現。因此，我們不能在出現了計算機信息系統被干擾的情況下，僅通過訪問請求的真實性去認定犯罪，而同時應該結合對行為人主觀層面的考察。司法機關可以通過以下要素判斷行為人是否進到了合理注意義務，以區別其主觀上究竟是故意還是過失：

第一，行為人是否在研發、使用網絡爬蟲程序之前，主動收集風險信息，合理研發、設計網絡爬蟲程序，確保網絡爬蟲之中立性。具體而言，司法機關應核實行為人是否曾主動了解過被訪問計算機信息系統的性質（是否屬于“三大領域”）、訪問權限、被訪問數據的性質、被訪問計算機信息系統架構等信息。行為人是否在技術可行性的基礎上，曾開展過合法性論證。

第二，行為人在使用網絡爬蟲的過程中，是否持續性地對網絡爬蟲的運行狀態進行監控、修正，保持網絡爬蟲工具在合法、合理的范圍內運行。在實踐中，行為人對網絡爬蟲的使用并非是一個靜止的樣態，而是一個動態的、不斷優化的過程。行為人在實施的過程中，必然涉及到對網絡爬蟲進行優化，而這種優化的實質內容是在網絡爬蟲的效率和對目標計算機信息系統的影響程度之間進行平衡、取舍，可以從客觀上反應行為人的主觀認知和意志，從而幫助司法機關進一步明確行為人的主觀構成要件。

就本案而言，涉案程序自2017年以來共計訪問24659793次，屬于高頻訪問行為。但高頻訪問只是文義上的描述，應關注高頻訪問行為是否造成了刑法上的危害結果。在此類案件中，一般危害結果表現為對目標計算機信息系統流量帶寬的占用是否達到了網站所能承受的上限，嚴重影響了其他用戶的使用。但偵查機關在取證過程中，未能提取車管所網站儲存的行為人訪問數據，未對訪問行為的流量與網站對車管流量進行對比，不能證實車管所網站在行為人使用網絡爬蟲的時間段內出現不能正常訪問的情況（包括不能訪問的持續時間），因此導致無法認定其行為符合破壞計算機信息系統罪的入罪標準。同時，檢察機關注意到，行為人將網絡爬蟲設定的時間為凌晨，此段時間內網站訪問人數較少，說明行為人有意避免網絡爬蟲影響到目標計算機信息系統的正常運轉，其主觀罪過形式可能系過失而非故意。因此，綜合全案證據情況考慮，檢察機關采取了第二種意見，作存疑不起訴處理。

注釋：

[1]參見張文顯：《法哲學范疇研究》，中國政法大學出版社2001年版，第69頁。

[2]參見非可視性并不等于非可獲得。一般而言，非可視性數據主要是指計算機信息系統程序在正常使用過程中需要處理的某類數據，這類數據并不直接體現為用戶在前端網頁上可以閱讀的內容。比如網頁的CSS樣式、數據庫、API接口等。

[3]國內一般翻譯為機器人協議、爬蟲協議。

[4]李慧敏、孫佳亮：《論爬蟲抓取數據行為的法律邊界》，《電子知識產權》2018年第12期。

[5]參見中國裁判文書網某市第一中級人民法院（2013）一中民初字第2668號刑事判決書。

[6]孫道萃：《網絡刑法知識轉型與立法回應》，《現代法學》2017年第1期。

[7]游濤、計莉卉：《使用網絡爬蟲獲取數據行為的刑事責任認定》，《法律適用》2019年第10期。

[8]喻海松： 《〈關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋〉的理解與適用》，《人民司法》2011年第19期。

[9]Orin S. Kerr， Norms of Computer Trespass， 116 Colum. L. Rev. 1143， 1161 （2016）。

[10]參見全國人大常委會法制工作委員會刑法室：《中華人民共和國刑法條文說明、立法理由及相關規定》，北京大學出版社2009年版，第592頁。

[11]參見于志剛、李源粒：《大數據時代數據犯罪的類型化與制裁思路》，《政治與法律》2016年第9期。

[12]喻海松：《網絡犯罪二十講》，法律出版社2018年版，第234頁。

[13]參見陳興良：《走向教義的刑法學》，北京大學出版社2018年版，第347頁。

[14]參見楊志瓊：《非法獲取計算機信息系統數據罪“口袋化”的實證分析及其處理路徑》，《法學評論》2018年第6期。