抓取個人信息行為的法律解析：表征、性質與規制路徑

秦大強

（上海公安學院，上海 200137）

數字時代，小到在線社交、移動支付，大到產業發展、城市治理，民眾的一切在線活動均被予以即時性數字化展現，隨之產生海量的以“人”為核心的網絡信息數據。這些數據被新興互聯網企業視為核心資產，并因相互間通過技術獲取而引發諸多問題爭議①丁曉東,數據到底屬于誰——從網絡爬蟲看平臺數據權屬與數據保護[J].華東政法大學學報,2019,(5):69-83.第70頁.。作為爭議焦點的爬蟲技術，因其高效、海量、便捷獲取網絡信息數據能力被廣泛應用于各類信息數據的深度收集，成為大數據產業野蠻擴張的主要工具，甚至是被用來大肆抓取網絡空間的公民個人信息。當前，個人信息保護已成為廣大人民群眾最關心最直接最現實的利益問題之一②參見：全國人大法工委《關于〈中華人民共和國個人信息保護法（草案）〉的說明》，來源：https://www.thepaper.cn/newsDetail_forward_9665985，最后訪問時間：2021年6月1日。。依法規制利用爬蟲技術抓取公民個人信息行為，對保護公民個人信息、規范網絡空間社會秩序、遏制因個人信息濫用引發的新型網絡違法犯罪具有重要意義。

一、抓取個人信息行為表征分析

（一）爬蟲技術及其爭議

網絡爬蟲（Web Crawler），也叫網絡蜘蛛（Web Spider），是互聯網時代一項運用非常普遍的網絡信息搜索技術。爬蟲技術的本質是自動抓取程序，“通過遍歷網絡內容，按照指定規則提取所需的網頁數據，并下載到本地形成互聯網網頁鏡像備份的程序”①李慧敏，孫佳亮.論爬蟲抓取數據行為的法律邊界[J]. 電子知識產權，2018，（12）：58-67.。網絡爬蟲為海量信息的分類獲取提供技術基礎，“某種意義上講，只要涉及信息搜集，就勢必會運用到爬蟲技術”②林維. 數據爬取行為的刑事司法認定[J]. 人民檢察，2020，（4）：38-40.，而其與智能算法的深度應用極大地促進了信息數據的“挖掘/共享-分析-利用”多維度循環，推動了互聯網生態的多元繁榮。

但是相對于數字化采集與存儲的原生態，網絡爬蟲猶如其名，自始就是一種寄生的姿態，因其鏈接而獲得展示、推廣的數據所有者對其并無甚介意，但數據產權和數據人格視角下的所有者則通過設置robots協議或反爬技術對其異議不斷，并迅速從主張民事上的不正當競爭擴展至要求對其進行行政、刑事規制。新浪微博訴鷹擊系統一案③參見北京市知識產權法院（2019）京73民終某號民事判決書。中，蟻坊公司使用非搜索引擎類網絡爬蟲，未經授權大量采集對方網站數據并緩存，被法院認為屬于“通過不正當手段獲取新浪微博數據”的違法行為。而伴隨網絡借貸迅速崛起的某某科技等風控數據提供商，“通過后臺‘爬蟲’搜集信息，將通話信息、消費數據等互聯網信息整合標準化，最終形成對借款人的綜合評估”④參見：《爬蟲涼涼！摩羯科技被查、聚信立等紛紛停業》，來源：https://news.p2peye.com/article-550019-1.html，最后訪問時間：2021年6月1日。，涉嫌過度收集公民個人信息被警方調查。

網絡爬蟲侵權過程并不止步于數據的獲取環節，抓取數據之后的泄露、濫用還會伴生出下游犯罪、社會分層、消費操控等衍生性、繼發性新型損害⑤葉名怡. 個人信息的侵權法保護[J]. 法學研究，2018，（4）：90-92.。在當前隱私保護相對薄弱、數據安全漏洞頻出的網絡環境下，爬蟲技術因其與信息來源違法、過度爬取、信息濫用以及助長下游犯罪等問題的頻繁交織而占上輿論風口，由原本的“中立技術”逐步向“道德可疑”直至“違法技術”嬗變⑥劉艷紅. 網絡爬蟲行為的刑事規制研究[J]. 政治與法律，2019，（11）：16-27.，一度從業人員談“蟲”色變、人人自危。

（二）網絡公民個人信息評價

當前我國法律關于公民個人信息定義的規定主要有《個人信息保護法》第4條、《民法典》第1034條以及《網絡安全法》第76條。綜合來看，三者關注個人信息的主要載體都是電子，也即是網絡空間公民個人信息，在具體信息類別上強調“識別性”，凡是能夠直接或間接識別特定個人的信息，均為個人信息。這一規定以擴張性的態勢來應對未來個人信息保護的不確定性，但從法律適用的角度出發，“法律擴張公民個人信息保護范圍，是對于信息時代侵犯公民個人信息犯罪的積極回應，但沒有框架限制和原則指導的擴張亦存在違背罪刑法定原則之嫌。”⑦王佳，朱佳樂. 厘清公民個人信息刑法保護邊界[N]. 檢察日報，2020-10-26.因此，有必要從具體的場景、識別、權屬出發，以限縮的視角對網絡公民個人信息進行評價。

1. 場景：信息獲取的告知與同意。對于網絡空間個人信息，任何第三方作出獲取、更正或刪除等行為，都必須在公平程序下在具體的適合場景（Context Appropriate）中完成①Reardon M. Democrats push for 'Internet Bill of Rights' to protect your privacy[EB/OL]. https://www.cnet.com/news/democrats-push-for-an-internet-bill-of-rights-to-protect-consumer-privacy/，最后訪問時間：2021年6月2日。。嚴格地講，在具體的場景之外網絡空間不應有公民個人信息的存在。而在具體的場景之中，網絡主體獲取公民個人信息亦必須進行明確的告知并征得該公民的直接同意。因此，網絡公民個人信息的合法存在必須是基于一定具體的場景，且同時具備告知與同意的二維標簽。

2. 識別：法定保護的范圍與強度。智能算法和大數據環境顛覆了網絡空間對“人”的識別邏輯，過去由姓名或身份至個性標簽的識別過程，轉變為由圈子文化、消費記錄、軌跡信息、瀏覽痕跡等碎片化個性特征到具體的姓名或身份。基此邏輯，網絡空間的任何信息都可以最終擴張到公民個人信息范疇，但“法律的過度介入也必然壓縮數據科技的發展空間”②楊楠.個人信息“可識別性”擴張之反思與限縮[J].大連理工大學學報（社會科學版），2021，42，（2）：98-107.，因此在評價網絡公民個人信息的時，有必要以可識別的程度來限縮保護的范圍和強度。

3. 權屬：平臺共生的焦點與格局。在網絡化、數字化、智能化發展變革的推動下，“人類進入了‘要么加入平臺，要么被平臺所消滅’的平臺經濟時代”③馬長山. 數字社會的治理邏輯及其法治化展開[J]. 法律科學（西北政法大學學報），2020，（5）.。網絡平臺是數據的收集者、使用者、保存者，以數據為自身發展和財富積累的根本，而網絡空間一切數據的核心是控制財富流動的具體的人。因此，在具體的環境場域中評價網絡空間公民個人信息，還必須從各類數據深度融合、交織共生背后的具體平臺從發，以數據的權屬作為最終焦點。

（三）抓取個人信息行為表征

基于前述概念，抓取個人信息，通常是指利用計算機編寫特定的爬蟲程序在網絡空間收集公民個人信息的行為。該行為以信息網絡為依托，以爬蟲技術為工具，以完整的或碎片化的公民個人信息為目標，是基于一定目的自動收集行為。鑒于爬蟲技術的特性，與傳統信息收集行為相比，網絡抓取公民個人信息行為呈現出更加復雜的表征。

1. 目標涵攝一切網絡空間個人信息。基于智能算法的深度應用，“計算機科學正在將你的生活轉化成他人的商機”④馬爾克·杜甘，克里斯托夫·拉貝. 赤裸裸的人：大數據，隱私與窺視[M]. 上海：上海科學技術出版社，2017：142.，凡是以數字化記載的個人生活信息，都悉數囊卷于當下數字經濟的縱深拓展。也正因此，網絡抓取公民個人信息的目標并非停留于指向直接可識別的姓名、電話、住址、工作單位、身份證號碼以及就診記錄、銀行流水、車輛號牌、實名賬號等公民個人信息，包括公民的行車軌跡、瀏覽痕跡、消費記錄、網站點評等間接可識別信息也涵攝其中。換言之，網絡空間一切要素完整的或簡單碎片的、直接顯示的或深度關聯的、靜態表面的或動態深層的個人信息都無所幸免地成為網絡抓取的目標。

2. 手段表征為窮盡一切的深度收集。從縱深看，在交互性數據勾連的虛擬空間內，“網絡爬蟲的工作機制依賴于互聯網的超級鏈接網絡”⑤王成軍.“今曰頭條”的技術邏輯:網絡爬蟲＋矩陣篩選[J]. 傳媒評論，2015，（10）：34-37.，無論是廣度優先還是深度優先，均不受時間和物理地點的限制。從目的看，每一款爬蟲產品的設計均基于一定的目標，一旦觸發即自動化無限制穿梭于不公開的深層網頁中，都可以實現對對象空間的無限檢索和目標信息的深度收集。從頻次看，自動化的抓取目標數據行為觸發極其頻繁，與正常的人工網頁搜索存在天壤之別，而且非善意的爬蟲使用者通常會在目標網頁投放大量的爬蟲來獲取多次且大量的數據。從技術看，爬取的對象和目標都只是具體設置中的一個象征性的“數值”，而非技術本身的“能力”極限，基于特定目標可以“變態”爬取一切數據。

3. 過程伴生著個人信息的永續失控。一切被數字化記載于網絡空間的個人信息都具有商業價值，是當前市場分析、產品開發、消費畫像、個性推送和精準營銷等商業行為的數據基礎，而商業誘惑的背后則是無止境的信息收集與存儲、流轉與衍生。“公私機構對個人信息的廣泛需求還催生了專門的個人信息服務提供者，后者通過大量收集個人信息，形成各種類型的個人信息庫，對外提供查詢或租賃乃至銷售等信息服務”①張新寶. 從隱私到個人信息:利益再衡量的理論與制度安排[J]. 中國法學，2015，（3）：38-59.。“為精準對接用戶需求而衍生的網絡黑灰產上游犯罪本質上是對個人信息的侵害”②劉憲權. 網絡黑灰產上游犯罪的刑法規制[J]. 國家檢察官學院學報，2021，（1）：3-17.，在網絡瞬時性傳播環境下，這些信息數據一旦被抓取脫離最初的場域，便會有違最初收集目的而伴生著非法存儲、使用、流轉等，完全進入一種不可逆的失控狀態，對公民的人格尊嚴和個人自由造成無限次侵害，甚至將流轉于網絡詐騙、暴力催債等嚴重侵害了公民人身財產安全的刑事違法犯罪。

二、抓取個人信息行為的法律性質

數字時代，“數據和信息變成了基本的生產要素、新興的財富源泉甚至重要的控制力量”③馬長山. 數字時代的人權保護境遇及其應對[J]. 求是學刊，2020，（4）：103-111.，網絡空間的公民個人信息呈現出多元交織、利益消長、秩序多維的共生格局：自然人視角下是人格權和財產權等私權益的限縮保護，企業等營利法人則積極謀求智能算法下的數據財產權以及拓展商品和服務提供個性化、精準度的運維自由，而公共管理部門則基于個人信息的收集分析來防范和化解管理風險、提升社會治理能力。因此，解析網絡抓取公民個人信息行為的法律性質，必須從網絡空間公民個人信息背后的主體授權、權益保護出發，在具體的環境場域中展開。

（一）行為是否合法的本質是主體授權同意

個人信息保護的實質是對信息主體的權益加以保護，是“保護個人信息主體不因信息處理而受到侵害，是針對個人信息處理行為可能對主體帶來的侵害進行的保護”④高富平，李群濤. 個人信息主體權利的性質和行使規范[J]. 上海政法學院學報（法治論叢），2020，（6）：40-51.，主體及其權益是涉個人信息保護的要義所在。而主體的授權同意是網絡空間個人信息存在及流轉的基礎，是一切基于個人信息實現權益讓渡、衍生或再生的根本。依據《個人信息保護法》《民法典》，當前個人信息保護規范的要旨是個人信息收集和使用應遵循合法、正當、必要等原則，經被收集者同意收集和保存后應當依法處理或使用。因此，網絡抓取公民個人信息行為是否合法的根本在于是否獲得了信息主體的真正授權同意。

1. 公開系征得授權同意的例外。網絡的意義在于信息的聚集鏈接與開放共享，數據控制者可以和個人明確約定無需征得同意即將其公開的個人信息作為商業使用并向第三方披露。最基本的網絡爬蟲只能以這部分由個人主動公開的信息為獲取對象，這是由其本身的代碼方式所決定，若要進入封閉系統則必須獲得相關數據源或數據主體的授權。在檢索信息主體自行公開或合法公開披露的信息時，爬蟲在不侵害計算機系統運行安全的情況下與普通人的訪問并無實質區別。《個人信息保護法》第13條第六項規定：“依照本法規定在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息”無需征得個人同意①參見：《中華人民共和國個人信息保護法》，來源：http://www.npc.gov.cn/npc/c30834/202108/a8c4e3672c74491a80b53a172bb753fe.shtml，最后訪問時間：2021年9月24日。。2020年10月1日實施的《個人信息安全規范》（GB/T 35273-2020）第五條第六款也規定了多種不必征得信息主體授權同意也可以收集的情形，其中包括個人信息主體自行向社會公開的、根據要求簽訂和履行合同所必需的以及從合法公開披露的信息中收集個人信息。因此，以主體自行公開或平臺合法公開的個人信息為對象的爬取行為并不違法。

2. 個人同意并不完全等于授權。《個人信息保護法》第13-16條、第31條和《民法典》第1035條，都將“征得該自然人或者其監護人同意”視為個人信息處理行為合法的條件之一；則兩者都處理個人信息免責的條件之一是既要征得主體“同意”又要在同意的范圍內“合理實施”。可見，主體同意并沒有為信息處理者創設自由，不產生“授權”的法律效果，概括同意或推定同意的授權模式已明確為法律所禁止。因此，抓取公民個人信息行為作為對已沉淀于特定網絡數據控制者的信息次收集，其合法的基礎是“一個原則、三個條件”：抓取行為是否遵循合法、正當、必要原則，是否征得個人的同意，抓取的范圍是否合理，數據控制者提供或公開的被爬數據是否屬于依法被授權。換言之，除已獲得個人對數據控制者允許數據被處理的明確授權或屬于《個人信息保護法》第13條第七款、《民法典》第1035條第一款“法律、行政法規另有規定”的情形，以公民個人信息為對象的網絡抓取行為均不具有合法性的基礎。

3. 個人授權無需再經平臺同意。形式上看，網絡平臺上的沉淀的一切個人信息均已被該具體的予以平臺個性化加持，形成了個人及網絡平臺雙重共有的財產權益，抓取方獲取數據需滿足個人信息主體和網絡平臺的“雙重授權”原則。但實質上，個人信息沉淀于網絡平臺前提是信息主體的授權許可，平臺是否享有財產利益“取決于數據主體對自身的財產利益是否進行了處分”②任丹麗. 民法典框架下個人數據財產法益的體系構建[J]. 法學論壇. 2021，36（02）：89-98.，且平臺的財產利益無法對抗信息主體。個人有權通過一定的方式訪問、查詢、下載或復制網絡平臺上的數據信息，若抓取數據方基于合同關系獲得個人授權，以特定賬戶加密碼等方式訪問、查詢、復制這些信息，等同于該網絡平臺用戶自己在登錄、訪問、查詢和下載復制，自然無需再經平臺同意。但是所抓取數據的范圍應當限定于用戶授權的范圍，且不得抓取平臺經過加工整理后個性化展示的內容用于不正當競爭等非法目的。

4. 平臺授權并非個人授權同意。平臺經濟下個人完全處于被動依賴地位，其對平臺的授權以及平臺對其他合作主體或平臺的授權之間均存在不真實、不明確、不具體等情況。主體視角下，平臺在提供應用或服務前通常以獲得用戶對其一定范圍內個人信息收集或使用的授權為前提，但是該“授權”存在捆綁交易或服務違反真實意識表示、復雜格式條款未遵循公平原則而無效、基于脅迫的概括式同意范圍可隨意擴展等諸多問題①程明皓.網貸領域爬蟲:既非原罪者也非無辜者[EB/OL]. https://m.mpaypass.com.cn/news/202003/30103442.html.最后訪問時間：2021年5月8日。。平臺視角下，基于收集獲得原生數據的平臺在對其他合作主體或平臺進行信息數據的二次獲取或使用授權時，往往已經是以一種次生模式對信息數據進行了差別化、碎片化、模型化的展示，其后還可能衍生無限次的數據流轉，早已脫離了信息主體最初的授權同意場景。可見，抓取公民個人信息若是基于原生或次生平臺的授權，無疑脫離了信息主體的真正授權同意。

（二）行為是否侵權的核心是突破合理限制

基于前述分析，以公民個人信息為對象的網絡抓取行為合法的場景僅限于合法公開或主體的賬號加密碼方式授權，但鑒于公民個人信息的特殊屬性，場景合法情況下爬取公民個人信息行為還可能因違反協議而涉嫌民事侵權，包括無數據處理協議情況下違反合理的爬蟲協議、有數據處理協議情況下的超出協議范圍或約定方式以及“爬蟲+”情境下偽造主體身份模擬登陸后的數據抓取。

1. 爬蟲協議及其合理限制。爬蟲協議又稱為機器人協議（robots協議），是互聯網站所有者基于商業競爭、數據安全或用戶隱私，利用robots.txt文件向網絡機器人（Web robots）給出網站指令的協議。作為一種“代碼規制”，爬蟲協議從技術上并不能阻止目標數據被爬，但目前已得到互聯網搜索行業的普遍遵循，一些法院判決也認可其效力②參見北京市知識產權法院（2017）京民終某號判決書。。國內多家互聯網搜索引擎服務公司還通過行業協會約定，開展搜索引擎服務要“遵循國際通行的行業慣例與商業規則，遵守機器人協議”、限制搜索應當具有“行業公認合理的正當理由”、不得利用協議“進行不正當競爭行為”③中國互聯網協會：《互聯網搜索引擎服務自律公約》[EB/OL].https://www.isc.org.cn/hyzl/hyzl/listinfo-25501.html.最后訪問時間：2021年5月10日。。因此，在確保數據不用于進行不正當競爭前提下，基于主體授權后對平臺上的個人信息進行抓取是否涉嫌民事侵權，還要審視該平臺爬蟲協議所保護內容是否具有明確排他性私權和有無以針對性、歧視性的方式限制公平競爭，否則該爬蟲協議可能因對抓取行為的限制缺少合理性而不獲法院支持。

2. 數據合作協議及其效力。從技術上講，網絡數據獲取的方式可分為抓取和獲取兩種。前者是搜索引擎未經數據控制方授權，通過爬蟲程序自行分析網頁上的非結構化數據；而后者是經過數據控制方授權后，根據協議的數據需求，通過數據控制方提供的不同開放平臺接口（OpenAPI）獲取結構化數據。數據合作協議看似與普通的民事合作協議無異，基于合作協議，數據的獲取無需借助爬蟲，數據的提供方也可以通過技術手段設置相應的權限級別來對其獲取用戶相關信息的權限進行嚴格控制。但公民個人信息是特殊的數據信息資源，平臺之間通過OpenAPI可協議獲取的范圍必須以明確獲得主體的授權為前置條件，且第三方平臺在后續使用時，還應當明確告知用戶其使用的目的、方式和范圍并再次取得用戶的同意。從其他平臺協議獲取數據并使用不符合“用戶授權”+“平臺授權”+“用戶授權”的三重授權原則，或者在數據合作協議范圍之外抓取數據的行為，無異也是涉嫌民事侵權。

3. 偽造主體身份的數據抓取。自爬蟲技術誕生以來，網絡空間爬蟲與反爬蟲的爭議和斗爭就從未停止。數據權益語境下，以特定數據為目標，無視平臺的多重反爬技術設置，利用爬蟲技術與模擬登陸、秒撥動態IP等技術的組合升級來強行抓取數據的行為具有明顯的非法性①蘇青.網絡爬蟲的演變及其合法性限定[J]. 比較法研究,2021,(3):89-104.。以基于robots協議禁止網絡爬蟲抓取信息的新浪微博為例，雖然定期升級自身的反爬措施，但還是會經常會面臨一些數據收集者，通過建立大量微博賬戶來模擬正常用戶行為，或者購買大量IP來偽造調用IP來源，通過偽造為正常用戶的請求在互聯網主頁、移動客戶端等進行數據抓取。對于此類行為，數據控制方只能記錄到大量的非正常訪問相關印記，卻無法識別出具體的爬取方也無法區分相關數據是如何被爬取的。這種行為既非法收集了控制方的數據信息又擾亂了正常用戶的訪問秩序，無異是侵犯了數據控制方的合法權益。

（三）行為是否入罪的關鍵是侵犯相關法益

任何信息的獲取都是為了利用或變相利用，爬取公民個人信息行為除其本身涉嫌對信息的不正當獲取外，其與不正當利用雖有表象的區別但又有著實質的關聯，還體現為對相關法益的侵害或威脅。而作為代碼化的技術，爬蟲對目標個人信息數據的收集必然伴隨著對計算機系統的侵入，甚至指向特定的技術領域。判斷以公民個人信息為對象的網絡抓取行為是否入罪，關鍵要從整體上考量其對具體法益實質的侵害與威脅，以具體的法益保護導向來類化其入罪路徑、界定其入罪標準。

1. 侵犯網絡安全和數據安全。我國《刑法》第285條至第287條有關網絡犯罪立法的主要目的是維護網絡安全和數據安全，前者以網絡訪問控制、防網絡攻擊等為手段來維護網絡邊界和安全域、網絡通信系統或傳輸安全、網絡空間主權等，后者以加密、脫敏等手段來實現數據保護、數據主權、隱私保護等②鄭云文：數據安全——架構設計與實戰[M].北京：機械工業出版社，2019：8-10.。實踐中，互聯網平臺根據《網絡安全法》關于維護系統和數據安全的相關要求，均采取了一定的安全策略和安全防護措施。為抓取目標數據，本身不具有攻擊性的爬蟲技術，必須加持一定的模擬登陸、偽造IP等破解技術進而演變為“爬蟲+”，來突破計算機信息系統有關反“爬蟲”的安防措施。上海某某網絡科技有限公司、侯某強等非法獲取計算機信息系統數據罪一案③參見北京市海淀區人民法院（2017）京0108刑初某號刑事判決書。，被告方為破解北京某某網絡技術有限公司的防抓取措施，使用特殊的數據抓取工具，通過偽造用戶身份（ID）、用戶代理（UA）及偽裝IP來源方式繞過服務器的身份校驗和訪問頻率限制，最終被法院認定為非法獲取計算機信息系統數據罪。此案中，被告方為強行抓取通過反爬措施明確限制訪問、獲取的目標數據，行為上采取故意避開或強行破解網站的技術措施，且抓取的數據用于不正當競爭，造成了被抓取方的實際損失，侵犯了刑法所保護的網絡安全和數據安全法益。

2. 抓取可識別性的個人信息。我國《刑法》第253條有關侵犯公民個人信息罪的立法目的是要規范三種行為：一是違反國家有關規定向他人出售或者提供，二是違反國家有關規定將在履行職責或者提供服務過程中獲得的公民個人信息出售或者提供給他人，三是竊取或者以其他方法非法獲取，爬蟲抓取公民個人信息顯然不屬于“違反國家有關規定”的出售或提供，也不可能存在于履行職責或提供服務過程中。因此，判斷抓取可識別個人信息行為是否入罪，關鍵在于其是否屬于“竊取”或以其他方式“非法獲取”。突破了合理限制且未經授權或個人同意的抓取可識別個人信息行為，經前述分析可見不具有合法性基礎且有侵犯個人或數據平臺權益的可能，顯然屬于此處的“竊取”或“非法獲取”，情節嚴重的侵犯了刑法所保護的個人信息安全法益。當然，行為人使用爬蟲或“爬蟲+”軟件程序，避開或者突破計算機信息系統安全保護措施，未經授權或者超越授權獲取計算機信息系統數據中公民個人信息的行為，同時觸犯非法獲取計算機信息系統數據罪、破壞計算機信息系統罪與侵犯公民個人信息罪，屬于一行為觸犯數罪名的想象競合犯。

三、抓取個人信息行為的規制路徑

個人信息是數字時代一切財富與經濟的根本出發點，相關的法律制度也在動態契合中努力探尋著合理使用與充分保護之間的權益平衡。“從保護個人信賴或交易安全的角度，一個社會不應當賦予個人控制自己的個人信息的絕對權，或者說法律不應當作出非經本人同意就不能獲取其個人信息的規定”①高富平. 個人信息保護：從個人控制到社會控制[J]. 法學研究，2018，（3）：84-101.。對抓取個人信息行為，也應該基于其大數據時代社會性取代個人性成為主要屬性這一理念嬗變②王懷勇，常宇豪. 個人信息保護的理念嬗變與制度變革[J]. 法制與社會發展，2020，（6）：140-159.，在法律的框架內對其持謹慎開放的態度。況且當前網絡空間個人信息的非法獲取、流轉、利用等諸多亂象源于各種風險因素集合疊加，并非爬蟲“一蟲之力”，需要多視角探尋依法規制的具體路徑。

（一）民事保護路徑

侵犯公民個人信息具有“非接觸式”和“非即時性”特征，受害人普遍無法第一時間產生“被害感知”③汪明亮. 治理侵犯公民個人信息犯罪之刑罰替代措施[J]. 東方法學，2019，（2）：16-28.，對個人信息被非法獲取的發覺能力和警覺程度遠低于被非法利用場景。而且鑒于個人信息在網絡空間數字化、代碼式的獨立存在，受害人甚至是數據平臺均無法從技術上實現“實時標識跟蹤”。雖然《個人信息保護法》規定了個人信息主體的查詢、復制、撤回同意、請求刪除等權利，以及承擔損害賠償等侵權責任等責任形式，《民法典》還規定了停止侵害、消除影響等責任形式，但因缺少“及時發現”這一前置條件，且舉證能力受限，個人基于民法條款對非法抓取個人信息行為進行救濟很難實現。因此，民事視角保護個人信息免被抓取，有賴于個人視角的主張侵權和數據平臺基于不正當競爭的倒查。

1. 個人視角主張侵權。前述可知，抓取行為合法的必要前提限于個人信息的合法存在且已公開或獲得授權，而個人信息的合法存在依賴于具體的場景，雖然用戶已將個人信息發布于具體的平臺上，但第三方平臺仍不得基于未經授權的爬取而隨意使用，否則將構成對公民個人信息的侵權。在孫某某訴北京某科技一案中，某公司通過搜索引擎爬蟲技術從校友錄網站上抓取原告孫某寶帶有其面目特征信息的頭像照片，并通過關鍵詞搜索加結果展示的形式將“孫某某”這一自然人姓名和照片進行關聯，使得個人信息脫離了“校友錄網站上傳的個人證件照和真實姓名僅限班級同學可見”的具體場景，且在孫某某兩次通知后仍未采取措施消除不良影響，被法院認定為侵犯了孫某某的個人信息權益①參見北京互聯網法院（2019）京0491民初某號民事判決書。。

2. 平臺視角主張不正當競爭。數字時代持續激發商業新模式、不斷催生市場新業態，消費畫像、精準營銷、個性推送理念下，微博上的“轉”“評”“贊”“刪”記錄，美團、淘寶、京東等互聯網平臺上的交易記錄、消費評價、行為軌跡，甚至前程無憂職介網所記載的職業信息、珍愛婚介網所記載的教育履歷等個人信息，都已經成為競相爭奪的數據“礦產”。當前流量紅利漸失，單純依靠平臺用戶活躍生產內容需要漫長時間積累且難以觸頂規模量級，不少平臺都選擇“爬蟲”抓取、抄襲同業競爭數據的“捷徑”來拓展影響力、吸引新用戶，某互聯網平臺最為核心的2100萬“真實點評”里面有1800萬條是通過機器人從點評和某互聯網公司等競爭對手那里抄襲過來的”②參見《馬蜂窩被曝點評造假，是行業原罪還是企業弊端》，來源:http://www.guigu.org/content/20181022125873.html，最后訪問時間：2021年6月21日。。公民個人在網絡平臺的個性化推薦和點評內容等信息數據，具有平臺加持和個人痕跡雙重屬性，競爭公司以“機器抓取+人工編輯”方式獲取此類數據用于商業活動明顯屬于不正當競爭。在A公司訴B公司不正當競爭一案中，B公司在其檢索結果界面直接全部呈現A公司用戶的點評信息，被法院認定為B方“超出必要限度使用涉案信息”，損害了數據采集方的利益，該行為“破壞正常的產業生態，并對競爭秩序產生一定的負面影響”③參見上海知識產權法院（2016）滬73民終某號民事判決書。。同樣，C公司訴D軟件公司一案中，法院也認為“任由技術抓取能力獲取信息的方式如果不加規范必將引發技術的惡性競爭”，脈脈未經同意和授權，“獲取、使用脈脈用戶手機通訊錄中非脈脈用戶聯系人與新浪微博用戶對應關系的行為”④參見北京知識產權法院（2016）京73民終某號民事判決書。，有損互聯網行業有序公平的市場競爭秩序、構成不正當競爭。

（二）刑事規制路徑

作為普適性的信息檢索收集技術，爬蟲本身不具有規范違反的特征。從刑法謙抑性視角出發，有觀點認為“基于非法目的的出售或提供行為才具有刑法意義上的實質違法性，也只有基于非法目的的出售或提供行為才有必要動用刑法進行規制”⑤高富平，王文祥. 出售或提供公民個人信息入罪的邊界——以侵犯公民個人信息罪所保護的法益為視角[J]. 政治與法律，2017，（2）：46-55.。但我們應當看到，信息的獲取是出售或提供行為的基礎，當前刑法選擇性打擊的傾向，在一定程度上也喪失了對形式多變的各類涉公民個人信息犯罪打擊的精準性，需要從多維的視角對網絡抓取公民個人信息行為進行考量，立體化其刑事規制路徑。

1. 對信息系統非法侵入的考量。未經授權利用爬蟲技術非法進入計算機信息系統內部，如果有故意避開或突破技術防護措施的行為，體現出明顯的“采用侵入或其他技術手段”，則其侵入行為本身可能構成犯罪。對于侵入非特殊領域計算機信息系統，若爬取數據時使用技術暴力破解系統安全防護或輔以進行多線程提交、批量刷單、驗證碼自動識別等非正常訪問的方式，造成網站訪問擁堵、系統運行崩潰，甚至將爬蟲技術濫用為網絡攻擊方式①劉艷紅，楊志瓊. 網絡爬蟲的入罪標準與路徑研究[J]. 人民檢察，2020，（15）：26-31.，后果嚴重的可能構成破壞計算機信息系統罪。若是侵入的對象為涉及國家安全和國家秘密的政府內網、國防建設、尖端科學技術領域的計算機信息系統，只要實施了侵入行為即構成非法侵入計算機信息系統罪。當然，如果非法侵入后獲取了該計算機信息系統內部存儲、處理或者傳輸的數據，或者對該計算機信息系統實施非法控制，將爬蟲用作“專門用于侵入、非法控制計算機信息系統的程序、工具”，則可能會構成非法獲取計算機信息系統數據、非法控制計算機信息系統罪。而對于爬蟲或變異爬蟲技術的提供行為，明知該技術專門用于侵入、非法控制計算機信息系統，或者明知他人為實施侵入、非法控制計算機信息系統的違法犯罪行為而提供，情節嚴重的則可能構成提供侵入、非法控制計算機系統程序、工具罪。

2. 對個人信息非法獲取的考量。前述論述可見，在未獲信息主體的明確同意或授權情境下，抓取非依法公開的公民個人信息顯然屬于“非法獲取”的范疇。根據現行刑法規定，竊取或者以其他方法非法獲取公民個人信息，情節嚴重的構成侵犯公民個人信息罪。從行為表征來看，利用爬蟲技術非法獲取行為，與“購買、收受、交換”等非法手段獲取行為，以及與網絡運營者未經被收集者同意或超出必要范圍收集行為，三者都違反了法律、行政法規、部門規章有關公民個人信息保護的具體規定，無論是所侵犯的個人信息權法益②楊志瓊. 數據時代網絡爬蟲的刑法規制[J]. 比較法研究，2020，（4）：185-200.，還是行為所造成的個人信息失控客觀后果，均無實質的區別。根據相關司法解釋③參見《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》，來源：https://mp.weixin.qq.com/s/YzKveektM2IwKbjCY3w5uw，最后訪問時間：2021年6月21日。，若非法爬取的公民個人信息系行蹤軌跡等四類關鍵信息五十條以上，系住宿信息、等其他可能影響人身、財產安全的公民個人信息五百條以上，系一般公民個人信息達五千條以上的，構成侵犯公民個人信息罪。

3. 對幫助犯罪主觀故意的考量。剝離前述涉嫌非法收集公民個人信息的對象特殊性和以爬蟲技術作為入侵計算機系統的手段特殊性，單純的爬取公民個人信息的行為還可能因其牽連于網絡犯罪的幫助行為，獨立構成幫助信息網絡犯罪活動罪，這與網絡空間涉公民個人信息犯罪無限衍生化有關。根據相關司法解釋④同上。，行為人實施信息獲取行為時，主觀上有或被推定明知他人有利用信息網絡實施犯罪的故意，仍為犯罪提供技術支持，并符合司法解釋中關于情節嚴重的要求，可構成幫助信息網絡犯罪活動罪。基于這一幫助犯正犯化和幫助犯獨立性司法態度，考量以公民個人信息為對象的爬取行為，還必須同時辨析其信息獲取后如何利用的主觀故意。當然，如果在提供爬蟲技術支持時主觀上不明知或根據現有證據無法推定其技術支持、幫助的行為被犯罪活動所利用， 則不能構成幫助信息網絡犯罪活動罪。

4. 對整合目的抓取公開信息的考量。當前，結合“撞庫”分析、算法匹配等人工智能技術手段，利用爬蟲或“爬蟲+”海量抓取網絡上與公民個人信息有關的已公開信息資料，繼而進行全面整合以獲取有利用價值的公民個人信息，已成為新型網絡黑灰產業的主要內容。此處的抓取公開信息雖將對象限定于“已公開”，但經過整合后的“已公開”顯然突破了最初的公開目的和場景，具有侵犯公民隱私權的蓋然化和實質性。有些情境下，經授權被抓取的個人信息并未即時流轉于網絡空間，而是緩存于一定數據庫中等待被整合后“再利用”。在某科技侵犯公民個人信息一案中，法院認定某科技利用各類爬蟲技術爬取“貸款用戶本人賬戶內的通話記錄、社保、公積金等各類數據”，未經許可“以明文形式非法保存的個人貸款用戶各類賬號和密碼條數多達21241504條”①參見杭州市西湖區人民法院（2020）浙0106刑初某號刑事判決書。。雖然抓取已公開信息、經授權抓取個人信息以及利用人工智能技術對所收集的信息進行整合三種行為本身均不違反國家的法律規定，但基于個人信息整合目的作出類似于“電子人肉”行為，仍會帶來公民個人信息的永續濫用，有必要從侵犯公民個人信息罪視角予以規制。

（三）行政規制路徑

相對與技術的飛躍，個人及數據平臺對信息數據的保護具有后覺性，加之法律體系的不完善，當前我國對于公民個人信息的保護具有典型的“先刑后民”特色，而以專項整治方式為主的行政規制更是體現出明顯的階段性和運動式。但是從長遠看，我國應該逐漸完善形成以行政手段保護為主、以消費者和數據平臺保護為雙核心、以刑事規制為輔的個人信息保護格局。當前，行政監管部門應該積極變消極守門人為積極執法者，針對非法抓取公民個人信息可能違反法律規定尚不構成犯罪的行為，主動加強執法監管。

1. 對信息獲取者違反規定行為的規制。綜合我國《個人信息保護法》、《網絡安全法》、《數據安全法》、《治安管理處罰法》等有關法律法規，從目標指向看爬蟲非法抓取公民個人信息涉嫌“竊取或者以其他非法方式獲取”數據信息。我國網絡安全法和數據安全法都明確規定，對于個人信息和數據不得有“竊取或者以其他非法方式獲取”行為，但對相應法律責任的規定則不盡相同。《個人信息保護法》對違反“本法”規定，構成違反治安管理行為的，依法給予治安管理處罰；《網絡安全法》對違反“本法”規定尚不構成犯罪的，賦予公安機關“沒收違法所得，并處違法所得一倍以上十倍以下罰款，沒有違法所得的，處一百萬元以下罰款”的處罰權限；而《數據安全法》則規定：“違反本法規定，構成違反治安管理行為的，依法給予治安管理處罰”。

從具體過程看，強行抓取或以變異爬蟲技術抓取個人信息涉嫌危害網絡安全或計算機系統。抓取行為未經授權或超出權限，或者所使用的爬蟲及“爬蟲+”技術突破合理限制體現出明顯侵入性，可以相應認定為侵入計算機信息系統造成危害，同時該行為也可能違反網絡安全法涉嫌從事非法侵入他人網絡活動；使用自動抓取程序，加重被抓網站運維負荷甚至造成癱瘓，則可以認定為對計算機信息系統功能進行干擾造成計算機信息系統不能正常運行，同時該行為也可能違反網絡安全法涉嫌干擾他人網絡正常功能。依據《數據安全法》和《治安管理處罰法》，前述行為不構成犯罪的，“處5日以下拘留；情節較重的，處5日以上10日以下拘留”。依據網絡安全法，前述行為尚不構成犯罪的，“由公安機關沒收違法所得，處五日以下拘留，可以并處五萬元以上五十萬元以下罰款；情節較重的，處五日以上十五日以下拘留，可以并處十萬元以上一百萬元以下罰款。”可見，對于非法抓取公民個人信息行為，公安機關有責任和義務在職責范圍內主動發現、調查、處理，并可以根據具體的行為實事和違法情節給予沒有違法所得、罰款、行政拘留的行政處罰。

從技術規制看，開發變異爬蟲技術向他人提供，可能構成“為危害網絡安全行為提供專門程序、工具”，或者明知他人從事危害網絡安全的活動的提供技術支持，同樣違反《網絡安全法》給予沒收違法所得、罰款、拘留的處罰。若爬蟲技術同時結合破壞性程序，暴力抓取目標數據，則可以相應認定故意制作、傳播計算機病毒等破壞性程序影響計算機信息系統正常運行，則同樣違反《治安管理處罰法》第29條之規定給予行政拘留的處罰。

2. 對數據平臺未盡安全保護義務的規制。網絡平臺作為網絡運營者和數據處理者，對其受收集的個人信息應當采取必要的安全保護措施，防止被爬取致泄露。《個人信息保護法》規定：個人信息處理者應當根據需要對個人信息實行分類管理、采取加密或去標識化等安全技術措施等一系列保護措施，并指定個人信息保護負責人、定期開展個人信息保護影響評估，對發生或者可能發生個人信息泄露、篡改、丟失的應當采取必要補救措施并履行通知義務；第58條還特別規定：“提供重要互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者”應當建立健全個人信息保護合規制度體系、明確平臺內產品或者服務提供者處理個人信息的規范和保護個人信息的義務、對違反個人信息保護規定的平臺內產品或者服務提供者停止服務等。違反《個人信息保護法》可以由履行個人信息保護職責的部門責令改正，以及給予警告、沒收違法所得、責令暫停或者終止應用程序提供服務；對拒不改正的，可以對平臺及其直接負責的主管人員和其他直接責任人員處以罰款；對情節嚴重的，還可由省級以上履行個人信息保護職責的部門處以較大數額罰款以及“責令暫停相關業務或者停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照”等較為嚴厲的處罰。依據《網絡安全法》規定未采取必要安全保護措施，或者依據《數據安全法》規定未盡數據安全保護義務，可由有關主管部門責令改正，并可以根據情節依法依次對數據平臺及其直接負責的主管人員和其他直接責任人員給予一定數額的罰款，對情節嚴重或造成嚴重后果的，還可以相應給予網絡平臺“責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照”的處罰。同時，依據《網絡安全法》還可以給予關閉網站的處罰措施。

四、結語與展望

數字化不僅是當前這個時代的標簽，它所引導的產業變革更是在深刻重塑這個時代。數據的擴張必然結果是數據權益的占有、分配以及動態抗爭，“大數據技術擴充的邏輯終點在于窮盡公民的個人信息，而公民在貢獻個人信息充實大數據時渴望個人信息被有限化利用”①許桂敏，張轉. 非法獲取公民個人信息行為的智化、解讀與規制[J].中國人民公安大學學報（社會科學版），2020，（6）：130-142.。隨著爬蟲技術及其變異程序產品的工具屬性被無限放大，網絡空間公民個人信息必將面臨越來越突出的隱私、安全、異化、污染、鴻溝等信息倫理問題，以及公民個人被數據畫像、精準營銷、信息敲詐、電信詐騙、網絡暴力等衍生社會問題。

爬蟲技術的不可或缺并非其無序濫用的有效抗辯，其存在本身以及持續的衍生、異化終究是加持了人為的設計、使用和導向，技術的無序性和明確的目的性又反向推動爬蟲技術逐步脫離工具范疇，演變為不再客觀中立的各色載體，猶如刀和剪已不能再一概稱為鐵。因此，必須細化爬蟲技術所寄附的具體行為背后的目的，在具體的場景中類化其載體表現、構建其依法治理的法理依據和規制路徑。特別是在當前個人信息保護整體缺位環境下，截斷信息非法收集之源頭，以法治的視角將網絡抓取公民個人信息行為納入具體的規制路徑情勢緊迫，急待理論和實務視角進一步縱深探索。