論刑法介入網絡數據爬取行為的類型與限度*

□ 姜 瀛

內容提要 網絡爬蟲是一種互聯網信息自動采集技術，單純利用爬蟲技術無法進入后臺服務器。突破反爬措施意味著爬取方規避了被爬取方的訪問限制，可以偽裝成普通用戶獲得客戶端“訪問資格”并獲取數據，但爬取方并未侵入被爬取方計算機信息系統。只有利用爬蟲技術爬取“公民個人信息”等刑法特別保護的數據或是利用其他技術非法侵入計算機信息系統后爬取系統數據的行為，才可構成犯罪。實踐部門采取“控制性標準”作為計算機信息系統數據的解釋依據，擴大了計算機信息系統數據的認定范圍，將突破反爬措施爬取客戶端一般數據的行為認定為非法獲取計算機信息系統數據罪，有“司法犯罪化”之嫌。針對突破反爬措施爬取數據的行為，刑法應事后介入。在被爬取方先申請法院通過“行為保全”措施來禁止相關數據抓取行為后，若爬取方仍然違反“行為保全”裁定，可以適用“拒不執行判決、裁定罪”予以規制。

一、問題的提出

網絡爬蟲是一種互聯網信息自動采集技術。①在“數據為王”的時代，利用爬蟲技術爬取數據已經成為直接采集用戶數據之外常規的數據挖掘途徑。事實上，對于爬蟲技術的應用，我們并不陌生，搜索引擎即是爬蟲技術的典型例證——在技術上屬于針對不特定網站的“通用爬蟲”（General Purpose Web Crawler）。實踐中，容易引發法律爭議問題的是另一類爬蟲，即針對特定主題或單一網站進行數據爬取的“聚焦爬蟲”（Focused Web Crawler，也稱“定向爬蟲”或“主題爬蟲”），本文的研究對象正在于此。

近年來，利用網絡爬蟲爬取數據行為引發的爭議問題越來越多，“晟品公司利用網絡爬蟲抓取數據”②一案便引發學界與實務界的廣泛關注。對于該案，有肯定觀點認為：“本案中的網絡爬取行為已經超過了合法邊界，屬于侵入計算機信息系統的手段行為； 被告采取突破被害人反爬安全措施的技術手段，未經許可進入計算機系統獲取數據，構成非法獲取計算機信息系統數據罪。”③另有學者指出：“行為人未經許可，強行突破反爬技術，侵入‘國家事務、國防建設、極端科學技術領域’之外的計算機信息系統，并采用爬蟲技術獲取該系統內的數據，其行為可構成非法獲取計算機信息系統數據罪。”④當然，也有觀點對本案的判決結果提出質疑，主張“被告人破解被害人設置的防抓爬措施并不等同于侵入被害人的計算機系統”。⑤

在“晟品公司利用網絡爬蟲抓取數據”一案中，“強行突破反爬措施來爬取數據”的刑法定性成為定案的關鍵問題。進而言之，這一問題又可細化為三個層面。其一，利用爬蟲技術爬取的數據具有哪些特征，突破反爬措施后所爬取的數據在性質上是否發生了實質變化；其二，如何把握非法獲取計算機信息系統數據罪的法益定位，如何解釋該罪所規定的“計算機信息系統數據”；其三，突破反爬措施所爬取的數據與非法獲取計算機信息系統數據罪中的“計算機信息系統數據”是否屬于同一范疇，可否將網絡爬蟲爬取的數據解釋為計算機信息系統數據。

客觀而言，“晟品公司利用網絡爬蟲抓取數據”一案所涉及的網絡爬蟲刑法規制問題，既是大數據時代的新興技術問題，又是一個刑法領域中的常規“論題”，也即實踐部門是否將刑法缺乏明文規定的行為在司法上予以犯罪化。事實上，對于突破反爬措施爬取數據的行為，法律人士、互聯網行業從業者以及普通民眾都可以認識到其危害性，猶如任何人都可以看到食物的外表，但專業的刑法思維卻可以透過表面認識食物“內里”，評價某一違法行為是否真正地觸碰到刑法所保護的特定法益。⑥基于此，本文嘗試對網絡爬蟲技術進行規范分析，明確網絡爬蟲應用對象以及突破反爬措施的法律屬性。在此基礎上，本文將結合典型案例對利用爬蟲獲取數據的主要類型進行分析，分別評價不同行為類型的刑事違法性，并厘定刑法規制網絡爬蟲的邊界。本文的最終目標是確立刑法介入大數據產業的合理路徑。

二、網絡爬蟲的應用對象及其與計算機信息系統數據的關系

（一）網絡爬蟲的應用對象及其技術特征分析

從規范層面來講，網絡爬蟲的應用對象涉及到不同的數據類型，有研究將之歸納為公民個人信息、商業秘密、涉著作權信息以及一般數據，⑦應當看到，現有研究所采取類型化分析并沒有將傳統計算機信息系統犯罪的技術性維度考慮在內，具有一定的局限性。在本文看來，對網絡爬蟲應用對象與反爬措施的技術性解讀，乃是探討刑法規制網絡爬蟲問題的基本前提。

首先，從技術原理上講，（聚焦）爬蟲按照預先定義的爬取主題在給定初始 “統一資源定位符”（Uniform Resource Locator，簡稱URL，實際上就是我們所稱的“網址”）種子集后，根據一定算法爬取數據并進行分析，并在抓取數據過程中不斷將新的URL 放進待爬行的URL 隊列中。⑧而URL 作為從互聯網上獲得資源的位置和訪問方法的簡潔表示，是完全開放的，爬蟲解析URL 與普通用戶訪問在技術上并沒有區別。⑨網絡爬蟲實際上是在“客戶端”或“客戶端與服務器端的接口”進行數據獲取操作的，通過模仿普通用戶正常發送數據請求，等待服務器向其傳輸數據后在客戶端爬取數據。⑩易言之，網絡爬蟲只不過是一種可以通過模仿普通用戶并且可以更高效地收集并處理客戶端數據的技術而已。網絡爬蟲并不是什么“黑客技術”，不能將之視為非法侵入計算機信息系統的程序或工具。單純利用爬蟲技術不可能獲得任何進入后臺的權限或機會，也即無法進入服務器端，僅僅憑借爬蟲技術并不會觸及到服務器的系統數據。當然，行為人若是利用其他技術手段非法侵入服務器端，其同樣可以利用爬蟲技術獲取服務器端的計算機信息系統數據。

其次，反爬措施是指利用某種技術手段阻止他人利用爬蟲技術大規模訪問自己客戶端的方式，“IP 訪問量限制、session 訪問量限制、User-Agent 限制以及設置登陸驗證碼” 都屬于實踐中常見的反爬措施。?從技術上講，被爬取方所設置的反爬措施，均屬于前端代碼，全部運行在爬取方（訪問者）自身的計算機上。由于反爬措施屬于前端代碼，即使突破反爬措施，爬取方也并未進入被爬取方的服務器，因而不會威脅到被爬取方的計算機信息系統安全。突破反爬措施意義在于爬取方規避了“訪問限制”，也即偽裝成普通用戶非法獲得了 “訪問資格”。無論是對于無視網站設置“robots 協議”?隨意抓取網站數據的行為，還是對于突破反爬措施抓取數據的行為，我們所要判斷的仍然是數據的性質。事實上，上述無視“robots 協議”甚至是突破反爬措施而違規爬取數據的行為，其爬取對象仍然是客戶端數據。本質上來講，被爬方設置反爬措施的目的在于防止大規模的機器訪問并獲取數據，但對于普通用戶（個體）而言，訪問網站或APP 顯然是允許的。概言之，僅僅突破了反爬措施，并不能侵入被爬取方的計算機信息系統，所獲取的數據也并非是嚴格意義上的計算機信息系統數據。

最后，爬取刑法特別保護的數據可能導致爬蟲技術應用涉嫌犯罪。換言之，拋開爬蟲技術是否具有違法性不談，因數據本身屬于刑法特別保護對象，如爬取目標網站中的公民個人信息、目標公司的商業秘密、 涉及版權內容的信息或者是非法入侵計算機信息系統后利用爬蟲技術獲取系統數據等等，獲取數據行為本身便可能直接構成犯罪。

（二）“計算機信息系統數據”的規范解讀

2009年2月28 日，全國人大常委會通過的《中華人民共和國刑法修正案（七）》（以下簡稱《修七》）增設了“非法獲取計算機信息系統數據罪”，也即《中華人民共和國刑法》（以下簡稱《刑法》）第285 條第二款：“違反國家規定，侵入前款規定以外的計算機信息系統或者采用其他技術手段，獲取該計算機信息系統中存儲、 處理或者傳輸的數據，或者對該計算機信息系統實施非法控制，情節嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。”從司法實踐情況來看，該罪逐漸成為刑法規制網絡爬蟲的重點罪名。在對刑法規制網絡爬蟲的司法實踐進行反思的過程中，我們有必要明確非法獲取計算機信息系統數據罪的法益定位，尤其要對該罪中“計算機信息系統數據”作準確解讀。

一方面，通過考察立法目的，我們可以發現，《修七》之所以增設非法獲取計算機信息系統數據罪，是因為一段時間以來不法分子（黑客）大肆非法侵入他人計算機信息系統并非法獲取計算機信息系統中儲存、處理或傳輸的數據，具有明顯的社會危害性，而我國《刑法》之前并沒有將此類行為作為犯罪加以規定。?正是為了規制上述行為、彌補法律漏洞，立法機關增補非法獲取計算機信息系統數據罪，該罪所針對的對象是使用中的計算機信息系統中存儲、處理、傳輸的數據，這有利于更為全面地保護計算機信息系統安全。事實上，計算機信息系統數據的控制者均會采取特定的安全保障措施，確保計算機信息系統的訪問權限僅向特定主體開放，而對其他主體默認為關閉。因此，從違法性角度來講，是否獲得計算機信息系統控制者的權限授予，成為判斷進入計算機信息系統并獲取數據的行為是否具有違法性阻卻事由的主要依據。具體來看，違法獲取計算機信息系統數據可包括“侵入計算機信息系統并獲取計算機信息系統數據、未經授權‘擅入’或超越權限獲取計算機信息系統數據及采用其他技術手段非法獲取數據”三種形態。?

另一方面，從體系解釋角度來講，計算機信息系統所具有的獨特的技術屬性以及虛擬空間特有的安全訴求，?決定了《刑法》第285 條專門設置罪名并將之體系化的必要性，而這種體系化整合的可行性源于罪名之間法益定位的一致性。顯然，《刑法》第285 條第二款非法獲取計算機信息系統數據罪與該條第一款非法侵入計算機信息系統罪保護的法益應當是相同的，均為計算機信息系統安全；否則，罪名設置的體系安排難以自恰，違背基本的立法邏輯。因此，該罪中非法獲取的對象，應當是危及到計算機信息系統安全的數據。換言之，因為非法獲取計算機信息系統數據可能會破壞計算機信息系統安全或者是造成了危險隱患，所以立法者才增設了“非法獲取計算機信息系統數據罪”予以規制。

此外，還需要說明的是，《刑法》第285 條第二款所規定的“或者采用其他技術手段”，其更多程度上是一種兜底條款，無論基于何種解釋立場，“采用其他技術手段” 所能達到的效果也應當是“侵入前款規定以外的計算機信息系統”。如果單純利用爬蟲技術以及突破反爬措施不能非法侵入服務器端的計算機信息系統，那么，爬蟲技術以及突破反爬措施便不屬于《刑法》第285 條第二款所規定的“采用其他技術手段”。

（三）將網絡爬蟲爬取數據解釋為“計算機信息系統數據”的路徑與困境

通過網絡爬蟲的技術分析以及對“計算機信息系統數據”的規范解讀，我們可以得出兩個基本結論。第一，突破反爬措施也僅僅是為了獲得訪問資格，但無法侵入被爬取方的計算機信息系統，網絡爬蟲仍然是以客戶端數據為爬取對象。第二，非法入侵計算機系統并獲取系統數據行為本身即具有刑事違法性，是否使用爬蟲技術來獲取系統數據并不會對行為違法性的認定產生實質影響。由此而言，“利用爬蟲技術以及突破反爬措施的行為”與“具有刑事違法性的非法侵入計算機信息系統的行為”之間難以產生規范意義上的直接關聯。

當然，即使突破反爬措施并不能侵入被爬取方的計算機信息系統，可否通過對“計算機信息系統數據”的解釋，來實現將利用網絡爬蟲爬取的數據涵攝于“計算機信息系統數據”之下的效果呢？筆者認為，對于《刑法》第285 條第二款所規定的“計算機信息系統數據”，存在著兩種不同的解釋思路，即“控制性標準”與“技術性標準”。

“控制性標準”以“保護數據控制權”作為解釋的核心坐標，側重數據權利人主觀上對數據的控制意愿，該標準可能擴大“計算機信息系統數據”的認定范圍。申言之，數據控制權利人設置反爬措施表明了其不希望數據被競爭對手爬取的控制意愿，權利人控制數據的主觀態度與立法者對于“計算機信息系統數據” 的嚴格保護意愿在一定程度上是相通的。也即，依托于“控制性標準”，網絡爬蟲所獲取的、由反爬措施所保護的數據，系數據權利人所要控制的數據，因而可以解釋為“計算機信息系統數據”； 突破反爬措施爬取該數據的行為——即使并未侵入計算機信息系統，將被解釋為“獲取該計算機信息系統中存儲、處理或者傳輸的數據”，最終被認定為“非法獲取計算機信息系統數據罪”。

不過，以“控制性標準”為依據的解釋思路面臨“技術性標準”的質疑，引發罪刑法定層面的困境。“技術性標準”源于“非法獲取計算機信息系統數據罪”的立法背景，強調以計算機信息系統的技術性風險作為解釋坐標，側重在客觀上評價計算機信息系統安全是否遭受到威脅，其可以限制“非法獲取計算機信息系統數據罪”的適用范圍，避免刑法的不當擴張。若是依據“技術性標準”，那些未侵入計算機信息系統而獲取的數據或者是未威脅到計算機信息系統安全而獲取的數據，在技術上不會對計算機信息系統帶來任何危險，并不符合非法獲取計算機信息系統數據罪的立法預期與法益定位，因而不應被納入到該罪的規制范圍。由于單純的突破反爬措施并不能侵入計算機信息系統，爬取的數據也不會給計算機信息系統帶來任何危險，難以被解釋為“計算機信息系統數據”。

三、網絡爬蟲的應用類型與刑法規制的邊界反思：基于典型判例的分析

（一）爬取違法數據：直接構成犯罪

利用爬蟲技術獲取數據的行為，只要數據本身屬于刑法特別保護對象，爬取行為即可獲罪。其中，爬取“公民個人信息”是司法實踐中最為常見的涉罪情形。我國《刑法》第253 條之一第三款規定：“竊取或者以其他方法非法獲取公民個人信息的，依照第一款的規定處罰。”在沒有得到被爬方或個人用戶同意的情況下，行為人利用爬蟲技術獲取網站公民個人信息，便可能構成犯罪。諸如“馬某編寫爬蟲程序竊取網站用戶個人信息”一案?、“謝財安等盜取京東商城賣家賬號、密碼后利用爬蟲技術（“smarttool”軟件）非法獲取用戶個人信息”一案?、“魏江蒙通過‘網絡爬蟲’程序下載工商個體戶資料”一案?，都是屬于利用爬蟲技術非法獲取公民個人信息的案例。當然，上述案件與以其他方式非法獲取公民個人信息的案件差異性不大，法律適用中爭議問題也不多。

不過，在“李威侵犯公民個人信息”一案中，?部分案件事實認定與法律適用存在爭議。該案判決書指出：“被告人李威在北京某公司任職期間，抓住系統漏洞直接訪問服務器端后臺，利用‘八爪魚軟件’（一種常見的爬蟲軟件） 獲取客戶個人信息數據。”對于這一部分事實，判決書認為：“被告人李威作為某公司員工，通過自動化軟件收集公民個人信息的行為不具有非法性，并未違反國家有關規定。”因此，法院僅認定了李威（在上述事實之外） 實施的在網上以購買和交換等方式非法獲取公民個人信息的行為，構成侵犯公民個人信息罪。該案的疑問在于，李威作為公司的高級管理人員，享有獲取或保存公司用戶個人信息的權限，因而其獲取公司用戶個人信息的行為并不具備違法性。但李威獲取個人信息是利用了系統漏洞進入后臺，即非法訪問服務器系統，因此，其所獲取的數據在性質上又屬于服務器后端存儲的系統數據，故李威的上述行為符合非法獲取計算機信息系統數據罪的構成要件。概言之，本案在核心事實認定上忽視了數據的兩面性，即數據本身可能同時具備公民個人信息屬性與計算機信息系統數據屬性。此外，需要強調的是，本案中，行為人利用爬蟲技術只是提升了數據獲取的體量與速度而已，爬蟲本身對本案的定罪并沒有產生實質影響。易言之，爬蟲技術只是高效獲取數據的工具而已，并不是非法侵入計算機信息系統的工具。如果行為人利用系統漏洞非法侵入計算機信息系統或者是超越權限訪問計算機信息系統，后利用爬蟲軟件獲取計算機信息系統數據，雖然可能構成犯罪，但這與爬蟲技術本身無關。

此外，司法實踐中還存在一種較為特殊的類型。行為人可能在約定的數據用途范圍之外，再次私自使用上述數據并利用爬蟲技術從事其他非法牟利活動。事實上，上述違背數據控制者意愿、超越約定用途再次利用計算機信息系統數據的行為也可以解釋為“非法”獲取控制者所專有的計算機信息系統數據。“北京瑞智華勝公司非法獲取計算機信息系統數據”一案就屬于此類案例。?該案判決書指出：“北京瑞智華勝公司通過其他關聯公司與運營商簽訂精準廣告營銷協議，獲取運營商服務器登錄許可，通過部署SD 程序，瑞智華勝相關人員從運營商服務器抓取采集網絡用戶的登錄cookie 數據，并將上述數據保存在運營商redis 數據庫中。后利用研發的爬蟲軟件、加粉軟件，遠程訪問redis 數據庫中的數據，非法登錄網絡用戶的淘寶、微博等賬號，進行強制加粉、訂單爬取等行為，從中牟利。”

該案中，涉案公司與運營商簽訂精準廣告營銷協議，自然就獲取運營商服務器登錄許可、具有訪問計算機信息系統權限，并且可以依照約定使用網絡運營商的用戶登錄cookie 數據。然而，涉案公司只能基于履行其與網絡運營商的約定義務（精準廣告營銷協議）在特定范圍內使用上述用戶登錄cookie 數據。即使涉案公司并不存在非法侵入或超越權限訪問的實質行為，但其違背數據控制者意愿、 超越約定用途再次利用計算機信息系統數據的行為，顯然會侵犯到網絡運營商對數據的控制權，仍然可以構成非法獲取計算機信息系統數據罪。一些學者與實務人員曾經以“利用爬蟲加粉軟件‘打劫’個人信息牟利如何適用法律”為題對該案展開學術研討。但實際上，該案的關鍵事實在于行為人違背數據控制者意愿、 超越約定用途再次利用計算機信息系統數據，爬蟲技術本身并不是其獲罪的根本因素。

（二）突破反爬措施爬取一般數據：刑事違法性的具體分析

如前所述，利用爬蟲技術爬取數據，無論其是否違背被爬方的意愿——無視robots 協議甚至是突破反爬措施，所爬取的仍然是客戶端數據。進而言之，如果爬取的客戶端一般數據本身不屬于刑法特別保護的對象，使用代理IP、使用不同的User Agent 亦或是其他技術手段來突破反爬措施，都僅僅是一種前端的技術手段，突破反爬措施后爬取數據的行為，也是完全運行在訪問者的計算機上，無法進入到被訪問者的服務器系統，顯然也就不能威脅到計算機信息系統數據安全。由此而言，突破反爬措施本身，并不具有刑法上的獨特意義。但對于這一點，司法實務部門可能存在某種誤區。

在“晟品公司利用網絡爬蟲抓取數據”一案中，判決書認為：“被告人在數據抓取的過程中使用偽造device_id 繞過服務器的身份校驗，使用偽造UA 及IP 繞過服務器的訪問頻率限制。在數據采集過程中，被告采取了繞過或突破受害單位反‘爬蟲’安全措施的技術手段，未經許可進入受害單位的計算機系統，構成非法獲取計算機信息系統數據的犯罪行為。”首先，判決書中指出的“使用偽造device_id、使用偽造UA 及IP 繞過服務器的訪問頻率限制”，都是突破反爬措施的常見方式，這些反爬措施運行在訪問者服務器端，突破反爬措施僅僅是偽裝成普通用戶獲取訪問資格并獲取數據，而“突破受害單位反‘爬蟲’安全措施的技術手段” 后并不能進入被訪問方的計算機系統。因此，判決書認為行為人“未經許可進入受害單位的計算機系統”的事實認定并不準確。

同時，在“晟品公司利用網絡爬蟲抓取數據”一案宣判后，該案裁判者曾指出，可基于實質性解釋立場，將破壞前置的訪問程序限制后實現訪問并抓取數據的行為解釋為非法獲取計算機信息系統數據行為。如前所述，爬蟲技術實際上是在客戶端進行數據獲取操作的，而計算機信息系統數據所指的是服務器端的數據。具有開放性的客戶端與強調私密性并且在安全性上具有極高要求的服務器端，系同一位階下完全對立的范疇，猶如“戶外”與“戶內”。即使考慮到社會發展的客觀情況，這兩個對立范疇并沒有發生任何變化，難以通過實質解釋來跨越二者之間的技術“鴻溝”。因此，如果嚴格采取“技術性標準”作為“計算機信息系統數據”的認定依據，那么，突破反爬措施爬取數據的行為雖具有一定的社會危害性，但將其解釋為侵入計算機信息系統而非法獲取數據，確有“司法犯罪化”之嫌。

此外，“武漢元光科技利用網絡爬蟲抓取數據”一案也存在類似的法律適用問題。該案判決書指出：“被告人邵凌霜為提高元光公司開發的智能公交APP‘車來了’在中國市場的用戶量及信息查詢的準確度，授意陳昴等公司數名員工利用網絡爬蟲軟件獲取包括谷米公司在內的競爭對手公司服務器里的公交車行駛信息、 到站時間等實時數據，日均300 萬至400 萬條。爬取的數據直接為元光公司所用，使該公司的智能公交APP ‘車來了’ 準確度提高，造成谷米公司直接經濟損失24.43 萬元人民幣。”最終，法院認為，上述行為系“違反國家規定，采用其他技術手段獲取計算機信息系統中儲存的數據”，構成非法獲取計算機信息系統數據罪。

事實上，該案同樣將突破前端反爬措施后爬取客戶端數據的行為認定為非法獲取計算機信息系統數據的行為，其中涉及如下問題：第一，“為防止被察覺，元光公司人員不斷更換爬蟲軟件程序內的IP 地址并利用所設置的不同IP 地址向酷米客發出數據請求”，表明元光公司實際上只是偽裝成一般用戶來獲取客戶端的實時數據，其并未進入到谷米公司后臺的服務器系統；第二，判決書同時又認為，“元光公司非法獲取公交車行駛信息、到站時間等實時數據是位于谷米公司的服務器數據”，這一理解并不準確。實際上，元光公司人員若是已非法侵入服務器端或計算機信息系統，則根本不需要IP 地址，也無需發送數據請求，直接就可以非法獲取數據； 而通過更換IP 的方式表明，元光公司人員就是為了偽裝成一般用戶進行訪問。若嚴格采取“技術性標準”作為“計算機信息系統數據”的認定依據，該案同樣難以成立非法獲取計算機信息系統數據罪。

當然，“武漢元光科技利用網絡爬蟲抓取數據”一案中所涉及的公交車輛運行路線、運行時間等信息雖屬客觀事實，但經人工收集、分析、編輯與整合之后，通過商業運行可以帶來可觀效益，所以實際上已具備無形財產的特征，元光公司人員抓取谷米公司數據的行為本質上屬于一種不正當競爭行為。

從“晟品公司利用網絡爬蟲抓取數據”與“武漢元光科技利用網絡爬蟲抓取數據”等典型案例來看，在面對信息網絡新型違法犯罪問題時，司法機關更傾向基于刑事政策上的考慮，通過刑法的“軟性解釋”來擴張處罰范圍，以彰顯刑法及時回應新型問題的社會效果。然而，在突破反爬措施后爬取的數據本身不具有刑事違法性的情況下，我國刑法尚無法直接規制突破反爬措施爬取的數據行為。將“控制性標準”作為刑法規制網絡爬蟲的實踐依據，突破反爬措施爬取的數據便被“軟性解釋”為計算機信息系統數據，非法獲取計算機信息系統數據罪便成為刑法規制爬蟲技術的“救火式”罪名。與更為嚴格的“技術性標準”相比，司法實踐部門更愿意采取“控制性標準”，進而實現“將刑法缺乏明文規定的行為在司法上予以犯罪化” 的效果。

（三）利用爬蟲技術“野蠻”訪問：可能構成破壞計算機信息系統罪

從技術層面看，爬蟲技術最主要的功能特征在于數據獲取的高效性。在單位時間內，網絡爬蟲“大規模機器訪問”的訪問數量是普通用戶訪問（人工訪問）無法相比的。不過，大規模機器訪問與同等數量的普通用戶訪問（人工訪問）卻會引發同樣的效果，即增加網絡服務提供者的運營負擔。

實際上，網絡服務器是有承載限度的，頻繁的大規模機器訪問占用了原本服務器用于向普通用戶返回數據的帶寬和運算能力，如果不加控制地利用爬蟲技術持續訪問，實際上會影響到網絡服務的正常運行，甚至使網站崩潰而無法訪問，這也會影響到普通用戶的正常訪問。不加控制地利用爬蟲技術持續訪問的行為，可能構成 《刑法》第286 條規定的“破壞計算機信息系統罪”。在主觀方面，行為人具有一種間接故意，也即明知不加控制的爬蟲技術可能會危害到網絡服務正常運行或其他人的正常訪問，而放任這種危害后果的發生；而在客觀方面，利用爬蟲技術爬取數據的行為確實妨礙到網絡服務正常運行，因而可以被解釋為“功能性破壞”。其實，不加控制地利用爬蟲技術持續訪問行為的構罪技術路徑與“DDOS 攻擊”（Distributed Denial of Service，分布式拒絕服務）具有相似性，也即發送大量看似合法的訪問請求，造成網絡阻塞或服務器資源耗盡，從而導致普通用戶無法正常訪問網絡資源。只不過，“DDOS 攻擊”主觀上是直接故意，訪問（攻擊）行為是通過大量的“僵尸主機”（間接利用或控制他人主機） 完成的； 而不加控制地利用爬蟲技術持續訪問行為在主觀上屬于間接故意，訪問行為是利用爬蟲技術實現的，但二者在危害后果上具有相似性。因此，不加控制地利用爬蟲技術“野蠻”訪問，造成被訪問方服務器癱瘓而無法正常運行的，可以被解釋為“功能性破壞”，構成破壞計算機信息系統罪。

四、刑法規制網絡數據爬取行為的路徑重塑

（一）新型網絡不正當競爭行為引發的刑法困境

通常而言，企業的數據來源包括“用戶數據、全網抓取數據、通過數據眾包形式獲得、通過合作協議方式獲得以及購買數據”等不同類型。為了形成大規模的數據沉淀，經營者往往要投入較高成本、 提供免費服務來吸引用戶； 為了維持用戶體量，后期仍然需要穩定投入。行為人付出極高成本挖掘出數據價值，自然會想盡辦法確保其數據權利不受他人侵犯。爬蟲技術讓某些人不勞而獲，“搶奪” 了本來應該通過支付對價所獲取的或者是根本無法獲取的數據資源，由此引發了如“武漢元光科技利用網絡爬蟲抓取數據”的不正當競爭案例。

有學者認為：“正是有了爬蟲技術違反民事行為生活準則和道德即構成不正當競爭的判決，才有了不久之后全國首例使用爬蟲技術構成刑事犯罪的案件（即“晟品公司利用網絡爬蟲抓取數據”一案）。從爬蟲行為反不正當競爭案到全國首例爬蟲行為入罪案，展現了爬蟲行為從民事違法到刑事違法的司法認定過程，它充分體現了我國司法實踐對爬蟲行為的態度。這一過程充滿司法理性，因為隨著爬蟲行為對各大網站數據的暴力爬取、強行爬取等行為的增多，已給網絡信息安全以及營運環境造成了極大的破壞。”然而，在本文看來，這種“爬蟲行為從民事違法到刑事違法”的“變性”過程，并沒有呈現出民事不法狀態與刑事違法的實質區別，反而將突破反爬措施誤讀為民刑分界的標準。客觀而論，“晟品公司利用網絡爬蟲抓取數據”一案反映出司法機關在回應網絡新型不正當競爭行為時不當尋求司法犯罪化之“慣習”。這種“慣習”一直存在，在面對“惡意注冊”“刷單炒信行為” 等網絡違法行為時就曾引發質疑。可以預計，在信息技術與社會發展快速融合的過程中，新型網絡問題不斷涌現出來，其中既包括新型技術性違法問題，也涉及在組織結構或行為方式出現變化的新型網絡違法業態，尤其是技術性問題與新型違法業態相互結合，沖擊到學者與實務部門的傳統認知，挑戰現有的刑法體系。

應當承認，在快速變遷、日益復雜的信息時代，刑法解釋應當更具目的導向性、實質性與回應性，刑法功能主義或許將成為風險社會與安全國家觀背景下刑法解釋的新導向。與此同時，回應新型社會問題的過程中必然會出現刑法規范的供給不足，理性的司法犯罪化可以在一定程度上應對日益復雜化的社會狀況，緩解刑法規范供給不足的壓力。不過，對新型網絡違法行為實質內涵的把握以及對其可能侵犯法益的認定均存在較大難度，司法犯罪化中“找法”的解釋技術與法治邊界必將成為難點問題。

我國網絡犯罪可以分為三種類型，即“針對計算機信息系統的犯罪”“利用計算機網絡實施傳統犯罪”以及“破壞網絡業務活動、妨害網絡秩序的犯罪”。其中，“破壞網絡業務活動、妨害網絡秩序的犯罪”的范圍與邊界是最難把握的。實踐中，這一類型的不法行為本身具有很強的“創新性”，常常會引發較為嚴重的危害結果，但往往又缺乏專門的罪名與之對應，在罪與非罪的認定上極易出現偏差。為了實現某種社會治理效果，司法機關很可能將“針對計算機信息系統犯罪”的罪名或其他傳統罪名適用到這一類型的不法行為。當前，司法機關將“利用爬蟲技術獲取一般數據的行為”犯罪化，不是刑法功能主義引導下刑法解釋的理性選擇，其本質在于刑法適用中錯誤地解釋了技術性概念，是社會治理過度刑法化的又一例證。

（二）刑法規制網絡爬蟲的二元結構——直接介入模式與事后介入模式

本文認為，面對突破反爬措施獲取數據的行為，應在理論上建構起二元化的規制結構，也即以數據本身的刑事違法性為標準，劃分出“刑法直接規制”與“刑法事后介入”兩種模式。其中，“刑法直接規制”，即刑法可以直接適用于利用爬蟲技術獲取“公民個人信息”行為，對此前文已作充分研討。這里重點探討的是“刑法事后介入”的路徑選擇。

本文所倡導的“刑法事后介入”，是指針對刑法無法直接規制的突破反爬措施爬取客戶端一般數據的行為，應盡力避免采取“軟性解釋”，而應當通過適用《中華人民共和國反不正當競爭法》（以下簡稱《反不正當競爭法》）首先尋求民事救濟，而這種民事救濟的重點在于利用“行為保全” 措施（實際上就是“禁令”）禁止相關行為人抓取數據；在此基礎上，對于仍然違反“行為保全”裁定而抓取數據的行為，可以適用我國《刑法》第313 條“拒不執行判決、裁定罪”予以規制。也即，形成一種“民事措施（行為保全）前置”與“刑法事后介入”相結合的遞進模式。

《中華人民共和國民事訴訟法》 第100 條規定：“人民法院對于可能因當事人一方的行為或者其他原因，使判決難以執行或者造成當事人其他損害的案件，根據對方當事人的申請，可以裁定對其財產進行保全、 責令其作出一定行為或者禁止其作出一定行為……”該條確立了我國“行為保全”的制度依據。與此同時，國內首例“涉及爬取數據的行為保全案”為我們提供了理想的實踐樣本。該案中，法院綜合考慮申請人“深圳騰訊公司、騰訊科技公司”的申請理由與被申請人“杭州快億公司”的答辯意見，裁定“被申請人立即停止提供微信公眾號文章信息API、 微信訂閱號和最新文章API、騰訊滾動新聞API 以及轄區內按省市微信公眾號及其企業認證信息數據產品的行為”。客觀而言，該行為保全裁定的核心內容在于要求被申請人停止在“神箭手”平臺上為用戶提供數據爬取通道，即API（Application Programming Interface，應用程序接口）。

但可以預計，今后的司法實踐完全可能出現“直接要求相關行為人停止爬取數據”的行為保全申請。換言之，面對突破反爬措施爬取數據的不正當競爭行為，我們完全可以憑借行為保全尋求救濟。在本文看來，行為保全前置具有兩個方面的積極意義，一是可以及時制止違法的抓取數據行為，快速停止損害； 二是合理且必要地確立受限行為的范圍，避免對合理的數據挖掘行為產生負面影響。

作為一種民事裁定，行為保全應屬于《刑法》第313 條“拒不執行判決、裁定罪”所保護的文書類型；故意違反行為保全裁定，完全可以構成“拒不執行判決、裁定罪”。只不過，最高人民法院于2015年7月20 日發布的 《關于審理拒不執行判決裁定刑事案件適用法律若干問題的解釋》（法釋〔2015〕16 號）并沒有專門針對違反行為保全裁定后所應達到的“情節嚴重”入罪標準做出專門規定。考慮到新型網絡不正當競爭行為屢禁不止，且變化快速，最高司法機關有必要針對違反“行為保全”裁定的情形，確立相應的入罪門檻。

結 語

2020年3月30 日，中共中央、國務院聯合發布了《關于構建更加完善的要素市場化配置體制機制的意見》（以下簡稱《意見》）。《意見》提出了“土地、勞動力、資本、技術、數據”五個要素領域改革的方向，明確了完善要素市場化配置的具體舉措。值得注意的是，數據作為一種新型生產要素，首次被寫入官方文件。同時，《意見》明確指出，要加快培育數據要素市場。由此而言，數據的開發、權屬、流轉以及與之相關的規范體系的建構，已經成為大數據產業從業者、 監管者以及其他數據利用者共同面對的重要課題，而缺乏規范的產業發展狀態為數據要素市場的培育帶來了一絲隱憂。

圍繞利用網絡爬蟲技術非法爬取數據的相關問題所展開的刑法思辨，為我們詮釋了傳統刑法觀念與司法邏輯在回應“新生問題”時的挑戰。即使在開展數據安全專項整頓的大背景下，我們也不能將爬蟲技術過度地“妖魔化”。面對網絡爬蟲，我們所要評價的對象并不是技術本身，而是爬蟲技術所針對的數據。在多數情況下，對于客戶端的一般數據，即使行為人突破了數據控制者所設置的反爬措施，該行為也不具有刑法上的違法性。刑法的不當介入，不僅會對日后的司法實踐做出錯誤引導，還會引發大數據行業的恐慌。面對與社會發展相伴相生的新型問題，為了不被錯綜復雜的案件事實和形形色色的行為手段擾亂思路，司法者需要提煉違法行為的本質屬性，也即，首先要準確認知對象問題、做好基礎定性，此后方能在治理對策上作出進一步思考，而刑法層面的對策思考應被置于最后。

注釋：

①?唐松：《Python 網絡爬蟲從入門到實踐》（第2版），機械工業出版社2019年版，第1、5 頁。

⑤虞元堅：《爬蟲獲取數據獲刑案件解析及無罪論點探析——以“今日頭條案”為例》，http://joint-win.com/Cn/analyse/analyse/id/171/catid/52.html。最 后訪問時間，2020年3月19 日。

⑥[日]中村勉：《刑法の基本思考》（改訂版），北樹出版社2003年版，第16 頁。

⑦李慧敏、 孫佳亮：《論爬蟲抓取數據行為的法律邊界》，《電子知識產權》2018年第12 期。

⑧于娟、 劉強：《主題網絡爬蟲研究綜述》，《計算機工程與科學》2015年第2 期。

⑨[日]戶根勤：《網絡是怎樣連接起來的》，周自恒譯，人民郵電出版社2017年版，第5～7 頁。

⑩當然，爬蟲技術與普通用戶訪問也存在某些不同之處。其一，在訪問后，多數普通用戶對客戶端數據并不具有復制需求，而爬蟲則會爬取數據并儲存。其二，作為計算機程序，利用爬蟲技術可以實現自動化高速訪問，獲取數據的頻率和數量要遠高于人工獲取。

?依據中國互聯網協會《互聯網搜索引擎服務自律公約》第7 條：“機器人協議（robots 協議）是指互聯網站所有者使用robots.txt 文件，向網絡機器人（Web robots）給出網站指令的協議。”事實上，“robots 協議”，就是技術界為了解決爬取方和被爬取方之間通過計算機程序完成關于爬取的意愿溝通而產生的一種機制。

?謝望原：《簡評〈刑法修正案（七）〉》，《法學雜志》2009年第6 期；皮勇：《我國網絡犯罪刑法立法研究——兼論我國刑法修正案（七）中的網絡犯罪立法》，《河北法學》2009年第6 期。

?李遐楨、侯春平：《論非法獲取計算機信息系統數據罪的認定——以法解釋學為視角》，《河北法學》2014年第5 期。

?上海市金山區人民法院（2018）滬0116 刑初924 號刑事判決書。

?北京市大興區人民法院（2019）京0115 刑初570 號刑事判決書。

?河南省濟源市人民法院（2018）豫9001 刑初503 號刑事判決書。

?北京市通州區人民法院（2019）京0112 刑初62 號刑事判決書。

?浙江省紹興市越城區人民法院（2019）浙0602 刑初1143 號刑事判決書。