大數據時代下網絡爬蟲的法律適用問題

姜 鴻 邵 勵

（杭州市西湖區人民檢察院，浙江 杭州 310007）

隨著互聯網的發展，人類社會已進入網絡社會。在“互聯網+”時代，社會生活的方方面面都滲透著信息網絡，與人們的日常生活、工作都產生了密不可分的關系。人們在享受網絡給工作生活帶來便利的同時，還可以通過現代科技手段與全世界的知識體系建立聯系，利用豐富的信息渠道拓寬自己既有的知識邊界。但網絡亦是一把雙刃劍，伴隨著網絡進步和生活便利的是頻頻發生的網絡犯罪，它不斷侵蝕著社會秩序，同時還引發了《刑法》在信息時代的制裁瓶頸和解釋危機，日益顯現的網絡犯罪問題已對我國信息化發展形成巨大障礙，從1997年《刑法》首次規定計算機犯罪至今，社會各界對網絡犯罪問題都給予高度關注和重視。

一、大數據與爬蟲

（一）大數據

大數據是需要新處理模式才能具有更強的決策力、洞察發現力和流程優化能力來適應海量、高增長率和多樣化的信息資產。網絡犯罪問題的根源，是在網絡社會中的信息數據已積累到了一個開始引發變革的程度，社會不僅充斥著比以往更豐富的信息數據，而且信息數據增長的速度也在加快，面對爆發式增長的信息數據該如何加以利用、處理將直接影響著網絡社會的基礎穩定。大數據開辟的新天地，給我們的生活、日常工作以及思維方式都帶來了翻天覆地的變化，它打破了網絡空間與現實社會的界限，伴隨著更多的風險和挑戰，這種挑戰不僅限于個人與企業，海量的大數據甚至可以影響社會與國家安全。如何保障大數據安全，是信息化過程中避無可避的難題。

大數據時代，獲取數據的常見的方式主要有以下幾種：1.企業產生的數據。擁有海量用戶的大型互聯網公司，可以憑借其用戶優勢積累數據，部分中小型企業基于數據意識的覺醒，也會收集、整合有用的數據。2.交易獲取數據。目前已經有專門的數據平臺或數據交易所允許數據交易，通過上述途徑也能獲取數據。3.權威部門公開的數據。每年國家統計局、央行、世界銀行、納斯達克等機構都會公開相當的數據，這部分數據都能在網絡上公開查詢。4.專業公司產生的數據。提供商業資訊方案的麥肯錫、埃森哲等公司，采用問卷調查、市場調研、行業合作、樣本檢測、專家對話等方式來獲取數據，從而定制性解決用戶問題。5.技術爬取數據。無論是搜索引擎，還是個人或單位獲取目標數據，都需要從公開網站上爬取大量數據，在此需求下，爬蟲技術應運而生，并迅速成為一門成熟的技術。［1］

（二）爬蟲技術與反爬蟲措施

爬蟲，即網絡爬蟲，又稱網絡蜘蛛（Web Spider），是一種按照一定規則，用來自動瀏覽或抓取萬維網數據的程序?？梢园雅老x程序看成一個機器人，它的功能就是模擬人的行為去訪問各種站點，或者帶回一些與站點相關的信息，它可以24小時不間斷地做一些重復性的工作，還可以自動提取一些數據。按照使用場景，可將爬蟲分為通用爬蟲和聚焦爬蟲；按照爬取形式，可分為累積式爬蟲和增量式爬蟲；按照爬取數據的存在方式，可分為表層爬蟲和深層爬蟲。在實際應用中，網絡爬蟲系統通常是由幾種爬蟲技術相結合實現的。

爬蟲技術的目的是為自動獲取網頁數據，而反爬蟲則是利用技術手段防止爬蟲爬取數據。一些智能爬蟲的爬取頻率比較合理，不會消耗過多的網站資源，但更多網絡爬蟲對網頁的爬取能力很差，經常并發上百個請求循環重復爬取，對中小型網站造成的訪問壓力可能導致網站訪問速度變慢，甚至無法訪問，因此現在的網站會采取一些反爬蟲措施來阻止爬蟲的不當爬取行為。

1.Robots協議（Robots Exclusion Protocol）

該協議全稱是“網絡爬蟲排除標準”，是互聯網界通行的道德規范。［2］網站以符合協議的robots.txt文件讓搜索引擎明白允許的爬取范圍。robots.txt文件是搜索引擎訪問網站時要查看的第一個文件，它會限定網絡爬蟲的訪問范圍。當爬蟲訪問站點時，首先要確認站點根目錄下robots.txt文件的存在與否。如果該文件存在，那么網絡爬蟲就會按照該文件中的內容來確定訪問的范圍；如果該文件不存在，那么所有的網絡爬蟲就能夠訪問網站上所有沒有被密碼保護的頁面。

2.反爬蟲策略

常見的反爬蟲策略包括有：（1）User-agent限制：服務端通過識別請求中的User-agent是否為合理真實的瀏覽器，從而來判斷是否為爬蟲程序。（2）IP限制：一些網站限制了每個IP在一定時間內訪問的頻次，超過這個次數就不能訪問等。（3）驗證碼限制：雖然一些網站不登錄就能訪問，但是它一檢測到某IP的訪問量有異常，就會馬上提出登錄要求，并隨機提供一個驗證碼。

二、網絡爬蟲技術的異化

技術雖然中立，但人的行為卻有是非對錯、合法與違法之分。遵守網站Robots協議，通過網絡公開接口進行爬取，行為不影響網站的正常運行，反而會因為增加了網站的流量受到歡迎，這類爬蟲屬于善意爬蟲。有善即有惡，惡意爬蟲忽略協議中Disallow要求，爬取網站的核心抑或保密等禁止爬取的數據，還會造成占用網站服務器帶寬資源的情形，從而導致服務器無法正常處理用戶訪問，出現服務器崩潰的不良后果。

現如今，因缺乏有效行業規范和有力監督，網絡爬蟲的治理面臨著惡意網絡爬蟲泛濫的窘境，惡意網絡爬蟲作為新型網絡犯罪手段，包括并不限于頻繁訪問網站，大量占用帶寬導致網絡服務器無法負荷最終宕機，擾亂計算機信息系統正常運行；侵入計算機信息系統后取得控制權，并對計算機信息系統或系統內文件進行增、刪、改，破壞計算機信息系統安全；非法獲取公民個人信息，并將所獲取信息提供給不法分子，從而觸犯《刑法》的現實案例比比皆是。

三、網絡爬蟲的《刑法》規制

我國《刑法》規定的網絡犯罪大致包括四種類型，一為侵入性網絡犯罪，規定在《刑法》第二百八十五條第一款、第二款，共同點都在于要求行為人非法侵入計算機信息系統。二為破壞性網絡犯罪，規定在《刑法》第二百八十六條，指行為人違反國家規定，對計算機信息功能進行增、刪、改或進行干擾，造成相應后果的。三為違背監管義務型網絡犯罪，主要是《刑法》第二百八十六條之一（《刑法》修正案（九）第二十八條），主要針對的對象是網絡服務提供者，且有前置行政行為，必須是經監管責令改正而并不改正才能定罪處罰。四為輔助性網絡犯罪，《刑法》第二百八十五條第三款、第二百二十七條之一提供侵入、非法控制計算機信息系統程序、工具罪，非法利用信息網絡罪。

以“爬蟲”為關鍵詞查詢裁判文書網，發現在司法實踐中，使用爬蟲技術可能觸犯以下罪名：

（一）破壞計算機信息系統罪

案例一：行為人為獲得全運會接待服務管理系統安全維護業務，利用提供美工服務時掌握的系統管理后臺的URL、管理員用戶名及密碼，通過向全運會組委會接待服務管理系統植入編寫的“爬蟲”程序，攻擊系統漏洞，導致系統內大量信息被刪除。

案例二：一公司為業務需要，有相關行為人開發一款名為“快鴿信貸系統”的軟件，該軟件采用爬蟲功能從深圳市居住證網站上爬取房產地址、房屋編碼等信息，為了更便捷地服務主營業務，該軟件中的爬蟲功能在短時間（2小時內）大量訪問深圳市居住證系統，這種機器式的查詢使深圳市公安局居住證服務平臺服務器遭受到自動化程序攻擊，造成系統服務器無法正常運行，因服務器宕機后相應服務平臺也無法正常對外提供服務，用戶不能正常使用平臺業務，極大影響使用方日常工作。

兩個案例的判決依據都是《刑法》第二百八十六條第一款。前者在攻擊計算機信息系統漏洞時，刪除系統內的數據，也是慣常定該罪時出現的“增”“改”“刪”三種情形之一，故行為人的行為是符合破壞信息系統罪的犯罪構成要件的。后者因為干擾計算機信息系統正常功能，造成相應后果，而這也是爬蟲技術在使用過量時最容易造成的DDOS攻擊。

（二）非法經營罪

行為人利用“爬蟲”軟件從其他網站抓取各類信息放置在其建立的網站后，收取數額不等的費用提供刪除網站信息服務，并通過有償刪帖獲利數十萬元。

正常使用爬蟲技術從公開網頁爬取允許的數據并不違法，利用網絡收集負面信息放大其效應，吸引有需求的人群提出刪帖要求，并就此收費的行為，究竟是市場行為還是已經觸犯法律，筆者內心尚存疑問，但判決書認為行為人有償刪除網絡信息服務，屬于違反國家規定，以營利為目的，擾亂市場秩序，情節嚴重，構成非法經營罪。

（三）非法侵入計算機信息系統罪

行為人通過“爬蟲”軟件大量爬取各地車管所公告的車牌放號信息，并通過軟件將爬取車牌號與“交通安全服務管理平臺”車輛報廢查詢系統內的車牌信息進行對比，篩選出未注冊車牌號形成數據庫。

之后編寫客戶端查詢軟件，通過QQ、淘寶、微信等方式，向有選車牌號需求的人分省市販賣數據庫查閱權限，通過比對未注冊車牌號數據庫使用搶號軟件采用多線程登錄，編輯“按鍵精靈”類軟件模擬人工操作，編輯驗證碼自動識別輸入，實現快速搶號，之后選取車牌販賣。

川3424刑初169號判決書認為：行為人違反國家規定，以牟利為目的，侵入二百八十五條第一款規定的計算機信息系統，應當以非法侵入計算機信息系統罪定罪處罰。

（四）非法獲取計算機信息系統數據罪

因爬蟲技術更多用于爬取數據，因此，本罪應是不當使用爬蟲技術容易觸犯的罪名。（2019）浙0602刑初1143號判決書認為行為人利用研發的爬蟲軟件、加粉軟件遠程訪問運營商數據庫中的數據，非法登錄用戶淘寶、微博賬號，進行強制加粉、訂單爬取，并從中牟利的行為符合第二百八十五條第二款規定，成為非法獲取計算機信息系統數據罪。

但從判決書認定的事實來看，強制加粉的行為應對數據庫中的數據進行了修改，僅用非法獲取計算機信息系統數據來評價似不夠充分。

四、當前刑事司法規制中存在的問題

從上述罪名認定上來看，使用爬蟲技術可能觸犯網絡類罪名，也可能觸犯其他罪名，但在此罪與彼罪、一罪與數罪的認識上，存在一定爭議，具體如下：

（一）定網絡犯罪還是一般性犯罪認識不一

（2019）魯0213刑初144號、（2020）魯02刑終108號判決書認定行為人通過SQL注入漏洞以及編寫爬蟲腳本的方式，侵入計算機信息系統，獲取計算機系統內存儲的大量數據，后將獲取的公民信息數據予以出售的行為認定為非法獲取計算機信息系統數據罪。

行為人采用爬蟲技術作為手段，非法獲取計算機信息系統內數據的行為，符合《刑法》第二百八十五條第二款的規定，但其將獲取的公民個人信息出售的行為，同樣符合《刑法》第二百五十三條之一第一款的規定，系典型的牽連犯，一般從一重處斷，但本案中，行為人在兩罪中的量刑均為有期徒刑三年至七年，難分孰輕孰重，筆者認為，在該種情況下，依據主客觀相一致原則，行為人通過爬蟲程序爬取計算機信息系統內數據的最終目的是將上述數據出售獲利，非法獲取計算機系統數據只是手段，主觀上系侵犯公民個人信息，但裁判文書中未對兩罪做出評判且最終以手段行為判處刑罰，似有不妥。

（2019）蘇08刑終216號判決書體現了筆者的思路，該判決書認定行為人作為某小額貸款平臺的共同經營人，為牟取非法利益，合謀開發具有付費查詢獲取多家小額貸款平臺內公民個人借貸信息、身份證照片信息等功能的“黑爬蟲”網站并對外經營。用戶充值后，經付費可以通過“黑爬蟲”網站查詢公民個人信息，判決書最終認定行為人的行為構成侵犯公民個人信息罪。

（二）定此網絡犯罪還是彼網絡犯罪認識不一

（2019）蘇1091刑初157號判決書認定行為人開發“探索云盤搜索”網站和“探索云盤搜索”插件，下載并使用“探索云盤搜索”插件的用戶只要在電腦上登錄百度網盤賬戶，插件內的“爬蟲”軟件會在用戶不知情情況下抓取該網盤內的分享鏈接地址和提取碼并上傳服務器，行為人將獲取的信息收錄于“探索云盤搜索”的網站上，向不特定人公開，并收取會費獲利的行為違反“任何個人和組織不得從事非法侵入他人網絡、干擾他人網絡正常功能、竊取網絡數據等危害網絡安全的活動”①《網絡安全法》第二十七條。的規定，判定行為人犯非法獲取計算機信息系統數據罪。

但該案中，公訴機關認為應當根據《刑法》第二百八十五條第三款進行評價。

判決書認為提供侵入、非法控制計算機信息系統程序、工具罪中的“提供”應當是為違法犯罪行為提供幫助或創造條件，或者被提供者對所提供的程序、工具的非法屬性至少有概括的認知，但使用插件的用戶并無違法行為，對于插件中的爬蟲程序會爬取自己賬戶內的網絡資源也并不知情，用戶也是信息被竊取的被害人，不符合提供侵入、非法控制計算機信息系統程序、工具罪的本質含義，故不支持公訴機關指控。

五、結語

法益是《刑法》保護的利益，雖然這個基礎性概念存在爭議，但“法益是建立刑罰正當性的前提和特定行為入罪化的實質標準”①提供侵入、非法控制計算機信息系統程序、工具罪。已基本達成共識。法益的保護范圍決定著成立犯罪的邊界，也界分著此罪與彼罪，它不僅在立法上對什么是犯罪、應當承擔多少刑罰起指導作用，在司法層面也對為什么成立此罪而非彼罪進行著解釋。

《刑法》第二百八十五條至二百八十七條之二款確定的打擊網絡犯罪的刑罰規范，其保護的法益除了計算機信息系統外，還包括計算機信息系統中的數據安全以及計算機信息系統所有人與合法用戶的合法權益。［3］

“‘計算機信息系統’和‘計算機系統’，是指具備自動處理數據功能的系統，包括計算機、網絡設備、通信設備、自動化控制設備等?！保?］司法解釋將“計算機信息系統”和“計算機系統”作為同一概念把握，隨著社會的網絡化，計算機信息系統的應用領域越發廣泛，一些具體情況下計算機信息系統的認定也存在爭議?；诖?，最高人民法院與最高人民檢察院圍繞計算機信息系統的認定發布了專門的指導案例。例如，將附屬計算機信息系統（徐強破壞計算機信息系統案②兩高《關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》第十一條。）中的大型機械GPS信息服務系統認定為具備自動處理數據功能的通信設備與自動化控制設備，該認定并未超過《解釋》第十一條規定的范圍和國民預測的可能性。也有將移動終端系統（曾興亮、王玉生破壞計算機信息系統案③最高人民法院指導案例第103號。），即包括智能手機、筆記本電腦、平板電腦等移動終端因具有特定的操作系統，與《解釋》第十一條規定的具備自動處理數據功能的系統具有一致性，認定為計算機信息系統，該認定亦符合網絡社會和信息技術的現實發展。④最高人民檢察院指導案例第35號。

爬蟲的本質是獲取數據，工作過程類似于從虛擬瀏覽器發送請求（獲取網頁代碼），再獲取有用數據存放于數據庫或文件中。網絡爬蟲的技術原理必然要求運行爬蟲程序的計算機設備不停地與被爬取數據的計算機系統或計算機信息系統發生信息交互，這個數據獲取和保存的過程有可能產生嚴重后果從而成立破壞計算機信息系統罪，也可能只是繞開防范措施而成立非法獲取計算機信息系統數據罪，還有可能爬取的數據涉及公民個人信息而成立侵犯公民個人信息罪……［5］

總而言之，爬蟲技術在誕生之初有效提高了獲取數據的效率，而大數據的合理使用給我們的生活帶來了極大便利，在經濟社會層面也有正面意義。但隨著大數據時代的到來，數據蘊含的利益逐步加大，受利益驅動，爬蟲技術被行為人用于違法犯罪的案例同樣屢見不鮮。正所謂任何事物都有兩面性，在網絡爬蟲被廣泛應用的同時，數據訪問獲取、使用和分享的規則必然需要進一步明確，在采用“君子協定”的robots協議規范網絡爬蟲控制者相關行為外，必須存在相應的法律法規來規范其行為，堅決打擊越軌行為。由于犯罪形態的不斷變化、對法律理解的差異，導致相關行為性質的認定存在不一致的情形，具體到個案，還需要回歸法益保護這一根本點，從而最終實現罪責刑相統一的處理結果。