網絡爬蟲刑法規制研究*

陳毅堅 曾憲哲

數字經濟是農業、工業經濟之后新的經濟社會發展形態，即以數字化知識和信息為關鍵生產要素、以現代信息網絡為重要載體、以有效使用信息通信技術來提升效率和優化經濟結構的一系列經濟活動，主要包括大數據、人工智能、區塊鏈等為代表的新技術集群。①中共浙江省委黨校、浙江省經濟和信息化廳編著：《數字經濟》，杭州：浙江人民出版社，2019年，第1—18頁。其中，大數據是數字產業化與產業數字化的重要手段與發展對象，已深入社會生產、生活的各方面，但大數據黑灰產業鏈也隨之不斷升級。②參見陳毅堅、陳海勁：《私人數字貨幣發行的刑法規制研究》，《湖南社會科學》2022年第3期，第78頁。一方面，網絡爬蟲作為批量獲取數據源的主要手段被不法分子加以利用，嚴重危害公民人身、財產等權利；另一方面，沒有厘清網絡爬蟲的技術原理及其與其他技術的區別，又極易陷入對網絡爬蟲入刑的擴大化。因此，如何區分網絡爬蟲的合理使用與違法犯罪成為重要課題。

但是，關于網絡爬蟲刑法規制的現有研究呈現弱技術性、分散性和單一性的特點。其一，停留在網絡爬蟲的淺層機理，僅認識到網絡爬蟲是一種按規則自動抓取數據的程序或腳本，能夠廣泛應用于搜索引擎、網絡輿情、大數據挖掘等領域，而并未深入研究其技術基礎、分類和特點，未能與網絡爬蟲的技術特征高度對應，呈現弱技術性。①參見劉艷紅：《網絡爬蟲行為的刑事規制研究——以侵犯公民個人信息犯罪為視角》，《政治與法律》2019年第11期，第16—17頁。其二，尚未從網絡爬蟲的技術特征與已有的司法實踐出發來總結濫用網絡爬蟲的不法類型，具有分散性。②參見李慧敏、孫佳亮：《論爬蟲抓取數據行為的法律邊界》，《電子知識產權》2018年第12期，第58—67頁。其三，局限于濫用網絡爬蟲與公民個人信息、著作權和計算機數據保護間的博弈，未能發現實踐中的新問題，具有單一性。③參見楊志瓊：《我國數據犯罪的司法困境與出路：以數據安全法益為中心》，《環球法律評論》2019年第6期，第151—171頁；宋行健：《濫用網絡爬蟲技術收集個人信息的刑法規制》，《湖南科技大學學報（社會科學版）》2021年第4期，第139—148頁。綜上，由于缺乏對網絡爬蟲技術層面的深入分析，現有研究未能識別濫用網絡爬蟲法律問題的技術本質，故難以有針對性、多維度地挖掘濫用網絡爬蟲亟待解決的問題。據此，本文通過分析網絡爬蟲的深層機理對濫用網絡爬蟲的不法類型進行檢視，結合技術、理論與實務情況，從法益維度分析我國刑法規制濫用網絡爬蟲行為的現狀及問題，進而從數據的保護與共享理念出發提出相應的規制限度與出路。

一、網絡爬蟲的運作機理與不法類型

（一）網絡爬蟲的運作機理及分類

網絡爬蟲又稱網絡蜘蛛、網絡螞蟻、網絡機器人等，是一種根據特定算法規則自動化瀏覽和收集互聯網中特定數據的任務行為，即模擬人點擊網頁并獲取數據，具有高精準性、廣覆蓋面、低技術準入性和難防守性四大特點。其運作機理是，網絡爬蟲從種子URLs（Uniform Resource Locator）出發，獲取初始網頁上的URL，之后在抓取網頁的過程中，不斷從當前頁面上抽取新的URL放入隊列，直至滿足系統設置的停止條件。④參見周德懋、李舟軍：《高性能網絡爬蟲：研究綜述》，《計算機科學》2009年第8期，第26頁。

網絡爬蟲主要分為通用網絡爬蟲（General Purpose Web Crawler）、聚焦網絡爬蟲（Focused Crawler）、增量式網絡爬蟲（Incremental Web Crawler）和深層網絡爬蟲（Deep Web Crawler）四種類型。通用網絡爬蟲又稱全網爬蟲，其目標資源在全網，爬取數量大且范圍廣，主要為門戶站點搜索引擎和大型Web服務提供商采集數據。⑤參見韋瑋：《精通Python網絡爬蟲：核心技術、框架與項目實戰》，北京：機械工業出版社，2017年，第6頁。如百度搜索引擎的爬蟲每日在海量網頁中爬取優質網頁并存儲，當用戶檢索關鍵詞時，百度就會依據關鍵詞從收錄的網頁中找出相關網頁，按照一定的規則排序并將結果展現給用戶。聚焦網絡爬蟲又稱主題爬蟲，可根據一定的網頁分析算法過濾與用戶所設定主題無關的鏈接，保留有用的鏈接并將其放入等待抓取的URL隊列，實現低成本、高效、精準抓取，常用于特定目的的小規模爬取。⑥參見周立柱、林玲：《聚焦爬蟲技術研究綜述》，《計算機應用》2005年第9期，第1965—1966頁。如抖音、華住會、社保掌上通等各類APP可以將聚焦網絡爬蟲的爬取主題設為“公民個人信息”來收集全站所有或特定的公民個人信息。⑦參見《隱私難設防：APP爬取個人信息手段多樣》，載人民網2019年4月1日，http://it.people.com.cn/n1/2019/0401/c1009-31005509.html。增量式網絡爬蟲則通過持續爬取的方式將爬取到的“更重要”的網頁替換掉“次重要”的網頁，在一定程度上保證爬取的頁面盡可能是新的頁面，具有時效性，通常應用于已抓取了足夠量的數據后進行數據周期性更新的運營中，如商用搜索引擎。①參見《爬蟲分類——通用網絡爬蟲、聚焦網絡爬蟲、增量式網絡爬蟲、深層網絡爬蟲》，載CSDN博客2020年3月23日，https://blog.csdn.net/qq_39368007/article/details/105047654。深層網絡爬蟲主要用于爬取深層網頁，深層網頁區別于以超鏈接就能夠到達的表層網頁，需要通過程序交互或提交一定的關鍵詞后才能獲取隱藏數據，因此深層網絡爬蟲爬取的數據質量較高，適用于數據深度分析。②參見曾偉輝、李淼：《深層網絡爬蟲研究綜述》，《計算機系統應用》2008年第5期，第122—123頁。如某些房產網站中會顯示樓盤名稱、開盤時間、樓盤面積和地理位置示意圖，但經緯度等具體的地理數據則隱藏在JavaScript腳本語言中，需要用深層網絡爬蟲挖取；又如需要用戶注冊后才能獲取的數據，也需要用深層網絡爬蟲爬取。

為保證網站的正常運轉及數據競爭力，網站通常都會針對爬蟲采取以下兩種措施來維護自身數據安全。一是協議合意，如Robots協議或Robots Meta標簽、服務條款、權責聲明等，與用戶合意數據爬取的范圍。廣為運用的Robots協議全稱是“網絡爬蟲排除標準”（Robots Exclusion Protocol），網站會在其根目錄下放置“robots.txt”文件，其中規定了哪些內容不可抓取。當爬蟲訪問站點時，它會首先檢查該站點根目錄下是否存在robots.txt文件。如果存在，爬蟲就會按照該文件中的內容來確定訪問范圍；如果不存在，爬蟲將能夠訪問網站上所有沒有被口令保護的頁面。此類措施主要靠用戶自覺遵守，而沒有技術上的強制力，表明網站對數據的保護意愿較低。③參見羅剛：《網絡爬蟲全解析：技術、原理與實踐》，北京：電子工業出版社，2017年，第45—48頁。二是反爬蟲技術壁壘，如身份驗證、封鎖IP、封鎖User-Agent、JavaScript渲染和CSS偏移等。④《9種常見的反爬蟲策略思路》，知乎網http://zhuanlan.zhihu.com/p/345343134，2021年1月19日。此類措施防止無授權的爬取，表明網站較強的數據保護意愿。

（二）網絡爬蟲的不法類型

網絡爬蟲與人力抓取相比具有高效、便捷、全面的特點，因而在數字經濟與大數據時代備受青睞。Imperva發布的報告顯示，51.8%的互聯網訪問由機器人產生，其中惡意機器人占比28.9%。⑤Igal Zeifman,“Bot Traffic Report 2016,”Imperva(Jan.24,2017),https://www.imperva.com/blog/bot-traffic-report-2016/.網絡爬蟲只是一種收集數據的技術，本身無所謂不法，但近年來爬蟲技術被嚴重濫用而異化為不法分子攫取利益尤其是經濟利益的重要手段，從而喪失了基于技術中立的責任豁免可能性。⑥參見劉憲權：《網絡黑灰產上游犯罪的刑法規制》，《國家檢察官學院學報》2021年第1期，第7—9頁。網絡爬蟲的不法與爬蟲使用者是否獲得數據的爬取權限和數據的后續使用直接相關，這種基于權限和濫用的不法體現為手段不法、內容不法和使用不法。

1.網絡爬蟲的手段不法。數據的代際屬性轉變逐步證明數據應當具有獨立的法益地位，數據法益指數據本體法益，包括數據的保密性（confidentiality）、完整性（integrity）和可用性（availability）。⑦參見楊志瓊：《我國數據犯罪的司法困境與出路：以數據安全法益為中心》，第159—161頁。網絡爬蟲的手段不法主要表現為對數據法益的侵害，具體包括以下兩種情形。

第一，網站通過設置反爬蟲技術壁壘表明其反對被爬取任何公開與非公開數據的強烈要求，行為人強行通過破壞或避繞反爬技術壁壘以獲取數據，則破壞了網站數據的保密性和完整性。如“陳輝提供侵入、非法控制計算機信息系統程序、工具案”中，被告人編寫的爬蟲軟件具有以非常規手段模擬用戶識別和輸入圖形驗證碼的功能，該功能可繞過大麥網平臺的人機識別驗證機制以訪問大麥網平臺的資源①參見廣東省廣州市南沙區人民法院（2021）粵0115刑初5號刑事判決書。；又如“林鎮平等非法獲取計算機信息系統數據案”中，被告單位利用爬蟲程序，采用破解驗證碼等手段非法獲取某網站的房產數據，經解密、加工、整理后供自己使用②參見北京市朝陽區人民法院（2020）京0105刑初2594號刑事判決書。。此類破壞或避繞行為均具備手段不法。有學者認為，反反爬蟲行為包括深度鏈接（deep link）③參見劉艷紅：《網絡爬蟲行為的刑事規制研究——以侵犯公民個人信息犯罪為視角》，第22—23頁。，深度鏈接即設鏈者在不脫離本網頁的情況下，以從被鏈網站下載或打開超鏈接的方式將他人網站中的內容展現在自己的網頁中。本文認為，深度鏈接與反反爬蟲行為沒有必然聯系，因為設鏈網頁對被鏈網站內容的獲取并不必然通過不法爬蟲爬取，其相同點僅在于兩者均未經授權而使用他人資源。如果僅涉及鏈接技術操作，則深度鏈接在性質上與破壞、避繞這類攻擊行為完全不同；深度鏈接只有與爬蟲技術相結合的情況下，才具有手段不法。

第二，網絡爬蟲可以作為網絡攻擊方式，造成計算機信息系統不能正常運行。其一，網絡爬蟲都可以通過多線程的方式實現，即爬蟲通過多個運算核心創建多條線路并行運作，但禮貌性原則要求不能同時發起過多的數據下載請求，否則，極易導致網站癱瘓、無法訪問等后果，將破壞網站及其數據的可用性，故使用多線程爬蟲時需有所克制。如“楊杰明、張國棟破壞計算機信息系統案”中，被告人授權公司員工使用網絡爬蟲對深圳市居住證系統進行查詢訪問，其訪問量為每秒183次，共計查詢信息約151萬條次，造成該時段內深圳市居住證系統無法正常運作，嚴重影響了深圳市公安局人口管理處的工作。④參見廣東省深圳市南山區人民法院（2019）粵0305刑初193號刑事判決書。其二，濫用網絡爬蟲刪除、修改、增加計算機信息系統中存儲、處理或者傳輸的數據和應用程序，導致計算機信息系統無法正常運行的，破壞了網站及其數據的完整性和可用性。如“王博一文、黃業興破壞計算機信息系統案”中，被告人將爬蟲程序植入第十三屆全運會接待服務系統，刪除了該系統內大量參賽運動員及技術官員的抵離信息、酒店住宿信息、人員簡要身份信息，致使當日天津市全運會組委會接待服務部39臺計算機無法正常運行接待服務系統，給全運會接待服務工作造成嚴重影響。⑤參見天津市南開區人民法院（2017）津0104刑初740號刑事判決書。

2.網絡爬蟲的內容不法。如前所述，網站在采取協議合意的方式保護數據安全時，往往使用Robots協議或Robots Meta標簽明確爬取的內容范圍。協議授權包括明示授權與默示授權，前者指網站在協議上明確寫明所有爬蟲或特定公司、個人的爬蟲可以爬取本網站特定范圍的數據，或通過技術措施主動篩選允許的爬蟲；后者指不發布任何協議，也不采用任何的反爬技術壁壘，默認所有的爬蟲均可訪問網站并爬取數據。網絡爬蟲的內容不法主要表現為對公民個人信息和知識產權法益的侵害，具體包括以下兩種情形。

第一，在明示授權的情況下，可能因為超越爬取范圍而產生內容不法。由于協議合意沒有技術強制力，而是靠用戶自覺遵守，在授權范圍內的爬取行為本身不存在不法，但卻可能因為無視協議或超越授權范圍爬取而變為無授權爬蟲，產生內容不法。如網站協議規定，A爬蟲可以爬取全站數據，B爬蟲僅可以爬取特定數據，若B爬蟲超出允許范圍爬取協議禁爬的數據，則爬取超出范圍部分數據時屬于無授權爬蟲。若B在不允許的領域爬取到公民個人信息、商業秘密和著作權作品等數據即存在內容不法，侵害了公民個人信息和知識產權法益。目前市面上的多款日常生活中常用的APP均存在超協議授權范圍采集數據的現象，有專家發現許多APP及其SDK（Software Development Kit）都申請了大量與其功能毫不相關的權限，比如只需要5個權限，但申請量可能高達55個。①《多款知名APP涉嫌侵犯公民個人隱私和超范圍采集公民個人隱私》，載搜狐網2019年9月17日，https://www.sohu.com/a/341357509_100170731。全國首例利用手機APP非法超授權范圍采集公民個人信息案中，被告人通過手機貸款APP在用戶服務條款的授權以外非法采集通訊錄、通話記錄、短信等用戶個人信息，其行為存在爬蟲的內容不法②《全國首例手機APP非法超限采集個人信息案宣判！》，載長沙縣人民政府網2021年10月8日，http://www.csx.gov.cn/zwgk/zfxxgkml/rdzt/2021ngjwlaqxcz/xwsd/202110/t20211008_10258903.html。。可見，無授權爬蟲廣泛存在且對公民個人信息、商業秘密和著作權作品等數據存在著現實、緊迫的威脅。

第二，在明示或默示授權的情況下，可能因為爬取著作權數據而產生內容不法。網絡爬蟲的運作原理是模擬人點擊網頁來獲取、下載并儲存數據至服務器，爬取行為本質上就是復制行為。③參見王遷：《復制權與信息網絡傳播權的關系》，《湖南師范大學社會科學學報》2022年第2期，第1—2頁。而書籍、視頻、圖片和經過匯編的一般程式碼④參見許可：《數據爬取的正當性及其邊界》，《中國法學》2021年第2期，第177頁。等著作權作品的復制權受刑法保護，未經許可且不屬于合理使用而爬取上述作品則侵犯著作權。而且，在無特別情況下，著作權相關權利的許可是單向、單次的，即便網站獲得了著作權人的復制權、展覽權或信息網絡傳播權等權利許可，未經著作權人同意亦不得將上述權利轉讓給他人。⑤《中華人民共和國著作權法》第二十九條規定：“許可使用合同和轉讓合同中著作權人未明確許可、轉讓的權利，未經著作權人同意，另一方當事人不得行使。”該條規定的權利也包括再次轉讓權限。因此，網站若明示或默示授權爬蟲可爬取站內著作權作品，爬蟲仍可能因缺乏原著作權人的許可而產生內容不法。如“陜西縱航軟件開發有限公司與北京華視聚合文化傳媒有限公司侵害作品信息網絡傳播權案”中，縱航公司未經華視聚合公司許可使用爬蟲軟件與深度鏈接結合的方式在其經營的微信公眾號中傳播了華視聚合公司享有信息網絡傳播權的電影作品，使公眾可以在其個人選定的時間和地點獲得該作品，侵犯了華視聚合公司對涉案作品依法享有的信息網絡傳播權。⑥參見陜西省高級人民法院（2020）陜民終1109號民事判決書。無論縱航公司在公眾號上是否寫明視頻可轉載，他人均不可越過華視聚合公司的授權而隨意爬取，否則可能產生內容不法。

3.網絡爬蟲的使用不法。網絡爬蟲常被用作侵犯財產、公民個人信息和知識產權等犯罪的上游行為工具，網絡爬蟲的使用不法體現在對爬取特殊數據的后續使用行為，主要表現為對傳統法益的侵害，包括以下兩種情況。

第一，銷售爬取數據獲利的行為侵犯了公民個人信息和知識產權等法益。數字經濟下數據變現能力大大增強，成為重要財富密碼，如公民個人信息、商業秘密和著作權作品均具有與有形財產相同的經濟價值性、稀缺性和可控性等財產屬性而能夠直接變現，因此，數據倒賣黑灰產業鏈逐步形成、壯大。⑦參見李愛君：《數據權利屬性與法律特征》，《東方法學》2018年第3期，第65—66頁。其中，濫用網絡爬蟲獲取數據并銷售獲利是數據交易中最為常見的情況，如“巧達科技公司侵犯公民個人信息案”中，巧達公司通過利用大量代理IP地址、偽造設備標識等技術手段，繞過招聘網站的防護技術，非法獲取簡歷信息超過2億條，并將簡歷數據庫以13800元每年的價格賣給有需求的企業客戶。①《警方披露巧達科技案情：利用爬蟲獲取簡歷36人被批捕》，載新浪財經網2019年5月24日，https://finance.sina.com.cn/chanjing/gsnews/2019-05-24/doc-ihvhiqay1025765.shtml。

第二，使用爬取的數據實施詐騙、催收非法債務或進行不正當競爭的行為侵犯了財產、人身安全和市場正當競爭秩序等法益。其一，爬蟲爬取到的公民個人信息包括身份證號碼、家庭住址和電話號碼等，具有明確個體指向性和人身貼合性。行為人能夠以此取得被害人信任，實施詐騙、敲詐勒索、滋擾或暴力催收等犯罪。這在互聯網金融借貸行業中較為常見，風控企業借助大量數據對用戶進行精準畫像來評估風險，甚至進行線下的非法催收。如“51信用卡案”就因未經相關銀行授權而獲取銀行用戶個人信息，并涉嫌對用戶進行“套路貸”和非法暴力催收被立案偵查。②《“催命”51信用卡：投訴量超4000條，大多關于套路貸、砍頭息》，載鳳凰網財經2019年10月23日，https://finance.ifeng.com/c/7r08BPrE0dE。其二，行為人基于損害他人市場競爭力或進行替代性市場活動的目的而爬取競爭對手的數據并進行不法使用。在“酷米客訴車來了案”中，車來了APP運營方元光公司為獲取精準公交數據，破解了谷米公司的酷米客APP加密系統，并爬取了酷米客APP內實時數據。法院認為，該信息雖可免費查詢，但數據需以不違背權利人意志的合法方式獲得，被告利用爬蟲技術大量獲取、無償使用他人數據的行為構成不正當競爭。③參見廣東省深圳市中級人民法院（2017）粵03民初822號民事判決書。

二、網絡爬蟲刑法規制的現狀與問題

（一）網絡爬蟲刑法規制的現狀

1.網絡爬蟲侵害數據法益的規制現狀。濫用網絡爬蟲侵害數據法益主要表現為侵害數據的保密性、完整性和可用性三方面，《刑法》第二百八十五條至第二百八十七條之二規定的計算機相關犯罪對此進行規制，根據行為鏈條主要包括以下三種犯罪。

首先，當行為主體是網絡爬蟲的直接或授意操作者時，可能構成兩種犯罪。第一，網絡爬蟲未經授權或超越授權爬取他人數據的行為屬于“非法獲取”，“情節嚴重”時構成非法獲取計算機信息系統數據罪。如在網站中植入URL獲取網站存儲的Cookie④本案被告人的行為方式與一般模擬點擊的爬蟲不同，前者修改了網站程序，而后者一般不修改網站程序。參見“黃后榮、翁秀豪非法獲取計算機信息系統數據、非法控制計算機信息系統案”，杭州市余杭區人民法院（2014）杭余刑初字第1231號刑事判決書。，或全國首例爬蟲入刑案中被告人爬取時使用偽造設備身份（device_id）繞過服務器身份校驗，使用偽造用戶代理（User-Agent）及IP地址繞過服務器的訪問頻率限制獲取視頻數據的行為⑤參見“上海晟品網絡科技有限公司、侯明強等非法獲取計算機信息系統數據案”，北京市海淀區人民法院（2017）京0108刑初2384號刑事判決書。，或違反Robots協議獲取數據的行為⑥參見“馬駿、張偉非法獲取計算機信息系統數據、非法控制計算機信息系統案”，山東省濟南市歷下區人民法院（2020）魯0102刑初351號刑事判決書。，都可能構成本罪。

第二，當網絡爬蟲的抓取干擾了計算機信息系統的功能，或濫用網絡爬蟲刪除、修改、增加計算機信息系統中存儲、處理或者傳輸的數據和應用程序，導致系統不能正常運行，“后果嚴重”時構成破壞計算機信息系統罪。①參見姜瀛：《論刑法介入網絡數據爬取行為的類型與限度》，《浙江社會科學》2021年第10期，第141—142頁。如前述“楊杰明、張國棟破壞計算機信息系統案”和“王博一文、黃業興破壞計算機信息系統案”，法院均判決構成破壞計算機信息系統罪。

其次，當行為主體未直接操作爬蟲，而是為他人實施網絡犯罪而制作網絡爬蟲，“情節嚴重”時構成提供侵入、非法控制計算機信息系統程序、工具罪。《關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》第二條明確規定了具有避開或突破計算機信息系統安全保護措施，未經授權或超越授權獲取計算機信息系統數據功能的程序、工具屬于“專門用于侵入、非法控制計算機信息系統的程序、工具”，網絡爬蟲屬于此類程序、工具。如“劉某2、夏某某等提供侵入、非法控制計算機信息系統程序、工具案”中，被告人明知同案人要求開發的是用于侵入快遞公司信息系統并獲取其數據的軟件，仍為其開發并提供“單號助手”爬蟲軟件，法院判決其構成提供侵入、非法控制計算機信息系統程序、工具罪。②參見上海市青浦區人民法院（2020）滬0118刑初1292號刑事判決書。

2.網絡爬蟲侵害公民個人信息的規制現狀。有學者認為濫用網絡爬蟲侵害公民個人信息的行為樣態包括三種：其一，違反協議或破壞、避繞反爬技術壁壘獲取網站內公民個人信息；其二，合法爬取但不法公開公民個人信息；其三，利用網站漏洞或無視協議植入爬蟲收集外部訪問者的個人信息。③參見宋行健：《濫用網絡爬蟲技術收集個人信息的刑法規制》，第141—142頁。本文認為這種分類存在交叉，也不夠全面。上述第一、三種樣態是爬取公民個人信息本身具有刑事不法，都可以構成侵犯公民個人信息罪，其中破壞、避繞反爬技術壁壘或利用網站漏洞爬取公民個人信息表現為爬蟲的手段不法，摻雜了對數據法益的破壞；違反協議或無視協議爬取則表現為爬蟲的內容不法。第二種樣態則表現為網絡爬蟲爬取公民個人信息的后續使用不法，因為爬取權限內的公民個人信息與行為人逐一下載并無本質區別，其違法本質在于隨意公開、提供或銷售公民個人信息，以及其他使用非法爬取的公民個人信息侵犯財產、人身安全、市場正當競爭秩序等。換言之，濫用網絡爬蟲獲取公民個人信息的核心違法要素在于爬蟲違反協議或突破反爬技術壁壘非法獲取公民個人信息；而合法爬取信息時，是后續使用行為具有不法，此時應根據爬蟲獲取公民個人信息之后所實施行為確定具體罪名。

非法爬取公民個人信息行為主要由《刑法》第二百五十三條之一的侵犯公民個人信息罪來規制，其重點在于：第一，判斷爬取的數據是否是公民個人信息。《民法典》《個人信息保護法》《網絡安全法》和《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（下稱《個人信息解釋》）均規定可識別性是公民個人信息的必備要件。申言之，只要行為人爬取到的數據能夠識別特定自然人即侵犯了公民個人信息。第二，從行為主體上看，直接爬取者與不履行管理義務的平臺都可能負刑事責任，放任爬蟲爬取公民個人信息的網絡平臺雖不能成立本罪，卻可能構成拒不履行信息網絡安全管理義務罪。

3.網絡爬蟲侵犯知識產權的規制現狀。實踐中，侵犯著作權罪與侵犯商業秘密罪常被用于規制濫用網絡爬蟲侵犯知識產權的行為。首先，爬取知識產權數據與爬取其他數據不同，除非網站協議明確注明可以爬取知識產權數據，否則一經復制即構成侵權。亦即，行為人單純訪問知識產權數據不構成侵權，但一旦抓取則屬于復制了此類數據，就侵犯了相應的知識產權。主要有兩種方式：第一，以營利為目的，未經著作權人許可爬取書籍、視頻和音樂等作品，進而置于自己的網頁供人下載瀏覽，侵犯了權利人的信息網絡傳播權。第二，根據《刑法修正案（十一）》在第二百一十七條增加的第六款，以營利為目的，未經著作權人或相關權利人許可，利用網絡爬蟲故意避開或破壞權利人為其作品、錄音錄像制品等采取的保護著作權或與著作權有關權利的技術措施。①參見喻海松：《網絡外掛罪名適用的困境與轉向——兼談〈刑法修正案（十一）〉關于侵犯著作權罪修改的啟示》，《政治與法律》2021年第8期，第68—70頁。比如在“王世杰侵犯著作權案”中，被告人未經著作權人許可爬取電影、電視劇和綜藝等各類視頻資源，通過解析網站的網頁源代碼②此處的解析網頁源代碼是一種下載行為，而非僅鏈接對方網頁，故仍屬復制范疇，與深度鏈接無關。利用深度鏈接侵犯著作權罪的案例，可參見“鄭某等侵犯著作權案”，北京市海淀區人民法院（2013）海刑初字第2725號刑事判決書。，編寫對應的程序，鏈接到自己的網站內供他人觀看，法院判決其構成侵犯著作權罪。③參見陜西省勉縣人民法院（2020）陜0725刑初19號刑事判決書。

其次，濫用網絡爬蟲竊取、獲取商業秘密，構成侵犯商業秘密罪。《關于辦理侵犯知識產權刑事案件具體應用法律若干問題的解釋（三）》第三條規定，采取非法復制、未經授權或者超越授權使用計算機信息系統等方式竊取商業秘密的，應當認定為《刑法》第二百一十九條第一款第一項規定的“盜竊”；以賄賂、欺詐、電子侵入等方式獲取權利人的商業秘密的，應當認定為該項規定的“其他不正當手段”。值得注意的是，《刑法修正案（十一）》刪除了對商業秘密的定義，故認定是否屬于商業秘密應根據相關前置法，主要是《反不正當競爭法》。而2019年修訂的《反不正當競爭法》增加了“等商業信息”這一表述，說明對企業數據的保護更為周延，相應地，利用網絡爬蟲獲取企業數據的行為構成本罪的可能性也更大。

（二）網絡爬蟲刑法規制的問題

1.刑事責任的層次不清。司法實踐僅著眼于爬蟲是否未經授權或超越授權抓取數據，而并不對網絡爬蟲的技術特點作詳細區分，不區分規制對象的做法導致刑事責任的無差別化。首先，被害人的自我保護意愿的強弱影響行為人刑事責任的層次區別。如前所述，網站采取的不同反爬措施表達了其對爬蟲敵意的強弱，采取Robots協議等合約方式意味著排除爬蟲的意愿不太強烈，但采取反爬技術壁壘則表達了較為強烈的排除爬蟲意思。這對行為人的刑事責任的輕重必然存在影響，但實務中對濫用網絡爬蟲的規制總體趨于擴大化，且刑事責任沒有層次區分。其次，爬取數據的開放性不同可能導致刑事責任的層次區別。比如獲取網站開放數據和公開或不公開瀏覽數據在不法上顯然存在質的差別。④參見楊志瓊：《數據時代網絡爬蟲的刑法規制》，《比較法研究》2020年第4期，第186頁。

2.知識產權作品的保護漏洞。刑法對有協議默示授權的爬取知識產權作品行為的規制闕如。如前所述，網站未設置任何反爬措施則存在協議的默示授權，本文以“刑事案件”“爬蟲”和“侵犯著作權罪”為關鍵詞在中國裁判文書網僅檢索到2個案件。可見，無論網站是否設置反爬措施，司法實踐都極少以知識產權犯罪加以處罰。一般來說，網站不設置反爬措施意味其數據是開放的數據，授權任意爬取。但是，知識產權作品權利人可能并非僅是網站，而同時有其他權利人，默示授權未必都是有效的許可。因此，不能以默示授權的協議認定行為人不存在故意，只有在網站以明示授權表達爬蟲可以復制該網站所有或部分作品的情況下，才可能以行為人不存在故意而免責。因此，不設置任何反爬措施并不必然意味著一律默示許可爬取網站作品，若不對此加以處罰，有放縱知識產權犯罪之嫌。

3.網絡不正當競爭的規制闕如。從爬取數據的后續使用上看，濫用網絡爬蟲可能侵犯網絡正當競爭秩序法益，而刑法對網絡不正當競爭行為的規制闕如。“酷米客訴車來了案”①參見廣東省深圳市中級人民法院（2017）粵03民初822號民事判決書。“百度訴360奇虎公司不正當競爭案”②參見北京市第一中級人民法院（2013）一中民初字第2668號民事判決書。和“大眾點評訴愛幫網案”③參見北京市第一中級人民法院（2011）一中民終字第7512號民事判決書。等民事判決均確認了濫用網絡爬蟲具有民事違法性，這對網絡爬蟲使用者起到了提醒作用④See Jacquellena Carrero,“ACCESS GRANTED”,Columbia Law Review,Vol.120,2020,pp.149-172.。但在刑事層面，只有“酷米客訴車來了案”的被告人被判處非法獲取計算機信息系統數據罪⑤參見“邵凌霜等非法獲取計算機信息系統數據案”，廣東省深圳市南山區人民法院（2017）粵0305刑初153號刑事判決書。，且沒有認定其進行網絡不正當競爭存在獨立的刑事不法。

對此，如前所述，本文認為在手段不法與內容不法之外，網絡爬蟲還存在使用不法，是獨立的不法類型。在互聯網產業常態化的背景下，濫用網絡爬蟲并惡意使用爬取數據的行為頻發，損害了競爭對手的利益和消費者權益，侵犯了網絡正當競爭秩序法益，嚴重破壞了網絡市場競爭秩序。但是，刑法并未專門規定針對網絡不正當競爭的罪名，而是采用傳統罪名網絡化的方式進行規制，主要包括損害商業信譽、商品聲譽罪、虛假廣告罪、非法經營罪、侵犯商業秘密罪和破壞生產經營罪五個罪名。本文以“爬蟲”和“刑事案件”為關鍵詞在中國裁判文書網上檢索到80個案件，并沒有判決上述五個罪名的案件，且沒有任何提及不正當競爭的內容，這說明實踐中尚未確認濫用網絡爬蟲進行不正當競爭行為的刑事違法性，基本上訴諸《反不正當競爭法》的保護，這與網絡不正當競爭現象愈演愈烈而亟待刑事規制的需求不符。

4.法益侵害的評價不充分。網絡爬蟲刑法規制的法益評價不充分主要體現在對手段不法所侵犯法益的評價不充分。實踐中，在認定網絡爬蟲突破技術壁壘抓取公民個人信息構成何種犯罪時，主要有兩種做法。一是采取一元評價進路，只認定為侵犯公民個人信息罪。比如在“郭航宇等侵犯公民個人信息案”中，被告人無授權爬取淘寶等網購平臺共計110萬余條公民個人信息并出售牟利，法院裁判重心是保護公民個人信息，僅將爬取行為認定為“以其他方法非法獲取”判決被告人構成侵犯公民個人信息罪，而判決書中對突破技術壁壘爬取的行為性質只字未提，此獲取手段未被獨立評價。⑥參見浙江省金華市金東區人民法院（2021）浙0703刑初17號刑事判決書。二是采取競合評價進路，認為構成侵犯公民個人信息罪與非法獲取計算機信息系統數據罪的想象競合犯或牽連犯，從一重罪處斷。如《檢察機關辦理侵犯公民個人信息案件指引》規定，“對于違反國家有關規定，采用技術手段非法侵入合法存儲公民個人信息的單位數據庫竊取公民個人信息的行為，也符合刑法第二百八十五條第二款非法獲取計算機信息系統數據罪的客觀特征，同時觸犯侵犯公民個人信息罪和非法獲取計算機信息系統數據罪的，應擇一重罪論處。”

本文認為，兩種進路都無法周延地評價突破反爬技術壁壘侵犯公民個人信息行為的手段不法。第一，一元的“公民個人信息安全”進路僅考慮公民個人信息的泄露，會遺漏評價爬取行為破壞了他人花費人力、物力搭建和管理的反爬技術壁壘這一手段不法。第二，想象競合犯或牽連犯進路從一重罪處斷通常認定為非法獲取計算機信息系統數據罪，該罪看似同時評價了侵入手段與獲取數據兩個行為。但是，一方面，該罪的法定刑與侵犯公民個人信息罪相同，而侵犯公民個人信息罪的規制范圍并不包含侵入手段，可見，非法獲取計算機信息系統數據罪的規制重點在于“獲取”而不在于“侵入”，其對手段不法的評價并不充分。另一方面，實踐中兩罪判處的刑罰也不均衡。比如，在“咼某興非法獲取計算機信息系統數據、非法控制計算機信息系統案”中，被告人通過SQL注入漏洞及編寫爬蟲腳本的方式侵入計算機信息系統并獲取其存儲的個人信息約1500萬余條后銷售牟利，法院認定被告人犯非法獲取計算機信息系統數據罪，判處有期徒刑五年，并處罰金人民幣二萬元。①參見山東省青島市中級人民法院（2020）魯02刑終108號刑事裁定書。但在“方昊侵犯公民個人信息案”中，被告人以賬號密碼登錄單位系統來爬取系統內的公民個人信息10萬余條并銷售給他人，法院認定其構成侵犯公民個人信息罪，判處有期徒刑三年六個月，罰金人民幣四萬元。②參見北京市朝陽區人民法院（2019）京0105刑初1883號刑事判決書。以此推論，假設方昊以賬號密碼登錄單位系統后使用爬蟲獲取1500萬余條個人信息，則構成侵犯公民個人信息罪“情節特別嚴重”，可被判處五年以上有期徒刑。相比較而言，咼某興使用突破反爬技術壁壘的非法爬蟲手段侵犯公民個人信息實際所獲刑罰卻可能比未使用突破反爬技術壁壘的非法爬蟲手段所獲刑罰還要低，可見，非法獲取計算機信息系統數據罪對非法爬取的手段不法評價不足。綜上，司法實踐的問題不在于侵犯公民個人信息罪與非法獲取計算機信息系統數據罪發生競合時應選擇哪個罪名，因為無論選擇哪個罪名都無法全面評價突破反爬技術壁壘這一手段不法。

三、網絡爬蟲刑法規制的限度與出路

（一）網絡爬蟲刑事責任的限度

數字經濟時代，數據不僅關乎公民各項權利，更是投入企業生產的重要要素，對數據的獲取和把控甚至決定了企業經營的成敗，故實現數據保護與共享的平衡是法律規制的主要目標。網絡爬蟲作為獲取海量數據的主要途徑，其刑法規制應體現對數據的規制理念，也應遵循“成本-效益”分析理論，即投入最小的立法與司法成本實現最大的數據保護效益，同時不阻礙其有利于經濟發展的正常流通，依據網絡爬蟲的技術特點和數據性質來厘清其責任限度，以實現保護與共享的平衡。

首先，反爬意愿的強弱影響責任限度。爬蟲協議是典型的“君子協議”，沒有技術上的強防御力，是一種私力規則。網站僅設置協議抵御爬蟲，說明網站愿意承擔爬蟲可能不遵守協議爬取的部分風險，表現了網站較弱的反爬蟲意愿，違反協議爬取知識產權和公民個人信息以外的一般數據與民法中的違約行為性質相同，不具備手段不法，沒有達到刑事不法的程度。③參見童云峰：《大數據時代網絡爬蟲行為刑法規制限度研究》，《大連理工大學學報（社會科學版）》2022年第2期，第93頁。

其次，數據開放的程度影響責任限度。第一，爬取完全開放數據不構成任何犯罪，但爬取公開瀏覽數據可能構成手段不法、內容不法和使用不法。本文認為，數據開放與數據公開瀏覽兩個概念并不等同。數據開放代表著數據權利人對數據控制權與經濟獲益的放棄，也即任何人在任何時候、任何地點均可獲取和使用數據，此時，數據轉化為公共產品。基于平衡保護數據與公共文化、避免產生數字技術暴力①參見孫昊亮：《網絡環境下著作權的邊界問題研究》，北京：法律出版社，2017年，第26—30頁。的考慮，爬取開放數據不構成犯罪。②參見楊志瓊：《數據時代網絡爬蟲的刑法規制》，第196—197頁。但是，網站數據可公開瀏覽不是網站準許爬蟲爬取數據的必要條件。比如，裁判文書網上的文書被準許瀏覽卻不能過度爬取而影響網站運行，否則可能具備手段不法；網站上的小說被準許閱讀卻不準許任意爬取，否則可能具備內容不法；即便網站明示授權準許爬取小說，行為人后續也不能公開發行，否則會具備使用不法。

第二，構成同一類型的濫用爬蟲不法時，爬取公開瀏覽數據與不公開瀏覽數據在責任承擔上應當區分。本文認為，網站允許瀏覽與允許爬取是兩個不相重疊的許可，因此，數據瀏覽的公開與否對不法的形成沒有影響。比如某社交網站設置了反爬技術壁壘，明確要求不能爬取網站的任何公民個人信息，即便該網站的公民個人信息是可公開瀏覽的，也不可爬取，其手段不法的形成與爬取該網站其他不公開瀏覽的公民個人信息別無二致。但考慮到網站公開瀏覽數據已經喪失了數據的保密性，因此，爬取公開瀏覽數據的不法程度有所降低，其責任理應輕于爬取不公開瀏覽數據。

（二）侵犯知識產權預備行為的可罰性

《刑法修正案（十一）》通過增設新罪和拓展舊罪的方式擴大了知識產權犯罪的處罰范圍，并提升法定刑以加重其處罰，充分體現了刑法全面、嚴格保護知識產權的立法目的。③參見劉湘廉：《我國知識產權刑法的最新修正及其適用》，《重慶大學學報（社會科學版）》2021年第2期，第237—240頁。本文認為，以后續發行或通過網絡傳播為目的，爬取未設置協議或反爬技術壁壘的網站的知識產權作品，構成侵犯著作權罪的預備行為，無論是否實際發行或通過網絡傳播，均應處罰。

首先，“在風險社會中，由于法益面臨了各種無法預料的風險，這些風險在行為人實施預備行為時就已經存在危險性，這些危險一旦轉變為現實就會對法益造成無可彌補的損害結果，為了更有效保護法益，必須對這些危險性高的預備行為進行前置性的刑法保護”④陳毅堅：《預備罪及其共犯比較研究》，《中國刑事法雜志》2011年第9期，第3頁。，因此，處罰獲取行為從預備階段即切斷了知識產權作品被他人使用而造成進一步損失的風險，符合刑法積極預防的功能。其次，網絡爬蟲作為一種點擊、下載工具，識別數據能否被爬取的唯一途徑就是該網站是否明確以可讀取的協議或技術壁壘的方式聲明不可爬取。從技術層面看，若網站無任何的反爬措施，爬蟲默認允許爬取而進行點擊、下載似乎不具有可譴責的刑事不法，但行為人驅使爬蟲正是基于通過不付費而獲取他人著作權作品并以此牟利的故意。可以說，無論網站是否設置了反爬措施，在不符合合理使用的條件下，行為人都應當認識到知識產權的特殊性而不進行爬取。因此，在網站未設置反爬措施的情況下，以后續發行或通過網絡傳播為目的，實施單純爬取行為可以認定為侵犯著作權罪的預備行為而予以處罰。

（三）網絡正當競爭秩序的目的性保護

首先，刑法應保護網絡正當競爭秩序法益。當今互聯網市場公平觀念的缺失較為嚴重，如流量劫持、惡意不兼容、惡意卸載軟件和網絡刷單等不正當競爭手段頻出，且由于數字經濟下競爭關系的存在并不以同類產品或服務為標準，網絡不正當競爭的范圍急速擴大化。此類行為不僅損害了競爭主體的利益，還損害了消費者權益與網絡市場競爭秩序。《反不正當競爭法》第十二條明確指出，經營者不得利用技術手段，通過影響用戶選擇或其他方式，實施妨礙、破壞其他經營者合法提供的網絡產品或者服務正常運行的行為，并在第三十一條確認了追究刑事責任的可能性。故應當發揮刑法積極預防的功能，對嚴重危害網絡正當競爭秩序的行為予以犯罪化，方能更好地維護互聯網市場主體的合法權益與國家對網絡競爭秩序的管理目的。①參見丁曉東：《互聯網反不正當競爭的法理思考與制度重構——以合同性與財產性權益保護為中心》，《法學雜志》2021年第2期，第75—78頁。

其次，數據資源的創新性運用使得產品之間的差異界限被打破，不同產品間也可能具有實質競爭關系，故判斷網絡爬蟲及其爬取的數據是否構成不正當競爭時，除了考察雙方的商品或服務是否重疊，還要考慮是否形成了實質競爭關系。②參見郭瑋：《網絡數據爬取行為的刑法規制研究——以非法獲取計算機信息系統數據罪為視角》，《新疆社會科學》2020年第3期，第96—97頁；Jeffrey Kenneth Hirschey,“Symbiotic Relationships:Pragmatic Acceptance of Data Scraping”,Berkeley Technology Law Journal,Vol.29,2014,p.919.因此，若行為人無視競爭對手的反爬協議或突破其反爬技術壁壘獲取數據，并用于生產經營，或利用多線程爬蟲惡意抓取競爭對手的網頁造成其癱瘓，進而導致對手的經濟效益、商業信譽、數據安全等合法市場利益受到嚴重損害的，即便行為人與競爭對手的產品并不重疊，也侵害了網絡正當競爭秩序法益。

最后，濫用網絡爬蟲進行網絡不正當競爭的，可以擴大解釋破壞生產經營罪進行規制。③本文認為，目前仍需通過解釋現行刑法的傳統罪名來處罰已經具備刑事不法的網絡不正當競爭行為，待立法時機成熟時，可以考慮增設網絡不正當競爭罪。第一，本罪的保護法益是生產經營秩序。有學者認為本罪脫胎于1979年刑法規定的破壞集體生產罪，因而其保護法益是生產經營秩序；也有學者認為本罪規定于侵犯財產罪章，所以其保護法益是財產法益而非生產經營秩序；還有學者認為本罪的保護法益是雙重的，既包括生產經營秩序也包括財產法益。④參見劉仁文：《網絡時代破壞生產經營的刑法理解》，《法學雜志》2019年第5期，第50頁。本文認為，破壞生產經營罪的保護法益是生產經營秩序，這種秩序本身包含了生產資料和經濟利益等與財產有關的內容。但本罪的規制重點是行為對生產經營的影響而非對財產法益的侵犯，否則將與故意毀壞財物罪趨于混同，兩罪也就沒有區分的必要。⑤參見孫道萃：《破壞生產經營罪的網絡化動向與應對》，《中國人民公安大學學報（社會科學版）》2016年第1期，第91—92頁。因此，構成本罪必須符合破壞生產經營秩序這一根本點。第二，破壞生產經營罪的構成要件為規制網絡不正當競爭行為提供了解釋空間。傳統理論認為，行為人以毀壞財物的手段破壞他人生產經營，并造成重大經濟損失時才構成本罪，且“以其他方法破壞生產經營”的手段應與“毀壞機器設備、殘害耕畜”具有同質性。⑥參見張明楷：《刑法學（下）》（第6版），北京：法律出版社，2021年，第1344頁。然而，“刑法的體系性形成不是與本體的預先規定性相聯系的，而只允許從刑法的目的的設定性中引導出來的”⑦［德］克勞施·羅克辛：《德國刑法學總論（第一卷）：犯罪原理的基礎構造》，王世洲譯，北京：法律出版社，2005年，第124頁。。對刑法的解釋也應以合理的目的為導向，方能及時回應社會需求，更好實現刑法的體系目的。本文認為，堅持客觀主義立場和以目的為導向的解釋論，要求本罪在立法尚未調整的情況下發揮其最大的規制作用，可以對本罪的客觀要件“以其他方法破壞生產經營”作目的性擴張解釋。因此，無視競爭對手的反爬協議或突破其反爬技術壁壘獲取數據，并用于生產經營，或者濫用多線程網絡爬蟲使競爭對手網站癱瘓而給對方造成損失的，本質上是一種直接或間接毀壞他人生產資料的行為，屬于“以其他方法破壞生產經營”，構成破壞生產經營罪。①參見孫道萃：《破壞生產經營罪的網絡化動向與應對》，第91—92頁。

（四）手段不法與內容不法的數罪并罰

本文認為，濫用網絡爬蟲突破反爬技術壁壘獲取公民個人信息的行為是刑法上的數行為，屬于侵害數據法益與公民個人信息法益的牽連犯，應當以非法侵入計算機信息系統罪或破壞計算機信息系統罪與侵犯公民個人信息罪數罪并罰。

1.承認數據法益與公民個人信息法益的獨立性。首先，將數據法益作為獨立法益對待能更全面評價突破反爬技術壁壘獲取公民個人信息的行為。1997年《刑法》及《刑法修正案（七）》《刑法修正案（九）》制定時，立法者考慮到了計算機信息系統與數據內容的分離性，而隨著社會進入web3.0的數字經濟時代，云計算等技術的出現導致計算機信息系統或網絡與其所表達的內容進一步分離，生產者和經營者在技術領域投入更多的成本來保持競爭優勢。詳言之，數據法益是指數據本體法益，即元數據及其產品的保密性、完整性和可用性，是一種工具性利益。②參見黃鸝：《數據作為新興法益的證成》，《重慶大學學報（社會科學版）》2020年網絡首發。“保護網絡公共秩序是為了防范社會風險，只有對網絡空間的公共秩序產生了實質性的侵害，才能成立相應的網絡犯罪”③陳毅堅、陳梓瀚：《幫助信息網絡犯罪活動罪的司法適用——基于正犯性視角的教義學展開》，《地方立法研究》2021年第5期，第105—106頁。，因此，關于數據法益內涵及獨立性的理解對罪數問題存在決定性影響。數據法益與計算機信息安全法益并不等同，數據法益受到侵犯時不一定會影響計算機信息系統安全，如非法刪除購物網站差評并不會導致計算機信息系統無法運行④參見“李某破壞計算機信息系統案”，浙江省杭州市濱江區人民法院（2014）杭濱刑初字第106號刑事判決書。。反爬技術壁壘的構建以元數據為基礎，對其中某個關鍵的或者某些元數據進行增加、刪除、修改等行為可能導致產品結構的破壞與失效，這與計算機信息系統安全的關系不大，卻與數據本體安全直接相關。即使不考慮公民個人信息法益等計算機數據內容的獲取，驅使網絡爬蟲破壞、避繞網站反爬技術壁壘的行為是對網站投入財力、人力建立相關措施的直接破壞，若因此導致網站產生嚴重的經濟損失，具備手段不法的行為本身已經侵犯了網站的數據本體法益且達到了刑事可罰的程度，雖不完全符合非法獲取計算機信息系統數據罪，但可能構成非法侵入計算機信息系統罪或破壞計算機信息系統罪。

其次，公民個人信息法益獨立于財產法益。關于公民個人信息的法益內涵，存在人格權⑤參見王利明：《論個人信息權的法律保護——以個人信息權與隱私權的界分為中心》，《現代法學》2013年第4期，第64—71頁。、隱私權⑥參見喻海松：《侵犯公民個人信息罪的司法適用態勢與爭議焦點探析》，《法律適用》2018年第7期，第12—13頁。或兼有人格、財產和隱私等屬性的個人信息自決權⑦參見周光權：《侵犯公民個人信息罪的行為對象》，《清華法學》2021年第3期，第38—39頁。等觀點。本文贊同公民個人信息自決權說，理由是：第一，一元的人格權或隱私權路徑無法解釋公民個人信息的流通性，而售賣個人信息正是侵犯公民個人信息罪的主要打擊對象；同理，一元的財產權路徑同樣無法解釋公民個人信息與公民人身的強粘合性，而這也是本罪設立的主要原因，即保護公民人身安全不因信息泄露而受威脅。①參見向秦、高富平：《論個人信息權益的財產屬性》，《南京社會科學》2022年第2期，第93—96頁。由此可見，公民個人信息兼具人格、隱私和財產等多重屬性，是一種綜合性法益。第二，若僅采取一元路徑，則侵犯公民個人信息罪易與刑法分則中其他罪名重合，如非法獲取計算機信息系統數據罪和盜竊罪等，這不符合刑事立法的經濟性。第三，根據《個人信息解釋》的規定，侵犯公民個人信息罪在入罪情節中規定了違法所得數額與數據類型標準，說明立法與司法均承認個人信息人格與財產的雙重屬性。綜上，侵犯公民個人信息罪的保護法益是個人信息自決權，具備雙重法益屬性，對于非法爬取個人信息的行為不需再認定為財產犯罪。

2.牽連犯數罪并罰的證立。首先，本文認為，罪數的判斷應以法益為標準，濫用網絡爬蟲突破反爬技術壁壘與獲取公民個人信息分別侵犯了數據法益與公民個人信息法益，是刑法意義上的兩個行為，且兩者具有手段與目的的牽連關系，成立牽連犯。②參見張明楷：《刑法學（下）》（第6版），第651—652頁。其中，突破反爬技術壁壘的行為構成非法侵入計算機信息系統罪或破壞計算機信息系統罪，獲取公民個人信息的行為構成侵犯公民個人信息罪。

其次，只有數罪并罰才能全面評價此類行為。牽連犯的處斷規則主要存在兩種觀點。從一重罪處斷說認為，牽連犯侵犯了多個法益，應評價為數罪，但表現為對社會的一次整體侵害，作為科刑的一罪即可達到刑罰上的評價效果③參見李海瀅、王延峰：《因受賄而瀆職的罪數問題：處斷原則與理論依據》，《河南社會科學》2021年第10期，第63頁。；數罪并罰說認為從罪數類型的設立目的與罪刑等價原則出發，一罪對應一罰、數罪對應并罰，異種數罪的牽連犯應數罪并罰④參見盧有學、盧釔熹：《一罪與數罪的區分維度：累進犯模型之提倡》，《學術交流》2020年第9期，第57—59頁。。本文支持異種數罪牽連犯的數罪并罰說，理由主要是：第一，異種數罪的牽連行為在客觀上該當數個互不重合的構成要件，本質就是數罪，從一重罪處斷割裂了犯罪與刑罰的統一關系，相當于無條件免除了其余罪行的刑罰，可能導致罪刑不相適應。⑤參見莊勁：《罪數的理論與實務》，北京：中國人民公安大學出版社，2012年，第213—214頁。第二，牽連犯與一般的數行為沒有本質差別，即便不考慮牽連關系，也應數罪并罰。第三，異種數罪的牽連行為在主觀上存在多個故意，不能視為整體的一目的，數罪并罰不會違反禁止重復評價原則。

綜上，行為人主觀上存在突破反爬技術壁壘與獲取公民個人信息兩個故意，并且客觀上也實施了“突破”與“獲取”兩個侵害不同法益的犯罪行為，是異種數罪的牽連犯，應當數罪并罰。

四、結 語

數字經濟時代下的網絡爬蟲既有其便捷之處，也成為犯罪分子利用的工具。濫用網絡爬蟲的行為可能以其手段不法侵害數據法益，也可能以內容不法、使用不法侵害傳統法益。我國刑法雖然能夠規制部分濫用網絡爬蟲犯罪，但仍存在不足之處，理論與實務對如何規制濫用網絡爬蟲這類新型網絡犯罪還處于探索和完善階段。秉持著數據在數字經濟時代具有關鍵性地位的理念，刑法應當在規制濫用網絡爬蟲行為上實現數據保護與共享的平衡。