爬蟲行為的刑法規制路徑探析
——從非法獲取計算機信息系統數據罪視角

楊金晶 朱姝銘

一、爬蟲技術的含義及其法律規定的現狀

爬蟲技術是根據人工設置的規則自動抓取網絡數據和信息的程序。它的工作本質是模擬人工點擊，自動瀏覽網絡程序，保存設置的程序要求的信息。搜索引擎的技術核心就是網絡爬蟲技術，不限于搜索引擎，只要是有信息數據抓取要求的，幾乎都會應用爬蟲技術。

在爬取過程中，并非所有的數據都是公開可爬取的，對于一些對方不愿意公開的信息，爬蟲技術依然通過技術手段進行訪問并獲取的，就有可能進入惡意爬蟲的范疇。為防止惡意爬蟲的入侵，網站會采取相應的反爬蟲措施、設置robots協議等來限制爬蟲的破解，限制數據的獲取。

對于惡意爬蟲的規制，各個部門法都有相應的法律條文。在刑法上有互聯網專門性犯罪的相關條款，設置了非法獲取計算機信息系統數據罪、非法控制計算機信息系統罪、破壞信息系統罪等。還包括了如詐騙罪、侵犯公民個人信息罪等規制以爬蟲技術為工具進行下游犯罪的情況。但在刑法專門性的互聯網罪名足夠細致的情況下，適用于爬蟲行為的案例事實上仍少之又少，一方面是爬蟲行為入刑存在困境，另一方面是人們傾向于適用民法解決此類問題。但隨著首例爬蟲技術入刑案件，和越來越多爬蟲犯罪行為，技術規制刑法化趨向明顯，當惡意爬蟲行為對法益造成侵害，破壞了計算機信息系統的“平穩運行狀態”或者互聯網行業的規則秩序時，就有必要動用刑法處罰此類行為。全國網信辦發布的《數據安全管理辦法》（征求意見稿）中的第16條規定：“網站運營者采取自動化手段訪問收集網站數據，不妨礙網站正常運行；此類行為嚴重影響網站運行，如自動化訪問收集流量超過網站日均流量三分之一，網站要求停止自動化訪問收集時，應當停止”就初步說明了爬蟲行為所暗含的“妨礙網站正常運行”的刑事風險，并規定了行為人的規避風險的注意義務。

二、爬蟲行為入刑的困境及其原因分析

爬蟲行為入刑的困境主要表現在都是沒有清晰的判斷路徑，現存的判斷標準多適用于民法領域。以下為實務中存在的部分誤區與法律適用不清晰的原因分析。

1.“刑事違法性”的爭議

在我國，全國首例“爬蟲”入刑案自判決以來就飽受爭議。在判決書中給出的理由是被告單位的行為侵犯了“保密性”這一法益，以此作為實質的違法性的依據。由于實質違法性在計算機領域比較抽象，另一路徑是采取形式上的違法性，到目前為止，大多數的爬蟲入刑案件所采取的判斷標準在于爬取行為是否經過被爬取信息系統的授權或者是否違反了爬蟲技術的robots協議。而筆者認為，這些形式違法性的判斷標準會造成民法與刑法的混淆適用，如若按照這些判斷標準，實務中就存在著許多符合形式違法性卻由民法進行規制的案件，如有一例違反robots協議案件中，當事公司A爬取網頁的數據后將數據以網頁快照的方式呈現于用戶界面，此行為是最為典型的“搭便車”行為，因此被判斷為違反不正當競爭法。但按照上述的罪與非罪的判斷路徑，A公司爬取行為違反robots協議，屬于惡意爬蟲，已經具備了形式上的“刑事違法性”，卻沒有接下去審查其實質違法性，這恰恰說明判斷爬蟲行為形式上的“刑事違法性”的標準并不在此。換言之，是否經授權或者是否經協議同意等可以作為違反民法與否的判斷依據，但在刑法謙抑性的原則與技術無罪的背景下，以這些標準作為入刑的標準過于嚴苛。Robots協議是否能夠作為民法上的合同尚存在爭議，更何況以此協議作為刑法上違法性的判斷標準。因此，在形式上難以尋找著力點，我們還須回到實質違法性上，討論行為對法益的侵害與威脅。

2.爬取行為本身被忽視

還有一個問題在于，在判斷完爬取行為是否為惡意爬取之后，法院會接下去看此爬蟲行為所獲取的數據的最終用途，即爬取數據后所造成的最后的危害結果，這一危害結果符合哪一罪的構成要件在實務中就往往以哪一罪定論，而被忽視的爬取行為本身，在此可以看作造成后一危害結果的“預備行為”，有的預備行為本身并不違法，但有的預備行為其實本身就已經違法。由此說明系統規制爬蟲行為要求在我們法律實際操作時，從一開始就應當將爬蟲行為本身與爬蟲爬取到數據后的所為進行區分，以此清晰地保護相應的法益，實務中忽視爬取行為自身的法益侵害性，只根據最終擾亂市場競爭秩序的結果評價為“不正當競爭行為”規制誤區情形常見，屬于對行為的遺漏評價，并且混淆了民法與刑法的適用。

3.技術判斷主導導致刑法擴張適用

關于全國首例爬蟲技術入刑案，石經海教授還指出了一處違法判斷誤區，即技術判斷的主導導致了刑法的擴張適用，在立法上和司法上都有以數據控制者的技術授權為依據決定形式違法性的問題。從刑法規定上看，非法獲取計算機信息系統數據罪的構成要件主要有違反國家規定，實施危害行為，即用技術手段獲取計算機信息系統中的數據，并要求情節嚴重，在計算機領域，要判斷是否滿足此構成要件，無可避免地需要用到技術判斷。甚至對于“違反國家規定”這一項構成要件，只有類似于《計算機信息系統安全保護條例》第七條“任何組織或者個人，不得利用計算機信息系統從事危害國家利益、集體利益和公民合法利益的活動，不得危害計算機信息系統的安全”的概括性的立法。這類法條對于實務中所發生的案件并沒有具體的指導作用，就以上述的上海某公司與A公司所實施的爬蟲行為為例，兩者都未危害國家利益，而危害了對方單位的利益，在這一點上兩個案件幾乎是相同的。也就是說我們只能從利益危害的程度大小上，還有對危害計算機信息系統的安全產生的威脅入手進行罪與非罪的判斷，這又會導致技術判斷的主導，所以對于計算機信息系統的“安全”，我們需要站在法律屬性的角度設立一條合理的路徑，技術判斷只能作為法律價值判斷的輔助工具。

綜上，筆者認為關于爬蟲行為的刑法規制路徑還應回到爬蟲行為本身造成的危害（法益侵害性）上，至于爬取數據后實施的下游行為則考慮其違法程度是否深入到應由刑法參與規制，正如多數民法上的侵權行為都是因為具有違法所得數額足夠大或者有其他嚴重情節等特征才足以適用刑法規制。

三、爬蟲行為刑法規制的路徑選擇

研究刑法目的有利于在立法與司法上合理控制處罰范圍，將沒有侵犯法益已經侵害程度并不嚴重的行為排斥在犯罪之外。從上文的分析上看，規制爬蟲技術主要是解決兩方面的問題，一方面是將下游行為與爬取行為區分開，獨立分別評價，各自把握兩行為的嚴重程度；另一方面，也是本質上的問題，是應當說明利用爬蟲技術非法獲取計算機信息系統數據罪這一情形中爬蟲技術所侵犯到的“安全”法益應為何物及其具體表現，這也就是要動用刑法進行爬蟲技術規制的原因所在。

1.數據對象的“不特定性”體現行為社會危害性

要說明非法獲取計算機信息系統數據罪所侵害的法益，我們不可避免地要對爬蟲獲取到的數據性質進行分析，此罪設立的初衷就是在于保護計算機信息系統中存儲、處理或傳輸的數據。除了《網絡安全法》第10條規定維護網絡安全的總體要求的“維護數據的完整性、保密性和可用性”三性之外，要使刑法當然地對數據進行保護，其還需要具備不特定性。

由于技術的發展日新月異，在行為時能夠輕易對此三性造成破壞，但實際上行為又還達不到一般標準人認為的法益侵害性，存在一定的滯后性。為了追求技術的自由發展與進步，筆者認為可以“數據對象的不特定性”，以表明“社會危害性”。在上海某公司爬蟲案中，有人認為，數據所呈現的內容已公開可見，因此其所對應的數據代碼的保密性也將失去網絡安全法的保護。但在此案件中，數據內容公開可得，內容的代碼卻并不公開，爬取代碼的行為影響到了數據與主體關系的穩定性，系統中的每一位用戶的公開數據內容的代碼均有可能被爬蟲技術所爬取，那么即使數據是公開的也將因為爬取行為威脅到不特定的系統存儲信息而使其具有社會危害性，于是當然地應由刑法進行規制。

2.“帶有非法侵入目的的侵入”體現法益侵犯性

利用爬蟲技術爬取數據的行為在入罪時符合的是刑法分則條文中“采用其他技術手段侵入”的表述，并且此罪被納入公共秩序管理一節中，也就是說該罪的法益侵害性有一部分表現為網絡公共秩序被侵犯。網絡公共秩序被侵犯主要表現為“侵入”。“侵入”可表現為帶有非法侵入目的的侵入與沒有非法侵入目的的侵入。舉例來說，如大多數的侵犯個人信息案件，行為人行為時的目的主要是爬取個人信息數據謀取私利。余某某違反單位約定爬取員工信息數據一案中，被告人余某利用爬蟲技術竊取員工個人信息，我們可以評價其具有非法占有個人信息數據的目的，但對于其侵入計算機信息系統的行為，應被認定為是實現侵犯個人信息這一違法行為的必要條件，利用爬蟲技術是實施該罪的工具手段，屬于沒有非法侵入目的的侵入，因此不能定罪為非法獲取計算機信息系統數據罪。而帶有非法侵入目的的侵入，如強行突破法律授權，強迫對象計算機信息系統實際控制者的意志，嚴重影響對方信息系統的“安寧狀態”的行為，即使沒有爬取后的下游行為，其本身也具有可罰性。也就是說，我們可以從判斷侵入是否帶有非法侵入目的來判斷爬取行為是否應區別于下游的違法或犯罪行為而獨立受懲罰。

3.“法律授權”與否體現形式違法性

剛剛在“侵入”中提到的強行突破法律授權與上文提到的爬蟲技術網頁授權不同，技術授權不等于法律授權，我們需要在法律上設立一個授權標準，此標準可以考慮到信息網絡時代數據傳播快速且自由的特點，也要尊重數據持有者“勞動成果”，設立統一的標準，規范授權，賦予此授權以法律上的意義，為“非法侵入目的的侵入”提供依據，也可以以此作為利用爬蟲技術非法獲取計算機信息系統數據的“非法”之判斷依據之一，并能有效防止技術判斷導致刑法適用擴張的弊端。

4.“嚴重情節”是構成要件本身

法律還將“情節嚴重”作為非法獲取計算機信息系統數據罪的入罪標準，即法益受侵害的程度，這一點也考慮到了刑法謙抑性的原則，溫和的網絡爬蟲爬取行為事實上是有利于數據的共享的。互聯網時代下，世界聯系越來越緊密，數據需要一定程度的共享，數據資源的流通才能創造出更大的經濟價值。在美國一例爬蟲案中，L公司多年允許H公司爬取其系統數據并使用，H公司也以此作為公司的主要業務，而突然遭到禁止后，H公司便將對方訴至法院，法院最后在H未經授權爬取數據的表現之下仍判決L公司限制競爭，阻礙數據流通。從中可以看出，法律適用雖是各方利益權衡下的結果，但事實上H公司已爬取數據多年，并以此為業，說明其爬取行為也并未達到被評價為情節嚴重的侵入行為的程度。但過于殘暴的爬取行為是需要被抑制的，一技術報告顯示，利用爬蟲程序來撞庫是互聯網企業面臨的最大威脅，2018年5月和6月的爬蟲程序惡意登錄次數超過83億次，月平均增長率達到30%。現實中如多線爬蟲頻繁訪問網站，大量占用寬帶網絡，增加網絡服務器處理和注銷的負荷，導致網站崩潰或不能訪問等都是“情節嚴重”的情況。

5.“平穩運行狀態”被侵犯為實害結果

除此之外，筆者認為還可以將信息系統的“平穩運行狀態”被侵犯作為非法獲取計算機信息系統數據罪的法益侵害性的要求，用以評價“非法侵入”，參考“非法侵入住宅罪”所保護的法益，只考量客觀造成的損害平穩狀態的后果，對是否未經授權不作評價，以計算機信息系統的整體狀態，網絡信息系統的安全和運營環境為考察重點，這也一定程度上順應了信息化的時代特征，規避了簡單依靠技術判斷侵入與否之弊端。

四、結語

本文對爬蟲技術違法的刑法規制路徑提出了一些想法，關于這些想法的實際運行效果還處在未知狀態，對于本視角的入罪路徑也還有許多可以細化之處，如文中提到的關于法律授權、計算機信息系統“平穩運行狀態”還應另行再設標準，存在不足之處還待完善。但希望筆者對爬蟲技術違法的一些理解能夠對該罪的發展產生微小的作用。我們置身于當今的網絡時代，新的技術應接不暇，法律就是在每個時代中人的不同理解中更新進步，不斷完善法律治理體系，才能夠為新技術與互聯網市場的發展創造一個更穩定的更自由的環境，才能夠有利于我國創新能力的不斷提升和國民經濟的不斷增長。

[注釋1]行為人三人為上海某公司的主管人員，三人共謀以爬蟲手段破解被害單位服務器的反爬蟲措施實施數據抓取，造成原告公司損失技術服務費兩萬元。

[注釋2]被告人余某在某公司工作期間，違反勞動合同約定與法律規定，為達個人目的，私自爬取該單位員工個人信息，共計兩萬余條。

[注釋3]刑法285條：非法獲取計算機信息系統數據罪，是指違反國家規定，侵入國家事務、國防建設、尖端科學技術領域以外的計算機信息系統或者采用其他技術手段，獲取該計算機信息系統中存儲、處理或者傳輸的數據，情節嚴重的行為。