网络爬虫的刑法应对

网络爬虫的刑法应对作者：付强李涛来源：《中国检察官•经典案例》2020年第09期摘要：网络爬虫作为一种新型的数据处理技术，使用价值与刑事风险兼具。对于网络爬虫的刑事法律应对，应当以网络爬虫附随要素指向的法益为核心，关注网络爬虫的访问权限和获取数据的性质，同时兼顾考察行为人在使用技术过程中的合理注意义务，从而综合判断行为是否涉嫌犯罪以及罪名的适用。关键词：网络爬虫授权非法获取计算机信息系统数据罪破坏计算机信息系统罪侵犯公民个人信息罪一、问题的提出2019年，随着多家大数据公司因为利用网络爬虫技术非法获取数据被公安机关立案调查，网络爬虫的犯罪边界问题成为互联网业界、法学界关注的热点。在严厉打击网络犯罪的高压态势之下，可以预见到，将会有更多的类似案例出现，以往已经被互联网业界习以为常的技术行为可能需要重新接受道德、社会规范乃至刑事法律的检验。司法机关在办理此类案件过程中，不仅需要破除跨专业学科造成的知识鸿沟，准确理解技术行为的特征，更需要全面审视技术行为的内在价值与必要性，综合判断行为的社会危害性，坚守罪刑法定原则，秉持刑法的谦抑性，慎用刑事制裁手段。结合一起实际案例，笔者拟通过通过数据访问权限、数据性质、合理使用义务三个不同的角度理清网络爬虫的犯罪边界。（一）基本案情2016年7月至2017年5月期间，行为人史某在某市家中，通过自行研发的计算机程序访问某市交通管理局车辆管理所（以下简称“车管所”）网上选号系统，批量查询某市车辆号码牌照资源使用情况，同时自建数据库系统对号码牌照资源使用情况予以记录、更新。现有证据可以证实，仅2017年以来，行为人史某利用上述程序共计访问车管所网上选号系统24659793次，获取某市车牌号码数量200多万个，通过在淘宝上出售相关数据库查询权限，获利人民币4万余元。经查，行为人实施的具体行为：史某通过对网上选号系统进行研究，按照该系统的验证逻辑编写对应的网络爬虫程序，并将其部署在境外服务器上，在设定的时间段内（一般是晚上）访问网上选号系统，批量获取车牌号码使用情况数据。其工作原理如下：第一，自动生成符合车管所网上选号系统校验规则的信息，如身份证号码、姓名等。第二，使用'打码”平台自动应对选号系统的验证码功能。第三，访问车管所选号系统，按照正常选号流程进行号牌预选操作，通过逻辑条件判断号码资源是否被占用，并将相关信息更新至数据库。（二）分歧意见在案件办理过程中，司法机关主要产生了两种不同的分歧意见。第一种意见认为，史某在网络爬虫程序中附加使用“打码”技术，属于未经授权进行访问，构成非法获取计算机信息系统数据罪。第二种意见认为，在否定第一种意见的基础上，应重点考察史某是否存在滥用网络爬虫的情况，其行为涉嫌破坏计算机信息系统罪，但因证据不足，应对其作存疑不起诉处理。笔者赞同第二种意见，理由在于：对于网络爬虫犯罪边界的合理区分，应当以网络爬虫附随要素与法益为框架，关注网络爬虫的访问权限和数据性质，兼顾考察行为人的合理注意义务。为明确观点，笔者有必要对网络爬虫的概念、附随要素及其法律属性进行简要的介绍。二、网络爬虫的概念及法律属性（一）网络爬虫的概念网络爬虫（英语:webcrawler），也叫网络蜘蛛（spider），是一种可以自动化访问并收集目标计算机信息系统数据的程序，设计初衷是通过计算机技术手段自动为网站编纂索引，并不断更新信息。因为网络爬虫可以高效地实现信息的读取、储存等工作，在搜索引擎应用之外，也往往被用于访问特定网站，依照开发者设计的规则读取、保存特定信息。网络爬虫种类繁多，一般来说，我们可以以部署环境、使用场景对爬虫进行分类。从部署环境来看，一般将网络爬虫分为服务器爬虫和客户端爬虫两个类型。两者的区别好比制式相同却采用不同口径弹药的自动步枪，实际功能基本一致，但是服务器爬虫可以通过借助服务器端更具优势的计算机信息系统资一一多线程和更大的带宽，在同一时间内访问更多的信息资源。从使用场景来看，一般将网络爬虫分为通用爬虫、聚焦爬虫两种类型。通用网络爬虫，又称为全站爬虫，它的主要功能是从互联网中搜集网页、采集信息，并下载到本地，形成一个互联网资源的备份镜像。这些备份金竟像可以用于为搜索引擎建立索引提供支持，而备份镜像文件的数据量决定着整个引擎系统的可用性，包括信息更新是否及时、涵盖内容是否丰富等，而这正是搜索引擎系统（Baidu、Google、Bing等）的基础。（二）网络爬虫的附随要素我国法理学家张文显曾论述，如果精确地解释和确定法律概念的意义，就能够精确地描述法律现象，正确地进行法律推理。［1］网络爬虫通常来说有三种基本功能，分别是：访问、下载、解析。访问，是指网络爬虫依据代码设定的逻辑，向计算机信息系统发送访问请求，以期访问数据;下载，是指将目标计算机信息系统储存的数据传输、储存到本地或指定的计算机信息系统中;解析，是指对计算机信息系统数据的内容进行分析、筛选。一般而言，这三种基础性的功能本身并不会对计算机信息系统数据进行增加、删除、修改操作。如果我们将网络爬虫放置于使用场景下进行考察，网络爬虫在共同的基本功能之上同时也受到一些共同的要素影响，我们可以将这些要素理解为网络爬虫的附随要素，具体包括以下内容：网络爬虫是否具有访问数据的权限网络爬虫程序运行的前提是必须具有明确的访问目标，而访问权限也是网络爬虫面对的第一个门槛。对网络爬虫是否具有访问数据权限的判断等同于危害计算机信息系统及数据安全刑事案件中的违法性判断的核心要素一“未经授权或者超越授权”。网络爬虫获取数据的性质与范围网络爬虫可以按照编写者的设计，获取特定或不特定的数据。这其中不仅包括了人类可以感知的、具有信息意义的数据资源（如图片、文字、视频等），也可能包括本身应交由计算机信息系统进行解读的非可视性的数据内容⑵（如CSS数据、网站根目录、数据库文件等）。网站控制者可能会基于计算机信息系统安全、原创性设计、隐私等考虑，拒绝他人获取上述数据。网络爬虫对计算机信息系统流量带宽和计算资源造成的影响网络爬虫作为一种高效、自动化的计算机信息系统程序，对目标网站的访问频次远远高于一般正常的人类用户，在运行的过程中往往容易对目标网站计算机信息系统资源（一般是指服务器流量带宽和计算资源）造成大量消耗，导致目标网站因缺乏足够的带宽和计算机资源以至于无法响应其他用户的访问请求。（三）网络爬虫的法律属性出于对网络爬虫所引发的网络安全与隐私的考虑，1994年，由荷兰工程师MartijnKoster提出了一份行业技术规范，并在此基础之上，逐渐发展出了一套完整的网络爬虫使用技术规范-Robots.txt协议［3］。Robots协议，英文全称RobotsExclusionProtocol，其被设计者储存于网站根目录下的ASCII编码的文本文件，网站站长可以通过代码注明以下信息：该网站是否允许网络爬虫抓取某一类特定的数据。近25年以来“Robots协议由于简单、高效，成为国内外互联网行业内普遍通行、普遍遵守的技术规范”［4］。但Robots协议本身并不具备任何的约束力。至今，在Robots官网上最显著的位置，依然有这样一份声明，其强调了Robots协议并非官方标准，不具备任何强制执行力。在我国，第一个对Robots协议的法律性质作为较为完整论述的见于百度公司VS.奇虎360案，在该案件判决中，法院就Robots协议的法律属性进行了讨论，并做出如下认定:Robots协议是技术规范，并非法律意义上的协议;Robots协议系网站服务商或所有者在自行编写，属于单方宣示;但其同时承认，Robots协议在互联网领域具有通用性，是一份可行的技术标准。［5］笔者认为，在互联网语境之下，存在着大量类似的技术行为，它们作为企业或用于挖掘商业价值、或用于维护自身权益的工具，已经成为了一种业界通行的商业惯例，进而成为一种特定的社畲规范。这种新型的社会规范所伴随的法益“对传统刑法学具有釜底抽薪的效应。”［6］对于新型网络犯罪而言，司法者如果刻意忽视这种社会规范，甚至以个人价值覆盖社会规范，无疑会与实践产生极大的分歧。因此，网络爬虫法律属性的确定，必须需要回到计算机技术领域的视角下回答。访问属性访问数据就是网络爬虫的本质属性，也是其行为的起点，而因为访问权限的设立，致使网络爬虫存在未经授权或者超越授权访问数据的可能性，在实践中，对'授权”的设计具体可能表现为：访问权限控制存在多种不同的机制。在传统计算机信息传统安全框架下，用户身份认证信息是最经典也是最关键的权限控制方式。同时，也存在其他依附于该机制所构建的补充机制，如对访问请求的IP地址范围进行授权控制;又比如利用机器人协议和验证码机制对访问对象进行授权限制。在网络爬虫的场景下，业内一般将用户身份认证信息之外的措施称之为反爬机制。在实践中，有司法人士在案件论证中将反爬机制引入作为'未经收入或者超越授权”论理的立足点，认为：“被告单位正是伪造了device_id绕过了服务器的身份校验，并使用伪造UA及IP绕过服务器的访问频率限制才实行了对被害单位服务器数据库的访问。被告单位绕过APP客户端与被害单位网站服务器端的身份验证系统，行为性质实际就已经属于非法侵入被害单位的计算机信息系统了”。［7］对此，笔者不能赞同。这种论证的本质偏差在于将反爬机制与前述的用户身份认证信息作等同性理解，这种理解不仅导致刑事规制的不适当扩大，也反应了司法实践人员对技术知识的误解。我国刑法第285条非法侵入计算机信息系统罪的立法之初，主要针对的是以黑客攻击等手段，突破控制者设立的安全保护措施的不法行为。喻海松法官认为'与计算机信息系统安全相关的数据中最为重要的是用于认证用户身份的身份认证信息（如口令、证书等），此类数据通常是网络安全的第一道防线，也是网络盗窃的最主要对象'。［8］这种结论并非是人为构造概念或者法益，而是对于计算机信息系统安全保护的深刻洞察、总结。我们反观互联网发展的历史，身份认证信息系统无疑是用来保护计算机信息系统和数据安全的最佳形式，它同时兼备了向用户（人类）和计算机信息系统同时进行“授权”声明的特质，不仅符合实际安全需要，而且符合社会规范的形式。正如国外著名的网络法学者OrinS.Kerr论述：“借助用户身份认证系统，网站主体可以在互联网中划分出明确的两个区域，开放空间和非开放空间。”［9］而针对网络爬虫的反爬机制与用户身份认证信息机制在规制对象上是不同的，这是为了保护不同的法益而发展出的两种完全不同的技术措施。反爬机制的构建并不需要以用户身份认证信息为必备条件，其技术原理是通过对用户的访问IP\UA'访问频率等数据进行条件筛选进而屏蔽访问请求。因此不难看出，其技术本身也暗含着一种“授权”，司法人员对这种授权理解为：“不是通过真实的UA和IP进行的访问，均是无权限的非法访问”。这种理解具有一定违和之处：当一名真实的用户通过VPN访问该网站时，因为使用的不是真实IP，所以形成了无权限的非法访问。甚至于可以得出一种结论，司法人员试图用刑法保护网站对于用户行为的选择权，任何用户一旦违反网站的要求，就会有涉嫌触犯刑法的可能性。这个结论无疑是荒谬的，也难以让人接受。这也正是对刑法285条内涵“授权”理解的过度解读带来的消极结果。而由于司法人员对反爬机制的错误理解，导致其在论证的过程中并未意识到与反爬机制密切相关的法益侵害问题。中性化的程序、工具属性我国刑法第285条第3款规定了“专门用于侵入、非法控制计算机信息系统的程序、工具”，这实质上是对某类特定技术行为直接予以否定性评价。笔者认为，可以从该条款入手，探讨网络爬虫本身的价值与法律属性。从罪状来看，“专门”是界定一项技术是否被纳入285条第3款予以规制的核心要素。刑法语意下的“专门”，是指“行为人所提供的程序、工具只能用于实施非法侵入、非法控制计算机信息系统的用途”。［10］立法者在设计该罪名构成要件时，显然考虑认识到涉计算机信息系统类犯罪的客观行为完全可以由中性程序予以实施。通过“专门”二字对行为人研发程序、工具的主观目的进行限定，从而避免了中性程序因为被用于犯罪而被刑事司法全面否定的情况，为中性程序、工具预留出罪路径，兼顾了打击犯罪和保障技术发展的需求。网络爬虫对计算机信息系统流量带宽和计算资源造成的影响网络爬虫作为一种高效、自动化的计算机信息系统程序，对目标网站的访问频次远远高于一般正常的人类用户，在运行的过程中往往容易对目标网站计算机信息系统资源（一般是指服务器流量带宽和计算资源）造成大量消耗，导致目标网站因缺乏足够的带宽和计算机资源以至于无法响应其他用户的访问请求。（三）网络爬虫的法律属性出于对网络爬虫所引发的网络安全与隐私的考虑，1994年，由荷兰工程师MartijnKoster提出了一份行业技术规范，并在此基础之上，逐渐发展出了一套完整的网络爬虫使用技术规范-Robots.txt协议［3］。Robots协议，英文全称RobotsExclusionProtocol，其被设计者储存于网站根目录下的ASCII编码的文本文件，网站站长可以通过代码注明以下信息：该网站是否允许网络爬虫抓取某一类特定的数据。近25年以来“Robots协议由于简单、高效，成为国内外互联网行业内普遍通行、普遍遵守的技术规范”［4］。但Robots协议本身并不具备任何的约束力。至今，在Robots官网上最显著的位置，依然有这样一份声明，其强调了Robots协议并非官方标准，不具备任何强制执行力。在我国，第一个对Robots协议的法律性质作为较为完整论述的见于百度公司VS.奇虎360案，在该案件判决中，法院就Robots协议的法律属性进行了讨论，并做出如下认定:Robots协议是技术规范，并非法律意义上的协议;Robots协议系网站服务商或所有者在自行编写，属于单方宣示;但其同时承认，Robots协议在互联网领域具有通用性，是一份可行的技术标准。［5］笔者认为，在互联网语境之下，存在着大量类似的技术行为，它们作为企业或用于挖掘商业价值、或用于维护自身权益的工具，已经成为了一种业界通行的商业惯例，进而成为一种特定的社会规范。这种新型的社会规范所伴随的法益“对传统刑法学具有釜底抽薪的效应。”［6］对于新型网络犯罪而言，司法者如果刻意忽视这种社会规范，甚至以个人价值覆盖社会规范，无疑会与实践产生极大的分歧。因此，网络爬虫法律属性的确定，必须需要回到计算机技术领域的视角下回答。访问属性访问数据就是网络爬虫的本质属性，也是其行为的起点，而因为访问权限的设立，致使网络爬虫存在未经授权或者超越授权访问数据的可能性，在实践中，对'授权”的设计具体可能表现舄：访问权限控制存在多种不同的机制。在传统计算机信息传统安全框架下，用户身份认证信息是最经典也是最关键的权限控制方式。同时，也存在其他依附于该机制所构建的补充机制，如对访问请求的IP地址范围进行授权控制;又比如利用机器人协议和验证码机制对访问对象进行授权限制。在网络爬虫的场景下，业内一般将用户身份认证信息之外的措施称之为反爬机制。在实践中，有司法人士在案件论证中将反爬机制引入作为'未经收入或者超越授权”论理的立足点，认为：“被告单位正是伪造了device_id绕过了服务器的身份校验，并使用伪造UA及IP绕过服务器的访问频率限制才实行了对被害单位服务器数据库的访问。被告单位绕过APP客户端与被害单位网站服务器端的身份验证系统，行为性质实际就已经属于非法侵入被害单位的计算机信息系统了”。［7］对此，笔者不能赞同。这种论证的本质偏差在于将反爬机制与前述的用户身份认证信息作等同性理解，这种理解不仅导致刑事规制的不适当扩大，也反应了司法实践人员对技术知识的误解。我国刑法第285条非法侵入计算机信息系统罪的立法之初，主要针对的是以黑客攻击等手段，突破控制者设立的安全保护措施的不法行为。喻海松法官认为'与计算机信息系统安全相关的数据中最为重要的是用于认证用户身份的身份认证信息（如口令、证书等），此类数据通常是网络安全的第一道防线，也是网络盗窃的最主要对象'。［8］这种结论并非是人为构造概念或者法益，而是对于计算机信息系统安全保护的深刻洞察、总结。我们反观互联网发展的历史，身份认证信息系统无疑是用来保护计算机信息系统和数据安全的最佳形式，它同时兼备了向用户（人类）和计算机信息系统同时进行“授权”声明的特质，不仅符合实际安全需要，而且符合社会规范的形式。正如国外著名的网络法学者OrinS.Kerr论述：“借助用户身份认证系统，网站主体可以在互联网中划分出明确的两个区域，开放空间和非开放空间。”［9］而针对网络爬虫的反爬机制与用户身份认证信息机制在规制对象上是不同的，这是为了保护不同的法益而发展出的两种完全不同的技术措施。反爬机制的构建并不需要以用户身份认证信息为必备条件，其技术原理是通过对用户的访问IP\UA'访问频率等数据进行条件筛选进而屏蔽访问请求。因此不难看出，其技术本身也暗含着一种“授权”，司法人员对这种授权理解为：“不是通过真实的UA和IP进行的访问，均是无权限的非法访问”。这种理解具有一定违和之处：当一名真实的用户通过VPN访问该网站时，因为使用的不是真实IP,所以形成了无权限的非法访问。甚至于可以得出一种结论，司法人员试图用刑法保护网站对于用户行为的选择权，任何用户一旦违反网站的要求，就会有涉嫌触犯刑法的可能性。这个结论无疑是荒谬的，也难以让人接受。这也正是对刑法285条内涵“授权”理解的过度解读带来的消极结果。而由于司法人员对反爬机制的错误理解，导致其在论证的过程中并未意识到与反爬机制密切相关的法益侵害问题。中性化的程序、工具属性我国刑法第285条第3款规定了“专门用于侵入、非法控制计算机信息系统的程序、工具”，这实质上是对某类特定技术行为直接予以否定性评价。笔者认为，可以从该条款入手，探讨网络爬虫本身的价值与法律属性。从罪状来看，“专门”是界定一项技术是否被纳入285条第3款予以规制的核心要素。刑法语意下的“专门”，是指“行为人所提供的程序、工具只能用于实施非法侵入、非法控制计算机信息系统的用途”。［10］立法者在设计该罪名构成要件时，显然考虑认识到涉计算机信息系统类犯罪的客观行为完全可以由中性程序予以实施。通过“专门”二字对行为人研发程序、工具的主观目的进行限定，从而避免了中性程序因为被用于犯罪而被刑事司法全面否定的情况，为中性程序、工具预留出罪路径，兼顾了打击犯罪和保障技术发展的需求。网络爬矗对计算机信息系统流量带宽和计算资源造成的影响网络爬虫作为一种高效、自动化的计算机信息系统程序，对目标网站的访问频次远远高于一般正常的人类用户，在运行的过程中往往容易对目标网站计算机信息系统资源（一般是指服务器流量带宽和计算资源）造成大量消耗，导致目标网站因缺乏足够的带宽和计算机资源以至于无法响应其他用户的访问请求。（三）网络爬虫的法律属性出于对网络爬虫所引发的网络安全与隐私的考虑，1994年，由荷兰工程师MartijnKoster提出了一份行业技术规范，并在此基础之上，逐渐发展出了一套完整的网络爬虫使用技术规范-Robots.txt协议［3］。Robots协议，英文全称RobotsExclusionProtocol,其被设计者储存于网站根目录下的ASCII编码的文本文件，网站站长可以通过代码注明以下信息：该网站是否允许网络爬虫抓取某一类特定的数据。近25年以来“Robots协议由于简单、高效，成为国内外互联网行业内普遍通行、普遍遵守的技术规范”［4］。但Robots协议本身并不具备任何的约束力。至今，在Robots官网上最显著的位置，依然有这样一份声明，其强调了Robots协议并非官方标准，不具备任何强制执行力。在我国，第一个对Robots协议的法律性质作为较为完整论述的见于百度公司VS.奇虎360案，在该案件判决中，法院就Robots协议的法律属性进行了讨论，并做出如下认定:Robots协议是技术规范，并非法律意义上的协议;Robots协议系网站服务商或所有者在自行编写，属于单方宣示;但其同时承认，Robots协议在互联网领域具有通用性，是一份可行的技术标准。［5］笔者认为，在互联网语境之下，存在着大量类似的技术行为，它们作为企业或用于挖掘商业价值、或用于维护自身权益的工具，已经成为了一种业界通行的商业惯例，进而成为一种特定的社会规范。这种新型的社会规范所伴随的法益“对传统刑法学具有釜底抽薪的效应。”［6］对于新型网络犯罪而言，司法者如果刻意忽视这种社会规范，甚至以个人价值覆盖社会规范，无疑会与实践产生极大的分歧。因此，网络爬虫法律属性的确定，必须需要回到计算机技术领域的视角下回答。1.访问属性访问数据就是网络爬虫的本质属性，也是其行为的起点，而因为访问权限的设立，致使网络爬虫存在未经授权或者超越授权访问数据的可能性，在实践中，对'授权”的设计具体可能表现为：访问权限控制存在多种不同的机制。在传统计算机信息传统安全框架下，用户身份认证信息是最经典也是最关键的权限控制方式。同时，也存在其他依附于该机制所构建的补充机制，如对访问请求的IP地址范围进行授权控制;又比如利用机器人协议和验证码机制对访问对象进行授权限制。在网络爬虫的场景下，业内一般将用户身份认证信息之外的措施称之为反爬机制。在实践中，有司法人士在案件论证中将反爬机制引入作为'未经收入或者超越授权”论理的立足点，认为：“被告单位正是伪造了device_id绕过了服务器的身份校验，并使用伪造UA及IP绕过服务器的访问频率限制才实行了对被害单位服务器数据库的访问。被告单位绕过APP客户端与被害单位网站服务器端的身份验证系统，行为性质实际就已经属于非法侵入被害单位的计算机信息系统了”。［7］对此，笔者不能赞同。这种论证的本质偏差在于将反爬机制与前述的用户身份认证信息作等同性理解，这种理解不仅导致刑事规制的不适当扩大，也反应了司法实践人员对技术知识的误解。我国刑法第285条非法侵入计算机信息系统罪的立法之初，主要针对的是以黑客攻击等手段，突破控制者设立的安全保护措施的不法行为。喻海松法官认为'与计算机信息系统安全相关的数据中最为重要的是用于认证用户身份的身份认证信息（如口令、证书等），此类数据通常是网络