探讨利用“爬虫技术”获取数据行为的刑事考量 ——以一起非法获取计算机信息系统数据案为例

Posted 2021-04-30 湖南省刑事法治研究会

前言

关于利用“爬虫技术”获取数据行为的刑事问题的探讨，欢迎大家在下方留言或来稿参与讨论。对于在本微信公众平台发送的原创稿件，将结合阅读量酌情给予奖励，湖南省刑事法治研究会每年还将对原创文章进行评奖并予以不同等级的奖励。还等什么，快来投稿吧！

投稿邮箱：hnsxsfzyjh@126.com

一、问题的提出

2020/1/1

（一）案情回顾

 2017年，被告人张洪禹、宋健、侯明强作为被告单位上海晟品网络科技有限公司主管人员，于2016年至2017年间，在上海市共谋采用技术手段（指使被告人郭辉破解北京字节跳动网络技术有限公司的防抓取措施、实施视频数据抓取行为）抓取被害单位--北京字节跳动网络技术有限公司（办公地点位于本市海淀区北三环西路43号中航广场）服务器中存储的视频数据（该视频信息仅提供给其VIP客户，即需要相关账号及密码才能获得，并且该视频仅能缓存而不可下载），造成被害单位北京字节跳动网络技术有限公司损失技术服务费人民币2万元。

据北京市海淀区人民法院（2017）京0108刑初2384号裁判文书显示，被告人采用技术手段破解被害单位的防抓取措施，使用“tt_spider”文件（该文件中包含通过头条号视频列表、分类视频列表、相关视频及评论3个接口对其服务器进行数据抓取，并将结果存入到数据库中的逻辑）实施视频数据抓取行为，在数据抓取的过程中使用伪造device_id绕过服务器的身份校验，使用伪造UA及IP绕过服务器的访问频率限制，其行为造成被害单位损失技术服务费2万元，从而构成非法获取计算机信息系统数据罪。

（二）使用“爬虫”爬取数据行为涉及的问题

北京市海淀区人民法院以非法获取计算机信息系统数据罪对上述被告单位及四名被告予以定罪，本案为侵犯“公开”信息而受到刑法规制的第一案，被“互联网法律大会”列为全国首例利用“爬虫技术”侵入计算机系统抓取数据案，因其侵犯“公开”信息而受到刑事处罚（最为严厉的处罚方式）而倍受 IT 界和法学界关注从而引起广泛讨论。

使用“爬虫”技术爬取数据行为主要涉及以下三个问题：第一是网络爬虫技术的使用范围；第二是利用“爬虫”技术获取数据是否属于“侵入”计算机信息系统的手段行为；第三是“公开信息”是否属于非法获取计算机信息系统数据罪的犯罪对象。以下我们将结合本案及构成要件对案件涉及的理论问题进行阐述。

二、“爬虫技术”的使用范围

2020/1/1

网络爬虫（Web Crawler）（简称爬虫），也被称为网络蜘蛛、蜘蛛爬虫（Web Spider）或网络机器人（Web Robot），是互联网时代一项运用非常普遍的网络信息搜索技术。爬虫技术的本质是一套实现高效下载的系统，通过遍历网络内容，按照指定规则提取所需的网页数据，并下载到本地形成互联网网页镜像备份的程序。在信息传输、大数据、人工智能技术高度繁荣的今天,采用爬虫技术爬取数据的行为逐渐成为各行业攫取市场资源,提高市场竞争优势的方式。但是，对于一些使用爬虫技术的行为,可能存在法律风险，甚至受到刑法规制。如获取计算机信息系统中存储、处理或者传输的数据，情节严重的就可能构成非法获取计算机信息系统数据罪；如果被传播的数据内容属于淫秽物品，可能构成传播淫秽物品罪；使用含有淫秽物品内容的数据谋取利益，可能构成传播淫秽物品牟利罪；对公民个人信息实施的出售、非法提供行为，可能构成出售、非法提供公民个人信息罪；使用或允许他人使用其所掌握的或获取的商业秘密，可能构成侵犯商业秘密罪等等。

三、利用“爬虫”技术爬取数据属于“侵入”计算机信息系统的手段行为

2020/1/1

侵入行为是否限于技术手段理论界与实践领域存在不小争议。《中华人民共和国刑法》第二百八十五条第二款规定侵入（国家事物、国防建设、尖端科学技术领域）之外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据构成非法获取计算机信息系统数据罪。根据法条可以得出本罪的行为表现有两个，一是侵入特定计算机信息系统的行为，二是采用其他技术手段获取数据的行为，根据文义解释规则“其他技术手段”中的“其他”二字表明“侵入”也属于技术手段的一种形式，即侵入为技术手段。著名刑法学家郎胜主编的《中华人民共和国刑法释义》也认为“侵入，是指未经授权或者他人同意，通过技术手段进入计算机信息系统。”至此，似乎侵入行为必须要求是“技术手段”。但侵入计算机的行为是否只能为采用“技术手段”。很明显，在司法实践中仅从文义解释出发明显不利于打击犯罪，姑息了实质威胁计算机信息安全的不法人员。最高人民检察院将卫梦龙、龚旭、薛东东非法获取计算机信息系统数据一案确定为指导案例即确定了立场，在卫梦龙、龚旭、薛东东非法获取计算机信息系统数据一案中（两高指导案例、检例第36号）非法获取计算机信息系统数据罪中将“侵入”解释为违背被害人意愿、非法进入计算机信息系统的行为。其表现形式既包括采用技术手段破坏系统防护进入计算机信息系统，也包括未取得被害人授权擅自进入计算机信息系统，还包括超出被害人授权范围进入计算机信息系统。该案中裁判要旨点明：超出授权范围使用账号、密码登陆计算机信息系统，属于侵入计算机系统的行为；侵入计算机信息系统后下载其储存的数据，可以认定为非法获取计算机信息系统数据。2009年2月《刑法修正案（七）》新增的非法获取计算机信息系统数据罪，是为针对近些年网络信息犯罪猖獗情况所采取的措施，从此立法背景及目的来看，笔者认为将“侵入行为”解释为违背被害人意愿、进入计算机系统的行为更加贴近实际，利于打击犯罪。回到本案，那么我们是否可以得出爬虫程序已经进入了被害单位的计算机信息系统？根据判决书显示，被告单位是通过使用伪造device_id绕过服务器的身份校验，使用伪造UA及IP绕过服务器的访问频率限制，获取了被害单位的数据。显然，爬虫程序已经接入了被害单位的计算机信息系统，否则就没有被害单位计算机信息系统数据被复制下载这一结果。被告单位绕开 APP用户端与被害单位网站服务器端的身份验证系统，实际上该行为的性质就已经当定性为非法侵入计算机信息系统了。当然，保守来说，即便被告单位的行为不构成非法侵入行为，也应归入其他技术手段的非法获取行为，同样成立非法获取计算机信息系统数据罪。

四、“公开信息”属于非法获取计算机信息系统数据罪的犯罪对象

2020/1/1

在本案中最为主要的争议焦点是“公开的信息”是否属于非法获取计算机信息系统数据中的犯罪对象。非法获取计算机信息系统数据罪的保护法益是计算机信息系统安全和数据安全。那么信息是否等同于数据？公开信息是否等同于公开数据？这实质上涉及信息与数据含义的辨别。利用爬虫技术所爬取的信息属于完全公开与非公开时，比较容易得出结论。爬取非公开的信息毋庸置疑涉及对非法获取计算机信息系统数据的对象的侵犯；爬取完全公开的信息则不构成非法获取计算机信息系统数据的犯罪，因此此处仅讨论爬取一定范围公开的信息的情形（一定范围公开是指面向特定的用户公开（如面向VIP群体），而不允许任意群体获得），用以明悉数据和信息的不同价值，即本案所涉及到的情况。对于使用爬虫技术未经授权获取一定范围内公开信息的行为，应该区分信息和数据的不同保护价值，结合数据和信息的具体保护措施，围绕数据安全性是否有保护的必要，评价是否构成非法获取计算机信息系统数据罪。

案件中被害单位 APP 用户或视频 APP 用户可以观看被害单位网站上的视频信息，是否就意味着这些视频数据是完全公开的，失去了保密性，因此就失去了非法获取计算机信息系统数据罪适用的可能性？这实质上涉及对数据与信息概念本身的理解，非法获取计算机信息系统数据罪的所要保护的法益是计算机信息系统安全和数据安全，而不仅仅是针对信息安全。我国刑法，是从信息所涉及的个人隐私、知识产权等角度独立予以保护的。从这个层面来理解，非法获取计算机信息系统数据罪中的数据，显然与信息论的观点一致，是指数据化存储、处理和传输的客观表现形式，包含信息和冗余数据，而非信息本身。信息公开，只是数据中原本数据化了的信息经过处理后内容公开了，数据依然存储在数据的硬件载体之中，在信息内容被展现的过程中，数据在被传输、处理但没有公开。即使认为信息是数据的一部分，也不能说信息公开了就代表着数据公开了，至多可以认为数据中的数字化信息被展现出来而让数据部分内容被实质性公开了。

回到本案，被害单位虽授权 APP 用户浏览视频并获取视频相关信息，却并不必然意味着 APP 用户获取了视频数据。被害单位所提供的视频是采取流媒体播放技术，即用户可以在观看视频的同时缓存该视频，以便用户获得更加流畅和高品质的观感，观看完毕之后，缓存的数据文本并不会同步下载下来。一般用户在播放视频时不能下载、储存视频，除非受到相关培训的人才有能力运用技术手段对视频数据副本进行复制和创建。缓存技术在知识产权领域已经得到世界范围的认可，但是缓存与下载复制具有实质性的区别，缓存意味着断网既无，而下载复制则可以永久保存，随时传阅。也因此，被害单位采取流媒体播放技术并结合 APP 身份认证技术，意味着对视频数据给予技术保护，也意味着对“爬虫”的抵制。而本案被告单位实施技术手段绕过了 APP 身份认证机制，下载复制视频数据，破坏了被害单位对视频数据的技术保护措施，是非法获取视频数据的行为。

五、结语

2020/1/1

结合全文，如果视频数据一旦允许复制、下载，则表明视频信息完全公开，即便使用了相关反爬虫措施，也同样意味着视频数据的公开。本案视频信息仅在 APP 用户范围内的有限公开（即不完全公开），也不允许复制、下载。因此，不能判定该视频数据可以为公众所共享，进而丧失保护的必要。本案被告单位未获授权利用网络爬虫程序绕过 APP 用户认证系统窃取被害单位网站服务器内的视频数据的行为，侵害了计算机信息系统和数据安全的法益，完全符合使用侵入手段非法获取计算机信息系统数据罪的构成要件，理应受到刑法规制。不可否认的是，实施非法获取数据的行为可能同时触犯其他罪名，如非法获取公民个人信息罪、侵犯计算机信息系统安全类型犯罪、侵犯知识产权类型的犯罪等，此时应适用想象竞合的规则择一重罪处罚。

参考文献：

[1]游涛,计莉卉.使用网络爬虫获取数据行为的刑事责任认定——以“晟品公司”非法获取计算机信息系统数据罪为视角[J].法律适用,2019年第10期.

[2]常晓峰. 论非法获取计算机信息系统数据罪的司法认定[D].西南科技大学,2018年.

[3]刘艳红.网络爬虫行为的刑事规制研究——以侵犯公民个人信息犯罪为视角[J].政治与法律,2019年第11期.

[4]郎胜，中华人民共和国刑法释义[M]，法律出版社，2015年版第491 -500页.

[5]刘鹏.利用网络爬虫技术获取他人数据行为的法律性质分析[J].信息安全研究,2019年第5期.

[6]祁汉章. 利用网络爬虫技术攫取他人数据的正当性认定[D].江西财经大学,2019年.

[7]刘煜杰,虞亚明.危害计算机信息系统安全案件的法律适用探析[J].江苏警官学院学报,2019年第2期.

[8]杨志琼.非法获取计算机信息系统数据罪“口袋化”的实证分析及其处理路径[J].法学评论,2018年第6期.

[9]欧阳本祺,曹莉.非法获取他人APP数据的刑法定性[J].人民检察,2018年第7期.

编辑：宁琴娜

与你共度元旦

I will be at your side

新浪微博：@湖南省刑事法治研究会