网络爬虫行为的刑法规制

钱林叶

湖北大学

随着互联网的快速发展和海量数据的蓬勃爆发，网络爬虫作为数据使用者收集数据源的重要技术方式，已经成为全球互联网企业高效获取数据资源的技术保障。但随着人们对数据变现的渴求增强，利用网络爬虫技术从事违法犯罪活动的行为屡见不鲜。如今，鉴于维护互联网信息安全和保护社会公众合法权益的考量，刑法不断加强对滥用网络爬虫技术的规制。然而刑法在规制实践中也存在着对滥用网络爬虫技术行为惩罚严重化、认定模糊化等问题，其违背了罪刑相适应的原则，不利于科学技术的进步与发展。故明确民事不法与刑事不法的界限，协调技术发展与法律规制之间的关系是当今亟待解决的问题。

一、网络爬虫简介及危害分析

（一）网络爬虫简介

网络爬虫是一种按照一定的规则，自动地抓取万维网信息的程序或者脚本，其运行的基本原理为首先根据搜索目的建立待爬行的URL（统一资源定位系统）队列，从中取出URL，访问该URL对应的页面，并进行页面解析，提取此页面上所有的URL并存入待爬行队列中，如此循环爬行，直到URL队列中的所有URL爬行完毕或满足系统的一定停止条件为止。[1]简单而言，爬虫的过程可以分为四部分：首先，发起请求。通过HTTP库向目标站点发起请求，请求中包含额外的headers等信息，等待服务器响应；其次，获取响应内容。如果服务器能够正常响应，会得到一个Response，Response中的内容便是所要获取的页面信息，可能有HTML、Json字符串，二进制数据等；然后，解析内容。对Resposne中包含的内容进行解析，根据的不同页面信息分类型解析；最后，保存数据。将解析得来的数据进行保存，可以存为文本，也可以保存至数据库，或者保存特定格式的文件。

（二）恶意网络爬虫行为的危害分析

随着互联网的高速发展，滥用网络爬虫从事违法犯罪活动的行为频发，侵害着众多法益。首先，在爬虫进入计算机系统阶段，行为人若采取暴力破坏或恶意规避反爬技术措施等手段未经允许强行侵入他人计算机系统，可能构成非法侵入计算机信息系统罪、破坏计算机信息系统罪和非法获取计算机信息系统数据罪等。[2]其次，在爬虫获取数据阶段，若行为人未经授权擅自窃取计算机系统内部数据，根据数据类型的不同，会触犯不同的罪名。如行为人所窃取的为个人数据，在“知情——同意”机制下，无论窃取的是隐私数据还是一般数据，均构成侵权，触犯侵犯个人隐私罪等。若行为人窃取的涉及商业秘密的商业数据，则可能构成不正当竞争、侵犯商业秘密罪等。

二、刑法规制网络爬虫行为存在的问题

（一）网络爬虫行为规制对象扩大化

刑法对网络爬虫行为规制的对象为数据，在刑事规制实践中往往以扩大数据内涵和企业数据保护范围的方式扩大刑法的规制范围。首先，数据的内涵被扩大。一般意义上刑法所保护的“数据”是指访问受到控制的数据，即计算机信息系统中存储、处理或者传输的数据。但司法实践中通过扩张解释的方法扩大“数据”的外延，使得所有与计算机相关的数据均在刑法的保护范围内。其次，企业的数据保护范围也被扩大。企业数据的保护范围本局限于限制获取、使用的数据，但因企业内部的部分数据虽不属于商业秘密的范畴，同时又与企业的发展息息相关，所以部分学者主张将企业数据财产化，无形中扩大了企业数据的保护范围。数据本身仅为字符的代表，只有收集整理后的数据才具有经济价值，以上的行为扩大数据的保护范围，扼杀了企业收集整理数据的积极性，不利于市场经济和科学技术的长久发展。

（二）网络爬虫行为入罪边界模糊化

当今刑法规制网络爬虫行为存在两个问题：一是在对象不法性的判断上，未对被抓取数据进行分类。网络爬虫行为抓取的数据既包括开放数据、限制重新使用数据，也包括限制访问、获取的数据。网络爬虫行为抓取的数据类型不同，侵害法益的危险性也有所不同。如抓取的开放数据一般意味着权利人同意他人访问，抓取行为不会侵害相关人员和组织的权益，故刑法无需介入。但当今存在不少因抓取开放数据而入罪的案例。二是在对行为不法性的判断上，未对网络爬虫的技术特征进行分类。网络爬虫抓取技术的行为可以分为经授权的抓取行为和未经授权的抓取行为。未经授权的抓取行为又可以进一步划分为违反合同约定越权的抓取行为和无合同约定强行突破网站防护技术的抓取行为。经授权的抓取行为不需要承担刑事责任，超越授权范围的抓取行为也仅需承担民事违约责任，只有未经授权，且强行突破技术防护措施的行为具有较高的法益侵害性，需要进行刑事处罚。

而如今前实务界却普遍将违反合同授权的网络爬虫行为入罪。以上两个问题均扩大了刑法的惩罚范围，模糊了民事不法和刑事不法的边界，违背了“罪行相适应”原则。[3]

（三）网络爬虫行为入罪门槛低

网络爬虫行为最可能触犯的罪名刑法为非法获取计算机信息系统数据罪、侵犯公民个人信息罪等，司法解释中对的“结果不法”规定了两种认定标准：一是获取特定类型的数据达到一定数量；二是造成一定数额的经济后果，如违法所得或经济损失。[4]但是该司法解释为2011年7月11日出台，如今我国已经进入了数据爆炸式增长的时代，经济水平也不断提升，且网络爬虫技术基于先天的技术优势极易获得海量数据，造成一定的损害。因此，沿用2011年所出台的司法解释在一定程度上不符合我国当今的发展情况，使得恶意爬虫行为极易达到法律规定的“结果不法”的门槛，缩减了民法和行政法等其他法律的适用空间，不符合刑法的“谦抑性”原则，让刑法的最后手段性和辅助性变得名不符实。

三、网络爬虫行为不法性的判断标准

（一）形式不法性的判断标准——行为不法

法律对数据的保护前提之一为数据网站主观上对数据具有保护的意思，客观上采取一定的安全防控措施。数据是当今企业竞争的重要资源，各数据网站往往会通过合约授权和技术措施两种方式维护数据安全，阻碍他人侵入、获取数据。只有未经授权的网络爬虫行为需要进行规制，其主要包括违反合同授权所进行的网络爬虫行为和故意避开或强行突破网站技术措施的网络爬虫行为。合同授权体现出数据网站对数据的保护意愿较弱，即使行为人违反与网站所签订的合同条款，窃取超过约定范围内的数据也仅构成违约责任，应当通过民事违约责任或侵权责任予以规制。而数据网站采取技术保护措施体现对数据的保护意愿较强，且故意避开或突破网站技术措施的网络爬虫行为主观恶性更大，侵害行为更严重，应当采用刑法进行规制。

（二）实质不法性的判断标准——对象不法

数据可以分为开放数据、限制重新使用数据和限制访问、获取数据。不同数据的数据开放性、独占性有所不同，法律保护程度也会有所不同。开放数据的数据所有人同意他人访问、获取，故网络爬虫行为抓取开放数据不侵害数据所有人权益，既不需要承担民事责任，也不需要承担刑事责任。限制重新使用数据对于网络爬虫的获取、访问行为一般不加以规制，仅规制再次使用行为，且多发生于企业之间。抓取限制重新使用的数据可能会侵害他人知识产权或构成不正当竞争，需要承担民事责任。

限制访问、获取的数据，是指仅允许特定范围内的人访问、获取的数据，数据权利人的保护意愿强，数据开放性低，且抓取限制访问、使用的数据所造成的损害较大，应当受到刑法严厉的规制。

（三）主观不法性的判断标准——主观故意

网络爬虫的入罪判断除了对客观不法的考察外，还应当对主观不法性进行判断。网络爬虫可以分为善意的网络爬虫和恶意的网络爬虫。善意的网络爬虫遵守“Robots”协议，不仅能够增加网站曝光度，还能给网站带来流量。而恶意的网络爬虫则会窃取企业不愿公开的秘密数据，甚至可能会造成被侵入方的网站服务器过载或崩溃，影响计算机信息系统的正常运行。故对网络爬虫行为进行规制时需要准确认定主观是否故意，那么对善意的网络爬虫行为则不予规制。

首先，应当根据行为人从事行业及对网络爬虫技术的掌握程度进行判断。[5]若行为人具有丰富的经验且对网络爬虫技术掌握技术较高，可以推断出行为人对其所实施的网络爬虫行为可能造成的风险具有认识的可能性。其次，根据设置的爬取指令与抓取的数据类型进行判断。若行为人特意设定屏蔽身份验证、IP地址等指令，抓取诸如公民个人信息、商业秘密等数据也能在一定程度上体现行为人的主观恶意。

四、规制网络爬虫行为的合理建议

（一）明确刑法介入的边界

数据安全和数据利用对数据发展而言为车之两轮，鸟之两翼，相辅相成，不可分离，保障数据安全和推动数据流通是数据发展的前提，因此应当明确刑法介入的边界，使刑法对数字经济风险的介入应使强制效果保持在最小限度之内[6]，并与法益保护目的相适配，寻找数据保护和技术发展的平衡点。

首先，准确认定主观故意。技术无好坏之分，但行为有善恶之分。通过对行为人从事行业及对网络爬虫技术的掌握程度、所爬取的数据类型等综合认定分析行为人的主观故意。其次，类型分析客观违法行为。网络爬虫行为可以具体划分为侵入型、获取型以及破坏系统等多种类型，应当针对不同的类型具体分析违法行为，确定是否承担刑事责任。最后，以规范目的限缩处罚范围。对网络爬虫行为进行刑法规制的目的在于保护计算机系统及数据安全，因此应将无实质法益侵害性的爬虫行为出罪，限缩刑事处罚范围，以实现数据开放、数据共享及数据安全平衡。

（二）推动刑法法律体系的完善

诸如恶意爬虫行为引发的非法获取计算机信息系统罪等网络犯罪整体呈现出链条化、去中心化、行为与结果相分离等特点，且网络犯罪发展迅速，导致了刑法适用的碎片化。为更好地应对网络犯罪，我们应该采取以下措施。首先，需要在指导理念上从传统的“软件、系统”的传统思维转向“软件、系统、网络”的全面思维。[7]随着互联网的发展，计算机运算逐渐从信息使用转向云储存，而传统刑法所保护的对象仅为计算机信息系统中存储、处理和传输的数据。这在大数据时代，并不能完全涵盖云端中独立存储的数据。

（三）坚持刑法的谦抑性原则，推动社会共同治理

刑法是遏制社会违法行为的最后一道防线，恶意网络爬虫行为需要多方共同努力治理。

首先，应当明确网络平台的权利和责任。网络平台作为数据的最直接管理人员，能最快发现侵权行为，实现事前救济，因此法律应当赋予其相应的权利以对不法的网络爬虫行为予以规制，同时对平台的不作为行为予以惩戒。其次，应当强化相关部门的技术措施，加强追踪能力，提高电子取证技术。我国目前相关部门技术追踪水平远低于企业或个人的技术水平，致使我国一直存在电子取证难的问题，应当加大财政投入，强化意识，充分唤起技术人员的工作积极性。最后，应当建立以刑法为中心，民法、行政法等其他法律为辅助手段的综合治理体系，[8]在能通过民法、行政法进行救济的情形下，不轻易使用刑法进行规制，明确民刑之间的边界，维护数据权利人的合法权益，共同推动网络社会的治理。

五、结语

综上所述，网络爬虫技术是互联网发展的产物，对数据信息采集具有重大意义。但是大数据时代下，恶意爬虫行为制约着数字经济的发展，因此，文章基于我国刑法规制恶意爬虫行为存在规制对象扩大、入罪边界模糊以及入罪门槛低等问题，主张明确恶意爬虫行为的入罪标准，提出构建综合治理体系，推动社会共同治理等建议以促进社会发展，满足当前时代发展的需要。