|
【202004038】数据爬取行为的刑事司法认定
文/林维
作者单位:中国社会科学院大学
专题分类:网络犯罪
期刊栏目:观察与思考
世界的本质是数据,数据的重要意义可见一斑。正是基于这一原因,有关利用网络爬虫技术抓取数据行为的法律性质引起了广泛关注,并一直存在较大争议。鉴于此,笔者对于相关案件所涉及的刑法问题略作讨论。
一、数据爬取行为的性质
所谓爬虫技术,是指那些在互联网内爬动并从各种网页中搜集信息的计算机程序和自动化脚本,以方便用户自动化、高效率地浏览互联网并从互联网上获取数据。作为一种中立的计算机技术,其本身在法律上并不受禁止,一般意义的爬虫技术是一种常见的数据抓取技术,最常见的领域就是搜索引擎。某种意义上讲,只要涉及信息搜集,就势必会运用到爬虫技术,正是爬虫技术的有效运用使得数据的共享和分析具有了广泛存在的可能,从而形成了互联网生态的多元繁荣。但利用网络爬虫技术抓取数据行为的性质,则需要根据具体情况来认定。考察的着眼点集中在爬取的行为本身和通过爬取所获得的数据性质。
过去的案件争议更多地集中在不正当竞争范畴内进行讨论,各地法院先后受理了很多涉及大数据的知识产权纠纷案件,法院对相关数据通过反不正当竞争法的适用给予必要的救济。例如深圳谷米公司诉武汉元光公司不正当竞争纠纷案(以下简称“元光案”)中,法院认定被害单位对该软件所包含的信息数据享有占有、使用、收益及处分的合法权益,未经其许可,任何人不得非法获取该软件的后台数据并用于经营行为,武汉元光公司未经权利公司许可,利用爬虫技术进入后者的服务器后台非法获取数据,数据来源不合法,其行为扰乱了竞争秩序,构成不正当竞争,具有权益侵害性。[2]这样一种权益侵害性决定了其在性质严重的场合,具有刑事处罚的必要性。同时,即使作为中立的技术行为,爬虫技术的应用也必须在法律框架内,否则中立的技术在非法意图的支配下仍然具有成立犯罪的可能。当然,并非所有的此类不正当竞争行为都需要动用刑罚手段,仍应区分不同事实,考察其是否符合刑法规定的构成要件。
实际上过往已经有类似的刑事处罚案例,例如在2017年11月24日北京市海淀区法院判决的上海晟品网络科技有限公司、侯某某等非法获取计算机信息系统数据一案(以下简称“晟品案”)中,法院认为:上海晟品网络科技有限公司和其他自然人被告人共谋采用技术手段抓取被害单位服务器中存储的视频数据,并由侯某某指使郭某破解后者的防抓取措施,使用“tt_spider”文件实施视频数据抓取行为,造成被害单位损失技术服务费共计人民币2万元。经鉴定,“tt_spider”文件通过视频列表、分类视频列表、相关视频及评论3个接口对被害单位服务器进行数据抓取,并将结果存入数据库中。行为人在数据抓取的过程中使用伪device,id绕过服务器的身份校验,使用伪造UA及IP绕过服务器的访问频率限制,因此行为人成立非法获取计算机信息系统数据罪。[3]
考虑到此类行为对于计算机信息系统安全法益的侵害,对其加以刑事处罚不仅具有必要性,同时随着刑法修正案(七)对刑法第二百八十五条的修改,也具有可行性。刑法第二百八十五条第二款规定,违反国家规定,侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,情节严重的,成立非法获取计算机信息系统数据罪。不过司法实务上,对于计算机信息系统的理解可能过于狭窄,因而产生定罪上的顾虑。其实,2011年最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下简称《解释》)第十一条规定,本解释所称“计算机信息系统”和“计算机系统”,是指具备自动处理数据功能的系统,包括计算机、网络设备、通信设备、自动化控制设备等,但实践中往往可能过于强调设备的硬件特性。笔者认为,设备仅仅是计算机信息系统的外在载体,按照国务院《计算机信息系统安全保护条例》第二条的规定,计算机信息系统是由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。因此,诸如购物平台、移动客户端、小程序等作为计算机信息系统内的各要素,并且也是通过一系列硬件设施和应用程序,在网络环境下进行信息和数据的采集、加工、存储和传输,实现自动处理数据功能,毫无疑问应当认定属于计算机信息系统。
不过,需要指出的是:刑法第二百八十五条第三款规定了提供侵入、非法控制计算机信息系统程序、工具罪,即提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的行为。显然,并非所有的计算机技术都是中立的,如果某一程序或工具具有侵入、非法控制计算机信息系统的专门用途,那其就不是一项中立技术,而是一种犯罪工具。即使是中立的帮助行为,如果行为人所提供的设备、方法等只能或者通常用于犯罪情形,则可以认定为对非特定正犯的帮助行为。[4]《解释》第二条规定,具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据的功能的程序和工具,即属于“专门用于侵入、非法控制计算机信息系统的程序、工具”。在前述所讨论的晟品案中,行为人所使用的技术采取了伪造手段,逃避服务器的身份校验以及使用伪造UA及IP绕过服务器的访问频率限制,此种具有爬虫性质的技术措施具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据的功能,应当认定为属于专门用于侵入计算机信息系统的程序、工具,相应爬虫程序编写人员等行为人构成提供侵入、非法控制计算机信息系统程序、工具罪。
二、爬虫技术的合法性边界
爬虫技术本质上有利于信息的交流和共享,因此并不必然受到禁止或需要法律予以规制,有的网站甚至欢迎通过爬虫技术提取网页信息,因此,明确爬虫技术的合法性边界至关重要。
与元光案中行为人利用爬虫技术侵入被害单位App加密系统不同,晟品案中的争议焦点是对所谓公开数据的爬取能否成立非法获取计算机信息系统数据罪。对此,有学者认为晟品案在取证方面有一个遗憾,即虽然从被害单位公示的用户协议中可以证明,被害单位明确禁止利用网络爬虫程序爬取涉案视频网页中的数据,但公安机关没有查明被害单位是否在计算机信息系统中设置了robots.txt以及robots.txt对于爬虫程序的授权范围。[5]之所以强调robots协议在定罪中的重要性,是因为基于惯例,未被robots协议排除的数据属于互联网的公开数据,在遵循协议的前提下,公开爬取数据的行为并不侵犯信息提供者的权利;反之如果强行爬取,则可能被认定为违法。但是,需要明确的是,在具体案件中是否需要强调类似的前提条件,需要针对不同的行为及其目标。例如,在元光案中法院的判决也未提及robots协议,不过由于行为人存在破解被害单位App加密系统的行为,对于robots协议的强调似乎缺乏必要。因此,笔者认为,重要的是在类似案件中确认爬取数据的行为是否得到了权益人的同意或授权。
成立非法获取计算机信息系统数据罪,还需要具备情节严重的情形。《解释》第一条规定了情节严重的五种情形,其中第五项为“其他情节严重的情形”。考虑到前四项情节严重的范围已经包括了网络金融服务类的身份认证信息、其他身份认证信息以及非法控制计算机信息系统的数量和违法所得、经济损失等因素,那么第五项规定的兜底条款就没有必要也不应等同于前述情形。笔者认为,对于“其他情节严重的情形”的解释和刑法条款中“等”的解释略有不同,两者固然都存在同质性判断的需要,而在“等”的解释上,如果作等外的理解,一般都会要求与前文规定的范畴具有特定的、具体的等质性或者等价性,但是对“其他情节严重的情形”的判断与此不同,其核心并不在于和前文特定范畴的等质性,而在于对情节严重的综合判断。因此,其他情节严重的情形可以包括犯罪前、犯罪过程中乃至犯罪后表征行为的客观危害性和行为人的主观危险性等各种情节,例如行为人的犯罪前科或者特定阶段内的违法犯罪记录、实施犯罪的目的、所采取的手段是否涉及其他违法犯罪行为、是否造成额外损害后果等。
三、数据爬取行为的罪数认定
数据爬取行为往往同时涉及其他犯罪行为,除爬取行为本身外,还应该考虑所爬取的数据类型以及控制数据后所实施行为的定性问题。
刑法第二百八十六条第二款规定,违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,成立破坏计算机信息系统罪。最高人民检察院第34号指导性案例“李某等破坏计算机信息系统案”确立了该罪的裁判要旨,指出冒用购物网站买家身份进入网站内部评价系统删改购物评价,属于对计算机信息系统内储存数据进行修改操作,应当认定成立破坏计算机信息系统罪。同时,对于案件所涉及的非法获取计算机信息系统数据罪和破坏计算机信息系统罪,究竟应当确认为何种罪数关系,实务中存在一定争议。有的学者主张数罪并罚,有的学者认为应当从一重罪处断。笔者认为,如果行为人非法侵入计算机信息系统并且其获取数据的目的是为了对前述数据进行删除、修改、增加等,最终通过这种方式谋取利益,此种情形下应当认定成立手段和目的的牵连犯,从一重罪处罚。
四、关注立法目的,回归数据本身
如前所述,成立非法获取计算机信息系统数据罪,应当具备情节严重的情形,按照《解释》第一条规定,包含如下情形:获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息10组以上的;获取前述以外的身份认证信息500组以上的;非法控制计算机信息系统20台以上的;违法所得5000元以上或者造成经济损失1万元以上的;其他情节严重的情形。该罪的设立目的是为了保护数据的安全性,因此一般而言,犯罪成立与否和责任轻重与非法获取的数据本身有关,包括其数量、性质等。但从前述案件中适用该罪的情节严重情形来看,却并未紧密地围绕数据本身来讨论犯罪的危害性并确定其刑罚。考虑到身份认证信息尤其是涉及网络金融服务的身份认证信息的重要性,《解释》第一条对其作了区分性的特别规定,但是其余数据的类型划分、性质认定、数量识别等并未予以规定,这种挂一漏万规定的做法从另一方面说明了数据本身在类型确认、定量分析和价值评估上存在的困难,也正是这样一种困难造成了实践中的尴尬局面。即大多数案件的办理往往回避犯罪行为所抓取的数据类型、数量、价值等,将关注重点放在造成的经济损失或违法所得上。换言之,这并非基于数据本身的价值,而是围绕数据产生的其他方面的损失来定罪量刑。为此,我们应当对数据本身进行足够的精细研究,从而使得我们能够将法益保护的重点重新切换到数据本身。也正是因为这样一种原因,非法获取计算机信息系统数据罪并没有放在侵犯财产罪一章中,也没有放在破坏社会主义市场经济秩序罪一章中,而是放在了妨害社会管理秩序罪一章中的扰乱公共秩序罪这一节中。这样一种法益的定位,正好在无意间避免了一个更为本质化也因此需要尽快明确的争论:即被害单位能否以及如何论证其对数据的权属?在当前立法的逻辑中,数据的权属问题被刻意地回避,但被害单位对数据的产生、保存、分享进行了大量的投资,并因此产生了独立的利益,尤其在被害单位对数据进行了合理保护的基础上。因此,针对数据的受保护性以及信息系统的安全性,笔者认为,应当具有更为针对性的刑法规定。
[编辑:华炫宁]
【注释】
*中国社会科学院大学教授、博士生导师。
[1]本文系国家重点科技研发计划《内外贯通的审判执行与诉讼协同支撑技术研究》(编号:018YFC0831300)部分研究成果。
[2]参见(2017)粤03民初800号。
[3]参见(2017)京0108刑初2384号。
[4]参见张明楷著:《刑法学》(第五版),法律出版社2016年版,第425页。
[5]参见游涛、计莉卉:《使用网络爬虫获取数据行为的刑事责任认定》,载《法律适用》2019年第10期。
|