【202210021】利用网络爬虫获取个人信息的刑法规制


首页>>司法实务>>人民司法应用2011-2020>>正文


 

 

【202210021】利用网络爬虫获取个人信息的刑法规制
文/郭鹏飞

  作者单位:重庆市渝北区人民法院
  专题分类:个人信息保护
  摘要:
  通过对利用网络爬虫获取数据信息的司法实践进行分析后可以发现,网络爬虫在获取个人信息时极易对信息业者以及信息主体的权益造成损害,甚至构成刑事犯罪。为更好地利用网络爬虫技术,减少其带来的负面影响,亟需明确利用网络爬虫技术的边界,坚持技术中立、刑法的谦抑性、对告知同意原则进行延伸的刑事规制原则,并在此基础上对利用网络爬虫获取个人信息的刑法规制路径予以完善:一是刑事视域下个人信息的范围应在去识别性后有限的扩张;二是构建完善的罪名体系;三是构建科学合理的个人信息法律保护体系。
  期刊栏目:本期策划——公民个人信息的刑事保护
  数据信息被称为“数字时代的石油”,是支撑社会发展的重要资源。到2025年,全球年存储数据量将高达180ZB。[1]在互联网数据规模如此庞大的背景下,提高获取数据信息的效率至关重要,网络爬虫为此提供了行之有效的解决方案。据统计,目前网站访问量中约有1/4的网络流量是通过数据抓取工具进行的,谷歌、百度、搜狗、必应等数据公司都普遍使用网络爬虫获取数据资源。[2]网络爬虫(WebCrawler)又称为网络蜘蛛(WebSpider)或者Web信息采集器,是一种利用软件程序模拟人工点击的方式,大规模地从数据网站、手机APP、小程序、搜索引擎(以下简称“目标网站”或者“信息业者”)中检索、收集、提取数据的技术。随着5G、云计算、区块链、物联网等技术的广泛应用,作为互联网时代数据信息的重要组成部分,个人信息已然成为当今社会日趋重要的资源与财富。利用网络爬虫获取个人信息的行为也日益普遍,在提高了信息共享、流通效率的同时,由于个人信息多涉及隐私,敏感性强,不仅可能侵害信息业者的合法权益,也可能损害信息主体的个人信息权益,甚至构成违法犯罪或者诱发其他犯罪行为。因此,有必要对利用网络爬虫获取个人信息的行为进行刑法规制,一方面可以有效打击非法爬取个人信息的犯罪行为,对个人信息权益进行托底式保护;另一方面对合法利用网络爬虫技术也有积极的促进作用。
  一、利用网络爬虫获取数据信息的司法实践概况
  自1993年12月首个基于爬虫程序的网络搜索引擎诞生,网络爬虫作为一项新技术用来爬取存储在互联网上的数据信息只有20多年。我国使用网络爬虫获取数据信息的技术起步较晚,相关案件进入司法实践的时间则更短,只有10余年。在此期间,利用网络爬虫获取数据信息的司法实践呈现出两个显著的特点。
  一是法律责任日趋严厉,由民事责任逐渐延伸至刑事责任。2018年之前,我国利用网络爬虫非法获取数据信息的法律责任仅停留在诸如乐视诉中文在线案、图谱天下诉上海大岂案等由于民事侵权或者不正当商业竞争行为所带来的民商事法律责任。武汉元光公司案首次将利用网络爬虫非法获取数据信息行为引入违法犯罪的范畴。特别是2019年1月《关于开展App违法违规收集使用个人信息专项治理的公告》、2019年8月《儿童个人信息网络保护规定》等一系列规范文本发布之后,我国对于网络爬虫技术的管控力度不断加大,司法实践中利用网络爬虫获取数据信息的刑事风险随之增加。
  二是案件数量逐年增多且增速快,但2021年度又迅速回落。在裁判文书中,法官有时会将网络爬虫表述为“爬虫软件”或者“爬虫程序”,为更加准确获取样本数据,本文以“爬虫”为关键词在聚法案例网(http://www.jufaanli.com)进行了检索。截至2021年12月31日,共计搜到裁判文书623份(检索日期为2022年1月4日),排除54份与本文研究主题无关的文书后,笔者对剩余569份裁判文书进行分析。从2010年至2020年底,因利用网络爬虫获取数据信息的案件数量逐年增长,并且增速较快。尤其2013年和2016年,相较于上一年,增幅分别高达333%、157%(见图1)。其中,民事裁判文书数量最多,有464篇之多,占到总数的81.55%;刑事裁判文书为94篇,占总数的16.52%;行政裁判文书数量最少,有11篇,占总数的1.93%。
  (图略)
  (图1:案件数量统计图)
  需要注意的是,虽然统计数据显示案件数量在2021年度大幅度减少,但具体到刑事领域,在94篇刑事裁判文书中,侵犯公民个人信息犯罪的案件数量仍为最多,有38件,占刑事裁判文书总数的比例也最大,为40.43%,这一数据与2020年底的统计数据环比变化不大。由此可见,在刑事犯罪领域,个人信息已经成为网络爬虫非法获取数据信息的重灾区,探讨利用网络爬虫获取个人信息的刑事法律问题并进行必要合理的规制已刻不容缓,而首要问题就是明确利用网络爬虫技术的边界。
  二、利用网络爬虫技术的边界
  (一)善意的网络爬虫与恶意的网络爬虫
  毫无疑问,网络爬虫会极大地提高获取数据信息的效率,从而加速数据信息的共享和流通,但是并非所有的信息业者都愿意自己的数据信息被爬取,甚至基于商业经营、知识产权保护、信息主体的意志等方面的考量,拒绝网络爬虫抓取其掌握的数据信息。为此,网站通常会设置爬虫协议即Robots协议,又称网络爬虫排除标准,向网络爬虫程序的编写者明示,哪些数据信息是允许被爬取的,哪些数据信息是不允许被爬取的。但爬虫协议是“君子协议”,如果网络爬虫程序的编写者不遵守爬虫协议,想要强行爬取网站的数据时,爬虫协议从技术上是无法阻止的。[3]由此,根据爬虫程序是否遵守爬虫协议,可以将其分为善意的网络爬虫和恶意的网络爬虫。善意的网络爬虫是指,按照爬虫协议的指令,在不影响目标网站正常运行的前提下爬取数据信息。与之相对的则是恶意的网络爬虫,是指破坏爬虫协议设置的规则,未经许可或者未获得授权,暴力或者强行爬取目标网站禁止爬取的数据信息。而且恶意网络爬虫的使用者为了最大限度地爬取数据信息,通常会在同一时间段内向目标网站投放大量的爬虫,造成目标网站服务器因过载而使访问速度降低,甚至崩溃宕机。
  目前,爬虫协议已经成为国内外互联网行业内普遍通行的技术规范,为世界各国互联网参与者所遵守,它对于维护正常的网络开放性秩序和信息提供者的权益,具有重要的伦理秩序与准行业规范作用。[4]由此,可以爬虫程序的善恶来作为利用网络爬虫获取数据信息罪与非罪的界分标准之一。事实上,这一标准已得到我国司法者的肯定,最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第2条将“具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据”作为刑法第二百八十五条中所称“专门用于侵入、非法控制计算机信息系统的程序、工具”的重要特征。
  由此可见,善意的网络爬虫未对目标网站以及信息主体造成任何不良影响,当然不承担法律责任。相反,恶意网络爬虫抓取数据的行为,是对计算机信息系统的不法侵入,一旦达到法律规定的情节严重程度,则构成非法获取计算机信息系统数据罪。如果爬取的是个人信息,情节严重的,其行为还有可能构成侵犯公民个人信息罪。例如,2018年2月至同年4月期间,被告人马某为牟利,使用自己编写的爬虫程序窃取APP及网站的用户信息,后出售给苏某某,包括姓名、联系方式等内容的公民个人信息约20万条,非法获利共计人民币2.4万元。上海市金山区人民法院判决认定,被告人马某违反国家相关规定,利用网络爬虫程序窃取公民个人信息后向他人出售,情节特别严重,其行为已构成侵犯公民个人信息罪。
  需要特别说明的是,恶意的网络爬虫程序,不论从爬取数据信息的手段,还是目的和结果方面,对目标网站以及信息主体均有着显而易见的恶意,理应纳入刑法规制的范围。但是,如果利用网络爬虫爬取数据信息之后非法使用,即使爬取行为本身是合法的,属于善意的网络爬虫,其非法使用爬取数据信息的行为亦有可能落入刑法评价的范畴之中。
  (二)形式上的反爬措施与实质上的反爬措施
  近年来,数据爬取技术逐步迭代更新,特别是在人工智能时代,数据爬取AI化、自动化已经成为趋势。[5]如前所述,突破爬虫协议,对于爬虫程序的编写者来讲易如反掌,爬虫协议并不能从技术上有效阻断网络爬虫的恶意爬取。为了应对不断发展的网络爬虫技术,防止爬虫程序的非法侵入,反爬措施也必须及时更新升级,甚至要领先于爬虫技术。目前,信息业者采取防止爬虫的常用技术手段有身份验证、IP限制、验证码、登陆限制、数据伪装、参数签名、隐藏验证和阻止调试等。[6]换言之,爬虫协议可能只是信息业者采取的众多反爬措施之一,或者直接放弃爬虫协议,用其他更有成效的技术措施来防止网络爬虫的恶意爬取。因此,在判断网络爬虫程序的善恶时,不能仅从形式上予以区别,要从实质上进行分析。无论网络爬虫采取何种方式,只要突破、规避、绕过网站设置的反爬措施与技术壁垒,其行为已构成刑法意义上的非法爬取,这在美国被称为“代码理论”。我国虽没有将其命名,但是核心意思一致,信息业者通过对自己的网页数据录入特殊的指令集或者对计算机软件进行编码,从而区别访问者是否为注册用户以及是否允许数据信息被爬取。当抓取者绕过受保护的计算机代码屏障时,就是未经授权访问,利用网络爬虫超越信息业者设置的访问权限爬取数据的行为就有可能入罪。
  在上海晟品公司等非法获取计算机信息系统数据案(以下简称“晟品公司案”)中,被告人上海晟品公司及其有关人员使用tt_spider文件爬取被害单位北京字节跳动公司的视频数据信息,在数据抓取的过程中使用伪造的device_id绕过服务器的身份校验,使用伪造UA及IP绕过服务器的访问频率限制,其行为造成被害单位损失技术服务费2万元,北京市海淀区人民法院判决认定上海晟品公司构成非法获取计算机信息系统数据罪。从形式上来看,晟品公司案中的网络爬虫并没有违反爬虫协议,甚至网站本身就没有设置爬虫协议,但是实际上网站已通过设置其他反爬技术措施来阻止网络爬虫的非法爬取,网络爬虫对网站数据信息的爬取已经构成采用其他技术手段,获取计算机信息系统中存储、处理或者传输的数据。
  (三)爬取公开信息也可能突破利用爬虫技术的合法阈值
  互联网是个开放的空间,但并不是所有的网站都希望自己的网页被爬虫提取,或者并不希望自己所有的网页信息被爬虫提取,因此,网站会将自己不愿意对外公开的网页以及数据信息通过设置验证码、密码、访问口令等技术措施予以加密保护。网络爬虫通过技术手段突破或者绕开上述反爬措施进行数据爬取,无疑是非法侵入。此外,网络爬虫爬取公开的信息也不一定就是合法行为,同样有可能构成民事侵权,甚至是违法犯罪。
  从技术层面讲,一方面,虽然目前网站服务器的运行内存越来越大,但也是有限度的,远没有达到数学意义上的无穷大。因此,网站的访客数量和被访问的频率必须在其可以承载的范围之内,网站才得正常运行,如果超越了其能承受的峰值,则可能降低网站服务器处理数据信息的速度,甚至造成网站崩溃。从这个角度来讲,即使网络爬虫是在爬取对所有人开放的数据信息,也应当在一定的限度之内。如果在同一时间段内向同一个目标网站投放数量巨大的爬虫频繁访问,势必占用大量的网络带宽以及网站服务器的运行内存,一旦突破网站服务器能承受的极值,就会导致网站崩溃,给网络经营者造成损失。另一方面,互联网有一套独立的语言系统,是通过代码、字符并遵循特定规则进行编辑之后,将计算机语言转化为我们可以感知的文字、语音、图像以及视频等。网站公开数据信息,是否等同于网站允许爬虫程序通过爬取存储于服务器中数据信息源代码的方式来获取其对外公开的数据信息,这还是一个值得商榷的问题。所谓条条大道通罗马,在计算机领域中也一样,虽然呈现在人们面前的信息是相同的,数据信息源代码转化的规则或者编辑使用的语言、方式等却可能千差万别。从这个方面来讲,数据信息在网站服务器中的存在形式具有区别于数据信息本身的独立价值,网站是否愿意将此公布于众尚未可知。换言之,数据信息的公开并不意味着其所对应的计算机语言以及编辑方式就失去了保密性。网络爬虫爬取公开信息的行为仍有侵犯网站服务器运行安全以及数据信息源代码保密性的可能。
  从法益层面讲,网络爬虫可能侵害的法益主要包括以下几个类型:财产性权益、个人信息权益、知识产权权益以及计算机信息系统安全权益。一般而言,网站公开数据信息,民众就有足够的理由认为网站已经放弃相关数据信息财产性、个人信息以及知识产权等除绝对排他性权益方面的其他权益,但是爬取公开信息仍有可能侵害计算机信息系统安全权益,而且相较于其他法益类型,侵犯计算机信息系统安全更容易构成犯罪。以上不论是从技术还是法益层面,爬取公开信息的网络爬虫并不能当然地打上合法的标签,该行为有可能符合刑法侵犯计算机信息系统类罪的规定,如果情节(后果)严重的,爬取公开信息的行为仍然会构成犯罪。
  在晟品公司案中,被告人上海晟品公司及其有关人员利用网络爬虫抓取的就是被害单位北京字节跳动公司公开的视频数据信息,法院判决认定上海晟品公司构成非法获取计算机信息系统数据罪的依据在于被告人使用tt_spider文件爬取,在数据抓取的过程中使用伪造的device_id绕过被害单位网络服务器的身份校验,并且使用伪造UA及IP绕过服务器的访问频率限制。最终合议庭认为,晟品公司及其有关人员利用网络爬虫抓取数据信息的方式已达到刑事不法的程度,属于采用技术手段获取计算机信息系统中存储的数据,情节严重,其行为已构成非法获取计算机信息系统数据罪。
  三、利用网络爬虫获取个人信息的刑法规制原则
  大数据时代,网络爬虫技术对于数字经济的发展具有巨大的促进作用。个人信息作为数据信息的重要组成部分,由于其涉及民众的人格权益和隐私安全,使用这项新技术时更应当兼顾社会经济效益和个人信息权益保护,并且力争在两者之间寻求合适的平衡点,既要充分发挥网络爬虫技术的效率优势,提高分析、共享数据信息的能力,同时又要有效保障民众个人信息免受恶意爬虫程序的侵害。在探讨利用网络爬虫获取个人信息的刑法规制时,要把握以下三个原则:
  (一)技术中立原则
  技术中立原则,又称实质性非侵权用途原则,最先适用于知识产权领域,1984年由美国联邦最高法院在UniversalCityStudios,Inc.v.SonyCorporationofAmerica一案中首次确立。技术中立原则最初是技术提供方的一项免责事由,即如果被告提供的商品同时具有合法用途和侵权用途,即使其明知存在发生侵权的可能性,也可以免除其侵权责任,[7]后逐渐被应用到其他民事侵权和刑事案件中,在此过程中其意涵也随之发生改变。目前,比较通行的说法为,技术中立原则是指政府在制定各种规则或标准时,应对各种技术同等对待,不能因为技术本身被认为是道德上可疑的而被视为违法。
  网络爬虫是互联网时代发展起来的新技术,在对网络爬虫获取个人信息进行刑法规制时当然也要遵循该项原则。毋庸置疑,每一项新技术的使用都会带来法律风险,不能因为司法实践中存在着利用网络爬虫非法获取个人信息的案件而否定其本身的技术价值。个人信息面临被网络爬虫恶意抓取的风险,根本原因在于网络爬虫使用者对技术的滥用,并非技术本身的问题。因此,应当通过优化相关的法律规范、制度等方式来对利用网络爬虫获取个人信息的行为进行规制,以期降低风险、解决问题。
  (二)坚持刑法的谦抑性
  刑法的谦抑性是在刑法适用过程中发展出来的一项原则,最早可追溯至18世纪意大利著名法学家贝卡利亚的反对重刑主义,后逐渐贯穿了刑事立法、司法的全过程。刑法的谦抑性最核心的内涵为:刑法是其他部门法的后盾法,除非穷尽其他更有效的方法或者更好的途径,否则不使用刑法调整违反该法律秩序的行为,并且在适用时同样要保持谦和抑制,在遵循罪责刑相适应的前提下尽可能适用较轻的刑罚。但是,刑法的谦抑性并不意味着隐忍,刑法作为所有部门法的保障法,应秉承谦抑主义而不可主动作为,但亦不可落后于时代发展而后防失守。[8]科学技术不断发展必然引发新的法律关系,进而增加了发生法律风险的概率。面对新出现的法律关系,如果涉及直接侵害国家、社会、个人重大法益的行为,应当由刑法予以调整的,也应毫不犹豫将其纳入刑法评价的范畴,及时对刑法规范进行调整,该改则改,该立则立。2009年2月刑法修正案(七)为应对日益增长的侵犯公民个人信息的违法行为,增设出售、非法提供公民个人信息罪和非法获取公民个人信息罪,将非法获取、出售、提供公民个人信息的行为纳入刑事规制的范围;之后,2015年8月刑法修正案(九)根据司法实践需要,适时将以上两个罪名整合为侵犯公民个人信息罪一个罪名,并扩大了犯罪主体范围,提高了刑罚配置水平。
  (三)告知同意原则的延伸
  告知同意原则是指信息业者在收集个人信息之时,应当对信息主体就有关个人信息被收集、处理和利用的情况进行充分告知,并征得信息主体明确同意的原则。[9]该原则被世界各国个人信息保护立法和国际性文件、公约普遍采纳,已经成为处理个人信息的首要原则。个人信息保护法第十三条规定,“符合下列情形之一的,个人信息处理者方可处理个人信息:(一)取得个人的同意……”。网络安全法第四十一条也明确将被收集者同意作为个人信息收集的前提,“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意”。
  与网站、手机APP、小程序直接向用户获取个人信息相比,网络爬虫从网站、手机APP、小程序等信息业者抓取个人信息之后的用途更具不可控性。网络爬虫获取个人信息之后,往往会借助技术手段进行智能分析,很快就能构筑出对应个人信息的数据画像。由于涉及用户的人格权益,行为信息的后续处置与流转同样不能绕开用户,应在征得用户同意后方可为之。[10]也就是说,网络爬虫抓取个人信息时,除应经过信息业者的同意,还应征得信息主体的同意,即告知同意原则的延伸。因为对于网站等信息业者来讲,其设置的反爬措施即是否允许网络爬虫抓取个人信息的屏障,这些反爬措施通常已经明示或者采取其他技术手段为网络爬虫抓取用户个人信息的类别、范围等提供了具体可遵循的指引。而对于信息主体而言,网络爬虫在爬取目标网站的个人信息时,目标网站作为中介人有义务将个人信息被抓取的情况告知信息主体,并征询信息主体的意见。如果信息主体不同意,目标网站应及时采取相应措施阻止网络爬虫继续抓取用户的个人信息。在此过程中有两点需要特别注意:一是信息业者向信息主体征询意见时必须采取明示的方式,告知被抓取个人信息的类别、范围、流向等基本情况以及可能出现的法律风险。告知书的表述应当通俗易懂、简洁明了,切忌篇幅冗长、言语晦涩;页面设计、操作流程也应充分尊重信息主体的意思表示,严禁采取只能点击“我同意”“我接受”或者无法返回上一步等绑架信息主体意愿的行为,而使告知流于形式。二是网络爬虫抓取个人信息不得超越信息主体对于信息业者的权限许可范围。基于知识产权或者个人信息安全的考虑,信息主体会将部分数据信息对信息业者只进行部分授权,这部分数据信息即是限制访问、获取的数据,信息业者通常也会设置加密技术措施进行保护。限制访问、获取的数据仅限于特定群体、特定目的、特定范围内访问,获取的数据,也仅在尊重数据网站产权的前提下允许其附条件地选择数据使用人,决定数据的使用目的、方式、对价等。[11]如果网络爬虫超越授权爬取数据,则有可能入罪。
  四、利用网络爬虫获取个人信息刑法规制的完善路径
  (一)刑法视域下个人信息去识别性后范围的有限扩张
  2016年网络安全法首次以法律的形式正式给个人信息进行了定义,第七十六条规定:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”不难看出,网络安全法仅以可识别性作为个人信息的判断标准,将不具有可识别性的个人隐私排除在个人信息的范围之外。刑事领域,2017年施行的最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《侵犯公民个人信息解释》)第1条规定,“刑法第二百五十三条之一规定的‘公民个人信息’,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等”。
  《侵犯公民个人信息解释》在网络安全法的基础上,将个人信息分为静态的身份信息,比如姓名、身份证件号码等;和动态的活动信息,比如财产状况、行踪轨迹等,同时要求信息必须具有可识别性,并未提及个人隐私是否属于个人信息的范围。民事领域,民法典第一千零三十四条第二款基本沿用了网络安全法对于个人信息的定义,但是该条第三款又规定:“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”由此,民法典中的个人信息,虽然也是以可识别性作为定义的关键特征,但是明确指出个人信息与隐私信息是有交叉的,而非泾渭分明。目前,法律层级最高也是最新的关于个人信息的定义出现在个人信息保护法中,其第四条规定,“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”。可见,个人信息保护法仍是以网络安全法的条文为蓝本,仅以可识别性作为个人信息的判断标准,并明确匿名化处理后的信息不属于个人信息。
  通过以上分析可以看出,目前我国法律规范大多以可识别性为中心圈定个人信息的范围。然而在刑法视域下,如果坚持以可识别性为标准界定个人信息的范围,会不当缩小刑法保护的范围,因此,界定个人信息的范围时,应当淡化识别性的重要程度,并结合互联网的特性,在坚持刑法谦抑性的前提下,对个人信息的范围进行有限扩张。这主要基于3方面的考量:一是个人信息的识别性具有相对性;二是人工智能背景下,个人信息日趋失效的去识别化;三是保护个人隐私的需要。
  展开来讲,第一,个人信息的识别性具有的相对性至少表现在两个层面。一是时代相对性。现在不具有可识别性的信息,随着科学技术的不断发展,就可能以此识别并区分不同的自然人。例如古代不具有价值的虹膜、声纹、DNA信息在当今社会能够直接识别特定的自然人。[12]同理,本来具有识别性的个人信息也可能随着社会的发展识别性逐渐消失,比如在古代能代表特定人(身份)的服装、配饰等。二是功能相对性。个人信息可分为身份信息和特征信息,身份信息是指通过单个信息就能确定特定自然人,比如姓名、身份证件号码;特征信息一般指不具有识别性的个人特征,比如兴趣爱好、性格、行为习惯,但是如果对数个特征信息进行综合分析,就可能使得这些原本不具有识别性的单个特征信息在整体上具备了确定特定自然人的功能。
  第二,人工智能背景下,个人信息日趋失效的去识别化。大数据时代,个人信息蕴藏着巨大的财富,人人都想从中获得利益。为了兼顾数字经济发展与个人信息权益保护,在信息业者使用个人信息时,应当对个人信息进行去标识、脱敏、匿名等去识别化的处理,以降低对个人信息侵害的风险。但是,网络爬虫海量地收集、获取并处理个人信息,以往看似无法识别的信息,都可能经技术手段轻易识别出信息主体,[13]从而使得信息业者去识别化的措施形同虚设。而且信息技术越发达,个人信息去识别化的功能就越低,因为足够先进的信息分析、数据处理能力完全可以在较短时间甚至瞬间根据一组不具有识别性的信息元素完成数据画像,从而锁定一个特定的自然人。
  第三,保护个人隐私的需要。与个人信息相比,个人隐私通常不具有可识别性,而我国刑法中也并无规定专门的侵犯个人隐私罪,对于个人隐私的刑法保护分散于非法侵入住宅罪、侮辱罪、侵犯通信自由罪等罪名当中。但是这些罪名并不足以覆盖个人隐私的范围,如果仅以已有的罪名对侵犯个人信息的犯罪行为进行规制,则不可避免地使部分隐私信息游离于刑法保护范围之外。与此同时,如果放弃个人信息的识别性要求,在侵犯个人隐私罪缺位的情况下,侵犯公民个人信息罪就能将个人隐私包含在其规制范围中,对个人隐私起到足够的保护作用。
  综上,在刑法视域下不应将识别性作为考量某个信息元素是否属于个人信息的标准。相反,在对网络爬虫获取个人信息进行刑法规制时应当充分考虑互联网新技术的特殊性,在遵循罪刑法定原则以及刑法谦抑性的基础上有限扩大个人信息的范围。就目前情况来看,尤其需要将IP地址、MAC地址、Cookies信息等网络使用信息或者痕迹纳入到个人信息的范围中来。这些个人使用互联网的日志信息,虽然在形式上与传统个人信息有较大区别,但是网络爬虫抓取以上信息后,在数据分析的基础上完全能够建立单独的用户模型确定特定个人身份,进而实施违法犯罪活动。
  (二)构建完善的罪名体系
  利用网络爬虫获取个人信息可能侵犯的法益主要有两类,一是信息系统安全,二是个人信息权益。信息系统安全方面,主要集中在非法侵入计算机信息系统罪、非法获取计算机信息系统数据罪、非法控制计算机信息系统罪、破坏计算机信息系统罪等罪名。而随着信息科学技术的飞速发展,计算机信息系统的定义难以囊括网络云端服务器,或者未来可能出现的更为先进的数据信息载体。相应地,非法获取计算机信息系统数据罪中规定的该计算机信息系统中存储、处理或者传输的数据,同样可以存在于云端等其他载体中。为更好地适应时代发展,笔者建议将刑法罪名中的“计算机信息系统”修改为“网络信息系统”。另外,以上罪名的犯罪构成均要求违反国家规定,且不论“违反国家规定”在学界和实践中争议不断,难以界定,构成此类罪名最关键的行为是对信息系统的侵犯或者对于数据信息的非法获取,应当在技术判断的基础上进行价值分析,是否违反国家规定并非构成犯罪的标准。因此,为有效打击数据犯罪,确保信息系统安全,建议将“计算机信息系统”修改为“网络信息系统”,并且删除“违反国家规定”的限定条件,重新构建信息系统以及数据信息的“犯罪圈”。
  个人信息权益方面,对于个人信息的保护由侵犯公民个人信息罪来调整;对于个人隐私的刑法保护则分散于非法侵入住宅罪、侮辱罪、侵犯通信自由罪等罪名当中。个人信息是否能完全覆盖个人隐私的范围,专家、学者长期以来难以形成统一认识。民法典颁布之后,将个人信息和隐私权分别进行规定,虽然不能终结学界对于两者关系的探讨,但足以说明立法者在此问题上的立场。民法典第一千零三十四条第三款规定,“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定”,即个人信息与个人隐私是两个不同的概念,同时指出两者范围是有可能交叉的。另外,侵犯公民个人信息罪当中的个人信息虽然可以通过解释将个人隐私包含进来,但就语义来讲,个人信息与个人隐私的范围仍有间隙,将侵犯个人隐私情节严重的行为单独成罪更具合理性。因此,建议在侵犯公民个人信息罪之后增加一条,并且为严格遵循适用刑法人人平等的原则,彰显刑法对外国人与我国公民的平等保护,删除第二百五十三条之二“侵犯公民个人隐私罪”中的“公民”两字。
  (三)构建科学合理的个人信息法律保护体系
  通常而言,在法律保护体系中,对于某种法律关系的调整或者某个行为的评价应当遵循从民法到行政法再到刑法的递进式逻辑。如果该法律关系或者行为违法,但其违法性程度尚可被前置法截获,则该行为会被标记为违法,并接受前置法的制裁;[14]如果其违法性程度已经超越了前置法的评价范围,则依次进入下一个法律评价体系。具体到利用网络爬虫获取个人信息的法律规制方面,应该首先经民事法律评价其合法与否;如果爬取行为违法,就考察承担民事侵权责任是否足以拦截,如果不能,则进入下一个环节,看该行为是否构成行政违法;如若行政违法仍不能合理地对其进行制约,那么该行为的违法程度则落入了刑事犯罪的规制范围中。
  就我国目前的法律法规而言,民法、行政法、刑法均对个人信息保护作了规定,但是各部门法在对个人信息保护的衔接上存在着明显的断层,并且呈现出“刑先民后、刑法先行”的特点。民事法律方面,虽然早有对个人信息权益保护宣示性质的条款,但直到民法典颁布才对个人信息范围进行了明确界定。行政法方面,对于网络爬虫违规获取个人信息应如何处罚,尚无统一标准,司法实践中几乎也为空白,对于网络个人信息集中规定的网络安全法也是迟至2017年6月才开始施行。由于立法上民事、行政法律法规的不当缺位,在互联网时代侵犯个人信息行为呈扩大化趋势的情形下,“刑法先行”的做法很大程度上解决了科技飞速发展带来的社会问题,对侵犯个人信息的犯罪行为进行有效打击,主动封住底线,值得肯定。但这并非长久之计,一方面,在利用网络爬虫获取个人信息的刑法规制上,刑法应当发挥次要作用或者处于兜底的位置,其法律条文规范也应当仅占所调整法律关系中较低的比例,但这显然与我国目前的立法现状不符。当下,相关的民事、行政法律法规整体供给不足。另一方面,也与刑法的谦抑性相悖。刑法的谦抑性要求较之于前置法中的调整性规则和调整性法益,刑法规则和刑法法益是法体系中的从属法、次生法益;较之于前置法中的第一性保护性规则和第一性保护性法益,刑法规则和刑法法益是法体系中的补充法、第二性保护性法益。15倘若民事、行政法律法规缺位或者虚置,长此以往,势必会造成刑法负荷过载。
  目前,数据安全法和个人信息保护法均已出台生效,在此背景下,从构建科学合理的个人信息法律保护体系角度讲,个人信息保护的民事和行政法律法规也应尽快完善,有效减少并逐渐消除“刑先民后、刑法先行”现象,构建民事侵权、行政违法、刑事犯罪逐级递进并且科学合理的全方位保护体系,推进利用网络爬虫获取个人信息的系统治理。
  【注释】
  作者单位:重庆市渝北区人民法院
  [1]“中国华为发布全球产业展望报告来看看2025年全球产业十大趋势”,载http://www.peopleweekly.cn/html/2019/pin-pai_0812/18009.html,2021年12月30日访问。
  [2]杨志琼:“数据时代网络爬虫的刑法规制”,载《比较法研究》2020年第4期。
  [3]刘鹏:“利用网络爬虫技术获取他人数据行为的法律性质分析”,载《信息安全研究》2019年第6期。
  [4]刘艳红:“网络爬虫行为的刑事规制研究——以侵犯公民个人信息犯罪为视角”,载《政治与法律》2019年第11期。
  [5]蒋巍:“恶意数据爬取行为的刑法规制研究”,载《学术论坛》2020年第3期。
  [6]贺思聪编著:《爬虫实战:从数据到产品》,电子工业出版社2019年版,第5~10页。
  [7]何培育、刘梦雪:“技术中立原则在信息网络传播权保护领域的适用”,载《重庆邮电大学学报(社会科学版)》2017年第3期。
  [8]刘艳红:“刑法理论因应时代发展需处理好五种关系”,载《东方法学》2020年第2期。
  [9]齐爱民:《信息法原论》,武汉大学出版社2010年版,第76页。
  [10]郑佳宁:“知情同意原则在信息采集中的适用与规则构建”,载《东方法学》2020年第2期。
  [11]高富平:“数据经济的制度基础——数据全面开放利用模式的构想”,载《广东社会科学》2019年第5期。
  [12]晋涛:“刑法中个人信息‘识别性’的取舍”,载《中国刑事法杂志》2019年第5期。
  [13]张勇:“个人信息去识别化的刑法应对”,载《国家检察官学院学报》2018年第4期。
  [14]杨兴培、田然:“刑法介入刑民交叉案件的条件”,载《人民检察》2015年第15期。
  [15]田宏杰:“立法扩张与司法限缩:刑法谦抑性的展开”,载《中国法学》2020年第1期。