论网络爬虫行为的刑法应对

陈小彪,储 虎

(西南政法大学 法学院，重庆 401120))

一、问题的提出

网络爬虫(Web Crawler)，又称网络蜘蛛(Web Spider)或Web信息采集器，是一个自动下载网页的计算机程序或自动化脚本，是搜索引擎的重要组成部分[1]。在网络爬虫技术如火如荼地发展的同时，其所带来刑事风险也逐渐受到各方关注。首先，立法机关以何种价值目标为导向来立法规制爬虫技术，平衡技术发展与数据安全的不同要求，兼顾个人、企业等各方的合法权益。其次，司法机关以何种基本立场，精准处理涉及爬虫技术的案件，做到于法有据的同时，兼顾常情常识常理，统一司法效果与社会效果。最后，企业使用网络爬虫技术如何规避刑事风险，在保证正常的商业运作的同时，不轻易触及刑法的底线。

当下规制网络爬虫行为的法律依据不健全，且偏重以网络安全为目标建构法律体系。2019年5月28日，国家互联网信息办公室会同相关部门研究起草了《数据安全管理办法(征求意见稿)》(以下简称为《办法意见稿》)，其中第16条规定：网络运营者采取自动化手段访问收集网站数据，不得妨碍网站正常运行；此类行为严重影响网站运行，如自动化访问收集流量超过网站日均流量三分之一，网站要求停止自动化访问收集时，应当停止。本条规定目的直指减少网络爬虫等技术手段对于网络运行安全的负面影响，由此可见，网络爬虫抓取数据行为会给网络运行增加负担，这种负担本身就是犯罪风险所在，仅从本条来看，规制网络爬虫行为仍然以网络运行安全为重，即依托于网络安全之考量。另外，《中华人民共和国网络安全法》(以下简称《网络安全法》)和《儿童个人信息网络保护规定》对于网络信息安全的维护起到了非常重要的作用，其当然也可以规范网络爬虫行为。不难看出，这些法律规范仍然以网络信息安全与网络运行安全为核心展开，都是基于网络安全来规制爬虫行为。在刑事方面，针对爬虫行为目前没有规范性文件出台，《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》等司法解释是主要的法律依据。

总结来看，刑事法律规制网络爬虫案件存在两个层面的问题。第一层面体现为外层基础支撑不足，即刑事规制网络爬虫技术缺少其他部门法的基础支撑。当前规制网络爬虫技术的法律规范处于起步阶段，任重道远，刑法作为二次法规制网络爬虫技术依赖于其他部门法的完善，不仅体现为法律的完善，同样需要法理的支撑，以便刑法解释学有用武之地。第二层面体现为内层理论的接洽，如何精准划定网络爬虫行为的犯罪圈，如何界定罪与非罪、此罪彼罪，都是值得深究的问题。为了更好地理解与处理网络爬虫的案件，在保证支持技术创新的同时，防止技术滥用的风险，力图让网络爬虫技术在合法的轨道上高速发展，本文将从刑法的角度出发，步步揭开网络爬虫神秘的面纱。

二、网络爬虫犯罪的司法现状

(一)网络爬虫案件概况

2020年2月12日，通过北大法宝司法案例库全文搜索“爬虫”关键词，一共检索到案例与裁判文书319份，其中刑事案由49份，经过删选有21份文书与网络爬虫技术有关。相同操作检索“抓取数据”“数据抓取”“信息抓取”“抓取信息”“抓取网页”和“网页抓取”关键词，所获数据如下表所展示，其中刑事案由一栏中括号内数字表示与网络爬虫技术有关的文书数目。

表1 1990～2005年天津重新犯罪人原判刑期情况

从初步的数据可以看出，涉及网络爬虫技术的案件数目相对于我国庞大的案件数目并不算多，且很明显地集中于知识产权案件之中，刑事案件并不是很多。由于检索的方式并不能做到全面覆盖已有的所有案例，我们可以保守估计目前已经判处的刑事案件还不足百件。从目前我国的形势来看，关于网络爬虫的刑事案件数量应该处于增加的趋势之中。分析目前检索的31份有关网络爬虫技术的刑事案件文书，最早的案例在2013年出现，具体数据如下图展示。

网络爬虫技术的大规模运用，必然引起多个部门法的关注，虽然在刑事领域，目前案件数量不是特别多，但是仍然需要对涉及网络爬虫技术的案例进行一定的梳理分析，尽可能统筹学理与实践两个层面，以更好应对可能出现的司法实践问题(1)此处所涉及的年份为案号中所体现的年份。。

(二)典型个案及司法困窘

1.侵犯著作权案及难点

利用网络爬虫技术构成侵犯著作权罪的案例，属于网络爬虫刑事案件的典型之一。在检索结果中，最早的网络爬虫案件就涉及著作权。在郑某等侵犯著作权案中，被告利用“爬虫”软件自动搜索的网络小说，吸引用户，从中赚取广告费(2)参见北京市海淀区人民法院(2013)海刑初字第2725号刑事判决书。。类似的还有北京易某有限信息技术有限公司等侵犯著作权案，“公司自己开发的爬虫软件从互联网发现小说链接，把小说内容以‘缓存’方式下载到服务器，并形成目录索引，用程序将电脑版小说内容转码为手机版后供客户阅读”(3)上海市浦东新区人民法院 (2015)浦刑(知)初字第12号刑事判决书。。

在利用网络爬虫技术侵犯著作权的案件中，最核心的问题在于确定被追诉人的行为是否侵犯了原权利人的复制发行权，利用网络爬虫抓取数据并缓存数据后，向用户开放以谋取利益的行为是否属于侵犯著作权罪中的发行行为。对于刑法第二百一十七条中规定的“发行”的理解，应当符合一般人的理解，不需要严格依据我国著作权法的规定(4)我国《著作权法》第十条第六项规定的发行权是指“著作权人享有以出售或者赠与方式向公众提供作品的原件或者复制件的权利”，同时第十二项规定的信息网络传播权是指“著作权人享有的以有线或者无线方式向公众提供作品，使公众可以在其个人选定的时间和地点获得作品的权利。”。著作权法中发行权所控制的发行行为方式与刑法所规定的“发行”内涵与边界都有所不同，发行权和信息网络传播权是不同的权利内容。但是在刑法中，“发行”的行为显然可以包括在网络上传播的行为。利用网络爬虫技术，以营利为目的，通过信息网络向公众传播他人作品，侵犯他人著作权，应当认定为侵犯著作权罪中的“发行”行为。

2.侵犯公民个人信息案及难点

利用网络爬虫技术，侵犯公民个人信息罪的案件属于多发案件。在马某侵犯公民个人信息一审刑事判决书中，“被告人马某为牟利，使用自己编写的爬虫程序窃取APP及网站的用户信息，后使用微信聊天的方式出售给苏某某包括姓名、联系方式等内容的公民个人信息约20万条，非法获利共计人民币2.4万元。”(5)上海市金山区人民法院 (2018)沪0116刑初924号刑事判决书。本案被告直接使用网络爬虫，专门窃取特定数据，即直接获得公民个人信息，不需要进行数据处理分析而获得。当然也有一些比较复杂的案件，如在彭某等侵犯公民个人信息罪一案中，“公司的爬虫组负责爬取互联网上公开的数据……数据组负责对爬取的数据进行分析挖掘……爬虫组会爬取电商的评论、商品价格、商品详细情况、销量，爬取微博的内容、关注关系、注册基本信息，爬取招聘网站的公司招聘信息、注册信息，也爬过淘宝网上的数据，包括一些淘宝网页上的买家用户名，购物后的评价，淘宝买家购买的商品价格。”(6)四川省成都高新技术产业开发区人民法院 (2018)川0191刑初94号刑事判决书。企业利用爬虫技术抓取数据、分析数据属于常见的商业行为。在本案中，被告也提出抗辩，认为由于数据来源是公开的，因此抓取行为不具有非法性。对此法官提出“无论是从公司窃取还是自己加工获取，未征得他人同意收集信息，均系非法手段，不影响本罪的构成”(7)四川省成都高新技术产业开发区人民法院 (2018)川0191刑初94号刑事判决书。。

对于侵犯个人信息犯罪存在的难点包括数据来源的公开性是否可以成为抓取行为非法性的抗辩事由和公民个人信息数量如何确定等问题。根据司法解释，未经被收集者同意，将合法收集的公民个人信息向他人提供的，属于侵犯公民个人信息罪中的“提供公民个人信息”，但是经过处理无法识别特定个人且不能复原的除外(8)参见《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第三条第二款规定。。由此可见，利用网络爬虫收集收据的合法性不足以阻却提供信息的非法性。利用网络爬虫技术获取公民个人信息时，不一定是非法的，但是违反国家有关规定，未经权利人同意，私自提供通过爬虫技术获取的个人信息的行为不具有合法性。而对于认定公民个人信息数量问题，从技术层面很难判断信息是否全部真实。根据司法解释，对批量公民个人信息的条数，根据查获的数量直接认定，但是有证据证明信息不真实或者重复的除外(9)参见《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第十一条第三款规定。。

3.非法侵入计算机信息系统案与非法获取计算机信息系统数据案及难点

利用网络爬虫技术，构成非法侵入计算机信息系统罪或者构成非法获取计算机信息系统数据罪具有一定的典型性。这两类案件本身具有相似性，最大的差别在于计算机信息系统不同。例如，李某等非法侵入计算机信息系统一案中被告人利用爬虫技术，大量爬取全国各地及凉山州公安局交警支队车管所公告的车牌放号信息，通过技术，建立全国未注册车牌号数据库，以此获利构成非法侵入计算机系统罪(10)参见四川省德昌县人民法院 (2018)川3424刑初169号刑事判决书。。

这类案件本身比较容易确定。但是本罪与其他犯罪的罪数关系的处理，却值得研究。例如黄某等非法获取计算机信息系统数据案中，被告利用网络爬虫技术获取某电商用户的大量交易数据(11)参见杭州市余杭区人民法院 (2014)杭余刑初字第1231号刑事判决书。。虽然难以明确获取信息的具体目的，但是从行为而言，同样也可能构成侵犯公民个人信息罪，因此非法获取计算机信息系统数据罪与侵犯公民个人信息罪在某些情况下可能存在想象竞合的关系。另外，按照我国刑法的规定，提供网络爬虫技术支持的，满足一定条件，可以构成提供侵入、非法控制计算机信息系统程序、工具罪。

4.破坏计算机信息系统案及难点

利用网络爬虫技术，构成破坏计算机信息系统罪的案例也较为常见。其实网络爬虫技术的主要功能中一般不包含删除数据。但是在王某等破坏计算机信息系统一案中，被告将“爬虫”程序植入全运会组委会接待服务管理系统，造成系统内存储的大量参赛运动员及技术官员来津抵离信息、酒店住宿信息、人员身份信息被删除，后果严重(12)参见天津市第一中级人民法院(2018)津01刑终300号刑事裁定书 。。因此，构成了破坏计算机信息系统罪。

有学者提出，破坏计算机信息系统罪保护的是网络运行安全，数据与系统运行已经出现分离[2]，数据安全依托于网络运行安全，因此当把网络爬虫行为视为一种破坏运行安全的行为时，才构成本罪规定的行为。当然不排除有为了抓取数据放纵爬虫破坏计算机信息系统的正常运行的情形。在此也可以看出爬虫技术作为一种工具，当有人肆意使用网络爬虫意图犯罪时，触犯的罪名就不胜枚举了。

5.网络爬虫案件的司法难点

对于利用网络爬虫技术的案件，其分析的重点在于两个层面：宏观层面，亟须明确网络爬虫治理之基本立场，明确法律规制的时机与目标，区分不同部门法的规制范围，确定刑事治理的底线，以防止裁判态度的摇摆，为刑事治理网络爬虫问题划定基本犯罪圈。微观层面，即网络爬虫行为的刑事合法性边界问题。第一，抓取数据行为本身的合法性。对于该问题可以继续细化分成两个子问题。首先，收集数据的“对象”是否合法，这里的对象包括个人信息、商业秘密、作品、国家秘密、军事秘密等等，收集的“数据”与这些“信息”之间的精确度是需要考量的因素。其次，收集数据的“场所”是否合法，这里涉及特定的计算机信息系统的安全问题。第二，收集数据的后续行为的合法性问题。针对不同数据所反映的信息，传播行为、贩卖行为甚至交换等行为都需要遵守相应的规范，否则仍然可能触犯刑法。第三，爬虫技术利用的合理及刑法边界，当网络爬虫合理利用时，不会对于访问的网站或者系统造成损害，但是不排除有人可以利用爬虫技术危害特定网站或者系统的运行，此时同样可能构成相应犯罪。为了更好处理网络爬虫的刑事案件，可以从两个方面进行尝试探索，其一，需要确定防治新型数据犯罪处理的基本立场，以指明立法的方向；其二，将网络爬虫行为进行归类分析，以方便司法认定处理。

三、网络爬虫行为刑事规制的基本立场

爬虫行为的刑事法律规制是数据安全综合治理的重要一环，在保障数据安全的同时，兼顾数据自由流动是应有之意。数据安全与网络运行安全与网络信息安全都具有紧密关系，不可简单地认为数据安全仅仅属于网络安全的范畴。因此确定网络爬虫刑事规制的基本立场时，要特别重视当下的双层社会模式。首先，明确法律治理的局限性，因此需要构建网络社会公序良俗以补充。其次，在法律治理中，要注重刑法与其他部门法律协调，稳固刑法二次调整法的地位。最后，为应对新型网络犯罪，在坚守罪刑法定原则的同时也应积极应对，在合理划定犯罪圈的基础上，思考严密刑事法网。总而言之，要注重构建秩序与数据自由之平衡、鼓励创新与协同共治之兼顾、数据安全法益之倡导与法益保护体系之协调、刑事治理之最后手段性与比例原则之观照。

(一)构建网络公序良俗

1.必要性——基于双层社会的现实

2.互补性——公序良俗与法律的互动

公序良俗与法律相辅相成，共同推进网络空间建设是构建网络安全的应有之意。在社会发展过程中，公序良俗对社会关系的调整和规范功能往往要早于成文法。根据《民法典》第八条规定，法律与公序良俗同样具有规范民事主体的作用，这一点同样适用于网络空间。网络公序良俗可以应对因网络法滞后而难以预见的损害国家利益、社会公益和道德秩序的行为，弥补禁止性规定的不足[5]。因此，刑事规制的基础是正视网络空间与现实空间的同等重要性，明确公序良俗与法律相辅相成的亲密关系。刑事法律应该积极配合，为构建网络公序良俗添砖加瓦。网络公序良俗可以起到良好的行为规范的作用。

(二)协同共治理念的重申

1.比例性——兼顾数据流动自由与法律建构

数据流动自由是实现数据价值最大化的前提，数据流动自由关乎信息的有效流通，进一步影响各行业的运行与发展。建构相关的法律就像给大量的数据流动铺设安全的轨道，让数据流动有法可依，自由流转。因此，架构的轨道既要引领正确方向，还要保证数据流动的高效运转，要避免导致各种运行不灵的窘态发生，谨防阻碍数据流动的效率或者造成其他负面影响。因此，构建网络法律规范保护数据流动安全要把握好尺度。

规范爬虫行为，建构法律体系意味着政府权力介入数据流动环节。公权力的介入不可避免地涉及比例原则的讨论。强调兼顾数据流动自由与法律构建本身也是处于比例原则的考虑。因此要注重立法的妥当性，将经济发展与技术发展放在重要地位考虑。同时考虑将损害降到最小，使得新增的利益与损害利益达到均衡。

2.协同性——刑事法律规制依赖于完备的法律体系

有效实现网络爬虫行为刑事规制在于与其他法律法规的分工配合。其实不管是网络安全犯罪、还是数据安全犯罪，规制的难点都在于网络发展的快速性与法律的滞后性之间的矛盾，这是不可避免的。规范网络爬虫行为，从抓取数据行为的对象分析，一般体现为保护特定内容的信息，如公民个人信息，商业秘密。虽然针对不同的对象、不同的计算机信息系统，我们可以对网络爬虫行为进行定罪处罚。但是这一切都基于其他法律法规的完善的基础之中。例如，在侵犯公民个人信息的案件中，可能存在大量的疑难问题，第一，从数据到判断个人信息，认定的标准如何？第二，抓取行为的合法性基于什么规范判断？第三，关于被收集者同意，是否存在期限问题？使用次数问题？等等。有民法学者提出，在大数据时代,个人信息数据面临不断增加的知情权、安宁权、处分权和信息泄露的风险,单纯的"隐私权"本身尚不足以有效应对各类新状况,必须加快构建“综合治理模式”[6]。

3.刑法的最后手段性——刑事法律加入综合治理应最后登场

对网络爬虫行为的犯罪圈划定，应当高度谨慎。网络爬虫技术作为新兴网络技术的代表，其本身随网络空间孕育而生。如何确定网络爬虫行为的刑事界限，不仅适用于网络爬虫技术，同样代表着刑法对于其他网络技术的态度，因此，刑法规制网络爬虫行为的重要性应进一步拓展到网络空间刑事治理的高度。

“城市复兴”视角下的古城更新规划探索——以许昌曹魏古城城市设计为例 滕 熙 张 萍2018/04 40

刑事法律不落人后，亦不可越俎代庖。刑事治理一向具有最后手段性的特点，其原因在于刑法具有公认的严厉性，一旦登场，就代表着后果严重。因此，刑法加入网络爬虫行为的治理不宜过早，应当稳压幕后，做好最后登场的心理准备。

(三)数据安全法益之提倡

从司法实践的角度，已经有学者从网络爬虫行为意识到应该区分信息和数据的不同保护价值[7],数据与信息的分离是进一步研究的必然之路。

1.独特性——数据安全法益区别于传统法益

《网络安全法》在法律条文中多讲用户信息、个人信息等，但是对于网络而言，不管什么信息，本质仍然是数据。《规定意见稿》专门提出数据安全，可见，数据安全是网络空间治理的重要组成部分，接下来，数据安全的重要性将不可阻挡地走向高位，数据安全将有望成就网络空间法律规制保护的重要地位。因此，数据安全法益的提出也是必然趋势。

“法益”概念在刑法领域的地位，不可谓不高。正所谓经得起多大的赞扬，也受得起多大的批评。“法益”一词本身也是舶来品，但是经历了我国刑法学界的雕琢，可以说在当前仍然具有旺盛的学术生命力。基于此，提倡数据安全法益的畅想也是一次大胆的尝试，之所以如此高调表明立场，在于数据安全具有重要的地位，且在未来其地位会与日俱增。当前立法和司法实践中对数据安全的保护主要依赖于既有法益,实践中也显现出局限性和滞后性[8]。

2.复合性——数据安全兼具多种传统法益

网络数据安全法益，基于“双层社会”的现实提出。传统犯罪发生的场域,也由“现实物理空间”一个平台,发展为“现实物理空间”与“网络虚拟空间”两个平台[9]。数据作为网络空间最基础的要素，本身也是构建网络社会的砖瓦。在很多人眼中，数据本身也是财富的一种。数据作为财产性法益，也受到刑事立法与司法的关注，这也是刑法介入数据安全综合治理的现实基础与法益基础[10]。

3.不确定性——明确数据安全法益任重道远

明确网络数据法益的具体内容并不是简单的事情。首先，需要克服部门法之间的不协调。以民法为例，基于过去的《民法总则》第一百二十七条规定，数据与网络虚拟财产在此处应当属于同一层次的概念(13)《民法总则》第一百二十七条规定，法律对数据、网络虚拟财产的保护有规定的，依照其规定。。网络虚拟财产在刑法领域可以构成侵犯财产性犯罪的对象并不是惊世骇俗的观点，但是这里所说的数据是否可以成为侵犯财产性犯罪的对象可能不能一概而论，本质在于数据是否可以成为物权法中所说的物，或者可以获得某种特殊的地位。有民法学者提出，计算机数据是不是财产以及其与民法客体的关系问题在民法理论上缺乏基础性研究，既有的网络民事纠纷裁判及理论研究倾向于单独将数据进行客体化和财产化的处理[11]。不管是所有权还是占有权，都可以成为侵犯财产性犯罪中的对象，那么数据是否具有这种能力，也需要民事领域的答案。其次，在于刑法分则内部体系的变通。数据安全法益如何安排到刑法典中，同样是一件工程量巨大的重任。数据可以体现为国家秘密、军事机密、商业秘密、个人信息等等，数据安全关乎国家安全、军事安全、社会安全、经济秩序安全、人身权利安全，甚至财产安全，所以如何把握数据安全在刑法中的位置任重而道远，并不是一朝一夕可以解决的问题。

有学者提出，可以通过计算机犯罪、数据犯罪、信息犯罪三线并举的思维规制数据安全犯罪[12]。这种方案在保持原来刑法典结构的模式下，设想针对数据安全犯罪增加罪名。这样的设计是值得肯定的，不伤筋动骨，不大刀破斧，容易让大家接受，也符合我国近些年来网络犯罪刑事立法犯罪圈扩大的趋势。但是数据与信息天生具有关联性，如果考虑罪数关系，还存在可以研究的余地。

四、网络爬虫行为类型分析及司法应对

在分析了网络爬虫相关刑事案例，梳理了爬虫技术的基本原理和法律规定，进一步提出了应对网络数据安全的刑事规制立场的基础上，对于网络爬虫刑事案件的类型化处理与认定需要进一步探讨。网络爬虫技术围绕数据展开，可以进一步将其分为数据抓取行为、数据存储行为、信息提取行为、信息使用行为、信息删除行为。从与网络爬虫技术的相关性来看，可以将前三种行为归为一类，因为其与网络爬虫技术直接相关；而后两种行为本质都是一种后续行为，与爬虫技术关联性不大。

(一)技术风险行为及应对

1.数据抓取行为的“非法”认定

非法抓取数据行为包含三重非法性，即抓取对象的非法性、抓取时空的非法性及破坏网络运行安全的非法性。首次，数据对象一般直接符合刑法分则罪名所指对象。例如，在前文提及的马某侵犯公民个人信息案中，数据对象即为APP及网站的用户信息。刘艳红教授认为，违反合法性原则的网络爬虫行为，可以认定为“以其他方法非法获取公民个人信息”之“非法”[13]。其次，抓取时空的非法性问题，主要涉及特定计算机信息系统的数据安全问题。在前文李某等非法侵入计算机信息系统一案中，“交通安全服务管理平台”车辆违章查询系统即为特定的计算机系统(14)参见四川省德昌县人民法院(2018)川3424刑初169号刑事判决书 。。最后，破坏网络运行安全的非法性体现为使用爬虫技术严重影响网络运行。在前文提及的王某等破坏计算机信息系统一案中，被告破坏了全运会组委会的接待服务管理系统，严重影响了系统的正常运行[14]。

2.数据储存行为的“非法”认定

非法数据储存行为，抓取+储存的非法性在于数据复制行为的非法性。以侵犯著作权罪为例，对于我国刑法第二百一十七条中的“复制发行”如何理解，存在多种观点。第一，所谓“复制发行”包括复制或者发行乃至复制且发行。第二，“复制发行”仅仅指复制且发行。第三，“复制发行”侧重于“复制”，而不在乎“发行”，即仅仅复制行为就可以定罪，发行行为并不是此罪的规制行为[15]。之所以产生这样的争议，主要原因可能在于如何协调刑法第二百一十七条规定的侵犯著作权罪与刑法第二百一十八条规定的销售侵权复制品罪。不过根据司法解释，赞同的是第一种观点(15)参见《最高人民法院、最高人民检察院关于办理侵犯知识产权刑事案件具体应用法律若干问题的解释(二)》第二条规定，刑法第二百一十七条侵犯著作权罪中的“复制发行”，包括复制、发行或者既复制又发行的行为。，因此利用网络爬虫行为大量储存数据，该行为符合侵犯著作权罪中的“复制”行为，因此也可能触及犯罪。在前文北京易某有限信息技术有限公司等侵犯著作权一案中，爬虫把小说内容以“缓存”方式下载到服务器供客户阅读，这里所说“缓存”即可以解释为“复制”(16)参见北京市海淀区人民法院(2013)海刑初字第2725号刑事判决书。。

3.信息提取行为的“非法”认定

信息提取行为是将网络爬虫收集的数据进行分析处理获得目标信息的过程。因此抓取的数据与目标信息一致时，可能不存在该行为。该行为涉及的数据包括禁止收集的数据和不禁止收集的公开数据。此处重点讨论将公开的数据提取出特定的信息后，是否仍然具有合法性，即数据抓取行为具有合法性，信息提取行为的合法性依据如何判断。以个人信息为例，通过网络爬虫技术，可以抓取各种数据，通过一定的数据处理分析可以得出用户的个人信息，此时就类似于“生产”“持有”了个人信息。那么，这里的“持有”是否合法？在刑事法领域，侵犯公民个人信息罪必然保护个人信息的安全性与自由流转性(17)对于侵犯公民个人信息罪的法益在学术界存在争议。如曲新久教授的超个人法益论，参见曲新久：《论侵犯公民个人信息犯罪的超个人法益属性》，载《人民检察》2015年第11期；皮勇教授支持“‘公权(益)关联主体’对个人信息的保有”，实质是个人信息的安全与自由，参见皮勇,王肃之：《大数据环境下侵犯个人信息犯罪的法益和危害行为问题》，载《海南大学学报(人文社会科学版)》2017年第5期；冀洋博士的个人信息权论，参见冀洋：《法益自决权与侵犯公民个人信息罪的司法边界》，载《中国法学》2019年第4期，还包括其他诸如隐私权论、人格权论等等，在此不再赘述。笔者认为个人信息依托于人身，具有自由流转的能力，具有以人身权利为基础，兼具财产权利的性质。，因此在没有授权的情况下，我们对提取出个人信息的行为的合法性明显存在合理怀疑。从司法解释来看，判断侵犯公民个人信息罪的重要依据是情节严重程度(18)参见《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条、第六条。。

4.爬虫协议对于“非法”判断的影响

“爬虫协议”，亦称为robots协议(robots exclusion protocol)，是指ICP利用robots.txt文件指导其网站如何应对robots程序的协议[16]。刘艳红教授指出违反爬虫协议是判断“违法”的形式标准之一,爬虫协议本质上属于行业自治的行业准则(惯例)，具有公认性和一般性，属于公认的商业道德[17]，在法律效力上并没有判断刑事违法性的功能。从犯罪构成的角度来看，违反爬虫协议并不一定就是犯罪行为，同样遵守爬虫协议也不一定阻却刑法违法，实质判断要求不脱离具体犯罪构成的分析，入罪与出罪都应该坚持罪刑法定主义，以合理地划定网络爬虫的犯罪圈。

(二)后续行为风险及应对

1.信息使用行为的“非法”性

信息使用行为是指提取信息以后的各种行为，包括但不限于销售、交换、赠与、公布、披露、发行、供他人使用等。由于此处的信息已经具体化，可以直接与刑法分则具体罪名对比。值得注意的是，后续使用行为的违法性不一定能直接反推出前行为的违法性，还要注重主观心态的判断。如果使用网络爬虫技术的目的不在于犯罪，不宜认定前行为具有刑事违法性，不宜将其确认为犯罪行为的组成行为。非法使用信息行为可以从两个角度来看。其一，犯罪的实行行为，使用本身已经构成犯罪。其二，犯罪的预备行为，即为下游犯罪提供信息。

从犯罪实行行为的角度分析，使用网络爬虫获取的信息，多为侵犯公民个人信息罪、侵犯著作罪等前文列举的常发情况。需要指出的是，如何理解侵犯著作权罪与销售侵权复制品罪中“发行”(19)《最高人民法院、最高人民检察院关于办理侵犯知识产权刑事案件具体应用法律若干问题的解释(二)》第二条，侵权产品的持有人通过广告、征订等方式推销侵权产品的，属于刑法第二百一十七条规定的“发行”。与“销售”的问题。销售行为与发行行为在网络爬虫的案件中很容易得到区分，关键在于区分牟利目的的实现方式。在网络爬虫的案件中，多以广告费为收入，而不是以销售侵权复制品为牟利手段，所以一般构成侵犯著作权罪。实施侵犯著作权罪又销售该侵权复制品的，以侵犯著作权罪定罪。实施侵犯著作权罪。又销售他人的侵权复制品的，应当实行数罪并罚[18]。

从犯罪预备行为的角度来看，非法使用各类信息的行为可以构成下游犯罪的预备行为。在此要区分直接提供网络爬虫技术支持的行为。直接提供技术支持，可能本身就是犯罪的实行行为，不具有预备性。如今频发的各种诈骗犯罪，原因就在于个人信息的大规模泄露。更有甚者，可能会触及国家秘密、军事机密。由此可见，非法使用信息对于社会秩序具有极大的风险。爬虫技术可以遍及所有行业，触及刑法保护的一切法益，因此数据安全的重要性不言而喻。

2.对信息删除行为的思考

信息删除行为，是将合法占有的信息予以删除的行为。这其中，重点需要探讨删除信息的义务来源。以个人信息为例，根据《国家安全法》第四十三条规定，当网络运营者违法违约收集使用个人信息时，个人有权要求其删除(20)《网络安全法》第四十三条规定，个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息，网络运营者应当采取措施予以删除。。《办法意见稿》中第八条、第二十条、第二十一条、第二十三条、第二十六条、第三十一条均提到删除个人信息的规定。以上可以看出，数据(信息)的删除最起码包括要求删除与主动删除(21)《办法意见稿》第二十条中规定，网络运营者保存个人信息不应超出收集使用规则中的保存期限，用户注销账号后应当及时删除其个人信息，经过处理无法关联到特定个人且不能复原(以下称匿名化处理)的除外。第三十一条中规定，网络运营者兼并、重组、破产的，数据承接方应承接数据安全责任和义务。没有数据承接方的，应当对数据作删除处理。法律、行政法规另有规定的，从其规定。。《儿童个人信息网络保护规定》第十条、第十六条、第二十条和第二十三条，同样规定了要求删除和主动删除的情形。删除个人信息于个人而言意味着个人信息的安全，对于网络运营者，个人信息本身具有商业价值，主动删除是出于保证信息安全性的考量。因此对应当删除的个人信息，违法继续保存的行为如何规制，也是刑法需要考虑的问题。

继续保存的行为与侵犯公民个人信息罪中的“以非法方法获取公民个人信息”的行为是否有同等性？非法获取一般包括窃取、骗取等。当符合信息删除条件后，信息保存者其实已经失去了个人信息的占有权，继续保留的行为不具有合法性基础，继续保留的行为的实质后果就是“获取”个人信息，也属于“非法获取”，当然该解释明显与一般人的理解有差距，但是个人信息最重要的就是保证其安全与自由流转，此种解释具有一定的可接受性。当然如果承认个人信息是属于个人的财产性利益，继续保存的行为可能是侵犯法益的。同时也存在另外一种视角，继续保存行为与储存行为之间是什么关系？由于本文重点在于论述抓取+储存可以视为一种复制的行为，与此处的继续保存的行为存在明显不同。继续保存不删除的行为如何规制存在一定的难度，还需要完善法律法规，才好给出准确的结论。

余论：数据安全的刑法保护

本文尝试从法律与公序良俗的结合、刑法与其他部门法的协同、行为类型的分类三个层面思考网络爬虫的刑事规制问题，最终落脚于将数据犯罪与既有刑法分则个罪匹配，这样的分析虽然可以解决一些基本问题，但不免显得力有不逮，这些数据犯罪与既有罪名必然难以全部一一对号入罪。法无明文规定不为罪，法无明文规定不处罚。目前的刑法体系仍然以个人信息、商业秘密等传统“信息”为保护对象，“数据”仍然不具有单独的刑法保护地位，这体现了对于数据安全保护认识的滞后。数据安全的地位已经不再依托于信息安全，数据安全是信息安全的核心内容，是网络安全的基础[19]，但是数据安全的意义完全不止于此。网络数据就像人体血液一般，其中蕴含着丰富的能量，对于维持人体健康具有重要意义。抽取一试管的血液，可以分析出各类指标，判断人体的健康状况，血液中存在太多秘密。如今的数据同样存在诸多风险，刑法应当打起精神，谨慎地面对这些风险。

数据不再仅限于信息，社会力量构成由暴力、财富、知识向数据转移。在数据的全生命周期治理过程中会产生诸多权利义务问题，涉及个人隐私、数据产权、国家主权等权益[20]。数据概念的提出，证明数据安全不仅有关网络信息安全，不仅限于网络安全领域，数据安全关乎国家安全、经济安全、社会稳定、公共健康和安全。国家计算机网络应急技术处理协调中心发布的《2019年上半年我国互联网网络安全态势》指出，个人信息与重要数据泄露风险严峻。数据安全是网络空间治理的首要问题[21]，其重要性与日俱增。数据安全观应该广泛地建立于各行各业之中，深入每一个公民与组织的心中。同时数据犯罪在刑法分则中应当有一席之地，以应对风险社会中的数据安全问题。数据作为重要的资源，事关个人利益、社会利益和国家利益。随着社会的发展，数据“战争”不可避免，数据安全的重要性不言而喻。因此，以规范爬虫行为为引，稳健地构建起以数据安全为核心的法律体系，意义非凡。