李谦
(南京师范大学 中国法治现代化研究院,江苏 南京 210097)
大数据时代,随着互联网技术的持续推动,数据越来越成为社会资源中璀璨的明珠。中共中央、国务院印发的《关于新时代加快完善社会主义市场经济体制的意见》指出,“加快培育发展数据要素市场,建立数据资源清单管理机制,完善数据权属界定、开放共享、交易流通等标准和措施,发挥社会数据资源价值”[1]。《最高人民法院 国家发展和改革委员会关于为新时代加快完善社会主义市场经济体制提供司法服务和保障的意见》也提出“加强数据权利和个人信息安全保护”[2]。上述两份国家层面的文件对数据要素和数据权利的明确表述,足以彰显数据在经济发展过程中的重大价值。为实现数据价值最大化,很多企业通过收集和采集数据,对其进行分析和利用。
特别是在商业环境中,很多企业通过网络爬虫技术不断抓取它们需要的数据,以增强其核心竞争力,这逐渐演变为一场场“数据争夺赛”。在这一现象的背后,有关数据爬取法律责任的讨论一直没停止。在此期间,我国出现了一系列涉及数据爬取刑事责任认定的案例,如“运满满”诉“货车帮”侵犯个人信息案、“酷米客”诉“车来了”非法获取数据案、晟名公司非法抓取视频数据案等都因数据爬取而被起诉或定罪量刑[3]。这些案例的共性在于,犯罪嫌疑人或因实施数据爬取而面临刑事追责。数据爬取的关键技术是网络爬虫(web crawler)技术,它存在诸多不同的应用场景,在各种应用场景下,网络爬虫技术所处的具体情形也不尽相同,因而导致数据爬取刑事责任认定也无法一概而论。
在我国,数据爬取刑事责任认定存在一系列法律难题,如何看待这一系列法律难题成为人们必须高度关注的时代议题。就此而言,我国法学界主要在解释论视角下为数据爬取刑事责任认定难题出谋划策,可以说,解释论视角下的研究路径具有较强的针对性。不过在当前数据爬取法律规范尚属欠缺的背景下,解释论视角还不能圆满解决数据爬取刑事责任认定的现实难题。特别在没有充分厘清网络爬虫技术原理的情形下,数据爬取刑事责任认定的现实难题依然没有得到充分解决。有鉴于此,本文首先将简析网络爬虫技术原理,其次将梳理数据爬取面临的刑事安全风险,再次拟考察美国完善数据爬取刑事责任认定的立法经验,最后从规范完善的角度,探讨数据爬取刑事责任认定难题的解决方案。
网络爬虫是指利用“机器人”“网络浏览器”“蜘蛛”等程序从网站页面、手机移动客户端等互联网络检索、分析和获取数据的行为[4]。按照实现爬虫的技术差异,网络爬虫可分为通用网络爬虫、聚焦网络爬虫、增量式网络爬虫、深层网络爬虫等类型。在现实生活中,通常是这几类爬虫的综合应用[5]。以聚焦网络爬虫为例,它是按照预设好的主题,有选择性地检索、分析和获取网页内容的一种爬虫。基本流程为:爬行器通过大量URL地址形成的页面库开始爬行,之后以设定的分析算法提取页面主题,再通过分类器将相似度高的页面提取和扩展更新库,并重复这个过程[6]。简言之,聚焦网络爬虫就是根据一定的分析算法对当前网页中的URL进行评估,过滤与爬取主题无关的URL,只保留有用的URL供后续的爬取过程使用[7]。这大致就是聚焦网络爬虫的运行原理。
在现实生活中,可能带来负面影响甚至可能造成侵害风险的技术是:采取伪装手段或绕开访问权限手段,无视协议约束和技术设置等要求恣意爬取目标内容。从技术角度看,如果访问对应网页的网站已有明确的robots协议或已利用技术设置反爬虫机制,那么行为人在实施数据爬取行为中,采取高相似度的浏览器伪装技术等手段违反robots协议或突破反爬虫机制,就属于恶意利用聚焦爬虫技术。恶意利用聚焦爬虫技术的侵害风险有所差别,需根据爬取网页信息内容、爬取对分析和使用网页信息内容的影响等因素而定。
总体来说,网络爬虫的技术原理可以视为一种技术中立的自动化复刻工具。利用这种技术中立的自动化复刻工具实施数据爬取,如果其真实表现了“爬取意思”并严格遵守了网站服务条款与访问权限设定等事实要求,那么基于网络爬虫的数据爬取行为很难被认为“非法”。如果不满足这些限定性条件,即使利用这种技术中立的自动化复刻工具,那么仍可能面临各种违法犯罪风险。
考察数据爬取犯罪的刑事司法实践大致能略窥一斑:数据爬取犯罪的司法裁判已包括非法侵入计算机信息系统罪、非法获取计算机信息系统数据罪、破坏计算机信息系统罪、侵犯著作权罪、侵犯公民个人信息罪等。适用这些罪名强化了刑法应对数据爬取犯罪的现实管控力,但同时也带来了数据爬取刑事安全风险,具体表现在:
第一,单纯违反网站robots 协议等合约授权的意思表示,可能因数据内容的重要性而成立非法获取计算机信息系统数据罪、侵犯公民个人信息罪等。网站没有设置相应技术措施,如没有采取爬虫身份识别与拦截措施,只是在网站服务条款、使用说明、权责声明等约定中明确禁止爬取的内容和范围。就此而言,行为人若违反这些事实要求,将面临非法获取计算机信息系统数据罪、侵犯公民个人信息罪等刑事安全风险。
第二,恶意将“爬虫”程序植入计算机信息系统,导致其存储的数据内容被删除或修改,可能面临破坏计算机信息系统罪的刑事安全风险。如王某将“爬虫”程序植入组委会计算机信息系统中,导致该系统存储的运动员个人身份数据、行程数据等被大量删除,后果严重。此案以破坏计算机信息系统罪定罪处罚(1)参见天津市第一中级人民法院(2018)津01刑终300号刑事裁定书。。可见,如果在数据爬取过程中使用了恶意“爬虫”程序或者脚本代码,突破存储数据技术防范措施并造成了严重后果,那么可能触发相应刑事安全风险[8]。
第三,利用网络爬虫技术对他人作品进行数据爬取,并给公众提供链接或地址,方便公众下载使用,非法获取利益的,可能面临侵犯著作权罪的刑事安全风险(2)认定成立侵犯著作权罪,除需符合客观行为的构成要件要素,还需符合以营利为目的、违法所得数额较大或者有其他严重情节等构成要件要素。。特别是在《中华人民共和国刑法修正案(十一)》施行后,行为人爬取他人网站上的作品,如果未经著作权人许可,通过信息网络向公众传播作品的,将面临侵犯著作权罪的刑事风险。退一步讲,即使没有通过信息网络向公众传播作品,只要未经著作权人或者与著作权有关的权利人许可,故意避开或者破坏为著作权设置的技术措施的,也有可能成立侵犯著作权罪。
第四,未将利用网络爬虫算法自动化重复获取或获取不真实的个人信息予以排除,将提高数据爬取者面临的刑事安全风险。网络爬虫算法自身具有瑕疵或缺陷往往在所难免,若恶意利用这种网络爬虫算法爬取个人信息,其瑕疵或缺陷将进一步被放大:若网络爬虫算法重复计算个人信息或者因网络爬虫算法精准度发生偏差而计入了不真实的个人信息,未能发现并及时改进这些瑕疵或缺陷,无疑会加重数据爬取犯罪的刑事安全风险。技术层面很难判断个人信息的全部真实性[9],网络爬取个人信息数量被“虚增”的事实几乎不可避免,这也是我国司法解释设计个人信息计算的例外规定之现实原因(3) 《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第11条第3款规定,对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。据此,信息不真实或者重复是个人信息计算的例外因素。。
数据爬取刑事责任认定的现实难题主要有三个。
在我国,数据爬取可能触及的罪名包括侵犯公民个人信息罪、非法获取计算机信息系统数据罪、侵犯著作权罪、侵犯商业秘密罪等。若要构成这些罪名,数据爬取则必须具备相应罪名的不法要件和责任要件,即数据爬取者要为其不法行为承担责任。在数据爬取刑事责任认定中,不可或缺的一个环节便是数据爬取的利益考察。数据爬取利益考察大致涉及两方面。
一方面,考察数据权利。数据爬取可能侵害的数据权利包括知情权、访问权、被遗忘权、可携带权等。这些数据权利的类型十分丰富,而我国法学界还没有对数据权利的类型展开系统分析,这在很大程度上加大了考察数据权利的难度。
另一方面,考察数据利用与隐私保护。当数据爬取是科学活动的必要步骤时,考察数据利用与隐私保护就成为数据爬取刑事责任认定的利器。至于如何考察数据利用与隐私保护,有学者曾明确指出,“我们需要建立更为明确的强制性规则,来审查科研人员对特定种类数据的抓取”[10]。此观点旨在保障科研活动有序推进的同时,审慎对待特定种类数据,从而最大限度予以隐私保护。鉴于上述两方面,可以看到,利益考察难以精准已成为数据爬取刑事责任认定的难题之一。
在我国刑事司法中,数据爬取的行为性质难辨体现在两方面。
一方面,对于非法访问的认定。如果数据爬取被认定为非法访问,那么数据爬取者必然违反了相应授权事项。笔者认为,对特定情形中授权事项存在理解上的偏差,是认定非法访问的根本障碍。从技术角度看,未经授权的访问主要包括如下两种情形:一是违背数据主体网站的授权意愿,如违反爬虫协议、服务协议、点击生效协议、浏览生效协议等;二是故意避开或强行突破数据主体网站的安全防御措施,如对数据进行解码、解密或者用其他方法避开、去除或毁损等方式[11]。主流理论观点认为,“未经授权的访问应以破解加密算法或者安全防御措施为标准,而不应以违反非强制性的使用协议为标准”[12]。避开或突破安全防御措施的难度,与刑事责任认定的可能性成正相关[13]。也就是说,如果数据爬取者几乎未用技术手段避开或突破安全防御措施(避开或突破难度小),那么其访问行为承担刑事责任的可能性就小。但现实却是,我国刑事司法并未合理区分上述情形,也未厘清非法访问的内涵,不当扩大了数据爬取的入罪范围。
另一方面,对于非法获取的认定。在我国刑事司法中,非法获取数据有三种情形:一是获取可以访问与使用的数据,这些数据通常处于网络公开领域。二是获取可以访问但限制使用的数据。访问这些数据通常需要登陆网站账号及密码,但这些数据通常会限制相关利益者开展特定活动。典型例子如商业竞争者访问某企业的特定数据后,非法获取这些数据,并用于不正当竞争活动。三是获取明令禁止获取的数据。这些数据主要涉及国家安全、商业秘密以及未经主体授权或未遵守相应规范获取的敏感个人数据(如个人生物识别数据)等。获取的数据的排他性高低与刑事责任认定的可能性亦呈正相关关系,也就是说,如果数据几乎没有排他性,那么获取这些数据承担刑事责任的可能性就很小。当前,我国刑事司法并未辨明上述非法获取的行为性质,导致没有可罚性的行为被过度认定为犯罪,扩张了数据爬取的刑事责任。
损害结果是判断数据爬取带来不利影响的重要依据。我国刑事司法主要通过刑法有关罪名“不法结果”的构成要件,来具体解释损害结果的含义。非法获取计算机信息系统数据罪、侵犯公民个人信息罪、侵犯著作权罪、侵犯商业秘密罪的“不法结果”有三种情形:一是数量型,如获取身份认证信息达到一定数量即可入罪;二是数额型,如违法所得或经济损失达到一定数量即可入罪;三是情节型,如有其他严重情节也可入罪。三种情形的共性问题是对损害结果的定位模糊,这使得以网络爬虫技术为支撑的数据爬取极易入罪。
试举一例,在晟名公司非法抓取视频数据案中,被告人借助网络爬虫程序,非法获取被害人的视频数据,致使被害人付出技术服务费用2万元。法院最终认定,被告人行为符合“情节严重”,因而被认定成立非法获取计算机信息系统数据罪(4)参见北京市海淀区人民法院(2017)京0108刑初2384号刑事判决书。。笔者认为,法院对于此案中损害结果的定位较为模糊。在该案判决书中,法院一方面没有交代被害人付出技术服务费用2万元就是经济损失2万元,也就没有援引《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第1条中“造成经济损失一万元以上”;另一方面亦没有说明被告人行为是否属于“其他严重情节”[14]。综合这两方面,法院对于被告人行为属于何种“情节严重”语焉不详,致使损害结果定位模糊。
美国完善数据爬取刑事责任认定的立法经验包括确立场景化模式与将场景化模式应用于《计算机欺诈和滥用法》和相关行政法规的立法修正。下文将对此展开考察。
美国解决数据爬取刑事责任认定难题的第一步,是确立了场景化模式。通常来说,场景化模式主要源自美国隐私保护理论与实践(5)应予说明,欧盟《数据保护通用条例》部分条文也体现场景化模式的理念。如在其第6条第4段中强调“个人数据收集时的场景,特别是数据主体与控制者之间的关系”。从整体上看,场景化模式在欧盟《数据保护通用条例》中规定得较为笼统,没有得到进一步展开。。在理论层面,美国学者Solove[15]较早提出“定义隐私,不应追求一个抽象的隐私概念,相反,应在特定场景下理解隐私”。此外,美国学者Nissenbaum[16]提出“场景脉络完整性”(contextual integrity)理论,进一步阐明了场景化模式的内涵:它旨在使信息收集和传播适合特定场景,并遵循特定场景中的分布规则。该理论包含两类(信息)规范,一是适合性规范(norms of appropriateness),二是流动或者分布规范(norms of flow or distribution)。在实践层面,一方面,在判断搜查行为是否违反美国宪法第四修正案关于搜查的规定时,美国法院注重评估搜查行为对被搜查者合理隐私期待的影响(6)关于美国宪法第四修正案对隐私保护的影响,参见KERR O S.Applying the fourth amendment to the internet:a general approach.Stanford Law Review,2010 (4):1050;SELBST A D.Contextual expectations of privacy.Cardozo Law Review,2013 (2):687.;另一方面,正式生效的《加利福尼亚州消费者隐私法案》凸显了场景化模式的细致规定(7)参见California Consumer Privacy Act of 2018,1798.105.(d)(1)“… or reasonably anticipated within the context of a business’s ongoing business relationship with the consumer…”;1798.105.(d)(9)“in a lawful manner that is compatible with the context in which the consumer provided the information”;1798.140.(d)“that is compatible with the context in which the personal information was collected”。。
自场景化模式被提出并确立后,其在数据爬取司法规制中得以应用[17]。在Craigslist Inc.v.3Taps Inc案中,Craigslist经营的网站允许用户提交和浏览分类广告。被告人3Taps通过复制Craigslist的网站内容,聚合并再版其广告。Craigslist实施两个补救措施来阻止该行为:一个补救措施是给3Taps发送停止和终止令(cease and desist letter),告知其行为未经授权;另一个则是设立相应配置,阻止从IP地址的不正常访问(8)Craigslist Inc.v.3Taps Inc.,964 F.Supp.2d 1178,1178 (N.D.Cal.2013).。此案争议点在于,3Taps的行为是否属于“未经授权”。法院根据Craigslist发送停止和终止令,以及设立IP地址阻拦的场景,认为其已真实有效地撤回授权。此时,3Taps继续从Craigslist网站上抓取数据,该行为就是“未经授权”(9)同上,1184.。可见,通过场景化模式考察用户账户、IP地址和MAC地址过滤等法律意义,有助于判断网站所有者是否使用技术控制来表示撤销访问,以及用户是否理解此撤回(10)同上,1186.。场景化模式除了应用于数据爬取司法规制,还被应用于立法修正中。
美国解决数据爬取刑事责任认定难题的第二步,主要是将场景化模式应用于《计算机欺诈和滥用法》和相关行政法规的立法修正。概括而言,这些立法修正聚焦于两类规范的调整:“授权”规范和“损坏/损害”规范。“授权”规范禁止未经同意访问或者超越同意范围访问特定网络空间。美国司法实务界通过个案研判,将言论自由与知情同意、公开访问与技术保障等价值,逐步融入“授权”规范。“损坏/损害”规范禁止以特定方式、在特定时间、对特定数量的信息、数据或者程序等施以不利影响。对于何为“损坏/损害”,美国司法实务界仍通过个案归纳,把分享激励与安全保障、社会需求与个人期待等价值,不断纳入“损坏/损害”规范。下文以这两类规范为考察对象,分别讨论在《计算机欺诈和滥用法》和相关行政法规中这两类规范如何进行调整。
1.针对“授权”规范的立法修正
在《计算机欺诈和滥用法》中,立法者虽然已经定义了“超出授权访问”,但没有从正面交代“授权”和“访问”两个用语的含义。数据爬取的现实情形无奇不有,加之网络技术的机理日益复杂,即使场景化模式已在司法领域中得以应用,美国数据爬取刑事责任认定的研究也并未就此止步。场景化模式在其立法修正中同样得到重视。
第一,为确定“授权”范围及效力等事项,把属于合理使用的范畴、明显无需特别授权的情形加以特别规定,是修正《计算机欺诈和滥用法》的着力点。如在立法中增加类似规定:“当数据爬取者同时符合如下四个条件,即应免除其刑事责任:(1)数据爬取者在网络上是良善公民,并且没有给目标网站带来多余负担;(2)抓取的数据可公开获取,并且不存在密码认证;(3)抓取的数据主要反映事实性内容,并且抓取行为不侵权(包括不侵犯版权);(4)抓取的数据用于创建变型产品,并且没有通过引诱用户或者创建基本相似产品,来从目标网站窃取市场份额。”[18]以上第(2)~(4)项分别从数据来源、数据内容以及数据商业用途等情形,明确数据爬取免于刑事责任认定的情况,在立法修正中运用了场景化模式。
第二,制定行政法规以澄清“授权”规范,也至关重要。考察美国立法史可以发现,国会已授权行政机构在其立法中增加相应刑事规定。如美国证券交易委员会在其行政法规中增加关于金融犯罪的规定。对于“授权”规范,应在行政法规中区分这样两种场景:一是仅查看数据而没有获取或者使用数据,将构成某个惩罚量级;二是突破计算机系统的特定区域,查看数据并获得或者使用数据而无任何阻却事由的,将构成某高惩罚量级。这样一种场景化区分,既能有效辨识数据爬取的民事责任、行政责任和刑事责任,也能为不同法律性质的行为架设宽严有别的惩罚梯度[19]。
2.针对“损坏/损害”规范的立法修正
第一,在《计算机欺诈和滥用法》中,立法者已采用“定性+定量”的立法模式。定量的立法模式表现在“经济利益”之后增加“所获信息的公平市场价值超过5 000美元”。这意味着,倘若数据爬取导致的结果符合“损坏/损害”的定性条件,但未达到该定量条件,那么此数据爬取仍因不满足“损坏/损害”规范而无法被追究刑事责任。此外,整体上修订《计算机欺诈和滥用法》,应有限扩容“损坏/损害”规范。例如,考虑将计算机时间损失和信赖损失纳入立法[20]。
第二,细节上完善“损坏/损害”规范,还会借助行政法规。应用场景化模式是将特定用语与一般用语相结合,明确列举不同程度的损坏或者损害情形。其中,特定用语主要阐明数据爬取的时长、频率和后果(如抓取数据被大量泄露)等。一般用语主要揭示随着技术发展,什么情形下的损坏或者损害应包含在这些规定中。在未来,损坏或者损害的场景将发生巨大变化,这就要及时调整现有行政立法。例如,通过设置针对特定数据的云链接,并实施数据爬取导致权利人受损,这是否构成《计算机欺诈和滥用法》中“损坏/损害”?对此问题,宜立足于制定行政法规加以解答。
当前解决数据爬取刑事责任认定难题的基本思路主要从刑法解释论出发,把数据爬取的行为过程分解为“非法访问”“非法获取”,并在不法与有责为支架的犯罪论体系下,结合实质解释论等理论,具体细致地研讨数据爬取的刑事责任问题。可以说,刑法解释论在面对数据爬取刑事责任问题时具有的基础性与价值性等意义,值得肯定。不过,刑法解释论中一部分主张严密数据爬取刑事适用的观点,值得人们反思。
笔者认为,刑事司法规制数据爬取理应保持必要的谦抑性,相当多仅具有一般违法的数据爬取行为不应付诸刑罚。首先,从构成要件上分析,如果不符合刑法罪名中涉及的行为性质与结果数量的具体要求,数据爬取即使带来了相应“恶果”,也不应进行定罪处罚。其次,从价值衡量上分析,数据爬取给网络用户或者数字企业带来的数据资源与利用价值,可能远超其所产生的负面效应。如果数据爬取没有直接针对特定数据类型或者计算机信息系统,也没有制造或者没有导致网络数据严重安全风险,那么追究其刑事责任恐无充分理论依据。再次,从规制效果上分析,如果技术方案、市场机制或者前置法等举措能够有效预防或者及时遏制数据爬取引发的安全风险,发动刑罚宜特别谨慎。
总而言之,从解释论视角破解数据爬取刑事责任的认定难题,并系统构建其入罪标准及其限度,是当前学术研究的主要着眼点。笔者认为,解释论视域下数据爬取刑事责任认定的利益考察等难题,有时难以通过解释论予以阐明。从某种意义上说,这需要在规范完善视域下,多方论证其利益考察,并使之作为数据爬取刑事责任认定的价值性理由。基于此,规范完善构成了解决数据爬取刑事责任的认定难题之另一视域,这一视域在目前学术研究中还较为少见。
下文将上述场景化模式应用于数据爬取刑事责任认定的规范完善中,从立法与司法解释两个方面,讨论如何解决数据爬取刑事责任的认定难题。
就完善“非法访问”的规定而言,其旨在体现授权事项的出罪效果。授权事项的出罪效果体现在,如果获取的是公开发布或者经对方同意或者授权的个人数据,那么应当予以出罪[21]。为彰显这一出罪效果,立法者可以特别规定合理使用、无需明显特别授权的情形,由此在刑法中就需要明确一些具体的免责事由。
就完善“非法获取”的规定而言,其旨在增强对数据的刑法保护。身处大数据时代,在刑法中完善“非法获取”的规定是为了增强对数据的刑法保护[22],而不仅仅是为了呈现非法获取与非法侵入在不法属性上的差异。修改“非法获取”的规定,大致包括两种模式:一是在《刑法》原来条款中增加相应法律要件(统一模式);二是在《刑法》中增加新条款(双重模式)[23]。
对于统一模式,完善“非法获取”的规定相对简单。一般来说,与非法获取数据相类似的不法行为也可以添加到原条款。虽然非法获取数据是数据爬取的主要不法行为,但仍无法排除数据爬取还可能涉及其他不法行为。事实上,美国主要立法经验表明,在网络空间下由技术支持的特殊危害行为都有可能被理解为数据爬取,如借助网络爬虫技术的持有数据、复制数据或窃取数据。不难想象,这些行为可能影响数据安全的保密性,且不当干预数据使用的有限空间。应当注意,选择统一模式修改“非法获取”的规定,必须遵循这样一条原则,即在法益侵害上,新增不法行为与现有不法行为类型(非法获取)不抵牾。据此,以非法获取计算机信息系统数据罪为例,添加到其条款中的不法行为仍局限于破坏计算机信息系统安全,却没有触及数据安全的内核。由此可见,通过统一模式修改“非法获取”规范,存在一定局限。
对于双重模式,其应用于原来条款不能完全涵盖的新条款的法益保护。仍以非法获取计算机信息系统数据罪为例,虽然其规定了数据爬取的主要不法行为(非法获取),但为强化数据法益的特别保护,立法者会在条件成熟时选择双重模式,以提供明确且充分的立法规定。笔者认为,双重模式在大数据时代更具优势:一方面,有助于严密数据爬取的刑事法网。通过增加新条款,明晰非法获取数据的不法属性,并结合不同场景因素,划分数据爬取可能存在的风险层级,由此严密数据爬取的刑事法网。这与场景化模式的观点相吻合,说明差别性对待数据爬取不可或缺,要重视不同场景因素组合下的风险层级。如通过双重模式增加新条款,对数据爬取的行为方式予以类型化,并结合不同场景因素确定具体的刑事罚则。另一方面,有助于合理界分数据爬取的行政不法与刑事不法。为彰显这一优势,立法者选择双重模式,关注刑事不法所必备的特定要件,并可规定相应的处罚阻却事由。由此带来的体系上的积极功能是:有助于合理区分数据爬取的行政不法与刑事不法,也有助于正确评价其罪与非罪问题。
鉴于双重模式上述两方面优势,笔者认为,可增加如下新条款:“行为人采取窃取、持有或者其他手段获取数据,情节严重的,判处三年以下有期徒刑或者拘役,单处或者并处罚金。行为人获取数据未给数据安全造成损害的,行为人自愿接受行政处罚,并具结悔过的,可以不予追究刑事责任;但行为人获取数据被处罚后又获取数据或者获取数据给数据安全造成损害或者具有高度损害风险的除外”。
数据爬取的主要技术是网络爬虫技术。在行政法中体现网络爬虫技术特征,有助于从技术支撑视角理解“非法访问”“非法获取”的语义内涵。通过行政法进行完善,我国有学者提出建议:“立法者也可通过必要的立法技术,适时在互联网专条中增设相关规定,明确其行为构成诸要件及责任追究等内容”[24]。在此之前,美国学者Simmons[19]1714就明确指出,“现在是通过行政法规制计算机犯罪的时候了,这是因为《计算机欺诈和滥用法》未能明确‘计算机滥用’的构成要素。”网络爬虫技术影响“非法获取”不法行为的判断,由此应通过行政法体现其特征,原因如下:
一方面,这有助于规定具有专业性的例示条款。行政法中专业性的例示条款越多,越能及时有效应对数据爬取。例如,在判断抓取云存储中的数据是否为个人信息类数据时,会涉及使用加密、匿名和假名等技术手段,这对个人信息类数据的定义将产生实质影响(11)在云存储中,借助场景因素与风险层级,定义个人信息类数据并加强保护,通常可分为两步:第一,考虑合理的技术和组织措施来减少识别风险。只要导致的风险仍十分高,抓取数据就应被视为个人信息类数据,且引发数据保护义务。第二,应评估损害风险和其可能的严重性,并对个人信息类数据采取合理保护措施,这一保护义务要与风险相匹配。相关内容,参见Hon W K,MILLARD C &WALDEN I,What is regulated as personal data in clouds,in MILLARD C ed.,Cloud computing law,Oxford University Press,2013,p.189.。此外,抓取数据的类型往往是个人数据、企业数据、政府数据的相互杂糅和转化,因此,数据爬取的正当性问题就要逐一进行判断[25],这需要在行政法中体现网络爬虫技术特征加以提示。
另一方面,这有助于数据爬取刑事不法判断的准确性。在行政法中细分获取数据的手段,并为各手段分配相应行政处罚。这为数据爬取刑事不法判断提供了充足的前置法规范,其准确性也随之提高。
以获取个人信息类数据为例,获取敏感个人数据比获取个人隐私数据更具处罚必要性,获取个人隐私数据又比获取个人普通数据更具处罚必要性。据此,对获取不同敏感度的个人信息类数据,可分别规定行政处罚,并增加提示刑事罚则的条款,以明确获取数据的刑事不法。至于如何体现网络爬虫技术特征,笔者认为,以“例示条款+提示刑事罚则条款”方式较为妥当。其中,例示条款旨在从获取数据的手段、类型、条件等内容出发,列举可能出现的行政不法情形。提示刑事罚则条款旨在将这些行政不法情形,涵摄到刑法中,为其刑事不法判断提供立法根据。
明确损害结果的罪量评价,决定数据爬取最终能否入罪。我国刑法规定了数据爬取损害结果的罪量评价,但在司法实践中其未被认真对待的现象时有发生。在此背景下,我国司法解释制定的目标之一便是明确数据爬取损害结果的罪量评价。通过司法解释加以明确,有助于准确判断网络爬虫技术背后承载的社会责任、法律责任和真实使用意图[26]。
至于如何在司法解释中明确损害结果的罪量评价,以下三点内容值得进一步关注。
第一,细分损害结果的罪量评价之个别化情形。司法解释对于数据爬取损害结果的罪量评价,应避免不区分特定情形地笼统表述。只有区分数据爬取损害结果的特定情形,才能有针对性地明确其罪量评价。司法解释应在数额型、数量型与情节型罪量评价之下,结合数据爬取的类型划分与阶段特征,进一步细分损害结果的罪量评价之个别化情形。
第二,以“例示条款+兜底条款”方式明确损害结果的罪量评价。就我国未来司法解释制定而言,应将数据爬取损害结果的罪量评价进一步明确化:(1)规避技术措施、妨害监管机制以及攻击空间架构等影响网络正常运行的不法侵害行为;(2)非法获取数据的时长、数量、类型、状态及价值;(3)对下游数据违法犯罪的负面影响;(4)被害人采取必要补救措施的成本及成效;(5)其他应当被理解为数据爬取损害结果的罪量评价。
第三,列明损害结果的罪量评价之免责事由。当数据爬取损害结果的罪量评价显著轻微,没有危害的,司法解释应列明其可以不作为犯罪处理或者不起诉。在司法解释中列明免责事由,既要注意免责事由的语言表述,又要强调免责事由的体系构建。例如,司法解释应列明数据爬取损害结果在何种情形下,符合何种要件就具备了免责事由。同时,司法解释不同条文中的免责事由必须逻辑连贯,各免责事由应保持内在体系协调。
综合以上这三点,可以得知,在司法解释中明确损害结果的罪量评价,能够有效应对数据爬取损害结果定位模糊的难题。
数据爬取刑事责任认定逐步成为我国法学理论界与实务界的关注焦点。本文首先交代了数据爬取的类型划分与阶段特征,其次分析了当前数据爬取刑事责任认定的现实难题,然后考察了美国完善数据爬取刑事责任认定的立法经验,最后从规范完善角度,提供了数据爬取刑事责任认定的解决方案。
身处大数据时代,破解数据爬取刑事责任认定带来的现实难题,一方面要细化解释论视角下法学研究的深邃要义与体系规则,另一方面更要目光长远,认清当前我国规制数据爬取法律规范的基本状况,适时从规范完善角度认真对待数据爬取刑事责任认定的时代议题。此外,借鉴美国完善数据爬取刑事责任认定的立法经验,必须时刻关注理论话语体系的有效性与转化性问题,结合中国法治实践面临的新情况、新问题与新动向,科学打造自身理论话语体系,为有效破解数据爬取刑事责任认定难题提供可能的理论方案。