非法提供网络爬虫技术行为的刑法规制

李 淼

（清华大学法学院，北京 100084）

一、问题的提出

网络爬虫技术的盛行已然成为大数据时代的一大标志，但是爬虫技术所带来的负面影响也逐渐暴露出来，特别是不法分子通过爬虫技术进行违法犯罪的事件屡见不鲜，并成为学界的关注焦点。在全国首例爬虫行为入罪案中，上海晟品网络科技有限公司指使员工运用爬虫技术破解了北京字节跳动公司的网络防御，获取了字节跳动公司的大量数据信息。主审法院以非法获取计算机信息系统数据罪对其予以定罪判刑。［1］该案是确认爬虫行为刑事违法性的第一案，具有标志性意义。从法律的规制意义上讲，该案也体现了爬虫行为的法律规制从民法到刑法的递进。［2］值得注意的是，学界现有的文献主要是从非法获取计算机信息系统罪、非法侵入计算机信息系统罪、侵犯公民个人信息罪等几个罪名对使用爬虫技术的不法行为进行定罪处罚。［3］

然而，在实践中往往还存在如下情形，例如，在“爬虫窃取他人个人信息案”中，北京市大兴区人民检察院指控，被告人谢某、林某利用被告人杨杭提供的“smart tool”等软件，通过技术手段非法侵入京东商城“WIS 旗舰店”等商户的账户维护后台，窃取被害人周某等人的交易类个人信息共计240 372 条。后主审法院以侵犯公民个人信息罪对三人进行定罪处罚。①参见北京市大兴区人民法院(2019)京0115 刑初570 号刑事判决书。本案中尤为值得关注的是被告人杨某的行为，其在整个犯罪过程中仅实施了提供爬虫技术的行为，对公民个人信息的窃取起到了促进作用，因此主审法院将其认定为侵犯公民个人信息罪的帮助犯。但是，被告人杨某的行为其实还涉及到了我国刑法第285 条第3 款规定的提供侵入、非法控制计算机信息系统的程序、工具罪，亦即行为人提供爬虫技术程序的行为正是为他人侵入计算机信息系统提供程序的行为，然而这一点却未在判决中提及，因此有值得进一步研究之处。

具体而言，本文主要聚焦于如下两个问题：第一，爬虫技术作为一种中立性的技术手段，当行为人并未使之直接用于犯罪，而只是单纯提供爬虫技术给他人以协助实施犯罪时，能否将行为人所实施的行为认定为提供侵入、非法控制计算机信息系统的程序、工具罪。第二，由于对涉及提供侵入、非法控制计算机信息系统的程序、工具罪的性质在学界研究中相对较少，在与网络爬虫技术相结合时，将进一步增加本罪的认定难度，故有必要对本罪予以深入解析。

二、爬虫技术与提供侵入、非法控制计算机信息系统的程序、工具罪的认定

1.大数据时代爬虫技术的刑事入罪基准

所谓爬虫技术（web crawler），是指那些通过在互联网内爬动并从各种网页上搜集信息的计算机程序以及相关的互联网技术，这些技术的应用可以在最大程度上方便用户自动化、高效率地浏览互联网从而获取数据。因此，爬虫技术作为一种中立的计算机技术，属于一种日益常见的数据抓取技术。［4］

但是，这并不意味着该技术的使用没有边界。爬虫技术作为一种性质中立的技术手段，如果将这一技术手段应用于犯罪，将会成为促进犯罪实施的不法行为工具。例如，使用爬虫技术窃取公民个人信息的案件近年来时有发生，部分网站出于引流等目的，允许对其合法持有的个人信息在一定程度上公开，但是这种公开通常是有限度的，网站会采取措施防止他人使用网络爬虫技术非法获取其所掌握的公民个人信息。最为典型的是robots 协议，亦即在判断爬虫技术是否越过刑事“禁区”时必然会与“robots 协议”相结合，以判断爬虫技术是否经过持有人的同意。具体而言，通过爬虫技术可以访问和收集互联网站点的诸多信息与计算机信息系统的控制，而网站通过robots 协议向所有人提出了明确性的规定。此规定告知他人，哪些网站所有的信息是不希望被他人所获取的。robots 协议是国际公认的互联网领域内的通行标准，但其性质在法律上并没有明确的规定。此外，网站及信息的经营者、提供者除了设置robots 协议外，还可以通过采取技术手段如防火墙等措施保护自身的计算机系统以及信息数据。在采取上述技术保障手段后，爬虫控制者将无法顺利抓取相关数据，或所爬取的数据需要经过解密才能使用。［5］因此，爬虫技术的提供与应用显然不是毫无底线的，爬虫技术的应用是否取得被爬取方的同意将是决定爬虫技术应用合法与否的重要标准。当被爬取方通过设置robots 协议、防火墙以及一系列的技术手段防止相应信息及系统数据被爬取时，爬虫技术的使用人仍然通过网络爬虫规避、绕过、突破上述所设置的计算机技术屏障时，即应认为，对上述的系统数据及相关信息进行爬取将会是违背被爬取方同意的非法行为。［6］

2. 爬虫技术涉提供侵入、非法控制计算机信息系统的程序、工具罪的认定

在我国刑法第285 条第3 款规定本罪罪状中，实际上包括了如下两种构成要件行为类型：

一是自然人或者单位提供专门用于侵入、非法控制计算机信息系统的程序、工具，其中所规定的工具软件是专门用于侵入、非法控制计算机信息系统的程序、工具。具体来说，从本罪罪状所规定的程序工具的具体性质功能上看，这类程序、工具不具有相应的合法用途，而专门被用于非法获取等行为，故被称为非法、有害的信息工具设备。在“郑某等破坏计算机信息系统案”中，行为人郑某分别开发了名为“万象免刷卡”等相关计算机程序，主要用以控制网吧的通讯信息，使得网吧客户不必通过身份认证便能直接上网，其所创设的程序专门用于破坏网吧计费软件的使用，属于专用于非法行为的程序软件。①参见广西壮族自治区南宁市青秀区人民法院（2012）青刑初字第131 号刑事判决书。

二是明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的行为。在这一类的计算机程序、工具中，其作为工具、程序并不要求专门用于非法途径，而可以存在有其他正当的用途。［7］例如，在“张某等提供侵入、非法控制计算机信息系统程序、工具案”，被告人张某、刘某旭开发部分计算机软件，此类软件可以实现对微信数据的修改及控制等功能，此时上述软件在使用时仍具有中立性质。②参见广东省广州市海珠区人民法院（2016）粤0105 刑初1040 号刑事判决书。网络爬虫技术绝大多数时候都是作为一种中立帮助行为而存在，所以只有在行为人明知其所提供的爬虫技术程序、软件会被使用者用于犯罪时才能认定为本罪。

此外，本罪与帮助信息网络犯罪活动罪之间存在相似之处：其一，二者均属于正犯的参与行为，属于刑法中的帮助犯规定，并且在刑法中设置了独立的罪名和量刑规则。其二，二者均体现了参与行为不对应的犯罪结构特点，表现为行为人与被害人之间的“一对多”的特点。［8］而两罪之间的差别在于：提供侵入、非法控制计算机信息系统程序、工具行为所针对的是特定的侵入、非法控制计算机信息系统的犯罪行为，而帮助信息网络犯罪活动罪所“帮助”的行为所指向的是十分广泛的“信息网络犯罪”。提供侵入、非法控制计算机信息系统程序、工具罪中的正犯行为指向《刑法》第285 条规定的非法侵入计算机信息系统罪、非法控制计算机信息系统罪，系针对计算机信息系统实施的类型化的犯罪行为，具有特定的犯罪构成。而帮助信息网络犯罪活动中的“信息网络犯罪”实可解释为“任何犯罪”，并不存在具体的正犯类型。

显然，帮助信息网络犯罪活动罪的规制范围要明显广于提供侵入、非法控制计算机信息系统的程序、工具罪。在此，前者完全可以将后者的规制行为包括在内，故而应当承认两款罪名之间形成法条竞合关系，亦即提供侵入、非法控制计算机信息系统的程序、工具罪与帮助信息网络犯罪活动罪形成了基本法条与特殊法条的关系。

三、提供侵入、非法控制计算机信息系统的程序、工具罪的性质争议

在提供侵入、非法控制计算机信息系统的程序、工具罪中，关于本罪的本质，向来不乏争议。当网络帮助行为所参与的正犯行为并不构成犯罪时，能否认定本罪，以及与共犯从属性原则的冲突将成为问题，故而必须对本罪的性质进行探讨。

1.帮助行为正犯化说

帮助行为正犯化的立法现象是指，刑法分则条文直接将某种帮助行为规定为罪名的条文，从而成为正犯行为，并为其设置独立的法定刑。有观点指出，网络空间中的部分帮助行为通过将其设定为独立的新罪，使其脱离原有的共同犯罪体系，而获得近乎于正犯的体系地位及处罚的相对独立性。审视《中华人民共和国刑法修正案（七）》（以下简称《刑法修正案（七）》）中所设定的计算机犯罪条款，其实符合“共犯行为的正犯化”的立法思路。［9］提供侵入、非法控制计算机信息系统程序、工具罪应被视为典型的帮助犯正犯化的立法。

批评观点则认为，帮助行为的正犯化可能会造成对共犯从属性的突破。换言之，帮助行为正犯化说实际上对共犯从属性原则的理解存在一定程度的误解。在涉及网络参与行为的案件中，尽管网络参与行为发挥着比正犯更重要的实际作用，但是这些并非都是对共犯从属性的突破，也不是所谓共犯独立性的体现。共犯从属性的真正内涵在于，通过构成要件对正犯的限定来控制共犯的处罚边界。亦即共犯从属性意味着共犯对正犯直接实施构成要件的定型性依赖。因此，在对共犯从属性产生误读的基础上，主张突破共犯从属性并走向共犯独立性，将会造成对共犯体系理解上出现误差，也会使得理论在适用时出现错误。［10］

2.帮助行为相对正犯化说

这一理论源于对传统共犯结构的坚持，试图对《刑法》第287 条之二帮助信息网络犯罪活动罪做出契合传统理论的阐释。这一观点认为，并非只要条文对帮助犯设置了独立的法定刑就是帮助犯的正犯化，刑法分则条文在对帮助犯设置独立法定刑时，存在帮助犯的绝对正犯化、帮助犯的相对正犯化以及帮助犯的量刑规则三种情形。在帮助犯的相对正犯化的情形，作为共犯的帮助犯是否被提升为正犯需要根据具体情形加以具体判断，帮助犯有可能成立正犯化的罪名，也可能不成立正犯化的罪名。［11］而提供侵入、非法控制计算机信息系统的程序、工具罪就属于帮助行为相对正犯化的典型罪名。

而对这一观点的主要批评在于，相对正犯化与帮助行为正犯化的区分标准较为混乱，其缺少更为合理的理论性根据。所谓的帮助行为正犯化的条款的判断在实质上是一个立法问题，只有在立法材料上明确对其属于帮助行为正犯化时才可以对其进行肯定，否则便是一种误判的见解。［12］此外，有相同观点亦指出，把刑法典中同样将帮助行为单独入罪的立法如资助恐怖活动罪、帮助信息网络犯罪活动罪等人为地加以划分，不符合刑法解释的体系规则、正犯与共犯相区分的基本原理。［13］上述的批判恰如其分，对于参与行为独立成罪的进一步划分如果欠缺充实的理论依据，不仅会使得理论基础上充斥着各种漏洞，而且会造成许多新的问题，从而进一步加剧问题的复杂程度。

3.累积犯说

累积犯说则认为，诸如帮助信息网络犯罪活动罪，提供侵入、非法控制计算机信息系统的程序、工具罪等立法并非对共犯从属性原则的突破，而仍然是对共犯从属性原则的坚守，并由此将累积犯的理论引入网络犯罪参与行为的讨论。亦即当行为人利用信息网络大量实施低危害性行为，使得较低程度的侵害结果在量变的积累下发生质变，尽管单一的网络参与行为不会单独引起正犯的危害结果，但是这类网络参与行为可以通过数量的累积达到入罪的危害后果的程度。换言之，共犯行为单数内部多次事实行为的不法程度可以实现叠加，不法含量（罪量）可以进行汇总性判断，即共犯行为也不排斥行为的叠加，从而使得参与行为在正犯不构成犯罪的情形下同样成立帮助犯。

不过，反驳意见指出：第一，网络参与行为未必具有行为的累积性。累积犯强调行为的累积，即对于多个同类行为进行累积评价，从而确立其法益侵害性与入罪的必要性。但是上述罪名中的网络参与行为未必表现为累积形式，也可能表现为一个行为。比如通过提供爬虫软件下载的行为，尽管有众多行为人通过下载爬虫软件完成相应的侵入、控制计算机信息系统的正犯行为，此时提供行为明显只应评价为一个行为。第二，累积犯理论难以解释上述罪名的犯罪参与地位。由于帮助信息网络犯罪活动罪以及提供侵入、非法控制计算机信息系统的程序、工具罪已经被我国刑法条文单独规定成罪，不应沿用传统的思维以共犯的模式进行评价，也不应完全忽视其犯罪参与的性质完全以单独犯的模式进行评价。同时，最高人民法院、最高人民检察院在2019年10 月出台的《最高人民法院 最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》第12 条第2 款的规定中明确指出，帮助信息网络犯罪活动罪中的“犯罪”应当作扩大解释，从而将刑法分则规定的行为类型但尚未构成犯罪的行为涵括在内。［14］

4.正犯行为共犯化说

正犯归责说则试图重新为独立成罪的网络参与行为正名。在行为类型评价上，帮助信息网络犯罪活动罪等网络参与性犯罪具有独立性，但是在网络犯罪的行为表现上具有参与性。亦有观点指出，只要行为本身被刑法分则规定为犯罪，便属于符合刑法分则规定的犯罪构成要件，侵害或威胁该罪所保护法益的正犯行为，所以网络参与行为应当属于该罪规制的正犯行为，其需要明确的问题在于探讨该罪所保护的独立法益内涵，从而明确本罪的处罚范围，而不至于陷入难以为继的怪圈。因此，在上述理念的基础上，论者试图通过法益的建构使网络参与行为转化为抽象危险犯进行考察。［15］

但是，本文认为，这一说法其实不过是将帮助行为正犯说的实质内容置换了一种说法，并未与其有根本性的不同。并未在与共犯从属性原则之间的冲突中获取新的进展，因而将会面临与帮助行为正犯化说相同的批判。

5.本文所持观点

上述论断均存在不同程度的解释障碍，所以，应当对由网络爬虫技术为代表的网络帮助行为采取一种全新的理解。网络帮助行为在网络空间下借由新型技术的加持，逐渐摆脱了以往帮助行为“一对一”的限制，而能够以“一对多”的方式强化其侵害行为的质量与破坏程度。从对法益的危害程度上看，一个网络帮助行为在法益的实质性破坏上相当于实施数个现实的帮助行为。

在“吴某、刘某非法获取计算机信息系统数据、非法控制计算机信息系统案”中，行为人刘某制作网络爬虫软件提供给吴某等人，使之在短时间内获取了大量公民个人信息，造成了极为严重的后果。①广东省深圳市南山区人民法院（2020）粤0305 刑初1037 号刑事判决书。可以发现，在网络空间的帮助行为尽管在行为的性质上仍表现为对正犯行为的促进作用，但是这种帮助行为在对法益的实质危害性上已经远远超出一般的帮助行为的范畴，甚至与正犯行为的侵害性持平。如果从实质化的法益侵害性上看，网络帮助行为无论是在作为犯罪行为的需罚性上还是应罚性上，都需要予以进一步重视。当网络帮助行为的法益侵害性已经在实质上与正犯持平，那么便有必要在解释论上对其加以深化的思考。这一点也与共谋共同正犯的思考相等同，即在实质的共犯危害程度上考察，参与共谋而未实行的人如果对共同犯罪的发展和完成起到了巨大作用，其操纵指挥行为与实行行为者具有同值性甚至比实行行为危险性更甚的，自然会被作为共同正犯来看待。［16］

四、归责视野下的提供侵入、非法控制计算机信息系统的程序、工具罪

归责理论的兴起是当代刑法教义学的重要成就之一，在不法层面，以归责判断为中心而非以因果判断为中心的论断，已经逐渐被主流观点认同，即便归责理论的名称或部分内容未必获得认可，但是归责理论背后所代表的规范判断的方法论已获得接纳并逐渐深入人心。［17］然而，令人意外的是，作为不法的一种特别形态，在共犯论领域，归责理论却显得无能为力。［18］例如，在共同犯罪中，无论是从共犯的独立性还是从其属性、共犯的处罚根据等议题，归责理论在此并未做出相应的理论贡献。与此鲜明对比的是，在单独犯罪中，通过归因与归责两个阶段的划分，能够较为妥当的将评价对象与评价标准作区分式的处理。

尽管主流观点对于共同犯罪的研究在字面上未见归责理论的踪影，但是归责理论背后的观念却早已在共同犯罪领域内有所凸显，如对中立帮助行为问题的研究，采取归责判断的视角已成为研究的主要方向。显然，在归责理论的刑法学浪潮冲击下，在帮助犯等共犯领域内，仅仅凭借促进说等因果关系理论无法满足规范归责的需求。可以认为，通过归责视野的建构以限制对于帮助犯的处罚已成为一种必然的选择。

从限制共犯处罚的意义上讲，共犯从属性原则其实是判断共犯能否成立的一项基本原则。亦即如果共犯所从属的正犯行为并未实施或是止于未遂，则亦不能将最终的侵害结果归责于共犯。因此，共犯从属性其实意味着共犯本身的不法性是否达到了可罚的程度，在传统刑法所面临的共同犯罪中，共犯从属性原则作为限制可罚性的关键标准，并不会遇到理论上的障碍。于是，在网络时代的共犯犯罪中，帮助信息网络犯罪活动罪以及提供侵入、非法控制计算机信息系统的程序、工具罪等独立罪名逐渐成为立法的“宠儿”。对此，有必要回溯性地思考共犯从属性原则的本质为何。

概言之，共犯从属性的基本性质在于限制共犯的成立范围，表征共犯的可罚性与不法程度。如果将这一本质运用归责的术语表述出来，则共犯行为是否创设了法所不容许的风险。而一旦能够透过共犯从属性原则获得这一本质，所有的问题即可迎刃而解。网络时代，部分共犯行为已然通过独立的刑法分则的立法规定，创设了独立的法所不容许的风险，而无需拘束于共犯从属性原则。共犯不法程度是否达到可罚性的核心标准，在网络帮助行为中，尽管其所帮助的正犯并未达到犯罪的标准，但是并不影响独立的共犯行为通过社会危害性的累积以及刑法分则的设定创设了独立的为法所不容许的风险。这一结论其实与前述的帮助行为正犯化观点在结论上一致。但是与之不同的是，其未曾站在归责的立场上点出这一现象的本质，如对共犯从属性原则的本质属性加以澄清，则可以认为帮助信息网络犯罪活动罪所代表的帮助行为正犯化现象并非与共犯从属性相抵触，因为共犯行为的处分本质在于是否创设了法所不容许的风险。既然帮助行为已然具备了独立的风险，则站在归责的立场上，对其加以处罚便是应有之义。提供侵入、非法控制计算机信息系统的程序、工具的行为性质是在于独立创造了法所不容许的风险，至于其所从属的正犯行为，无非是对侵害结果进行归责的进一步标准而已，如果网络参与行为所帮助的正犯行为并未实施或者未达到犯罪程度，则帮助行为并未创设出法所不容许的风险，然而当帮助行为进行累积造成严重后果时，则参与行为已然形成了独立的被法规范所强烈谴责的风险，此时对参与行为人进行归责自然再无疑问。

将网络参与行为的基本性质评价为创造了法所不容许的风险的行为，这样的做法既可以为立法提供充分的理论依据，也可以为司法中网络帮助行为的可罚性限制提供说理。尤其是就后者而言，由于网络帮助行为欠缺限定，将会造成处罚的不确定性。但是构建归责视野下的共犯可罚性，可以为共犯的处罚实质寻找到统一的上位概念。既可以通过类型化的判断标准判断网络参与行为是否创设了法所不容许的风险，也可以通过将共犯从属性原则纳入归责标准构建的框架内，使得与共犯从属性原则之间可能存在的矛盾归于消弭。因此，将网络帮助行为纳入归责理论的构建在理论上存在正当依据，同时也可以为司法实务的应用提供充足的理论说明。

五、结论

针对网络爬虫行为的刑事规制，所可能涉及的最为典型的罪名即为提供侵入、非法控制计算机信息系统的程序、工具罪，现有的理论研究与司法实务中均对这一罪名的研究不够，从而导致实务中出现将该罪遗忘的现象。以本罪为切入点，本文得出结论如下：

第一，网络爬虫技术的应用范围应当得到限制，被爬取方是否同意将成为爬虫行为刑事违法性的核心标准。同样，提供侵入、非法控制计算机信息系统的程序、工具罪的行为类型化应当得到重视，在提供爬虫技术的行为涉及本罪时，需要考虑其所帮助的正犯行为是否能够评价为侵入、控制他人计算机信息系统的行为。本罪与帮助信息网络犯罪活动罪属于法条竞合关系，因此在出现竞合的案例时应当遵循“特别法优于普通法”的基本原则。

第二，对于提供侵入、非法控制计算机信息系统的程序、工具罪的性质理解，当下学界中的帮助行为正犯化说、量刑规则说、累积犯说以及正犯行为参与化说均存在不同程度上的缺陷，故不应采纳。对于本罪性质的理解应当从归责的视野进行考察，从而将网络参与行为纳入归责视野的体系范畴，为网络参与行为的犯罪性质寻找共同的上位概念，亦即网络参与行为的不法本质在于是否创设了法所不容许的风险。