爬虫行为的刑法规制路径探析
——从非法获取计算机信息系统数据罪视角

杨金晶 朱姝铭

一、爬虫技术的含义及其法律规定的现状

爬虫技术是根据人工设置的规则自动抓取网络数据和信息的程序。它的工作本质是模拟人工点击，自动浏览网络程序，保存设置的程序要求的信息。搜索引擎的技术核心就是网络爬虫技术，不限于搜索引擎，只要是有信息数据抓取要求的，几乎都会应用爬虫技术。

在爬取过程中，并非所有的数据都是公开可爬取的，对于一些对方不愿意公开的信息，爬虫技术依然通过技术手段进行访问并获取的，就有可能进入恶意爬虫的范畴。为防止恶意爬虫的入侵，网站会采取相应的反爬虫措施、设置robots协议等来限制爬虫的破解，限制数据的获取。

对于恶意爬虫的规制，各个部门法都有相应的法律条文。在刑法上有互联网专门性犯罪的相关条款，设置了非法获取计算机信息系统数据罪、非法控制计算机信息系统罪、破坏信息系统罪等。还包括了如诈骗罪、侵犯公民个人信息罪等规制以爬虫技术为工具进行下游犯罪的情况。但在刑法专门性的互联网罪名足够细致的情况下，适用于爬虫行为的案例事实上仍少之又少，一方面是爬虫行为入刑存在困境，另一方面是人们倾向于适用民法解决此类问题。但随着首例爬虫技术入刑案件，和越来越多爬虫犯罪行为，技术规制刑法化趋向明显，当恶意爬虫行为对法益造成侵害，破坏了计算机信息系统的“平稳运行状态”或者互联网行业的规则秩序时，就有必要动用刑法处罚此类行为。全国网信办发布的《数据安全管理办法》（征求意见稿）中的第16条规定：“网站运营者采取自动化手段访问收集网站数据，不妨碍网站正常运行；此类行为严重影响网站运行，如自动化访问收集流量超过网站日均流量三分之一，网站要求停止自动化访问收集时，应当停止”就初步说明了爬虫行为所暗含的“妨碍网站正常运行”的刑事风险，并规定了行为人的规避风险的注意义务。

二、爬虫行为入刑的困境及其原因分析

爬虫行为入刑的困境主要表现在都是没有清晰的判断路径，现存的判断标准多适用于民法领域。以下为实务中存在的部分误区与法律适用不清晰的原因分析。

1.“刑事违法性”的争议

在我国，全国首例“爬虫”入刑案自判决以来就饱受争议。在判决书中给出的理由是被告单位的行为侵犯了“保密性”这一法益，以此作为实质的违法性的依据。由于实质违法性在计算机领域比较抽象，另一路径是采取形式上的违法性，到目前为止，大多数的爬虫入刑案件所采取的判断标准在于爬取行为是否经过被爬取信息系统的授权或者是否违反了爬虫技术的robots协议。而笔者认为，这些形式违法性的判断标准会造成民法与刑法的混淆适用，如若按照这些判断标准，实务中就存在着许多符合形式违法性却由民法进行规制的案件，如有一例违反robots协议案件中，当事公司A爬取网页的数据后将数据以网页快照的方式呈现于用户界面，此行为是最为典型的“搭便车”行为，因此被判断为违反不正当竞争法。但按照上述的罪与非罪的判断路径，A公司爬取行为违反robots协议，属于恶意爬虫，已经具备了形式上的“刑事违法性”，却没有接下去审查其实质违法性，这恰恰说明判断爬虫行为形式上的“刑事违法性”的标准并不在此。换言之，是否经授权或者是否经协议同意等可以作为违反民法与否的判断依据，但在刑法谦抑性的原则与技术无罪的背景下，以这些标准作为入刑的标准过于严苛。Robots协议是否能够作为民法上的合同尚存在争议，更何况以此协议作为刑法上违法性的判断标准。因此，在形式上难以寻找着力点，我们还须回到实质违法性上，讨论行为对法益的侵害与威胁。

2.爬取行为本身被忽视

还有一个问题在于，在判断完爬取行为是否为恶意爬取之后，法院会接下去看此爬虫行为所获取的数据的最终用途，即爬取数据后所造成的最后的危害结果，这一危害结果符合哪一罪的构成要件在实务中就往往以哪一罪定论，而被忽视的爬取行为本身，在此可以看作造成后一危害结果的“预备行为”，有的预备行为本身并不违法，但有的预备行为其实本身就已经违法。由此说明系统规制爬虫行为要求在我们法律实际操作时，从一开始就应当将爬虫行为本身与爬虫爬取到数据后的所为进行区分，以此清晰地保护相应的法益，实务中忽视爬取行为自身的法益侵害性，只根据最终扰乱市场竞争秩序的结果评价为“不正当竞争行为”规制误区情形常见，属于对行为的遗漏评价，并且混淆了民法与刑法的适用。

3.技术判断主导导致刑法扩张适用

关于全国首例爬虫技术入刑案，石经海教授还指出了一处违法判断误区，即技术判断的主导导致了刑法的扩张适用，在立法上和司法上都有以数据控制者的技术授权为依据决定形式违法性的问题。从刑法规定上看，非法获取计算机信息系统数据罪的构成要件主要有违反国家规定，实施危害行为，即用技术手段获取计算机信息系统中的数据，并要求情节严重，在计算机领域，要判断是否满足此构成要件，无可避免地需要用到技术判断。甚至对于“违反国家规定”这一项构成要件，只有类似于《计算机信息系统安全保护条例》第七条“任何组织或者个人，不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动，不得危害计算机信息系统的安全”的概括性的立法。这类法条对于实务中所发生的案件并没有具体的指导作用，就以上述的上海某公司与A公司所实施的爬虫行为为例，两者都未危害国家利益，而危害了对方单位的利益，在这一点上两个案件几乎是相同的。也就是说我们只能从利益危害的程度大小上，还有对危害计算机信息系统的安全产生的威胁入手进行罪与非罪的判断，这又会导致技术判断的主导，所以对于计算机信息系统的“安全”，我们需要站在法律属性的角度设立一条合理的路径，技术判断只能作为法律价值判断的辅助工具。

综上，笔者认为关于爬虫行为的刑法规制路径还应回到爬虫行为本身造成的危害（法益侵害性）上，至于爬取数据后实施的下游行为则考虑其违法程度是否深入到应由刑法参与规制，正如多数民法上的侵权行为都是因为具有违法所得数额足够大或者有其他严重情节等特征才足以适用刑法规制。

三、爬虫行为刑法规制的路径选择

研究刑法目的有利于在立法与司法上合理控制处罚范围，将没有侵犯法益已经侵害程度并不严重的行为排斥在犯罪之外。从上文的分析上看，规制爬虫技术主要是解决两方面的问题，一方面是将下游行为与爬取行为区分开，独立分别评价，各自把握两行为的严重程度；另一方面，也是本质上的问题，是应当说明利用爬虫技术非法获取计算机信息系统数据罪这一情形中爬虫技术所侵犯到的“安全”法益应为何物及其具体表现，这也就是要动用刑法进行爬虫技术规制的原因所在。

1.数据对象的“不特定性”体现行为社会危害性

要说明非法获取计算机信息系统数据罪所侵害的法益，我们不可避免地要对爬虫获取到的数据性质进行分析，此罪设立的初衷就是在于保护计算机信息系统中存储、处理或传输的数据。除了《网络安全法》第10条规定维护网络安全的总体要求的“维护数据的完整性、保密性和可用性”三性之外，要使刑法当然地对数据进行保护，其还需要具备不特定性。

由于技术的发展日新月异，在行为时能够轻易对此三性造成破坏，但实际上行为又还达不到一般标准人认为的法益侵害性，存在一定的滞后性。为了追求技术的自由发展与进步，笔者认为可以“数据对象的不特定性”，以表明“社会危害性”。在上海某公司爬虫案中，有人认为，数据所呈现的内容已公开可见，因此其所对应的数据代码的保密性也将失去网络安全法的保护。但在此案件中，数据内容公开可得，内容的代码却并不公开，爬取代码的行为影响到了数据与主体关系的稳定性，系统中的每一位用户的公开数据内容的代码均有可能被爬虫技术所爬取，那么即使数据是公开的也将因为爬取行为威胁到不特定的系统存储信息而使其具有社会危害性，于是当然地应由刑法进行规制。

2.“带有非法侵入目的的侵入”体现法益侵犯性

利用爬虫技术爬取数据的行为在入罪时符合的是刑法分则条文中“采用其他技术手段侵入”的表述，并且此罪被纳入公共秩序管理一节中，也就是说该罪的法益侵害性有一部分表现为网络公共秩序被侵犯。网络公共秩序被侵犯主要表现为“侵入”。“侵入”可表现为带有非法侵入目的的侵入与没有非法侵入目的的侵入。举例来说，如大多数的侵犯个人信息案件，行为人行为时的目的主要是爬取个人信息数据谋取私利。余某某违反单位约定爬取员工信息数据一案中，被告人余某利用爬虫技术窃取员工个人信息，我们可以评价其具有非法占有个人信息数据的目的，但对于其侵入计算机信息系统的行为，应被认定为是实现侵犯个人信息这一违法行为的必要条件，利用爬虫技术是实施该罪的工具手段，属于没有非法侵入目的的侵入，因此不能定罪为非法获取计算机信息系统数据罪。而带有非法侵入目的的侵入，如强行突破法律授权，强迫对象计算机信息系统实际控制者的意志，严重影响对方信息系统的“安宁状态”的行为，即使没有爬取后的下游行为，其本身也具有可罚性。也就是说，我们可以从判断侵入是否带有非法侵入目的来判断爬取行为是否应区别于下游的违法或犯罪行为而独立受惩罚。

3.“法律授权”与否体现形式违法性

刚刚在“侵入”中提到的强行突破法律授权与上文提到的爬虫技术网页授权不同，技术授权不等于法律授权，我们需要在法律上设立一个授权标准，此标准可以考虑到信息网络时代数据传播快速且自由的特点，也要尊重数据持有者“劳动成果”，设立统一的标准，规范授权，赋予此授权以法律上的意义，为“非法侵入目的的侵入”提供依据，也可以以此作为利用爬虫技术非法获取计算机信息系统数据的“非法”之判断依据之一，并能有效防止技术判断导致刑法适用扩张的弊端。

4.“严重情节”是构成要件本身

法律还将“情节严重”作为非法获取计算机信息系统数据罪的入罪标准，即法益受侵害的程度，这一点也考虑到了刑法谦抑性的原则，温和的网络爬虫爬取行为事实上是有利于数据的共享的。互联网时代下，世界联系越来越紧密，数据需要一定程度的共享，数据资源的流通才能创造出更大的经济价值。在美国一例爬虫案中，L公司多年允许H公司爬取其系统数据并使用，H公司也以此作为公司的主要业务，而突然遭到禁止后，H公司便将对方诉至法院，法院最后在H未经授权爬取数据的表现之下仍判决L公司限制竞争，阻碍数据流通。从中可以看出，法律适用虽是各方利益权衡下的结果，但事实上H公司已爬取数据多年，并以此为业，说明其爬取行为也并未达到被评价为情节严重的侵入行为的程度。但过于残暴的爬取行为是需要被抑制的，一技术报告显示，利用爬虫程序来撞库是互联网企业面临的最大威胁，2018年5月和6月的爬虫程序恶意登录次数超过83亿次，月平均增长率达到30%。现实中如多线爬虫频繁访问网站，大量占用宽带网络，增加网络服务器处理和注销的负荷，导致网站崩溃或不能访问等都是“情节严重”的情况。

5.“平稳运行状态”被侵犯为实害结果

除此之外，笔者认为还可以将信息系统的“平稳运行状态”被侵犯作为非法获取计算机信息系统数据罪的法益侵害性的要求，用以评价“非法侵入”，参考“非法侵入住宅罪”所保护的法益，只考量客观造成的损害平稳状态的后果，对是否未经授权不作评价，以计算机信息系统的整体状态，网络信息系统的安全和运营环境为考察重点，这也一定程度上顺应了信息化的时代特征，规避了简单依靠技术判断侵入与否之弊端。

四、结语

本文对爬虫技术违法的刑法规制路径提出了一些想法，关于这些想法的实际运行效果还处在未知状态，对于本视角的入罪路径也还有许多可以细化之处，如文中提到的关于法律授权、计算机信息系统“平稳运行状态”还应另行再设标准，存在不足之处还待完善。但希望笔者对爬虫技术违法的一些理解能够对该罪的发展产生微小的作用。我们置身于当今的网络时代，新的技术应接不暇，法律就是在每个时代中人的不同理解中更新进步，不断完善法律治理体系，才能够为新技术与互联网市场的发展创造一个更稳定的更自由的环境，才能够有利于我国创新能力的不断提升和国民经济的不断增长。

[注释1]行为人三人为上海某公司的主管人员，三人共谋以爬虫手段破解被害单位服务器的反爬虫措施实施数据抓取，造成原告公司损失技术服务费两万元。

[注释2]被告人余某在某公司工作期间，违反劳动合同约定与法律规定，为达个人目的，私自爬取该单位员工个人信息，共计两万余条。

[注释3]刑法285条：非法获取计算机信息系统数据罪，是指违反国家规定，侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，情节严重的行为。