杨 猛
数据是网络空间的基本单位,对网络空间的净化和保护,其根本在于对人类行为的规制,①数据是现实社会与虚拟社会连接的管道与核心,但起主导作用的是人类行为:“无论是生存于自然界的线下社会还是存在于赛博空间的数字社会,生活于其中且起着主导甚至主宰作用的还是自然人类。”参见彭诚信:《数字社会的思维转型与法治根基——以个人信息保护为中心》,《探索与争鸣》2022 年第5 期。最终要落脚到数据法治。以数据作为侵害对象的犯罪手段、犯罪工具在不断升级,使得数据犯罪行为的认定日趋复杂。爬取衍生性数据犯罪对象的独特性与手段的科技化,使其成为数据犯罪定性的新焦点。早期人们关注的仅是爬虫技术本身,对其应用过程中的法律风险并未过多涉及,直到2018 年至2019 年前后出现关于数据爬虫犯罪的具体案例,②有关爬虫犯罪的首案是2017 年上海晟品网络科技有限公司的主管人员,成功破解北京字节跳动公司的防范措施,采用爬虫技术抓取北京字节跳动公司服务器中存储的视频数据,造成北京字节跳动公司损失技术服务费人民币2 万元。法院以非法获取计算机信息系统数据罪对被告人予以定罪量刑。此后相关爬虫法律规制的研究成果陆续发表,但有关爬虫刑法规制的研究成果相对较少。才开始有较多学者研究爬虫技术的法律规制问题。可以说,对于网络空间的治理,已经从过去的虚拟财产犯罪定性,层层深入到更为实质的数据合规治理,从而使得目前数据法治的法律研究和适用呈现出以下样态:
一是在规范意义上,肯定了数据的物之属性,但与物权之保护存有一定差异。立法肯定了数据的财产价值与物之属性:2020 年公布的《中华人民共和国民法典》(以下简称《民法典》)第127 条将数据财产纳入其保护范围,并将之与虚拟财产并列作为物的下位概念。但是数据权益保护与物权保护有不同之处,在不同场景下数据是不同的权利客体载体,分属不同法域,如知识产权、反不当竞争、个人信息保护等,可以说其物之属性因其不同类型而呈现出不同特征。但立法并未明确数据的具体类型,而数据种类与物之属性有很强的关联性,不同种类的数据其生物识别度及应用场景完全不同,对其爬取的违法与罪责定性也不尽相同,因此,不能完全照搬传统的物权保护观,需在明确数据类型及区分相关概念的基础上,进行针对性规制。
二是在司法实践中,虽然数据在客观上也是一种物质存在形式,可以类比电能、无线电频谱资源等赋予数据绝对权保护,但这将与数据共享性、公益性的基本理念存在冲突。①物权以权利人排他性使用为原则,他人的合理使用为例外,数据权利则以他人的合理使用为原则,权利人排他性使用为例外。数据财产权的构建可以借鉴物权的相关保护理念,但不能完全照搬其保护模式。②钱子瑜:《论数据财产权的构建》,《法学家》2021 年第6 期。尤其涉及新型数据犯罪司法实践的场域,就存在较多争议性案件,如武汉元光“车来了”案件最后定性为刑事案件,判定为非法获取计算机信息系统数据罪,③2017 年武汉元光公司为了提升其APP “车来了”的信息查询准确度,指使员工利用网络爬虫工具爬取深圳谷米公司及其他竞争对手的公交行驶信息、到站时间等实时数据,并为了顺利获取数据而使用了“变化IP 地址”“破解加密系统”等手段,后深圳市南山区人民法院认定元光公司构成非法获取计算机信息系统数据罪。而淘宝公司诉美景公司的“生意参谋案”则被定性为民事案件,判定为不正当竞争。以上判决实际上都回避了衍生性数据是否是财物的问题,也回避了财产性犯罪的定性争议问题。
结合以上背景,可以融合规范与实务层面提出以下互相衔接的问题:数据在规范层面应当如何进行科学分类?在类型化的基础上,现有立法能否对爬取衍生性数据的行为解释适用?本文将围绕这些问题进行探讨。
其一,数据种类的多元发展变化在立法与实践中已有凸显。首先,立法上已在《民法典》第127 条中有所体现,该条款明确把数据与虚拟财产进行区分处理,把数据作为独立的权利客体,为数据权利法律保护的刑民衔接提供了基础与前提。可以说,数据权利的确证依据,已经从原本的人格属性、人身依附性向权利人的自决性④王华伟:《数据刑法保护的比较考察与体系建构》,《比较法研究》2021 年第5 期。逐渐发展。只要数据是基于人们在网络中的物理行为所产生,且具备一定的使用价值和交换价值,即使不具备人身属性,也应当得到法律的保护。我们对数据权利的认知大致经历了以下发展历程:从对虚拟物种类归属的争议,⑤张明楷:《非法获取虚拟财产的行为性质》,《法学》2015 年第3 期;刘明祥:《窃取网络虚拟财产行为定性探究》,《法学》2016 年第1 期。到其物权属性的确定,⑥陈兴良:《虚拟财产的刑法属性及其保护路径》,《中国法学》2017 年第2 期;杨猛:《APP 虚拟财产犯罪新解——以占有为解释视角》,《华东政法大学学报》2019 年第4 期。再到当今对数据权利的探索。⑦程啸:《论大数据时代的个人数据权利》,《中国社会科学》2018 年第3 期;汪庆华:《数据可携带权的权利结构、法律效果与中国化》,《中国法律评论》2021 年第3 期;钱子瑜:《论数据财产权的构建》。其次,法律适用也随之发生相应的更新与发展:对于虚拟财产犯罪来说,可以适用传统的财产犯罪刑;⑧参见2006 年第11 期最高人民法院公报案例:上海市黄浦区人民检察院诉孟动、何立康网络盗窃案。该案认为秘密窃取网络环境中的虚拟财产构成盗窃罪,且应当按该虚拟财产在现实生活中对应的实际财产遭受损失的数额确定盗窃数额。虚拟财产在现实生活中对应的财产数额,可以通过该虚拟财产在现实生活中的实际交易价格来确定。对于具有身份识别性的数据犯罪来说,可以适用侵犯公民个人信息罪、非法获取计算机信息系统数据罪等刑法规定;对于不具有人身识别性的数据违法行为来说,对其定性目前集中在民事法领域。但是,从不具有人身识别性的数据价值属性及爬取此类数据的社会危害性角度来看,当然也有可能发展为刑事犯罪。⑨以上案件的焦点对象都是基于衍生性数据集成后所具有的商业价值。从可量化的实质社会危害性角度来看,已经满足入罪要求。
其二,衍生性数据这一数据类型在以上数据发展变化中逐渐形成,其释义可表述为:在虚拟世界现实化、现实世界虚拟化的互动中,静态数据逐渐向动态数据转化,①于冲:《数据安全犯罪的迭代异化与刑法规制路径——以刑事合规计划的引入为视角》,《西北大学学报(哲学社会科学版)》2020年第5 期。使得某些数据即使不具备人身属性、无法生物识别,但被不断收集分类后,也具备相应的交换价值、使用价值,这种数据类型就是衍生性数据,②也有学者将衍生性数据视为数据的增值部分或数据资产。参见丁道勤:《基础数据与增值数据的二元划分》,《财经法学》2017 年第2 期;龙卫球:《数据新型财产权构建及其体系研究》,《政法论坛》2017 年第4 期。如商品的点击率、下单量、浏览量、网页浏览痕迹、购物记录等。对于衍生性数据的法律保护,在前置行政法域主要是《中华人民共和国反不正当竞争法》(以下简称《反不正当竞争法》),但是缺乏数据保护的针对性,而相对来说具有数据保护针对性的《中华人民共和国数据安全法》(以下简称《数据安全法》)、《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)却没有将衍生性数据这一类型进行明确、专门的保护;在刑事法域,由于衍生性数据不具有人身识别性,所以不能适用侵犯公民个人信息罪来加以保护。尽管非法获取计算机信息系统数据罪可以适用,但是该罪的构成要件较为简略,存在一定的构成性缺陷,③该罪的犯罪客体是计算机信息系统的安全,犯罪对象仅限于使用中的计算机信息系统中存储、处理、传输的数据,脱离计算机信息系统存放的计算机数据,如光盘、U 盘中的计算机数据不是该罪的保护对象。有必要对其进行重构。另外,衍生性数据与侵犯商业秘密罪中的商业秘密有一定交叉,但存在一定差异,④在该罪的犯罪构成中,商业秘密是不为公众所知悉、仅限于一定范围内的人知悉的事项。而衍生性数据加工集成后,一般可以通过交易出售向民众展示,知悉的范围明显大于商业秘密,且从其本质属性角度而言,衍生性数据是数据技术作用的对象,而商业秘密是对公司发展利好或利空的重要信息,二者虽有交叉但是仍存在本质区别。需要联系具体场景才能加以适用。可以说,目前刑法并没有明确将衍生性数据融入构成犯罪的该当要素之中。
衍生性数据对人身的依附性降低,对平台的依附性增强——产生于个人网络行为,但依附于网络。因此,只有明确衍生性数据的权利属性及归属,才能进一步对侵害该类数据权利的行为进行违法性判断。用户和平台在一定范围内都享有衍生性数据权利,就用户而言,其衍生性数据的权利是“自决权、可携权等数据权利”,⑤王华伟:《数据刑法保护的比较考察与体系建构》;汪庆华:《数据可携带权的权利结构、法律效果与中国化》。这些权利的实现有赖平台提供技术支持;就平台而言,其衍生性数据权利来自对数据的集合、加工和再创造,在合理范围内享有一定的占有权、使用权,同时也负有尽职保管之义务。所以,用户的数据权利也受到了一定程度的削弱:
第一,用户自决权的不完整性。首先,从法理或宪法层面来看,可赋予个人绝对自决权,使衍生性数据权利主体绑定人身属性。有学者认为,不论一般性数据还是衍生性数据的权利保护,只应当从个人法益而非社会公共秩序角度考量。⑥王华伟:《数据刑法保护的比较考察与体系建构》。但是将衍生性数据权利仅赋予个人,可能会造成衍生性数据权利的泛化,将导致整体数据使用和保护的混乱。如果对衍生性数据权利侵害的认定仅仅是以个人的自决权是否被侵害为标准,那么就会造成民事违法和刑事违法之间的混淆,造成司法资源的浪费。其次,衍生性数据权利本身,不仅具有个人属性,也有一定的社会属性。⑦张勇:《数据安全分类分级的刑法保护》,《法治研究》2021 年第3 期。基于其社会属性,应结合数据的存在形态、样本数量、与其他信息数据的结合程度进行大致分类,以采用不同等级的保护标准。其中,“样本数量”在一定程度上反映出数据的社会属性,尤其是对于不具备身份识别属性的衍生性数据,被侵害的只有达到一定数量,才有社会危害性,也才会有刑法规制之必要。所以,在个人自决权的基础上,只有融合社会公共秩序法益侵害的量化考量,才能对达到一定量的衍生性数据的侵害行为认定为刑事违法,如此,针对衍生性数据的权利保护才更为有效。这种量化的社会性标准早在个人信息保护中就有体现,即2017 年《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)第5 条对侵犯公民个人信息罪“情节严重”的认定设置了一定的数量标准,如非法获取财产信息应达到50 条以上,非法获取住宿信息应达到500 条以上等。
第二,用户可携权受限。赋予衍生性数据可携权,并基于此认为个人是衍生性数据的唯一主体易造成数据保护的不周延。在《个人信息保护法》中,可携权针对的是具有人身依附性的数据,所指向的数据对象并不包含衍生性数据。也就是说,可携权在数据本体上仅限于基础性数据。所以,可携权不能作为个人享有衍生性数据权利的依据。退一步讲,即使认为基于可携权可以产生个人的衍生性数据权利,但是基于衍生性数据本身的属性也很难实现:其一,可携权的实现表现在主体携带数据跨平台转移,但对于衍生性数据而言,无法实现从一个平台转移至第三方平台,至少目前无法通过技术加以转移,这是由衍生性数据不具备人身依附性所决定的。衍生性数据对平台具有高度依赖性,需要平台对其进行抓取、筛选、集成后才能使用,这就导致很难被多平台兼容,也就无法实现数据的交换与流通。因此,很难通过个人实现衍生性数据的全平台转移、嵌入以及再使用。其二,衍生性数据本身是留痕式数据,它对个人没有身份识别性(如网页浏览信息),对于单独个体而言携带这样的信息,从隐私权的角度以刑法规制的方式对其加以保护,实际意义不大(民事保护即可)。但对于平台来说,大量浏览信息的汇集,通过抓取、分析、整合,最后形成一定的数据模块,就会具有商业价值,甚至会对企业间的竞争产生很大影响,这就不仅涉及民事领域的商业秘密保护,还可能涉及刑法保护。所以,对于衍生性数据,其真实价值不在个人隐私,而在平台的加工、利用。综上,从有利于数据保护,保障良性的法治网络环境角度来讲,应当弱化用户对衍生性数据的权利主体地位,肯定平台对衍生性数据权利拥有主体地位,同时也应强调平台对衍生性数据的合规管理之义务。
第一,爬虫软件使用人的合理使用义务,涉及民事责任与刑事责任的区分。利用爬虫软件搜索网络信息,一般不具备违法性。大多平台欢迎爬虫软件光顾,看重的是其推广能力;用户进行网络体验,也少不了爬虫软件的使用(爬虫软件是搜索引擎的重要工具),此时爬虫软件体现的是工具性、中立性。但是,如果基于非法目的爬取数据,将爬虫软件作为非法活动的工具,那么就可能构成民事违法,甚至涉及刑事违法。首先,无权或超出其权限利用爬虫软件收集衍生性数据,若未造成严重后果,仅构成一般民事违法,应当承担相应的民事责任。如一般用户需要付费才能看到的图片、文字,被无差别或被特定爬取下来经过释放处理后,无须付费就可以直接使用或转卖给其他平台使用,以吸引更多用户,这是典型的不正当竞争行为。再如,爬取价格信息、用户点击浏览数据等,则可能构成对商业秘密的侵害。其次,当以上违法行为的社会危害性达到一定程度,则可能构成刑事违法。如《解释》第5 条对侵犯公民个人信息罪的“情节严重”设定了财产性信息达到50 条以上、住宿信息达到500 条以上的数量标准。当然,上述量化的信息还停留在身份依赖性的隐私性信息方面,对于衍生性数据的保护也理应遵循以上的定性逻辑。因此,对于利用爬虫软件非法爬取衍生性数据的行为定性,应在量化的基础上区分民事违法与刑事违法。
第二,爬虫软件应用环境的平台管理人,应对平台数据安全承担监管责任。衍生性数据权利具有双重属性,一方面,平台合法累积、再加工、再集成的数据资源,属于虚拟空间管理者自身生产端可以控制的数据资产,平台管理人员当然可以在合理范围内占有使用;另一方面,用户是衍生性数据的制造者,当然对其享有所有权,但该权利依赖平台才能得以实现,从这个意义上讲,用户对衍生性数据的所有权并不完整,实质上是将一部分数据权利“让渡”给了平台。因此,平台在享有占有权与合理范围使用权的同时,也应当对衍生性数据加强管理与保护,其尽职作为义务基于此而产生。那么,如果平台管理人未尽此义务,导致严重的损害后果,即未对违法爬取行为预警、阻止或未设置反爬措施,导致衍生性数据被违法爬取,不仅平台自身的商业利益受到侵害,用户的所有权也受到侵害,平台管理人应当承担相应的民事甚至刑事责任。
第三,爬虫软件的研发者,应对研发爬虫软件的正当性负有审查责任。爬虫软件的研发者作为爬虫技术的提供方,应遵守相关法律规定,保证其职业行为的中立性。如果其具有窃取数据的犯罪目的进行爬虫研发,应承担相应的刑事责任自不待言。但问题在于,如果研发者并不具备主观犯罪故意,仅仅是对技术接受方的违法犯罪行为具备一定的特别认知,而研发者仍然提供爬虫技术的研发服务,那么其是否构成相应犯罪的共犯呢?这就涉及中立性的研发行为在具备特别认知的情况下,是否应当承担刑事责任的问题。特别认知是否能成为归责依据,与认知对象及认知程度紧密联系,通过对爬虫技术研发者认知对象的类型及认知程度的分析,可以对研发行为是否具有共犯属性进行定性,笔者认为,该种情形是可能承担相应刑事责任的,详细分析见后文。
中国采用附属刑法和刑法典双向立法模式,附属刑法的前置法有《反不正当竞争法》、《个人信息保护法》、《中华人民共和国网络安全法》(以下简称《网络安全法》)等。如前所述,这些前置立法的数据范围与法定类型都不包括衍生性数据,显然存在附而不属的情况,现有立法不能明确保护衍生性数据,更遑论衍生性数据所涉及的三方主体的刑事责任问题。另外,附属刑法的前置法对行业规则利用不充分。有关网络爬虫的行业规范是否能成为附属刑法前置法法源,应当在前置法中加以明确,从而为刑事违法性评价的介入设置缓冲地带。目前来看,最为重要的前置法当属《网络安全法》《个人信息保护法》《数据安全法》,但以上立法均没有明确指出行业规则的法源地位。
目前针对数据爬虫犯罪可以适用的罪名有非法侵入计算机信息系统罪、侵犯公民个人信息罪、非法获取计算机信息系统数据罪、侵犯商业秘密罪等,但由于适用对象与规制行为方式的局限性,对爬取衍生性数据的刑事责任认定,存在诸多问题。
首先,从适用对象上看,以上罪名都不针对衍生性数据,甚至将衍生性数据排除在外。如侵害公民个人信息罪是由非法获取个人信息罪修订而来,是指以窃取或者其他方法非法获取国家机关或者金融、电信、交通、教育、医疗等单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的行为。具体法条中涉及的个人身份信息①上述法条中的个人信息仅包括:出售或者提供行踪轨迹信息,被他人用于犯罪的;知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息50 条以上的;非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息500 条以上的。仅是指具有身份识别性的信息,不包括衍生性数据。再如,根据《中华人民共和国刑法》第二百八十五条规定,非法获取计算机信息系统数据罪,是指违反国家规定,侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,情节严重的行为。该罪中的数据②根据司法解释,其中所谓情节严重是指具有下列情形之一的,应当认定为第二百八十五条第二款规定的“情节严重”:获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息10 组以上的;获取前项以外的身份认证信息500 组以上的;非法控制计算机信息系统20 台以上的;违法所得5000 元以上或者造成经济损失1 万元以上的等。实际上也与身份识别信息具有高度的关联性,不包括衍生性数据。又如,就侵犯商业秘密罪而言,商业秘密虽与衍生性数据会产生交叉性关联,可以在某些场景下适用,但是二者在本质属性上是有较大差异的,无法将衍生性数据作为商业秘密加以直接保护。
其次,爬取数据这一行为类型无法解释到以上罪名中。就行为的客观违法要素而言,对于非法获取计算机信息系统数据罪,其行为是在计算机信息系统内部,而爬取衍生性数据的行为方式有多种,可以在移动硬盘中完成,甚至可以通过手机完成。就行为的主观违法要素而言,侵害公民个人信息罪、非法控制计算机信息系统程序工具罪、破坏计算机信息系统罪、非法获取计算机信息系统数据罪等均是典型的故意犯,对于故意利用爬虫软件爬取数据的行为可以适用,但是,平台管理人或者爬虫软件研发者没有尽到注意义务过失导致数据犯罪发生,那么以上罪名就无法规制。
通过上文论述可知,爬取衍生性数据的三方主体责任中的刑事责任包括以下三类:一是爬虫软件使用人的刑事责任、二是网络平台管理人的刑事责任、三是爬虫研发人的刑事责任。以上刑事责任的认定应在数据法治逻辑框架下,并以《数据安全法》等前置法对衍生性数据予以明确保护为前提,才能对三方责任主体的行为类型及其涉及的罪名进行具体分析。
第一,要符合数据法治的发展规律。早在2018 年前后,人们对于网络虚拟世界的研究,就已经层层穿透到了虚拟财产背后最为基本的底层逻辑之中,即虚拟世界的构成元素——数据。目前甚至更为深入地开始研究数据的算力、算法领域,包括数据的运行逻辑以及算力操控,研究越来越细化,这样有利于将责任类型化。与之相应,相关立法也从对虚拟财产性质的界定逐渐推移到对数据的法律保护层面。自2016 年,相继推出了《网络安全法》《数据安全法》《个人信息保护法》等一系列的数据相关立法,在刑事法域也更新出台了治理数据犯罪的新罪名。从整体来看,数据法治的逻辑是清晰且往前推进的,即数据与财产是泾渭分明的。对于衍生性数据这种更加细化的数据类型,其本质上仍属于数据范畴,立法上已有数据犯罪罪名跟进,司法上也取得了实际的应用效果,那么在此大背景下就不能也不应当将数据犯罪又倒回到财产犯罪的认定中去,这既不符合事物的认知规律,也不符合法治发展的逻辑。①人们对虚拟世界的探究动因,主要就在于虚拟环境当中的某些元素,包括数据或者虚拟财产,具有交换价值与使用价值,因此,人们才要去探讨其与现实世界中财产的区别,才会推动出台有别于传统法律的分门别类的专属立法。不能因为衍生性数据具有财产性价值或者财产性利益,就又将其归属到财产犯罪中去,这是法治的“返祖”,在逻辑上也有倒果为因之嫌。所以,对于衍生性数据,还应从数据犯罪现有的罪名中寻找法律治理依据和路径。
第二,要凸显数据犯罪治理,谨慎适用非数据犯罪罪名。衍生性数据加工集成后的数据模型虽然有交换与使用价值,但是同传统意义上的虚拟财产等价值物相比,还是有明显区别的。所以,对于侵犯衍生性数据的犯罪行为,应当适用数据犯罪来治理,若与财产类等其他犯罪相竞合,应谨慎适用其他非数据犯罪。这里以商业秘密为例。衍生性数据往往作为数据服务呈现在商业环境中,在能认定某类衍生性数据构成商业秘密的情况下,若侵犯此类数据,可能会形成侵犯商业秘密罪与数据犯罪之间的竞合。笔者认为,此种情况下,应重视衍生性数据与虚拟财产的本质区别,回归数据犯罪治理的目的,凸显对数据法益的保护,要谨慎适用侵犯商业秘密罪。
第三,要符合刑法罪责刑相适应以及谦抑性原则。爬取衍生性数据犯罪的社会危害性,相较财产犯罪,通常情况下是相对较轻的,若将爬取衍生性数据的犯罪行为直接定性为财产犯罪可能过于严厉,有违刑法的罪责刑相适应原则。对于爬取衍生性数据的违法行为而言,刑法是威慑性的预防性立法,是最后的“防护堤”,不宜过早介入,应将行业规范和前置立法作为缓冲地带,通过行业自治、民事责任、行政责任等形式先行治理,最后再诉诸刑法手段,从而实现刑法的谦抑性原则。
第一,前置法应重新界定数据类型。
目前,数据分类较为多元。一是从数据的表现形式来看,可以分为技术型数据、服务型数据、隐私型数据、公共型数据,单一数据、集成数据等。二是从数据的实质价值来看,又可以分为知识产权型数据、商业秘密型数据、生物识别数据、虚拟财产数据等。可见,网络空间数据由计算机信息系统的技术传输对象逐渐变成了现实的载体,也就是说数据已经从技术中立、价值无涉的状态转化为大数据时代法律所重点关注的对象,因而数据法益具有独立的技术属性与法律地位,并成为法益保护的对象和主要内容。因此,有必要在法律层面对数据类型进行细化,这也是对数据犯罪刑事责任主体归责定性的前提。笔者认为,可以在《数据安全法》中将数据类型进行细化分类。(1)基础性数据,即传统的数据类型。主要包括三种:一是算法或算力直接作用生成的数据,是数据劳动的产物,如应用程序、区块链中的数据等;二是被具体定义为具有人身关联性数据的电磁记录,主要包括具有身份识别信息的相关数据,如人脸信息、私人账户等所有个人信息数据;三是网页等网络环境中用户端的公共数据资源,如微博中呈现的数据。(2)衍生性数据,即静态数据逐渐向动态数据转化过程中,使得某些即使不具备人身属性,但随着其在网络空间积累被不断收集分类后,也具备相应交换价值和使用价值的数据,也有学者将其称为数据的增值部分。衍生性数据可以分为两种:一是衍生性数据中的基础数据,如商品的点击率、下单量、浏览网页痕迹等群体性的选择性偏好,即散状沉淀分布于平台当中的衍生性数据。二是由基础的衍生性数据加工集成再次衍生出来的数据,如以上平台中积累沉淀的数据通过后期加工整理,就可以形成具有使用价值与交换价值的衍生性数据模型,如商业预测分析模型等。
第二,明确爬虫协议的法律地位。
《网络安全法》第十一条规定,网络相关行业组织应按照章程,加强行业自律,制定网络安全行为规范,指导会员加强网络安全保护,提高网络安全保护水平,促进行业健康发展。据此,作为行业规则之一的爬虫协议(Robots 协议),在刑事违法性判断中,应当有其一席之地。爬虫协议的作用是对数据属性进行宣示性界定,明确哪些数据具有私密性,哪些数据可以自由获取,即明确哪些数据是受保护的。依此可以将违反爬虫协议强行获取被保护数据的行为定性为违法。违反爬虫协议是一般违法性的前提,还要进一步考察是否违反《网络安全法》《个人信息保护法》等前置法,当法益侵害比较严重,社会危害性比较大,则有可能构成刑事违法。因此可以说,爬虫协议是刑事违法评价逻辑链条中的开端和基础,其工具属性不应被弱化,应明确其规范性,强化其前置法属性。
从刑法谦抑性视角出发,衍生性数据犯罪刑法规制的重点就是相关罪名解释适用的明确性和细致化,在选取轻罪适用的基础上,要明确行为特点,细化行为模式,使得入罪精准化、出罪规范化,如此才能实现罪责刑相适应,进而平衡衍生性数据治理的法律效果与社会效果。
第一,爬虫软件使用人的刑事责任。
要拓展细化非法获取计算机信息系统数据罪的行为方式。目前该罪名设置的行为类型较为概括,仅局限于计算机电脑内部,而爬虫软件并不局限于电脑端,任何网络互联设备的数据都可能成为爬虫攻击的对象,且其行为方式也很混杂,需要结合衍生性数据的特征进行细化梳理。爬取数据涉嫌的犯罪是典型的法定犯,由手段行为与目的行为竞合而成,应以法律拟制的方式对手段行为和目的行为加以定性。可以将爬虫犯罪行为分为两个部分,抓取行为和使用行为,而使用行为具有多样性,所以可将爬虫犯罪的行为概括为“抓取+N”的行为模式,大致可分为抓取+使用;抓取+展示;抓取+售卖;抓取+帮助。抓取行为即手段行为,使用、展示、售卖等行为即目的行为。爬虫犯罪行为的定性应当在手段行为的基础上,结合目的行为在主客观相统一的范围内进行评价:
首先,利用爬虫软件抓取数据的手段行为实际上是以欺骗方式盗取数据。其行为模式主要有以下几种:第一种是账户欺骗,即通过伪造账户的方式获取数据,包括虚假注册账户、设置虚拟账户、伪造用户和用户端数据来访问爬取数据。第二种是协议欺骗,即通过协议破解,直接侵犯被爬网站的通信协议和加密算法,进而盗取数据。第三种是主体欺骗,即利用爬虫软件伪装成真人用户,通过改机、刷机等方式,骗取设备端的信任从而盗取数据。可见,利用爬虫软件的犯罪手段并不需要高端技术,基本都是基于伪装和破解技术骗取目标网站信任从而盗取数据。然而,以上手段具有较强的隐蔽性和攻击性,倒逼互联网企业不得不采取攻防措施,最终结果就是造成企业资源浪费,降低社会效率,具有社会危害性。
其次,利用抓取数据进行特定目的的犯罪,其目的行为是定性爬虫犯罪的关键。如前所述,将手段行为与目的行为相结合,可以将爬虫犯罪行为分为:抓取+使用(涉及侵犯著作权、商业秘密以及非法获取计算机信息系统数据);抓取+展示(涉及传播淫秽物品);抓取+售卖(涉及侵犯个人信息、传播淫秽物品以及侵犯商业秘密);抓取+帮助(涉及电信诈骗、人身犯罪、财产犯罪等多种犯罪共犯)。而对于衍生性数据而言,由于其不具有人身属性,所以其犯罪类型仅涉及抓取+使用、抓取+售卖和抓取+帮助,具体涉及的罪名包括侵犯商业秘密罪、非法获取计算机信息系统数据罪以及部分共同犯罪。在现实案件中,爬虫软件成为实现犯罪目的的犯罪工具,如非法获取企业的用户商品浏览信息、消费者购买倾向性数据信息等商业秘密,获取后行为人自己参考使用或出售牟利;或者利用爬虫软件破坏相关的计算机信息系统,非法侵入特定领域的计算机信息系统非法获取衍生性信息和数据;或者利用爬虫软件爬取衍生性数据作为帮助手段,实现其他犯罪目的,可能涉及罪数与竞合的问题,如非法获得数据信息后,明知他人利用该数据实施诈骗或其他犯罪,仍提供给他人,那就要在构成共犯的基础上进行数罪并罚。
第二,平台管理人的刑事责任。
平台管理人的刑事责任主要集中在五个领域:色情信息传播;侵犯个人信息或隐私;网络诽谤或侮辱;侵犯知识产权;违反监管义务。对于衍生性数据而言,平台刑事责任主要集中在第五个方面,即违反监管义务,主要包括内外两个方面。
首先,平台内部监管义务。衍生性数据在平台积累产生,平台享有有限权利的同时应当承担相应的管理义务。由于爬虫协议没有强制力,不能有效预控爬虫违法犯罪行为,这也强化了平台的监管义务。其一,平台自身应当创建爬虫协议对衍生性数据加以保护,如果没有爬虫协议实际上就丧失了数据的可保护性,数据犯罪风险成为可接受风险,相当于默许了衍生性数据被他人下载、复制、获取的行为。概言之,如果没有爬虫协议,被害人当然不能主张数据权利。其二,即使有爬虫协议也不能完全保证衍生性数据的安全性。对于平台管理人来说,有了爬虫协议仅是履行平台监管义务的一部分,还应加强网站的管理和维护:需主动规范用户的行为方式,当存在非法爬取衍生性数据的情况时,要及时启动反爬虫预警机制或阻止程序;要定期对整个平台运行环境进行重新清理,提醒用户修改密码,建立防火墙,这些都是平台自身应当承担的监管义务。
其次,平台外部监管的配合义务。根据《网络安全法》《数据安全法》《个人信息保护法》以及相关行业规则与指引,平台公司应当建立数据合规体系,在整体公司合规的框架内构建自上而下的合规治理结构;应建立数据合规自查机制与数据信息历史台账,及时配合监管机关、司法机关的司法活动。配合义务可进一步划分为两种:一是积极义务,即为配合司法机关的调查需求,平台积极采取相关的数据措施,如为司法机关保存数据、解密数据、分析数据与传递数据等,其中当然包括衍生性数据;二是消极义务,即为确保司法机关法律适用的公正性与高效性,网络平台禁止实施某些特定行为,如不得出售转卖敏感信息数据、在特定案件中禁止向司法机关以外的涉案对象提供数据源等。以上都构成了平台一般违法性评价的前置义务来源。在明确以上一般违法性的前提下,在拒不履行信息网络安全义务罪项下应当明确网络平台刑事违法的具体内容:其一,恶意渎职行为。平台对爬取数据的行为明知或推定明知且没有及时处理,如已监控到平台用户穿透平台防火墙,明知其盗取其他用户的相关数据,仍不及时处理的行为等;其二,违规叠加行为。平台故意实施日常维护数据之外的附加行为,如为了盈利对衍生性数据进行类型化筛选、针对性修改,并将其提供给非善意第三人的行为等;其三,拒不履行行为。数据监管机关针对平台的高风险数据以及高风险行为进行风险提示,并督促整改,却仍不履行数据合规义务;其四,拒绝配合行为。对于涉案平台,拒绝配合司法机关调查;或对非涉案的关联性平台,拒绝配合协助司法机关的司法查询等。总体而言,平台主体刑事责任的立法规制应在于提升强化网络平台数据合规的自主性,严格控制刑事责任的启动,从而保证正常有序的网络服务。
第三,爬虫技术研发人的刑事责任。
技术升级发展必然带来技术风险,在实践中技术赋能和技术赋权呈现出“一显一隐”“一强一弱”的非均衡性困境,技术赋能愈发彰显,技术赋权尤甚薄弱,科技企业与个人之间的“数字鸿沟”日趋拉大。①单勇:《犯罪之技术治理的价值权衡:以数据正义为视角》,《法制与社会发展》2020 年第5 期。因此,数据技术的不当运用必然会导致相应的刑事风险:若明知技术使用人或购买人的犯罪行为仍向其提供技术支持,则可能构成相关犯罪的共犯;若对技术使用人的犯罪行为有特别认知或存在认知可能性并放任,则涉及构成提供侵入非法控制计算机信息系统程序工具罪。
首先,爬虫技术研发人以技术研发作为帮助手段,与行为人形成共犯的情况。即爬虫技术研发人为了获取非法利益,根据行为人爬取特定数据的需要,研发编写爬虫软件,故意提供给犯罪行为人使用。也就是说在主观上技术研发人与犯罪行为人提前沟通,明知技术应用的违法用途,仍为犯罪行为人提供爬虫技术支持,那么可以认定技术研发人与行为人已形成合意。同时在客观上其研发爬虫软件的行为为相关犯罪提供了实质帮助,在符合主客观相统一的犯罪该当条件下,应当认定为共犯。
其次,爬虫技术研发人基于特别认知偏离职业行为中立性,客观上加功犯罪的情况。爬虫技术研发人基于行业特征与行业惯例,对于高风险数据所产生的高风险行为一般情况下有较为准确的特别认知,也就是说通过行业经验的实质判断,技术人员能够认识到自己的职业行为是否偏离中立性,如果已经偏离技术行为的中立性,却仍然为他人提供技术支持、放任他人利用爬虫技术实施犯罪,虽然没有意思联络无法形成共犯,但仍可能成立提供侵入非法控制计算机信息系统程序工具罪(间接故意)。因此,研发人员在提供服务之前应当做好尽职调查,对所研发软件的应用领域、应用目的以及签订研发合同相对方的资质应当有所了解。在未做好尽职调查且有特别认真的情况下,就有可能构成提供侵入非法控制计算机信息系统程序工具罪。
再次,爬虫技术研发人的技术本身就是用于违法犯罪活动,形成常业犯的情况。即研发人员主观上就是为数据犯罪提供技术支持与便利条件,客观上研究出售技术具备常业性,即使没有与行为人沟通,也未参与行为人实施的犯罪行为,无法形成共犯,但也可考虑适用帮助信息网络犯罪活动罪或者提供侵入非法控制计算机信息系统程序工具罪。
最后,应尽量保护技术研发人员中立的技术研发行为。在大部分一般的职业技术活动中,技术人员研发活动的主观目的在于获取正常的劳动酬金,客观上上下游的技术研发与使用行为不仅不会危害国家利益、社会利益以及他人的合法权益,还会推动技术革新与提升生产效率,也就是说中立的技术研发行为具有正当性,不应受到刑法规制。作为一项中立技术,爬虫技术对于敏感信息的甄别、风险信息的预警与收集以及司法机关定向抓取数据破获案件都有重要意义。因此,对于技术研发人员不可因其有可能为爬虫犯罪提供技术工具,就对其苛责过多义务,这不利于数据科技的发展与进步。