大数据时代下网络爬虫行为的刑法规制

姜 岚

（海南大学法学院,海南 海口 570228）

在大数据时代，数据因其蕴含的商业价值被称作信息时代的“黄金”和“石油”，是当代社会重要的生产要素。随着信息科技的迅猛发展，网络爬虫成为获取数据的重要方式之一。然而，网络爬虫行为不仅在民法层面引发了大数据权利属性和权利分配的争议，还在刑法层面引起了规制路径的讨论。刑法应当如何规制网络爬虫行为，才能既妥善保护各类法益，又不影响数据和信息的交流共享，成为当前亟待解决的问题。

1 网络爬虫行为刑法规制的必要性与困境

网络爬虫是按照既定规则自动抓取互联网信息的程序[1]。网络爬虫行为是行为人利用网络爬虫技术从互联网平台检索并获取数据的行为。虽然网络爬虫技术本身具有中立性，但网络爬虫行为体现了行为人的主观意志，具有法律评价的现实意义，有必要通过刑法对其进行规制。

1.1 网络爬虫行为刑法规制的必要性

当网络爬虫技术被滥用，给他人、平台和社会的利益带来危害时，技术自治和私法治理无法达到治理要求，则网络爬虫行为需要受到刑法需要对网络爬虫行为予以规制，这具体体现在以下2个方面。

一是技术自治和私法治理无法遏制网络爬虫技术的不当使用。网络爬虫技术自治即反爬虫措施主要有“Robots协议”和爬虫识别技术2种，“Robots协议”作为一种自律协议本身不具有强制性，往往治理效果不佳。爬虫识别技术是利用监控网站流量、设置身份验证等方式来阻止网络爬虫获取数据，拦截效果不尽如人意。在这种背景下，私法开始关注网络爬虫行为对他人利益造成危害的情形。在司法实践中，这类纠纷一般作为知识产权侵权案件和不正当竞争案件处理，法律评价大多针对行为人对所爬取数据的使用行为，却并未关注网络爬虫行为本身的合法性。从结果来看，技术自治和私法治理都无法遏制网络爬虫技术不当使用行为的渐增趋势，网络爬虫行为的危害性正逐步凸显，因此有必要建立最后一道防线，转向刑法规制。

二是网络爬虫行为对刑法保护的法益造成威胁，甚至造成实质性损害，具有一定的社会危害性。一方面，网络爬虫行为威胁计算机信息系统安全。网络爬虫行为在访问和获取数据时会大量挤占服务器的带宽，加重对方系统的负担，影响对方系统的运行速度，导致对方系统无法正常运行甚至崩溃，无法正常为其他用户提供服务。另一方面，网络爬虫行为侵犯他人合法权益。在大数据时代，数据的类型多样且复杂，不少数据涉及个人隐私、商业秘密，甚至涉及国家利益。通过网络爬虫获取数据行为本身有可能侵犯以数据为载体的相应法益，获取的数据还可能被用于电信诈骗、非法放贷、传播淫秽物品等犯罪活动，因此有必要通过刑法规制网络爬虫行为。

1.2 网络爬虫行为刑法规制的困境

虽然我国近年来制定了一系列有关网络安全的法律法规，加强了对数据的保护，但是由于立法总是存在滞后性以及各部门法之间的法秩序统一问题，利用刑法规制网络爬虫行为还存在以下困境。

一是入罪标准模糊不清。一方面，未能明确网络爬虫行为本身是否经过授权，即未能根据被抓取数据的访问权限来区分网络爬虫行为对权益的侵害程度。一般来说，可以根据被抓取数据的访问权限将网络爬虫行为分为违反合约授权和突破技术措施2类，前者仅需承担民事违约责任，后者则需要承担刑事责任，但当前司法实践中却普遍将前者也入罪。另一方面，未能明确网络爬虫行为侵犯的对象，或者没能对被抓取数据的开放程度进行类型化分析。网络爬虫行为抓取的数据可以根据开放程度进行分类，数据的开放程度越高意味着其保密性越低，价值越小，相应的法益侵害性就越低，网络爬虫行为的入罪可能性就越小[2]，但是当前已有不少网络爬虫抓取开放数据被入罪的案例。如何明确区分合法使用和违法犯罪，正确区分罪与非罪，是网络爬虫行为刑法规制的第一重困境。

二是难以区分此罪与彼罪。大数据时代下，网络爬虫抓取数据的方式更灵活多变，加上其入罪标准模糊不清，不同类型的数据所表征的权益各不相同，网络爬虫非法访问和非法获取数据的行为可能触及侵犯公民个人信息罪、侵犯商业秘密罪以及以侵犯著作权罪为代表的知识产权类犯罪等罪名。但在司法实践中，由于举证困难，加之网络爬虫行为本身的复杂性和隐蔽性，司法机关在对其进行刑法规制时，往往基于所抓取数据的物理属性，而未能充分考虑数据背后所承载的权利属性，依照司法惯性倾向于将网络爬虫行为简单地定为非法获取计算机信息系统数据罪[3]。这种定性方式未能全面反映网络爬虫行为的实质危害性，还需要进一步根据数据的法律属性探讨网络爬虫行为的社会危害性，以确保司法裁判的准确性和公正性。

2 网络爬虫行为的罪与非罪

利用刑法规制网络爬虫行为的第一步就是明确入罪标准，即罪与非罪的界限。网络爬虫行为的正当性基础在于数据主体的明确授权，授权通过数据的访问权限和开放程度得以体现。具体而言，数据的访问权限是判断网络爬虫行为是否构成犯罪的形式标准，数据的开放程度是判断网络爬虫行为是否构成犯罪的实质标准。

2.1 形式标准：数据的访问权限

网络爬虫行为的入罪与否在于是否获得数据主体的授权，而数据的访问权限作为授权的关键要素，为其提供了规范性解释的框架。为了确保系统数据不被网络爬虫抓取，有效保护相关主体的合法权益，数据网站在主观上应具备明确的保护意识，并在客观上采取合约授权和技术措施等相关保护措施。

对于违反合约授权的网络爬虫行为，不应以犯罪论处。所谓合约授权，是指数据网站通过明确的意思表示，授予或拒绝他人访问和获取其数据的权限，比如网站的用户协议、服务条款、“Robots协议”等限制网络爬虫行为。合约授权主要包含2种类型：一种是数据网站的单方意思表示，即网络爬虫行为是否违法取决于其抓取数据是否符合数据网站所明确规定的允许抓取的数据范围，这要求对数据网站如何向用户明确传达其限制抓取数据的意思表示和具体范围进行详细考察。二是数据网站与用户的双方意思表示，即是否存在明确且有效的协议来规范网络爬虫行为，重点在于评估网络爬虫行为是否违反了双方所达成的协议。尽管合约授权体现了数据网站对数据保护的主观意愿，但实质上其仍然属于一种非强制性的私立规则，缺乏技术层面上的强制力。因此，违反合约授权的网络爬虫行为通常只构成违约责任，应当依据违约责任的相关规定来评价。值得注意的是，在合约授权的背景下，数据网站有权根据自身利益来界定“授权”的具体内容和范围，认为违反合约授权的网络爬虫行为具有刑事违法性，实际上是将网络爬虫行为的定罪标准交由数据网站自行决定，这种做法可能会过度刑事化非犯罪行为，导致大量普通用户面临不必要的刑事风险，进而导致数据保护与公众利益的失衡。

对于故意规避或强行突破网站所采取的技术措施的网络爬虫行为，应当入罪。技术措施旨在通过特定的技术方法监控并防止他人访问或获取数据，比如设置网站流量监控、设置各类身份验证机制等限制网络爬虫行为。数据网站通过编写程序，授予特定用户获取相关数据的权限，而未获授权的用户则无法访问这些数据。如果网络爬虫行为没有获得数据网站的相应授权，而是通过故意规避或强行突破这类技术措施来获取数据，则应当入罪。这是因为合约授权主要基于网站自身的利益进行主观违法判断，而技术措施更能精确地界定数据网站允许及不允许网络爬虫行为抓取的数据范围，更具客观性和可操作性。另外，相较合约授权，反爬虫技术措施反映了数据网站对数据保护意愿的增强，数据网站利用反爬虫技术措施对隐私数据和共享数据作出了明确区分，当行为人明知自己未获授权，而是通过规避或者突破这类技术措施获取数据时，这种未经授权的行为危害性更大，具有刑事违法性，行为人应当承担刑事责任。

2.2 实质标准：数据的开放程度

除了数据涉及公共利益的情形外，数据主体有权决定数据开放的范围和程度。数据的开放程度可以对授权进行实质解释，通常，数据的开放程度越高，说明其自身价值越低，法益保护需求越低，网络爬虫行为入罪可能性就越小。

对于抓取开放数据的网络爬虫行为，不应以犯罪论处。开放数据是指公众可在任意时间和地点自由访问、获取、分享和使用的数据资源，在这过程中，数据主体主动放弃了对其数据的控制权、获取对价等权利，使得这些数据转化为公共物品[4]。这意味着数据主体对公众访问和获取数据的明确许可，并自愿承担由此可能产生的所有相关风险与后果，因此通过网络爬虫获取这类数据的行为不构成对数据的非法获取，从而排除了网络爬虫行为的违法性。抓取开放数据不仅不构成侵权，无须承担民事责任，而且阻却了刑事责任，不构成犯罪。刑法的目的是保护法益，权利人主动开放数据意味着授权公众访问和获取这些数据，这在刑法教义学上被视为被害人承诺，属于违法阻却事由，意味着权利人（受害人）自愿承担可能的实害后果，可以阻却网络爬虫行为的违法性，因此通过网络爬虫获取开放数据的行为不应以犯罪论处。

对于抓取限制访问、获取数据的网络爬虫行为，应当入罪。限制访问、获取的数据是指由数据主体设定条件和用户范围，以限制访问和获取的数据资源。数据主体通过此种方式保护其重要数据的安全性和保密性，并希望刑法能够提前规制那些未经授权或超越授权的网络爬虫行为。然而，这种网络爬虫行为具体构成何种罪名还需要根据相应罪名的保护法益和构成要件等进行细致分析，这将在下一部分进行详细讨论。

综上所述，网络爬虫行为是否入罪，要经过形式标准和实质标准的双重判断。根据数据访问权限的不同将网络爬虫行为分为2类，对于违反合约授权的网络爬虫行为不应以犯罪论处，对于故意规避或强行突破网站技术措施的网络爬虫行为应当纳入刑法规制范畴。在形式判断的基础上进行实质的判断，根据数据的开放程度将其分类，抓取开放数据的网络爬虫行为不应入罪，抓取限制访问、获取数据的网络爬虫行为应当入罪。

3 网络爬虫行为的此罪与彼罪

关于网络爬虫行为具体构成何种犯罪，理论研究和司法实践众说纷纭，涉及的罪名繁多。笔者认为，可以按照网络爬虫行为不同的行为阶段进行分析。按照时间的先后顺序，网络爬虫行为可分为非法访问行为和非法获取行为，不同的行为阶段可能构成不同的罪名。

3.1 非法访问行为：计算机类犯罪

在网络爬虫行为的第1阶段，非法访问行为可能触犯非法侵入计算机信息系统罪和破坏计算机信息系统罪。

网络爬虫的非法访问行为可能构成非法侵入计算机信息系统罪。根据我国刑法关于非法侵入计算机信息系统罪的规定，“侵入”是指未经过有关部门的合法授权与批准，通过计算机终端对国家事务、国防建设和尖端科学技术领域的计算机信息系统进行访问或数据截收的行为[5]。由于这3类特殊领域的计算机信息系统与国家利益紧密相关，所以我国刑法专门设非法侵入计算机信息系统罪对相关国家利益给予特殊保护。如果网络爬虫行为人明知自己未经授权或超越授权，仍然故意非法访问上述3类特殊领域的计算机信息系统，则其行为符合非法侵入计算机信息系统罪的构成要件，可能因此被认定为该罪。

网络爬虫的非法访问行为还可能构成破坏计算机信息系统罪。根据我国刑法关于破坏计算机信息系统罪的规定，网络爬虫行为若构成此罪，仅限于通过该罪名第一款规定的“干扰”行为方式。对于干扰行为的理解，不宜将其认定为删除、修改、增加行为的兜底条款，而应视为与这3类行为并列的行为方式，有其独立的行为外观样态，干扰是在不改变系统既定运行规则的前提下，造成计算机信息系统运行效率下降甚至崩溃的行为类型[6]。网络爬虫行为并不会改变计算机信息系统既定的运行规则，但如果在短时间内大量非法访问计算机信息系统，造成该系统运行效率下降甚至崩溃，即系统无法正常运行，则构成破坏计算机信息系统罪。

3.2 非法获取行为：根据侵犯的具体法益定罪

作为网络爬虫行为的第2阶段，非法获取行为可能根据所获取数据类型的不同而构成不同的犯罪。具体而言，这种行为既可能构成侵犯公民个人信息罪、侵犯著作权罪等传统犯罪，也可能构成非法获取计算机信息系统数据罪，这需要根据网络爬虫行为所获取数据的类型进行具体的定性分析。

首先，由于不同类型的数据表征不同的具体法益，网络爬虫的非法获取行为根据所获取数据类型的不同构成不同的犯罪。当非法获取的数据具有“可识别性”，能够体现个人信息权，将构成侵犯公民个人信息罪。根据我国刑法第二百五十三条之一第三款的规定，窃取或者以其他方法非法获取公民个人信息的构成侵犯公民个人信息罪。网络爬虫行为有可能被视作此处的“其他方法”，这意味着，如果网络爬虫行为未经授权或者超越授权，擅自获取公民个人信息，那么就可能构成侵犯公民个人信息罪。然而，若行为人在授权许可范围内通过网络爬虫行为获取公民个人信息，或非法获取的数据不具备“可识别性”，无法识别出特定自然人的身份，则不构成此罪[7]。当非法获取的数据具有“创造性”，表征知识产权利益时，将构成知识产权犯罪。实践中多集中于侵犯著作权罪。在“数字版权”时代，尽管作品以数据的形式进行传播，但其核心目的仍未改变，即传达作品的思想内容[8]。从整体看，网络爬虫行为无论是在获取他人作品数据后直接“复制发行”到特定网站供该网站用户使用，还是在获取他人作品数据后通过转码技术、深度链接技术等“爬虫+”的技术手段“搬运”到其他网站，都侵害了他人的著作权，构成侵犯著作权罪[8]。

其次，网络爬虫的非法获取行为同样可能触犯非法获取计算机信息系统数据罪。根据我国刑法关于非法获取计算机信息系统数据罪的规定，该罪指的是违反国家规定，侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据。其核心在于未经数据主体明确授权，擅自改变数据原本的保密状态，非法获取本应保密的数据，从而直接侵犯了数据的保密性需求[9]。网络爬虫行为是法律条文中规定的“其他技术手段”，鉴于其非法获取行为符合非法获取计算机信息系统数据罪的构成要件，因此在司法实践中，通常将此罪作为“堵截性”罪名进行兜底，即将网络爬虫的非法获取行为认定为非法获取计算机信息系统数据罪。

3.3 罪数问题

某一网络爬虫行为可能同时触犯上述罪名中的数个罪名，对此要结合具体案情判断罪数问题。在上述罪名中，非法侵入计算机信息系统罪与非法获取计算机信息系统数据罪在计算机信息系统的范围是相互排斥的，不可能同时构成这2种罪名。

一般情形下，应当将网络爬虫行为作为1个行为整体进行评价，如果1个网络爬虫行为同时触犯上述罪名中的2个或2个以上的罪名，属于同一行为触犯数个罪名，数个罪名间不存在特殊与一般的法条竞合关系，因此构成想象竞合关系，应当择一重罪处罚。唯一的例外情形是，当网络爬虫行为人在非法访问阶段，若其侵入国家事务、国防建设和尖端科学技术领域的计算机信息系统，从而触犯了非法侵入计算机信息系统罪，随后在非法获取阶段又实施了侵犯公民个人信息或侵犯著作权的行为，构成相应的犯罪。在此情境下，非法访问行为可以被视为手段行为，是为了实现后续非法获取数据的目的行为。鉴于非法访问的主要目的就是获取数据，这在司法实践中屡见不鲜，非法访问行为和非法获取行为之间存在明确的牵连关系。根据牵连犯的处理原则，对于此类情形，应当按照所涉及的罪名中的重罪进行处罚。

4 结语

大数据时代、智能化生产以及无线网络革命被公认为引领未来繁荣的三大关键技术变革[10]。大数据时代，各主体运用网络爬虫技术时，既要发挥其高效的优势促进数据的流通与共享，又要明确其法律边界，兼顾对各类法益的保护。网络爬虫技术本身具有中立性，但网络爬虫行为却会滋生一系列的法律风险，对此有必要利用刑法对其进行规制。首先要通过形式和实质双重标准明确其罪与非罪的界限，再在此基础上确定具体的罪名。