在大数据权属不明、行业壁垒森严和监管薄弱等背景下,恶意网络爬虫行为日益泛滥并逐渐异化为各种形态的网络犯罪。涉恶意网络爬虫行为治理的碎片化、滞后性等严重制约治理的效果,已成为犯罪治理中的阿喀琉斯之踵。对涉网络爬虫行为犯罪的治理须采用体系化方式,发挥政策和法律的智慧,平衡其中风险控制和价值利用的关系,方能超越刑事规制单一威慑维度并实现综合治理的“立体”效果。
前言
随着互联网技术的不断进步和广泛应用,社会经济面临的各种安全风险和挑战不断凸显,恶意网络爬虫行为的泛滥已经成为网络社会和数字经济治理的一大痼疾。恶意网络爬虫,是指违反法律规定、超越授权范围或规避反扒措施而非法访问计算机信息系统的行为。大数据时代,危机和挑战始终并存,从公民个人隐私数据被违法收集、泄露,到关键计算机信息系统遭到攻击或破坏,甚至到企业、国家之间的竞争与博弈,均可看见恶意网络爬虫行为的踪迹。当下网络爬虫行为的泛滥绝非单纯的网络安全问题,其逐渐异化为各类新型网络犯罪,甚至演化成影响数据安全、网络安全和经济安全的全局性难题。因此,治理恶意网络爬虫行为的现实意义不仅在于遏制犯罪,其对于维护公共安全、促进经济社会有序发展也具有重要意义。
一、现实透视:涉恶意网络爬虫行为犯罪治理之困境
(一)监管之困:涉恶意网络爬虫行为的规制困局
1.迟滞化防控:规范网络爬虫行为的法律法规相对滞后
囿于法律的明确性和稳定性,其对网络爬虫行为的调整常迟滞于科技的发展。为遏制恶意网络爬虫行为泛滥,国家相继出台了相关法律法规,但仍存在不足。一则是规范网络爬虫行为的法律法规等仍需细化。该类规范原则性规定较多,如网络安全法、数据安全管理办法等规范中不乏诸多原则性、概括性规定,其在规制恶意网络爬虫行为时常难以场景化应用,如何理解和应用存在争议。二则是当前立法尚不能有效规制所有的网络爬虫行为。现实中,利用恶意网络爬虫行为侵犯公民个人信息的犯罪频发,盖因为缺乏诸如欧盟《一般数据保护条例(GDPR)》等成熟的法律法规,随着个人信息保护法、数据安全法的颁布,法律对公民个人信息的保护力度显著提升,但现实中数据采集者(网络爬虫行为主体)的相关权利义务的规定仍有空白,非法收集、过度收集、强制收集个人信息的问题仍然突出,如何规制利用网络爬虫搜集特价机票后仿冒真人用户抢订机票等行为,相关法律尚未明确。三则是涉网络爬虫行为的规制中行政法规与刑事法律衔接不足。如刑法为抑制恶意软件等非法程序对网络犯罪的帮助作用,规定了提供侵入、控制计算机信息系统程序工具罪,但目前尚无行政法规对网络爬虫等软件的开发、功能审查、使用技术标准和法律责任等内容进行界定规定,更难以对开发或编辑非法网络爬虫类软件等行为进行监管,导致执法或司法时对恶意网络爬虫行为及技术帮助行为的事实认定、法律适用等方面存在诸多争议。
2.运动式整治:涉恶意网络爬虫行为的专项治理
涉网络爬虫行为犯罪呈现出跨行业、跨部门的发展态势,并逐渐向集团化、智能化、产业化演变,由此催生了盘根错节的黑灰产业链。该产业链中,上游提供软件、逻辑代码等制作恶意网络爬虫程序,中游利用网络爬虫非法获取公民个人信息等大数据,下游则将爬取的数据出售给不法分子实施犯罪进而将数据变现。如专门向泄密源团体购买数据的个人信息中间商团体,他们根据各种非法需求向泄密源团体购买数据,作为中间商向有需求者推销数据、买卖、共享和传播各种数据库。恶意网络爬虫行为泛滥及黑灰产业的蔓延,加剧了恶意爬虫行为异化为犯罪的风险。如“51信用卡”利用网络爬虫窃取用户数据进行暴力催收,天翼征信、新颜科技、魔蝎科技等明星独角兽企业也曾因类似行为被立案侦查。部分网贷平台甚至将其公司客户的数据接口与“黑爬虫”网站数据接口进行对接,使得“黑爬虫”网站用户有偿在其网站上查询公民信息。对此,有关部门惯于针对性地组织大规模专项整治活动,然而此种疾风暴雨般的运动式治理虽在短时间内收获显著效果,但也存在天然弊端。首先,该种治理模式尚难持久。网络爬虫技术更新极为频繁,目前的监管具有滞后性和片面化,对其治理缺乏长期性和持续性。二是运动式执法具有单一化、碎片化的特征,其协调性和全面性不足。尤其是整治中各自为政、数据信息共享程度低、执法和司法衔接不畅、相关技术人才短缺、软件和电子数据鉴定机构不足等因素严重制约了治理效果。三是部分执法和司法人员对网络爬虫行业及黑灰产业的特征与规则、运行模式、技术逻辑等认识不足,其执法办案能力和意识有待提高,导致治理力度和范围易超出必要范畴。然而,此种“运动式”监管从事前的“视而不见”到事后“猛踩刹车”的急转弯,缺乏对科技创新的包容,极易制约技术创新或进步。如涉恶意网络爬虫行为犯罪并非仅偏安于非法侵害公民个人信息一隅,其侵犯知识产权、实施网络攻击等也是常见犯罪类型,但目前尚未有对应的专项整治。
(二)入罪之弊:涉恶意网络爬虫行为犯罪的司法困境
1.一刀切:恶意网络爬虫行为入罪的“口袋化”
当前网络虚拟空间与现实社会的联系愈发密切,诸多传统法益相继以数据等形式储存于计算机信息系统中,进而使得恶意网络爬虫行为侵害的法益具有多样性,其犯罪类型亦具多样化。令人诟病的是,或囿于司法惯性,惯于保护计算机信息系统安全,易忽视对数据背后所隐含权利的保护,或因为数据的权利归属等问题尚未明确,基于证明标准或取证难度等现实考虑,未能区分所侵害对象的技术属性与法律属性,对诸多涉恶意网络爬虫行为倾向以兜底性罪名进行处理或进行扩张化解释,一概以非法获取计算机信息系统罪处罚。如未厘清抓取数据的法律属性,将诸多侵害知识产权、财产、商业秘密等行为认定为非法获取计算机信息系统数据罪,使得恶意网络爬虫行为入罪呈现出口袋化趋势,属于“司法解释的重叠和司法适用惯性导致的口袋化”。究其原因,则是由于当前的刑事立法仍以技术限定为中心,侧重于计算机系统安全的保护,对信息和数据安全重视不足。
2.局限性:司法对涉恶意网络爬虫行为刑事风险抑制不足
根据德国学者贝克的“风险社会”理论,其主张风险已经成为风险社会的根本冲突之一,风险社会险象环生,传统工业革命的陈旧思维与理念严重阻碍回应风险的能力。技术产生的刑事风险具有不可控性、未知性和难以修复等特征,已成为当前刑法中风险的主要来源之一,对其防控已成为刑法的首要任务。该种风险不断冲击刑法固有的制度和理论,并随之产生了安全刑法或预防刑法理论,其提倡刑法应早期介入,处罚前置以积极防控该类风险。刑法对涉恶意网络爬虫行为风险规范化的过程,同样也是对其法益侵害程度界定的过程,即刑法将该种行为的刑事风险具体化到法益侵害性特征上,并以此为基础确定刑法体系中构成要件的类型化,通过对法益侵害风险的细化,确定该行为的实质危害,进而将恶意网络爬虫行为规范化和类型化。在网络犯罪中,技术和程序是实施犯罪的必要条件,故规范技术或程序是抑制涉恶意网络爬虫行为刑事风险的关键环节。在技术类黑灰产业中,编辑功能强大、专用于犯罪的网络爬虫程序,为下游犯罪的实施提供必要、不法的技术支持,已属于刑法所抑制的风险。这是因为,网络空间的技术性特征使得网络共同犯罪行为,尤其是正犯(为(实行)为)往往严重依赖网络技术,网络技术帮助的危害行为、网络预备行为大量出现。因此,抑制技术类黑灰产业方能阻断非法技术的产生与传播,进而有效遏制下游犯罪发生,但当前司法在抑制此类行为风险时存在不足。一是跨区域办案协作难。法律虽赋予网络犯罪广泛的管辖权,但仍存在分散管辖、协作不畅等难题。二是犯罪取证难。一方面,涉恶意网络爬虫行为犯罪及黑灰产业链跨平台、跨地域作案,案件侦查时间长、难度大;另一方面,涉案电子证据数量巨大且分布广泛,专业技术人员短缺、侦查技术水平限制或缺乏应对新型网络犯罪的经验,导致电子证据取证不够及时和精准。三是法律适用尚未统一。部分新型恶意网络爬虫行为是否入罪、适用何种罪名、如何量刑等尚存争议,如大数据涵盖的个人信息愈发丰富,呈现出场景化、具体化特征,而刑法对此如何界定尚不明确。
(三)立法之殇:刑法对涉恶意网络爬虫行为犯罪规制不周延
1.过于限定非法侵入计算机信息系统罪的犯罪对象
计算机信息系统安全是一个多维度、多层次、多因素、多目标的体系,是当前刑法所重点保护的法益之一。计算机和网络虚拟法益应当包括三个方面:信息内容安全(数据)、信息技术处理安全(计算机信息系统功能)和作为计算机网络中信息传输子系统的通信网络安全(网络安全)。然而,刑法在保护计算机信息系统安全时具有“国家本位”特征,如侵入计算机信息系统罪的犯罪对象仅限于“国家事务、国防建设、尖端科学技术领域”的计算机信息系统,而对侵入此类型以外的计算机信息系统,则须满足相关“情节严重”的标准方可入罪,此种立法设置限制了其对恶意网络爬虫行为的规制。当前存在大量与个人法益或社会法益紧密相关的计算机系统,而云计算等技术的兴起又催生了金融机构、交通运输系统、大型电子商务平台、大型国有企业商业局域网等超大型计算机信息系统,对此类系统中储存的海量数据信息进行筛选、整理和分析,便可获得覆盖社会经济运行重要领域或行业大数据,该类数据不仅涵盖财产权和人身权,还涉及社会基础设施等关键行业或领域的正常运行,具有典型的垄断性和“公共性”,事关网络安全和经济安全。因此,当恶意网络爬虫行为侵入该类计算机信息系统时,无论其是否实施抓取数据、破坏系统运行等行为,其所产生的法益侵害性与当前非法侵入计算机信息系统罪相当,若采取情节犯的入罪模式,刑法在事后介入则难以有效抑制此类行为。
2.将过失排除在计算机犯罪主观归责内容之外
当前刑法未将过失作为侵入计算机信息系统罪、破坏计算机信息系统罪等计算机犯罪的主观归罪内容。现实中,网络犯罪和计算机犯罪的实施愈发依赖于网络技术,技术的先进程度往往决定了网络犯罪的危害程度和结果,即使是过失行为,在特定情况下也会造成不可估量的危害结果。故从技术和法律的角度看,非法侵入计算机信息系统和破坏计算机信息系统行为中必然存在过失的可能。比如,网络爬虫作为模拟人工点击的程序,其执行任务不需要程序控制者全程亲自操作,当控制者由于疏忽大意或过于自信,遗忘或疏于管理部分网络爬虫,导致网络爬虫始终按照既有指令执行相关任务。此时,基于网络爬虫行为自动性、规模性和便捷性的特点,其执行相关任务处于盲目、无休止的状态,直至网络爬虫所在的服务器到期,其难以辨别访问的范围、对象、手段等是否触及法律禁区,极易产生刑法上的法益侵害结果。
二、追根溯源:涉恶意网络爬虫行为犯罪泛滥之成因探析
(一)各自为政:行业壁垒催生涉恶意网络爬虫行为异化为犯罪
根据国家工业信息安全发展研究中心发布的《2019中国大数据产业发展报告》显示,截至2019年,大数据产业规模超过8000亿元,预计到2020年底将超过万亿。数字社会中,政府治理、金融、交通、教育等行业对大数据的需求与日俱增,众多互联网企业亦将大数据作为维持自身竞争力的资源或财产,对大数据的流动持谨慎、保守态度,并采取相应措施予以保护。因此,数据抓取行业壁垒森严,数据垄断或集中的特征格外明显。部分资金雄厚、技术领先的部门或企业汇集了绝大部分数据资源,其惯于利用各种手段拒绝行业后入者获取数据,致使大数据流通中产生了现实壁垒,尤其是政府部门和行业巨头对数据资源的独占性严重、数据资源共享性较差和数据资源管理不规范的现象突出。毫无疑问,将大数据作为一种“私有财产”而“保护起来”,是形成数据壁垒的原因之一。如诸多网站、大数据平台或App在Robots协议中明确拒绝抓取相关内容,或通过UA(别(浏览器标识)别)、设置IP访问频率、请求的时间窗口过滤统计等方式限制或拒绝网络爬虫访问。然而,进入市场者非法获取数据行为的原动力极为强烈,易导致其实施的恶意网络爬虫行为。究其原因,则是因为其所需的稀缺性和非替代性数据多集中于行业巨头或政府部门,难以从合法、正规的渠道获取相关数据,且部分数据经营或维护成本高,市场后入者基于“搭顺风车”的心态,意图利用他人现有数据开展业务,易以恶意网络爬虫行为非法获取数据。
(二)权属不明:大数据所有权争议易导致恶意网络爬虫行为肆无忌惮
时至今日,网络空间与现实社会的联系已经呈现出全方位、多层次的趋势。大数据作为传统法益在现实生活的延伸,其所蕴含的内涵日益丰富,而数据安全也逐渐衍化为刑法中的新型法益,并成为恶意网络爬虫行为频繁侵害的对象。大数据作为科技发展的衍生品,其在互联网经济时代的重要性和价值不言而喻,属于众多企业重要的竞争力或资源,这导致企业之间对大数据的权属争议层出不穷。如华为与腾讯的数据之争、顺风与菜鸟之间的接口门事件、新浪诉脉脉案、大众点评诉百度案。在理论界,大数据权利归属存在四种观点,即数据归个人所有、数据归个人和平台共有、数据归平台所有、数据归公众所有。但上述观点缺乏法律效力,并不能解决现实中数据权利归属问题。司法实践中,大数据权利归属不明体现在数据的所有者、使用者和保管者的权利义务不清、侵害数据行为的法律后果不明等方面,如在涉网络爬虫行为侵权案件中常因难以确定受侵害主体而导致相关责任无法界定。不法分子常利用上述法律空白,肆意利用恶意网络爬虫行为抓取数据,进而导致其异化为各种形态的犯罪。
(三)防治乏力:涉恶意网络爬虫行为的治理体系化不足
随着诸多传统犯罪相继蔓延至网络空间,导致网络爬虫行为治理面对的现实环境愈发严峻和复杂,而当前治理的体系化不足严重制约了治理的效果。首先,规范网络爬虫行为的法律法规、政策性文件或技术性标准等内容杂糅、条款分散,导致各部门法在治理中的协同性不足。治安管理处罚法、网络安全法、数据安全法、个人信息保护等部门法从自身视角规制涉恶意网络爬虫行为,部分规定相对模糊或零散,在执法和司法中难以准确适用。譬如,当前法律对个人信息与个人隐私的内涵界定不明,而前者的范畴仍在不断扩大,导致涉恶意网络爬虫行为侵犯公民个人信息时的民事、行政或刑事责界定模糊,对其治理时的执法与司法衔接不足。其次,当前对恶意网络爬虫行为的治理具有被动性和回应式的特征,难以从全局化的角度回应社会治理的要求。盖因为,当前法律法规多从市场准入角度来制定监管制度和策略,并未从源头限制网络爬虫非法应用的能力,具有典型“重事前准入,轻事中治理”的特征,对于网络爬虫行业准入之后如何防范、处置违法犯罪尚有空白。且数据安全、网络安全等内容在刑事法律中尚未涉及或尚不明确,纵观网络安全法全文,其仍偏重对网络运行安全的保护,疏于对网络犯罪的防治。因此,法律在治理网络爬虫行为时常显得捉襟见肘,如对利用网络爬虫行为非法修改、删除个人信息的行为无法直接以侵犯公民个人信息罪处理,只能认定为破坏型数据犯罪,导致刑事治理的效果大打折扣。
(四)自律缺失:网络爬虫行业自治规范尚未统一
恶意网络爬虫行为主体中企业等组织居多,盖因为大规模的网络爬虫行为是基于经济性目标,需雄厚的技术和资金支撑。故从经济学角度看,网络爬虫行为多体现为市场主体的经济行为,其泛滥与行业共识难以达成、行业规范尚未统一密切相关。大数据作为当前企业获取竞争情报、支撑企业战略决策的重要工具,有利于降低企业经营成本,提高企业整体分析研究、市场快速反应等能力,从而增强企业核心竞争力。换言之,企业掌握用户的数据即能获取市场需求,进而获取竞争力和资源。为维护行业内部获取数据的秩序,防止行业内部恶性竞争,行业自律公约等规范应运而生。然而,在制定网络爬虫行业自律公约时,互联网巨头基于各自商业利益和垄断地位,制定了诸多苛刻、严格的行业规范,这对行业后入者和中小企业的发展形成一定的掣肘。因此,诸多互联网中小企业对涉网络爬虫行为的行业自律规范认可程度低,对该规范的遵循度不足。譬如,Robots协议(机器人协议)作为网络爬虫行业自律规范,仍无明确的法律效力,仅具有警示性的作用,其在执法和司法中的效力仍存争议。行业自律规范的缺位,进一步致使网络爬虫行业新的通用共识和行业性规范难以形成。部分网站或APP甚至通过事先声明、用户协议等方式拒绝数据爬取或限制正常抓取数据,导致部分网络爬虫行为违反法律规定或超越授权范围抓取数据,进而僭越刑法底线。
(五)一枝独秀:网络爬虫的技术优势放大其异化为犯罪的风险
现实中的网络爬虫多由数种爬虫技术结合而成,其所具有的自动化算法致使其在扫描计算机信息系统漏洞、抓取数据等方面具有独特优势。尤其是在抓取数据方面,网络爬虫行为的精准性、广泛性、高效性的特征,再加之网络爬虫技术门槛低,稍懂编程技术即可编辑网络爬虫软件,技术资源获取途径便捷,其逻辑结构和源代码可在网上随意获取。上述技术优势使得网络爬虫在系统安全维护、数据搜集、行政执法等领域得到广泛应用。不法分子利用网络爬虫的技术优势,将其视为恶意爬取数据的不二法门。再加之部分企业应对涉恶意网络爬虫行为犯罪的能力和意识投入不足,数据安全防护则相对薄弱。因此,在上述诸多因素的影响下,基于牟取不法利益的驱动,恶意网络爬虫行为易异化为各类新型网络犯罪。
三、法理反思:涉恶意网络爬虫行为入罪的价值平衡之梳理
网络爬虫行为极大地促进了信息交流共享,为互联网经济的发展带来巨大的价值,但其亦给网络安全和秩序带来了挑战,对固有的刑法理论带来诸多冲击和改变。
(一)鼓励与规范:大数据刑事立法保护理念之转变
网络爬虫行为对于促进信息共享、推动社会经济发展具有极大价值。一方面,网络爬虫行为有利于消除数据鸿沟。网络的本质与价值在于连接,核心是实现数据的流动与分享。网络爬虫作为数据抓取的技术工具,通过爬行增强了网络节点间的联络,提升了网络的整体价值,是构建互联网开放与共享理念的重要技术基石。其能有效获取、筛选、整理和分享互联网信息,促进信息共享和交流,打破信息垄断和交流的壁垒。另一方面,其可对大数据进行搜集、处理和分析,从而发现潜在的问题或商机,强化互联网作为社会经济生产、生活要素共享的平台作用,从而优化生产要素和资源的合理配置。因此,早期出于促进数字经济发展需要,法律(刑法)对网络爬虫行为采取默许或肯定的态度,故此时立法和监管相对宽松。宽松的个人数据保护法有利于社会总福利的增加,有利于发挥数据跨境流动与劳动力迁移的替代效应,降低社会费用,有利于发挥社会有序和无序的双义作用,提升信息技术创新。科技发展丰富了刑法调整的社会关系,拓展了其适用的空间和对象。在数字经济中,数据权利和数据安全愈发成为刑法保护的新型法益,部分恶意网络爬虫行为也成为刑法所规制的对象。然而网络爬虫行为的完善需要过程,其技术行为的法律本质尚难一次性清晰,刑法过早介入虽能达到及时规范的目的,但易阻碍或扼杀技术创新,降低其创造的活力或福利。故刑法在技术发展早期的态度稍显谨慎和谦抑,须充分观察、防范其带来的问题和危害,为技术进步创造时间和空间。这是因为,互联网与网络爬虫技术在不断发展,因而无法预见相关新型网络犯罪行为的性质和范围,立法者与司法者需要观察并研究网络爬取行为在相关主题和网络之间的互动本质,通过技术区分保护原则制定适应互联网世界规则的刑事法律来补充保护相关数据主体的法益。故法律在技术发展后期愈发重视对数据法益的保障,更加强调对网络爬虫行为的规范或指引。
(二)量变与质变:恶意网络爬虫行为易从一般违法转化向刑事违法
网络爬虫行为的法律边界并非泾渭分明。技术诞生伊始,囿于技术水平的限制,恶意网络爬虫所非法获取的数据有限。如第一代网络爬虫“静态网页爬虫”由简单的“HTML文本+JS+CSS”构成,只能对静态网页上的内容进行爬取,其所获取的内容较为有限。此时,互联网行业发展尚处雏形,网页数量和储存数据相对较少,网络爬虫行为抓取的数据范围和深度有限。但随着社会经济的信息化、数据化程度逐渐提升,网络爬虫技术日臻成熟,其产生的危害性不同以往:首先,其爬取的范围和深度不断扩展。如深层网络爬虫、聚焦网络爬虫等综合型网络爬虫,其所爬取的范围涵盖网页、APP等媒介,不但可抓取允许爬取的内容,还可搜索网页的链接,并通过技术手段反向破解,获取进入网页系统内部爬取信息或数据。其次,数据所蕴含的价值被法律认可,其具有财产、身份等多重法益属性,恶意网络爬虫行为极易因为手段或对象等不法而触犯刑法。最后,恶意网络爬虫行为运行的自动性和无序性极易产生刑法上的危害或风险。基于自动化算法,网络爬虫行为按照既定指令爬取数据,当管理人员疏于审查时,其所获取的数据中易含有法律禁止抓取的内容。而基于技术优势,其也易异化为新型网络犯罪手段,如大批量恶意网络爬虫频繁访问系统,形成“群狼式”攻击,导致系统崩溃或瘫痪,其规模效应几乎等同于Doss攻击。
(三)中立与越界:恶意网络爬虫行为对“技术中立”价值的偏离
司法实践中,被告人常引用“技术中立”“技术无罪”等理由为涉恶意爬虫行为犯罪进行辩解。技术中立的基本含义是只要一项技术构成实质性非侵权使用,不管这种技术是否被用于合法或有争议的目的,技术服务提供者都不必对用户实施的或可能实施的侵权行为承担责任。即使技术服务提供者知道其提供的技术存在被用于侵权的可能,也不能因此推定其故意帮助他人实施侵权。正常的爬虫行为对于整合互联网数据,推动社会创新和发展有积极促进作用,但刑法中的恶意网络爬虫行为超越授权范围、违反行业规范或法律规定访问系统、抓取数据,其并非属于中立的技术。技术中立主要包含功能中立、责任中立、价值中立:功能中立是指技术在发挥其功能和作用的过程中只要遵循了自身的功能机制和原理技术就实现了其使命;责任中立把技术功能与实践后果相分离,即技术使用者和实施者在主观上没有故意的情况下不能对技术作用于社会的负面效果承担责任。技术中立的功能观和责任观都指向了技术中立的价值维度,或者说功能观和责任观都在更深层的意义上蕴含着价值中立的立场。然而,从认识因素上看,行为人一般对恶意网络爬虫功能的非法性有概括或具体的认识,如部分网络爬虫具有搜索公民个人信息、知产作品等非法功能。从行为类型上看,恶意网络爬虫行为表现为超越授权范围、规避技术措施或过度访问计算机信息系统抓取数据。刑法视野下网络爬虫行为的合法性、正当性和必要性来源于被访问对象(如数据主体)的授权或法律法规的规定,同时与数据的访问权限和开放程度相关,并由此衍生出的技术排他性规则和数据排他性规则,这是判断恶意网络爬虫行为入罪的两个维度。从结果上看,恶意网络爬虫行为不仅直接侵害数据完整性、保密性等,更破坏了网络信息安全及营运环境。故恶意网络爬虫行为运行目的具有非法性,价值取向明显偏离了数据交流和共享的初衷,其具有刑事可罚性。本文认为,司法实践中对技术中立作为涉网络爬虫行为犯罪的抗辩理由时,可根据客观归责等理论,对技术中立性进行适当限制。
(四)自由与秩序:恶意网络爬虫行为易挑战现有的网络秩序
数字社会中,社会和公众对数据的需求日益迫切,但也极易陷入浩如烟海的大数据中无所适从。为适应社会需求,网络爬虫技术应运而生。法律允许合法的网络爬虫行为,并通过法律法规保护其经合法手段搜集、分析和整理的数据,赋予特定主体对该类数据控制、使用、收益和处分的权利,从而推动大数据的共享、交流,刺激社会经济的需求点,激发社会的创新活力。如“共享经济”的兴起,依托大数据来满足公众的多样化需求。此时,合法爬取他人数据并未违反法律和行业规范,这属于互联网时代特有的权利。但数据抓取存在灰色地带,易滋生违法犯罪行为。互联网领域属现实社会在虚拟世界的延伸,仍属于现实社会秩序的组成部分,绝非法外之地。恶意网络爬虫行为不仅侵害数据法益,亦侵害公平、自由的数据竞争秩序和网络安全。从竞争法的角度而言,规制数据竞争的核心目标是维护数据要素市场的竞争秩序和竞争机制,这既需要兼顾数据控制方与数据使用方的利益诉求,也需要均衡数据资源的产出激励效率和配置使用效率。因此,法律有必要对恶意网络爬虫行为予以规制。可以预见的是,信息空间缺乏法律规制必定是混乱无序的,若不限制信息的任意流动,必然造成对他人信息的侵害,信息自由也因此缺乏法律保障,呈现出信息空间的无政府主义的趋势,长远来看此种状态反而会更大地限制信息的自由流动。自由价值强调数据的自由流动,秩序价值强调国家对数据信息交流的管控。随着社会对数据的需求呈现出多元化、立体化的趋势,数据获取、交流和共享中必然存在碰撞或冲突。法律虽赋予公民在大数据时代获取、共享数据和信息的自由,但前提是遵守法律法规或尊重他人的智力成果,即不得损害他人的利益,如不能采用技术手段突破技术保护措施强行抓取数据。当恶意网络爬虫行为僭越法律规范非法获取数据或扰乱计算机信息系统运行时,这不仅侵害相关法益,制造了刑法所不允许的风险,同时也严重扰乱网络空间的既有秩序,超出自由的应有之义,理应受到刑法的制裁。
四、体系化规制:涉恶意网络爬虫行为犯罪的治理路径探索
恶意网络爬虫行为治理难题的本质是数字经济发展与数据安全防护存在矛盾,对其进行体系化治理是破解当前治理困境的必由之路。
(一)立法完善:扩充计算机犯罪的故意内容和对象范围
1.将过失作为计算机犯罪的主观归责内容
我国的计算机犯罪系1997年修订刑法时设立,彼时信息网络与社会经济的融合度明显不足,计算机犯罪对现实社会的影响较为有限,刑事立法对涉及计算机技术犯罪的危害性判断与普通刑事犯罪并无差异,仍秉承“以故意犯罪为原则,过失犯罪为例外”的惯例,将故意支配下的部分社会危害行为纳入刑法调整。此时,因过失行为所产生的危害性较小,并无刑事处罚的必要性,刑法并未将其作为计算机犯罪的主观归责内容。然时至今日,随着计算机网络与社会现实间深度融合、互联互通,计算机技术、信息网络对个人法益和社会法益的影响日益增大。当前的网络汇集了数以亿计的个人信息、金融数据、商业秘密等重要内容,其已成为企业经营和社会治理的重要领域,网络安全也成为国家安全、公共安全的重要内容之一。在此背景下,计算机犯罪中因过失而侵害相关法益的危害性不同于以往,在主观过失的情况下,利用网络爬虫行为抓取数据、扰乱、控制或破坏计算机信息系统等行为造成的社会危害性与主观故意支配下的同类行为并无本质区别。如被遗忘的网络爬虫在无人监管的情况下,大批量、高频率访问计算机信息系统,易造成被访问的对象系统崩溃或无法访问,或因为抓取到法律禁止获取的数据信息,产生数据泄露等危害结果。又如有关编程人员疏忽大意或者过于自信导致使用的网络爬虫部分功能超出设计预期,产生法律所禁止的危害结果。这种情况是不可避免的,因为计算机程序不可能完全执行人的意志,这也就是在软件开发中要“试错”的原因,甚至软件“升级”也是为了克服不完美的设计缺陷。故本文认为,在立法上可参照刑法分则中危害公共安全罪中的过失类犯罪,将过失作为计算机犯罪的主观内容之一,同时设定相对轻于故意犯罪的法定刑,建立疏而不漏的严密刑事法网,方能全面抑制涉恶意网络爬虫行为犯罪,以强化对数据安全、网络安全的刑事保护。
2.扩充侵入计算机信息系统罪的犯罪对象
侵入计算机信息系统罪的对象是与国家事务、国防建设、尖端科学技术领域相关的计算机信息系统,该罪采取行为犯的立法模式,不需要侵入行为造成何种结果,一旦实施侵入上述计算机的行为即构成犯罪。但是对于侵入上述计算机系统以外的行为,根据刑法修正案(七)的规定,须满足“情节严重”的条件方可入罪,即以情节作为犯罪成立与否的标准。随着网络深深嵌入社会经济生活的各领域,网络已经成为众多传统法益或新型法益的集中地,而联网、物联网、区块链等行业蓬勃兴起,进而使得以大数据所代表的法益以数量级的模式暴涨,以网络为空间、手段或对象的犯罪已成为犯罪的主要形态。刑法在规制恶意网络爬虫行为时,若固守传统的立法模式,将本罪的犯罪对象仅限定在上述四种类型之中,那么面对侵入金融机构、大型电商平台、交通运输平台等基础性和服务性计算机信息系统的行为,刑法若只能事后规制,显然不利于发挥其法益保护功能。当前,除政府部门拥有数以万亿计的大数据外,阿里巴巴、腾讯、华为等企业在其庞大的消费者群体支撑下,其同样汇集了数以亿计的大数据,涉及个人信息、消费、行踪、信用、经营等内容,再加之云计算平台的出现,其日常可储存、处理海量级别的大数据。该类计算机信息系统与经济、社会各领域深度相连,使用者具有广泛性,具有准公共性和基础性的特征,部分行业或领域的大数据又属于判断经济形势、行业发展现状的重要情报资料,甚至涉及企业商业秘密、国家安全和社会公共利益。如2022年上海某信息技术公司的员工向境外提供我国高铁运行数据,涉嫌危害国家安全。因此,恶意网络爬虫行为侵犯法益日趋于复杂化、多样化,已逐渐拓展至国家安全、知识产权安全、公民数据隐私安全等众多领域,其理应是刑法予以重点保护的对象。故本文认为,应将基础性或服务性的云计算信息系统、金融机构、交通运输行业、电信、电商等超大型数据平台纳入计算机信息系统罪范畴内予以保护。
(二)司法规制:发挥刑法对涉恶意网络爬虫行为犯罪的堵截功能
1.恶意网络爬虫行为入罪的去口袋化
针对司法实践中恶意网络爬虫行为入罪呈现出口袋化趋势,本文认为应区分所抓取数据的法律属性等内容,不能简单以非法获取计算机信息系统数据罪等兜底性罪名处罚。具体而言,应严格区分网络爬虫行为的不同形态特征,根据网络爬虫的功能、其所侵入的计算机信息系统类别、抓取数据的法律属性、行为类型、法益侵害性和主观认知等严格区分,并依据刑法第287条之二第3款规定优先适用其他罪名。即根据网络爬虫所抓取数据的内涵、结构、功能等明确其法律性质,若其属于财产、商业秘密、知识产权作品(淫秽物品)或公民个人信等范畴,则分别以盗窃罪、侵犯商业秘密罪、侵犯著作权罪(传播淫秽物品牟利罪)、侵犯公民个人信息罪等罪名处罚;若所抓取的数据不属于上列范畴,则依据数据的物理属性(计算机信息系统数据),以非法获取计算机信息系统数据罪处罚。
2.强化对涉恶意网络爬虫行为及黑灰产业的刑事堵截
根据积极的刑法观,在恪守罪刑法定原则的基础上,充分发挥帮助信息网络犯罪活动罪、非法利用信息网络罪等堵截性罪名对恶意网络爬虫行为的抑制功能。在当前网络黑灰产犯罪生态中,提供犯罪程序、工具是犯罪“去高技术化”的关键,如果不能有效遏制该类行为,就无法控制网络犯罪生态的“野蛮生长”。这是因为,以往的技术类黑灰产软件多由个体开发,但随着分工日益精细,编辑者可在极短时间内将若干个独立模块拼装成新的软件,大幅降低了开发难度。而黑灰产软件技术群、网站的存在更是推波助澜,加速了黑灰软件的传播与技术升级,强化了其为下游犯罪实施“输血送粮”的作用,部分监管难度大、非法功能强大的网络爬虫软件直接决定了下游网络犯罪的规模、危害程度和成功率。因此,有必要发挥刑法相关堵截性罪名的规制作用。譬如,对设立传授、制作具有非法功能的恶意网络爬虫程序的网站、通讯组群,或发布制作恶意网络爬虫程序的相关逻辑代码等信息,可以非法利用信息网络罪处罚;对为他人实施网络犯罪而提供恶意网络爬虫软件的行为,则以提供侵入、非法控制计算机信息系统程序、工具罪论处。须注意的是,对提供双用途(合法使用与非法使用)网络爬虫的行为定性时,应查证行为是否明知他人将网络爬虫程序应用于违法犯罪活动。就技术中立角度而言,网络爬虫程序是众多网络产业的重要产品,不能因其具有以上功能,就机械地将其认定为“专用于侵入、非法控制计算机信息系统的工具”,应从案情实际情况出发,考察其是否可能用于其他合法用途:若可肯定,则应认定为双用途程序、工具;若需要将相关行为认定为该罪,应查实行为人主观明知的内容,防止该罪不当扩张。此外,为发挥刑法对网络爬虫行为犯罪及黑灰产业的威慑作用,对利用职业便利实施犯罪的职业犯、惯犯等,可根据犯罪具体情况和特殊预防的需要,加大财产刑和从业禁止的适用,从而剥夺或限制其再次犯罪的机会。
(三)自我救济:企业对涉恶意网络爬虫行为犯罪的监督与防范
1.完善刑事合规制度
刑事合规制度对于企业的救济作用体现在单位犯罪、共同犯罪和免责事由三方面。司法实践中,惯例是将单位主要负责人在职责范围内为单位利益而以集体决策形式实施的犯罪定性为单位犯罪,这导致单位犯罪的追诉严重依附于对自然人的追诉。合规制度可凸显出企业自主经营的合法性、规范性,将自然人利用制度或职权上便利将单位作为犯罪工具的行为剥离,从而阻却共同犯罪故意或作为出罪事由。本文对此设想如下:首先,培养企业刑事合规队伍。吸纳法律、技术、管理等复合背景的人才,以保持对刑事政策、法律法规和业务内容的敏感度,提高合规队伍的业务素质和工作能力。其次,建立由上至下的合规机制,重视风险预警与识别。企业将内部风险防控责任、监督管理义务细化至网络爬虫行为业务的常态化管理中。一方面,要合企业或行业特点,明确网络爬虫行为的刑事风险节点,从而甄别、预知和规避相应的刑事风险,并将法律法规、行业自律公约等规范转化为企业制度,并明确违反上述制度的责任。另一方面,制定规范的网络爬虫行为操作规章,明确行为对象、行为规则、责任等内容。如优先抓取已脱敏、不可识别特定自然人、不可复原的数据;避免未经授权、超越授权、利用系统漏洞或规避反爬措施抓取数据;严禁编辑具有抓取公民个人信息、知产作品、商业秘密等非法功能的网络爬虫,如在设置爬取对象、访问频率等参数时进行必要限制。此外,要建立企业内外部违法违规举报机制,为刑事合规提供预警或线索。最后,重视事后监管,建立企业合规风险处置和反馈机制。一是要建立定期评估机制。如企业应及时评估网络爬虫行为的频次是否对计算机系统运行造成干扰,避免给被访问计算机系统造成过重负荷,当网络爬虫行为扰乱被访问系统运行时,应立即停止访问。二是要建立事后救济机制。如网络爬虫行为抓取到法律禁止或未经授权的数据要及时反馈,采取删除等方式处理,严禁进行储存、转让或使用;企业收到监管机构的执法通知或被侵权单位反馈后应及时上报和沟通,积极履行相关义务。
2.合理设置单方授权文本
当前诸多单位以Rbots协议、用户协议、权责声明、使用条款等法律文本形式对网络爬虫行为进行限制,但部分文本条文过于粗糙,其指示性和警示性不足。以Rbots协议为例,诸多条文晦涩难懂,表达过于专业、复杂和繁琐,对网络爬虫行为的指导性和警示性不足。本文建议,将相关法律条文与上述文本内容进行关联,以强化文本的法律协议属性,以期增强其明确性和指引性。如在设置Robots协议等单方授权文本时加入自然语言与相关的法律条文,将该协议与网站的使用协议进行关联,并通过法律协议的形式对计算机语言表达的涵义进行详尽阐述,赋予该协议以合同形式的法律涵义,从而赋予其单方明示的法律效力,强化其作为维权依据或警示性作用。
3.强化网络爬虫行业自治
行业自律公约等规范促进群体性内在约束力的形成,可有效弥补法律法规监管盲区,消除监管的僵化。当前,自律公约中仅有《互联网搜索引擎服务自律公约》等对网络爬虫行为提供规范或指引,但该公约的适用存在不足:首先,其参与者仅有百度、腾讯、网易、新浪等12家大型企业,大量的互联网中小企业尚未参与,其所发挥的作用范围有限。其次,其制定于2012年,难以适用于当前种类繁多的新型网络爬虫行为。对此,社会应支持利益各方在相关行业或领域积极探索网络爬虫行业的通用共识,以期形成新的行业自治公约。对此,可在自律公约中以“负面清单”的形式来明确网络爬虫行为的法律边界。如应严格遵守网络爬虫协议;未经他人允许,不得使用网络爬虫扫描他人计算机信息系统漏洞;网络爬虫行为所占流量不得超过被访问系统日均流量的1/3,不得扰乱他人计算机信息系统运行;在抓取大数据库、内容聚合平台时,在用户知情同意的前提下,应遵循“用户授权+平台授权+用户授权”的原则。
(四)多管齐下:涉恶意网络爬虫行为犯罪及黑灰产业的体系化治理
当前的网络爬虫行业呈现出监管未动、行业已经“裸奔”的趋势,并随之滋生出众多网络爬虫黑灰产业,这在金融领域尤为明显。黑灰产业为网络犯罪“输血供粮”,危害严重,对其如何有效规制,已经成为我国刑法理论和实务必须面对的问题。对涉恶意网络爬虫行为犯罪及黑灰产业治理须采取体系化的手段,方能实现数字治理与发展的终极目标。
1.建立“线上+线下”的治理模式
“线上+线下”的治理模式即在网上建立涉恶意网络爬虫行为及其黑灰产业的防控体系,线下加强监管与打击。首先,利用技术手段重点监控涉恶意网络爬虫的综合交易或交流平台,发现相关违法违规信息等,利用行政监管手段及时处置,关停或遣散相关违法群组和论坛,或及时固定服务器数据,深挖犯罪及黑灰产业链上下游环节,实现一体化治理。其次,对于线下治理,一则要关注网络爬虫技术革新及发展动向,重视全球和国内数据治理的发展动态,从全局的角度来认识和应对涉恶意网络爬虫行为及黑灰产业。二则要加强对重点行业、领域和新型网络爬虫行为的监管,增强监管的预见性和针对性。重点关注社会经济和产业发展核心领域中数据抓取的问题,强化对人工智能、区块链、物联网等新兴领域内恶意网络爬虫行为的治理;要重视治理的场景化,对数据抓取的正当性、必要性和合法性判断应结合具体场景、行业、用途等因素综合考量;强化对网络爬虫软件行业监管,可通过实名制、功能检测、备案溯源等制度,遏制功能强大恶意网络爬虫软件的产生或传播。三则要以行政管理为基础,发挥各部门法的相对优势,平衡行政监管和与刑事打击在治理的关系。若采取行政管理手段可以遏制的,优先以该手段予以整治;若采用行政处罚难以遏制的,则依照帮助信息网络犯罪活动罪等堵截性罪名予以打击。最后,优化法律法规和公共政策供给。一是要提升公共数据供给及智能公共服务能力。对于某些涉及公共服务的网络爬虫,行政机关或具有公共管理职能的组织还可以采取更加主动的方式,主动提供公共数据及数据处理或相关计算服务,减少滥用爬虫技术的可能性。二是要优化法律供给,通过立法平衡网络爬虫行为的风险和价值。如通过立法明确界定网络爬虫行为的合法性、合理性和必要性边界,积极引导和规范其合法运用,并根据比例原则和行为危害程度设置惩戒措施,进而强化对网络爬虫行业的监管和引导。
2.建立部门间协作治理机制
首先,根据多部门联合治理的思路,公安、工商、金融、市监局等部门可联合制定相关文件,以增强网络爬虫行业执法中法律法规适用的统一性和规范性。其次,建立跨部门的网络犯罪及黑灰产业大数据平台。为破解涉恶意网络爬虫行为犯罪及黑灰产业治理中信息数据难共用、信息交换难共通、信息运用难共享、信息处理难协同等难题,可利用信息化技术充分整合公检法以及监管部门等单位的数据,建立跨部门网络犯罪及黑灰产业大数据库,从而畅通各部门间监管信息共享和联动通道,以实现治理中的信息共享、数据互通和治理协同。具体而言,将涉网络爬虫行为违法犯罪信息、线索、网络黑灰产业人员数据和恶意技术大数据等录入系统内,以增强治理的系统性、前瞻性和预见性。一方面,加强对涉网络爬虫行为违法犯罪信息和线索的搜集,及时整理入库并经进行排查、核实,锁定涉嫌犯罪的企业或个人,从而第一时间斩断网络犯罪链,降低有关技术或信息流入黑灰产业链的风险。另一方面,通过运用大数据技术对上述数据或信息进行分析、挖掘,及时研判新型网络爬虫等网络技术的革新和相关行业的发展动向,提高数据信息的利用率,为涉恶意网络爬虫行为犯罪及黑灰产业治理提供必要的技术支撑或情报支持。最后,建立犯罪信息通报制度。司法实践中,犯罪分子为割裂犯罪信息,增加侦查难度,利用涉恶意网络爬虫行为实施犯罪时常跨平台、跨地域作案。因此,须在司法、执法中建立网络违法犯罪信息通报机制,对新发现的案件信息和线索及时通报,以加强对相关网络犯罪治理的协同性,强化刑事证据链在各阶段形成的有效性,进以提升治理的法律效果。
3.加大对网络安全防护领域的投入
首先,转变治理理念,提升企业网络安全防护能力。当前,企业网络安全人才需求、培养理念等与高校培养体系间存在鸿沟,如部分企业网络安全防护的主流思路仍是“物理安全、网络、主机、应用、数据”的维度,从而将数据安全放到最后考虑。对此,企业和高校应重视数据安全,积极筹建系统、长效的数据安全防护体系,尤其要重视对数据安全防护、软件开发和监管等人才的培养,严格落实网络安全工作责任制,提升企业关键信息基础设施防护能力。其次,加大研发投入,强化技术在治理涉网络爬虫行为犯罪中的作用。一则是加大对网络安全防范的财政投入,可建立计算机系统安全实验室,针对司法实践中技术鉴定方法、校验标准差异等难题,强化对网络爬虫等技术性犯罪工具、程序的鉴定能力的研究,以统一鉴定技术标准,为涉网络爬虫行为及黑灰产业相关犯罪的定罪量刑提供技术支撑。二则是加大研发投入,利用AI技术打击涉网络爬虫行为及黑灰产业链。可充分利用人工智能在动态监控、信息搜集、线索分析、精准导侦等方面的优势,全面提高治理效率,以实现对有关犯罪的及时预警与精准打击。
结语
探索涉恶意网络爬虫行为犯罪的治理,某种意义也是探索刑法等法律如何回应新兴技术带来的风险挑战。当前数字经济快速发展、形态变化多样、技术革新频繁,并逐渐向稳定和成熟的发展阶段转化,此时如何平衡网络安全和数字经济发展,如何有效治理恶意网络爬虫行为及黑灰产业,不仅需要猛柯治病的勇气,通过刑事手段遏制涉恶意网络爬虫行为犯罪,更需要各界共同积极探索,充分发挥法律和政策的智慧,方能发挥法律法规在行业保护与权利保障上的应有作用。
杨庆堂 上海市崇明区人民法院副院长
张一献 上海市崇明区人民法院法官
会员登录关闭
注册会员关闭