近日,江苏省无锡市梁溪区人民法院审结一起提供侵入计算机信息系统程序罪案件。被告人丁某因向他人售卖非法获取某短视频平台用户数据的“爬虫”软件,被判处有期徒刑1年6个月,缓刑2年。该案被称为全国首例短视频平台领域网络“爬虫”案件。
司法实践中,网络“爬虫”入刑案件早已有之。2020年1月,最高人民法院发布的《2019年度人民法院十大刑事案件》将上海某网络科技公司非法获取计算机系统数据案,列为全国首例“爬虫”技术侵入计算机系统犯罪案。丁某向他人售卖非法获取某短视频平台用户数据“爬虫”软件案,特殊性之处在于网络“爬虫”获取数据的方式是以侵入短视频平台服务器获取后台数据和直播间用户相关信息。简而言之,涉案网络“爬虫”是以侵入和非法控制方式获取数据,已违反刑法有关规定。
明确网络“爬虫”概念。网络“爬虫”技术是增加数据获取方式的辅助性技术,缘何在丁某向他人售卖非法获取某短视频平台用户数据“爬虫”软件案中被禁止?首先要从网络“爬虫”的概念说起。当前,对网络“爬虫”的概念界定多表述为按照预设规则自动浏览、检索和抓取网页信息的程序或脚本。该技术多应用于搜索引擎领域,通过在海量网页信息中抓取数据和信息并存储,从而在用户输入相应关键词后,从存储网页信息中反馈出相关网页。从数据抓取方式角度考量,网络“爬虫”可从狭义和广义两个层面进行理解,前者泛指自动化抓取数据,后者囊括绕开反“爬虫”机制进行数据抓取的程序。丁某向他人售卖非法获取某短视频平台用户数据“爬虫”软件案中,丁某提供的网络“爬虫”软件属于后者,其行为的违法性表现为网络“爬虫”技术已经对短视频平台正常经营活动产生不利影响。实践中,网络运营者通常会利用网页中的robots协议明确网页数据的访问权限。丁某向他人售卖非法获取某短视频平台用户数据“爬虫”软件案中,无论涉案短视频平台是否进行robots声明,丁某提供网络“爬虫”技术已经构成过量抓取数据行为,甚至对短视频平台的信息系统安全和用户个人信息保护构成威胁。
丁某向他人售卖非法获取某短视频平台用户数据“爬虫”软件案中,法院将丁某的行为认定为侵入计算机信息系统程序罪的依据。第一,涉案网络“爬虫”的抓取数据未经短视频平台经营者同意,且抓取的数据类型既包括企业商业利益的后台数据,也包括具有识别特定自然人能力的用户信息。账号UID(用户身份证明)在网络平台注册时系统自动生成的数值具有唯一性,与账号相关的其他信息相结合,符合《中华人民共和国个人信息保护法》第四条规定的“个人信息”。第二,涉案网络“爬虫”的数据抓取方式是以侵入短视频平台服务器为基础。当然,这里的“侵入”并不是以直接破坏信息系统安全保护措施为主要手段,主要是未经许可擅自访问或越权访问他人的服务器。不过,由于涉案网络“爬虫”没有直接对短视频平台服务器施加删除、修改、干扰等操作行为,故并不能以“破坏计算机信息系统罪”论处。第三,尽管丁某非法获利仅24360元,但法院仍将之认定为情节严重,原因在于丁某对“爬虫”软件的技术原理与技术功能符合“明知”的主观状态,且其数据抓取的范围涉及一定数量的用户个人信息。
网络“爬虫”使用行为的合法性判断标准。司法实践中有关网络“爬虫”的合法性问题本质上是对网络“爬虫”使用行为的法律性质判断,主要表现为网络“爬虫”软件是否对数据权属和信息系统安全造成威胁和侵害。总结现有司法实践,网络“爬虫”使用行为合法性判断可以分为抓取方式的合法性、抓取范围的合法性以及抓取权限的合法性。在抓取方式层面,网络“爬虫”的使用不应当以绕开或破坏抓取对象的安全防护设置(包括robots协议)为前提,数据抓取频率不应影响抓取对象信息服务的正常访问和使用功能。在抓取范围层面,不得擅自抓取个人信息保护法第四条规定的用户“个人信息”,尤其是敏感个人信息。同时,网络“爬虫”抓取数据的范围也不应包括企业信息系统内部的保密数据。在丁某向他人售卖非法获取某短视频平台用户数据“爬虫”软件案中,法院将“保密”解释为“视频内容仅仅是信息公开,视频数据还处于保密状态”,即在短视频平台领域,即便是视频、直播内容虽然公开,但有关这些内容的后台数据仍然处于保密状态。在抓取权限层面,网络“爬虫”的使用者不能未经许可擅自抓取非自营网页的信息和数据。
网络“爬虫”技术滥用容易对公平合理的市场竞争秩序和网络安全产生威胁,其有效规制不能单纯依靠法律予以根治。网络“爬虫”软件作为促成数据自由流动的重要技术方案,其使用行为的规制体系应当建构“法律-技术标准-行业自律”综合架构,以法律责任预防滥用风险和救济权利人损失;以技术标准规范网络“爬虫”使用行为,引导网络“爬虫”技术产业良性发展;以行业自律强化市场内部对网络“爬虫”技术滥用行为的监控与预防;以市场技术优势从根源上限制网络“爬虫”的技术滥用。
作者:赵精武
时间:2022/7/14
单位:北京航空航天大学法学院
会员登录关闭
注册会员关闭