自20世纪90年代首个爬虫搜索引擎诞生至今,网络爬虫被运用了近二十年,成为一项不可替代的互联网数据采集、加工工具,并从之前一直被视为没有污点的中立技术,经历了从受反不正当竞争法调整的民事违法行为,到受刑法侵犯公民个人信息罪等规范刑事规制的过界行为。人们不禁发出质疑:是刑事政策的趋向严厉使爬虫入刑?还是爬虫功能的异化使之出界?对网络爬虫行为如何进行刑事规制、区分网络爬虫过界维度是本文需要探讨的问题。
合法的爬虫不应避开或突破系统安全防护措施。从网络爬虫的技术原理来讲,网络爬虫所爬取的应是网页上的数据,但在多数由网络爬虫行为入罪的案件中,网络爬虫针对的均是服务器内的非公开数据,侵入性特征明显,并且被学者评价为“爬虫+”技术。
网络爬虫刑事违法性的重要表现是侵入性,从司法解释的角度出发,评价侵入性的标准是是否违背计算机信息系统安全保护措施,未经合法授权取得数据。现有研究范例往往均从侵入性评价爬虫行为刑事责任,甚至有学者从中美规制比较研究中认为,是否突破安全保护措施是网络爬虫民刑界分的形式标准①。从刑事裁判来看,除上述论及的反爬措施在侵入性上存在一定争议外,其他针对计算机信息系统实施或是利用计算机信息系统对非公开数据实施的爬虫犯罪,绝大多数都具有显著的侵入性特征,符合司法解释对侵入性的手段界定。但如果从刑民区分的角度,仅以手段的侵入性为标杆,是远远不充分的,如前述案例中涉及的侵犯公民个人信息、侵犯著作权等,所获取的数据本身受刑法特殊保护的情况下,则非法获取数据行为即已达入罪标准,且非法并不仅限于手段的非法,权限的非法也同样构成。
尽管如此,手段过界的数据爬取行为必然是违法的。在此基础上,我们可以把针对一般数据实施且具有侵入性特征的爬虫行为界定为单一性侵入行为,该类行为一般受危害计算机信息系统安全犯罪调整;把针对受刑法特殊保护数据实施的且具有侵入性特征的爬虫行为界定为复合型侵入行为,如利用侵入性爬虫获取公民个人信息,在这种情景下,行为人以侵入性手段获取计算机信息系统数据的行为符合危害计算机信息系统安全犯罪的构成,而其以其他方法非法获取公民个人信息的行为又涉及侵犯公民个人信息罪,虽然按照竞合犯的处理择一重归罪,但罪状呈复合形态。
在大数据时代,数据作为生产要素之一,总是存在着开放与保护之间的博弈。数字化发展建立在数据开放和共享的基石上。基于数据流通的需要,总有一部分数据处于公开状态,相关数据可查询、复制和利用。对公开数据,一般情况下并不会采取特殊的保护措施,所以对公开数据的爬虫行为一般并不会涉及刑事犯罪,对于公开且未被采取保护措施的数据,只有在手段行为严重过界,即上述野蛮地破坏访问,造成严重后果情况下,才有可能构成破坏计算机信息系统犯罪。概言之,对爬虫行为数据对象过界的判定,一般应针对受保护的数据。如果未对数据采取保护性手段,则不论数据公开与否,不会构成危害计算机信息系统、数据犯罪,是否涉及其他犯罪,则取决于数据本身是否属于刑法特殊保护对象,与爬虫行为的技术入罪标准无关。
实践中,政府机构或者科研院所对于非公开的数据会采取较为严格的防护措施,这种情况下网络爬虫的侵入性特征显著,往往不存在刑事规制争议,刑事裁判反映的现实样态亦是如此。争议问题主要集中在爬取如晟品案、元光案等商业领域的公开数据。本文认为,如果仅将对象的过界限定于非公开数据,则会使数据控制者更倾向于封闭数据或使数据控制者对公开数据所采取的保护措施形同虚设,从根本上而言,会使数据垄断越甚,不利于数据流通的大局,所以,在判断爬虫对象是否过界时,不应仅考虑数据的公开性,更为核心的要素是数据是否被采取受刑法规范的保护措施。
如前所述,国家秘密、商业机密、公民个人信息、著作权等在刑法上均具有特殊的权利内涵,对该类数据实施的非法爬取行为,不论手段是否过界,均具有刑事违法性,应受刑法规制,并且若采取侵入行为实施,则对法益的侵害更甚于对一般性数据实施的越界爬取行为,刑事制裁的力度应大于前者。
数据网站不可避免地出于维护数据安全和竞争优势的需要,倾向于对所控制的数据采取保护措施,就如同企业对商业秘密的保护和普通人维护自身财产安全一般。这种维护最简单的表现形式就是网站使用协议,也就是Robots协议②,通过Robots协议向使用者宣示,访问行为允许的限度。
有学者指出,早期美国判例中,法官认定访问是否不符合授权的判断标准来自于数据网站对爬取行为“不满的信号”,而违反网站使用协议即是其中之一,个别判例甚至将数据网站的控诉作为评价依据,使得入罪的标准过分宽泛③。如果将违背数据网站意愿的数据获取、使用行为都认定为犯罪,实质上是将网络数据侵害行为违法犯罪的判断委托给数据网站④,不仅使刑事入罪标准完全置于主观评价范围,而且有违罪刑法定原则,显然不足取。
网站使用协议等合同协议是网站和使用者之间的契约规则,不应上升至刑事规范的高度。从性质上而言,其仅明确了允许访问和不允许访问的范围,但并不会从技术的角度设置壁垒,在具体实施层面限制或束缚网络爬虫,故合同协议不属于刑法意义上的计算机安全保护措施,仅违反合同协议的数据爬取行为与侵入性行为有本质的区别。
由此,对未采取符合“侵入性”标准的计算机信息系统安全保护措施,与使用者之间仅以合同协议形式明确权利界限的一般性数据保护行为,应当由反不正当竞争法等民事法律规范和调整,与刑事规制区分维度,以构建权责分明的网络数据法律保护机制。
数字经济就是要降低每一个人作出选择的机会成本,提高自由度,帮助人们决策,而决策建立在大数据的计算和分析上。2009年甲型H1N1流感传播,在全球公共卫生机构对这种疾病预测显得无所适从的时候,谷歌工程师利用人们在网上的搜索记录完成了预测,令世人震惊⑤。那时候的人们可能才刚开始认识到大数据的价值,而现在我们的每一次网上购物、订机票、招车出行、就医问诊,都依赖于大数据的辅助决策功能,大数据看似无形,却无时无刻不在环绕着我们,深刻的变革着我们的社会和生活。在法律领域,大数据的财产化保护已成为不绝于耳的话题。刑法当如何回应?
在现有的刑法体系中,刑法分别从国家安全、社会秩序、经济秩序、公民人身权利层面,对数据树立了刑法保护的屏障,如对国家秘密、情报、商业秘密、计算机信息系统、公民个人信息的保护,此类之外的,大数据的刑法保护是匮乏的,不法行为可直接游离于刑事制裁半径之外。有观点认为,将非法获取数据与盗窃相比较,数据的价值不能靠本身实现,还需要通过存储数据库,并经过对数据的处理和分析后才能获得有价值的信息,所以与普通财产存在区别⑥。但前述“加工数据=价值”的观点并不全面,原始数据并非无用之物,加工只是整合了数据的价值,放大了价值的效应,不能以数据切割的观点,否认数据整体的财产价值,好比否认了量变和质变的关系。实践中,大量的网络数据都是零散的,如我们的浏览痕迹、运动轨迹、购物记录等等,但这些数据整合之后,可以作为整个社会运行的判断基础,蔚为壮观,如何在刑法中周延对该类碎片数据的保护,决定了在大数据时代刑法是否作出了前瞻性的回应。基于此,对于达到一定规模的为他人控制使用,并能实际产生经济价值的数据资产,还是应当在刑法上肯定数据资产的财产属性,从保护财产权的角度对不法行为进行刑事规制,以弥补现行刑法制度中对数据财产属性保护的不足。
②爬虫协议是通过在ICP网站的根目录下放置robots.txt文件,用具体的语法规则设定禁止或允许访问、抓取数据的具体内容并告知搜索方,以实现其对搜索引擎的指引、宣示作用。
③参见杨志琼:《美国数据犯罪的刑法规制:争议及其启示》,载《中国人民大学学报》2021年第6期。
⑤参见维克托迈尔·迈尔-舍恩伯格,肯尼斯·库克耶(周涛译):《大数据时代:生活、工作与思维的大变革》,浙江人民出版社2013年第1版。
