网络爬虫行为典型法律风险及案例全解析
导言
网络爬虫技术能够更具针对性地获取网络数据信息,目前已被广泛成熟地应用。虽然爬虫技术本身“中立”,但不当的使用行为却可能在带来便利和经济效益的同时,招致相应法律风险,其中的法律问题值得行业从业者关注。本文将分为上、下两篇进行网络爬虫行为典型法律风险及案例的解析。
背景
网络爬虫(Web Crawler)也称为蜘蛛爬虫(Web Spider)、网络机器人(Web Robot),其在本质上是一套实现高效下载的程序,可按照指定规则,通过遍历网络内容的方式,搜集、提取所需的网页数据,并下载到本地形成互联网网页镜像备份。[ 李慧敏、孙佳亮:《论爬虫抓取数据行为的法律边界》,载《电子知识产权》2018年第12期,第59页。]网络爬虫技术能够帮助企业或个人更便捷和更具针对性地获取所需的网络数据信息,目前已被广泛而成熟地应用于各种互联网商业模式和应用场景,同时也在逐步向传统行业渗透。作为搜索引擎公司的百度、谷歌同时也是最大的爬虫公司;金融企业特别是互联网金融企业,利用网络爬虫技术,设置相应抓取条件,从网上采集企业信用信息、涉诉执行信息、社交软件信息、招聘信息、电商数据等,经过数据分析模型的加工处理,形成风险分析报告,最终可用于公司对产品或服务的风控;零售企业使用网络爬虫技术收集线上产品的电商定价、销量等信息用于综合分析,以研究销售策略和产品定位;聚合信息平台,如今日头条等,其部分新闻内容就是来源于爬取的网络信息;舆情分析与数据挖掘领域,比如百度、搜狗、微博等的排行榜或者舆情分析产品也是利用了网络爬虫技术;其他如天眼查、企查查、启信宝等企业信息聚合公司,导购、价格监测等横向数据聚合的公司,围绕微信、微博等社交媒体的广告公司都是利用爬虫技术来构建各自的业务场景。在信息爆炸时代,网络爬虫技术渗透在工作生活的方方面面,以各种不易察觉的形式向我们提供着便利服务。
但不论是何种行为,皆有法律界限。随着互联网经济的迅猛发展,互联网技术的不断推陈出新,网络数据如同一座蕴含极为丰富且无尽的矿藏,正在一点点被开采使用。网络爬虫技术正是一把用于开采矿藏的利器,虽然爬虫技术本身“中立”,但不当的使用行为,却可能在为个人带来便利、为企业带来经济效益的同时,招致相应法律风险,其中的法律问题值得行业从业者关注。
洛克在《政府论》说:“在一切能够接受法律支配的人类的状态中,哪里没有法律,那里就没有自由。”为了解网络爬虫技术使用的“法律”与“自由”,本文在总结团队既往项目工作心得的基础上,参考同业人员的经验分享,并结合现有案例数据库提供的法院裁判文书,总结归纳出六种与网络爬虫技术使用有关的典型民事、刑事法律风险,并通过案例介绍与解析形式与读者共同探讨网络爬虫技术的法律界限。
正文
典型风险一:构成不正当竞争
百度与大众点评不正当竞争纠纷案(上海市第一中级人民法院(2016)沪73民终242号)
百度公司因使用技术手段抓取并使用大众点评的用户点评内容而被认定为构成不正当竞争。本案在2016年被列为“影响中国互联网法治进程十大案例”之一。
该案中,上海汉涛信息咨询有限公司(“汉涛公司”)向网络用户提供以商户基本信息及点评信息为主要内容的生活服务APP——大众点评。北京百度网讯科技有限公司(“百度公司”)使用技术手段在大众点评等APP上抓取了商户的基本信息及点评信息,用户使用其运营的百度地图APP查询位置时,无需跳转至大众点评界面,就可直接在百度地图界面获取商户的基本信息和点评信息。汉涛公司以百度公司等相关主体构成不正当竞争向法院起诉。
法律规定
在本案审理过程中,法院将《反不正当竞争法》第二条作为主要裁判依据,并最终认定百度公司构成不正当竞争。
《反不正当竞争法》
第二条 经营者在生产经营活动中,应当遵循自愿、平等、公平、诚信的原则,遵守法律和商业道德。
本法所称的不正当竞争行为,是指经营者在生产经营活动中,违反本法规定,扰乱市场竞争秩序,损害其他经营者或者消费者的合法权益的行为。
本法所称的经营者,是指从事商品生产、经营或者提供服务(以下所称商品包括服务)的自然人、法人和非法人组织。
分析解读
通过我们对网络爬虫技术相关不正当竞争案件的研读、分析和归纳,在此类案件中,法院主要从以下方面认定爬虫企业构成不正当竞争:
第一, 主体层面,抓取信息的企业(“爬虫企业”)与被抓取信息的企业(“被爬企业”)之间存在竞争关系;
第二, 行为层面,爬虫企业的行为构成不正当竞争,其中又需要关注三个方面:(1)被爬企业有合法权益可诉诸法律保护;(2)爬虫企业有不正当竞争行为(网络爬虫行为相关案例中一般指违背公认的商业道德和诚实信用原则);(3)被爬企业有实际损害;
第三, 因果关系层面,不正当竞争行为与损害结果之间存在因果关系。
结合以上要点对照本案进行分析解读如下:
判决要点 法院观点 要点分析
双方是否存在竞争关系 法院认为,虽然汉涛公司与百度公司所运营的APP属于不同行业、不同领域且有着不同的经营模式,但是双方的行为在争夺相同的网络用户群体,两者在为用户提供商户信息和点评信息的服务模式上近乎一致,存在竞争关系。 从法院观点来看,在竞争关系的认定上,将不限于对同行业相关主体竞争关系的认定,还将争夺相同网络用户群体的相关主体认定为具有竞争关系。这对许多以“流量为王”的企业非常具有警示意义。
汉涛公司是否有可诉诸法律保护的合法权益 法院认为,汉涛公司为了积累点评信息付出了巨额成本。点评信息是汉涛公司的核心竞争资源之一,为汉涛公司带来竞争优势。 在法院考量汉涛公司是否具备可诉诸法律保护的合法权益上,关注了汉涛公司获取涉案数据信息的成本,以及涉案数据信息为汉涛公司带来的效益。同样的,最高院发布的2018年50件典型知识产权案件之一——(2017)粤03民初822号深圳市谷米科技有限公司与武汉元光科技有限公司等的不正当竞争案件(“谷米VS.元光案件”)的判决文书中,深圳中院同样关注了该点。
百度公司是否存在不正当的行为 法院认为,在百度公司靠自身用户无法获取足够点评信息的情况下,通过技术手段,从大众点评等网站获取点评信息,用于充实百度地图,百度公司的这种行为违反了公认的商业道德和诚实信用原则,具有不正当性。 在对百度公司行为不正当性进行认定上,法院认为百度公司这种类似于“搭便车”、“不劳而获”的行为违反了商业道德和诚实信用原则。同样的,在谷米VS.元光案件以及被称为“首例大数据产品不正当竞争案”(同样是2018年50件典型知识产权案件)的安徽美景信息科技有限公司与淘宝(中国)软件有限公司不正当竞争纠纷案(“淘宝VS.美景案件”(2018)浙01民终7312号)中,相关法院同样确认了被告方的不劳而获行为具有不正当性。
汉涛公司是否因百度公司的行为遭受实际损害 法院认为,用户在使用百度地图查阅到商户信息和点评信息后已无需跳转至大众点评查看更多信息,百度地图已经对大众点评形成实质性替代,对汉涛公司造成了实质性损害。 对于互联网企业而言,用户流量的多少,在某种程度上决定了企业在市场上的竞争力和企业价值。与认定是否具有竞争关系类似,法院在认定汉涛公司是否遭受实际损害时,关注到百度公司“截取”了汉涛公司应有的网络用户浏览量,对大众点评形成实质性替代。“实质性替代”这一认定标准,亦常见于互联网产品的不正当竞争案件的认定中,如前述淘宝VS.美景案件。
合规建议
尽管目前“数据权属”在我国及至世界各国都是一个有待讨论的问题,但企业对于数据信息享有合法权益并应受到保护的观点,在我国的司法实践中已经越来越多地被认可:比较典型的淘宝VS.美景案件中,法院认定淘宝公司对数据产品享有竞争性财产权益。鉴于此,企业通过《反不正当竞争法》第二条来维护自身在市场竞争中的合法权益是保护数据信息所带来利益的重要方式。
在业务实践中,我们发现企业经常会使用网络爬虫技术抓取企业信息聚合平台上提供的公开或者半公开的企业信息,并可能将抓取的信息应用于新的业务场景中,比如业务风控。但企业往往没有意识到其行为可能涉及的不正当竞争法律风险,对于如何规避更是不甚了解。对此,我们认为,企业需要关注以下方面:
• 考量新业务是否与企业信息聚合平台是否有竞争关系,考量对爬虫信息的使用范围和方式以及对企业信息聚合平台造成的影响,应关注对数据的使用是否会挤占企业信息聚合平台的市场份额、分流被爬企业的用户、造成企业信息聚合平台现实的或预期的利益损失。一般而言,如果爬虫企业新业务的数据信息使用行为实质性地替代了企业信息聚合平台所提供的服务,则该企业被认定为违背商业道德、攫取被爬企业用户资源从而具有行为不正当性的可能性较大。
• 考量企业信息聚合平台的数据信息获取成本,应考量企业信息聚合平台为收集、整理数据信息所付出的劳力、智力成本。一般而言,企业信息聚合平台为获取数据信息付出成本越高,则企业信息聚合平台“数据权益”可诉诸法律保护的可能性越大。
典型风险二:构成侵犯信息网络传播权
大众点评与爱帮网著作权侵权纠纷案(北京市海淀区人民法院(2010)海民初字第4253号)
爱帮公司因使用技术手段抓取并使用大众点评的用户点评内容,而被认定构成侵犯信息网络传播权。
该案中,汉涛公司向用户提供以商户基本信息及点评信息为主要内容的生活服务APP——大众点评。汉涛公司通过《大众点评网服务条款》与网络用户约定,对于用户在大众点评上发布的受著作权法保护的作品,其著作权归属于汉涛公司。爱帮聚信(北京)科技有限公司(“爱帮公司”)未经汉涛公司许可,利用技术手段大量抓取大众点评的商户基本信息和点评内容数据,并刊登在爱帮公司所运营的爱帮网上。汉涛公司以爱帮公司的行为构成侵犯信息网络传播权向法院提起诉讼。爱帮公司在本案中的抗辩理由有二:一是认为涉案点评内容不构成著作权法保护的作品;二是爱帮网提供的是搜索引擎服务,抓取数据并进行分析是程序自动完成的,且爱帮网在汉涛公司通知后对相关内容进行了删除。
法律规定
与本案相关的法律法规的主要内容为:
《著作权法》
第十条主要内容:著作权人享有的著作权包括信息网络传播权,即以有线或者无线方式向公众提供作品,使公众可以在其个人选定的时间和地点获得作品的权利。[ 《著作权法》第十条 著作权包括下列人身权和财产权:
(一)发表权,即决定作品是否公之于众的权利;
(二)署名权,即表明作者身份,在作品上署名的权利;
(三)修改权,即修改或者授权他人修改作品的权利;
(四)保护作品完整权,即保护作品不受歪曲、篡改的权利;
(五)复制权,即以印刷、复印、拓印、录音、录像、翻录、翻拍等方式将作品制作一份或者多份的权利;
(六)发行权,即以出售或者赠与方式向公众提供作品的原件或者复制件的权利;
(七)出租权,即有偿许可他人临时使用电影作品和以类似摄制电影的方法创作的作品、计算机软件的权利,计算机软件不是出租的主要标的的除外;
(八)展览权,即公开陈列美术作品、摄影作品的原件或者复制件的权利;
(九)表演权,即公开表演作品,以及用各种手段公开播送作品的表演的权利;
(十)放映权,即通过放映机、幻灯机等技术设备公开再现美术、摄影、电影和以类似摄制电影的方法创作的作品等的权利;
(十一)广播权,即以无线方式公开广播或者传播作品,以有线传播或者转播的方式向公众传播广播的作品,以及通过扩音器或者其他传送符号、声音、图像的类似工具向公众传播广播的作品的权利;
(十二)信息网络传播权,即以有线或者无线方式向公众提供作品,使公众可以在其个人选定的时间和地点获得作品的权利;
(十三)摄制权,即以摄制电影或者以类似摄制电影的方法将作品固定在载体上的权利;
(十四)改编权,即改变作品,创作出具有独创性的新作品的权利;
(十五)翻译权,即将作品从一种语言文字转换成另一种语言文字的权利;
(十六)汇编权,即将作品或者作品的片段通过选择或者编排,汇集成新作品的权利;
(十七)应当由著作权人享有的其他权利。
著作权人可以许可他人行使前款第(五)项至第(十七)项规定的权利,并依照约定或者本法有关规定获得报酬。
著作权人可以全部或者部分转让本条第一款第(五)项至第(十七)项规定的权利,并依照约定或者本法有关规定获得报酬。]
《著作权法实施条例》
第二条 著作权法所称作品,是指文学、艺术和科学领域内具有独创性并能以某种有形形式复制的智力成果。
《信息网络传播权保护条例》
第二条主要内容:任何组织或者个人将他人的作品、表演、录音录像制品通过信息网络向公众提供,应当取得权利人许可,并支付报酬。[ 《信息网络传播权保护条例》第二条 权利人享有的信息网络传播权受著作权法和本条例保护。除法律、行政法规另有规定的外,任何组织或者个人将他人的作品、表演、录音录像制品通过信息网络向公众提供,应当取得权利人许可,并支付报酬。]
第二十三条 网络服务提供者为服务对象提供搜索或者链接服务,在接到权利人的通知书后,根据本条例规定断开与侵权的作品、表演、录音录像制品的链接的,不承担赔偿责任;但是,明知或者应知所链接的作品、表演、录音录像制品侵权的,应当承担共同侵权责任。(“避风港”原则)
分析解读
通过我们对与网络爬虫技术相关的侵犯信息网络传播权案件的研读、分析和归纳,在此类案件中,法院主要从以下方面认定爬虫企业构成侵犯信息网络传播权:
第一,爬虫企业抓取的数据信息应为《著作权法》所保护的作品;
第二,爬虫企业在未经著作权人同意情况下将作品通过信息网络进行传播;
第三,爬虫企业的信息网络传播行为不具有合法性(未落入 “避风港”原则等范畴)。
结合以上要点对照本案进行分析解读如下:
判决要点 法院观点 要点分析
点评内容是否构成作品 法院认为,具有独创性的点评内容可构成《著作权法》保护的作品。大众点评网上的点评内容成分复杂,并非所有内容都能构成作品。判断全部内容的版权属性,需要结合证据逐一甄别。 法院认为并非所有点评内容都能构成著作权法意义上的作品,因此仅就本案中汉涛公司提交的能够表现“独创性”的点评内容予以认可,而将海量点评内容逐一筛选进行起诉的诉讼成本太高。
鉴于侵犯信息网络传播权对点评内容保护的局限性,汉涛公司在2011年以爱帮聚信构成不正当竞争起诉,法院最终认定爱帮公司构成不正当竞争((2011)一中民终字第7512号)。
爱帮公司是否经过汉涛公司同意进行信息网络传播 在本案中,爱帮公司未经汉涛公司同意,将构成作品的点评内容刊登在爱帮网上,也即进行了信息网络的传播。 本案中,爱帮网将作品放置在爱帮网网页上,属于使用“计算机互联网”进行的信息网络传播。
爱帮公司的搜索引擎服务是否符合著作权法的规定 法院认为,爱帮公司虽然提供的是垂直搜索服务,但实际上使用了汉涛公司较大比例的点评内容,且上述使用使得网络用户无须到达被链接的大众点评即可获得基本内容,因此爱帮公司服务在实质上替代了大众点评服务,违反了著作权法的规定。法院同时强调,“垂直搜索类网站对于特定行业网站的信息的利用,应控制在合理的范围内,即垂直搜索网站对特定行业网站信息的使用,不得对该网站造成市场替代的后果,否则,其提供的具体形式的垂直搜索服务则可能被认为不具有合法性。” 即使受避风港原则的保护,也可能因造成对相关产品的实质性替代而不具有合法性。虽然法院肯定了爱帮公司涉案行为属于提供搜索服务,且爱帮网依据“避风港原则”作出相应抗辩,但法院仍认定了爱帮公司行为的不合法性。因此,对于提供搜索服务的企业来说,在使用网络爬虫技术抓取被爬企业的数据信息并应用于搜索服务时(网络爬虫技术是搜索引擎服务应用的技术之一),仍然需要关注是否会对被爬企业的相关产品造成“实质性替代”的效果,而不能仅仅依赖于“避风港原则”的庇护而肆意抓取和使用被爬企业的数据信息。
合规建议
互联网企业在使用网络爬虫技术抓取数据信息并进行使用时,需要注意 “作品+信息网络传播”这一特定模式的形成,以避免此类法律风险。在业务实践中我们发现,一些企业在网站上爬取新闻报道、文章等用于风险分析、决策支持或内部学习,在这一过程中所获取的数据信息大多属于著作权法保护的作品,对此我们建议企业:
• 对抓取的作品的使用应控制在一定限度内,在未经著作权人同意的情况下,不得将抓取的作品通过信息网络进行传播。
另有提供链接服务的搜索引擎企业从公开网络上抓取文章或视频等作品,通过提供链接的形式使用户可在跳转后获取相应文章或视频等作品,对于此类情形我们建议:
• 企业在接到权利人关于断开链接的通知时,应当配合,不应侵害权利人权益。
典型风险三:构成侵犯公民个人信息罪
彭某等侵犯公民个人信息案(成都高新技术产业开发区人民法院(2018)川0191刑初94号)
彭某将从知数公司服务器数据库窃取的数据与从网页上爬取的数据结合,运用算法推算出个人信息,并出售获利,最终被判侵犯公民个人信息罪。
该案中,知数公司主要通过大数据信息为客户提供数据分析并收取费用,如给信贷系统的审批人员提供查询服务,通过大数据分析对用户进行征信调查。知数公司通过开发的爬虫程序,在互联网各大网站上自动采集信息,采集的数据类型有微博、新闻、招聘信息、电商数据(含店铺信息、商品信息、商品评价)、最高法执行信息、在第三方提供用户登录授权后采集淘宝平台信息,采集后的数据交由知数公司研发中心对数据进行整理、加工、存储。彭某在知数公司从事技术工作,负责数据处理、清洗、入库、算法。本案中,彭某通过工作账号远程登录公司的服务器数据库,从服务器上窃取数据到电脑并发送至手机,并结合在网页上公开爬取的数据,将二者加工、组合,运用算法推算出个人信息。彭某后将非法获取的个人信息用于出售,获利50万余元。
法律规定
与本案相关的法律法规的主要内容为:
《刑法》
第二百五十三条之一主要内容:窃取或者以其他方法非法获取公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。[ 《刑法》第二百五十三条之一 【侵犯公民个人信息罪】违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。]
《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(“《侵犯公民个人信息罪解释》”)
第五条主要内容:达到情节严重的六种情形:(1)非法获取行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;(2)非法获取住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;(3)非法获取(1)或(2)规定以外的个人信息五千条以上的;(4)违法所得五千元以上的;(5)两年内因非法获取公民个人信息受过刑事处罚的;(6)其他情节严重的情形。
达到情节特别严重的四种情形:(1)达到“情节严重”情形第(1)至(4)项规定标准的十倍以上的;(2)造成被害人死亡、重伤、精神失常或者被绑架等严重后果的;(3)造成重大经济损失或者恶劣社会影响的;(4)其他情节特别严重的情形。[ 《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条 非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:
(一)出售或者提供行踪轨迹信息,被他人用于犯罪的;
(二)知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;
(三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;
(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;
(五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的;
(六)数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的;
(七)违法所得五千元以上的;
(八)将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的;
(九)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的;
(十)其他情节严重的情形。
实施前款规定的行为,具有下列情形之一的,应当认定为刑法第二百五十三条之一第一款规定的“情节特别严重”:
(一)造成被害人死亡、重伤、精神失常或者被绑架等严重后果的;
(二)造成重大经济损失或者恶劣社会影响的;
(三)数量或者数额达到前款第三项至第八项规定标准十倍以上的;
(四)其他情节特别严重的情形。]
分析解读
通过我们对与网络爬虫技术相关的侵犯公民个人信息罪案件的研读、分析和归纳,在此类案件中,法院主要从以下方面认定相关主体构成侵犯公民个人信息罪:
第一, 抓取的数据信息属于公民个人信息;
第二, 利用爬虫技术获取个人信息的行为违反国家关于个人信息保护的法律、行政法规、部门规章的规定;
第三, 非法获取公民个人信息达到“情节严重”或“情节特别严重”的标准。
结合以上要点对照本案进行分析解读如下:
判决要点 法院观点 要点分析
彭某所获取的数据是否属于公民个人信息 法院认为,彭某获取的信息包括姓名、电话、地址和购物信息,能够单独或与其他信息结合识别特定自然人身份、反映自然人活动情况,属于公民个人信息。 关于“公民个人信息”,《侵犯公民个人信息罪解释》第一条明确为“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等”[ 《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条 刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。],这与《网络安全法》等其他法律法规的规定一致。
彭某的行为是否构成非法获取 法院认为,不论是从公司窃取个人信息数据还是将窃取的数据与网上抓取数据加工、结合形成个人信息或是通过算法推算出个人信息,都是在未经个人信息主体同意情况下的收集,违反了法律法规关于个人信息收集的规定,构成非法获取。 《侵犯公民个人信息罪解释》第四条对“以其他方法非法获取”做出说明:“违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息”[ 《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第四条 违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”。],另根据《侵犯公民个人信息罪解释》第二条,“违反国家有关规定”指的是违反法律、行政法规、部门规章有关公民个人信息保护的规定[ 《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第二条 违反法律、行政法规、部门规章有关公民个人信息保护的规定的,应当认定为刑法第二百五十三条之一规定的“违反国家有关规定”。]。目前,有关公民个人信息保护的法律、行政法规、部门规章主要有:《网络安全法》、《消费者权益保护法》、《电子商务法》、《电信和互联网用户个人信息保护规定》等。结合本案,彭某获取公民个人信息的方式不符合前述法律对于公民个人信息的保护,构成非法获取。
彭某的行为是否达到情节严重、情节特别严重标准 彭某出售非法获取的个人信息(向他人出售公民个人信息行为也是侵犯公民个人信息罪的一种表现形式)的非法所得为人民币50万余元,达到情节特别严重标准。 根据《侵犯公民个人信息罪解释》第五条对情节严重、情节特别严重的规定,彭某获利50万余元,达到情节特别严重标准。
合规建议
从上述案例中法院观点以及要点分析可知,通过网络爬虫技术抓取个人信息的,也有违反法律、行政法规、部门规章有关公民个人信息保护的规定,从而落入“非法获取”公民个人信息范畴的风险。在此,还需要考虑的问题是,在公民个人信息已经合法公开的情况下,利用爬虫技术对其进行抓取是否构成非法获取。《民法典人格权编》(草案二次审议稿,“《草案》”)对该问题持有的观点是行为人不承担责任——《草案》第八百一十六条,行为人使用自然人自行公开的或者其他已合法公开的信息不承担民事责任,但是使用该信息侵害该自然人重大利益或者自然人明确拒绝他人使用的除外。[ 《民法典人格权编(草案二次审议稿)》第八百一十六条 收集、使用或者公开自然人个人信息,有下列情形之一的,行为人不承担民事责任:
(一)在该自然人同意的范围内实施的行为;
(二)使用该自然人自行公开的或者其他已合法公开的信息,但是使用该信息侵害该自然人重大利益或者自然人明确拒绝他人使用的除外;
(三)为维护公共利益或者该自然人合法权益,合理实施的其他行为。]根据目前司法实践,没有检索到对收集已合法公开的个人信息按照侵犯公民个人信息罪来认定的案例。另,在广东省深圳市中院发回重审的侵犯公民个人信息罪的案件(本案相关裁判文书尚未公开)中,深圳中院不认可深圳罗湖区法院将“企业根据法律法规规定或为经营所需而公开的企业信息(即使包含个人姓名、联系方式)”认定为刑法意义上的公民个人信息,因此以事实不清、适用法律错误为由撤销原判,发回重审。虽然立法走向和司法实践向我们传递的观点是收集已合法公开的个人信息不违法,但是仍然建议企业按照《网络安全法》等法律法规的规定,谨慎使用网络爬虫技术抓取公开的个人信息。
在业务实践中,我们了解到有个别企业将获取的数据信息通过与其他渠道获取的数据信息“融合”的方式整合出公民个人信息,再将整合出的个人信息用于精准营销,更有甚者进行公民个人信息的买卖,对此,我们建议企业:
• 考量抓取的数据信息的属性,避免抓取公民个人信息数据;
• 考量对抓取数据的加工、使用方式,应尽量避免对收集的各种数据进行加工整合后形成公民个人信息数据;
• 考量获取公民个人信息数据的方式,建议严格遵守《网络安全法》等法律关于收集、使用公民个人信息的规定;
• 建议以书面规章制度的形式明确企业数据合规审查制度、数据安全保护制度,以避免企业员工进行数据的窃取与买卖。
对网络爬虫技术法律风险问题感兴趣或者存在疑问的朋友欢迎通过邮件方式与我们沟通。
典型风险四:构成非法获取计算机信息系统数据罪
张某等非法获取计算机信息系统数据案(上海市杨浦区人民法院(2015)杨刑初字第232号)
本案中,同享公司人员因通过技术手段非法获取掌门公司服务器存储的大量WIFI热点密码数据,被判非法获取计算机信息系统数据罪。
该案中,南京同享网络科技有限公司(“同享公司”)人员为提高公司产品WIFI上网软件的市场占有率、扩大用户数量,安排员工利用所开发的程序,通过生成模拟上海掌门科技有限公司(“掌门公司”)软件正常用户的HTTP数据包,模拟掌门公司软件的正常用户,大量非法获取掌门公司服务器储存的WIFI热点密码,返至同享公司服务器并进行解密保存,达五百多万组。
法律规定
与本案相关的法律法规的主要内容为:
《刑法》
第二百八十五条第二款主要内容:违反国家规定,侵入前款规定(国家事务、国防建设、尖端科学技术领域的计算机信息系统)以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。单位犯罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚[ 《刑法》第二百八十五条 【非法侵入计算机信息系统罪】违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。
【非法获取计算机信息系统数据、非法控制计算机信息系统罪】违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
【提供侵入、非法控制计算机信息系统程序、工具罪】提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。]。
《最高人民法院最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》( “《危害计算机信息系统安全解释》”)
第一条主要内容:达到情节严重的四种情形:(1)获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的;(2)获取第(1)项以外的身份认证信息五百组以上的;(3)违法所得五千元以上或者造成经济损失一万元以上的;(4)其他情节严重的情形。
达到情节特别严重的两种情形:(1)达到“情节严重”情形第(1)至(3)项规定标准的五倍以上的;(2)其他情节特别严重的情形[ 《最高人民法院最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第一条 非法获取计算机信息系统数据或者非法控制计算机信息系统,具有下列情形之一的,应当认定为刑法第二百八十五条第二款规定的“情节严重”:
(一)获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的;
(二)获取第(一)项以外的身份认证信息五百组以上的;
(三)非法控制计算机信息系统二十台以上的;
(四)违法所得五千元以上或者造成经济损失一万元以上的;
(五)其他情节严重的情形。
实施前款规定行为,具有下列情形之一的,应当认定为刑法第二百八十五条第二款规定的“情节特别严重”:
(一)数量或者数额达到前款第(一)项至第(四)项规定标准五倍以上的;
(二)其他情节特别严重的情形。
明知是他人非法控制的计算机信息系统,而对该计算机信息系统的控制权加以利用的,依照前两款的规定定罪处罚。]。
分析解读
通过我们对与网络爬虫技术相关的非法获取计算机信息系统数据罪案件的研读、分析和归纳,在此类案件中,法院主要从以下方面认定相关主体构成非法获取计算机信息系统数据罪:
第一, 爬虫企业利用网络爬虫技术获取数据信息构成违反国家规定侵入计算机信息系统获取数据(“侵入+获取”)或采用其他技术手段获取计算机信息系统数据(“采用其他技术手段+获取”);
第二, 爬虫企业非法获取计算机信息系统数据达到“情节严重”或“情节特别严重”的标准。
结合以上要点对照本案进行分析解读如下:
判决要点 法院观点 要点分析
同享公司相关人员的行为是否构成“侵入/采用其他手段+获取” 法院认为,同享公司相关人员侵入了掌门公司计算机信息系统,获取存储的数据。 在本案中,需要认定的是,“同享公司人员通过向掌门公司服务器发送模拟正常用户的HTTP数据包的形式侵入掌门公司计算机信息系统并获取该计算机信息系统中存储的数据”的这一行为模式是否符合“侵入/采用其他手段+获取”,这就需要明确《刑法》第二百八十五条中“违反国家规定,侵入或者采用其他技术”的含义。
根据《刑法》第九十六条,违反国家规定指的是“违反全国人民代表大会及其常务委员会制定的法律和决定,国务院制定的行政法规、规定的行政措施、发布的决定和命令。”[ 《刑法》第九十六条【违反国家规定之含义】本法所称违反国家规定,是指违反全国人民代表大会及其常务委员会制定的法律和决定,国务院制定的行政法规、规定的行政措施、发布的决定和命令。]具体到本罪,则需要关注到计算机信息系统管理方面的国家规定,如《计算机信息系统安全保护条例》、《计算机病毒防治管理办法》等。根据前述规定,任何组织或个人不得危害计算机信息系统安全:不得破坏计算机及其相关的和配套的设备、设施(含网络)安全,破坏其运行环境安全、信息安全,影响其功能正常发挥。因此,如行为人存在危害计算机信息系统安全的行为,则很有可能被认定为“违反国家规定,侵入或者采用其他技术”。在本案中,同享公司人员的做法破坏了掌门公司计算机信息系统的信息安全,因此构成“侵入+获取”的行为模式。
同享公司相关人员的行为是否达到情节严重、情节特别严重标准 法院认为,同享公司相关人员的行为达到情节特别严重的标准。 根据《危害计算机信息系统安全解释》第一条可知,除“违法所得”、“经济损失”和兜底条款的认定标准以外,只有在获取身份认证信息并达到一定标准数量时才可能达到情节严重/情节特别严重的标准,而情节严重又是构成非法获取计算机信息系统数据罪的基本要件。根据《危害计算机信息系统安全解释》第十一条,“身份认证信息”是指用于确认用户在计算机信息系统上操作权限的数据,包括账号、口令、密码、数字证书等[ 《最高人民法院最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第十一条 本解释所称“计算机信息系统”和“计算机系统”,是指具备自动处理数据功能的系统,包括计算机、网络设备、通信设备、自动化控制设备等。
本解释所称“身份认证信息”,是指用于确认用户在计算机信息系统上操作权限的数据,包括账号、口令、密码、数字证书等。
本解释所称“经济损失”,包括危害计算机信息系统犯罪行为给用户直接造成的经济损失,以及用户为恢复数据、功能而支出的必要费用。]。联系到本案,同享公司人员获取的WIFI热点密码,属于可用于确认用户在计算机信息系统上操作权限的数据,即为身份认证信息,且在数量上已达到了特别严重标准。
合规建议
除本案外,上海晟品网络科技有限公司(“晟品公司”)等非法获取北京字节跳动网络技术有限公司(“字节跳动公司”)计算机信息系统数据罪一案((2017)京0108刑初2384号,“字节跳动案”)和武汉元光科技有限公司(“元光公司”)非法获取深圳市谷米科技有限公司(“谷米公司”)数据信息的刑事案件(“谷米VS.元光刑事案件”)也备受关注,字节跳动案中,晟品公司破解字节跳动公司的防抓取措施,并通过技术手段绕过服务器的访问限制并抓取了数据信息;谷米VS.元光刑事案件,虽然谷米公司的公交信息等向公众公开提供,但是大量获取则需要侵入谷米公司的后台计算机系统获取,在此程度上,谷米公司的数据也并非一般意义上的公开数据。因此,三个案件的共同之处在于,都是爬虫企业对被害单位非公开的、受保护的计算机信息系统数据的抓取。
在业务实践中,我们了解到有个别企业存在“搭便车”的行为,通过技术手段突破被爬企业的数据信息保护措施,再利用爬虫技术获取其数据信息,并将获取的数据信息应用于自身的业务场景中,在此,我们提醒相关企业应当注意以下方面:
• 考量被爬企业对于数据信息的保护措施,避免破解或规避被爬企业为保护数据而采取的加密算法、技术保护措施;
• 考量被爬企业设定的获取数据的措施(如需要实名认证、账号密码登录、内部权限),避免伪造实名认证或窃取账号密码、内部权限的形式获取被爬企业的数据;
• 考量被爬企业向一般用户提供数据的方式和业务模式,避免将大量获取(包括利用技术措施模拟正常用户大量获取数据的形式)的数据应用于与被爬企业相竞争的业务;
• 考量抓取的数据信息的属性,避免抓取身份认证信息。
典型风险五:构成非法侵入计算机信息系统罪
鲁某、吴某非法侵入计算机信息系统案(眉山市东坡区人民法院(2018)川1402刑初56号)
鲁某和吴某因获取国家事务网站数据信息,最终被判非法侵入计算机信息系统罪。
通过相关检索,暂未搜索到直接使用网络爬虫技术构成非法侵入计算机信息系统罪的案件,但是因非法获取数据而被以非法侵入计算机信息系统罪提起公诉的案件有23例。考虑到网络爬虫技术在当前是企业获取网络数据信息的重要手段,企业利用网络爬虫技术获取国家事务网站如“国家企业信用信息公示系统”、“中国裁判文书网”、“中国执行信息公开网”、各地方政府网站数据信息的行为非常普遍,因此不排除因网络爬虫技术的使用引发构成非法侵入计算机信息系统罪的风险。因此本文挑选了一例因非法获取国家事务网站投标信息而被认定为非法侵入计算机信息系统罪的案例,通过本案及其他构成该罪的案例来探究在获取国家事务网站数据信息时不可逾越的“红线”。
该案中,鲁某为获取投标数据,雇佣、指使吴某利用黑客技术取得眉山市公共资源电子交易网站的最高权限,吴某在该服务器上非法获取相关投标信息后发送给鲁某。
法律规定
与本案相关的法律法规为:
《刑法》
第二百八十五条第一款主要内容:违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。
分析解读
根据我们对因获取数据构成非法侵入计算机信息系统罪案件的研读、分析和归纳,在此类案件中,法院主要从以下方面认定相关主体构成非法侵入计算机信息系统罪:
第一, 提供信息网站为国家事务、国防建设、尖端科学技术领域的计算机信息系统;
第二, 爬虫企业对上述计算机信息系统有侵入行为,这里主要考量:(1)是否影响计算机信息系统的正常运作;(2)被爬数据信息的公开程度。
结合以上要点对照本案进行分析解读如下:
判决要点 法院观点 要点分析
眉山市公共资源电子交易网站是否属于国家事务计算机信息系统 经四川省公安厅网络安全保卫大队检验, “眉山市公共资源交易中心平台网站”计算机信息系统的服务安全和数据安全涉及国家事务,属于国家事务服务领域的重要计算机信息系统。 根据《危害计算机信息系统安全解释》第十条对于是否属于 “国家事务、国防建设、尖端科学技术领域的计算机信息系统”难以确定的,应当委托省级以上负责计算机信息系统安全保护管理工作的部门检验。司法机关根据检验结论,并结合案件具体情况认定[ 《最高人民法院最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第十条 对于是否属于刑法第二百八十五条、第二百八十六条规定的“国家事务、国防建设、尖端科学技术领域的计算机信息系统”、“专门用于侵入、非法控制计算机信息系统的程序、工具”、“计算机病毒等破坏性程序”难以确定的,应当委托省级以上负责计算机信息系统安全保护管理工作的部门检验。司法机关根据检验结论,并结合案件具体情况认定。]。本案中公诉机关提供了省公安厅网络安全保卫大队的检验结果,法院也因此认定了眉山市公共资源电子交易网站属于国家事务计算机信息系统。
在对非法侵入计算机信息系统罪的案例进行梳理的过程中我们发现,构成此罪的案件基本上涉及的是国家事务计算机信息系统,根据相关案件的判决情况,如网站的主办单位为国家机关则被认定为国家事务计算机信息系统的可能性较大。
鲁某和吴某的行为对上述计算机信息系统是否构成“侵入” 法院认为,鲁某和吴某的行为构成对国家事务领域的计算机信息系统的侵入。 由于不以侵入行为的结果来认定,仅要求有侵入的行为即可,因此需要特别关注“侵入”的认定。目前刑法及相关司法解释未对“侵入”做出具体定义,根据我们对目前62个非法侵入计算机信息系统罪案例判决书的整理和总结,法院认定的侵入主要有两种形式:一是行为人以非法的形式登录到国家事务网站,获取或查阅了登录人本不该有权限获取或查阅的系统信息和资源;二是行为人将非法文件(如广告、链接、恶意程序)发送至国家事务网站,对网站的正常运作产生了影响。因此,认定是否构成“侵入”,一方面需要关注国家事务网站数据信息的公开程度,也即,如果数据信息本身就是公开的形式,在不需要内部权限情况下就能获取,就不存在“侵入”计算机信息系统获取数据;另一方面需要关注是否向国家事务网站发送非法文件影响网站的正常运作。
结合到本案,鲁某和吴某以非法形式获取了眉山市公共资源电子交易网站的权限,并且获取了非公开的、本不该有权限获取的数据信息。
合规建议
对于提供大数据服务的企业而言,获取相关国家机关、政府网站的数据信息用于提供数据分析服务已经非常普遍,但爬取国家事务网站的数据信息仍然应当慎重。如,8月2日我们从《北京青年报》的报道中了解到,行为人将使用爬虫技术手段获取的最高人民法院裁判文书网的文书数据明码标价进行买卖。暂不论其中可能涉及的其他法律风险,在最高院已经采取相应“反爬虫措施”的情况下,行为人仍然强行恶意突破反爬虫技术措施获取文书信息的,将有可能构成非法侵入计算机信息系统罪。为此,我们建议企业或个人在使用爬虫技术获取国家事务、国防建设、尖端科学技术领域的计算机信息系统数据时,应当关注以下方面:
• 避免因使用爬虫技术影响到被爬网站的正常运作;
• 避免抓取计算机信息系统内的非公开数据信息。
典型风险六:构成提供侵入、非法控制计算机信息系统的程序、工具罪
王甲、王乙提供侵入、非法控制计算机信息系统程序、工具案(南城县人民法院(2018)赣1021刑初13号)
本案中,王甲和王乙制作并销售用于攻击58同城网页漏洞并采集公民个人简历信息的软件,最终被判提供侵入、非法控制计算机信息系统的程序、工具罪。
该案中,王甲利用计算机编程先后制作了“ANYR”、“蓝鲸”、“宝马”三个软件,专门用于攻击58同城网页漏洞并采集网站上公民个人简历信息。王甲和王乙两人分工合作,由王甲负责软件的运营和维护,由王乙负责软件的推广与销售,并约定分成。本案中,王甲和王乙通过销售前述软件获利5000元以上。
法律规定
与本案相关的法律法规的主要内容为:
《刑法》
第二百八十五条第三款主要内容:提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
《最高人民法院最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》( “《危害计算机信息系统安全解释》”)
第二条 具有下列情形之一的程序、工具,应当认定为刑法第二百八十五条第三款规定的“专门用于侵入、非法控制计算机信息系统的程序、工具”:
(一)具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据的功能的;
(二)具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权对计算机信息系统实施控制的功能的;
(三)其他专门设计用于侵入、非法控制计算机信息系统、非法获取计算机信息系统数据的程序、工具。
第三条主要内容:达到情节严重的六种情形:(1)提供能够用于非法获取支付结算、证券交易、期货交易等网络金融服务身份认证信息的专门性程序、工具五人次以上的;(2)提供第(1)项以外的专门用于侵入、非法控制计算机信息系统的程序、工具二十人次以上的;(3)明知他人实施非法获取支付结算、证券交易、期货交易等网络金融服务身份认证信息的违法犯罪行为而为其提供程序、工具五人次以上的;(4)明知他人实施第(3)项以外的侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具二十人次以上的;(5)违法所得五千元以上或者造成经济损失一万元以上的;(6)其他情节严重的情形。
达到情节特别严重的两种情形:(1)达到“情节严重”情形第(1)至(5)项规定标准的五倍以上的;(2)其他情节特别严重的情形。[ 第三条提供侵入、非法控制计算机信息系统的程序、工具,具有下列情形之一的,应当认定为刑法第二百八十五条第三款规定的“情节严重”:
(一)提供能够用于非法获取支付结算、证券交易、期货交易等网络金融服务身份认证信息的专门性程序、工具五人次以上的;
(二)提供第(一)项以外的专门用于侵入、非法控制计算机信息系统的程序、工具二十人次以上的;
(三)明知他人实施非法获取支付结算、证券交易、期货交易等网络金融服务身份认证信息的违法犯罪行为而为其提供程序、工具五人次以上的;
(四)明知他人实施第(三)项以外的侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具二十人次以上的;
(五)违法所得五千元以上或者造成经济损失一万元以上的;
(六)其他情节严重的情形。
实施前款规定行为,具有下列情形之一的,应当认定为提供侵入、非法控制计算机信息系统的程序、工具“情节特别严重”:
(一)数量或者数额达到前款第(一)项至第(五)项规定标准五倍以上的;
(二)其他情节特别严重的情形。]
分析解读
虽然《刑法》二百八十五条第三款的罪名和条文都未直接提到用于非法获取计算机信息系统数据的程序、工具,但在《危害计算机信息系统安全解释》第二条的解释中明确,如涉案程序、工具满足一定条件且能够“获取计算机信息系统数据”的,也构成本罪中“专门用于侵入、非法控制计算机信息系统的程序、工具”[ 《最高人民法院最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第二条 具有下列情形之一的程序、工具,应当认定为刑法第二百八十五条第三款规定的“专门用于侵入、非法控制计算机信息系统的程序、工具”:
(一)具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据的功能的;
(二)具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权对计算机信息系统实施控制的功能的;
(三)其他专门设计用于侵入、非法控制计算机信息系统、非法获取计算机信息系统数据的程序、工具。]。因此,《危害计算机信息系统安全解释》扩大了字面上理解的“用于侵入、非法控制计算机信息系统”的语义。
鉴于本文主题为分析使用网络爬虫技术过程中的法律风险,在本罪的探讨中,仅对可能涉及到使用网络爬虫技术的部分进行探讨。
通过我们对与非法获取数据信息相关的提供侵入、非法控制计算机信息系统的程序、工具罪案件的研读、分析和归纳,相关主体构成提供侵入、非法控制计算机信息系统的程序、工具罪存在两种模式,对这两种模式分别需要关注的要点分析如下:
模式一,提供专门用于侵入、非法控制计算机信息系统的程序、工具构成本罪需要关注以下方面:
第一,相关程序、工具可以避开或者突破计算机信息系统安全保护措施的功能且具备未经授权或者超越授权地获取计算机信息系统数据的功能(“避开/突破安保措施功能+未经授权/超越授权获取功能”);
第二,向他人提供上述程序或工具的行为;
第三,达到“情节严重”或“情节特别严重”的标准。
模式二,明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具构成本罪需要关注以下方面:
第一,明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为;
第二,向他人提供可用于上述犯罪的程序、工具。
第三,达到“情节严重”或“情节特别严重”的标准。
模式一和模式二的区别主要在于相关的程序、工具是否是专门用于侵入、非法控制计算机信息系统的程序、工具。在模式一中的程序与工具需要具备“避开/突破安保措施功能+未经授权/超越授权获取功能”,但模式二中,未对程序、工具的功能作出要求,但可帮助相关行为人达到侵入、非法控制计算机信息系统效果的,即构成本罪。所举案例符合模式一,结合以上要点对照本案进行分析解读如下:
判决要点 法院观点 要点分析
涉案程序、工具是否具备“避开/突破安保措施功能+未经授权/超越授权获取功能” 属于专门用于侵入、非法控制计算机信息系统的程序、工具。 结合本案,王甲制作的三款软件,可利用58同城网站的漏洞突破其安全保护措施,在未经授权的情况下按照设定的条件自动采集网站上的简历信息,具备“避开/突破安保措施功能+未经授权/超越授权获取功能”,也即,制作之初,该款软件只能也仅能用于侵入、非法控制计算机信息系统犯罪。
王甲和王乙是否有向他人提供上述程序、工具的行为 法院认为,王甲和王乙存在以非法牟利为目的向他人提供上述程序、工具的行为。 在本案中,王甲在发现售卖涉及公民个人信息的软件可以获利后,就进行涉案软件的开发,并在制作完成后与王乙一起向他人出售软件,因此属于向他人提供上述程序、工具的行为。
在此需要明确的是,仅制作上述程序、软件而不向他人提供、也不自行使用的,不构成本罪;如果行为人自行制作并自己使用上述程序、工具,而没有“向他人提供”的行为,那么根据刑法相关理论,制作程序、工具的行为可视为后续犯罪的准备行为,将按行为人构成的其他犯罪进行惩处。
王甲和王乙的行为是否达到情节严重、情节特别严重标准 法院认为,王甲和王乙的行为达到情节严重的标准。 同非法获取计算机信息系统数据罪的认定标准,本罪构成情节严重/情节特别严重需要关注涉案程序、工具是否可获取身份认证信息。
在本案中,虽然涉案软件不属于获取身份认证信息的程序、工具,但王甲和王乙售卖涉案软件的违法所得达到了情节严重标准。
合规建议
在业务实践中,我们了解到许多有数据抓取需要的企业会设立专门的IT团队和工作人员进行爬虫技术的开发,以便在相关场景和业务中进行数据信息的收集和使用。网络爬虫技术本身中立,但将其内化于具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据的功能的程序、工具中并向外提供的,则有可能构成提供侵入、非法控制计算机信息系统的程序、工具罪。为此,我们建议相关企业:
• 避免开发出具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据的功能的程序、工具,并向外提供;
• 对企业从事相关程序、工具开发的员工严格要求,禁止员工向外提供爬虫程序、工具。
结语
随着网络信息数据资源的迅猛增长和动态变化,网络爬虫技术到目前已经从传统的通用网络爬虫(General Purpose Web Crawler)技术升级细化至聚焦网络爬虫(Focused Web Crawler)技术、增量式网络爬虫(Incremental Web Crawler)技术和深层网络爬虫(Deep Web Crawler)技术。[李慧敏、孙佳亮:《论爬虫抓取数据行为的法律边界》,载《电子知识产权》2018年第12期,第59页。]可以预见,网络爬虫技术未来还将根据人们的需求和技术的发展不断进行功能的延伸和改进,更多的商业模式和场景也将被创造和实现,与网络爬虫技术相关的法律问题也可能以更多元的形式呈现。
结合我们在业务中碰到的网络爬虫行为来看,其涉及的法律风险还不止于本文提到的六种典型的法律风险。但限于可供参考的案例有限,同时考虑到还有部分问题(如前文提到的爬取公开的个人信息问题、数据权益问题等)需要留待立法以及司法实践来进一步厘清,因此本文并未将相关风险纳入其中。对于该问题感兴趣或者存在疑问的朋友欢迎通过邮件方式与我们沟通,我们也会在合适的时候再次总结并将该领域最新的案例与大家分享探讨。
本文仅为我们对相关法律法规的一般解读,不能作为正式法律意见和建议,如果您有特定的问题,请与观韬中茂律师事务所联系咨询事宜。
作者简介:王渝伟律师是观韬中茂上海办公室合伙人,主要执业领域为网络安全、数据合规及数据竞争法,风险投资与私募股权,证券市场的争议解决。王律师常年担任首席数据官联盟等国内大数据行业联盟的首席律师及专家组成员,为互联网、银行、基因、大数据、零售领域的上市公司提供数据合规的解决方案及咨询,同时为大数据、区块链、人工智能、网络安全、金融科技、云计算等领域的国内外科技公司提供该领域的法律服务。
作者简介:陈坤律师助理,毕业于华东政法大学,获得经济法学士学位、法律与金融硕士学位,专注于网络安全、数据合规、数据竞争法、证券市场及民商事的争议解决研究与工作。多次参与撰写网络安全、数据合规领域的专业文章,为该领域客户提供专业法律意见并协助企业进行合规整改。
王渝伟
合伙人
观韬中茂上海办公室
电话:(86-21)3135 9919
传真:(86-21)3135 9929
电子邮箱:wangyw@guantao.com
陈 坤
律师助理
观韬中茂上海办公室
电话:(86-21)3135 9919
传真:(86-21)3135 9929
电子邮箱:chenkun@guantao.com