恶意爬虫犯罪主体刑法规制

2021-09-05张雪靖

湖北经济学院学报·人文社科版 2021年6期

张雪靖

摘要：剑指爬虫，意指数据。恶意爬虫犯罪主体具有多样性、复杂性和层次性。平衡利益，明确权利，划分责任，以稳定数据生态系统。从信息保护转变为信息治理，以理性规则和个案自下而上地推动数据规则体系演进。即：犯罪主体全面考虑研发者、首次收集者与利用者以及非首次收集者与利用者。司法审查非纯粹单位犯罪的定罪处罚。立法宜增设过失危险犯以及将牵连犯类型化。

关键词：恶意爬虫;数据安全;代码理论;主体扩展;法益推定

网络爬虫（Web Crawler或者spider）是指研究人员编写的计算机程序和自动化脚本，其可通过模拟网络用户的点击，自动、广泛、有效和精准地检索、提取、收集数据网站、手机APP、小程序、搜索引擎中数据的行为。由于使用者的滥用，强行突破目标网站设置的防护措施，实时、无限制地抓取数据并用于非法用途，违反了《中华人民共和国民法典》、《中华人民共和国网络安全法》以及《中华人民共和国刑法》（以下简称《刑法》）等相关的法律规范以及《互联网搜索引擎服务自律公约》中机器人协议行业规范，属于恶意爬虫，是道德上可疑的并可被视为是违法的。[1]目前关于网络爬虫的刑法规制问题，理论研究主要集中在立法的原则、数据与信息的区别、数据确权、行为违法性实质判断、[2]行为的类型化入罪、罪名适用、罪数认定、行为场景化处罚、部门法救济等。[3]本文主要对恶意爬虫犯罪主体进行法律分析，以期合法有效打击相关犯罪。

一、恶意爬虫犯罪主体司法现状

恶意爬虫主体的司法评价呈现由民事侵权到刑事规制的趋势。“酷米客”诉“车来了”不正当竞争民事纠纷一案中，争议点之一是五名员工是否是职务行为。[4]法院认为属于职务行为，因为原告没有举证证明五名员工与法定代表人属于共同侵权;南山区人民法院153号刑事判决书认定该五人采用网络技术手段获取实时公交数据信息属于单位犯罪。该民事判决以刑事判决为前提，承认了单位责任，否认了员工责任。在上海晟品网络科技有限公司、侯明强等非法获取计算机信息系统数据一案中，[5]法院认为除单位外，法定代表人、技术负责人、职员属于直接责任人员，依据相应的作用大小予以定罪处罚。2019年9月以来，大数据行业包括但不限于魔蝎数据、新颜科技等公司，利用爬虫技术泄露个人隐私，助长了“套路贷”相关犯罪，被刑事侦查。[6]行业的整顿，剑指爬虫，意在数据，关键一环在于谁应为恶意爬虫负责任？

根据《数据安全管理办法（征求意见稿）》，在数据的收集、使用、处理和监督管理环节，涉及的主体包括关联信息主体（自然人和重要数据单位）、网络运营者（所有者、管理者、数据安全责任人和网络服务提供者）、网信部门等主管部门。数据的归属问题，决定了网络运营者是否侵权或者违法，应对恶意爬虫承担何种责任。截止到2020年9月29日，在中国裁判文书网以“爬虫”“刑事案例”“刑事案由”“判决书”为关键词进行检索，得到有效判决书为27份，对恶意爬虫犯罪主体进行分析。其一犯罪主体较为宽泛。既涉及单位犯罪也涉及自然人犯罪。在单位犯罪中，对于法定代表人、股东、经理、研发部门、运维技术人员以及员工，在共同犯罪中需要结合具体的作用大小予以定罪处罚。其二犯罪主体的性质和作用大小难以界定。例如对于研发人员而言，在实务中属于主要研发人员，且在离职后仍为公司服务或者使用自己编写的网络爬虫技术获取他人的个人隐私，都构成犯罪。目的并不影响定罪处罚，一旦利用爬虫技术实施违法行为即构成犯罪。对于研发人员、员工、销售经理而言，技术是否具有中立性？职务行为能否用以辩护，行为是否具有期待可能性？以故意还是过失予以定罪处罚？其三犯罪主体主要集中在二次收集、利用和处理数据阶段，鲜有涉及原始收集阶段。例如对接第三方主体获取数据，例如：百度网盘、运营商服务器、淘宝等。数据安全法益，包括数据的保密性（confidentiality）、完整性（integrity）和可用性（availability）。根据数据的开放程度、有无设置限制访问技术和授权使用范围，是否定罪处罚有所区别？第三方主体是否存在过失监督责任？上述问题的考量涉及犯罪主体范围。

二、恶意爬虫犯罪主体责任规则

（一）数据权利谱系分析

1. 利益平衡

在数据治理中，私法保护数据的流通，而刑法保护数据的安全，旨在规范数据收集、存储、转让、使用等。对恶意爬虫行为规制的前提性问题是爬取的对象是否值得刑法保护，侵犯了谁的法益。数据一旦被授权采集，数据的流动性极强，可控性变得极其薄弱。对数据享有权益的是关联信息主体，还是网络运营者，抑或是公共所有？其中在网络运营者中，根据数据流转的环节以及加工作用大小的不同，权益是否有所区别？这就涉及制度利益、信息关联主体利益以及網站运营者利益，三者如何衡量的问题。

笔者认为：其一，制度利益优于其他利益。制度利益源于法律的明文规定，具有相对的明确性和强制性。《中华人民共和国网络安全法》（以下简称为《网络安全法》）内在的精神要求是保护政府、企业和个人的数据，体现合法、正当、必要、公开、许可和保密原则，是数据保护的原则性规定。其二，实质性保护信息关联主体利益。信息关联主体是数据最原始的所有者，不可忽视原始收集数据的重要性。《用户授权协议书》或者在使用软件过程中授权位置、储存空间等均具有不公平性，一旦使用软件，必须默认软件所有者的授权的范围以及内容。网信部门应对网站协议进行实质性审查，网站所有者应对拟定的合同进行合规性审查，信息关联主体应享有拒绝非必要授权的权利，一定程度上规制原始收集的不正当性。其三，网站运营者利益存在层级性。数据资产逐渐成为企业核心资产，数据的质量成为商业智能成功的关键。企业在授权范围内爬取的数据，对创造性加工部分应享有权益。企业既可抗辩爬取数据的不正当性，也可采取技术措施防止第三人恶意爬取数据。数据的所有者不是一成不变的，刑法不应对数据的流通和加工做不必要的限制，但应对恶意爬取犯罪主体予以重点打击。

2. 数据与技术排他性

在利益平衡原则的指导下，讨论恶意爬虫行为的判断标准。最初判断恶意爬虫行为是合约授权理论，即超越合同约定的范围就构成犯罪。例如违反网站使用条款、数据库授权协议等。这容易导致数据的垄断、不正当竞争以及判断标准的主观性和模糊性，扩大刑事犯罪圈。代码责任理论有助于完善上述不足并甄别网络爬虫的性质。代码责任理论是指只有回避或者突破计算机信息系统中代码屏障的访问才是违法的。当行为人明知其没有访问的权限，故意避开或者强行突破技术措施爬取数据时，主观恶性更强。可根据获取数据的方式、数据的类型、使用的价值、入罪的情节等综合考虑行为人的刑事违法性和应受惩罚性。

其一是行为不法：违反了数据的访问权限。数据网站通过设置相关的技术屏障借以保护数据，授予特定的主体一定的权限，将其他人排除出去，体现了数据网站强保护数据的意愿。既具有技术上的排他性，也具有数据上的排他性。根据“明确分割规则”，若行为人爬取行为没有使网站负担加重、没有侵犯他人的财产权、知识产权等以及用于非竞争市场用途的，可不予处罚。其二是对象不法：爬取限制访问的数据需要承担刑事责任。依照数据的开放程度，可将数据分为开放的数据、限制重复使用的数据以及限制访问获取的数据。第一种数据无须承担责任，第二种承担民事责任，第三种则是刑法予以规制的违法行为。这类数据因具有保密性，不被窥探的状态而值得刑法保护。但是保密性应根据国家和行业标准予以认定，不能依照数据主体的意愿而降低标准。对数据的采集、保存、调取、使用系一个完整的犯罪行为链，若数据的采集、保存行为系超越授权的操作，且直接服务于后续的数据非法使用，同样应认定为具有刑事违法性。代码责任理论与我国法律规定以及司法实务中的精神一致。在《刑法》第285条规定的非法获取计算机信息系统数据罪将客观方面规定为：采取侵入或者其他技术手段。即以计算机访问技术手段为判断标准，可分为侵入型和破坏型。在司法实务中，被惩罚的行为方式包括编写爬虫脚本、采用多线程提交、批量刷单、验证码自动识别等方式突破数据主体系统安全保护措施。

（二）规范入罪责任体系

以数据产生和流通的顺序可以将数据分为原始数据与次生数据。原始数据是指用户自愿主动向商家提供的数据，是数据的最初形式和来源。次生数据是指商家基于合法收集的数据加工后用于商业用途的数据。恶意爬虫者均可能出现在数据流通的每一个环节。划分数据违法行为的类型、环节及损害程度，加强对恶意爬虫者的责任追究。

1. 研发者

基于數据的流通和革命的需要，不宜过度苛责研发者，只有存在不法情形，才可定罪处罚。其一是故意研发存在漏洞的爬虫技术，可根据片面共犯处罚。技术本身存在更迭周期，允许试错并完善的过程，即允许过失的研发行为，不适用严格产品责任。若行为人基于邪恶计划，并通过研发过程将该种思想付诸行动，即使恶意爬虫者不知情，仍可依照片面共犯定罪处罚。刑法不处罚思想犯，但处罚实行犯。其二是将爬虫技术用于非法用途。爬虫技术属于预备犯罪中的准备工具，刑法只是将分裂国家预备行为正犯化，因此刑法不处罚单纯研发爬虫技术行为。若行为人利用爬虫技术实施的行为涉及刑法分则中某些具体的罪名，则必须处罚。例如：爬取个人信息构成侵犯公民个人信息罪;利用事先编写的网络爬虫程序读取虚拟队列中的cookie并获取淘宝用户的交易订单数据，可构成非法获取计算机信息系统数据罪。研发者的身份，既不是以技术中立予以抗辩的事由，也不是加重情节。

2. 首次收集者与利用者

首次收集者与利用者的责任形式在理论与实务中均被忽视。其一是合约内容是否属于概括性故意。行为人与关联数据主体应根据合约授权理论来判断爬取行为是否合法。合约中规定：授权的范围、方式、用途等，在民事领域一般可认定为格式条款。在刑法领域中，不能根据被害人同意理论规避刑事责任，必须做实质性审查。若是行为人在合同中利用模糊性、盖然性词语违背国家或者行业标准，收集非必要的数据，并用于非法用途，仍应予以刑法处罚。虽不具有确切性故意，但盖然性故意依法被处罚。例如扒窃就属于盖然性故意。其二是否存在监督过失责任。行为人在收集数据后，负有合理保管数据的义务。例如故意将数据模糊化，进行拆分处理。即使泄露数据，也无法通过数据的比对再现完整的信息。例如微信授权登录，可以模糊真实姓名或者匿名化姓名。监督过失责任很大程度上依赖于行为人的反爬虫技术措施的高与低，网信监管部门应设定行业最基本的标准。监督过失责任属于过失责任，一般根据结果或者情节定罪处罚。

3. 非首次收集者与利用者

非首次收集者与利用者是恶意爬取数据的主要犯罪主体。其一根据数据的类型，构成具体的罪名。收集的数据属于个人信息、作品、淫秽物品等或者储存在计算机系统，可构成侵犯公民个人信息罪、侵犯著作权罪、传播淫秽物品牟利罪以及非法获取计算机信息系统数据罪等。《中华人民共和国刑法修正案（九）》新增了多个罪名规制网络爬虫行为，涉及公共秩序、市场秩序、人身财产以及提示性条款。其二犯罪主体较为复杂，根据行为和作用大小进行甄别。尤其涉及员工、技术人员、经理等职位，可结合帮助犯或者实行犯理论，根据行为的次数、时间长短、收集数据的类型、数据的价值、数据的用途以及行为的危害多角度、多层次进行分析。行为人只要具备控制和辨认能力，均应对自己的行为承担责任。其三根据情节、数额或者结果定罪处罚。我国除了规定了罪体、罪责，还规定了罪量，在分则罪名中体现为具体的情节或者数额。《数据安全管理办法（征求意见稿）》第16条规定：网络运营者采取自动化手段访问收集网站数据，不得妨碍网站正常运行;此类行为严重影响网站运行，如自动化访问收集流量超过网站日均流量三分之一，网站要求停止自动化访问收集时，应当停止。罪量是罪与非罪、罪轻与罪重的划分标准。

三、恶意爬虫犯罪主体扩展研究

大数据的世界不是单一的网络，而是包含各类主体的数据生态系统。增强系统的稳定性，依赖于市场的划分、商业模式的创新以及竞争环境的调整。刑法以惩罚故意为主，惩罚过失为例外。爬虫技术本质上是行为人实施犯罪的“工具”，各类主体以何种主观实施犯罪，应分情况分析，构建以四要件为模板的犯罪主体体系，以期合法规制恶意爬虫行为。

（一）主体方面：纯粹与非纯粹单位犯

犯罪主体包括自然人和单位。在单位犯罪中，理论界和实务界主要关注的是如何区分自然人犯罪与单位犯罪。因为单位是拟制的主体，具体犯罪行为依赖于成员决定和实施，但单位刑罚等于或者小于同等自然人罪名的设置，这容易导致自然人以单位名义实施犯罪并逃避更重的处罚。但若以犯罪主体是否都是单位，可将共同犯罪主体分为纯粹单位犯与非纯粹单位犯。[7]纯粹单位犯是指两个单位共同实施了分则明文规定的犯罪;非纯粹单位犯是指自然人参与实施的犯罪，具体而言包括两种：一是单位实施了单位犯罪，非直接负责的主管人员、非其他直接责任人员等公司内部人员或者公司外部人员是构成单位犯罪的共犯还是成立相应的自然人罪名？二是单位实施了自然人的犯罪，但没有规定相应的单位犯罪，是否构成自然人的帮助犯还是按照无罪处理？

一是纯粹单位犯。虽然刑事判决书基本上都是处罚单一单位主体，但不可忽视两个单位共同实施犯罪。合作可以弥补双方的不足，获得利益的最大化，这在单位竞争中显得尤为重要。爬虫软件既属于技术工具，又属于实施犯罪的工具。可能发生两个单位为了非法目的，联合研发更新颖的爬虫技术或者侵入破坏反爬虫措施，从而恶意爬取他人数据;或者两个单位通谋犯罪，一个单位制造或者破解技术，一个单位利用数据获取非法利益。二是非纯粹单位犯的第一种情形。单位犯罪一般规定在章节或者具体自然人罪名之后，参照适用罪名或刑罚。这种情形似乎没有讨论的必要，实则不然，定罪的逻辑实质上涉及自然人的刑罚处罚问题。若是成为共犯，则先需要将自然人的作用大小与单位的作用大小做对比，分清主犯与从犯，存在是否从重或者从轻处罚;若是成立自然人犯罪，则先需要将自然人的犯罪情节与具体的法律规定做对比，在适格幅度内处罚。三是非纯碎单位犯的第二种情形。若是按照帮助犯处理，会出现逻辑上的错误。即假设没有自然人犯罪，只有单位实施行为，该种行为因为没有被刑法明确规定为犯罪，所以无法定罪处罚。这种正犯的行为尚且无法被处罚，但是在自然人参与实施犯罪中，却以帮助犯定罪处罚。岂不是帮助犯的社会危害性比正犯的更大？显然不合逻辑性。事实上，这涉及单位犯罪刑罚目的的理论。自然人的刑罚目的是预防、教育、惩罚和威慑，因此涉及的罪名极其全面。但是单位犯罪是刑事政策的考量，涉及罚金的执行能力、株连无辜人员、社会稳定性等，因此对单位构成何种犯罪，需要严格的限制。但若是单位的刑罚不单单是罚金刑，还包括经营犯罪的缩小、员工可提起刑事附带民事诉讼等方式，是不是可以扩大单位犯罪的范围呢？

（二）主观方面：过失危险犯

我国理论界通常认为：刑法没有关于过失危险犯的规定。[8]主要因为一是过失犯罪的成立要件是发生现实的危害结果，而不是只发生侵害危险状态;二是危险犯主要存在故意犯罪中，不存在过失犯罪中。三是德国刑法中过失危险犯以刑法明文规定为前提，并以故意犯的危险犯为立法前提。但追溯立法例可找到过失危险犯的规定，例如1997年刑法典规定了妨害国境卫生检疫罪、妨害传染病防治罪、过失损坏广播电信设施、公用电信设施罪。是否应增设过失危险犯？学界争议很大。有学者认为过失危险犯的要点是把尚处于未遂状态的犯罪主观地提高到既遂的状态，想为加重处罚提供理论依据，具有非科学性。[9]有学者认为为了保卫社会，刑法有必要将介入的时间提前到直接危險状态的阶段。[10]设立过失危险犯与刑法谦抑性原则不冲突，反而有利于刑法诱导和忠诚。[11]笔者认为应增设危险过失犯，原因如下。

一是过失危险犯惩罚的理论依据。理论依据是处罚过失犯不是因为造成了危害结果，而是因为行为人违反了相关的注意义务，即预见义务与避免义务，将惩罚的依据从结果责任过渡到行为责任。[12]注意义务尤其是指监督义务和业务义务。监督义务是将高层决策者纳入刑法规制范围内，在恶意爬虫刑事判决书中，将法定代表人和股东作为刑事被告人的原因之一就是其违反了监督义务，是犯罪意图的主要实施者。当然对于研发者的过失责任，应坚守二次违法的原则，重视行政前置法的惩罚功能。二是过失危险犯惩罚的现实依据。现实依据是应对风险社会的挑战，弥补在特定领域内，即网络犯罪中的立法不足。恶意爬虫危害后果主要有：不利于个人信息保护。对各个网站以及个人信息的恶意爬取，对自然人的行为分析，将相关信息出售给商家，以此获得巨额利润。在校园贷和套路贷等犯罪中，数据的泄露是犯罪的催化剂。不利于同业竞争。目前超过50%企业设置首席信息安全官职位，将客户数据在创建之初获得安全保障，防止泄露后导致的不可估量的后果。例如购票加速包、医疗抢票软件等扰乱了资源的分配，市场的秩序。不利于网络秩序的稳定。影响服务器运行、甚至整条网络的流通。在中国裁判文书网中，大量的爬虫行为导致了网站的崩溃。不利于国家主权的稳定。境外数据与境内数据、一般数据与国家数据、普通网站与暗网数据等，对于国家政权的稳定起到不可忽视的作用。

（三）客观方面：牵连犯

牵连犯是指手段行为与目的行为具有牵连性，同时分别触犯两个罪名。有学者认为，牵连犯的主观标志应为“一个主导犯罪意图”，不同罪行之间的“方法准备、主旨支配、后续结果”的规律性发展关系才是牵连关系的应有之义。[13]亦有学者认为将牵连关系限定在“对同一客体的同一次侵犯”。[14]典型的牵连犯是以伪造国家机关公文的方法骗取公私财物，或者绑架他人后勒索财物的。刑法总则中关于牵连犯的处罚没有明文的规定，在刑法分则中存在三种情况：一是从一重罪从重处罚;二是规定了独立的法定刑;三是数罪并罚。[15]那么侵犯公民个人信息行为、非法获取计算机信息系统数据行为、非法侵入计算机信息系统行为是不是属于手段行为？侵犯著作权行为、传播淫秽物品行为、传播淫秽物品牟利行为是不是属于目的行为？该问题涉及牵连性的判断问题以及罪数问题。

关于牵连性的判断，存在主观说、客观说、折中说以及类型说。主观说是从行为人主观意图出发，客观说是从行为客观属性出发，折中说是从主客观相统一出发，而类型说是从刑法规定和司法实践中将手段与目的行为发生的盖然性进行类型化。[16]笔者认为，牵连性应采取类型说。考虑牵连犯的本质是因为手段行为与目的行为同时触犯两个罪名，理应数罪并罚，但是由于两者具有一定程度上的牵连性，为了使得罪与刑相适应，不实行数罪并罚，而是根据法律的明文规定或者是类型化的判断，准确对行为人定罪处罚。侵犯公民个人信息罪、非法侵入或者获取计算机信息系统数据罪，主要是从数据的种类进行区别，都是属于手段行为，是并列的关系。行为人都实施了恶意爬取他人数据的行为，必然会构成上述三个罪名之一。若是行为人有其他犯罪目的，同时目的行为构成了相关罪名，例如侵犯著作权罪、传播淫秽物品罪等，法院一般按照目的行为进行定罪处罚，而不再对于恶意爬取他人数据的手段行为进行定罪处罚。法院的定罪逻辑是认为恶意爬取他人数据的手段行为与各种目的行为均具有牵连性？还是仅仅是因为法律规定了各种目的犯，因此法院单纯根据目的行为定罪处罚？笔者认为，严格遵守法律定罪处罚没有错误，但是类型化的判断部分有误。行为人恶意爬取的数据不同，例如淫秽物品、可交易的信息种类、作品，行为人一般会进行传播、经营、营利，手段行为与目的行為具有一定的牵连性，因此淫秽物品类、经营类以及著作权类犯罪定性没有错误。但是获取个人信息或者其他领域的信息，是否必然涉及财产犯罪？这个涉及司法实务中发生的盖然性问题。多家数据公司包括魔蝎科技、同盾科技等被查，原因很可能与违规使用爬虫数据以及暴力催收有关。套路贷相关犯罪就是在获取他人信息后进行诈骗。但是值得注意的是，行为人是数罪并罚的。那么无论是基于认为两个行为没有牵连性，还是基于宽严相济刑事政策的考虑，恶意爬取他人数据后再诈骗的行为如何定罪处罚值得研究。根据牵连性的判断，先明确牵连犯的范围，再根据罪刑相适应的原则确定科学的处罚原则，是双重评价禁止与充分评价原则应有之义。[17]

四、结语

大数据具有大量性（Volume）、高速性（Velocity）、多样性（Variety）和真实性（Veracity）。[18]恶意爬虫不当行为的日益泛滥，给数据流转以及数据保护带来了更大的挑战，给互联网的发展带来了严重的负面影响。《中华人民共和国刑法修正案（九）》新增了多个罪名规制网络爬虫行为，即在新增妨害社会管理秩序罪中扰乱公共秩序罪的网络类犯罪的基础上，形成了包含破坏社会主义市场经济秩序罪中的知识产权类犯罪、侵犯公民人身权利、财产权利罪中个人信息类犯罪以及《刑法》第287条的提示性条款全方位的犯罪体系。[19]关注立法目的，回归数据本身，强化法益推定。从信息保护转变为信息治理是未来规制恶意爬虫犯罪主体的基本原则。

参考文献：

[1] [德]埃里克·希尔根多夫.德国刑法学从传统到现代[M].黄笑岩译.北京：北京大学出版社，2015，76.

[2] 刘艳红.网络爬虫行为的刑事规制研究——以侵犯公民个人信息犯罪为视角[J].政治与法律，2019，（11）.

[3] 张一献.从技术到犯罪：恶意网络爬虫行为入罪的类型认定与裁判思路探索[J].时代学，2020，18，（4）：83-93.

[4] 广东省深圳市中级人民法院（2017）粤03民初822号民事判决书.

[5] 北京市海淀区人民法院（2017）京0108刑初2384号刑事判决书.

[6] 谢玮，宋杰.“爬虫”怎么成了“害虫”？[N].中国经济周刊.2019，20.

[7] 王能武，刘建军.单位共同犯罪的主体类型及其处罚[J].人民论坛，2015，（17）：112-114.

[8] 陈兴良.过失犯的危险犯：以中德立法比较为视角[J].政治与法律，2014，（5）：2-15.

[9] 杨兴培.危险犯质疑[J].中国法学，2000，（3）：121-134.

[10] 俞利平，王良华.论过失危险犯[J].法律科学.西北政法学院学报，1999，（3）：3-5.

[11] 储槐植，蒋建峰.过失危险犯之存在性与可存在性思考[J].政法论坛，2004，（1）：122-129.