□曾 磊,邓佳燕

(甘肃政法大学,甘肃 兰州 730070)

一、问题的提出

数据被视作数字经济时代的“新石油”,逐渐成为企业核心竞争力的重要组成部分。企业想要发展离不开数据信息的搜集整合,而网络爬虫技术能帮助企业高效率抓取特定数据,提高数据分析能力,因而备受企业青睐并得到广泛应用。网络爬虫本身是一种中立技术,但是一旦被行为人恶意使用,极易僭越法律底线,进而侵犯数据隐私、个人信息、知识产权等法益,从而使企业面临刑法规制的风险。例如,爬虫入刑第一案(1)参见:(2017)粤 0305 刑初 153 号。中的上海晟品网络科技有限公司因恶意使用爬虫技术涉嫌非法获取计算机信息系统数据罪,被处罚金20万数元,涉案成员也均被判处有期徒刑。然而,目前我国司法实践中对该技术的规制呈现出技术司法评价混乱的现状以及规制出罪路径缺位间接导致司法评价的扩大化倾向。在这样的司法导向下,作为网络爬虫技术使用主体的企业成为了犯罪“重灾区“,而企业作为一个组织体,一旦遭受严厉的刑罚处罚,极易造成“垮掉一个企业,失业一批职工”的社会负面连锁效应。后疫情时代,国家鼓励民营经济发展,这对打击网络爬虫犯罪提出了更为严格的要求。

新时代以来,全球企业合规尤其是刑事合规的发展在我国呈现深度发展的趋势,国家不断扩大合规试点城市,各个省市相继取得了丰硕的合规成果。[1]该制度意在将企业经营中违法犯罪的风险消解于最前端的同时激励涉案企业完成合规整改实现刑罚减免,跳出传统刑法以惩罚性打击犯罪为主的单一规制桎梏,转而以风险预防为主,对打破现有网络爬虫规制困局有着重要意义。故此,企业有必要引入刑事合规制度,制定切实可行的爬虫技术专项刑事合规方案,真正防范和抵御企业在爬虫技术应用过程中的各种法律风险,提高企业的抗风险能力和市场竞争力,助力企业行稳致远。

二、网络爬虫技术的刑事规制现状及困境

(一)技术的刑事规制现状

网络爬虫技术本身是价值中立的,但是围绕技术的不当使用行为是存在法律风险的 ,无论是被称为“爬虫入刑第一案”的上海晟品网络科技有限公司非法获取计算机信息系统数据案,亦或是全国首例短视频爬虫案,都表明网络爬虫行为是具备刑事违法性的。针对爬虫技术犯罪行为,我国司法实务中往往通过界定技术行为刑法层面的善恶边界来判定入罪与否。而关于技术的善恶界定,理论界和司法实务中都存在不同的观点,大致可以归类为以下两种:

第一,以Robots协议为主的技术性界定方式。所谓技术性界定方式是指从网络爬虫技术工具本身出发寻求区分技术善恶的方法。具体而言,法院常以爬虫行为有没有违反网站管理者设置的robot.txt文本这一标准来判断违法与否。另外,该类界定方式标准还包括爬虫技术是否绕过或者突破“反爬虫”技术措施壁垒等,这一点类似于美国的撤销范式。[2]全国首例短视频爬虫案件中的裁判理据便属于这一类,其中所涉及的短视频软件因具备突破反爬措施的技术功能而被认定为违法。该类善恶界定方式在司法实践中被大多数法院所采用,不过理论界对此却存在诸多质疑和争议。有学者[3]就指出全国首例“爬虫”入刑案中存在以技术判断主导定罪的刑法扩大化适用嫌疑。

第二,依据场景化的利益衡量原则进行违法界定。[4]场景化利益衡量原则与技术性界定不同,该原则主张淡化爬虫技术本身的评价,侧重于综合考量网络爬虫技术带来的权益侵害是否为各部门法所关注。例如,在奇虎诉百度Robots协议不正当竞争案(2)参见:(2017)京民终487号。中,最高人民法院最终在认定被诉行为否构成不正当竞争行为的时候就适用了该原则,考量了爬虫技术的损害后果以及是否违反了诚实信用原则和公认的商业道德等综合利益因素。刑法的任务是保护法益,将利益衡量原则介入爬虫技术的规制能够一定程度确保社会有益性的实现。不过依然有部分学者对此种界定方式持反对意见,他们认为笼统的利益衡量原则无法真正在个案中进行衡量,归根结底该原则中的善恶边界取决于爬虫行为带来的结果这一不可控因素,这显然容易导致法律适用的不平等。

(二)技术的刑事规制困境

首先,技术司法评价混乱。其一,网络爬虫行为善恶界限模糊。目前司法实践中恶意网络爬虫行为的界定标准为是否未经授权或者超越权限,而是否未经授权或者超越权限的认定方法还未实现统一。有的法院采取以Robots协议为主的技术性界定方式;有的法院则采用场景化的利益衡量原则进行违法界定。这就导致了类似的案件可能会产生不同的评价结果,进而导致法律适用的不平等。另外利益衡量原则本身也是一个笼统的界定标准,因为针对网络爬虫技术保护法益无法确定,所以即使是都采取该类界定标准也容易出现同案不同判的现象。例如个人利用抢票软件“加密狗”进行高价倒买倒卖的行为被定性为犯罪,而“携程”等单位利用爬虫技术进行抢票的企业却因其商业用途而免于牢狱之灾。其二,网络爬虫行为善恶界定方式不当。不论是技术性界定方法还是利益衡量原则界定方式都存在评价弊端。前者将数据控制者的授权视为善恶的决定性因素,忽视了控制者借此进行不正当竞争和恶意垄断的可能性。后者对爬虫技术行为的法益进行强调,虽然规避了上述问题,但是将原则作为指导准则终究是模糊不清的,极易导致司法评价不一。其三,网络爬虫技术犯罪评价缺乏刑事责任层次。[5]在全国首例短视频网络爬虫案件中,法官提出“网络爬虫”是一种中立性数据抓取技术,但是由于本案被告人售卖的软件采取了避开或者突破计算机信息系统的安全保护措施,在未经许可的情况下贸然进入被害人单位的计算机系统,因此构成犯罪。然而,司法实践中并没有对网络爬虫技术的技术特性予以强调,这也就导致了刑事责任的无差别化。比如说违反Robots协议条款非法抓取数据的行为人主观故意较弱,绕开反爬取技术壁垒的行为人主观故意较强,在对行为人定罪量刑的时候是应当予以考虑的,然而司法实践中并没有对此进行明确的层次划分。

第二,司法评价的扩大化倾向。在对新技术进行规制时,刑法往往以处罚为惯性。在全国首例“爬虫”入刑案中,法院将爬取信息内容公开且处于公众可访问状态数据的行为,认定为非法获取计算机信息系统数据罪,就存在以技术判断主导定罪的刑法扩大化适用嫌疑,这不仅有违法秩序统一原理,而且还会阻碍数据资源的最大化利用,不宜作为“现代信息技术的国家治理体系和治理能力现代化”的刑事司法导向。[6]具体而言,一方面,后疫情时代,中小型民营企业生存更显费力,在弱肉强食的大市场里站稳脚跟已然不易,如果再因为一起案件遭受刑罚,容易导致“办理一起案件,垮掉一个企业,失业一批员工”的社会负面连锁反应,这与我国保护民营企业发展的政策严重不匹配。另一方面,数据流通产生驱动力,驱动力带来价值。数据作为网络时代重要的生产要素,各个企业都在积极参与数据竞争,尤其互联网企业更是如此。不过并非所有的企业都有能力自己生产数据,通常新兴的互联网企业都需要通过爬虫技术这样的工具来获取数据以提高竞争力,如果一味通过传统刑罚手段打击技术使用过程的不当行为,不仅会很大程度限制数据流通,迫使数据要素价值难以得到充分释放,而且也会进一步拉大企业之间的资源差距,不利于市场均衡发展。

三、刑事合规引入网络爬虫法律规制的法理证成

传统认为,打击犯罪是国家的任务,国家依靠刑事手段来达到控制犯罪的目的。然而在风险社会的背景下,单一的刑事“大棒”政策已经无法实现国家对单位网络犯罪的有效控制。对此,国家不妨推动网络犯罪管理“义务下沉”,鼓励企业进行自我监管。一般来说,就如何通过刑事法推动企业实施自我管理,目前存在两种制度构建路径:一是通过量刑激励的方式推动企业实施合规管理;二是通过立法赋予企业以及相关责任人员刑事合规义务。事实上,美国选择了前一路径,《美国联邦量刑指南》明确规定:如果企业建立了有效的合规系统,那么可以减轻其刑罚,减轻幅度最高可达95%。(3)See.U.S.Sentencing Guideline Manual(2018),§8,C2.6.后一路径则主要体现在我国的前置法规的内控要求中,例如《网络安全法》第21条明确规定了服务商的合规管理义务。但是目前我国相关前置法规大多属于行政法,即使将其规定于刑法中,相比于对个体施压,通过量刑激励“倒逼”整个企业实施合规管理显然更有威慑力。

(一)刑事合规制度的缘起及其法理释义

“合规”一词源于英美法系,意为遵守法律、标准与指令。事实上,在公司产生之初,美国就发现在这样的组织形式中垄断可以合法化存在,为加强企业监管,政府开始着手构建旨在加强行业监管和自我监管的企业合规措施。直到20世纪80年代,美国发生了国防工业舞弊案,政府为鼓励企业自我揭弊尝试将合规计划作为定罪量刑的考量因素,企业合规逐渐有了刑事法色彩。从“合规”一词字面意思简单理解,刑事合规即要求企业遵守国家刑事法律法规。的确,从企业角度来看,刑事合规旨在设定一系列的合规规则来规避和及时发现企业中存在的犯罪风险。不过,如果仅仅从企业层面理解刑事合规的概念的话,它与企业合规的概念没有任何区别,仅仅是倡导单一的企业自我管理。事实上,企业合规和刑事合规是有所区分的,刑事合规之所以在刑法界引起关注和讨论,关键在于刑事合规与国家层面的起诉、定罪、量刑挂钩,该制度更多地强调企业自我管理与国家规制理念的融合。因此,刑事合规制度被定义为国家以起诉、定罪或量刑等外部激励方式推动企业建构可以有效预防、发现违法犯罪行为等内部控制机制的法制度工具。[7]其中德国西门子公司合规事件就是该制度适用的典型案例,在因涉嫌商业贿赂而受到德国慕尼黑检察机关的调查后,西门子公司主动向美国司法部和证券交易委员会报告了自己的跨国行贿行为,并聘请了专业律师进行了长达两年的内部独立调查。最后,西门子公司与美国、德国政府达成和解协议,免于刑事处罚。

(二)刑事合规引入的必要性:打破规制困局

基于上述困境,传统刑法对网络爬虫行为的规制似乎陷入了困局。一方面,网络爬虫技术犯罪社会危害性大,不仅对数据安全本身造成了严重侵害,而且在企业数字化转型的时代背景下,爬虫技术犯罪正在逐渐加剧企业间的不正当竞争,加之该犯罪的高发态势以及互联网的倍增效应,国家的确需要刑罚这样的严厉手段才足以对相关犯罪达到威慑力度。而另一方面,民营经济作为推进中国式现代化的生力军、高质量发展的重要基础,国家一直高度重视企业发展,中共中央、国务院在今年7月14日发布的《关于促进民营经济发展壮大的意见》进一步明确了国家对民营企业的支持和鼓励。在这样的大背景下,一惯采取传统刑法制裁新兴技术引发的犯罪,又将与国家鼓励民营企业发展的政策背道而驰。另外目前司法实务中对该技术的司法评价还呈混乱和扩大化倾向,进一步加剧了这种矛盾,传统刑法对此情况的治理更加局限。刑事合规作为一种立足于传统刑法框架下的企业风险预防制度,意在将企业经营中违法犯罪的风险消解于最前端的同时激励涉案企业完成合规整改实现刑罚减免,一改传统刑法中为报应和谴责而惩罚的特性,转变为为了预防风险而威慑的风格,[8]无疑是对现有爬虫技术刑事规制司法导向的一次纠偏。

(三)刑事合规引入的正当性:风险社会的应然要求

首先,刑事合规制度契合了法人责任的本质,构建了法人责任的出罪路径。我国单位刑事责任归属原则经历了从传统向现代的转变。传统罪责理论主张公司罪责的从属性,即以自然人责任为基础,公司责任仅为代位责任。现代社会,我国刑法已明文规定了单位犯罪,独立追究单位犯罪刑事责任几无争议。不过在责任归属原理上学术界还存在不同的观点,例如人格化社会系统责任论和组织体责任论。人格化社会系统责任论[9]是单位自身犯罪论的开先河之论,其主张法人是人格化的社会系统,具有独立的单位整体意志和行为;另外有学者[10]主张从传统单位刑事责任和组织责任论的视角综合考虑单位犯罪的主观要件,即在确定作为单位化身的代表具有犯罪故意同时从企业自身的组织结构、规章、政策、宗旨、文化等企业自身特征来判断企业刑事责任。上述理论虽然侧重点不同,但是都已经摆脱了早期以单位成员责任论证单位责任的模式,转而将重心放在了单位本身。对此,更有学者[11]主张“以责任一体化为目标,使公司刑事责任等构于自然人刑事责任”为未来企业刑事责任归责新方向。上述学说观点的共同点都是尊重法人责任,从组织体自身寻找责任依据,而刑事合规制度正是建立在这种认知基础上的产物。

在单位能够作为独立于其负责人的责任主体地位的基础上,网络爬虫技术刑事合规管理顺应了风险社会的刑法变迁。风险社会一词源于德国社会学家乌尔里希·贝克的《风险社会》,意指后工业社会在创造财富的同时也蕴含着巨大的风险,其核心在于为满足民众的安全需求寻求控制社会风险的路径。网络爬虫技术亦是如此,在带来效率和竞争力的同时,给企业带来的安全问题也日益凸显。近年来,爬虫行为的刑事风险日趋扩张,爬虫技术单位入罪判决日趋递增,对于一个企业而言,刑事处罚是致命的:无力承担的高额罚金;涉案人员入狱后的企业运营混乱;信誉直线降低、企业形象受损;失信记录导致企业融资困难;另外随着经济全球化,企业同时也面临遭受他国法律制裁的风险。特别是在我国疫情之后,一旦涉嫌犯罪,民营企业面临着随时宣告破产的危机,企业发展的不安全感进一步加剧,而企业不安感的增加就意味着企业对风险减少的需求增加。也就是说,风险社会要求国家寻求一种以预防风险为导向、减少不安感的刑法体系。刑事合规政策正是顺应了这种需求。一方面,国家通过刑事法手段,激励企业进行自我管理,从而降低企业犯罪的可能性;同时为帮助涉案企业出罪或减轻罪责提供了新的通道。另一方面,企业与国家共同承担社会治理的责任,解决了因犯罪距离、企业专业强等原因而导致的国家规制有限问题,形成国家和企业合作治理的新局面。可以说,合规管理是风险社会的必然选择。[12]

四、网络爬虫技术刑事风险及合规规则思考

刑事合规意在通过内部控制有效预防风险,而风险预防的前提是风险识别,风险点的差异决定了合规规则制定的差异化。网络爬虫行为存在的刑事风险点主要关涉爬取数据内容和方式两方面。

(一)数据爬取内容存在的刑事风险及合规规则

1.侵犯个人信息

根据《刑法》第253条之一的规定,侵犯公民个人信息罪,是指违反国家有关规定,向他人出售、提供公民个人信息,情节严重的行为,以及窃取或者以其他方法非法获取公民个人信息的行为。基于罪名内涵,网络爬虫行为在个人信息方面存在的风险在于其是否属于“以其他方法非法获取公民个人信息的行为”。其中的认定重点不在于“其他方法”,而在于是否属于“非法获取”。因为“其他方法”本身充当一个兜底规定,目的在于为了囊括更多的“非法获取”公民个人信息行为。而这里的“非法”可以从合法性和行业规则两个层面进行理解。一方面,在合法性层面,网络爬虫的使用应当符合国家法律、行政法规、部门规章等有关收集、处理、利用数据信息的规定。比如,《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第4条中对“以其他方法非法获取公民个人信息”的补充解释;《电信和互联网用户个人信息保护规定》第 5 条提出了电信业务经营者、互联网信息服务提供者在公民个人信息收集中应当遵循合法、正当、必要原则……其中,最为直接的规范当属《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》):(1)《个人信息保护法》构建了以“告知-同意”为核心的个人信息处理规则,要求企业在处理个人信息之前应履行告知义务并取得个人同意,个人信息处理的重要事项发生变更的应当重新向个人告知并取得同意。同时,《个人信息保护法》还对敏感信息的收集、向他人提供或公开个人信息、跨境转移个人信息等环节作出特别强调,要求处理人单独征求个人同意和遵循相应的告知义务。(2)生物识别、宗教信仰、行踪轨迹以及不满十四周岁未成年人等相关个人信息被列为敏感的个人信息。只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,企业才有权处理以上信息,同时《个人信息保护法》要求企业进行事前影响评估,并向个人告知处理的必要性以及对个人权益的影响。这一点企业在制定合规规制的时候应该予以关注。(3)该法还进一步强化了个人信息处理者义务,例如要求定期进行审计等。另一方面,网络爬虫的使用应当符合行业规则,这里的行业规则一般指Robots协议,即网站经营者为限制技术爬取内容而在网站设置的一个robot.txt文本,如果企业违背协议限制强行爬取则可能违反商业道德,构成不正当竞争。目前司法实践中也认可了违反行业协议的非法性。[13]

就侵犯公民个人信息罪合规风险而言,还有一个问题需要厘清:已公开的个人信息能否纳入本罪规制对象。对于个人自行公开的信息是否能在未经告知和许可的情况下采集和使用呢?这一点一直存在争议。有罪说主张个人信息不等同于个人隐私,未经同意擅自获取和使用均有侵犯个人私生活安宁的可能性;无罪说则认为信息一旦公开就意味着“值得刑法保护的信息”不复存在了,不宜再用此罪进行规制。笔者认为两种观点都较为粗放,因此更倾向于认同:获取、提供已公开的个人信息但改变信息公开目的或者用途的成立犯罪。其中,就网络爬虫纯粹的抓取行为而言,由于很难判断他人后来对于该信息的使用目的是否与个人公开其信息时相同,也无法确定信息的用途是否被改变,难以得出行为人侵害被害人法益处分自由的唯一结论,因此不宜认定有罪。[14]针对企业利用技术抓取后的提供行为,则需要企业合乎信息公开者的最初公开目的。

综上,企业在未经同意或者违反Robots协议的情况下利用爬虫技术过度抓取、提供非公开信息,亦或者是违背公开目的向他人非法提供公开信息时,则有可能构成违法行为,从而使企业陷入侵犯公民个人信息罪的刑事合规风险。 值得注意的是,在未经同意的情况下,向他人提供通过合法途径采集的个人信息不阻碍该罪的成立。为规避上述风险,企业可以从以下角度构建合规规则:(1)建立个人信息分类目录,区分高风险信息和一般信息,进行定期监督、定期审计。在抓取提供敏感个人信息、利用个人进行自动化决策、对外提供或公开个人信息等高风险信息时进行事前评估,合法履行单独的告知义务。(2)对于非公开的个人信息,原则上禁止任何形式的获取和使用,但企业征得同意或者有正当理由的除外。这里的正当理由包括为应对突发公共事件、为公共利益的舆论报道等。(3)对于公开的个人信息,企业在提供使用时要注意与信息最初公开目的保持一致。(4)一旦接受到信息权利人关于停止采取个人信息的通知,企业应立即停止爬取并按照要求完成后续信息删除工作。

2.侵犯知识产权与版权问题

一般来说,爬虫技术侵犯知识产权最典型的罪名是侵犯著作权罪。根据《刑法》第117条规定,企业在使用爬虫技术时要构成该罪,首先需要行为人主观具有“营利目的”。至于在网络著作权案件中如何认定“以营利为目的”目前学术界存在不同的观点。一种观点认为“以营利为目的”这一主观目的是不同于主观故意的超出主观因素,需要进行特别证明;另外有观点认为这一犯罪目的仅为刑法规定的对网络著作权案件的注意规定,对犯罪行为的违法性没有实质性影响。[15]笔者更认同谢焱[16]学者将侵犯著作权罪中“以营利为目的”性质认定为短缩的二行为犯,该认定类型源于德日刑法学,意指以实施第二行为为目的的犯罪,但只有第一行为是构成要件行为,第二行为不是构成要件行为;也就是说短缩的二行为犯承认间接故意形态的目的犯。例如,在北京易查无限信息技术有限公司、于某犯侵犯著作权案(4)参见:(2015)浦刑(知)初字第12号。中,尽管辩护人提出被告单位易查公司仅仅是在进行小说转码业务时未尽到相应的注意义务,并无作品侵权的直接故意,但是法院仍然以被告公司负责人未对爬虫技术进行充分了解和审查管理,认定其主观上存在放任的间接故意,从而判定其有罪。因此,目的犯与主观间接故意并不矛盾,当企业使用爬虫技术时存在“放任”危害行为的主观心态仍然有涉嫌侵犯著作权罪的风险。另外,客观上使企业陷入侵犯著作权刑事风险的行为主要有以下两种:第一,技术爬取后的传播行为。根据条文规定,“复制发行或者通过信息网络向公众传播”为最主要的犯罪行为。一般来说,该罪名一般针对的是企业利用技术爬取数据后的传播行为,而非纯粹的爬取行为。但有学者指出,“复制发行”既包括复制或发行也包括复制和发行,纯粹的爬取行为也有可能涉嫌刑事风险。不过值得注意的是,“复制”行为的本质是侵犯原生作品的核心内容,导致第三人难以区分,往往指作品实体层面的数量增加,而单独的爬取行为一般存在于虚拟空间,为从无到有的增加。因此,将虚拟空间的爬取行为认定为“复制”是不准确的。[17]目前实务中也不存在仅对技术爬取行为进行刑法规制的案例。第二,特别的技术爬取行为。《刑法》第117条第6款规定了爬取行为的特殊情形:当企业在使用爬虫技术时存在“故意避开或者破坏权利人为其作品、录音录像制品等采取的保护著作权或者与著作权有关的权利的技术措施的”情形的,仍然涉嫌著作权的侵犯。

综上,企业以营利为目的,未经作品著作权人许可故意或者放任爬虫技术抓取文字、音像、计算机软件等作品后进行不法发行,或者绕开作品管理者设置的反爬虫措施进行不当爬取,给他人造成较大损失或者其他严重情形的,则可能陷入侵犯著作权罪的风险。为规避该风险,企业可以从以下角度构建合规规则:(1)企业应事前充分了解爬虫技术的技术原理,并对技术抓取范围、抓取内容、抓取形式等信息进行合理审查,避免企业技术滥用。(2)企业在利用爬虫技术抓取视频、图片等可能被认定为作品的内容时应保持谨慎态度,严格遵守网站设置的Robots协议,不得试图绕开或突破平台设置的任何反爬虫措施。

(二)数据爬取方式存在的刑事风险及合规规则

1.数据爬取违背数据管理者意愿

为防止网页数据被爬取,网站管理者往往会采取一些反爬虫措施。比较常见的就是在网站设置robot.txt文本对爬虫爬取的内容和范围进行限制,这也是业界判断技术行为是否经过授权的标准之一。一旦爬取行为未经授权,企业将可能面临相应的法律风险。在刑法层面,涉及的罪名之一有非法获取计算机信息系统数据罪。根据《刑法》第285条规定,能否构成上述罪名,核心在于:第一,企业是否获得合法授权。目前,学术界对于网络爬虫技术的授权界定仍然存在争议,大体分为以Robots协议为主的技术性界定方法和依据场景化的利益衡量原则进行违法界定两种方式。不过目前司法实务界更倾向于采用通过Robots协议来判断爬虫程序是否获得了网站的授权。例如法院在百度公司诉 360案(5)参见:(2013)一中民初字第 2668 号。中指出,Robots 协议作为互联网行业内普遍遵守的技术规范以及公认的商业道德,应该能得到充分尊重。如果企业没有遵守网站经营者的 Robots 协议,其行为明显不当,应当承担相应的不利后果。第二,技术爬取行为能否认定为“侵入”计算机。首先,在《中华人民共和国刑法释义》一书中“侵入”是指通过技术手段进入计算机信息系统[18]。虽然这里将侵入行为限定为“技术手段”,但是司法实务中出现了被认定为“侵入”的特殊情形:单位内部人员将计算机信息系统的用户名和密码告知外部人员,由外部人员多次通过互联网登录单位计算机信息系统而获取数据的案件。显然上述行为虽不存在任何技术手段,但是与利用技术手段暴力侵入系统带来的法益侵害无异,因此,在理解“侵入”行为时不应仅限定为采取技术手段进入,也包括未征得他人同意或者授权进入。第三,公开信息是否能够被爬取。一直以来为保障数据共享和流通,公开数据作为公共产品不宜在法律层面过度干预,但是在“晟品公司”非法获取计算机信息系统数据罪中出现了将公开信息认定为违法的情况。因此有学者认为上述罪名保护法益为数据安全,而数据不等同于信息,它包含信息和数据冗余两部分,并不会因信息部分公开而丧失秘密性。虽然目前学术界对此观点不一,但是笔者认为对于风险,企业最好“宁可信其有,不可信其无”,在构建合规规则时应秉持更加审慎的态度。[19]该罪名与前文提及的侵犯公民个人信息罪和侵犯著作权罪类似,基于非法获取计算机信息系统数据罪在网络犯罪领域的“口袋化”适用趋势[20],罪名之间在司法实践中常常竞合适用。而兜底罪名入罪门槛相对低,企业在制定合规准则时应以此为最低参照标准。

另外,当企业数据抓取行为违反数据管理者意愿时还可能构成非法侵入计算机信息系统罪,不过这里的数据管理者为国家。该罪系行为犯,如果企业使用爬虫技术,一旦非法进入国家事务、国防建设、尖端科学技术领域的计算机信息系统即构成非法侵入计算机信息系统罪。另外,法条所指的“国家事务”应当从严理解,不应该将某些地方权力机关的政务公开系统或者网络办公系统一律涵盖在内。[21]综上,企业的合规规则可制定为:(1)原则上,企业应当禁止爬虫技术访问国家数据系统或网页,更不得对涉密国家事务、国防建设、尖端科学技术领域的网站和计算机信息系统进行爬取;(2)即使是访问普通数据系统或网站,企业也应当在Robots协议的限制或者数据管理者的同意下使用爬虫技术。

2.扰乱网站服务器的正常运行

当企业利用爬虫技术抓取数据过分追求效率时,容易导致被访问的网站或系统陷入瘫痪、无法正常运营,从而使企业陷入构成破坏计算机信息系统罪的风险。从保护法益来看,该罪的法益为计算机信息系统的正常运行,属于个体法益,而非社会秩序法益。[22]从实行行为来看,根据《刑法》第286条之规定,爬虫技术应用构成该罪名主要在于其对计算机的破坏性访问,这里的破坏性访问既包括恶意大量访问严重干扰计算机信息系统功能,也包括任意删除、修改计算机信息系统数据行为。首先,网络服务器承载力有限,若网络爬虫频繁大规模进行访问,会大量占用服务器的带宽和运算能力,影响正常的网络服务,干扰计算机信息系统正常运行,甚至导致网站崩溃。例如在杨某某、张某某破坏计算机信息系统一案(6)参见:(2019)粤0305刑初193号。中,嫌疑人利用自己开发的爬虫软件对居住证服务平台进行大量访问,造成服务器阻塞,居住证系统不能正常运行,依法被法院认定有罪。另外,单位在使用爬虫技术时恶意删除计算机系统中的数据,甚至删除信息系统功能,后果严重或造成系统不能正常运行的,亦构成破坏计算机信息系统罪。从罪量要素来看,破坏计算机信息系统数据罪系情节犯,即要求“后果严重”。根据最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》,该情节的认定主要包括以下五个维度:其一,破坏计算机信息系统的数量;其二,违法所得数额;其三,经济损失数额;其四,破坏重要计算机信息系统的时间;其五,兜底条款。其中,适用较多的标准当属违法所得数额和经济损失数额。

综上,爬虫技术即便爬取公开数据也可能因其对计算机系统造成“破坏”而入罪。因此,企业在构建爬虫技术合规方案时也应充分考虑技术程序本身合规的问题。为规避上述风险,企业可以从以下角度构建合规规则:(1)充分尊重平台设置的Robots协议,优化爬虫代码,合理设置访问频率,避免网络爬虫程序给网站带来过重负担。(2)在必要时,企业可以在获得相关许可和遵守数据保护法律规定的情况下设置代理IP池,但是不得违反合法的使用目的和方式。

五、结语

作为重要的数据抓取工具,爬虫技术的广泛应用对企业来说既是机遇也是风险。虽然技术本身价值中立,但是恶意使用行为使得个人信息安全、作品知识产权、网络空间的秩序稳定状态隐患重叠,单位犯罪屡屡发生。面对新兴技术引发的犯罪局面,传统刑法以惩罚为惯性,这与我国支持民营经济发展的政策无法保持同频。因而,应对网络爬虫技术犯罪刑法体系理当主动进行理念转变,转而向预防导向靠拢,满足现实需求。刑事合规制度作为企业风险预防的新制度,能“治未病”也能“治已病”,是对现有司法实践爬虫技术规制误区的一次有效纠正。是故,将刑事合规制度引入爬虫技术法律规制,能实现国家治理模式转型的同时,亦有益于实现企业数字经济健康发展和网络空间治理的平衡。虽然目前我国相关制度尚在探索,但是我们有理由相信,未来只要国家和企业共同努力,高质量、精细化的数据合规工作必将进一步为现代企业的发展赋能、增色。