论刑法介入网络数据爬取行为的类型与限度

网络爬虫是一种互联网信息自动采集技术,单纯利用爬虫技术无法进入后台服务器。突破反爬措施意味着爬取方规避了被爬取方的访问限制,可以伪装成普通用户获得客户端“访问资格”并获取数据,但爬取方并未侵入被爬取方计算机信息系统。只有利用爬虫技术爬取“公民个人信息”等刑法特别保护的数据或是利用其他技术非法侵入计算机信息系统后爬取系统数据的行为,才可构成犯罪。实践部门采取“控制性标准”作为计算机信息系统数据的解释依据,扩大了计算机信息系统数据的认定范围,将突破反爬措施爬取客户端一般数据的行为认定为非法获取计算机信息系统数据罪,有“司法犯罪化”之嫌。针对突破反爬措施爬取数据的行为,刑法应事后介入。在被爬取方先申请法院通过“行为保全”措施来禁止相关数据抓取行为后,若爬取方仍然违反“行为保全”裁定,可以适用“拒不执行判决、裁定罪”予以规制。

大数据时代网络爬虫行为刑法规制限度研究

网络爬虫技术具有中立性,网络爬虫行为有善恶之分。恶意网络爬虫行为侵犯数据法益,符合相关犯罪构成要件,确实存在一定的刑事风险。然而,我国刑法理论对爬虫行为入罪讨论过剩、出罪研究不足;司法实践对网络爬虫行为的法律适用从民事侵权、不正当竞争上升为刑事犯罪,且刑事判决日趋递增,使得网络爬虫行为刑事风险不断扩张,导致网络爬虫技术被污名化,甚至有被扼杀之危险,这一趋势在行为认定方面不断突破罪刑法定原则底线。必须明确网络爬虫行为合法性边界,抓取开放数据和单纯违反行业规则的爬虫行为无需适用刑法,突破反爬防护措施和抓取非开放数据并非都要承担刑事责任,从形式违法和实质侵害两个维度,具体划定网络爬虫行为刑法规制的限度。

网络爬虫行为的罪责认定路径:数据确权与利益平衡

确定网络爬虫的刑事责任边界,核心问题在于对数据获取行为是否取得授权的判断。关于数据犯罪中的“未经授权”或“超越授权”,美国判例先后存在代理范式、合同范式、撤销范式、代码范式等不同认定路径。上述范式背后所代表的合约权利标准和技术障碍标准各有利弊,二者并非互择一,而应是递进互补的关系。网络爬虫刑事责任的认定,应当首先通过场景式、类型化的思路进行数据确权分析。在此前提下,合约权利的违反奠定了数据爬取行为的基础不法。对合约的形式应当进行限定,其中爬虫协议发挥着举足轻重的作用。在此基础上,技术障碍的突破进一步提升和确证了刑事不法,由此可以限制处罚范围的过度扩张。技术障碍的认定不宜过度严苛,典型的反爬措施可以归入此类,对此应当妥善考虑企业数据权利、平台运营模式等多重利益的平衡。

在技术与法律之间:网络爬虫刑法规制的边界

我国当前对网络爬虫刑法规制的研究存在两个方面的误区:一方面,未正确理解网络爬虫的相关技术问题,认为突破反爬措施的网络爬虫行为具有“侵入性”;另一方面,未注意严格限定研究对象,有意无意地扩张了网络爬虫行为的外延,将与爬虫技术无关的其他行为一并笼统地称作网络爬虫行为。网络爬虫技术本质在于自动化,因此,由网络爬虫所引发的刑法规制问题在于——网络爬虫行为与人工数据获取行为在技术层面上所具有的差异映射到法律层面上时,会产生何种不同的法律后果。具体而言,过度使用网络爬虫可能构成破坏计算机信息系统罪。突破反爬措施的网络爬虫行为的规范意义则需结合相关犯罪的构成要件作进一步考察。即便如此,在没有严重影响他人计算机信息系统正常运行的情况下,只要人工获取数据的行为本身不违法,相应的网络爬虫行为也不具有违法性,理应不构成犯罪。