获2023年度福州律师论坛一等奖

论网络爬虫行为刑法规制之限度

卢健、杨箫，北京大成（福州）律师事务所

内容摘要：基于网络爬虫行为存在善意和恶意之分，因此有必要对恶意网络爬虫行为进行刑法评价和规制，但是目前因数据权益保护范围不明确、网络爬虫行为认定标准模糊，导致网络爬虫行为的刑事风险扩张，不断冲击着罪刑法定原则。为更好地保护数据权益、促进数据的流通与共享，本文从数据属性、是否授权方面评价网络爬虫行为，确定网络爬虫行为的合法性边界及刑法规制的限度。

关键词：网络爬虫行为；刑法规制；规制限度；数据属性；授权

一、问题的提出

（一）司法实践中网络爬虫行为规制现状及趋势

司法实践中对于网络爬虫行为的规制，按照规制方式及案件数量梳理，可以得出：在裁判文书网上，以“爬虫”作为关键字对公开的既有裁判文书进行检索，自2010年至今，共有674份判决书。其中，民事案件575份、刑事案件86份、行政案件9份、管辖案件4份。刑事案件占全部案件的比例较低，但是通过案件发生的时间线来看，自首例入刑案件以来，刑事案件的数量是逐渐上升的。

按照涉及的法律风险及案由进行梳理，可以得出：因网络爬虫行为获取数据的行为涉及民法、知识产权法、经济法及刑法方面的法律风险，涉及的案由包括：侵犯知识产权罪、侵犯公民个人信息罪、侵犯商业秘密罪、非法获取计算机信息系统数据、非法控制计算机信息系统罪、不正当竞争纠纷、侵害商业秘密纠纷、著作权合同纠纷、侵权责任纠纷等。典型的案例比如：上海衡运航空商务有限公司与北京奇虎科技有限公司名誉权纠纷案件、王永涛与北京交易通网络信息科技有限公司侵犯著作权纠纷案件、北京微梦创科网络技术有限公司与北京淘友天下技术有限公司等不正当竞争纠纷案件、上海晟品网络科技有限公司及工作人员被法院判决非法获取计算机信息系统数据罪的案件等。

（二）网络爬虫行为规制的理论研究现状

网络爬虫技术是一种中立的技术，使用该种技术抓取数据的行为是本文所要讨论的网络爬虫行为。目前网络爬虫行为并没有针对性的法律进行规制，实际上因为网络爬虫行为所爬取的数据属性较广泛、数据是否授权判定较复杂，也无法专门制定法律规定进行规制。目前根据爬取的数据属性及是否授权，网络爬虫行为可以被《个人信息保护法》、《网络安全法》、《数据安全法》、《著作权法》、《反不正当竞争法》中的商业秘密等法律规定、《刑法》中的侵犯知识产权罪、侵犯公民个人信息罪、侵犯商业秘密罪等法律规定进行规制。因此对于网络爬虫行为的规制，目前的法律规定是完全可以规制的，也无须进行专门的法律规定。

在网络爬虫行为规制的已有理论研究中，部分学者侧重于研究网络爬虫行为针对的数据的属性，有的提出遵循场景化的规制对平台数据进行确权，有的提出确立“数据资产”的概念；部分学者从反不正当竞争的角度检视网络爬虫行为确定数据保护边界；刑法领域的学者则更关注网络爬虫行为的入罪标准，有的归纳网络爬虫规则体系的两个维度，有的以刑事合规理念避免刑事风险。目前也有学者注意到网络爬虫行为过度犯罪化的情形，对网络爬虫行为的刑法规制进行限度和边界研究，但是实践中大量的平台因网络爬虫行为可能存在刑事风险，对于刑法规制及规制限度研究尚不能满足实践需要，并且目前有关入罪标准的研究尚不全面、未结合网络爬虫技术原理进行分析，以致刑法规制限度的标准亦不能明确。

为能准确地判断涉网络爬虫行为案件中罪与非罪的界限，本文将从网络爬虫技术原理、网络爬虫行为两个重要的入罪维度即权利人的授权和数据属性进行分析，以准确识别网络爬虫行为是否合法、明确对网络爬虫行为进行刑法规制的相关界限和限度。

二、技术视角下的网络爬虫技术与网络爬虫行为

部分学者在研究网络爬虫时，未将网络爬虫技术和网络爬虫行为明确区分开，以致于存在概念混淆的情况。实际上网络爬虫技术和网络爬虫行为是两个并列的概念，网络爬虫技术属于工具，而网络爬虫行为是行为人利用网络爬虫技术这种工具做出的行为。厘清网络爬虫技术和网络爬虫行为之间的关系，才能更好地判断法律风险根源，明确滥用网络爬虫行为责任主体。

（一）网络爬虫技术的中立性

网络爬虫技术，又称为网络蜘蛛或者Web信息采集器，是一种依据特定的规则自网页中中自动抓取数据的程序，是搜索引擎的重要组成部分，实际上是一种数据收集技术，可以未经数据主体许可迳行获取大量数据，并将数据传送到本地，在本地形成互联网网页的镜像备份。网络爬虫技术的具体运行原理在于：从一个或者若干个初始种子URL开始爬行，首先将这些URL全部放入爬行队列，按照一定的顺序从中取出URL并下载所指向的页面，分析页面中的内容，并且在爬取网页的过程中，不断从当前页面上获取新的URL放入队列，访问与其对应的网络页面，并对页面进行解析，重复上面的过程，直到满足爬行终止的条件为止。

（二）网络爬虫行为的善恶性

网络爬虫行为是行为人利用网络爬虫技术从网络信息平台或者网页上检索、收集以得到数据的行为。网络爬虫行为可能存在两种截然不同的结果，善意的网络爬虫行为可以促进数据以及信息的交流和共享，实现数据合规处理、大数据迅速发展；恶意的网络爬虫行为轻者会侵犯平台及用户的数据权利，违反反不正当竞争法、著作权法等，甚者则会触犯刑法，构成侵犯公民个人信息罪、侵犯著作权罪、非法获取计算机信息系统数据罪等。

从上述分析可以看出，网络爬虫技术只是一种技术，其本身并没有好坏及善恶之分，也即符合技术中立原则。但是网络爬虫技术在被行为人利用的时候，因行为人主观的善恶而导致网络爬虫行为存在合法、非法的情况。因此，网络爬虫技术具有客观中立性，实际上没有必要进行法律评价，但是网络爬虫行为具有价值偏好性，体现了行为人的主观意志，即行为人可能滥用网络爬虫技术进行侵犯他人权利的行为，存在法律评价的现实意义。

三、规范视角下的网络爬虫行为

上文已经分析了对网络爬虫行为进行法律评价是具有现实意义的，而滥用网络爬虫行为则会侵犯以数据为载体的诸多法益，在行为符合相关刑事罪名的犯罪构成要件后，存在一定的刑事风险。但是根据目前的理论研究和司法实践来看，对网络爬虫行为的刑法规制出现扩张化的趋势。

（一）网络爬虫行为的刑事风险

1、恶意网络爬虫行为符合诸多刑事犯罪的行为要件

通过对现有的公开的司法判决进行梳理并进行刑法法理学分析，滥用网络爬虫行为是可以符合诸多刑事犯罪构成要件的行为类型的。第一种，非法侵入的行为，即行为人利用网络爬虫技术未经允许或者违背他人的意愿，突破、绕过他人设置的计算机信息系统安全防护措施，直接进入他人的计算机信息系统的行为。该行为的核心在于突破、绕过他人设置的措施，对此可以解释成未经授权或者超越授权而进入被爬取者的计算机系统。因此，是否存在授权成为判断网络爬虫行为是否具有违法性的一重要标准。第二种，非法获取的行为，即行为人利用网络爬虫技术进入他人的计算机信息系统并且爬取相关数据。该行为侧重于保护获取的对象——数据权益，即该行为被谴责之处在于被爬取方的数据权益因该网络爬虫行为导致从非公众知悉状态变为被公众所知悉，或者虽然公众所知悉但被拒绝复制、抓取和使用的数据因该网络爬取行为导致被复制、抓取或者使用。因此，数据权属以及数据是否为公开的状态是判断网络爬虫行为是否具有违法性的另一重要标准。第三种，提供程序、工具的行为，即行为人明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而仍然向其提供网络爬虫技术，则可能构成提供侵入、非法控制计算机信息系统程序、工具罪。

2、恶意网络爬虫行为可能侵犯的法益

网络爬虫技术虽然爬取的只是数据，但是恶意的网络爬虫行为侵犯的是以数据为载体的法益。根据对公开的裁判文书的梳理，目前恶意的网络爬虫行为侵犯的主要有以下的法益：第一，可能侵犯他人的著作权。数据本身不是作品，但是随着大数据时代的发展，部分作品最终反映为数据，即部分作品的载体是数据，若网络爬虫行为爬取了该部分数据，实际上是对该部分数据所载有的作品的复制，则涉嫌侵犯他人的复制权；若网络爬虫行为爬取该部分数据后，将该部分数据所载有的作品提供给公众，即使用和传播了该部分数据，则涉嫌侵犯他人的信息网络传播权；若网络爬虫行为未经他人授权，存在故意突破、绕过或者破坏他人为保护其著作权或者与著作权有关的权利而设置的相关安全防护技术措施的，涉嫌侵犯他人的著作权。第二，可能侵犯他人的商业秘密。根据现行《反不正当竞争法》关于商业秘密的规定，商业秘密不再局限于技术信息和经营信息，而主要在于以下几大特征：公众所不知悉的即秘密性、具有商业价值即经济性和合法性、已经他人采取保密措施即保密性，只要符合上述特征的商业信息即可以作为商业秘密。因此数据本身可能构成商业秘密的一部分，并且数据也可能作为商业秘密的载体出现。网络爬虫行为爬取该部分数据，或者披露、使用的则涉嫌侵犯他人的商业秘密。第三，可能侵犯他人的个人信息。根据《个人信息保护法》对于个人信息的相关规定，个人信息是以“识别+关联”进行定义，记录形式是电子或者其他方式，因此个人信息的载体部分是数据。网络爬虫行为未经授权爬取的数据中载有的信息可以识别到自然人时，则涉嫌侵犯他人的个人信息。第四，普通数据权益，除上述被爬取对象为具体罪名保护的法益外，还有部分数据权益的非法获取被纳入非法获取计算机信息系统数据罪保护的法益。该部分数据界定的范围决定了部分网络爬取行为罪与非罪的结果，只有侵犯了刑法保护的数据权益的时候该行为才能进行刑法规制，除此之外的行为不应进行刑法评价。

（二）网络爬虫行为的刑事风险的扩张化

以网络爬虫技术获取数据的行为在上海晟品公司案件之前多为一般违法，由民法、经济法、知识产权法等进行规制，但是自上海晟品公司入刑案件之后，刑法规制的案件逐渐增多，不仅是因为网络爬虫行为的性质和危害程度发生变化，还有部分原因在于网络爬虫行为刑法规制的边界不明确，导致刑事风险扩张。因网络爬取技术对于数据的分享和流通具有正向意义，因此对于中立的技术应持一定的宽容态度，在规制网络爬取行为时应明确罪与非罪的界限，以达到既保护善意的网络爬取行为同时打击恶意的网络爬取行为的效果。

其一，数据权益保护的范围不明确，未对数据类型进行明确区分，是导致刑法保护的数据外延有扩张趋势的原因之一。

其二，未准确识别网络爬虫行为是否有授权，认定标准模糊，无授权时是否突破、绕过计算机系统的防护措施，权利人是否设置防护措施等不法行为的构成条件，是导致刑法保护的数据外延扩张趋势的原因之二。

四、网络爬虫行为的性质界定

（一）以授权为核心界定网络爬虫行为的性质

根据权利人是否授权给爬取人，行为可以分为有授权的网络爬虫行为和无授权的网络爬虫行为。有授权的网络爬虫行为包括明示授权和默示授权，明示授权主要是权利人以协议或者口头方式授权给爬取行为人，此时爬取行为人的爬取普通数据的行为即是合法且正当的；默示授权是虽然爬取行为人没有取得权利人的书面授权协议，但是爬取的数据是公开的并且权利人对他人的网络爬取行为并未表示反对，此时爬取行为人爬取普通数据的行为可以认为是被法律所允许的。

无授权的网络爬虫行为是没有取得权利人的授权、违背权利人的意愿爬取数据的行为，包括爬取有计算机信息系统防护措施数据的行为和爬取无计算机信息系统防护措施数据的行为。前者是权利人公开声明不允许爬取数据后爬取行为人仍迳行爬取相关数据的行为，基于数据共享与流通要求也需要对权利人的声明评析是否正当，在此基础上确认该行为是否构成侵权、违法甚至是犯罪。后者是权利人通过设置robots协议、设置明确的禁止爬虫的标识、验证码等防护措施不允许爬取数据但是爬取行为人无视该措施，采取绕过、突破上述措施的网络爬取行为。本文仅以robots协议为例，实际上目前并没有明确robots协议的法律性质，因此该协议是否具有强制性也是有争议的。并且权利人设置robots协议是否会造成数据垄断也是判断网络爬取行为是否正当的重要因素。

（二）以数据属性为核心界定网络爬虫行为的性质

以数据属性为核心界定网络爬虫行为的性质，即更多地关注数据的非法获取和非法使用，注重保护数据安全的相关法益，同时也保障数据的共享与流通，在刑法规制上更加克制。

数据类型化是界定网络爬虫行为性质的重要方式，目前有以下几种分类形式。根据数据权属进行区分，可以分为个体数据、平台数据、公共数据。根据数据是否公开进行区分，数据可以分为公开数据和非公开数据。根据权利主体是否设置防止爬取的防护措施，数据可以分为可访问的数据和禁止访问的数据。根据权利主体是否允许复制，数据可以分为可以复制的数据以及仅供浏览的数据。根据数据反映的信息来看，数据可以分为身份数据、行为数据和内容数据。^[1]刑法对于不同的数据类型，保护程度不同。

虽然以授权为核心是界定网络爬虫行为合法性的一重要路径，但是在实践过程中可以发现其仍然需要结合数据属性进行界定；以数据为核心界定网络爬虫行为时亦需要分析爬取者是否取得授权及爬取具体方式，因此“授权”分析模式及“数据属性”分析模式两者应相辅相成并结合爬取的具体场景完成对网络爬虫行为合法与非法的界定、罪与非罪的判断。

五、 网络爬虫行为刑法规制的限度

网络爬取行为刑事风险的扩张，将导致违背刑法谦抑理念、冲击罪刑法定原则，亦会造成数据流通共享障碍、阻碍技术发展等。为此，亟待从以下几种维度对网络爬虫行为进行违法性识别，以明确网络爬虫行为的刑法规制限度。

（一）以数据属性为维度识别网络爬虫行为不法性

数据包括开放性数据和非开放性数据。^[2]开放性数据属于公开数据，该部分数据是可以访问、复制、浏览的，并且爬取时也已经取得了权利人的授权。爬取开放性数据时，由于权利人的授权以及数据的开放，该部分开放性数据已经成为数字化公共资源。若最终爬取开放性数据对被害人造成损害的，亦应当适用被害人允诺原则，即被害人的允诺可以成为阻却网络爬取行为成为违法行为的事由。

（二）以是否授权为维度识别网络爬虫行为不法性

本文仍以robots协议作为该处论述权利人设置防护措施不予授权之例。在此情况下，robots协议有数据垄断等不正当竞争的违法行为是个案中网络爬取行为不法性的重要阻却事由。比如：在北京市高级人民法院在百度在线网络技术（北京）有限公司等与北京奇虎科技有限公司不正当竞争纠纷二审民事判决书做出的判定，百度公司设置的robots协议白名单实质上是区别对待经营主体，限制抓取内容，妨碍了信息自由流动，成为阻却奇虎公司爬取行为成为不法行为的事由。若无不正当竞争行为的，网络爬取行为只是单纯地违反robots协议，根据目前大多数观点robots协议只是商业道德标准，违背该标准尚无进行刑法评价的必要性。

（三）非法侵入但是未获取数据行为：该当构成要件的有限性

根据《刑法》第二百八十五条第一款的规定，网络爬取行为非法侵入构罪的条件之一是侵入的是国家事务、国防建设、尖端科学技术领域的计算机信息系统。若网络爬取行为侵入的是普通的计算机信息系统，则需要有其他的构成要件方能构成刑事不法。即根据《刑法》第二百八十五条第二款的规定，侵入普通计算机信息系统还需要非法获取数据或者实施非法控制系统的要件，才能构成非法获取计算机信息系统数据或者非法控制计算机信息系统罪。

（四）非法侵入且获取数据的行为：刑事不法的有限性

对于非法侵入且获取数据的行为是否构成犯罪，应当从是否符合入罪标准以及是否具有法益侵害性进行判断。对于爬取普通数据的行为，主要触犯的罪名是非法获取计算机信息系统数据罪，该罪的入罪标准为“情节严重”。对于爬取反映个人信息、商业秘密、著作权等数据的行为，入罪标准为“情节严重”或者“违法所得数额较大或者有其他严重情节”。并且相关司法解释对入罪标准进行了细化。因此在对网络爬取行为进行刑法评价时，应当从形式上考察相关行为的合法性，判断相关行为是否符合相关司法解释规定的数额或者数量等标准，也要从实质上判断相关行为是否具有法益侵害性。不同的罪名对入罪标准和是否具有法益侵害性是存在区别的，需要结合具体场景及行为要素进行判断，并非所有非法侵入且获取数据的行为均构成犯罪。

六、结语

  大数据时代对于数据的保护日趋重视，而网络爬虫技术产生之目的即是针对数据的爬取，因此利用网络爬虫技术的行为在存在善恶之分后即需要对恶意的网络爬虫行为进行法律评价。基于目前数据安全的要求下，对侵犯数据行为的态度愈加严厉，对网络爬虫行为的规制愈加严苛，刑事风险扩张，但是因网络爬虫行为是促进数据流通和共享的重要方式，因此应当对网络爬虫行为的不法边界及民刑规制界限进行明确，以确定刑法规制网络爬虫行为的限度。

    参考文献：

1、参见上海市徐汇区人民法院(2013)徐民二(商)初字第1963号上海衡运航空商务有限公司与北京奇虎科技有限公司名誉权纠纷一审民事判决书。

2、参见北京市第一中级人民法院(2012)一中民终字第14085号王永涛与北京交易通网络信息科技有限公司侵犯著作权纠纷案件判决书。

3、参见北京市海淀区人民法院(2015)海民(知)初字第12602号北京微梦创科网络技术有限公司与北京淘友天下技术有限公司等不正当竞争纠纷一审民事判决书。

4、参见北京市海淀区人民法院(2017)京0108刑初2384号上海晟品网络科技有限公司、侯明强等非法获取计算机信息系统数据罪一审刑事判决书。

5、参见最高人民检察院发布的《关于印发<涉案企业合规典型案例>（第三批）的通知》的案例一上海Z公司、陈某某等人非法获取计算机信息系统数据案。

6、参考丁晓东：《数据到底属于谁？——从网络爬虫看平台数据权属与数据保护》，《华东政法大学学报》，2019年第5期。

7、参考李帅：《网络爬虫行为对数据资产确权的影响》，《财经法学》，2020年第1期。

8、参考孙晋、冯涛：《数字时代数据抓取类不正当竞争纠纷的司法裁判检视》，《法律适用》，2022年第6期。

9、参考杨志琼：《数据时代网络爬虫的刑法规制》，《比较法研究》，2020年第4期。

10、参考孙禹：《论网络爬虫的刑事合规》，《法学杂志》，2022年第1期。

11、参考童云峰：《大数据时代网络爬虫行为刑法规制限度研究》，《大连理工大学学报（社会科学版）》，2022年第2期。参考薛美琴：《网络爬虫刑法规制的边界》，《网络法律评论》，第23卷。

12、参考孙立伟、何国辉、吴礼发：《网络爬虫技术的研究》，《电脑知识与技术》，第2010年第15期。参考于成龙、于洪波：《网络爬虫技术研究》，《东莞理工学院学报》，第2011年第3期。

13、参考童云峰：《侵犯商业秘密犯罪刑法规制研究》，《江西警察学院学报》，2018年第2期。

14、参考苏青：《网络爬虫的演变及其合法性限定》，《比较法研究》，2021年第3期。

15、参考高富平：《数据经济的制度基础——数据全面开放利用模式的构想》，《广东社会科学》，2019年第5期。

注释：

1、薛美琴：《网络爬虫刑法规制的边界》，《网络法律评论》，第23卷，第241页-243页。

2、童云峰：《大数据时代网络爬虫行为刑法规制限度研究》，《大连理工大学学报（社会科学版）》，2022年第2期，第92页。