本文分析了網(wǎng)絡(luò)爬蟲引發(fā)侵犯公民個人信息罪之刑事風(fēng)險產(chǎn)生的具體原因、存在的爭議，并提出風(fēng)險防范思路。

作者 | 鄒雯張翰雄己任律師事務(wù)所

編輯| 布魯斯

【摘要】

探析網(wǎng)絡(luò)爬蟲的刑事風(fēng)險可從網(wǎng)絡(luò)爬蟲技術(shù)的自身特性、數(shù)據(jù)所處互聯(lián)網(wǎng)環(huán)境的復(fù)雜性、入罪依據(jù)的多元性以及法律規(guī)范的模糊性等多重維度來考量。本文對網(wǎng)絡(luò)爬蟲引發(fā)侵犯公民個人信息罪之刑事風(fēng)險產(chǎn)生的具體原因、存在的爭議進行分析，并提出了相應(yīng)的風(fēng)險防范思路。

網(wǎng)絡(luò)爬蟲是一種高度自動化獲取并存儲網(wǎng)絡(luò)數(shù)據(jù)的互聯(lián)網(wǎng)技術(shù)，得到了廣泛應(yīng)用。關(guān)于如何有效防范網(wǎng)絡(luò)爬蟲的刑事風(fēng)險，合規(guī)實施網(wǎng)絡(luò)爬蟲技術(shù)，也引發(fā)了法律和技術(shù)界的關(guān)注和廣泛討論。本文結(jié)合法律規(guī)定、最新個案和相關(guān)實踐，對網(wǎng)絡(luò)數(shù)據(jù)爬取涉及侵犯公民個人信息罪的刑事風(fēng)險進行分析，并提出相應(yīng)的防范思路。

一、侵犯公民個人信息罪的構(gòu)成要件和定罪量刑標(biāo)準(zhǔn)概述

根據(jù)《刑法》及其相關(guān)司法解釋，并結(jié)合個人信息保護相關(guān)法律法規(guī)、部門規(guī)章、相關(guān)國家標(biāo)準(zhǔn)和司法實踐，在數(shù)據(jù)獲取和使用情景下，構(gòu)成侵犯公民個人信息罪的核心構(gòu)成要件有四：

其一，竊取、非法獲取或提供、出售給他人的信息屬于“公民個人信息”，即“能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況”的數(shù)據(jù)信息；

其二，行為必須“違反國家有關(guān)規(guī)定”，包括法律、行政法規(guī)、部門規(guī)章；

其三，“提供給他人”中的“提供”，既包括向特定人提供，也包括通過信息網(wǎng)絡(luò)或者其他途徑發(fā)布；

其四，獲取公民個人信息的行為屬于“竊取或者以其他非法方法獲取”，其中“其他非法方法獲取”包括違反法律、行政法規(guī)、部門規(guī)章的購買、收受、交換、收集等行為。

關(guān)于侵犯公民個人信息罪的定罪量刑標(biāo)準(zhǔn)，《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（法釋〔2017〕10號，以下簡稱“2017年司法解釋”）第五條、第六條對此進行了詳細規(guī)定，此處不再贅述。

二、網(wǎng)絡(luò)爬蟲涉侵犯公民個人信息罪之風(fēng)險分析

實施網(wǎng)絡(luò)爬蟲技術(shù)涉及侵犯公民個人信息罪的風(fēng)險，主要源自以下四個方面。

其一，網(wǎng)絡(luò)爬蟲技術(shù)自身所具有的技術(shù)特性和能力，以及為了實施網(wǎng)絡(luò)爬蟲技術(shù)而使用的其他技術(shù)手段，使數(shù)據(jù)爬取行為的獲罪風(fēng)險較高。

從數(shù)量和速度上看，網(wǎng)絡(luò)爬蟲可以在短時間內(nèi)獲取大量數(shù)據(jù)，使得在數(shù)量規(guī)模上容易達到入罪標(biāo)準(zhǔn)。實踐中，多數(shù)利用爬蟲技術(shù)，非法獲取公民個人信息，構(gòu)成侵犯公民個人信息罪的案例，涉案個人信息條數(shù)都極高，往往達到十余萬、數(shù)十萬乃至百萬級別。

從技術(shù)手段上看，雖然爬蟲技術(shù)一般是中性的，但為了實現(xiàn)爬蟲而實施的其他技術(shù)手段則可能是具有侵入性的，在特定場景下會直接影響數(shù)據(jù)獲取行為的定性。由于網(wǎng)絡(luò)爬蟲具有短時間、大批量獲取數(shù)據(jù)的能力，而獲取數(shù)據(jù)實際上就是向存儲數(shù)據(jù)的服務(wù)器發(fā)送數(shù)據(jù)請求，并接收服務(wù)器響應(yīng)的數(shù)據(jù)的過程，因此服務(wù)器為了節(jié)省流量和保護對數(shù)據(jù)的控制，往往會采取反爬措施，致使數(shù)據(jù)爬取失敗。此時，為了成功爬取數(shù)據(jù)，網(wǎng)絡(luò)爬蟲程序的編寫和運行者往往會采取具有侵入性的、能夠繞過或突破服務(wù)器反爬措施的技術(shù)手段，繼續(xù)獲取數(shù)據(jù)。由此，獲取個人信息數(shù)據(jù)行為的手段可能具有非法性，同時還會影響司法對于“個人信息是否屬于個人自行公開或者被合法公開”的判斷，最終容易導(dǎo)致爬取行為構(gòu)成犯罪。

例如，最高檢《檢察機關(guān)辦理侵犯公民個人信息案件指引》在有關(guān)“竊取或以其他非法方法獲取公民個人信息的證據(jù)審查”的規(guī)定中，將侵入信息網(wǎng)絡(luò)、數(shù)據(jù)庫時的IP地址、MAC地址、侵入工具、侵入痕跡等作為主要的證據(jù)類型。

又如，在《人民法院報》2018年6月21日刊登的《公民個人信息刑法保護的例外》一文中[1]，二審深圳中院將案件發(fā)回重審的主要理由在于，雖然企業(yè)公開信息中的自然人信息不受刑法保護，但是如果被告人獲取自然人信息所使用的軟件功能存在非法侵入、竊取功能，則表明行為人收集的自然人姓名及聯(lián)系方式可能是竊取得來。在被告人辯稱軟件只能獲取公開信息的情況下，相關(guān)事實不清，因而撤銷原判，發(fā)回重審。

同時，數(shù)個判例也認定采取侵入手段實施爬取的行為構(gòu)成“非法獲取公民個人信息”。例如，利用釣魚鏈接獲取電商平臺商家賬號進入商家后臺獲取數(shù)據(jù)[2]、在電商平臺頁面植入url獲取用戶cookie進而獲取個人信息數(shù)據(jù)[3]、使用黑客軟件侵入郵局內(nèi)部系統(tǒng)獲取個人信息數(shù)據(jù)[4]、利用網(wǎng)站漏洞進入網(wǎng)站后臺爬取數(shù)據(jù)等[5]。

事實上，網(wǎng)絡(luò)爬蟲、反爬蟲和反反爬蟲，其實是互聯(lián)網(wǎng)行業(yè)中非常普遍的“技術(shù)攻防”行為，而這種技術(shù)層面上的普遍性無疑也暗含著實施網(wǎng)絡(luò)爬蟲觸犯公民個人信息罪的較大風(fēng)險。在涉及網(wǎng)絡(luò)爬蟲的非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪案例中，許多案例中數(shù)據(jù)獲取的非法性，都在于爬取數(shù)據(jù)時使用了各種對抗反爬取措施的技術(shù)手段，最終被認定為構(gòu)成繞過或突破計算機安全保護措施的行為。考慮到各大網(wǎng)站平臺對個人信息保護的程度和方式都在不斷提高和豐富，以個人信息為目標(biāo)的數(shù)據(jù)爬取，很可能經(jīng)常必須采取具有侵入性質(zhì)的技術(shù)手段，從而導(dǎo)致涉嫌侵犯公民個人信息罪的風(fēng)險隨之提升。

其二，個人信息數(shù)據(jù)和網(wǎng)絡(luò)安全法律規(guī)范眾多，導(dǎo)致對于不同場景下的數(shù)據(jù)爬取行為和使用行為是否具有刑事違法性不易判斷，增加了對數(shù)據(jù)爬取和使用行為的刑事風(fēng)險進行控制的難度。

無論是爬取公民個人信息，還是使用爬取的公民個人信息，構(gòu)成刑事犯罪的前提都必須是“違反國家有關(guān)規(guī)定”，即2017年《司法解釋》第二條所明確的“法律、行政法規(guī)、部門規(guī)章有關(guān)公民個人信息保護的規(guī)定”。然而，無論是“法律、行政法規(guī)、部門規(guī)章”的范圍，還是“有關(guān)個人信息保護”的范圍，都比較寬泛，客觀上為入罪提供了更多依據(jù)，同時也增加了識別和防范刑事風(fēng)險的難度。

例如，關(guān)于爬取公開個人信息的問題，根據(jù)《個人信息保護法》第十三條、第二十七條和《民法典》第一千零三十六條均規(guī)定，合理處理個人自行公開的或者其他已經(jīng)合法公開的信息，除非個人明確拒絕或侵害個人重大利益，否則無需取得個人同意，也不承擔(dān)民事責(zé)任。因而爬取公開個人信息的行為似乎更不應(yīng)認為具有刑事不法性，實踐中也有檢察機關(guān)據(jù)此建議公安撤案的報道[6]。但是，《網(wǎng)絡(luò)安全法》第二十七條又同時規(guī)定，“任何個人和組織不得從事非法侵入他人網(wǎng)絡(luò)、干擾他人網(wǎng)絡(luò)正常功能、竊取網(wǎng)絡(luò)數(shù)據(jù)等危害網(wǎng)絡(luò)安全的活動”。同時，《個人信息保護法》第六條第二款也規(guī)定，“收集個人信息，應(yīng)當(dāng)限于實現(xiàn)處理目的的最小范圍，不得過度收集個人信息”。那么，雖然爬取的是公開個人信息，但如果使用了具有侵入性的手段，或者數(shù)量過大、目的具有不正當(dāng)性，是否一定不構(gòu)成刑事犯罪，可能依然存在討論的空間。

此外，相關(guān)法律法規(guī)自身條文規(guī)定的模糊性，進一步增加了防范刑事風(fēng)險的難度。例如，如何判斷前述《民法典》和《個人信息保護法》規(guī)定中的“合理處理”和“侵害個人重大利益”、“對個人利益有重大影響”，目前缺乏明確依據(jù)。此外《個人信息保護法》第六條還規(guī)定了處理個人信息數(shù)據(jù)應(yīng)當(dāng)具有“明確、合理的目的”，收集個人信息“應(yīng)當(dāng)限于實現(xiàn)處理目的的最小范圍”。這些規(guī)定都對爬取和使用個人信息數(shù)據(jù)的行為定性有直接影響，可以成為入罪的重要依據(jù)，但具體衡量標(biāo)準(zhǔn)卻仍然欠明確。這無疑也會使防范爬取數(shù)據(jù)刑事風(fēng)險的難度加大，同時導(dǎo)致爬取和使用數(shù)據(jù)行為的刑事風(fēng)險提高。

其三，在復(fù)雜的網(wǎng)絡(luò)環(huán)境下，個人信息數(shù)據(jù)在不同的范圍、以不同的形態(tài)和方式傳輸、存儲和展示，使不同場景下的數(shù)據(jù)爬取和爬取后的使用行為的定性問題高度復(fù)雜，進而導(dǎo)致防范數(shù)據(jù)爬取行為風(fēng)險的難度進一步提升。

在復(fù)雜的互聯(lián)網(wǎng)環(huán)境中，信息數(shù)據(jù)的自身形態(tài)、傳輸方式、存儲方式，在不同場景中可能存在較大差異。例如，在瀏覽器、手機APP等廣義上的“用戶端”的頁面上展示出來的個人信息，一般是以文字、圖片、音視頻等可視、可讀狀態(tài)存在的。但在用戶端頁面的網(wǎng)頁源代碼、APP軟件后臺，以及各種API數(shù)據(jù)接口中以數(shù)據(jù)形態(tài)存在的個人信息，雖然最終是公開展示的，但用戶難以實際接觸，即便實際接觸也不可讀，只有專業(yè)技術(shù)人員方可瀏覽、理解和使用（如使用抓包軟件或其他網(wǎng)絡(luò)測試工具等）。另外，有些個人信息是只有取得相應(yīng)權(quán)限，或在特定環(huán)境中才能查看或獲取的，例如有些個人信息數(shù)據(jù)僅可在局域網(wǎng)查看或獲取，有些則需要在企事業(yè)單位的內(nèi)網(wǎng)環(huán)境中才能查看或獲取，有些個人信息存儲于網(wǎng)盤或者云文檔中，通過鏈接或提取密碼供特定或不特定主體在不同時效內(nèi)查看和獲取，有些權(quán)限高的用戶可以查看和獲取數(shù)據(jù)，而有些權(quán)限低的用戶只能查看不能獲取。這些諸多復(fù)雜情景，都使得對爬取個人信息行為的定性難度和爭議程度大大提高。

從一些公開生效判決中，可以發(fā)現(xiàn)，在一些特定場景下，法院對于個人信息的公開場合、公開狀態(tài)、行為人瀏覽和獲取數(shù)據(jù)的權(quán)限等問題的認識可能存在差異，導(dǎo)致案件結(jié)論迥異。

例如，對于公司員工爬取在公司內(nèi)網(wǎng)上存儲的個人信息的行為，不同法院則持有不同觀點。在余某某侵犯公民個人信息罪一案中[7]，法院認定，在公司不提供全員通訊錄，員工不可能一目了然地獲取數(shù)據(jù)，且獲取數(shù)據(jù)時相關(guān)員工個人均不知情的情況下，員工利用自己的賬號權(quán)限，違背公司內(nèi)部有關(guān)規(guī)章制度，爬取公司內(nèi)網(wǎng)上的大量員工個人信息，構(gòu)成“竊取個人信息”的犯罪行為。而在李某侵犯公民個人信息罪一案中[8]，案件情況基本相同，法院作出的認定卻與前案不同。法院認為，利用員工賬號自身權(quán)限爬取公司內(nèi)網(wǎng)上的客戶信息并不構(gòu)成“竊取”或“非法獲取”，并明確認定“被告人作為公司員工，利用賬號、密碼登錄公司系統(tǒng)，通過自動化軟件收集公民個人信息的行為不具有非法性，并未違反國家有關(guān)規(guī)定”。

關(guān)于前述案例，在第一案中法院將違反公司內(nèi)部有關(guān)制度，以及公司員工在個人信息被爬取時不知情，作為違法性的主要依據(jù)。雖然《民法典》第一千零三十五條規(guī)定，處理個人信息不應(yīng)違反“雙方約定”，但公司內(nèi)部管理制度究竟是否屬于“雙方約定”存在疑問。同時，公司內(nèi)網(wǎng)上的員工個人信息很有可能是員工主動公開或合法公開的，且員工必然知道數(shù)據(jù)具有被查看和獲取的可能性，對此并未明確表示拒絕。此外，公司內(nèi)部員工純粹的獲取行為，也不能斷言必然侵害員工個人利益。而在第二案中，客戶信息往往是公司在特定交易中獲取的信息，對于客戶信息的處理應(yīng)當(dāng)限于合理范圍。即使客戶本人以明示或者默示方式允許公司在內(nèi)網(wǎng)中展示個人信息。參考最高檢的指導(dǎo)性案例[9]，被告人作為公司員工是否必然有權(quán)以爬取方式獲取客戶信息，也存在討論的空間。有觀點認為，對于公司內(nèi)網(wǎng)數(shù)據(jù)爬取的行為，可以依據(jù)《網(wǎng)絡(luò)安全法》第二十條有關(guān)保護數(shù)據(jù)泄露的義務(wù)的規(guī)定，主張爬取行為影響公司履行相關(guān)義務(wù)[10]。但是影響公司履行法律義務(wù)，是否屬于直接違反“有關(guān)個人信息保護的”法律、法規(guī)、規(guī)章的行為，可能還會存在不同意見。

可見，在公司內(nèi)網(wǎng)等特殊互聯(lián)網(wǎng)環(huán)境下，公民個人信息數(shù)據(jù)的來源和授權(quán)范圍、數(shù)據(jù)的存在狀態(tài)、數(shù)據(jù)訪問和獲取的途徑與權(quán)限、對個人信息數(shù)據(jù)施加的管理和保護程度、爬取者的身份，以及爬取的具體技術(shù)手段，可能都會不同程度地影響行為的刑法定性。這些因素的共同作用，使這類案件呈現(xiàn)出比較明顯的“場景化”特征，也使不同案件之間的可參照性相對較弱，客觀上加大了防范刑事風(fēng)險的難度。

其四，個人信息“可識別性”認定標(biāo)準(zhǔn)的模糊性，以及對個人信息“重識別”的諸多實現(xiàn)可能性，提升了防范刑事風(fēng)險的難度。

作為侵犯公民個人信息罪的犯罪客體，公民個人信息的基本認定標(biāo)準(zhǔn)無疑是“可識別性”，也即“能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息”。但看似明確的定義，在實際應(yīng)用時依然存在許多模糊空間。

常見的問題是，當(dāng)具體案件中涉及的公民個人信息并不具有單獨的可識別性，僅在與其他信息結(jié)合的情況下具有可識別性時，是否依然可以認定為侵犯公民個人信息罪所規(guī)定的“公民個人信息”?有觀點認為，可以通過關(guān)聯(lián)性的強弱、信息的重要性，以及行為人的主觀目的來進行判斷[11]。筆者雖然認同這一觀點，但結(jié)合“去標(biāo)識化”技術(shù)的實際情況，這一標(biāo)準(zhǔn)可能難以覆蓋到全部情形。

根據(jù)《信息安全技術(shù) 個人信息去標(biāo)識化指南GB/T 37964-2019》，很多手段都可以實現(xiàn)“去標(biāo)識化”的效果，但“去標(biāo)識化”事實上只是改變了“標(biāo)識化”的程度，而不能像“匿名化”一樣徹底消除個人信息的可識別性。例如，加密技術(shù)作為一種“去標(biāo)識化”手段，只是改變了個人信息的可讀性，并不會去除個人信息數(shù)據(jù)中任何具有標(biāo)識作用的部分或者內(nèi)容。因而如果獲取數(shù)據(jù)的一方掌握了解密方式，那么即便是處于加密狀態(tài)的個人信息數(shù)據(jù)亦可能具有極強的可識別性。又如，屏蔽、刪除、假名化、模糊化個人信息數(shù)據(jù)中的一些內(nèi)容，也能起到“去標(biāo)識化”的作用，但結(jié)合其他信息數(shù)據(jù)，依然可以恢復(fù)個人信息數(shù)據(jù)的“可識別性”，也即實現(xiàn)“重識別”。因此，除非直接實現(xiàn)徹底的“匿名化”，否則任何一種“去標(biāo)識化”技術(shù)都難以徹底消除個人信息的“可識別性”，因而任何形式的“去標(biāo)識化”技術(shù)都并不能完全消除刑事風(fēng)險。

同時，對于大規(guī)模處理涉及具體個人信息數(shù)據(jù)的主體而言，即便某次爬取或者使用的是“去標(biāo)識化”程度較高的個人信息數(shù)據(jù)，但如果與通過爬取或者以其他方式獲取的數(shù)據(jù)相結(jié)合，如實施數(shù)據(jù)融合、碰撞等，或者采取解密等技術(shù)手段處理爬取的個人信息數(shù)據(jù)，則依然有可能使原先“可識別性”較低的信息數(shù)據(jù)完全或部分恢復(fù)“可識別性”，進而依然落入《刑法》的規(guī)制范圍。

可見，在未徹底“匿名化”的情況下，個人信息數(shù)據(jù)本身“去標(biāo)識化”的程度，“去標(biāo)識化”的技術(shù)特征，以及行為人自身實現(xiàn)“重標(biāo)識”技術(shù)能力或技術(shù)可能性，都可能會影響涉案數(shù)據(jù)是否構(gòu)成公民個人信息的認定結(jié)論。而當(dāng)認定結(jié)論存在較高不確定性時，防范刑事風(fēng)險的難度也必然隨即提升。

三、防范數(shù)據(jù)爬取行為的侵犯公民個人信息罪刑事風(fēng)險的思路

基于以上分析，筆者認為，針對數(shù)據(jù)爬取和使用爬取的數(shù)據(jù)的場景，防范侵犯公民個人信息罪的刑事風(fēng)險，可以從以下幾個思路展開：

首先，在實施數(shù)據(jù)爬取前，應(yīng)當(dāng)盡可能確認不會爬取到個人信息數(shù)據(jù)，尤其是非向不特定公眾公開的，真人不可見的，或純數(shù)據(jù)格式的個人信息數(shù)據(jù)。同時應(yīng)當(dāng)避免從性質(zhì)敏感的途徑爬取與個人信息有關(guān)的數(shù)據(jù)，包括各類政府機關(guān)，學(xué)校醫(yī)院等具有公共服務(wù)性質(zhì)的單位，以及直接競爭對手的網(wǎng)站或互聯(lián)網(wǎng)服務(wù)等。

其次，爬取可能構(gòu)成個人信息的數(shù)據(jù)時，應(yīng)盡可能確認爬取的環(huán)境處于不特定網(wǎng)絡(luò)用戶可自由進入和訪問的公開網(wǎng)絡(luò)環(huán)境。應(yīng)當(dāng)避免采取具有侵入性的技術(shù)手段，繞過或者突破被爬取方的反爬取措施獲取數(shù)據(jù)。特別是當(dāng)被爬取方升級反爬取措施時，應(yīng)當(dāng)避免采取更高程度的侵入性技術(shù)手段。

再次，通過爬蟲獲取可能或確實包含個人信息的數(shù)據(jù)時，應(yīng)盡可能識別是否存在具有完全識別性或者部分識別性的個人信息，對其實施匿名化或者較高程度的去標(biāo)識化處理，同時在處理和使用數(shù)據(jù)時，盡可能采取閱后即刪的緩存等方式，應(yīng)當(dāng)避免長期或者永久性存儲。

最后，在利用數(shù)據(jù)開展經(jīng)營活動時，避免以外界可感知的方式使用數(shù)據(jù)，尤其避免直接使用爬取的數(shù)據(jù)或利用爬取的數(shù)據(jù)牟利或獲取商業(yè)機會，如直接販賣、交換，或提供付費API數(shù)據(jù)接口服務(wù)等。

注釋：

[1] 吳心斌、溫錦資：《公民個人信息刑法保護的例外》，《人民法院報》2018年6月21日。鏈接：http://rmfyb.chinacourt.org/paper/images/2018-06/21/07/2018062107_pdf.pdf

[2] （2019）京0115刑初570號謝某某等侵犯公民個人信息一審刑事判決書

[3] （2014）杭余刑初字第1231號黃某某、翁某某非法獲取計算機信息系統(tǒng)數(shù)據(jù)、非法控制計算機信息系統(tǒng)罪一審刑事判決書

[4] （2016）內(nèi)0402刑初396號肖某、周某、李某某、王某某、宋某某侵犯公民個人信息一審刑事判決書

[5] （2016）滬0101刑初196號張某某、姚某某非法獲取公民個人信息一審刑事判決書

[6] 盧志堅、白翼軒、田競：《出賣公開的企業(yè)信息牟利：檢察機關(guān)認定行為人不構(gòu)成犯罪》，《檢察日報》2021年1月20日，第1版。

[7] （2017）浙0110刑初737號余某某侵犯公民個人信息罪一審刑事判決書

[8] （2019）京0112刑初62號李某侵犯公民個人信息一審刑事判決書

[9] 參見最高檢第九批指導(dǎo)性案例“衛(wèi)夢龍、龔旭、薛東東非法獲取計算機信息系統(tǒng)數(shù)據(jù)案”（檢例第36號）

[10] 劉艷紅：《網(wǎng)絡(luò)爬蟲行為的刑事規(guī)制研究——以侵犯公民個人信息犯罪為視角》，《政治與法律》2019年第11期。

[11] 喻海松：《侵犯公民個人信息罪司法適用探微》，《中國應(yīng)用法學(xué)》2017年第4期。

（本文僅代表作者觀點，不代表知產(chǎn)力立場）

圖片來源 |網(wǎng)絡(luò)

本文來自微信公眾號 “知產(chǎn)力”（ID：zhichanli），作者：鄒雯張翰雄，36氪經(jīng)授權(quán)發(fā)布。