尚权推荐SHANGQUAN RECOMMENDATION

关键词：网络爬虫；计算机系统安全；技术属性；数据安全法益

伴随信息化时代的到来，数据和信息在大数据时代正以无可比拟之速度流转，数据安全已被正式提上议事日程。爬虫技术作为一种中立性技术，其本身为获取数据的方式和工具，但若被滥用或违规使用的情形下，亦会滋生系列刑事风险。在2017年的“全国首例爬虫技术入刑案”中，被告人采取技术手段，后台抓取被害单位北京字节跳动网络技术有限公司服务器中存储的视频数据，并破解字节跳动公司的防抓取措施，使用“tt_spider”文件实施视频数据抓取行为，造成被害单位损失技术服务费人民币2万元。而在此之前，亦有APP服务商通过运用网络爬虫技术(特指聚焦爬虫)设置内置搜索引擎并配之相应转码技术来实施著作权侵权行为，情节严重构成犯罪的案件屡见不鲜。以2018年上半年为例，Web应用攻击总数量环比增长97.82%，平均每秒即发生31次攻击，恶意爬虫攻击数量环比增长55.79%，网络安全平台共监测并拦截了25.86亿次有针对性的爬虫攻击事件。实践中，超过91%的爬虫程序趋向于模拟正常访问方式来获得网站数据，从而绕开网站系统内部的访问频率控制设置、各类验证码等反爬取措施。随着数据应用进一步网状化以及数据和信息的整合价值不断提升，实践中已不鲜见的数据爬取行为可能需要被纳入刑事规制视野中考量，从而防控风险并促进爬取数据行为的规范化运作。

一、大数据时代网络爬虫技术的实践异化与刑事风险

大数据是指整合网络上海量的信息资源，并对其进行针对性挖掘、储存以及处理，进而得到相应的有价值的信息数据。网络爬虫技术的普及极大降低普通主体参与后台获取数据的难度与门槛，容易沦为不法分子信息技术犯罪的手段和工具。以数据窃取为基础的黑色产业链也随之成熟，逐步转向“技术密集型”，呈现出规模化、链条化的趋向。恶意网络爬虫除在数据获取中扮演着工具角色，甚至可能成为网络有组织犯罪中的重要环节直接参与互联网犯罪，成为网络黑色产业链的帮凶之一。

（一）实践异化与功能界定

1.网络爬虫技术的发展与异化

随着网络迅猛发展，万维网成为大量信息的载体，如何有效地提取并利用信息源成为一个巨大的挑战。为应对海量数据，能够自动化处理数据的网络爬虫技术应运而生。网络爬虫（Web Crawler），又称网络蜘蛛（Web Spider）或Web信息采集器，是一个自动下载网页的计算机程序或自动化脚本，是搜索引擎的重要组成部分。爬虫程序能够根据使用者的指令设置在不同网络站点跳转过程中自动提取网页内容，使用者在万维网上利用该类程序预设规则来筛选并抓取所需要的目标数据的行为，即数据爬取行为。

事实上，爬虫技术设计的初衷为通过计算机代码技术实现网站索引的自动化，并通过后台程序自动更新信息。所以自面世以来便被长期被视为中立技术，其利用后台脚本以获取网站平台数据的行为也在一定范围内被广泛使用。伴随大数据时代到来，数据自身经济价值被深度挖掘，爬虫技术以其自身低门槛与高隐蔽性等固有性征，被不法分子识别、滥用，导致实践中出现技术不断异化发展，从而落入需要被法律评价的范畴。

2.网络爬虫功能与反爬机制

网络爬虫种类繁多，依据不同的分类依据可以对其进行不同属性的归纳。根据被爬网站数量的不同，可以将网络爬虫分为通用型、聚焦型。通用型网络爬虫，通常指搜索引擎和大型Web服务提供商的爬虫，主要功能是从互联网中搜集网页、采集信息，并下载到本地，形成一个互联网资源的备份镜像。聚焦型爬虫主要指针对特定网站的爬虫，从而定向的获取特定方面的数据。

从功能分类上讲，网络爬虫通常来说具备三种基本功能，即访问、下载和解析。访问，是指网络爬虫依据代码设定的初始顺序，向目标系统发送访问请求从而访问数据；下载，是指将目标系统储存的数据传输、储存到指定的计算机信息系统中；解析是指对计算机信息系统数据的内容进行分析、筛选。以上三种基础功能本身并不会对计算机信息系统数据产生增减或修改的效果。

反爬技术（Anti-Spider），则是网站主体设置的对用户身份认证信息之外的筛选措施，能够识别爬虫程序以及避免服务器负担过重崩溃，其技术原理为通过对用户的访问请求头部UA、cookie、验证码以及访问频率等进行条件筛选进而屏蔽访问请求。网络爬虫技术极大地便捷了数据共享，一些网站并不反对甚至欢迎网络爬虫提取其网页信息。但对此持保守态度的网站则会采取对端口、接口等禁止访问限制，或是通过网页访问口令、JS脚本、User-Agent等，以力图阻止爬虫进入。

（二）刑事风险与数据边界再明晰

1.爬虫刑事风险概述

爬虫技术以其高隐蔽性和高效性，成为不法分子所“青睐有加”的网络犯罪手段。本文结合爬虫技术收集数据的过程特点，从爬虫技术本身使用所带来的法律风险以及获取数据后的使用行为所带来的法律风险两方面展开论述。首先，在该技术本身使用所带来的风险方面，网络爬虫短时间内频繁访问目标网站，侵入及占用计算机信息系统网络资源，可能造成目标网站计算机系统拥堵，增加网络服务器处理负荷，客观上造成网站不能正常访问甚至是网站崩溃的后果。若侵入国家重要计算机信息系统，还会直接威胁国家重要领域和要害部门的计算机信息系统安全。其次，在获取数据后的使用层面，滥用爬虫技术可能侵犯知识产权、商业秘密，造成信息泄露，侵犯公民个人信息安全，危及国家秘密、情报等核心数据安全。详言之，一旦个人数据被非法收集、买卖，大量有价值的公民个人信息将被批量存储、分析，从而形成对公民个人的“精准临摹”；在社会层面，大量公民个人信息泄露将危及公共安全，侵犯知识产权和商业秘密等将危机经济秩序，国家情报与机密文件数据被爬取更将直接危害国家安全。

除爬虫技术自身被滥用直接侵害个人法益和国家利益外，实践中爬虫技术自身已逐步显现出沦为上游犯罪技术手段的犯罪基因。有学者将恶意网络爬虫的这一特征概括为“数据掮客”，将其称为易滋生出犯罪的网络温床。如在陈某敲诈勒索案中，被告人主要针对在校大学生开展“套路贷”违法犯罪活动，制造民间借贷假象，利用恶意爬虫软件查询客户负债情况。当收集到客户不能按时还款，便将被告人名下的其他贷款公司或同伙放款推给被害人，使其继续借钱还给平台，并通过“转单平账”“以贷还贷”的方式不断垒高被害人“债务”。本案中，爬虫软件沦为“套路贷”案件中的关键技术环节，通过后台识别客户负债情况从而将客户套牢，精准识别其债务信息及借贷需求，从而骗取被害人财物。

2.数据与信息边界再明晰

在讨论网络爬虫技术通过后台获取的数据对象时，无法绕开且应当引起重视的一对概念，便是数据与信息的关系。数据与信息不可分离，接收者对信息识别后表示的符号称为数据。数据作为可识别的符号，其具有多种形式，但其中包含的信息内容不会改变，即不随载体设备形式的改变而改变。信息是对数据的解释、运用的解算，即使是经过处理以后的数据，也只有经过解释才成为信息。就本质而言，数据是客观对象的载体形式，而信息则是数据内涵的整合意义，只有数据对实体行为产生影响时才成为信息。如就国内爬取公开数据的首例爬虫入刑案件而言，法院认定被告人及被告单位使用“tt_spider”文件对被害公司实施了对公开视频数据的爬取行为。在该案中，被害公司虽然没有提供视频下载服务，但视频数据的信息内容已经公开且处于可访问状态。该案主审法官认为，爬取公开数据的行为侵犯了数据安全性中的“保密性”这一法益，因为视频内容公开仅仅是信息公开，视频数据还处于保密状态，信息内容公开不等于数据公开。当然，就利用爬虫技术爬取公开数据行为是否需要动用刑法来评价，理论界和实务界仍存在意见分歧。

二、恶意网络爬虫行为刑事规制的现状及评价

恶意网络爬虫行为触碰刑法底线，必然引起国家刑事制裁体系的反应。下文先概述恶意网络爬虫行为刑事规制的现状，然后就当前恶意网络爬虫行为刑事规制的情况进行简要评价。

由于爬取数据这一对象本身分类模糊，我国目前对于防止网络爬虫恶意爬取数据的相关规定散见于《民法典》侵权责任编、《反不正当竞争法》、《刑法》以及《网络安全法》等。从恶意网络爬虫行为的刑事立法规制看，主要涉及《刑法》第217条的“侵犯著作权罪”、第219条的“侵犯商业秘密罪”、第253条之一的“侵犯公民个人信息罪”、第285条的“非法侵入计算机信息系统罪”“非法获取计算机信息系统数据罪”与“非法控制计算机信息系统罪”，以及第286条的“破坏计算机信息系统罪”等。其中，“非法侵入计算机信息系统罪”主要强调网络爬虫采用侵入计算机安全系统或破坏安全措施这一“暴力”方式，且主要针对违反国家规定，侵入国家事务、国防建设、尖端科学技术领域计算机系统的非法侵入行为；而第二款中的“非法获取计算机信息系统数据罪”和“非法控制计算机信息系统罪”，针对的则是违反国家规定，侵入前款规定以外的计算机信息系统或采用其他技术手段，获取该系统中存储、处理或传输的数据，或非法控制该计算机系统的行为，其行为类型上包括未经授权访问、获取数据的外部网络黑客行为和超越授权访问、获取数据的内部网络黑客行为三类。以上三个罪名的前置限定条件均为“违反国家有关规定”，其条文较为模糊，需从相关细化规定中寻找认定标准。由此，溯至2021年6月10日通过的《数据安全法》，2021年8月20日通过的《个人信息保护法》以及2016年11月发布的《网络安全法》。上述法律多从原则上对互联网收集数据的行为进行规定，为规制网络爬虫行为提供了指导性立场。如《个人信息保护法》第13条规定，个人信息处理者可处理个人信息需满足七个情形之一，其中一个情形即为需要“取得个人的同意”。《数据安全法》第32条第1款规定，“任何组织、个人收集数据，应当采取合法、正当的方式，不得窃取或者以其他非法方式获取数据”。这些规定都从原则意义上涵摄了对网络爬虫行为的规制立场，缺乏具体规定。此外，针对恶意爬取数据后的利用行为，我国《反不正当竞争法》第12条亦规定，“经营者不得利用技术手段，通过影响用户选择或者其他方式，实施妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行的行为”。但以上规定仍显粗糙，对“违反国家规定”这一构成要件的理解仍需从恶意爬取数据行为本身侵害的法益展开定位。基于爬虫技术可能侵扰计算机系统的运行安全，可以归纳出其非法行的本质在于非法访问侵犯了计算机信息系统的运行安全。是故，对其是否未经授权访问或破坏计算机反爬措施、安保措施加以访问等，成为认定非法访问的关键因素。

当自身中立的技术被滥用之风险愈加升高，“技术中立原则”便不再被视为违法犯罪的挡箭牌。网络主体使用爬虫技术恶意进入系统并抓取数据，法律对其评价的视野逐渐由不正当竞争走向刑法领域，上海晟品公司爬虫入刑案便是确认了网络爬虫行为侵入计算机系统并爬取数据的刑事违法性，从内在的实质违法性这一角度，为爬虫行为入罪奠定基础。随着司法实践的案例数量攀升、类型走向多元化，法院这种对恶意爬取数据并利用的行为的规制目光逐渐由不正当竞争法渐次转向至刑法的趋向日益明显，评价重心亦更加看重恶意爬取数据的行为自身的社会危害性与刑事违法性。有学者指出，随着数据自身价值的日益显现，针对数据的爬取、篡改、利用等行为逐渐不受控制，威胁至数据主体对数据的相关使用权能，是故产生了针对数据自身安全的独立保护需求。这种数字化技术的发展，使得数据本身价值不断提升，大量原本被判定为“边缘”的或甚至是“无效”数据，经过计算机系统规模化整合，可以迸发出新的多方面价值。由此，对数据内容属性上的保护需求不断提高，对数据本身的技术保密性保护需求更不断攀升。

正是针对数据自身安全的独立保护需求不断攀升，数据安全法益这一概念应运而生。事实上，数据安全法益这一提法早已有之，部分学者将其概括归纳为三大方面，即数据的保密性、完整性以及可利用性。其中，保密性主要针对数据背后所承载的技术意义，强调数据不受未授权人的获取、知晓；完整性针对的保证数据自身内容以及技术上不遭受篡改；可用性主要从获取时间及效率考量该数据的相关性能。利用网络爬虫技术恶意爬取计算机系统后台数据的行为此前多被认定为民事侵权或不正当竞争，但随着采用恶意爬虫技术突破计算机系统安全措施爬取数据的行为数量爆发式增长，其侵犯的“数据安全法益”成为社会关注的热点问题，也需要在刑事规制的视域内予以考量。

网络爬虫爬取手段的侵入性是其刑事违法性的主要体现。判断技术层面的侵入性，对考察恶意网络爬虫行为的不法意义重大。有学者认为，爬虫技术依靠违背网站主体授权意思的爬取以及避开、绕过安全措施或身份验证等技术手段以获取信息，违背数据权利方单方意思表示，被视为非法入侵，构成违法；若采用解码、解密、损毁安全措施等暴力方式强行进入则可能构成犯罪，才落入刑法规制范畴。这一观点将“避开”“绕过”等行为方式纳入民事规制视野，虽然从侵入的手段对恶意爬虫所侵犯的社会利益进行不同部门法的区分，但这种区分是否恰当、是否意识到数据系统安全本身之保护的必要性，仍有待商榷。

不仅对于故意绕开安全措施类的“回避型入侵”，其是否属于网络爬虫刑事犯罪语境下规范意义上的入侵，目前尚有争议；对于网络爬虫入侵手段和技术措施的实际分类与危害结果探讨，也具有较大难度。为方便对爬虫技术展开技术性剖析，盖将其分为两大类型：“和平方式”与“暴力方式”。有学者认为，无论是网络爬虫所谓的避开、绕过等“和平方式”，还是解密、解码等“暴力方式”，在实际上都造成了侵犯计算机信息系统安全的危害后果，都在实质结果上侵犯了数据的保密性。虽然违背网站主体授权意思的爬取行为表面上属于平等民事主体之间的纠纷，落入民法规制的范畴，但从该行为本质意义上讲，即使是绕过验证码登录、身份验证信息等程序，在实质上仍然造成了与解密、解码等“暴力方式”相同的危害后果。

三、恶意网络爬虫行为刑事规制的完善路径

（一）坚持数据开发与保护的理性站位

数字经济蓬勃发展已是不可逆转的时代潮流。在数据安全领域，需坚持维护数据安全与促进数据产业开发并重的数据安全观。我国2021年6月10日公布的《数据安全法》第13条规定：“国家统筹发展和安全，坚持以数据开发利用和产业发展促进数据安全，以数据安全保障数据开发利用和产业发展”，明确体现我国注重统筹好数据安全与发展风险的基本立场。在此观念指导下，该法第7条明确提出国家鼓励数据的依法、合理、有效利用，表明国家促进以数据为关键要素的数字经济发展之态度；第8条也用原则性的规定进一步强调，开展数据处理活动，应当遵守法律、法规，尊重社会公德和伦理，遵守商业道德和职业道德。虽然法律层面上的原则性规定仅具有指导性意见，但其所体现的基本立法精神对于处理理论上的争议与司法实践中的难题也颇有点拨作用。

数据因其自身特性不同，对其开发利用的关键在于数据流动，流通并不会在物理意义上减损其价值，相反部分领域对数据的汇集与利用正是建立在对数据资源的大规模整合基础之上，同一数据可以被不同主体从不同维度进行收集，从而使得数据之间的各向联系，使得数据在不断流动匹配中同时对不同利用主体形成不同规模化价值，从而实现数据本身的最大化利用。是故，在数据处理的理念问题上，需明确一定的数据观念。事实上，目前社会关注的重点内容已从静态数据安全转向动态数据安全，从数据承载的内容转向数据处理活动安全。数据处理活动离不开数据流转与整合，数据获取在这一数据流转过程中起关键作用。而网络爬虫强大的数据获取能力与突破计算机系统安全措施的低门槛性，使得对恶意网络爬虫行为的刑事规制迫在眉睫。

在坚持数据开发与理性保护这一大的理性站位之上，应当看到网络爬虫对于促进数据资源获取与共享的巨大贡献，在对恶意网络爬虫行为规制的背景之下也应当意识到，对数据安全的过度保护亦会导致信息壁垒，造成数据流通不畅，使得数据本身通过整合与规模化分析的巨大优势被模糊处理。刑法需要在数据安全保护与有效利用之间保持动态平衡，维护好数据时代背景下资源的利用与异化风险之间的合理张力。

（二）类型化归纳前提下的数据技术属性再强调

事实上，对恶意网络爬虫行为予以刑事规制，是由实践中网络爬虫技术的不断异化使用所决定的。曾主要作为搜索引擎前端获取数据的网络爬虫技术，由最初仅为违反用户协议或者与搜索引擎之间协议的抓取数据行为，逐渐演变为部分主体入侵计算机系统的“得力”工具。司法实践中一度注重获取数据后展开利用的过程违法，目前已逐渐将视野转向获取数据本身的技术违法——利用爬虫程序的低门槛特点，设置相关入侵代码与程序攻入目标计算机系统。结合全国首例爬虫侵入计算机系统犯罪案的实践观点，对于公开数据的后台侵入及获取行为是否应当从侵入、控制计算机系统这一角度切入亦应当重点探讨。

1.爬取行为的技术类型归纳

根据网络爬虫技术的自身特点，可以将其大致归纳为侵入获取型和破坏攻击型两大类。结合对不同类型的爬虫技术行为归纳，进一步明晰动用刑事法律对恶意爬虫行为规制的界限。

其一，侵入获取型。根据侵入对象的不同，可结合侵害法益的不同被归纳进相应的罪名。如果使用网络爬虫技术，违反国家规定侵入国家事务、国防建设或尖端科学技术领域的计算机信息系统，则无需评价是否获取数据信息等行为结果，只要实施该侵入行为即构成非法侵入计算机信息系统罪；如果使用网络爬虫技术，非法侵入或采用其他技术手段，侵入前述规定以外的计算机系统并获取数据，情节严重的，构成非法获取计算机信息系统罪；如果使用网络爬虫技术对计算机信息系统实施非法控制，情节严重的，则将被纳入非法控制计算机信息系统罪的范畴。

通常情况下，网络爬虫爬取数据方式多样，除了获得计算机网站同意或违背其授权意思的爬取，同时也包括避开、突破网络反爬取措施的方式，例如对数据进行解码或用其他方法避开、越过、去除、取消或毁损技术措施。网络爬虫入侵的“和平方式”，主要包括利用网站漏洞爬取数据，这也是实践中最常见的爬取方法。行为人利用网站源码的既有漏洞植入URL，获取权限访问该网站用户的cookie（储存在用户本地终端上的数据），利用cookie可以直接执行对应账号权限内的所有操作，不需再次输入账号密码即可登录。网络爬虫的“暴力方式”入侵，包括采用突破、解码、破解等方式毁损或避开网站计算机保护措施并获取数据。实践中网站一般会设置相关技术保护措施以限制爬虫访问，许多网站为防止网络爬虫批量搬运网络内容，利用网络爬虫批量读取数据速度的明显差异以识别爬虫的爬取行为。而行为人采取破解app的加密算法或API交互规则，使用伪造的设备IP避开服务器身份验证，或使用伪造的UA、虚假IP绕过服务器的访问频率设置等安全保护措施，突破了IP判断安全策略，使得被访问的网站不能辨别计算机物理位置。

网络爬虫的“暴力方式”，不仅在数据内容方面侵犯了计算机主体对数据的完全保护，同时在信息符号的技术层面，也造成了计算机系统自身运行的安全性、稳定性遭到恶劣影响，可能导致系统不能正常访问甚至崩溃，是针对计算机系统自身层面的严重“暴力”破坏。暴力入侵爬虫的行为本质侵犯了计算机信息系统安全与数据安全，对数据的保密性产生实质上的威胁或侵犯。“和平方式”虽然在实质上亦造成数据爬取的恶劣后果，但由于该手段社会危害性尚不足以达到进入形式规制的视野，应属平等民事主体之间的纠纷。是故，采用暴力侵入方式爬取数据的网络爬虫，在客观上侵犯计算机系统安全，危害数据安全，应被纳入刑事法律视野下展开规制，以有效控制大数据时代数据安全风险的倍速扩散。

其二，破坏攻击型。如果利用网络爬虫技术对计算机系统中存储的信息进行破坏、删除、修改或者干扰，影响计算机系统的正常运行，侵害系统运作秩序及安全，后果严重的，则构成破坏计算机信息系统罪。例如行为人恶意编写爬虫程序攻击目标计算机系统，造成其系统瘫痪无法正常运行，同时获取其系统中储存、运输等数据，或者篡改、删除其数据；或比行为人将网络爬虫植入计算机信息系统，对其中存储的数据进行删改等，后果严重，亦构成破坏计算机信息系统罪。

另外，大量网络恶意爬虫自身的侵入型爬取数据也可能造成网站无法正常运行。爬虫访问计算机系统时，一个爬虫使用一个IP地址，当大量网络爬虫同时访问目标网站时，会使服务器负荷骤增，很可能造成服务器不堪重负甚至崩溃的危害后果，这种恶意访问能产生类DOS攻击的效果，使得目标计算机或网站无法提供正常服务。这一在短时间内频繁恶意访问的行为在客观层面也能产生破坏计算机信息系统的后果。

2.爬取数据后利用行为类型归纳

网络爬虫以其强大的数据抓取、分析和存储等功能，在搜索引擎等领域应用广泛。随着数据自身的经济价值被不断挖掘，部分互联网公司花费巨大人力、物力收集整合自身领域数据并公开使用。结合数据本身所承载的信息内容分类，大致可归为下述两大类：

其一，被法律类型化保护的数据。根据具体法律部门的不同，可将其划分为刑法规制范围内的数据利用行为和民法范围内的数据利用行为。首先，在刑事法律规制视野下，商业秘密、公民个人信息等因其承载的信息价值关于商业秩序、公民个人隐私等，已被刑法所类型化保护，是故，利用网络爬虫获取商业秘密后非法披露、使用或者允许他人使用，情节严重的，构成侵犯商业秘密罪；利用网络爬虫技术获取公民个人信息后，向他人出售或者提供且情节严重的，构成侵犯公民个人信息罪。此外，若数据内容本身为淫秽色情物品如具体描绘性行为或者露骨宣扬色情的相关影片、音像、图片等，获取相关数据后对其进行传播，则将被传播淫秽物品罪所评价；若以牟利为目的传播淫秽物品的，将构成传播淫秽物品牟利罪。在民法视阈下，若获取数据涉及作品等，则会落入知识产权的保护范围。行为人通过一定技术手段提供信息、传播信息，使得网络用户可在其自行选定的时间、地点获取相应作品，则需承担侵害信息网络传播权的侵权责任。内容提供行为除却合理使用情况下，通常不存在免责条款，即只要实施了相应传播行为即须承担侵权责任。

其二，未被法律类型化保护的数据。数据因其具体承载内容信息的不同而分类繁琐，有些数据虽然尚未被法律类型化保护，但这并不等于其没有保护价值和需求。例如，互联网公司耗费自身巨大人力物力，整合出大量有关企业经营和战略部署的商业信息，虽然其中并不囊扩重要商业机密，甚至包括许多通过一定成本整合即可获得的数据，但其若被竞争对手以几乎零成本的网络爬虫技术手段窃取，将形成竞争对手相应的竞争优势，违反公平性原则。例如，在“脉脉”非法抓取使用“新浪微博”用户信息案中，法院认定，“脉脉”要求用户注册脉脉账号时上传自己的手机通讯录联系人，从而非法获取该联系人与新浪微博中相关用户的对应关系，将这些人作为脉脉用户的一度人脉予以展示，并将非法抓取的该人新浪微博职业信息、教育信息等内容进行展示。在双方终止合作后，被告并未及时删除从微梦公司获取的微博用户头像、昵称、工作单位等信息，而是继续使用，该行为危害到微博平台用户信息安全，损害了原告公司的合法竞争利益，对原告公司构成不正当竞争。若采用的爬取手段亦为“和平手段”且数据未被法律类型化保护，则被纳入民法视野进行规制。

另外，区分此类不正当竞争与上述类型化保护中的著作权侵权时，主要区别在于判断网络爬虫技术所获取的数据信息对象是否具有独创性，是否是著作权法上所保护的作品。当大数据开发形成的智力成果构成著作权意义上所保护的作品时，持有者便可以以该作品的法定权利对其加以保护；当大数据未能构成作品，持有者便常以不正当竞争来制止这一对数据的使用行为。

（三）想象竞合立场下数据技术属性再强调

若某一行为同时侵犯了针对爬取行为的技术规制与爬取数据内容本身的类型化保护，司法实践中应当采用想象竞合还是法条竞合的罪数认定立场，学界尚有所争议。有学者认为，爬取数据的技术层面所构成的非法获取计算机信息系统数据罪是普通法，对获取信息进行利用的侵犯公民个人信息罪是特别法，应当根据特别法优于普通法的法条竞合处理原则处理，非法获取的信息属于公民个人信息的，应构成我国《刑法》第253条之一的侵犯公民个人信息罪；若非法获取的信息是公民个人信息之外的其他信息的，则构成非法获取计算机信息系统数据罪。也有学者认为，爬取数据的技术层面与数据内容利用层面所表征的并非是同一法益，其分属于不同法益类型，属于想象竞合，应当按照想象竞合之处理原则加以认定。事实上，结合数据与信息自身所承载的不同利用价值与实际意义，应当对其展开不同界分。

法条竞合和想象竞合的法律后果存在明显区别，对二者区分的实质标准之一在于法益是否同一，一个行为侵害了两个以上犯罪的保护法益时，则只可能认定为想象竞合；实质标准之二在于不法的包容性，即在一个行为同时触犯两个法条，只适用其中一个法条就能够充分、全面评价行为的所有不法内容时，两个法条才可能是法条竞合；但若适用任何一个法条都难以全面评价行为的不法时，则只能认定为想象竞合。利用网络爬虫爬取数据，该行为在技术层面上所侵犯的计算机系统安全实为数据安全，作为一种随着大数据时代到来而出现的新型法益，它关系着数据传输、处理、操作的数字化过程之稳定性与保密性；而爬取数据后加以利用的行为，则需结合数据在信息层面所承载的具体内容加以界定，如侵犯公民个人隐私类数据、侵犯商业秘密类数据等。可知，技术层面与后续利用层面分别代表着不同的法益类型，网络爬虫的系列操作侵犯了两个以上犯罪所保护的法益；同时，如果采用法条竞合的立场，只适用其中一个法条或一个罪名，将无法全面评价网络爬虫的全部不法内容。由此，对于网络爬虫的技术层面认定与后续利用行为分别触犯的罪名，采想象竞合立场处理更为全面妥当。

对于数据自身技术属性之强调已逐渐引起理论和实务界的重视。在全国首例爬虫入刑案中，被告人采用技术手段以tt_spider文件抓取被害公司服务器中存储的视频数据，破解了被害公司的防抓取措施，法院通过判决确认，虽然被告人爬取的数据内容（即视频内容）已经公开，但数据本身代码并未处于公开状态。被告人破解防抓取措施侵犯了数据安全中的“保密性”这一法益，法院明确区分了数据公开与信息公开之间的区别。应当意识到，虽然刑法的罪名体系中，数据安全的核心在于对数据信息内容的保护，但随着数据本身利用特性的不断显现与强化，数据安全与数据系统本身的稳定性与保密性保护需求越来越高，信息内容未被公开的数据甚至是内容已经公开的数据，在被处理、整合、使用的过程中都体现了该信息主体对数据的控制，包含着该权利不受侵扰的高度权利期待。虽然也部分学者对于法院将爬取公开数据行为的入刑处理持保留意见，但结合目前国内网络爬虫技术的滥用现状和业已危及互联网计算机系统安全的隐忧初显，对于爬虫技术层面的规制更不应被忽视。实际上，早期网络爬虫爬取数据案件，法院多采用反不正当竞争法等部门法展开规制，但由于民事视野下的规制对其惩罚性较小，无法为规制网络爬虫的滥用提供具有强制性的依据，基本难以起到震慑性作用，导致司法判例难以发挥对实践中网络爬虫规范应用的示范效应。是故，以国内首例爬虫入刑案件的分析和思想解读，有利于在日新月异的大数据时代更加重视对数据安全之保护和爬虫技术层面的规范使用。

（四）数据安全法益再提倡

数据安全与社会发展之间的冲突与博弈已日渐被置于风口浪尖，如何对其综合治理成为焦点之一。我国自2014年将大数据写入中央政府工作报告后，不断完善大数据相关立法，继2018年明确提出全面实施国家大数据战略，为规范数据处理活动，保障数据安全，促进数据开发利用，保护个人、组织的合法权益，我国2021年6月通过了《数据安全法》，这也是国内首部关于数据安全的专门法律。新出台的《数据安全法》共分为七章，涵盖数据安全与发展、数据安全制度、数据安全保护义务以及法律责任等，充分体现了国家对数据安全的保护立场，也展示着我国重视数据产业发展、力促数据安全保护的基本态度。事实上，数据安全在早期提出阶段仅为技术性概念，伴随着数据本身价值不断整合凸显，数据系统安全的风险不断提升，数据安全的自身法益属性逐渐凸显，有学者提出，《数据安全法》的出台即是宣告数据安全成为独立于信息安全的新型法益。网络空间与社会现实的融合已不断通过数字化方式加以呈现，任何一类传统社会法益都可以通过数字化方式加以呈现。

法益，是根据宪法的基本原则，由法所保护的、客观上可能受到侵害或者威胁的人的生活利益。其中，由刑法所保护的人的生活利益，即为刑法上的法益。有观点认为，界定法益时须将法益概念必须和国家保护法及国家意识予以分开，且不必和文化权益有关。这一观点遭到部分学者的批驳。有论者提出，界定法益观念必须与法相关联，且作为犯罪所侵害或威胁的利益，必须具有可侵害性。应当意识到，随着社会的发展，法益应当经历着微观与宏观的变化过程。任何主体都并非孤立的存在，而是在不断和其他主体发生联系，在一定的社会关系、社会形式中谋取利益。社会形式从根本上规定着利益的发展演变，决定着一定利益的社会历史内容。只有结合社会与历史的演进，怀着动态的眼光看待法益之范围，才有可能收获一个相对更适合社会发展的法益概念。

“法学应当有其超越的一面，它必须在价值层面以及理论分析上给实在法以引导”，只有刑法积极恰当回应发展愈加复杂的数据技术实践，才有可能在基本立场与立法指引层面划定数据时代的合理秩序。网络爬虫的暴力入侵方式所造成的社会危害性在互联网时代愈发显现。无论是数据爬取的低难度、低成本特点，还是爬取行为的隐蔽性与难以取证，抑或司法实践中出现的案件走向复杂化，这种整体性的互联网数据安全系统性风险愈加明晰，已不容忽视。由于数据本身的概念具有极强包容性，广义上的数据安全涉及各权利谱系，例如涉及公民权利、社会秩序或者国家安全等计算机数据，早已被我国刑法纳为保护法益；同时计算机在运行层面的系统保密性、安全性等技术属性也被其包含在内。是故广义层面的数据安全并非所谓的新型法益。而从狭义层面理解，数据安全法益以计算机信息系统数据为保护对象，以数据安全为核心，以数据的保密性、完整性和可用性为法益内容。由此，刑法对数据在技术层面的运用与符号化表达应予以正面回应，狭义层面的数据安全法益的提法值得受到进一步重视，其不仅能够弥补民法对于非结构化数据权利的忽视，同时也能够从合理预防的立场将网络爬虫恶意爬取数据的行为纳入刑法规制范畴。结合数据保密性、完整性以及可用性之三性特质，考量数据安全在实践中可能遭遇的数字化风险，将数据安全作为一项新型法益加以保护，能够更好指导数据犯罪的刑事立法，为司法实践提供有效指引。

来源：《刑法论丛》2022年第1卷（总第69卷）

作者：彭新林，北京师范大学刑事法律科学研究院教授、博士生导师

         赵   辉，北京师范大学刑事法律科学研究院刑法学硕士