樊崇义刑辩论坛 | 吴沈括:数据安全刑事风险与合规—以数据爬虫为例 | 高艳东:网络犯罪定性难点—共犯与帮信罪的区分
(司法兰亭会八周年,感谢泰和泰北京律师事务所刑事部主任李崇杰题字)
编者按
2022年12月4日,由樊崇义法治教育基金会、中国政法大学国家法律援助研究院共同举办的“樊崇义刑辩论坛第十二期——网络法与电子证据专题研究”成功举行。
本期讲座为期一天,共分为四个单元。本期推送讲座第三、四单元的嘉宾文字稿及讲座视频,其中视频分为“精彩部分”和“完整部分”,方便读者点击观看。
第三单元
数据安全刑事风险与合规:以数据爬虫为例
主讲人:
吴沈括,北京师范大学法学院博士生导师,联合国网络安全与网络犯罪问题高级顾问,中国互联网协会研究中心副主任
吴沈括视频的精彩部分
(由于文件较大,请复制以下链接,打开百度网盘APP观看):
https://pan.baidu.com/s/1Fe03SL571-q3mQB4Jq87uQ?pwd=18mP
吴沈括完整视频
非常荣幸有机会来到刑事辩护论坛,与大家交流分享有关数据治理和数据合规的经验,今天我想以“数据爬虫”这一现象作为示例,和大家交流汇报自己有关数据刑事风险的一些思考。
随着去年《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等新一代数据立法的出台,数据问题得到了更广泛的关注,特别是今年6月22日《关于构建数据基础制度发挥数据要素作用的意见》出台以来,关于数据要素的流转利用,成为我们目前产业发展和我们的国家建设过程的重要命题。
我们需要关注,在安全的前提下,有关数据要素流转的生态圈建设,在这一过程中,关于数据流转利用的合规以及风险控制同样值得关注。美国国家标准技术研究院(NIST)发布的隐私框架、《儿童在线隐私保护法》等系列文本能给我们启示。
审视数据合规问题,不是在耗费成本,而是一种战略投资,数据合规的水平将决定组织体的市场地位和发展格局。今天我将从爬虫的概念、爬虫的法律属性、爬虫的刑事司法逻辑、目前我国有关数据治理的规范体系、数据爬虫的合法性框架及刑事风险防控几个主要方面来和大家分享。
一、爬虫的概念和法律属性
在正式分享前,我先介绍一个案例,北京朝阳公安按照公安部的要求,查获来一起非法获取计算机信息系统数据案,本案一共抓获23名犯罪嫌疑人,且涉案人员大多数是开发人员。涉案企业通过技术手段,抓取已经公开的其他公司的信息,加工整理后,嵌入自身信息系统中,向社会面提供付费的查询服务。这种模式是爬虫案件中常见的,是否构成犯罪,显然很难直接做出一刀切的回答。
爬虫是当前互联网经济时代应用最为广泛的技术之一,与之有关的热点事件层出不穷。中国科学院专家介绍,我们网络中有80%的数据都是来自爬取,这是一个技术生态。经过我们梳理,从2019年9月以来,许多公司及其工作人员,在大数据整顿风波中被提起公诉,他们都涉及爬虫技术的应用,那时候还有一些玩笑话,例如“爬虫玩得好,监狱进得早。”
目前,我国现行法律没有直接针对数据爬虫进行规制。只有部分间接的要求,很难适用于爬虫应用的具体场景。民商事案件、刑事案件中的司法结论呈现纷繁复杂的局面。2014年-2020年涉爬虫的刑事案件中,三十起案件的罪名涉及侵犯公民个人信息罪,非法获取计算机信息系统罪,提供侵入、非法控制计算机信息系统程序、工具罪,甚至还有挪用资金罪和传播淫秽物品罪等各项罪名,由此可见,在数据爬取的相关案件中,生态环境是非常复杂的,涉及的罪名多样、侵害的法益多样。
从目前的司法判例来看,民商事案件关注爬虫技术的适用是否符合公序良俗、公平竞争的要求,相关的法律规范是《反不正当竞争法》中关于数据算法的条款;刑事案件中,司法机关有固定的判断思维框架,更加注重爬虫以及案发的情景是否符合犯罪的构成要件。
在爬虫有关的刑事司法案件中,有三个维度是司法机关高度关注的。首先,数据爬虫访问和收集数据的方法、手段、权限,是否遵从刑法规范的规制。其次,数据爬虫应用中产生的客观后果是否对计算机信息系统造成严重影响,最后,数据信息内容后续使用是否侵犯了刑法特别保护的法益。这三个维度决定了刑事追诉中的查证方向,决定了罪名适用、刑责大小层面不同的选择和判断。爬虫作为一种技术手段,具有普遍性和中立性,对于爬虫的责任评价,我们一定要放在一个具体的、实际的情景去判断,没有千篇一律的思路。
爬虫的法律风险集中聚焦在三个层面,第一是技术,爬虫技术会带来计算机资源的显著消耗,导致信息系统的响应缓慢甚至瘫痪。第二是方法手段,涉及数据的“爬”与“反爬”的互动博弈。第三是数据的内容,例如公民个人信息、知识产权、商业秘密、国家秘密等,这时候说要遵循的规则不限于数据收集规则,还有告知同意、正当化事由等。
从上述对司法机关对数据爬虫关注的三个重点和法律风险,数据爬虫和企业数据风险的刑事合规风控体系建设目标,应该是对爬虫等数据技术的机理场景进行类型化梳理,建立企业数据治理的框架,对司法判例进行研判,从中找出可能侵害的法益内容和相应的法律风险类型,找到现行法律规范提供的合法性依据,引入与自身业务需求相匹配的刑事风险防控措施。
关于爬虫的定义,目前有两种主要划分的方式,第一,从环境进行划分,目前有服务器爬虫和客户端爬虫,实务中比较多的是服务器爬虫,它爬取的范围广、程度深。第二,从使用场景划分,分为通用爬虫和聚焦爬虫。目前刑事案件中涉案的爬虫几乎都是聚焦爬虫,特点是具有明显的业务需求导向。
从数据爬取的技术角度,需要考虑计算机信息系统交互的场景,一个数据爬虫必须具有四个因素才能完整展开,一是访问数据的权限,即拥有合法的访问权限;二是流量资源的影响,在使用爬虫的过程中,可能明显影响带宽和其他计算资源;三是获取数据的种类,在数据的种类上分为两种情况,一种是具有信息意义的、可以感知的数据类型,比如文字视频;另一种是非可视性的数据类型,即可记录但不能直接感知的数据类型;四是数据的性质,例如个人隐私、商业秘密。
关于爬虫的法律属性,首先,它具有中立的工具属性,与刑法规范有直接的关联,《刑法》第二百八十五条第三款,强调了“专门”的属性,即对行为人研发程序工具的主观目的进行线索,平衡打击犯罪和技术创新的需求。其次,从访问权限的角度而言,未经过授权或者超越授权,即不具有合法性事由的访问,有两个层次的评价,实质上被访问者要有意志的外化表达,被访问者要通过明示的方式做出意志的表达,访问权限目前是双层评价机制,形式上应当具备能够感知的具体措施,爬虫技术只有同时满足这两个条件才不会超越授权。
二、爬虫的刑事司法逻辑
2017年上海某公司和侯某某等非法获取计算机信息系统数据案中,上海某公司的CTO在运用爬虫的过程当中绕开破解北京某公司的防抓取措施,造成了北京某公司的技术损失。本案一个特点是在数据抓取的过程当中,一方面绕过了服务器的身份校验,另一方面绕过了服务器的访问频率的限制。本案中突破相应的技术措施的意愿和客观属性是比较清晰的。
在司法裁判当中提出了三个判决的要点,第一,就是数据爬虫应用过程当中的违法性的依据,包括绕过或者欺骗等手段。第二,计算机信息系统是一个整体的系统,对于某一个组成部分的突破,可以认为是对于计算机信息系统的一个突破。第三,当在案件当中特别强调被告单位绕过客户端与被害单位的网站服务器身份验证系统,行为本质上已经属于非法侵入的性质,这三个要点是在2017年案件当中比较明显的裁判重点,也为后续的涉及爬虫的刑事司法提供了一个常见的分析的思路。
在刑事司法实务当中目前主流的裁判的思路是:第一,数据访问权限等合法根据,第二是数据爬虫应用的伴生情形,可能构成破坏计算机信息系统罪,第三是数据爬虫获取的数据内容,可能涉及具体罪名的适用,特别是非法获取计算机信息系统数据罪和侵犯公民个人信息罪存在竞合的可能性。这是我们在梳理和分析目前涉及数据爬虫在刑事司法实务当中基本的分析框架。
三、我国有关数据治理的规范体系
在刑事司法当中,它的依据是上位的各种数据治理规范。从目前来看,随着我们新一代数据立法规则的推进,特别是规则本身持续完善,我们可以预见,未来有关数据爬取,乃至数据安全相关的刑事责任会有一个持续变动的过程。比如说一个非常经典的例子,就是目前在酝酿推动当中的行政法规《网络数据安全管理条例》。从目前的文本当中我们就能够看到,它对于我数据治理生态所带来的影响涉及技术层面、内容层面,以及组织管理层面。
我国现行数据治理的规范体系包含:有关数据治理的政策战略、有关数据治理的法律规范、其他规范。
(一)政策战略部分
十三五以来,我国的网信立法以及相关的数字治理战略在快速演进,2015年国务院颁布《促进大数据发展行动纲要》,2017年颁布《国务院新一代人工智能发展规划》,体现了在网络强国战略指引下的基本思路。2021年十四五规划提出后,体现的是数据治理的精神,包括要防范网络安全风险与促进先进技术应用的平衡,要实现事前、事中与事后监管的全覆盖,要实现企业承诺与社会监督法律责任相结合,要鼓励数据要素开发利用与数据要素潜力发掘之间的动态平衡,强调隐私和公民个人信息的红线区域。这些战略精神已经体现在四川省的刑事案件中,该案被告人被要求终身不得从事网络安全的相关工作。数据爬虫虽然是一个简单的现象,但是所涉及的是数据治理生态的方方面面问题,能够把问题串联成有机的整体。
(二)数据治理的法律规范
1.《民法典》
《民法典》的制度设计中,除了第111条、127条有关个人信息和数据的法律保护规定外,还需要关注隐私权和个人信息保护的专章规定。第1038条关于信息处理者的信息安全保障义务的规定,强调信息处理者应当采取技术措施和其他必要措施,确保其收集存储的个人信息安全,防止信息泄露、篡改和丢失,这涉及互联网信息碎片化的问题。有观点认为,数据爬取越来越困难,原因是越来越多加密手段阻碍爬虫运用。但这个说法不完全准确,因为法律规则中包含加强数据安全、信息安全的法定义务,不能称履行这些义务就是阻碍互联互通。如今提及数据要素有关的问题,不能只看《网络安全法》和《数据安全法》,还要特别关注后续有关数据要素流转应用的相关政策。
2.《数据安全法》
《数据安全法》到底是强监管法还是强保护法?《数据安全法》第三章明确了国家层面与数据有关的各项制度指引,成为各个单位在建构数据安全体系过程中的核心外部公共资源。毕竟在目前的技术环境当中,没有任何一个企业能够以一己之力就实现数据安全。
《数据安全法》涉及五个需要特别的核心外部资源,分述如下:
第一,数据分类分级保护制度。目前《数据安全法》设立的数据分类分级保护制度是一个根本性的制度,它的意义相当于网络安全等级保护制度在《网络安全法》当中的地位。而数据分类分级这个表述,事实上是在十四五规划之后,由于逐渐统一规范而产生的。比较耳熟能详的是数据的分级分类说法,现在业内的专家逐渐地改变称呼为分类分级,因为在《数据安全法》之后,基本上与数据相关的法律规则,其实都统一表述为了分类分级。这意味着在进入十四五之后,对于数据治理的方法论和基本的思维,已经发生了很明显的一个迭代演进,即先分类后分级。分类的目的是分级,不以分级为目的的分类是没有意义的。这是非常重要的方法论。
第二,涉及数据安全风险管理和数据安全应急处置机制。第三,涉及数据安全审查。第四,涉及数据出口管制制度。我国是世界上目前唯一的将数据单列为出口官职务的国家,这也是为什么一些数据爬虫的刑事案件,涉及数据出境、数据跨境流动问题。第五,涉及数据安全国际对等机制。
在介绍完数据安全的部分法律规范后,我给各位介绍典型司法案例——谷米案,它的特点是既涉及刑事问题,也涉及民商事问题。
邵某、陈某为了提高自身公司开发的智能公交APP“车来了”在市场当中的占有量和地位,指使员工利用爬虫软件获取包括谷米公司在内的竞争对手公司服务器当中的公交车行驶信息、到站时间等实时数据。
本案中,这些信息不是涉案公司自身开发的,而是从别的竞争公司爬取的,在这个过程当中,行为人通过非法侵入计算机信息系统的手段造成被害公司几十万的直接经济损失。在这个过程当中,存在一系列人员不同的分工,有人负责不断更新爬虫程序内的IP地址,有人专门负责编写程序,有人专门负责攻破竞争对手的APP的加密系统。
本案中,作出裁判应当思考以下几方面的问题:
第一,罪名的选择上是非法获取计算机信息系统数据罪。我国刑法的相关规定不专门针对某种特定的数据类型,而是可以个人数据,以及非个人数据。在数据爬取当中,非常明显的趋向就是,非个人数据占比越来越高,它的价值越来越大。
第二,网络爬虫的违法性依据是突破技术防护,非法获取目标计算机信息系统的数据访问权限。例如,对目标计算机信息系统的app客户端、传输协议、API接口进行解密。上述手段都被认为是对于技术防护手段的突破,只要该行为超越了某一具体的技术措施,并且这个技术措施明确反映了主体的排他性意愿,就可以认定为突破了技术防护手段。
第三,爬虫案件的刑事判决并不阻却民商事审判。被害方可以在行为构成犯罪的基础上,继续通过不正当竞争诉讼等进一步获取经济赔偿。这也是这个案件被人津津乐道的一个重要的原因。
第四,刑事和民事的损失判定规则具有差异。比如,刑事案件赔偿的范围基本限定为直接经济损失的赔偿。但是在不正当竞争诉讼当中,认定赔偿金额采取的是综合认定方式,涉及因素包括刑事审判认定的被害方的经济损失、获取数据的范围和时间、被害方的维权支出、是否存在不正当竞争的主观恶意。
3.《刑法》
《刑法修正案(九)》第285、286条之一、253条之一、280条之一是值得关注的重点罪名条款。这些罪名条款对于刑事违法性的要求程度是有差异的。例如,第285、286条规定的是“违反国家规定”,也就是行政法规及法律这个层次,但是第253条之一关于“违反国家有关规定”的规定,相比较“国家规定”而言,就多了部门规章这样的规范来源。刑事违法性程度要求的差异性影响合规依据的范围,目前涉及个人信息保护的部门规章多达200多部,第253条之一的要求就有所拓展了,这也是《刑法》为数不多的将部门规章作为刑事违法性判断依据的情形。第286条之一,特别强调的是法律、行政法规所规定的信息网络安全管理义务。
这就带来非常有意思的追问,即“信息网络安全管理义务”和《网络安全法》当中“网络安全管理义务”的表述是不一样的,那么它们的范围是否一致呢?当我们从刑事角度来看待涉数据风险的时候,其实可以把这些刑事风险分为以下的三个层次:
第一个层次是核心的涉数据刑事风险,那就是《刑法》第253条之一侵犯公民个人信息罪的保护内容。
第二个层次是狭义的涉数据刑事风险,涉及第286条之一,第287条之一和第287条之二,也是侵犯公民个人信息罪常见的关联犯罪。
第三个层次是广义的涉数据刑事风险,会涉及第240条第一款、285条、286条、288条等等。
关于信息网络安全管理义务的规定,如果进行《刑法》和《网络安全法》的交叉对比的话,就会发现仅是拒不履行信息网络安全管理义务罪所引发的责任后果就可能源自于不同的规范要求。我进行涉及狭义的信息网络安全义务,广义的网络安全管理义务,以及最广义的信息网络安全管理业务三个层次的梳理:
第一,核心的网络安全保护义务,是由《网络安全法》第25、21条的一般规定和第33、34、36、38条关于“CII的运行安全”规定的,以及《网络安全法》第59条直接保障的一系列义务。
第二,狭义的网络安全义务,是受到《网络安全法》第六章法律责任所保障的一系列其他相关的安全义务。
第三,广义的信息网络安全管理业务,是与4个方面的情况具有因果联系的其他安全义务要求。
上述给我们的启示是:首先,在数据问题上,整体上还是应该坚持以结果为导向的司法理念。这意味着因果链是非常宽的,与此相关的注意义务和审慎义务的范围必然是非常宽的。其次,在信息网络安全管理义务的具体判定过程当中,不能只是就数据谈数据,还要关注到国家其他的治理关切,例如现阶段非常重要的内容管理问题,这也是为什么现在一些数据爬取的案件当中,包括在一些VPN非法使用场景当中,会触及法律责任的红线。
(三)数据治理的其他相关规范
1.国家网信部门为代表的行政机关发布的行政法规、部分规章等文件
国家网信部门的规则从2014年开始就设置了非常丰富的规则,特点就是针对性强、制度切口并不大,以小切口问题为导向。
因此,由于存在《刑法》第253条之一这样以行政法规的违法性前提的规范,可能会使得国家网信部门的部门规章产生实质的刑事后果。比如涉及区块链管理的、算法的、数据出境的一系列规则,都是我们今后需要特别注意的。
2.最高司法机关所发布的一系列司法文件
最具有代表性的是2019年最高人民法院、最高人民检察院《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》,以及2017年6月1日与《网络安全法》同步施行的《关于侵犯公民个人信息刑事案件适用法律若干问题的司法解释》。
《关于侵犯公民个人信息刑事案件适用法律若干问题的司法解释》有根本性意义,涉及10个方面的核心内容。其中与今天的主体有关的是如下内容:
首先,关于定罪量刑的标准设定。第5条涉及情节严重的判定,以及对于个人信息采取的是以数量为基准的处理方法。
其次,关于个人信息的分类,其将个人信息分为高度敏感信息、敏感信息和一般信息,这也是目前《刑法》框架下,第一个有关个人信息分类的清单目录,在构建刑事风控体系的过程当中,可以将这个作为非常重要的分类依据,以实现个人信息的分类保护。个人信息的分类保护是《个人信息保护法》所提出的一个非常重要的一个概念。这里需要区分:《数据安全法》当中特别强调的是数据分类分级保护,《个人信息保护法》强调的是个人信息的分类保护。
《关于侵犯公民个人信息刑事案件适用法律若干问题的司法解释》,实际上就是关于个人信息分类保护非常重要的制度尝试。目前,在企业实务中个人信息分类保护已经成为业务系统的支撑,嵌入企业的个人信息的分类、存储、传输、加工乃至删除各个操作流程中。
关于侵犯公民个人信息罪的从宽处理规定的条文也能适用于单位犯罪中。本条文字面含义让人认为这条只适用于自然人犯罪。但刑事司法实践当中,出现了少量以该条作为单位犯罪从宽处理的规则依据的案例。这涉及行为人的理解,从法理上来讲,行为人不单单只是自然人。因此,以第10条作为依据来实现单位的从宽处理是合适的,这与当前刑事合规不起诉是同理。
关于个人信息的数量计算规则,对于数据爬虫的应用具有特别重要的意义。本条特别强调对大批量公民个人信息的条数,根据查获的数量直接认定,有证据证明信息不真实或者重复的除外。在数据爬取的情况之下,正如中科院的科学家曾经说过的一句话:“我们学法律的人可能理论思维与抽象分析能力很好,但在实际的数据爬取过程当中,行为人抓过来的是一个数据包,他怎么知道这个数据包所谓的合法性依据?只有在他抓过来之后,打开以后才能发现里面是什么东西。甚至里面可能不是个人信息,而是其他的非个人数据。那怎么能依照学法律的人的要求,事先做出一个判断呢?”这个观点虽然具有一定的不全面性,但这个观点,我觉得是值得我们重视的。我们设想的一系列关于事前的知情同意、合法性依据的判定,甚至是数据类型的识别,其实很多时候跟实际的操作之间存在实现的障碍。
四、数据爬虫的合法性框架及刑事风险防控
(一)数据爬虫合法性框架——以《数据安全管理办法》第16条为视角
数据爬虫涉及数据访问权限、数据性质、计算机信息系统安全等不同的安全要素,所以会带来不同的产业应用后果以及相应的法律意义。爬虫作为一个非常重要的数据要素,在相当长的一段时间,爬虫本身具有中立化程序的色彩,这种中立的色彩决定了它会被广泛地应用。数据爬虫所引发等各项问题,势必将继续被互联网企业用户、网络安全机构、政府监管等不同利益主体持续关注,数据爬虫的应用问题也涉及一个国家和地区的数据要素生态的治理水平和环境水平。
在《数据安全法》层面,其对数据的流转利用提出了原则性的要求,并且要求遵循相应的规则设计,特别是关于分类分级和风险处置的要求。在《个人信息保护法》当中,关于已公开个人信息的使用规则问题,保持了跟《民法典》的一致性。这带给我们思考,什么是合理范围?
《个人信息保护法》当中特别强调,对已公开的个人信息,可以在合理范围内予以使用,当事人明确拒绝的除外。于是很多人都在怀念2019年在国家网信部门主导推动的《数据安全管理办法》。当然这个办法不大可能会重现,但是它的基本精神有可能会在《数据网络授权管理条例》中得到部分继承。2019年《数据安全管理办法》作为部门规章,在第16条直接对于数据爬取软件应用做出了概括性的规定。
其他的法律规范只是从保护计算机信息系统安全的角度,原则上间接对包括爬虫在内的中立化技术行为做出一些规范。例如,《治安管理处罚法》、《刑法》当中的相关条款做出了价值评判。
如果以当时的《数据安全管理办法》第16条作为视角,我们会发现虽然这条规则目前并没有生效,也看不到类似的规则设计,但是它带来了目前为止最清晰的关于数据爬取现象分析的思路框架。在当时的征求意见稿第16条当中,“网络运营者采取自动化手段访问收集网站数据,不得妨碍网站正常运行;此类行为严重影响网站运行,如自动化访问收集流量超过网站日均流量1/3,网站要求停止自动化访问收集的时候应当停止。”这个条文的思路实际上有三个层面,即行为责任主体、技术行为的合法性、注意义务来构建数据爬虫行为的合法性框架。
第一个层面,明确责任主体。征求意见稿对于网络运营者主体的限制,只是为了符合法律规范本身的评价范围,并不意味着法律在评价数据爬虫行为时需要对网络运营者和个人进行区分对待。在认定数据爬取过程当中的责任主体的时候,我们需要有机制的建设来明确主体的精准识别。对于具体选用、实施的数据爬虫技术要保持谨慎的态度,对于技术行为的合法性进行必要的论证。按照现在时髦的说法,叫做自我评估。在企业内部应推广技术备案制度,对于技术的选用、具体的实施过程和问题状况等过程进行留痕,这个可以作为企业在行为抗辩时的依据。技术备案机制的存在,本身也反映了单位整体意志的产生过程,由此能够帮助我们明确区分技术责任和管理责任。
第二个层次,技术行为的合法性。《数据安全管理办法》第16条,强调了技术行为的合法性。在该条表述当中,其一方面采取了技术中立的基本思路,以行为特点作为依据,将数据爬虫类的技术应用命名为“自动化手段访问收集网站数据”。而这种表述方式在2019年之后的各项规则制定当中都得到了基本的继承,也就是以对技术特质的描述的方式来做出界定。这种方式有三个需要我们注意的地方。首先,“自动化手段”的表述直接反映了数据爬取完成重复性任务特点。其次,运用“访问”这个词,强调了数据爬虫技术从一开始就应该具有中立性,而明确否定了“非法侵入”式的数据爬虫。再次,“收集网站数据”,意味着数据爬虫在应用过程当中应当有明确的功能和作用的界定。所以最可怕的是野蛮做法,也就是应爬尽爬、爬空的做法。这种做法本身跟法律规则制定过程当中的基本思路相违背,不可否认它具有一般违法性的特征。
第三个层次,《数据安全管理办法》加强行为主体的注意义务。而对于这个注意义务,大家会发现其实在我国是一以贯之的,具有普遍性。即采取结果导向标准,强调网络运营者在使用数据爬虫的过程中,不能妨碍目标网站的正常运行。在这个问题上,第16条对于妨碍网站的正常运营提出了双重标准,也就是行为人必须同时符合流量超标与停止访问两个条件。而在美国等一些国家的制度设计或者是司法判例当中,这两种情况只要二选一就可以了。我们国家事实上把这个门槛在一定程度上拉高了,为数据爬取的应用提供了一个必要的发展空间。我国跟美国法院在LinkedIn案件当中相对激进的做法相比,其实不一样的。这导致了以下的情况,由于国内进行数据爬取比较容易触发刑事风险,有人就去国外爬取,还有行为人拿国内的数据规则去反向倒推美国、欧洲、新加坡的一些数据规则,然后被对方的域外监管部门做出处理。所以,我国的数据治理框架有它的一个特殊性,比如这里双重标准的采取问题。
最后,虽然《数据安全管理办法》随着《网络数据安全管理条例》的推进,应该是不会继续生效了。但是它的很多规则都在《网络数据安全管理条例》当中得到了继承。这个条款作为数据安全治理的操作性办法,在规则设计当中承认了“日均流量”这一网络运营者常用的概念,这个概念的应用确实方便网络运营者进行风险的控制。而在《网络数据安全管理条例》当中,将来大家也会看到文本中有很多比较贴近的表述。对于这些表述的存在,一方面值得肯定,另一方面需注意在实务当中,需要结合技术和经济环境的变化进一步做出具体的研判,具体如下:
首先,双方在法律诉讼过程当中如何来选择占流量的统计标准?因为可能至少存在加害方标准、受害方标准和监管标准三种情况,此时应该选择何种标准?这个在现行的刑事规则当中目前也并不明确。
其次,在“日均流量”表述之外,网站能否维持正常运营同时也取决于计算机信息系统本身的运算能力。在实践中,存在符合流量标准的情况之下,因为计算机信息系统运算能力有限被耗尽,而导致网站不能正常运行的情况,此时应该如何判定?对于特殊的网站,它本来能力就比较弱,一爬就瘫。在部分政务网站当中,就出现过这样的情况。
最后,《数据安全管理办法》第16条并没有对于数据爬虫反制措施进行法律评价。对于反制措施,由于其本质上是一种访问授权的限制措施。而对于这种授权的限制,目前在监管提出的互联互通的背景下,本身就存在很大的争议的。相关监管部门要求实现互联互通的情况之下,反制措施就变成一个新的问题。应当在多大的强度、在多大的范围内可以允许这种反制措施的存在,这是需要考虑的。
(二)风险的分类化控制
对数据爬虫的刑事犯罪风险需要有分类管控思维。这样的风险主要包括以下五种。
第一种风险是访问对象导致的风险,涉及非法侵入计算机信息系统罪;第二种风险是违反国家规定导致的风险,涉及绕过实名制验证系统;第三种风险是访问权限导致的风险,比如说安全漏洞或者授权机制本身不合理;第四种风险是数据性质导致的风险。比如说侵犯公民个人信息罪,就是一个非常突出的一个例子;第五种风险是绕开数据爬虫反制技术导致的风险。这五种风险不是固定的,爬与反爬的过程当中,随着对抗强度的上升,也可能存在风险的异化和演变。
我和大家分享一个案例,是耳熟能详的车管所案件。2016至2017年间,犯罪嫌疑人李某通过爬虫程序访问车管所的网上选号系统访问车牌号码数量200多万个,然后在淘宝上出售相关的数据库查询权限,获利人民币4万元。这个案件当中,有以下值得我们关注的要点:
网上选号系统是面对公众开放的,在实际使用过程当中,系统对用户每次查询数据的时长这些因素进行了限制。也就是说,它并不是无限开放的系统。而这个犯罪嫌疑人的做法比较特殊,第一,他设定的时间段是一些非高峰期,他才进行访问。第二,他对于数据访问的范围是做出了自我限定的。
在这个案件当中,检察机关做出不起诉处理的理由是以下三个方面:
第一,在这个案件当中,相关的程序和工具是部署在境外服务器上,司法机关没法做出实质性的鉴定。于是根据无罪推定原则,并不能够在实质上判定这个程序属于专门的程序工具。
第二,因为爬虫程序天然地会造成计算资源的消耗,但从这个行为人对爬虫软件的使用时间、使用频率以及所秉持的主观意图上来说,他没有造成计算资源过度消耗的后果,所以至少因果关系是不明确的。
第三,对网络爬虫违法性的考察包括对网络爬虫获取数据的性质的判断,考察网络爬虫行为是否侵犯了目标计算机信息系统的安全和数据安全或者其他法益。这个案件当中,特别具有争议的是车牌号信息到底是什么信息?是个人信息,还是著作权的载体,还是商业秘密?这都没法判定。因此,很难从侵犯法益的角度来认定这个网络爬虫的应用具有侵害性。这三点是检察机关作出不起诉处理的重要依据,也是在刑事司法当中,目前对于数据爬取应用场景的一种基本的判断思路。
(三)Robots协议的合理化设计
接下来我和大家探讨,目前在数据爬虫应用过程当中,具有重要意义的Robots协议的一些不足和完善之处。
目前Robots协议的意志表达方式可以概括为这两个方面。第一,数据抓取双方的主体及其意志。第二,Robots协议本身能够表达的范围有多大。因为从一定意义上来讲,数据爬取双方之间在意志的呼应上还是比较清晰的,即“我需要做什么,我给不给做什么”。
Robots协议目前在设计当中有一些不足之处。比如,它没法表达,数据爬取主体想要有偿分享的意志。很多时候,如果存在数据收益分配的话,恐怕这个局面并不是那么不和谐。于是,就意味着爬取双方之间的意思沟通,没法通过Robots协议来实现一个实时的互动,这也在一定程度上带来了矛盾的激化。
我认为可以从以下方面进行完善,在Robots协议目前的基础上来增加有偿分享参数,必要时还可以增加对于对象网站的反向表达日志,也就是对相应的参数做出一个调整,能够让双方的意志(无论是被爬方,还是爬取方)都能够有一个相对充分的意志表达机制。因为Robots协议作为一种非约束性的自治机制,我们应该重视它的作用,并且在数据爬取的过程当中发挥它的积极价值。
(四)以犯罪构成要件为核心,构建动态风险防控机制
在数据方面,特别是在个人信息的刑法保护方面有一个非常重要的趋势,就是紧密围绕数据流转的全生命周期来实现流程式的动态保护,强调一种穿透式的、实质性的价值判断。
在数据治理的过程当中,在数据安全和数据保护工作的过程当中,要特别注重实质性的判断,尤其是要使得数据业务符合国家在政策战略和法律法规层面所设定的各项正向价值,而不单单是一种清单式的合规比对。动态风险防控机制可以分成两个方面,第一是静态风险的防控。网络运营者在研发、使用数据爬虫程序之前,围绕风险要素,主动分析评判风险源、合理研发、设计数据爬虫程序,确保数据爬虫的中立性。第二是动态风险的防控层面,特别是网络运营者在运用数据爬取爬虫的过程当中,应持续性地对数据爬虫的运行状态进行记录、监控、修正,保证数据爬虫工具在合法、合理的范围内运行。
最后我总结一下,今天,《网络安全法》《数据安全法》《个人信息保护法》等新一代数据规则不断完善,我们需要注重从技术要素组织管理和内容要素等多个层面的维度来看待数据安全的治理要求,构建我们的刑事风险管理机制。
谢谢各位的聆听。
第四单元
网络犯罪定性难点:共犯与帮信罪的区分
主讲人:
高艳东,浙江大学光华法学院副教授、硕士生导师,浙江大学数字法治研究院副院长,中国刑法学研究会副秘书长
高艳东视频的精彩部分
高艳东完整视频链接
非常感谢樊崇义教授组织的前沿论坛,也感谢孙道萃教授的邀请,我非常荣幸能够参会学习。在近年的司法实践中,如何区分共犯和“帮助信息网络犯罪活动罪”(以下简称“帮信罪”),常引发重大争议。尤其是,一些技术人员、软件服务商“明知”他人可能从事违法犯罪活动,仍然提供了技术帮助或软件服务,在排除无罪的情形下,应认定为共犯还是帮信罪?由于共犯和帮信罪都是“明知他人犯罪而为其提供帮助”,两者的界限非常模糊。一旦认定为共犯,其罪名可能就是诈骗罪、非法经营罪、传播淫秽物品牟利罪等重罪,相反,认定为帮信罪,则属于轻罪。下面,我结合一个案件,分析一下网络犯罪中共犯和帮信罪的区分。
行为人给无证券经营资质的人提供软件服务,应当认定为非法经营罪的共犯还是帮信罪?
一、案情概要
判决书认定的事实:
2019年4月至2021年6月,被告人张某担任齐宇信息科技有限公司实际控制人期间,开发和经营证券交易虚拟分仓软件“顶新财经”。被告人在明知从事证券业务需要相关资质的情况下,将软件提供给没有资质的保成联合有限公司(以下简称“保成公司”)使用,主要负责软件运行维护,有直接操作股票账户的经营行为,并按每笔交易额的万分之零点八不等收取费用。
2019年4月至2021年6月,何某(另案处理)担任保成公司实际控制人,在没有从事证券业务相关资质的情况下,使用被告人提供的“顶新财经”软件,从事配资、开立虚拟二级子账户、委托交易、查询、结算等证券业务,从中非法获利,并向被告人支付软件使用费等120万余元。
被告人张某专门开发、销售、经营的证券虚拟分仓软件具有打开通达信、关闭通达信、查询各种交易数据、下委托交易证券、撤委托、交易账户登录、交易账户销户等经营证券业务功能。该软件能开设子账户,一个子账户可对应多个母账户或一个母账户对应多个子账户。所涉证券交易通过调用未经授权的通达信TdApiX文件实现。该软件还具有融资等栏目,可实现母账户、虚拟配资后的子账户股票买卖、平仓等操作及监测。
2022年6月,法院认定张某成立非法经营罪的共犯。需要说明,我对相关人员的姓名做了技术处理。
二、法院认为提供软件服务构成非法经营罪共犯的理由
第一,被告人明知从事证券及配资业务需要相关资质。从被告人的履历看,一直从事相关证券软件的研发,也曾从事配资业务,对证券行业的从业要求应该明知。被告人是软件设计者之一,前期“W盘1”有配资相关功能,后期“W盘2”(即本案中的“顶新财经”)虽然删除了客户端的配资功能,但仍保留融资等栏目,对业务单位将软件用于或可能用于配资炒股是心知肚明的,这也正是软件的卖点之一。事实上,如果软件是提供给有资质的券商,客户端根本无需删除配资功能。将一个完整功能的软件修改成能够实施和监控配资炒股的半拉子软件,其目的正是为了规避法律风险。
第二,被告人开发的软件存在未经授权接入通达信公司计算机信息系统来获取数据的行为。作为一个资深证券软件研发人员,其开发的软件却采用非正规手段来获取证券交易数据,更加印证了其主观明知。
第三,被告人有追求经济利益默许配资炒股的原始驱动。被告人及公司员工在软件运行维护过程中,是能够看到客户配资金额及交易情况的。配资会放大交易额,交易额又直接涉及被告人收益,称不知情、不关注并不符合常理。
第四,被告人及公司员工有具体参与非法经营的直接行为。一般而言,销售并仅限于提供软件故障修复的多用途的“顶新财经”软件并不一定构成非法经营罪的共犯。但本案被告人及公司员工存在具体参与非法经营的直接行为,即除了提供软件外还存在直接在母账户进行买卖、子账户调整股票名称、数量或经被告人同意后赔偿客户损失等操作。
第五,顶新财经软件除为他人提供证券子账户的开立、交易、查询、结算等业务外,还能用于配资业务,上述业务均属于《证券法》规定的经营证券业务,相关业务均需获得国务院证券监督管理机构的批准方可实施,被告人还按一定比例获取非法经营的部分收益。
第六,被告人的软件提供的虚拟账户等功能还违反《证券法》的多项规定。一个母账户对应多个子账户及一个子账户对应多个母账户、多个子账户在一个母账户或一个子账户在多个母账户下单(在子母账户不同名的情况下)均违反《证券法》的规定,具有行政违法性和刑事危害性,存在规避主管部门监管、操纵证券市场的可能。
第七,被告人与何某公司并不是仅仅提供软件及修复软件故障的简单合作关系,而是作为何某公司的技术运维部门存在,较深层次地介入了何某公司的运营,是整个非法经营不可缺少的环节,所以构成了非法经营罪的共犯。另外,考虑到软件虽有融资等栏目,实际上并不能直接完成配资业务,相关实际配资仍需何某公司人员线下操作、被告人对非法经营总金额、子账户开立数量等掌控度一般,被告人在本案中可认定为从犯
三、以第三方身份提供软件服务应评价为帮信罪
(一)对无共谋的技术帮助行为应评价为帮信罪
判决书采用了片面共犯的理论——“(被告人)对业务单位将软件用于或可能用于配资炒股是心知肚明”,以“心知肚明”为由将软件提供者认定为共犯。张某为无证配资者提供技术帮助,如果双方不存在共谋,在帮信罪出台后,更宜评价为帮信罪,而不是认定非法经营罪的共犯。
第一,无共犯意思联络时,只存在讨论片面共犯的余地。
在软件提供者与使用者之间无共犯意思联络时,双方之间就不属于典型的共同犯罪。行为人之间无意思联络时,最多只能成立片面共犯。在帮信罪出台后,对片面共犯的技术帮助者,只宜评价为帮信罪。
具体而言:
一是片面共犯只是理论概念,《刑法》第25条明确规定“二人以上共同故意犯罪”才是共同犯罪,并未规定片面共犯(即明知他人在犯罪而单方提供帮助)成立共同犯罪。司法实践中,只有在故意杀人罪等严重暴力犯罪中,才会偶尔地肯定片面共犯属于共同犯罪。换言之,对法定犯、行政犯,不宜滥用片面共犯理论。
二是片面共犯对帮助者的故意强度要求高,需要对实行犯的行为过程有具体、明确的认知,而不是一般性的抽象、概括认识,至少需要达到直接故意的程度(如看到仇人被追杀而暗中帮助杀人犯)。换言之,对间接故意型片面共犯,不宜按照共犯处理。
三是网络空间的片面共犯,只能成立帮信罪。2015年《刑法修正案(九)》增设的“帮信罪”就是解决网络空间片面帮助、一对多帮助等共犯意思联络证明难题。如提供两卡的人,和诈骗犯没有意思联络,但又明知是在为他人诈骗提供帮助,就属于帮信罪。软件服务提供者属于“一对多”,这种技术帮助是最典型的帮信罪。本案被告人属于通过软件实现“一对多”的帮助者(还有其他人购买该软件服务),只宜认定为帮信罪。
第二,对多功能软件,开发者没有特别注意义务。
张某开发的软件不是单一功能的专门配资软件,而是一种可以用于多场景的资产管理软件,不是需要履行特别注意义务的软件。顶新财经是用途广泛的资产管理软件,可以用于股票、私募、国债等多个行业;主要功能是通过分仓实现量化交易,而不是配资。顶新财经还提供了打新、国债逆回购等功能,这些功能都是为机构和资深散户类型服务的,而非为配资服务的。此外,顶新财经还在交易客户端上提供了算法交易、多窗口交易等高级交易功能。该软件中的“融资金额”选项只能手动记录(由何某后台填写)配资金额,股民无法在该软件上直接操作、完成配资。退一步讲,即使甲开发专门配资软件,也不需要特别批准,因为在我国“配资”是一个中性词,场内配资是合法的,只有场外配资才是违法的。
即使使用软件者从事的是特许行业,只要特许经营行为没有公共危险性,提供软件服务的帮助者就无需审查经营者的资质。例如,虽然烟草是专营专卖,但是,房东把商铺租给售卖香烟的超市,无需审查经营者的烟草经营资质。同样,软件工程师为超市开发收费或管理系统,系统中有“软中华”“云烟”等香烟选项,即使超市无香烟经营许可证,软件提供者也不是共犯。
总之,向资产管理公司提供资产管理软件,没有任何法律规定提供者要履行特别注意和审核义务,张某无“应当知道”的注意义务,连过失都不存在,更遑论明知的故意。
第三,软件开发者按照交易量收取服务费,也不宜评价为参与何某违法经营的共犯行为。
张某提供软件服务与何某的非法经营,有明显的物理、空间和管理隔离。除了提供软件外,张某没有参与何某公司的任何经营行为,在提供软件服务过程中,张某员工只是通过微信群解决何某的技术问题,未参与何某公司的会议、人事、财务等任何经营。张某收取的软件使用费,也只是提供中立技术的市场收费,而非参与配资利息等赃款分配。
张某作为saas软件(即通过网络提供软件服务)开发者,按照交易流水收取软件使用费用,只是一种方便销售的市场推广行为。在实践中,一些软件为了推广、便于用户接受,也采用按照交易流水比例的收费方式,例如,电商领域经常使用的“聚水潭系统”,大量企业办公用的“亿方云管理系统”等,都是采用按照流量收费的模式。早期电信、移动公司,也采用了按照流量收费的模式;证券交易所也是采用按照交易量比例收费的模式。
按照交易流水比例收费的依据在于:交易量大则服务成本高。因为券商服务器总是不停升级,所以对应的接口程序也需要不断的改动和替换,人员维护成本比较高,而且交易量大对服务器性能也会造成压力,所以是按照交易量比例收费实质是按照服务成本收费。对于多数小公司开发的软件,其稳定性、便捷性有待客户检验,在第一次使用软件时,用户很难接受(如)每月5000元的固定收费模式,更愿意采用按照交易量比例收费模式。
总之,张某向何某提供顶新财经,犹如卖菜刀。何某可以用顶新财经做私募基金、股票代持等合法业务,也可能用于股票配资。如果张某明知何某只有杀人用途,才有讨论共犯的可能性(但会受到“中立帮助行为无罪”理论的抵制)。但是,何某买刀后有多种用途,就不能再认定张某为共犯。否则,租房给何某的房东、为其提供会计或审计服务的会计事务所、为其发布广告的网站等,都是共犯。
(二)向无证配资者提供软件服务不宜评价为共犯
对无证配资的帮助者,不宜采用“放任即明知”的标准按照间接故意将其评价为共犯。在一般人眼里配资就是借钱炒股,多数人对其无违法性认识。
第一,证券股票属于专业领域,如果不是特别研究,普通人对于平仓、配资等很多概念并不了解,很难认识到“配资需要资质”的法律要求。
在一般人眼里,“配资”就是向他人借钱炒股,和民间借贷并无实质区别。张某并非证券、法律领域专业人员,其长期从事计算机工作,很难了解配资的相关法律规定。
在张某提供软件服务的时间,跨越了国家对场外配资定性转变前后,即便其曾经从事过配资业务,也不能期待张某及时认识到配资的违法性。2015年股灾之前,场外配资大量存在且无违法性。2015年股灾之后,2015年12月证监会出台了《关于清理整顿违法从事证券业务活动的意见》,但主要强调的是实名制,而未确认场外配资的违法性。2019年9月《全国法院民商事审判工作会议纪要》(简称《九民纪要》)认定场外配资合同无效,但此时场外配资并未作为“非法经营证券业务”的非法经营罪。2020年3月施行的《证券法》第120条才正式规定“证券融资融券”需要“取得经营证券业务许可证”,自此才完成了场外配资成立非法经营罪的“专营许可性”。而张某提供软件服务的时间为2019年4月至2021年6月。换言之,在张某提供软件最初,场外配资不是典型的非法经营罪情形。
第二,场外配资并非一律非法,“个人借贷型”配资就是合法的。
“个人借贷型”配资即资方将钱直接借给股民,股民再用自己的账号炒股,这种配资只是普通的民间借贷、不违法,法院也会认定为普通民间借贷。实践中配资经常作为民事纠纷处理,如在2020年4月的“王洪涛诉赵哲訢场外股票配资合同纠纷”案中,郑州市中级人民法院认为:“《中华人民共和国证券法》中对于自然人之间借钱炒股并未作出禁止性规定,而《证券登记结算管理办法》《证券公司监督管理条例》《关于清理整顿违法从事证券业务活动的意见》属于部门规章,其规定并不具有否定合同有效性的效力,故该《股票合作协议》不违反《中华人民共和国合同法》第五十二条关于合同无效事由的规定,系当事人真实意思表示,应认定有效。”即使被告人张某认定到了何某在从事配资业务,也很难认识到其配资方式,如果何某只是撮合个人借贷型配资,只是民间借贷的中间人,即使收取中介费也不违法(但可能承担担保人责任)。
四、技术员没有法律人的注意义务
在涉嫌法定犯、行政犯时,法律不能要求软件提供者承担过高的注意义务。非法经营罪的特殊性在于,“非法(经营)”是规定在法条中的构成要素,技术帮助者要成立共犯,需要对“非法(经营)”这一构罪要素有明确认识。在何某没有配资资质(无证)时,不能简单地根据许某的软件服务情况推断其认识到经营者的“非法(经营)”性。
软件如菜刀。在我国,技术人员开发恶意、流氓、攻击等软件(如间谍软件、木马程序、撞库软件等),需要有特别注意义务,应询问需求方的用途与相关资质,以防止被用于犯罪。但是,在技术人员开发一般性交易软件时,如果不是恶意、流氓或攻击等特殊软件,无需任何政府部门审批,无需履行特别注意义务。
在数字经济高速发展的当下,法律应当为技术发展留下足够的空间。