编者按：

很多读者对第四期数据保护官沙龙讨论的网络爬虫非常感兴趣【第四期数据保护官沙龙纪实：网络爬虫的法律规制】，感觉意犹未尽并希望能获得更多的信息，恰好南都的记者刚刚就本次沙龙发表了一篇综述。贴出来供大家参考。

正文：

9月26日，第四期数据保护官（DPO）沙龙在搜狐媒体大厦举办，主题为“网络爬虫的法律规制”。搜狐法律中心高级经理马晓明认为，对于爬取数据，国内法律更倾向于保护经营者的权利，认为经营者基于自己的运营行为而获得的数据信息属于核心的商业资产，受到法律保护。

爬虫有“君子约定”限制，但企业间仍纠纷不断

所谓网络爬虫，新浪微博软件工程师刑瑞明认为，网络爬虫是按照一定的规则，自动从互联网上提取网络信息的程序或脚本。

当下，从我国信息技术应用产业的实际业务来看，利用爬虫软件等各种技术手段爬取互联网数据的行为广泛存在，在技术上属于常见的信息获取场景。

虽然爬虫在技术上常见，但道德上，爬虫有一个“君子约定”限制。马晓明指出，此约定即Robots协议，又称爬虫协议、机器人协议，全称是“网络爬虫排除标准”。据了解，Robots协议由一位荷兰籍网络工程师提出，它放在网站中。网站通过Robots协议告诉搜索引擎哪些页面可以抓取，哪些页面不能抓取。Robots协议是一个未经标准组织备案的非官方标准，也不属于任何商业组织，对企业来说，相当于一个“君子约定”，它不能避免企业的数据免遭爬取，也不能成为市场竞争维护垄断的工具。

据隐私护卫队了解，近年来，企业之间通过数据爬取引发的对于数据权益争夺的各种案件层出不穷。比如，新浪诉脉脉抓取新浪微博用户信息案；实时公交查询软件“酷米客”状告同类产品“车来了”盗取后台数据一案，最终判定“车来了”创始人兼CEO邵凌霜犯非法窃取计算机信息系统数据罪，罚金10万元，判处有期徒刑三年、缓期四年执行；涉案公司也被认定具有不正当竞争行为，赔偿原告经济损失50万元。

“我国法律更倾向于保护经营者的权利，认为经营者基于自己的运营行为而获得的数据信息属于核心的商业资产，受到法律保护。”马晓明说，这是她研究国内案例总结出的观点，而国外相反，比如美国更倾向于数据的再利用和信息技术的发展，“从HiQ Labs 诉领英(LinkedIn)的裁定结果就可以看出来。”

为保护自身数据不被爬取，很多企业都设置了反爬虫策略。那么，爬虫获取数据，究竟会给企业带来哪些问题，腾讯数据隐私合规专家赵冉冉认为，爬虫最核心的问题是两个企业之间的商业利益纠纷问题，主要体现在以下方面：爬取方频繁的访问，对被爬取方的服务器造成压力；爬虫会破坏网站或app运营的方式和逻辑，侵害其未来的价值；爬虫可能会让企业的一些盈利模式不能再继续下去，比如电商的竞价排名等。

爬虫遇上法律，可能触犯多种罪行

当爬虫遇到法律，可能会发生什么？DPO社群成员田申对此作出解答。他认为，网络爬虫涉及的法律问题可从信息层、策略层、数据层进行分析。在信息层，当抓取到具有著作权、个人信息等内容时，可能侵犯知识产权、人格权等法律法规；在策略层，当爬虫技术涉及突破、绕开反爬虫策略、协议时，可能犯有提供侵入非法控制计算机信息系统程序工具罪或破坏计算机信息系统罪；在数据层，当爬虫活动的关联行为涉及破解客户端、加密算法等，可能犯有非法获取计算机信息系统数据罪等。

在解答的过程中，田申着重强调到：“根据他以往的从业经历来看，没想到非法获取计算机信息系统数据罪对行业产生那么大的影响。”

非法获取计算机信息系统数据罪是指违反国家规定如网安法、电信条例等，侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统或采用其他技术手段获取该计算机信息系统中存储、处理或传输的数据。该罪情节严重情况的情景包括违法所得超过5000元、造成经济损失超过1万等。

然而，对于计算机信息系统的边界问题，与会的多位DPO社群成员表示，以前，计算机信息系统只是服务器，而如今，边界在哪里并不好判断，比如app 等客户端是否包含在内等。

如何规范？不爬取商业秘密、企业内部系统数据等

如何规范数据爬取行为？与会的DPO社群成员给出了不同建议。

DPO社群成员刘笑岑建议，可以从以下方面注意。首先要识别数据性质，是公开数据、半公开数据还是内部系统数据，对于内部系统数据，严格禁止侵入；爬取数据时避免获取个人信息、明确的著作权作品、商业秘密等；限定数据的应用场景，不得不劳而获“搭便车”地利用他人数据，侵害他人的商业利益和竞争秩序等。

对于被爬取方，马晓明建议，企业可设置完善的Robots协议，并在用户协议中明确“为用户提供的是正常的访问服务，禁止用户实施以商业为目的的数据爬取行为”，同时，对于不希望被爬取的内容，企业可增加相应的技术保护措施，准备合理的理由（如商业密码、著作权等）等方法。

在会议上，DPO沙龙成员在研讨中碰撞出非常精彩的观点。我们特整理如下，供各界批评指正：

关于DPO沙龙活动的有关情况，请见：

DPO社群成果

1. 印度《2018个人数据保护法（草案）》全文翻译（中英对照版）（DPO沙龙出品）

2. 巴西《通用数据保护法》全文中文翻译（DPO沙龙出品）

   
   

线下沙龙实录见：

1. 数据保护官（DPO）沙龙第一期纪实
   

2. 第二期数据保护官沙龙纪实：个人信息安全影响评估指南
   

3. 第三期数据保护官沙龙纪实：数据出境安全评估

线上沙龙见：

1. DPO社群对数据堂事件的精彩点评

2. DPO社群线上讨论第二期：“出售 & 提供” 个人信息之法律与实务对话

3. 用户授权第三方获取自己在平台的数据，可以吗？不可以吗？（DPO沙龙线上讨论第三期）

4. 第四期数据保护官沙龙纪实：网络爬虫的法律规制

时评见：

1. 数据安全事件时评第一期

2. 数据安全事件时评第二期

3. 【时事五】微软、Facebook、谷歌和Twitter联合推出数据迁移项目：数据可移植性的开源计划

4. 【时事六】 星巴克、阿里巴巴牵手“新零售”之数据合规深度评论

5. 【时事七】美国通过《NIST小企业网络安全法》

6. 【时事八】国际数据流动：欧盟委员会启动对日本的充分性决定流程
   

DPO社群成员观点

1. 个人信息委托处理是否需要个人授权？（DPO社群成员观点）
   

2. 企业如何告知与保护用户的个人信息主体权利（DPO社群成员观点）

3. GDPR“首张”执行通知盯上AlQ公司的前期后后（DPO社群成员观点）