查看原文
其他

【案例评析】姜金良、张丹丹 | 网络爬虫技术使用过界的刑法规制 —— 基于案例的一个视角

姜金良、张丹丹 互联网法治研究 2023-01-13

网络爬虫技术使用过界的刑法规制



——基于案例的一个视角


作者:江苏省扬州市中级人民法院 姜金良、张丹丹

[裁判要旨]网络爬虫技术爬取的数据必须是数据提供者公开的信息。网络爬虫技术使用合法性基础是数据提供者知情、同意,行为人未经授权,避开或突破系统保护措施使用网络爬虫技术非法获取普通用户计算机信息数据的,构成非法获取计算机信息系统数据罪。行为人销售捆绑非法爬虫软件程序的合法软件,行为人目的在于掩饰犯罪行为,合法软件实际上仅是犯罪工具。因此,销售获得的收入均应认定为违法所得,依法予以没收。

案号:(2019)苏1091刑初157号



【案情】


公诉机关:扬州经济技术开发区人民检察院。

被告人:马春雨、莫锡勇

扬州经济技术开发区人民法院经审理查明:2017年7月,被告人马春雨雇佣被告人莫锡勇一同开发“探索云盘搜索”网站,在被告人马春雨的策划和安排下,2018年1月份被告人莫锡勇将“探索云盘搜索”网站:http://tansuo233.com/开发完毕,2018年3月份又开发了“探索云盘搜索”插件与充值会员的功能,每个充值会员缴费后,可任意使用探索云盘搜索、自助下载、PDF转换三项功能。下载并使用“探索云盘搜索”插件的用户只要在这台电脑上登录百度网盘账户,该网盘内关于分享链接的地址和提取码会在用户不知情,且未经百度网站授权的情况下上传到tansuo233.com的服务器。2018年9月7日被告人马春雨、莫锡勇利用“探索云盘搜索”插件非法获取第一个信息,其以充值会员每人每月人民币7元、6个月人民币42元、一年人民币84元、永久使用人民币360元的价格在网络上销售该款软件牟利,自2018年9月7日起至2019年8月1日期间,两被告人共获取违法所得人民币70115元。经鉴定,在安装有“探索云盘搜索”插件的浏览器中登入百度网盘账户,进入“我的分享”时,插件程序会将已登录账户的所有分享链接的地址和提取码上传到服务器tansuo233.com。案发后,两被告人如实供述犯罪事实。



【审判】


扬州经济技术开发区人民检察院以提供非法控制计算机系统工具罪起诉指控被告人马春雨、莫锡勇。

扬州经济技术开发区人民法院经审理认为,被告人马春雨、莫锡勇违反《网络安全法》第二十七条“任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动”的规定,在用户不知情,且未经百度网站授权的情况下,利用“探索云盘搜索”的插件自动抓取用户存储于百度网盘的分享链接的地址和提取码,并将该信息收录于自己研发的网站上用于牟利,其犯罪数额已达情节特别严重,均已构成非法获取计算机信息系统数据罪。依据刑法第二百八十五条第二款、第二十五条第一款、第二十六条第一款、第四款,第六十七条第三款、第七十二条第一款、第三款,第七十三条第二款、第三款,第五十二条,第六十四条,最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下简称《解释》)第一条第二款第(一)项之规定,判决:一、被告人马春雨犯非法获取计算机信息系统数据罪,判处有期徒刑三年,缓刑四年,并处罚金人民币一万元;二、被告人莫锡勇犯非法获取计算机信息系统数据罪,判处有期徒刑三年,缓刑三年六个月,并处罚金人民币一万元。

一审宣判后,公诉机关未提出抗诉,被告人均未提出上诉,判决已经发生法律效力。




【评析】


为确保搜索功能的准确性、高效性,网络爬虫技术使用愈发普及。网络爬虫技术是一种自动提取网页的程序,它是按照指定规则提取所需的网页数据,并下载到本地形成互联网网页镜像备份的程序,其本质是一套实现高效下载计算机系统数据的系统。实践中,网络爬虫技术广泛运用于搜索引擎中,但其适用范围与法律边界却不甚明晰,作为新兴技术手段,法律的评价也不一致。因此以本案为例对网络爬虫使用过界的法律性质进行分析。

一、网络爬虫技术使用过界的违法性在于行为人未经授权,避开或突破系统保护措施使用网络爬虫技术获取计算机数据

网络爬虫技术对获取收集处理计算机信息系统数据具有重要意义。行为人未经当事人授权,避开或突破系统保护措施非法使用网络爬虫技术获取计算机数据的,属于违法行为,可能构成非法侵入计算机信息系统罪、非法获取计算机信息系统数据罪、非法控制计算机信息系统罪、提供侵入、非法控制计算机信息系统程序、工具罪以及破坏计算机信息系统罪。

1.网络爬虫技术运用原理

在传统搜索引擎中,网络爬虫技术自动抓取互联网上第三方网站网页数据后,将抓取到的网页进行备份、建立索引,储存到自己的服务器缓存在资料库里,供使用者浏览使用。目前,除了传统搜索引擎外,百度、谷歌等专门提供网络搜索服务引擎与今日头条、网易新闻等聚合媒体、数据信息平台也是网络爬虫技术的主要使用方。搜索服务器主要通过网络爬虫技术将互联网上发布的信息进行收集汇总,再根据用户输入的关键词选出匹配内容信息向用户推送。信息平台通过网络爬虫,将互联网各个角落收集来的信息汇总后再进行分类、排序,梳理出热点新闻,实现及时、动态更新推送。总之,在新兴网络服务器中,网络爬虫技术通过下载网页数据,为搜索引擎系统提供数据来源,再进行数据的过滤、解析,相比传统搜索引擎更具有准确性。

本案中,被告人马春雨雇佣被告人莫锡勇共同开发“探索云盘搜索”的插件,可以在使用过程中将用户以及其搜索到的信息数据地址和提取码一并上传到指定服务器上。该插件实质上是一个运用网络爬虫技术将用户发布的在网络上的信息进行收集汇总的工具,属于网络爬虫技术使用插件。

2.网络爬虫技术使用过界的类型及对应罪名

从互联网行业规则上看,为维护互联网秩序,《中华人民共和国网络安全法》(以下简称《网络安全法》)第二十七条规定,任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动。针对网络爬虫技术,中国互联网协会制定的《互联网搜索引擎服务自律公约》(以下简称《公约》)第七条专门规定,互联网从业单位应该严格遵守机器人协议(Robots协议),即网络爬虫领域规范爬虫行为的行业规则:数据提供者可以在自己的站点设置机器人协议,以告知爬虫控制者哪些数据是提供者不希望被爬取的,或者通过一定技术对信息设置保护措施。采取技术保护措施后爬虫控制者就无法顺利爬取相关数据,或所爬取的数据需要经过解密才能使用。可以说,能够被网络爬虫爬取、使用的数据是数据提供者愿意公开的数据。再者,从数据权属上看,基于对计算机信息系统的信任,数据提供者将个人信息数据上传至互联网储存、使用。该信息数据反映数据提供者自身情况,其所有权属于数据提供者。数据提供者将数据上传至互联网平台后,互联网平台对相关数据没有所有权,更没有处置权,其必须尊重数据提供者意愿妥善履行管理义务和隐私保护责任,通过一定技术手段对数据进行保护。只有在秉持尊重数据提供者意愿的原则基础上,才能进行数据开放共享,从而实现数据价值的最大化。因此,无论是从网络从业规则还是从数据提供方来说,网络爬虫技术的使用必须以数据提供者知情同意为基础,爬取的数据是获得数据提供者授权的不违反系统保护规定的,数据提供者愿意被爬取、被公开的数据。反之,违背数据提供者意愿,未经相关授权,避开或突破系统保护措施使用网络爬虫技术获取数据的行为,属于网络爬虫技术过界使用行为,其不仅违反《网络安全法》《公约》规定,也侵犯数据提供者的隐私权,造成了被访问网站受干扰或用户数据受泄露的实际后果,侵犯了计算机信息系统安全与数据安全的保密性与私密性,具有实质违法性,属于非法行为。

从犯罪类型上说,违背数据提供者意愿爬取数据的非法行为可以分为三类。一是在技术手段上,网络爬虫技术可以规避网站设置的反爬虫措施,或强行突破网站的反爬保护措施。这种违法行为在我国刑法中对应的罪名分别是:未经授权侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的属于刑法第两百八十五条规定的非法侵入计算机信息系统罪;未经授权侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统,获取数据或对控制计算机系统的属于刑法第两百八十五条之二规定的非法获取计算机信息系统数据、非法控制计算机信息系统罪;入侵非特殊领域的计算机信息系统,违反国家规定,对计算机信息系统功能进行删除、修改、增加和干扰,造成计算机信息系统不能正常运行,后果严重的行为,构成刑法第两百八十六条规定的破坏计算机信息系统罪。二是在抓取对象上,爬取者抓取到的数据是受法律保护的特定类型的数据。违反法律规定爬取未经公开的数据,可根据数据的法律属性进行区分计算机信息系统数据,具有个人身份信息的数据,涉及非法获取计算机信息系统数据罪与非法获取公民个人信息罪,此时属于法律竞合。三是在网络空间犯罪中帮助行为上,设计网络爬虫程序软件,专门用于侵入、非法控制计算机信息系统的,或者明知他人实施上述行为而为其提供具有网络爬虫技术的软件,构成刑法第两百八十五条之三提供侵入、非法控制计算机信息系统程序、工具罪。

二、通过网络爬虫技术非法获取用户计算机系统数据的应认定为非法获取计算机信息系统数据罪

本案中,被告人马春雨雇佣被告人莫锡勇开发的“探索云盘搜索”插件在用户登录百度网盘账户,进入“我的分享”时,可以避开百度网盘安全保护措施,将该网盘内分享链接的地址和提取码在用户不知情,且未经百度网站授权的情况下上传到tansuo233.com的服务器。该插件未经授权,突破网络平台保护措施,使用网络爬虫技术获取用户不愿意公开或分享的数据,并将该数据在网络中传播,造成对用户隐私权的侵害,属于网络爬虫技术过界使用、非法使用,具有使用手段违法性与获取对象违法性。按照行为性质、行为对象的性质认定为非法获取计算机信息系统数据罪,具有法律依据。

1.越权爬取行为是避开或者突破计算机信息系统安全保护措施的行为,属于侵入行为

非法获取计算机信息系统数据罪的客观方面在于行为人违反国家规定,实施侵入国家事务、国防建设、尖端科学技术领域以外的普通计算机信息系统,或者采用其他技术手段,从而获取这些计算机信息系统中存储、处理或者传输的数据的行为,并且情节严重。该罪的主要犯罪行为是“侵入”。虽然《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下简称《解释》)并没有对“侵入”作出解释,但《解释》第二条规定具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据的功能的或对计算机信息系统实施控制的功能的程序、工具属于“专门用于侵入、非法控制计算机信息系统的程序、工具”。根据这一规定,“侵入”应为未经授权或者他人同意,通过技术手段避开或者突破计算机信息系统安全保护措施进入计算机信息系统,达到窃取他人在计算机系统存储、处理和传输的数据的目的。

本案中,被告人马春雨、莫锡勇通过共同研发的“探索云盘搜索”插件在用户登录百度网盘账户,进入“我的分享”时,可以避开百度网盘的安全保护措施,在未经授权或者他人同意的情况下,进入被告人百度网盘,爬取数据并使用,其行为可以认定为非法获取计算机信息系统数据罪中的“侵入”。

2.百度网盘属于刑法中计算机信息系统

在网络犯罪中,刑法第二百八十五条、二百八十六条规定了侵入的对象是“计算机信息系统”“计算机系统”。虽然表示不同,但《解释》第十一条规定,“计算机信息系统”“计算机系统”是指具有自动处理数据功能的系统,包括计算机、网络设备、通信设备、自动化控制设备等。可见,“计算机信息系统”“计算机系统”认定的关键在于功能性判断,即只要能够具有自动处理数据功能的系统,都可能认定为刑法中的计算机信息系统,既包括传统意义上的计算机系统,也包括具备自动处理数据功能的系统,如可以通过无线网络获取数据的手机、内置程序可以获取相关数据的打印机或传真机等。任何内置有操作系统的智能化设备,不论是电脑系统、互联网系统还是智能手机系统,都应该被纳入刑法保护范畴,都可以成为网络犯罪的对象。最高人民法院第34号指导性案件李骏杰等破坏计算机信息系统案对行为人对购物网站内部评价系统中的购物评价进行删改属于对计算机信息系统内存储数据进行修改操作。因此网站系统也属于刑法上计算机信息系统。

本案中,被告人马春雨、莫锡勇通过插件获取被害人百度网盘中的资料。百度网盘是百度推出的一项云存储服务,其主要功能在于用户可以将自己的文件上传到网盘上,实现跨终端随时随地查看和分享的目的,其本质在于对用户信息数据进行存储,并依据用户意愿进行处理。显然,百度网盘的主要功能在于存储文件,这也是对数据进行处理的功能,属于刑法中的计算机信息系统。因此,被告人马春雨、莫锡勇侵入对象百度网盘属于刑法中计算机信息系统。

3.非法爬取百度网盘内文件行为属于非法获取计算机信息系统数据

行为人违背数据提供者意愿,未经相关授权,避开或突破系统保护措施的情况下使用网络爬虫技术获取数据的行为,不仅违反《网络安全法》规定,也侵犯数据提供者隐私权,损害计算机信息系统安全,属于网络爬虫技术使用过界行为。根据网络爬虫技术使用原理,网络爬虫技术使用的对象是互联网上已经发布的,与计算机信息系统相关联的数据。而在计算机科学中,所有能够输入到计算机并被计算机程序处理的符号的介质用于输入电子计算机进行处理,具有一定意义的数字、字母、符号和模拟量均属于计算机数据。计算机信息系统中可以复制、显现的,文本、图形、图像、动画、音频及视频等多种媒体信息都属于计算机信息系统数据。

因此,本案中,百度网盘属于刑法中的计算机信息系统,其中存储的文件是有一系列计算机信息系统数据组合而成的,其本质仍属于计算机信息系统数据。被告人马春雨、莫锡勇在用户不知情,且未经百度网站授权的情况下,避开百度网盘安全保护措施利用具有网络爬虫技术的“探索云盘搜索”插件自动抓取用户存储于百度网盘的地址和提取码,在将该数据收录复制泄露在网络上。两被告人利用网络爬虫技术非法获取被害人百度网盘内文件行为属于非法获取计算机信息系统数据行为。

4.购买人不具有违法使用的故意时,程序、工具提供者不构成提供侵入、非法控制计算机信息系统的程序、工具罪

网络爬虫技术使用过界除了可能构成非法获取计算机信息系统数据罪外,还可能构成提供侵入、非法控制计算机信息系统程序、工具罪。其中非法获取计算机信息系统数据罪的本质在于数据获取的非法性,非法获取数据的主体是该罪的惩罚对象。提供侵入、非法控制计算机信息系统程序、工具罪的本质在于提供程序、工具的违法性,提供非法程序、工具供他人实施非法控制计算机信息系统等违法犯罪行为的主体是该罪的惩罚对象,其中“提供”指向他人供给,既包括出于营利目的的有偿供给,也包括不以营利为目的的免费供给。该罪的犯罪对象是实施违法犯罪行为的个人或单位,即为实施违法犯罪行为的个人或单位提供帮助或创造条件,是网络空间犯罪中帮助行为。因此,只有购买人具有违法使用的故意并实施了相关违法犯罪行为,提供者实质上起到了帮助作用,提供者才能构成提供侵入、非法控制计算机信息系统程序、工具罪。

本案中,被告人马春雨、莫锡勇共同研发的“探索云盘搜索”插件可以在用户不知情,且未经百度网站授权的情况下,通过避开百度网盘安全保护措施自动抓取用户存储于百度网盘数据。购买下载使用“探索云盘搜索”插件的用户,对该插件能自动爬取数据的功能并不知晓也未使用,也未利用该插件实行非法控制他人计算机信息系统等违法犯罪行为,不具有违法使用的故意。因此被告人马春雨、莫锡勇的行为不属于为违法犯罪行为提供信息、工具的帮助行为,不构成提供侵入、非法控制计算机信息系统程序、工具罪。检察机关指控的罪名不能成立。

三、非法获取计算机信息系统数据罪中的违法所得是指全部犯罪所得

违法所得通常指通过实施犯罪直接或者间接产生、获得的任何财产,或转变、转化后的财产以及收益。《解释》第一条规定,非法获取计算机信息系统数据或者非法控制计算机信息系统,具有下列情形之一的,应当认定为刑法第二百八十五条第二款规定的“情节严重”:(四)违法所得五千元以上或者造成经济损失一万元以上的。该规定将违法所得5000元以上作为认定非法获得计算机信息系统数据情节严重的标准,主要基于实践中危害计算机信息系统安全犯罪猖獗和泛滥的深层次原因在于该类犯罪形成了环环相扣的利益链条,且非法获取计算机信息系统数据行为主要目的在于牟利,且容易给数据所有者造成经济损失。在非法获取计算机信息系统数据罪中,违法所得越多,意味着犯罪行为人获得的数据越多,越能反映非法获取计算机信息系统数据行为规模、获取条数、持续时间以及后续提供非法获得数据的规模。

在搜索服务器、信息平台中非法获得数据的行为中,信息数据由获取者统一管理使用,搜索服务器、信息平台使用者支付的金额即为非法获取计算机信息系统数据行为的违法所得。虽然在行为人使用插件获取数据中,可能涉及合法与非法两种形式,一部分数据是使用者通过搜索服务器、信息平台传输分享的,属于使用者愿意分享、公开的数据;另一部分可能是使用者仅借助信息平台储存使用的,不愿意分享、公开的数据。因此有观点认为可能通过合法渠道获取的属于使用者愿意分享、公开的信息数据所产生的费用应当从犯罪数额中扣除。然而,这一观点忽略了网络犯罪的特殊性。行为人将形式合法软件作为犯罪工具,以掩盖使用非法功能的犯罪行为。通过将捆绑着网络爬虫技术插件的形式合法的软件进行传播,该形式上合法的软件获得的犯罪所得都属于非法获取计算机信息系统数据罪中的违法所得。

本案中,被告人马春雨、莫锡勇开发了“探索云盘搜索”软件与插件,并开发了充值会员服务。用户下载插件之后,普通用户每天只能搜索3次资源,如果充值成为会员,可以一天使用搜索、查看、下载的功能200次。7元使用1个月,42元使用6个月,84元使用1年,360元永久使用,充值会员每天可以查看200个资料。虽然“探索云盘搜索”软件的收费服务包括三项:探索云盘搜索、自助下载、PDF转换,但该软件的主要功能是“探索云盘搜索”插件的搜索功能。“探索云盘搜索”软件仅为犯罪工具,“探索云盘搜索”插件的使用才是犯罪目的。该插件在未经网站以及数据提供者授权情况下,避开百度网盘保护措施非法获取普通用户计算机信息数据。被告人马春雨、莫锡勇利用“探索云盘搜索”的插件非法获得的70115元会员费都应认定为违法所得。



编者按:本文由江苏省扬州市中级人民法院姜金良、张丹丹撰写,由互联网法治研究院(杭州)专职研究员、华东政法大学博士研究生王苑审校,互联网法治研究院(杭州)秘书处徐静赛编辑。



互联网法治研究院 原创发布


往期精选

【征稿启事】《互联网法治前沿》征稿啦,诚邀您投稿!

【征稿启事】“互联网法治研究”“数据法律资讯”公众号联合征稿

【前沿思考】刘秀丽 | 数字化疫情防控与个人信息保护的平衡

专注“互联网法治”研究👉



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存