網絡爬蟲技術在刑事合規視閾下的風險預防

□曾 磊,鄧佳燕

(甘肅政法大學,甘肅 蘭州 730070)

一、問題的提出

數據被視作數字經濟時代的“新石油”,逐漸成為企業核心競爭力的重要組成部分。企業想要發展離不開數據信息的搜集整合,而網絡爬蟲技術能幫助企業高效率抓取特定數據,提高數據分析能力,因而備受企業青睞并得到廣泛應用。網絡爬蟲本身是一種中立技術,但是一旦被行為人惡意使用,極易僭越法律底線,進而侵犯數據隱私、個人信息、知識產權等法益,從而使企業面臨刑法規制的風險。例如,爬蟲入刑第一案(1)參見:(2017)粵 0305 刑初 153 號。中的上海晟品網絡科技有限公司因惡意使用爬蟲技術涉嫌非法獲取計算機信息系統數據罪,被處罰金20萬數元,涉案成員也均被判處有期徒刑。然而,目前我國司法實踐中對該技術的規制呈現出技術司法評價混亂的現狀以及規制出罪路徑缺位間接導致司法評價的擴大化傾向。在這樣的司法導向下,作為網絡爬蟲技術使用主體的企業成為了犯罪“重災區“,而企業作為一個組織體,一旦遭受嚴厲的刑罰處罰,極易造成“垮掉一個企業,失業一批職工”的社會負面連鎖效應。后疫情時代,國家鼓勵民營經濟發展,這對打擊網絡爬蟲犯罪提出了更為嚴格的要求。

新時代以來,全球企業合規尤其是刑事合規的發展在我國呈現深度發展的趨勢,國家不斷擴大合規試點城市,各個省市相繼取得了豐碩的合規成果。[1]該制度意在將企業經營中違法犯罪的風險消解于最前端的同時激勵涉案企業完成合規整改實現刑罰減免,跳出傳統刑法以懲罰性打擊犯罪為主的單一規制桎梏,轉而以風險預防為主,對打破現有網絡爬蟲規制困局有著重要意義。故此,企業有必要引入刑事合規制度,制定切實可行的爬蟲技術專項刑事合規方案,真正防范和抵御企業在爬蟲技術應用過程中的各種法律風險,提高企業的抗風險能力和市場競爭力,助力企業行穩致遠。

二、網絡爬蟲技術的刑事規制現狀及困境

(一)技術的刑事規制現狀

網絡爬蟲技術本身是價值中立的,但是圍繞技術的不當使用行為是存在法律風險的 ,無論是被稱為“爬蟲入刑第一案”的上海晟品網絡科技有限公司非法獲取計算機信息系統數據案,亦或是全國首例短視頻爬蟲案,都表明網絡爬蟲行為是具備刑事違法性的。針對爬蟲技術犯罪行為,我國司法實務中往往通過界定技術行為刑法層面的善惡邊界來判定入罪與否。而關于技術的善惡界定,理論界和司法實務中都存在不同的觀點,大致可以歸類為以下兩種:

第一,以Robots協議為主的技術性界定方式。所謂技術性界定方式是指從網絡爬蟲技術工具本身出發尋求區分技術善惡的方法。具體而言,法院常以爬蟲行為有沒有違反網站管理者設置的robot.txt文本這一標準來判斷違法與否。另外,該類界定方式標準還包括爬蟲技術是否繞過或者突破“反爬蟲”技術措施壁壘等,這一點類似于美國的撤銷范式。[2]全國首例短視頻爬蟲案件中的裁判理據便屬于這一類,其中所涉及的短視頻軟件因具備突破反爬措施的技術功能而被認定為違法。該類善惡界定方式在司法實踐中被大多數法院所采用,不過理論界對此卻存在諸多質疑和爭議。有學者[3]就指出全國首例“爬蟲”入刑案中存在以技術判斷主導定罪的刑法擴大化適用嫌疑。

第二,依據場景化的利益衡量原則進行違法界定。[4]場景化利益衡量原則與技術性界定不同,該原則主張淡化爬蟲技術本身的評價,側重于綜合考量網絡爬蟲技術帶來的權益侵害是否為各部門法所關注。例如,在奇虎訴百度Robots協議不正當競爭案(2)參見:(2017)京民終487號。中,最高人民法院最終在認定被訴行為否構成不正當競爭行為的時候就適用了該原則,考量了爬蟲技術的損害后果以及是否違反了誠實信用原則和公認的商業道德等綜合利益因素。刑法的任務是保護法益,將利益衡量原則介入爬蟲技術的規制能夠一定程度確保社會有益性的實現。不過依然有部分學者對此種界定方式持反對意見,他們認為籠統的利益衡量原則無法真正在個案中進行衡量,歸根結底該原則中的善惡邊界取決于爬蟲行為帶來的結果這一不可控因素,這顯然容易導致法律適用的不平等。

(二)技術的刑事規制困境

首先,技術司法評價混亂。其一,網絡爬蟲行為善惡界限模糊。目前司法實踐中惡意網絡爬蟲行為的界定標準為是否未經授權或者超越權限,而是否未經授權或者超越權限的認定方法還未實現統一。有的法院采取以Robots協議為主的技術性界定方式;有的法院則采用場景化的利益衡量原則進行違法界定。這就導致了類似的案件可能會產生不同的評價結果,進而導致法律適用的不平等。另外利益衡量原則本身也是一個籠統的界定標準,因為針對網絡爬蟲技術保護法益無法確定,所以即使是都采取該類界定標準也容易出現同案不同判的現象。例如個人利用搶票軟件“加密狗”進行高價倒買倒賣的行為被定性為犯罪,而“攜程”等單位利用爬蟲技術進行搶票的企業卻因其商業用途而免于牢獄之災。其二,網絡爬蟲行為善惡界定方式不當。不論是技術性界定方法還是利益衡量原則界定方式都存在評價弊端。前者將數據控制者的授權視為善惡的決定性因素,忽視了控制者借此進行不正當競爭和惡意壟斷的可能性。后者對爬蟲技術行為的法益進行強調,雖然規避了上述問題,但是將原則作為指導準則終究是模糊不清的,極易導致司法評價不一。其三,網絡爬蟲技術犯罪評價缺乏刑事責任層次。[5]在全國首例短視頻網絡爬蟲案件中,法官提出“網絡爬蟲”是一種中立性數據抓取技術,但是由于本案被告人售賣的軟件采取了避開或者突破計算機信息系統的安全保護措施,在未經許可的情況下貿然進入被害人單位的計算機系統,因此構成犯罪。然而,司法實踐中并沒有對網絡爬蟲技術的技術特性予以強調,這也就導致了刑事責任的無差別化。比如說違反Robots協議條款非法抓取數據的行為人主觀故意較弱,繞開反爬取技術壁壘的行為人主觀故意較強,在對行為人定罪量刑的時候是應當予以考慮的,然而司法實踐中并沒有對此進行明確的層次劃分。

第二,司法評價的擴大化傾向。在對新技術進行規制時,刑法往往以處罰為慣性。在全國首例“爬蟲”入刑案中,法院將爬取信息內容公開且處于公眾可訪問狀態數據的行為,認定為非法獲取計算機信息系統數據罪,就存在以技術判斷主導定罪的刑法擴大化適用嫌疑,這不僅有違法秩序統一原理,而且還會阻礙數據資源的最大化利用,不宜作為“現代信息技術的國家治理體系和治理能力現代化”的刑事司法導向。[6]具體而言,一方面,后疫情時代,中小型民營企業生存更顯費力,在弱肉強食的大市場里站穩腳跟已然不易,如果再因為一起案件遭受刑罰,容易導致“辦理一起案件,垮掉一個企業,失業一批員工”的社會負面連鎖反應,這與我國保護民營企業發展的政策嚴重不匹配。另一方面,數據流通產生驅動力,驅動力帶來價值。數據作為網絡時代重要的生產要素,各個企業都在積極參與數據競爭,尤其互聯網企業更是如此。不過并非所有的企業都有能力自己生產數據,通常新興的互聯網企業都需要通過爬蟲技術這樣的工具來獲取數據以提高競爭力,如果一味通過傳統刑罰手段打擊技術使用過程的不當行為,不僅會很大程度限制數據流通,迫使數據要素價值難以得到充分釋放,而且也會進一步拉大企業之間的資源差距,不利于市場均衡發展。

三、刑事合規引入網絡爬蟲法律規制的法理證成

傳統認為,打擊犯罪是國家的任務,國家依靠刑事手段來達到控制犯罪的目的。然而在風險社會的背景下,單一的刑事“大棒”政策已經無法實現國家對單位網絡犯罪的有效控制。對此,國家不妨推動網絡犯罪管理“義務下沉”,鼓勵企業進行自我監管。一般來說,就如何通過刑事法推動企業實施自我管理,目前存在兩種制度構建路徑:一是通過量刑激勵的方式推動企業實施合規管理;二是通過立法賦予企業以及相關責任人員刑事合規義務。事實上,美國選擇了前一路徑,《美國聯邦量刑指南》明確規定:如果企業建立了有效的合規系統,那么可以減輕其刑罰,減輕幅度最高可達95%。(3)See.U.S.Sentencing Guideline Manual(2018),§8,C2.6.后一路徑則主要體現在我國的前置法規的內控要求中,例如《網絡安全法》第21條明確規定了服務商的合規管理義務。但是目前我國相關前置法規大多屬于行政法,即使將其規定于刑法中,相比于對個體施壓,通過量刑激勵“倒逼”整個企業實施合規管理顯然更有威懾力。

(一)刑事合規制度的緣起及其法理釋義

“合規”一詞源于英美法系,意為遵守法律、標準與指令。事實上,在公司產生之初,美國就發現在這樣的組織形式中壟斷可以合法化存在,為加強企業監管,政府開始著手構建旨在加強行業監管和自我監管的企業合規措施。直到20世紀80年代,美國發生了國防工業舞弊案,政府為鼓勵企業自我揭弊嘗試將合規計劃作為定罪量刑的考量因素,企業合規逐漸有了刑事法色彩。從“合規”一詞字面意思簡單理解,刑事合規即要求企業遵守國家刑事法律法規。的確,從企業角度來看,刑事合規旨在設定一系列的合規規則來規避和及時發現企業中存在的犯罪風險。不過,如果僅僅從企業層面理解刑事合規的概念的話,它與企業合規的概念沒有任何區別,僅僅是倡導單一的企業自我管理。事實上,企業合規和刑事合規是有所區分的,刑事合規之所以在刑法界引起關注和討論,關鍵在于刑事合規與國家層面的起訴、定罪、量刑掛鉤,該制度更多地強調企業自我管理與國家規制理念的融合。因此,刑事合規制度被定義為國家以起訴、定罪或量刑等外部激勵方式推動企業建構可以有效預防、發現違法犯罪行為等內部控制機制的法制度工具。[7]其中德國西門子公司合規事件就是該制度適用的典型案例,在因涉嫌商業賄賂而受到德國慕尼黑檢察機關的調查后,西門子公司主動向美國司法部和證券交易委員會報告了自己的跨國行賄行為,并聘請了專業律師進行了長達兩年的內部獨立調查。最后,西門子公司與美國、德國政府達成和解協議,免于刑事處罰。

(二)刑事合規引入的必要性:打破規制困局

基于上述困境,傳統刑法對網絡爬蟲行為的規制似乎陷入了困局。一方面,網絡爬蟲技術犯罪社會危害性大,不僅對數據安全本身造成了嚴重侵害,而且在企業數字化轉型的時代背景下,爬蟲技術犯罪正在逐漸加劇企業間的不正當競爭,加之該犯罪的高發態勢以及互聯網的倍增效應,國家的確需要刑罰這樣的嚴厲手段才足以對相關犯罪達到威懾力度。而另一方面,民營經濟作為推進中國式現代化的生力軍、高質量發展的重要基礎,國家一直高度重視企業發展,中共中央、國務院在今年7月14日發布的《關于促進民營經濟發展壯大的意見》進一步明確了國家對民營企業的支持和鼓勵。在這樣的大背景下,一慣采取傳統刑法制裁新興技術引發的犯罪,又將與國家鼓勵民營企業發展的政策背道而馳。另外目前司法實務中對該技術的司法評價還呈混亂和擴大化傾向,進一步加劇了這種矛盾,傳統刑法對此情況的治理更加局限。刑事合規作為一種立足于傳統刑法框架下的企業風險預防制度,意在將企業經營中違法犯罪的風險消解于最前端的同時激勵涉案企業完成合規整改實現刑罰減免,一改傳統刑法中為報應和譴責而懲罰的特性,轉變為為了預防風險而威懾的風格,[8]無疑是對現有爬蟲技術刑事規制司法導向的一次糾偏。

(三)刑事合規引入的正當性:風險社會的應然要求

首先,刑事合規制度契合了法人責任的本質,構建了法人責任的出罪路徑。我國單位刑事責任歸屬原則經歷了從傳統向現代的轉變。傳統罪責理論主張公司罪責的從屬性,即以自然人責任為基礎,公司責任僅為代位責任?，F代社會,我國刑法已明文規定了單位犯罪,獨立追究單位犯罪刑事責任幾無爭議。不過在責任歸屬原理上學術界還存在不同的觀點,例如人格化社會系統責任論和組織體責任論。人格化社會系統責任論[9]是單位自身犯罪論的開先河之論,其主張法人是人格化的社會系統,具有獨立的單位整體意志和行為;另外有學者[10]主張從傳統單位刑事責任和組織責任論的視角綜合考慮單位犯罪的主觀要件,即在確定作為單位化身的代表具有犯罪故意同時從企業自身的組織結構、規章、政策、宗旨、文化等企業自身特征來判斷企業刑事責任。上述理論雖然側重點不同,但是都已經擺脫了早期以單位成員責任論證單位責任的模式,轉而將重心放在了單位本身。對此,更有學者[11]主張“以責任一體化為目標,使公司刑事責任等構于自然人刑事責任”為未來企業刑事責任歸責新方向。上述學說觀點的共同點都是尊重法人責任,從組織體自身尋找責任依據,而刑事合規制度正是建立在這種認知基礎上的產物。

在單位能夠作為獨立于其負責人的責任主體地位的基礎上,網絡爬蟲技術刑事合規管理順應了風險社會的刑法變遷。風險社會一詞源于德國社會學家烏爾里?！へ惪说摹讹L險社會》,意指后工業社會在創造財富的同時也蘊含著巨大的風險,其核心在于為滿足民眾的安全需求尋求控制社會風險的路徑。網絡爬蟲技術亦是如此,在帶來效率和競爭力的同時,給企業帶來的安全問題也日益凸顯。近年來,爬蟲行為的刑事風險日趨擴張,爬蟲技術單位入罪判決日趨遞增,對于一個企業而言,刑事處罰是致命的:無力承擔的高額罰金;涉案人員入獄后的企業運營混亂;信譽直線降低、企業形象受損;失信記錄導致企業融資困難;另外隨著經濟全球化,企業同時也面臨遭受他國法律制裁的風險。特別是在我國疫情之后,一旦涉嫌犯罪,民營企業面臨著隨時宣告破產的危機,企業發展的不安全感進一步加劇,而企業不安感的增加就意味著企業對風險減少的需求增加。也就是說,風險社會要求國家尋求一種以預防風險為導向、減少不安感的刑法體系。刑事合規政策正是順應了這種需求。一方面,國家通過刑事法手段,激勵企業進行自我管理,從而降低企業犯罪的可能性;同時為幫助涉案企業出罪或減輕罪責提供了新的通道。另一方面,企業與國家共同承擔社會治理的責任,解決了因犯罪距離、企業專業強等原因而導致的國家規制有限問題,形成國家和企業合作治理的新局面?？梢哉f,合規管理是風險社會的必然選擇。[12]

四、網絡爬蟲技術刑事風險及合規規則思考

刑事合規意在通過內部控制有效預防風險,而風險預防的前提是風險識別,風險點的差異決定了合規規則制定的差異化。網絡爬蟲行為存在的刑事風險點主要關涉爬取數據內容和方式兩方面。

(一)數據爬取內容存在的刑事風險及合規規則

1.侵犯個人信息

根據《刑法》第253條之一的規定,侵犯公民個人信息罪,是指違反國家有關規定,向他人出售、提供公民個人信息,情節嚴重的行為,以及竊取或者以其他方法非法獲取公民個人信息的行為?；谧锩麅群?網絡爬蟲行為在個人信息方面存在的風險在于其是否屬于“以其他方法非法獲取公民個人信息的行為”。其中的認定重點不在于“其他方法”,而在于是否屬于“非法獲取”。因為“其他方法”本身充當一個兜底規定,目的在于為了囊括更多的“非法獲取”公民個人信息行為。而這里的“非法”可以從合法性和行業規則兩個層面進行理解。一方面,在合法性層面,網絡爬蟲的使用應當符合國家法律、行政法規、部門規章等有關收集、處理、利用數據信息的規定。比如,《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第4條中對“以其他方法非法獲取公民個人信息”的補充解釋;《電信和互聯網用戶個人信息保護規定》第 5 條提出了電信業務經營者、互聯網信息服務提供者在公民個人信息收集中應當遵循合法、正當、必要原則……其中,最為直接的規范當屬《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》):(1)《個人信息保護法》構建了以“告知-同意”為核心的個人信息處理規則,要求企業在處理個人信息之前應履行告知義務并取得個人同意,個人信息處理的重要事項發生變更的應當重新向個人告知并取得同意。同時,《個人信息保護法》還對敏感信息的收集、向他人提供或公開個人信息、跨境轉移個人信息等環節作出特別強調,要求處理人單獨征求個人同意和遵循相應的告知義務。(2)生物識別、宗教信仰、行蹤軌跡以及不滿十四周歲未成年人等相關個人信息被列為敏感的個人信息。只有在具有特定的目的和充分的必要性,并采取嚴格保護措施的情形下,企業才有權處理以上信息,同時《個人信息保護法》要求企業進行事前影響評估,并向個人告知處理的必要性以及對個人權益的影響。這一點企業在制定合規規制的時候應該予以關注。(3)該法還進一步強化了個人信息處理者義務,例如要求定期進行審計等。另一方面,網絡爬蟲的使用應當符合行業規則,這里的行業規則一般指Robots協議,即網站經營者為限制技術爬取內容而在網站設置的一個robot.txt文本,如果企業違背協議限制強行爬取則可能違反商業道德,構成不正當競爭。目前司法實踐中也認可了違反行業協議的非法性。[13]

就侵犯公民個人信息罪合規風險而言,還有一個問題需要厘清:已公開的個人信息能否納入本罪規制對象。對于個人自行公開的信息是否能在未經告知和許可的情況下采集和使用呢?這一點一直存在爭議。有罪說主張個人信息不等同于個人隱私,未經同意擅自獲取和使用均有侵犯個人私生活安寧的可能性;無罪說則認為信息一旦公開就意味著“值得刑法保護的信息”不復存在了,不宜再用此罪進行規制。筆者認為兩種觀點都較為粗放,因此更傾向于認同:獲取、提供已公開的個人信息但改變信息公開目的或者用途的成立犯罪。其中,就網絡爬蟲純粹的抓取行為而言,由于很難判斷他人后來對于該信息的使用目的是否與個人公開其信息時相同,也無法確定信息的用途是否被改變,難以得出行為人侵害被害人法益處分自由的唯一結論,因此不宜認定有罪。[14]針對企業利用技術抓取后的提供行為,則需要企業合乎信息公開者的最初公開目的。

綜上,企業在未經同意或者違反Robots協議的情況下利用爬蟲技術過度抓取、提供非公開信息,亦或者是違背公開目的向他人非法提供公開信息時,則有可能構成違法行為,從而使企業陷入侵犯公民個人信息罪的刑事合規風險。 值得注意的是,在未經同意的情況下,向他人提供通過合法途徑采集的個人信息不阻礙該罪的成立。為規避上述風險,企業可以從以下角度構建合規規則:(1)建立個人信息分類目錄,區分高風險信息和一般信息,進行定期監督、定期審計。在抓取提供敏感個人信息、利用個人進行自動化決策、對外提供或公開個人信息等高風險信息時進行事前評估,合法履行單獨的告知義務。(2)對于非公開的個人信息,原則上禁止任何形式的獲取和使用,但企業征得同意或者有正當理由的除外。這里的正當理由包括為應對突發公共事件、為公共利益的輿論報道等。(3)對于公開的個人信息,企業在提供使用時要注意與信息最初公開目的保持一致。(4)一旦接受到信息權利人關于停止采取個人信息的通知,企業應立即停止爬取并按照要求完成后續信息刪除工作。

2.侵犯知識產權與版權問題

一般來說,爬蟲技術侵犯知識產權最典型的罪名是侵犯著作權罪。根據《刑法》第117條規定,企業在使用爬蟲技術時要構成該罪,首先需要行為人主觀具有“營利目的”。至于在網絡著作權案件中如何認定“以營利為目的”目前學術界存在不同的觀點。一種觀點認為“以營利為目的”這一主觀目的是不同于主觀故意的超出主觀因素,需要進行特別證明;另外有觀點認為這一犯罪目的僅為刑法規定的對網絡著作權案件的注意規定,對犯罪行為的違法性沒有實質性影響。[15]筆者更認同謝焱[16]學者將侵犯著作權罪中“以營利為目的”性質認定為短縮的二行為犯,該認定類型源于德日刑法學,意指以實施第二行為為目的的犯罪,但只有第一行為是構成要件行為,第二行為不是構成要件行為;也就是說短縮的二行為犯承認間接故意形態的目的犯。例如,在北京易查無限信息技術有限公司、于某犯侵犯著作權案(4)參見:(2015)浦刑(知)初字第12號。中,盡管辯護人提出被告單位易查公司僅僅是在進行小說轉碼業務時未盡到相應的注意義務,并無作品侵權的直接故意,但是法院仍然以被告公司負責人未對爬蟲技術進行充分了解和審查管理,認定其主觀上存在放任的間接故意,從而判定其有罪。因此,目的犯與主觀間接故意并不矛盾,當企業使用爬蟲技術時存在“放任”危害行為的主觀心態仍然有涉嫌侵犯著作權罪的風險。另外,客觀上使企業陷入侵犯著作權刑事風險的行為主要有以下兩種:第一,技術爬取后的傳播行為。根據條文規定,“復制發行或者通過信息網絡向公眾傳播”為最主要的犯罪行為。一般來說,該罪名一般針對的是企業利用技術爬取數據后的傳播行為,而非純粹的爬取行為。但有學者指出,“復制發行”既包括復制或發行也包括復制和發行,純粹的爬取行為也有可能涉嫌刑事風險。不過值得注意的是,“復制”行為的本質是侵犯原生作品的核心內容,導致第三人難以區分,往往指作品實體層面的數量增加,而單獨的爬取行為一般存在于虛擬空間,為從無到有的增加。因此,將虛擬空間的爬取行為認定為“復制”是不準確的。[17]目前實務中也不存在僅對技術爬取行為進行刑法規制的案例。第二,特別的技術爬取行為?！缎谭ā返?17條第6款規定了爬取行為的特殊情形:當企業在使用爬蟲技術時存在“故意避開或者破壞權利人為其作品、錄音錄像制品等采取的保護著作權或者與著作權有關的權利的技術措施的”情形的,仍然涉嫌著作權的侵犯。

綜上,企業以營利為目的,未經作品著作權人許可故意或者放任爬蟲技術抓取文字、音像、計算機軟件等作品后進行不法發行,或者繞開作品管理者設置的反爬蟲措施進行不當爬取,給他人造成較大損失或者其他嚴重情形的,則可能陷入侵犯著作權罪的風險。為規避該風險,企業可以從以下角度構建合規規則:(1)企業應事前充分了解爬蟲技術的技術原理,并對技術抓取范圍、抓取內容、抓取形式等信息進行合理審查,避免企業技術濫用。(2)企業在利用爬蟲技術抓取視頻、圖片等可能被認定為作品的內容時應保持謹慎態度,嚴格遵守網站設置的Robots協議,不得試圖繞開或突破平臺設置的任何反爬蟲措施。

(二)數據爬取方式存在的刑事風險及合規規則

1.數據爬取違背數據管理者意愿

為防止網頁數據被爬取,網站管理者往往會采取一些反爬蟲措施。比較常見的就是在網站設置robot.txt文本對爬蟲爬取的內容和范圍進行限制,這也是業界判斷技術行為是否經過授權的標準之一。一旦爬取行為未經授權,企業將可能面臨相應的法律風險。在刑法層面,涉及的罪名之一有非法獲取計算機信息系統數據罪。根據《刑法》第285條規定,能否構成上述罪名,核心在于:第一,企業是否獲得合法授權。目前,學術界對于網絡爬蟲技術的授權界定仍然存在爭議,大體分為以Robots協議為主的技術性界定方法和依據場景化的利益衡量原則進行違法界定兩種方式。不過目前司法實務界更傾向于采用通過Robots協議來判斷爬蟲程序是否獲得了網站的授權。例如法院在百度公司訴 360案(5)參見:(2013)一中民初字第 2668 號。中指出,Robots 協議作為互聯網行業內普遍遵守的技術規范以及公認的商業道德,應該能得到充分尊重。如果企業沒有遵守網站經營者的 Robots 協議,其行為明顯不當,應當承擔相應的不利后果。第二,技術爬取行為能否認定為“侵入”計算機。首先,在《中華人民共和國刑法釋義》一書中“侵入”是指通過技術手段進入計算機信息系統[18]。雖然這里將侵入行為限定為“技術手段”,但是司法實務中出現了被認定為“侵入”的特殊情形:單位內部人員將計算機信息系統的用戶名和密碼告知外部人員,由外部人員多次通過互聯網登錄單位計算機信息系統而獲取數據的案件。顯然上述行為雖不存在任何技術手段,但是與利用技術手段暴力侵入系統帶來的法益侵害無異,因此,在理解“侵入”行為時不應僅限定為采取技術手段進入,也包括未征得他人同意或者授權進入。第三,公開信息是否能夠被爬取。一直以來為保障數據共享和流通,公開數據作為公共產品不宜在法律層面過度干預,但是在“晟品公司”非法獲取計算機信息系統數據罪中出現了將公開信息認定為違法的情況。因此有學者認為上述罪名保護法益為數據安全,而數據不等同于信息,它包含信息和數據冗余兩部分,并不會因信息部分公開而喪失秘密性。雖然目前學術界對此觀點不一,但是筆者認為對于風險,企業最好“寧可信其有,不可信其無”,在構建合規規則時應秉持更加審慎的態度。[19]該罪名與前文提及的侵犯公民個人信息罪和侵犯著作權罪類似,基于非法獲取計算機信息系統數據罪在網絡犯罪領域的“口袋化”適用趨勢[20],罪名之間在司法實踐中常常競合適用。而兜底罪名入罪門檻相對低,企業在制定合規準則時應以此為最低參照標準。

另外,當企業數據抓取行為違反數據管理者意愿時還可能構成非法侵入計算機信息系統罪,不過這里的數據管理者為國家。該罪系行為犯,如果企業使用爬蟲技術,一旦非法進入國家事務、國防建設、尖端科學技術領域的計算機信息系統即構成非法侵入計算機信息系統罪。另外,法條所指的“國家事務”應當從嚴理解,不應該將某些地方權力機關的政務公開系統或者網絡辦公系統一律涵蓋在內。[21]綜上,企業的合規規則可制定為:(1)原則上,企業應當禁止爬蟲技術訪問國家數據系統或網頁,更不得對涉密國家事務、國防建設、尖端科學技術領域的網站和計算機信息系統進行爬取;(2)即使是訪問普通數據系統或網站,企業也應當在Robots協議的限制或者數據管理者的同意下使用爬蟲技術。

2.擾亂網站服務器的正常運行

當企業利用爬蟲技術抓取數據過分追求效率時,容易導致被訪問的網站或系統陷入癱瘓、無法正常運營,從而使企業陷入構成破壞計算機信息系統罪的風險。從保護法益來看,該罪的法益為計算機信息系統的正常運行,屬于個體法益,而非社會秩序法益。[22]從實行行為來看,根據《刑法》第286條之規定,爬蟲技術應用構成該罪名主要在于其對計算機的破壞性訪問,這里的破壞性訪問既包括惡意大量訪問嚴重干擾計算機信息系統功能,也包括任意刪除、修改計算機信息系統數據行為。首先,網絡服務器承載力有限,若網絡爬蟲頻繁大規模進行訪問,會大量占用服務器的帶寬和運算能力,影響正常的網絡服務,干擾計算機信息系統正常運行,甚至導致網站崩潰。例如在楊某某、張某某破壞計算機信息系統一案(6)參見:(2019)粵0305刑初193號。中,嫌疑人利用自己開發的爬蟲軟件對居住證服務平臺進行大量訪問,造成服務器阻塞,居住證系統不能正常運行,依法被法院認定有罪。另外,單位在使用爬蟲技術時惡意刪除計算機系統中的數據,甚至刪除信息系統功能,后果嚴重或造成系統不能正常運行的,亦構成破壞計算機信息系統罪。從罪量要素來看,破壞計算機信息系統數據罪系情節犯,即要求“后果嚴重”。根據最高人民法院、最高人民檢察院《關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》,該情節的認定主要包括以下五個維度:其一,破壞計算機信息系統的數量;其二,違法所得數額;其三,經濟損失數額;其四,破壞重要計算機信息系統的時間;其五,兜底條款。其中,適用較多的標準當屬違法所得數額和經濟損失數額。

綜上,爬蟲技術即便爬取公開數據也可能因其對計算機系統造成“破壞”而入罪。因此,企業在構建爬蟲技術合規方案時也應充分考慮技術程序本身合規的問題。為規避上述風險,企業可以從以下角度構建合規規則:(1)充分尊重平臺設置的Robots協議,優化爬蟲代碼,合理設置訪問頻率,避免網絡爬蟲程序給網站帶來過重負擔。(2)在必要時,企業可以在獲得相關許可和遵守數據保護法律規定的情況下設置代理IP池,但是不得違反合法的使用目的和方式。

五、結語

作為重要的數據抓取工具,爬蟲技術的廣泛應用對企業來說既是機遇也是風險。雖然技術本身價值中立,但是惡意使用行為使得個人信息安全、作品知識產權、網絡空間的秩序穩定狀態隱患重疊,單位犯罪屢屢發生。面對新興技術引發的犯罪局面,傳統刑法以懲罰為慣性,這與我國支持民營經濟發展的政策無法保持同頻。因而,應對網絡爬蟲技術犯罪刑法體系理當主動進行理念轉變,轉而向預防導向靠攏,滿足現實需求。刑事合規制度作為企業風險預防的新制度,能“治未病”也能“治已病”,是對現有司法實踐爬蟲技術規制誤區的一次有效糾正。是故,將刑事合規制度引入爬蟲技術法律規制,能實現國家治理模式轉型的同時,亦有益于實現企業數字經濟健康發展和網絡空間治理的平衡。雖然目前我國相關制度尚在探索,但是我們有理由相信,未來只要國家和企業共同努力,高質量、精細化的數據合規工作必將進一步為現代企業的發展賦能、增色。