楊慶堂 上海市崇明區人民法院副院長
張一獻 上海市崇明區人民法院法官
在大資料權屬不明、行業壁壘森嚴和監管薄弱等背景下,惡意網絡爬蟲行為日益泛濫并逐漸異化為各種形态的網絡犯罪。涉惡意網絡爬蟲行為治理的碎片化、滞後性等嚴重制約治理的效果,已成為犯罪治理中的阿喀琉斯之踵。對涉網絡爬蟲行為犯罪的治理須采用體系化方式,發揮政策和法律的智慧,平衡其中風險控制和價值利用的關系,方能超越刑事規制單一威懾次元并實作綜合治理的“立體”效果。
前言
随着網際網路技術的不斷進步和廣泛應用,社會經濟面臨的各種安全風險和挑戰不斷凸顯,惡意網絡爬蟲行為的泛濫已經成為網絡社會和數字經濟治理的一大痼疾。惡意網絡爬蟲,是指違反法律規定、超越授權範圍或規避反扒措施而非法通路計算機資訊系統的行為。大資料時代,危機和挑戰始終并存,從公民個人隐私資料被違法收集、洩露,到關鍵計算機資訊系統遭到攻擊或破壞,甚至到企業、國家之間的競争與博弈,均可看見惡意網絡爬蟲行為的蹤迹。當下網絡爬蟲行為的泛濫絕非單純的網絡安全問題,其逐漸異化為各類新型網絡犯罪,甚至演化成影響資料安全、網絡安全和經濟安全的全局性難題。是以,治理惡意網絡爬蟲行為的現實意義不僅在于遏制犯罪,其對于維護公共安全、促進經濟社會有序發展也具有重要意義。
一、現實透視:涉惡意網絡爬蟲行為犯罪治理之困境
(一)監管之困:涉惡意網絡爬蟲行為的規制困局
1.遲滞化防控:規範網絡爬蟲行為的法律法規相對滞後
囿于法律的明确性和穩定性,其對網絡爬蟲行為的調整常遲滞于科技的發展。為遏制惡意網絡爬蟲行為泛濫,國家相繼出台了相關法律法規,但仍存在不足。一則是規範網絡爬蟲行為的法律法規等仍需細化。該類規範原則性規定較多,如網絡安全法、資料安全管理辦法等規範中不乏諸多原則性、概括性規定,其在規制惡意網絡爬蟲行為時常難以場景化應用,如何了解和應用存在争議。二則是目前立法尚不能有效規制所有的網絡爬蟲行為。現實中,利用惡意網絡爬蟲行為侵犯公民個人資訊的犯罪頻發,蓋因為缺乏諸如歐盟《一般資料保護條例(GDPR)》等成熟的法律法規,随着個人資訊保護法、資料安全法的頒布,法律對公民個人資訊的保護力度顯著提升,但現實中資料采集者(網絡爬蟲行為主體)的相關權利義務的規定仍有空白,非法收集、過度收集、強制收集個人資訊的問題仍然突出,如何規制利用網絡爬蟲搜集特價機票後仿冒真人使用者搶訂機票等行為,相關法律尚未明确。三則是涉網絡爬蟲行為的規制中行政法規與刑事法律銜接不足。如刑法為抑制惡意軟體等非法程式對網絡犯罪的幫助作用,規定了提供侵入、控制計算機資訊系統程式工具罪,但目前尚無行政法規對網絡爬蟲等軟體的開發、功能審查、使用技術标準和法律責任等内容進行界定規定,更難以對開發或編輯非法網絡爬蟲類軟體等行為進行監管,導緻執法或司法時對惡意網絡爬蟲行為及技術幫助行為的事實認定、法律适用等方面存在諸多争議。
2.運動式整治:涉惡意網絡爬蟲行為的專項治理
涉網絡爬蟲行為犯罪呈現出跨行業、跨部門的發展态勢,并逐漸向集團化、智能化、産業化演變,由此催生了盤根錯節的黑灰産業鍊。該産業鍊中,上遊提供軟體、邏輯代碼等制作惡意網絡爬蟲程式,中遊利用網絡爬蟲非法擷取公民個人資訊等大資料,下遊則将爬取的資料出售給不法分子實施犯罪進而将資料變現。如專門向洩密源團體購買資料的個人資訊中間商團體,他們根據各種非法需求向洩密源團體購買資料,作為中間商向有需求者推銷資料、買賣、共享和傳播各種資料庫。惡意網絡爬蟲行為泛濫及黑灰産業的蔓延,加劇了惡意爬蟲行為異化為犯罪的風險。如“51信用卡”利用網絡爬蟲竊取使用者資料進行暴力催收,天翼征信、新顔科技、魔蠍科技等明星獨角獸企業也曾因類似行為被立案偵查。部分網貸平台甚至将其公司客戶的資料接口與“黑爬蟲”網站資料接口進行對接,使得“黑爬蟲”網站使用者有償在其網站上查詢公民資訊。對此,有關部門慣于針對性地組織大規模專項整治活動,然而此種疾風暴雨般的運動式治理雖在短時間内收獲顯著效果,但也存在天然弊端。首先,該種治理模式尚難持久。網絡爬蟲技術更新極為頻繁,目前的監管具有滞後性和片面化,對其治理缺乏長期性和持續性。二是運動式執法具有單一化、碎片化的特征,其協調性和全面性不足。尤其是整治中各自為政、資料資訊共享程度低、執法和司法銜接不暢、相關技術人才短缺、軟體和電子資料鑒定機構不足等因素嚴重制約了治理效果。三是部分執法和司法人員對網絡爬蟲行業及黑灰産業的特征與規則、運作模式、技術邏輯等認識不足,其執法辦案能力和意識有待提高,導緻治理力度和範圍易超出必要範疇。然而,此種“運動式”監管從事前的“視而不見”到事後“猛踩刹車”的急轉彎,缺乏對科技創新的包容,極易制約技術創新或進步。如涉惡意網絡爬蟲行為犯罪并非僅偏安于非法侵害公民個人資訊一隅,其侵犯知識産權、實施網絡攻擊等也是常見犯罪類型,但目前尚未有對應的專項整治。
(二)入罪之弊:涉惡意網絡爬蟲行為犯罪的司法困境
1.一刀切:惡意網絡爬蟲行為入罪的“口袋化”
目前網絡虛拟空間與現實社會的聯系愈發密切,諸多傳統法益相繼以資料等形式儲存于計算機資訊系統中,進而使得惡意網絡爬蟲行為侵害的法益具有多樣性,其犯罪類型亦具多樣化。令人诟病的是,或囿于司法慣性,慣于保護計算機資訊系統安全,易忽視對資料背後所隐含權利的保護,或因為資料的權利歸屬等問題尚未明确,基于證明标準或驗證難度等現實考慮,未能區分所侵害對象的技術屬性與法律屬性,對諸多涉惡意網絡爬蟲行為傾向以兜底性罪名進行處理或進行擴張化解釋,一概以非法擷取計算機資訊系統罪處罰。如未厘清抓取資料的法律屬性,将諸多侵害知識産權、财産、商業秘密等行為認定為非法擷取計算機資訊系統資料罪,使得惡意網絡爬蟲行為入罪呈現出口袋化趨勢,屬于“司法解釋的重疊和司法适用慣性導緻的口袋化”。究其原因,則是由于目前的刑事立法仍以技術限定為中心,側重于計算機系統安全的保護,對資訊和資料安全重視不足。
2.局限性:司法對涉惡意網絡爬蟲行為刑事風險抑制不足
根據德國學者貝克的“風險社會”理論,其主張風險已經成為風險社會的根本沖突之一,風險社會險象環生,傳統工業革命的陳舊思維與理念嚴重阻礙回應風險的能力。技術産生的刑事風險具有不可控性、未知性和難以修複等特征,已成為目前刑法中風險的主要來源之一,對其防控已成為刑法的首要任務。該種風險不斷沖擊刑法固有的制度和理論,并随之産生了安全刑法或預防刑法理論,其提倡刑法應早期介入,處罰前置以積極防控該類風險。刑法對涉惡意網絡爬蟲行為風險規範化的過程,同樣也是對其法益侵害程度界定的過程,即刑法将該種行為的刑事風險具體化到法益侵害性特征上,并以此為基礎确定刑法體系中構成要件的類型化,通過對法益侵害風險的細化,确定該行為的實質危害,進而将惡意網絡爬蟲行為規範化和類型化。在網絡犯罪中,技術和程式是實施犯罪的必要條件,故規範技術或程式是抑制涉惡意網絡爬蟲行為刑事風險的關鍵環節。在技術類黑灰産業中,編輯功能強大、專用于犯罪的網絡爬蟲程式,為下遊犯罪的實施提供必要、不法的技術支援,已屬于刑法所抑制的風險。這是因為,網絡空間的技術性特征使得網絡共同犯罪行為,尤其是正犯(為(實行)為)往往嚴重依賴網絡技術,網絡技術幫助的危害行為、網絡預備行為大量出現。是以,抑制技術類黑灰産業方能阻斷非法技術的産生與傳播,進而有效遏制下遊犯罪發生,但目前司法在抑制此類行為風險時存在不足。一是跨區域辦案協作難。法律雖賦予網絡犯罪廣泛的管轄權,但仍存在分散管轄、協作不暢等難題。二是犯罪驗證難。一方面,涉惡意網絡爬蟲行為犯罪及黑灰産業鍊跨平台、跨地域作案,案件偵查時間長、難度大;另一方面,涉案電子證據數量巨大且分布廣泛,專業技術人員短缺、偵查技術水準限制或缺乏應對新型網絡犯罪的經驗,導緻電子證據驗證不夠及時和精準。三是法律适用尚未統一。部分新型惡意網絡爬蟲行為是否入罪、适用何種罪名、如何量刑等尚存争議,如大資料涵蓋的個人資訊愈發豐富,呈現出場景化、具體化特征,而刑法對此如何界定尚不明确。
(三)立法之殇:刑法對涉惡意網絡爬蟲行為犯罪規制不周延
1.過于限定非法侵入計算機資訊系統罪的犯罪對象
計算機資訊系統安全是一個多元度、多層次、多因素、多目标的體系,是目前刑法所重點保護的法益之一。計算機和網絡虛拟法益應當包括三個方面:資訊内容安全(資料)、資訊技術處理安全(計算機資訊系統功能)和作為計算機網絡中資訊傳輸子系統的通信網絡安全(網絡安全)。然而,刑法在保護計算機資訊系統安全時具有“國家本位”特征,如侵入計算機資訊系統罪的犯罪對象僅限于“國家事務、國防建設、尖端科學技術領域”的計算機資訊系統,而對侵入此類型以外的計算機資訊系統,則須滿足相關“情節嚴重”的标準方可入罪,此種立法設定限制了其對惡意網絡爬蟲行為的規制。目前存在大量與個人法益或社會法益緊密相關的計算機系統,而雲計算等技術的興起又催生了金融機構、交通運輸系統、大型電子商務平台、大型國有企業商業區域網路等超大型計算機資訊系統,對此類系統中儲存的海量資料資訊進行篩選、整理和分析,便可獲得覆寫社會經濟運作重要領域或行業大資料,該類資料不僅涵蓋财産權和人身權,還涉及社會基礎設施等關鍵行業或領域的正常運作,具有典型的壟斷性和“公共性”,事關網絡安全和經濟安全。是以,當惡意網絡爬蟲行為侵入該類計算機資訊系統時,無論其是否實施抓取資料、破壞系統運作等行為,其所産生的法益侵害性與目前非法侵入計算機資訊系統罪相當,若采取情節犯的入罪模式,刑法在事後介入則難以有效抑制此類行為。
2.将過失排除在計算機犯罪主觀歸責内容之外
目前刑法未将過失作為侵入計算機資訊系統罪、破壞計算機資訊系統罪等計算機犯罪的主觀歸罪内容。現實中,網絡犯罪和計算機犯罪的實施愈發依賴于網絡技術,技術的先程序度往往決定了網絡犯罪的危害程度和結果,即使是過失行為,在特定情況下也會造成不可估量的危害結果。故從技術和法律的角度看,非法侵入計算機資訊系統和破壞計算機資訊系統行為中必然存在過失的可能。比如,網絡爬蟲作為模拟人工點選的程式,其執行任務不需要程式控制者全程親自操作,當控制者由于疏忽大意或過于自信,遺忘或疏于管理部分網絡爬蟲,導緻網絡爬蟲始終按照既有指令執行相關任務。此時,基于網絡爬蟲行為自動性、規模性和便捷性的特點,其執行相關任務處于盲目、無休止的狀态,直至網絡爬蟲所在的伺服器到期,其難以辨識通路的範圍、對象、手段等是否觸及法律禁區,極易産生刑法上的法益侵害結果。
二、追根溯源:涉惡意網絡爬蟲行為犯罪泛濫之成因探析
(一)各自為政:行業壁壘催生涉惡意網絡爬蟲行為異化為犯罪
根據國家工業資訊安全發展研究中心釋出的《2019中國大資料産業發展報告》顯示,截至2019年,大資料産業規模超過8000億元,預計到2020年底将超過萬億。數字社會中,政府治理、金融、交通、教育等行業對大資料的需求與日俱增,衆多網際網路企業亦将大資料作為維持自身競争力的資源或财産,對大資料的流動持謹慎、保守态度,并采取相應措施予以保護。是以,資料抓取行業壁壘森嚴,資料壟斷或集中的特征格外明顯。部分資金雄厚、技術領先的部門或企業彙集了絕大部分資料資源,其慣于利用各種手段拒絕行業後入者擷取資料,緻使大資料流通中産生了現實壁壘,尤其是政府部門和行業巨頭對資料資源的獨占性嚴重、資料資源共享性較差和資料資源管理不規範的現象突出。毫無疑問,将大資料作為一種“私有财産”而“保護起來”,是形成資料壁壘的原因之一。如諸多網站、大資料平台或App在Robots協定中明确拒絕抓取相關内容,或通過UA(别(浏覽器辨別)别)、設定IP通路頻率、請求的時間視窗過濾統計等方式限制或拒絕網絡爬蟲通路。然而,進入市場者非法擷取資料行為的原動力極為強烈,易導緻其實施的惡意網絡爬蟲行為。究其原因,則是因為其所需的稀缺性和非替代性資料多集中于行業巨頭或政府部門,難以從合法、正規的管道擷取相關資料,且部分資料經營或維護成本高,市場後入者基于“搭順風車”的心态,意圖利用他人現有資料開展業務,易以惡意網絡爬蟲行為非法擷取資料。
(二)權屬不明:大資料所有權争議易導緻惡意網絡爬蟲行為肆無忌憚
時至今日,網絡空間與現實社會的聯系已經呈現出全方位、多層次的趨勢。大資料作為傳統法益在現實生活的延伸,其所蘊含的内涵日益豐富,而資料安全也逐漸衍化為刑法中的新型法益,并成為惡意網絡爬蟲行為頻繁侵害的對象。大資料作為科技發展的衍生品,其在網際網路經濟時代的重要性和價值不言而喻,屬于衆多企業重要的競争力或資源,這導緻企業之間對大資料的權屬争議層出不窮。如華為與騰訊的資料之争、順風與菜鳥之間的接口門事件、新浪訴脈脈案、大衆點評訴百度案。在理論界,大資料權利歸屬存在四種觀點,即資料歸個人所有、資料歸個人和平台共有、資料歸平台所有、資料歸公衆所有。但上述觀點缺乏法律效力,并不能解決現實中資料權利歸屬問題。司法實踐中,大資料權利歸屬不明展現在資料的所有者、使用者和保管者的權利義務不清、侵害資料行為的法律後果不明等方面,如在涉網絡爬蟲行為侵權案件中常因難以确定受侵害主體而導緻相關責任無法界定。不法分子常利用上述法律空白,肆意利用惡意網絡爬蟲行為抓取資料,進而導緻其異化為各種形态的犯罪。
(三)防治乏力:涉惡意網絡爬蟲行為的治理體系化不足
随着諸多傳統犯罪相繼蔓延至網絡空間,導緻網絡爬蟲行為治理面對的現實環境愈發嚴峻和複雜,而目前治理的體系化不足嚴重制約了治理的效果。首先,規範網絡爬蟲行為的法律法規、政策性檔案或技術性标準等内容雜糅、條款分散,導緻各部門法在治理中的協同性不足。治安管理處罰法、網絡安全法、資料安全法、個人資訊保護等部門法從自身視角規制涉惡意網絡爬蟲行為,部分規定相對模糊或零散,在執法和司法中難以準确适用。譬如,目前法律對個人資訊與個人隐私的内涵界定不明,而前者的範疇仍在不斷擴大,導緻涉惡意網絡爬蟲行為侵犯公民個人資訊時的民事、行政或刑事責界定模糊,對其治理時的執法與司法銜接不足。其次,目前對惡意網絡爬蟲行為的治理具有被動性和回應式的特征,難以從全局化的角度回應社會治理的要求。蓋因為,目前法律法規多從市場準入角度來制定監管制度和政策,并未從源頭限制網絡爬蟲非法應用的能力,具有典型“重事前準入,輕事中治理”的特征,對于網絡爬蟲行業準入之後如何防範、處置違法犯罪尚有空白。且資料安全、網絡安全等内容在刑事法律中尚未涉及或尚不明确,縱觀網絡安全法全文,其仍偏重對網絡運作安全的保護,疏于對網絡犯罪的防治。是以,法律在治理網絡爬蟲行為時常顯得捉襟見肘,如對利用網絡爬蟲行為非法修改、删除個人資訊的行為無法直接以侵犯公民個人資訊罪處理,隻能認定為破壞型資料犯罪,導緻刑事治理的效果大打折扣。
(四)自律缺失:網絡爬蟲行業自治規範尚未統一
惡意網絡爬蟲行為主體中企業等組織居多,蓋因為大規模的網絡爬蟲行為是基于經濟性目标,需雄厚的技術和資金支撐。故從經濟學角度看,網絡爬蟲行為多展現為市場主體的經濟行為,其泛濫與行業共識難以達成、行業規範尚未統一密切相關。大資料作為目前企業擷取競争情報、支撐企業戰略決策的重要工具,有利于降低企業經營成本,提高企業整體分析研究、市場快速反應等能力,進而增強企業核心競争力。換言之,企業掌握使用者的資料即能擷取市場需求,進而擷取競争力和資源。為維護行業内部擷取資料的秩序,防止行業内部惡性競争,行業自律公約等規範應運而生。然而,在制定網絡爬蟲行業自律公約時,網際網路巨頭基于各自商業利益和壟斷地位,制定了諸多苛刻、嚴格的行業規範,這對行業後入者和中小企業的發展形成一定的掣肘。是以,諸多網際網路中小企業對涉網絡爬蟲行為的行業自律規範認可程度低,對該規範的遵循度不足。譬如,Robots協定(機器人協定)作為網絡爬蟲行業自律規範,仍無明确的法律效力,僅具有警示性的作用,其在執法和司法中的效力仍存争議。行業自律規範的缺位,進一步緻使網絡爬蟲行業新的通用共識和行業性規範難以形成。部分網站或APP甚至通過事先聲明、使用者協定等方式拒絕資料爬取或限制正常抓取資料,導緻部分網絡爬蟲行為違反法律規定或超越授權範圍抓取資料,進而僭越刑法底線。
(五)一枝獨秀:網絡爬蟲的技術優勢放大其異化為犯罪的風險
現實中的網絡爬蟲多由數種爬蟲技術結合而成,其所具有的自動化算法緻使其在掃描計算機資訊系統漏洞、抓取資料等方面具有獨特優勢。尤其是在抓取資料方面,網絡爬蟲行為的精準性、廣泛性、高效性的特征,再加之網絡爬蟲技術門檻低,稍懂程式設計技術即可編輯網絡爬蟲軟體,技術資源擷取途徑便捷,其邏輯結構和源代碼可在網上随意擷取。上述技術優勢使得網絡爬蟲在系統安全維護、資料搜集、行政執法等領域得到廣泛應用。不法分子利用網絡爬蟲的技術優勢,将其視為惡意爬取資料的不二法門。再加之部分企業應對涉惡意網絡爬蟲行為犯罪的能力和意識投入不足,資料安全防護則相對薄弱。是以,在上述諸多因素的影響下,基于牟取不法利益的驅動,惡意網絡爬蟲行為易異化為各類新型網絡犯罪。
三、法理反思:涉惡意網絡爬蟲行為入罪的價值平衡之梳理
網絡爬蟲行為極大地促進了資訊交流共享,為網際網路經濟的發展帶來巨大的價值,但其亦給網絡安全和秩序帶來了挑戰,對固有的刑法理論帶來諸多沖擊和改變。
(一)鼓勵與規範:大資料刑事立法保護理念之轉變
網絡爬蟲行為對于促進資訊共享、推動社會經濟發展具有極大價值。一方面,網絡爬蟲行為有利于消除資料鴻溝。網絡的本質與價值在于連接配接,核心是實作資料的流動與分享。網絡爬蟲作為資料抓取的技術工具,通過爬行增強了網絡節點間的聯絡,提升了網絡的整體價值,是建構網際網路開放與共享理念的重要技術基石。其能有效擷取、篩選、整理和分享網際網路資訊,促進資訊共享和交流,打破資訊壟斷和交流的壁壘。另一方面,其可對大資料進行搜集、處理和分析,進而發現潛在的問題或商機,強化網際網路作為社會經濟生産、生活要素共享的平台作用,進而優化生産要素和資源的合理配置。是以,早期出于促進數字經濟發展需要,法律(刑法)對網絡爬蟲行為采取默許或肯定的态度,故此時立法和監管相對寬松。寬松的個人資料保護法有利于社會總福利的增加,有利于發揮資料跨境流動與勞動力遷移的替代效應,降低社會費用,有利于發揮社會有序和無序的雙義作用,提升資訊技術創新。科技發展豐富了刑法調整的社會關系,拓展了其适用的空間和對象。在數字經濟中,資料權利和資料安全愈發成為刑法保護的新型法益,部分惡意網絡爬蟲行為也成為刑法所規制的對象。然而網絡爬蟲行為的完善需要過程,其技術行為的法律本質尚難一次性清晰,刑法過早介入雖能達到及時規範的目的,但易阻礙或扼殺技術創新,降低其創造的活力或福利。故刑法在技術發展早期的态度稍顯謹慎和謙抑,須充分觀察、防範其帶來的問題和危害,為技術進步創造時間和空間。這是因為,網際網路與網絡爬蟲技術在不斷發展,因而無法預見相關新型網絡犯罪行為的性質和範圍,立法者與司法者需要觀察并研究網絡爬取行為在相關主題和網絡之間的互動本質,通過技術區分保護原則制定适應網際網路世界規則的刑事法律來補充保護相關資料主體的法益。故法律在技術發展後期愈發重視對資料法益的保障,更加強調對網絡爬蟲行為的規範或指引。
(二)量變與質變:惡意網絡爬蟲行為易從一般違法轉化向刑事違法
網絡爬蟲行為的法律邊界并非泾渭分明。技術誕生伊始,囿于技術水準的限制,惡意網絡爬蟲所非法擷取的資料有限。如第一代網絡爬蟲“靜态網頁爬蟲”由簡單的“HTML文本+JS+CSS”構成,隻能對靜态網頁上的内容進行爬取,其所擷取的内容較為有限。此時,網際網路行業發展尚處雛形,網頁數量和儲存資料相對較少,網絡爬蟲行為抓取的資料範圍和深度有限。但随着社會經濟的資訊化、資料化程度逐漸提升,網絡爬蟲技術日臻成熟,其産生的危害性不同以往:首先,其爬取的範圍和深度不斷擴充。如深層網絡爬蟲、聚焦網絡爬蟲等綜合型網絡爬蟲,其所爬取的範圍涵蓋網頁、APP等媒介,不但可抓取允許爬取的内容,還可搜尋網頁的連結,并通過技術手段反向破解,擷取進入網頁系統内部爬取資訊或資料。其次,資料所蘊含的價值被法律認可,其具有财産、身份等多重法益屬性,惡意網絡爬蟲行為極易因為手段或對象等不法而觸犯刑法。最後,惡意網絡爬蟲行為運作的自動性和無序性極易産生刑法上的危害或風險。基于自動化算法,網絡爬蟲行為按照既定指令爬取資料,當管理人員疏于審查時,其所擷取的資料中易含有法律禁止抓取的内容。而基于技術優勢,其也易異化為新型網絡犯罪手段,如大批量惡意網絡爬蟲頻繁通路系統,形成“群狼式”攻擊,導緻系統崩潰或癱瘓,其規模效應幾乎等同于Doss攻擊。
(三)中立與越界:惡意網絡爬蟲行為對“技術中立”價值的偏離
司法實踐中,被告人常引用“技術中立”“技術無罪”等理由為涉惡意爬蟲行為犯罪進行辯解。技術中立的基本含義是隻要一項技術構成實質性非侵權使用,不管這種技術是否被用于合法或有争議的目的,技術服務提供者都不必對使用者實施的或可能實施的侵權行為承擔責任。即使技術服務提供者知道其提供的技術存在被用于侵權的可能,也不能是以推定其故意幫助他人實施侵權。正常的爬蟲行為對于整合網際網路資料,推動社會創新和發展有積極促進作用,但刑法中的惡意網絡爬蟲行為超越授權範圍、違反行業規範或法律規定通路系統、抓取資料,其并非屬于中立的技術。技術中立主要包含功能中立、責任中立、價值中立:功能中立是指技術在發揮其功能和作用的過程中隻要遵循了自身的功能機制和原理技術就實作了其使命;責任中立把技術功能與實踐後果相分離,即技術使用者和實施者在主觀上沒有故意的情況下不能對技術作用于社會的負面效果承擔責任。技術中立的功能觀和責任觀都指向了技術中立的價值次元,或者說功能觀和責任觀都在更深層的意義上蘊含着價值中立的立場。然而,從認識因素上看,行為人一般對惡意網絡爬蟲功能的非法性有概括或具體的認識,如部分網絡爬蟲具有搜尋公民個人資訊、知産作品等非法功能。從行為類型上看,惡意網絡爬蟲行為表現為超越授權範圍、規避技術措施或過度通路計算機資訊系統抓取資料。刑法視野下網絡爬蟲行為的合法性、正當性和必要性來源于被通路對象(如資料主體)的授權或法律法規的規定,同時與資料的通路權限和開放程度相關,并由此衍生出的技術排他性規則和資料排他性規則,這是判斷惡意網絡爬蟲行為入罪的兩個次元。從結果上看,惡意網絡爬蟲行為不僅直接侵害資料完整性、保密性等,更破壞了網絡資訊安全及營運環境。故惡意網絡爬蟲行為運作目的具有非法性,價值取向明顯偏離了資料交流和共享的初衷,其具有刑事可罰性。本文認為,司法實踐中對技術中立作為涉網絡爬蟲行為犯罪的抗辯理由時,可根據客觀歸責等理論,對技術中立性進行适當限制。
(四)自由與秩序:惡意網絡爬蟲行為易挑戰現有的網絡秩序
數字社會中,社會和公衆對資料的需求日益迫切,但也極易陷入浩如煙海的大資料中無所适從。為适應社會需求,網絡爬蟲技術應運而生。法律允許合法的網絡爬蟲行為,并通過法律法規保護其經合法手段搜集、分析和整理的資料,賦予特定主體對該類資料控制、使用、收益和處分的權利,進而推動大資料的共享、交流,刺激社會經濟的需求點,激發社會的創新活力。如“共享經濟”的興起,依托大資料來滿足公衆的多樣化需求。此時,合法爬取他人資料并未違反法律和行業規範,這屬于網際網路時代特有的權利。但資料抓取存在灰色地帶,易滋生違法犯罪行為。網際網路領域屬現實社會在虛拟世界的延伸,仍屬于現實社會秩序的組成部分,絕非法外之地。惡意網絡爬蟲行為不僅侵害資料法益,亦侵害公平、自由的資料競争秩序和網絡安全。從競争法的角度而言,規制資料競争的核心目标是維護資料要素市場的競争秩序和競争機制,這既需要兼顧資料控制方與資料使用方的利益訴求,也需要均衡資料資源的産出激勵效率和配置使用效率。是以,法律有必要對惡意網絡爬蟲行為予以規制。可以預見的是,資訊空間缺乏法律規制必定是混亂無序的,若不限制資訊的任意流動,必然造成對他人資訊的侵害,資訊自由也是以缺乏法律保障,呈現出資訊空間的無政府主義的趨勢,長遠來看此種狀态反而會更大地限制資訊的自由流動。自由價值強調資料的自由流動,秩序價值強調國家對資料資訊交流的管控。随着社會對資料的需求呈現出多元化、立體化的趨勢,資料擷取、交流和共享中必然存在碰撞或沖突。法律雖賦予公民在大資料時代擷取、共享資料和資訊的自由,但前提是遵守法律法規或尊重他人的智力成果,即不得損害他人的利益,如不能采用技術手段突破技術保護措施強行抓取資料。當惡意網絡爬蟲行為僭越法律規範非法擷取資料或擾亂計算機資訊系統運作時,這不僅侵害相關法益,制造了刑法所不允許的風險,同時也嚴重擾亂網絡空間的既有秩序,超出自由的應有之義,理應受到刑法的制裁。
四、體系化規制:涉惡意網絡爬蟲行為犯罪的治理路徑探索
惡意網絡爬蟲行為治理難題的本質是數字經濟發展與資料安全防護存在沖突,對其進行體系化治理是破解目前治理困境的必由之路。
(一)立法完善:擴充計算機犯罪的故意内容和對象範圍
1.将過失作為計算機犯罪的主觀歸責内容
大陸的計算機犯罪系1997年修訂刑法時設立,彼時資訊網絡與社會經濟的融合度明顯不足,計算機犯罪對現實社會的影響較為有限,刑事立法對涉及計算機技術犯罪的危害性判斷與普通刑事犯罪并無差異,仍秉承“以故意犯罪為原則,過失犯罪為例外”的慣例,将故意支配下的部分社會危害行為納入刑法調整。此時,因過失行為所産生的危害性較小,并無刑事處罰的必要性,刑法并未将其作為計算機犯罪的主觀歸責内容。然時至今日,随着計算機網絡與社會現實間深度融合、互聯互通,計算機技術、資訊網絡對個人法益和社會法益的影響日益增大。目前的網絡彙集了數以億計的個人資訊、金融資料、商業秘密等重要内容,其已成為企業經營和社會治理的重要領域,網絡安全也成為國家安全、公共安全的重要内容之一。在此背景下,計算機犯罪中因過失而侵害相關法益的危害性不同于以往,在主觀過失的情況下,利用網絡爬蟲行為抓取資料、擾亂、控制或破壞計算機資訊系統等行為造成的社會危害性與主觀故意支配下的同類行為并無本質差別。如被遺忘的網絡爬蟲在無人監管的情況下,大批量、高頻率通路計算機資訊系統,易造成被通路的對象系統崩潰或無法通路,或因為抓取到法律禁止擷取的資料資訊,産生資料洩露等危害結果。又如有關程式設計人員疏忽大意或者過于自信導緻使用的網絡爬蟲部分功能超出設計預期,産生法律所禁止的危害結果。這種情況是不可避免的,因為計算機程式不可能完全執行人的意志,這也就是在軟體開發中要“試錯”的原因,甚至軟體“更新”也是為了克服不完美的設計缺陷。故本文認為,在立法上可參照刑法分則中危害公共安全罪中的過失類犯罪,将過失作為計算機犯罪的主觀内容之一,同時設定相對輕于故意犯罪的法定刑,建立疏而不漏的嚴密刑事法網,方能全面抑制涉惡意網絡爬蟲行為犯罪,以強化對資料安全、網絡安全的刑事保護。
2.擴充侵入計算機資訊系統罪的犯罪對象
侵入計算機資訊系統罪的對象是與國家事務、國防建設、尖端科學技術領域相關的計算機資訊系統,該罪采取行為犯的立法模式,不需要侵入行為造成何種結果,一旦實施侵入上述計算機的行為即構成犯罪。但是對于侵入上述計算機系統以外的行為,根據刑法修正案(七)的規定,須滿足“情節嚴重”的條件方可入罪,即以情節作為犯罪成立與否的标準。随着網絡深深嵌入社會經濟生活的各領域,網絡已經成為衆多傳統法益或新型法益的集中地,而聯網、物聯網、區塊鍊等行業蓬勃興起,進而使得以大資料所代表的法益以數量級的模式暴漲,以網絡為空間、手段或對象的犯罪已成為犯罪的主要形态。刑法在規制惡意網絡爬蟲行為時,若固守傳統的立法模式,将本罪的犯罪對象僅限定在上述四種類型之中,那麼面對侵入金融機構、大型電商平台、交通運輸平台等基礎性和服務性計算機資訊系統的行為,刑法若隻能事後規制,顯然不利于發揮其法益保護功能。目前,除政府部門擁有數以萬億計的大資料外,阿裡巴巴、騰訊、華為等企業在其龐大的消費者群體支撐下,其同樣彙集了數以億計的大資料,涉及個人資訊、消費、行蹤、信用、經營等内容,再加之雲計算平台的出現,其日常可儲存、處理海量級别的大資料。該類計算機資訊系統與經濟、社會各領域深度相連,使用者具有廣泛性,具有準公共性和基礎性的特征,部分行業或領域的大資料又屬于判斷經濟形勢、行業發展現狀的重要情報資料,甚至涉及企業商業秘密、國家安全和社會公共利益。如2022年上海某資訊技術公司的員工向境外提供大陸高鐵運作資料,涉嫌危害國家安全。是以,惡意網絡爬蟲行為侵犯法益日趨于複雜化、多樣化,已逐漸拓展至國家安全、知識産權安全、公民資料隐私安全等衆多領域,其理應是刑法予以重點保護的對象。故本文認為,應将基礎性或服務性的雲計算資訊系統、金融機構、交通運輸行業、電信、電商等超大型資料平台納入計算機資訊系統罪範疇内予以保護。
(二)司法規制:發揮刑法對涉惡意網絡爬蟲行為犯罪的堵截功能
1.惡意網絡爬蟲行為入罪的去口袋化
針對司法實踐中惡意網絡爬蟲行為入罪呈現出口袋化趨勢,本文認為應區分所抓取資料的法律屬性等内容,不能簡單以非法擷取計算機資訊系統資料罪等兜底性罪名處罰。具體而言,應嚴格區分網絡爬蟲行為的不同形态特征,根據網絡爬蟲的功能、其所侵入的計算機資訊系統類别、抓取資料的法律屬性、行為類型、法益侵害性和主觀認知等嚴格區分,并依據刑法第287條之二第3款規定優先适用其他罪名。即根據網絡爬蟲所抓取資料的内涵、結構、功能等明确其法律性質,若其屬于财産、商業秘密、知識産權作品(淫穢物品)或公民個人信等範疇,則分别以盜竊罪、侵犯商業秘密罪、侵犯著作權罪(傳播淫穢物品牟利罪)、侵犯公民個人資訊罪等罪名處罰;若所抓取的資料不屬于上列範疇,則依據資料的實體屬性(計算機資訊系統資料),以非法擷取計算機資訊系統資料罪處罰。
2.強化對涉惡意網絡爬蟲行為及黑灰産業的刑事堵截
根據積極的刑法觀,在恪守罪刑法定原則的基礎上,充分發揮幫助資訊網絡犯罪活動罪、非法利用資訊網絡罪等堵截性罪名對惡意網絡爬蟲行為的抑制功能。在目前網絡黑灰産犯罪生态中,提供犯罪程式、工具是犯罪“去高技術化”的關鍵,如果不能有效遏制該類行為,就無法控制網絡犯罪生态的“野蠻生長”。這是因為,以往的技術類黑灰産軟體多由個體開發,但随着分工日益精細,編輯者可在極短時間内将若幹個獨立子產品拼裝成新的軟體,大幅降低了開發難度。而黑灰産軟體技術群、網站的存在更是推波助瀾,加速了黑灰軟體的傳播與技術更新,強化了其為下遊犯罪實施“輸血送糧”的作用,部分監管難度大、非法功能強大的網絡爬蟲軟體直接決定了下遊網絡犯罪的規模、危害程度和成功率。是以,有必要發揮刑法相關堵截性罪名的規制作用。譬如,對設立傳授、制作具有非法功能的惡意網絡爬蟲程式的網站、通訊組群,或釋出制作惡意網絡爬蟲程式的相關邏輯代碼等資訊,可以非法利用資訊網絡罪處罰;對為他人實施網絡犯罪而提供惡意網絡爬蟲軟體的行為,則以提供侵入、非法控制計算機資訊系統程式、工具罪論處。須注意的是,對提供雙用途(合法使用與非法使用)網絡爬蟲的行為定性時,應查證行為是否明知他人将網絡爬蟲程式應用于違法犯罪活動。就技術中立角度而言,網絡爬蟲程式是衆多網絡産業的重要産品,不能因其具有以上功能,就機械地将其認定為“專用于侵入、非法控制計算機資訊系統的工具”,應從案情實際情況出發,考察其是否可能用于其他合法用途:若可肯定,則應認定為雙用途程式、工具;若需要将相關行為認定為該罪,應查實行為人主觀明知的内容,防止該罪不當擴張。此外,為發揮刑法對網絡爬蟲行為犯罪及黑灰産業的威懾作用,對利用職業便利實施犯罪的職業犯、慣犯等,可根據犯罪具體情況和特殊預防的需要,加大财産刑和從業禁止的适用,進而剝奪或限制其再次犯罪的機會。
(三)自我救濟:企業對涉惡意網絡爬蟲行為犯罪的監督與防範
1.完善刑事合規制度
刑事合規制度對于企業的救濟作用展現在機關犯罪、共同犯罪和免責事由三方面。司法實踐中,慣例是将機關主要負責人在職責範圍内為機關利益而以集體決策形式實施的犯罪定性為機關犯罪,這導緻機關犯罪的追訴嚴重依附于對自然人的追訴。合規制度可凸顯出企業自主經營的合法性、規範性,将自然人利用制度或職權上便利将機關作為犯罪工具的行為剝離,進而阻卻共同犯罪故意或作為出罪事由。本文對此設想如下:首先,培養企業刑事合規隊伍。吸納法律、技術、管理等複合背景的人才,以保持對刑事政策、法律法規和業務内容的敏感度,提高合規隊伍的業務素質和工作能力。其次,建立由上至下的合規機制,重視風險預警與識别。企業将内部風險防控責任、監督管理義務細化至網絡爬蟲行為業務的常态化管理中。一方面,要合企業或行業特點,明确網絡爬蟲行為的刑事風險節點,進而甄别、預知和規避相應的刑事風險,并将法律法規、行業自律公約等規範轉化為企業制度,并明确違反上述制度的責任。另一方面,制定規範的網絡爬蟲行為操作規章,明确行為對象、行為規則、責任等内容。如優先抓取已脫敏、不可識别特定自然人、不可複原的資料;避免未經授權、超越授權、利用系統漏洞或規避反爬措施抓取資料;嚴禁編輯具有抓取公民個人資訊、知産作品、商業秘密等非法功能的網絡爬蟲,如在設定爬取對象、通路頻率等參數時進行必要限制。此外,要建立企業内外部違法違規舉報機制,為刑事合規提供預警或線索。最後,重視事後監管,建立企業合規風險處置和回報機制。一是要建立定期評估機制。如企業應及時評估網絡爬蟲行為的頻次是否對計算機系統運作造成幹擾,避免給被通路計算機系統造成過重負荷,當網絡爬蟲行為擾亂被通路系統運作時,應立即停止通路。二是要建立事後救濟機制。如網絡爬蟲行為抓取到法律禁止或未經授權的資料要及時回報,采取删除等方式處理,嚴禁進行儲存、轉讓或使用;企業收到監管機構的執法通知或被侵權機關回報後應及時上報和溝通,積極履行相關義務。
2.合理設定單方授權文本
目前諸多機關以Rbots協定、使用者協定、權責聲明、使用條款等法律文本形式對網絡爬蟲行為進行限制,但部分文本條文過于粗糙,其訓示性和警示性不足。以Rbots協定為例,諸多條文晦澀難懂,表達過于專業、複雜和繁瑣,對網絡爬蟲行為的指導性和警示性不足。本文建議,将相關法律條文與上述文本内容進行關聯,以強化文本的法律協定屬性,以期增強其明确性和指引性。如在設定Robots協定等單方授權文本時加入自然語言與相關的法律條文,将該協定與網站的使用協定進行關聯,并通過法律協定的形式對計算機語言表達的涵義進行詳盡闡述,賦予該協定以合同形式的法律涵義,進而賦予其單方明示的法律效力,強化其作為維權依據或警示性作用。
3.強化網絡爬蟲行業自治
行業自律公約等規範促進群體性内在限制力的形成,可有效彌補法律法規監管盲區,消除監管的僵化。目前,自律公約中僅有《網際網路搜尋引擎服務自律公約》等對網絡爬蟲行為提供規範或指引,但該公約的适用存在不足:首先,其參與者僅有百度、騰訊、網易、新浪等12家大型企業,大量的網際網路中小企業尚未參與,其所發揮的作用範圍有限。其次,其制定于2012年,難以适用于目前種類繁多的新型網絡爬蟲行為。對此,社會應支援利益各方在相關行業或領域積極探索網絡爬蟲行業的通用共識,以期形成新的行業自治公約。對此,可在自律公約中以“負面清單”的形式來明确網絡爬蟲行為的法律邊界。如應嚴格遵守網絡爬蟲協定;未經他人允許,不得使用網絡爬蟲掃描他人計算機資訊系統漏洞;網絡爬蟲行為所占流量不得超過被通路系統日均流量的1/3,不得擾亂他人計算機資訊系統運作;在抓取大資料庫、内容聚合平台時,在使用者知情同意的前提下,應遵循“使用者授權+平台授權+使用者授權”的原則。
(四)多管齊下:涉惡意網絡爬蟲行為犯罪及黑灰産業的體系化治理
目前的網絡爬蟲行業呈現出監管未動、行業已經“裸奔”的趨勢,并随之滋生出衆多網絡爬蟲黑灰産業,這在金融領域尤為明顯。黑灰産業為網絡犯罪“輸血供糧”,危害嚴重,對其如何有效規制,已經成為大陸刑法理論和實務必須面對的問題。對涉惡意網絡爬蟲行為犯罪及黑灰産業治理須采取體系化的手段,方能實作數字治理與發展的終極目标。
1.建立“線上+線下”的治理模式
“線上+線下”的治理模式即在網上建立涉惡意網絡爬蟲行為及其黑灰産業的防控體系,線下加強監管與打擊。首先,利用技術手段重點監控涉惡意網絡爬蟲的綜合交易或交流平台,發現相關違法違規資訊等,利用行政監管手段及時處置,關停或遣散相關違法群組和論壇,或及時固定伺服器資料,深挖犯罪及黑灰産業鍊上下遊環節,實作一體化治理。其次,對于線下治理,一則要關注網絡爬蟲技術革新及發展動向,重視全球和國内資料治理的發展動态,從全局的角度來認識和應對涉惡意網絡爬蟲行為及黑灰産業。二則要加強對重點行業、領域和新型網絡爬蟲行為的監管,增強監管的預見性和針對性。重點關注社會經濟和産業發展核心領域中資料抓取的問題,強化對人工智能、區塊鍊、物聯網等新興領域内惡意網絡爬蟲行為的治理;要重視治理的場景化,對資料抓取的正當性、必要性和合法性判斷應結合具體場景、行業、用途等因素綜合考量;強化對網絡爬蟲軟體行業監管,可通過實名制、功能檢測、備案溯源等制度,遏制功能強大惡意網絡爬蟲軟體的産生或傳播。三則要以行政管理為基礎,發揮各部門法的相對優勢,平衡行政監管和與刑事打擊在治理的關系。若采取行政管理手段可以遏制的,優先以該手段予以整治;若采用行政處罰難以遏制的,則依照幫助資訊網絡犯罪活動罪等堵截性罪名予以打擊。最後,優化法律法規和公共政策供給。一是要提升公共資料供給及智能公共服務能力。對于某些涉及公共服務的網絡爬蟲,行政機關或具有公共管理職能的組織還可以采取更加主動的方式,主動提供公共資料及資料處理或相關計算服務,減少濫用爬蟲技術的可能性。二是要優化法律供給,通過立法平衡網絡爬蟲行為的風險和價值。如通過立法明确界定網絡爬蟲行為的合法性、合理性和必要性邊界,積極引導和規範其合法運用,并根據比例原則和行為危害程度設定懲戒措施,進而強化對網絡爬蟲行業的監管和引導。
2.建立部門間協作治理機制
首先,根據多部門聯合治理的思路,公安、工商、金融、市監局等部門可聯合制定相關檔案,以增強網絡爬蟲行業執法中法律法規适用的統一性和規範性。其次,建立跨部門的網絡犯罪及黑灰産業大資料平台。為破解涉惡意網絡爬蟲行為犯罪及黑灰産業治理中資訊資料難共用、資訊交換難共通、資訊運用難共享、資訊處理難協同等難題,可利用資訊化技術充分整合公檢法以及監管部門等機關的資料,建立跨部門網絡犯罪及黑灰産業大資料庫,進而暢通各部門間監管資訊共享和關聯通道,以實作治理中的資訊共享、資料互通和治理協同。具體而言,将涉網絡爬蟲行為違法犯罪資訊、線索、網絡黑灰産業人員資料和惡意技術大資料等錄入系統内,以增強治理的系統性、前瞻性和預見性。一方面,加強對涉網絡爬蟲行為違法犯罪資訊和線索的搜集,及時整理入庫并經進行排查、核實,鎖定涉嫌犯罪的企業或個人,進而第一時間斬斷網絡犯罪鍊,降低有關技術或資訊流入黑灰産業鍊的風險。另一方面,通過運用大資料技術對上述資料或資訊進行分析、挖掘,及時研判新型網絡爬蟲等網絡技術的革新和相關行業的發展動向,提高資料資訊的使用率,為涉惡意網絡爬蟲行為犯罪及黑灰産業治理提供必要的技術支撐或情報支援。最後,建立犯罪資訊通報制度。司法實踐中,犯罪分子為割裂犯罪資訊,增加偵查難度,利用涉惡意網絡爬蟲行為實施犯罪時常跨平台、跨地域作案。是以,須在司法、執法中建立網絡違法犯罪資訊通報機制,對新發現的案件資訊和線索及時通報,以加強對相關網絡犯罪治理的協同性,強化刑事證據鍊在各階段形成的有效性,進以提升治理的法律效果。
3.加大對網絡安全防護領域的投入
首先,轉變治理理念,提升企業網絡安全防護能力。目前,企業網絡安全人才需求、培養理念等與高校培養體系間存在鴻溝,如部分企業網絡安全防護的主流思路仍是“實體安全、網絡、主機、應用、資料”的次元,進而将資料安全放到最後考慮。對此,企業和高校應重視資料安全,積極籌建系統、長效的資料安全防護體系,尤其要重視對資料安全防護、軟體開發和監管等人才的培養,嚴格落實網絡安全工作責任制,提升企業關鍵資訊基礎設施防護能力。其次,加大研發投入,強化技術在治理涉網絡爬蟲行為犯罪中的作用。一則是加大對網絡安全防範的财政投入,可建立計算機系統安全實驗室,針對司法實踐中技術鑒定方法、校驗标準差異等難題,強化對網絡爬蟲等技術性犯罪工具、程式的鑒定能力的研究,以統一鑒定技術标準,為涉網絡爬蟲行為及黑灰産業相關犯罪的定罪量刑提供技術支撐。二則是加大研發投入,利用AI技術打擊涉網絡爬蟲行為及黑灰産業鍊。可充分利用人工智能在動态監控、資訊搜集、線索分析、精準導偵等方面的優勢,全面提高治理效率,以實作對有關犯罪的及時預警與精準打擊。
結語
探索涉惡意網絡爬蟲行為犯罪的治理,某種意義也是探索刑法等法律如何回應新興技術帶來的風險挑戰。目前數字經濟快速發展、形态變化多樣、技術革新頻繁,并逐漸向穩定和成熟的發展階段轉化,此時如何平衡網絡安全和數字經濟發展,如何有效治理惡意網絡爬蟲行為及黑灰産業,不僅需要猛柯治病的勇氣,通過刑事手段遏制涉惡意網絡爬蟲行為犯罪,更需要各界共同積極探索,充分發揮法律和政策的智慧,方能發揮法律法規在行業保護與權利保障上的應有作用。