利用“爬虫”非法获取数据案评析：不完美法律制度下的解决方案

2019 年 2 月 26 日 炼数成金订阅号

2018年9月，北京市海淀区人民法院对全国首例利用“爬虫技术”侵入计算机系统抓取数据案作出判决。本案爬虫软件在数据抓取的过程中，使用了伪造device_id绕过服务器的身份校验，伪造UA及IP绕过服务器的访问频率限制等规避或突破计算机系统保护措施的手段获取数据，法院最终以非法获取计算机信息系统罪判决。此案对采用侵入技术手段非法获取数据的爬虫软件进行了法律定性，维护了科技创新健康发展秩序。

专家评析

非法获取计算机信息系统数据罪是刑法修正案（九）在刑法第285条增订的罪名，意在惩罚违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储或者处理的数据，情节严重的行为。

北京市海淀区人民法院（2017）京0108刑初2384号刑事判决书中显示，被告人采用技术手段破解被害单位的防抓取措施，使用“tt_spider”文件（该文件中包含通过头条号视频列表、分类视频列表、相关视频及评论3个接口对其服务器进行数据抓取，并将结果存入到数据库中的逻辑）实施视频数据抓取行为，在数据抓取的过程中使用伪造device_id绕过服务器的身份校验，使用伪造UA及IP绕过服务器的访问频率限制，其行为造成被害单位损失技术服务费2万元，从而构成非法获取计算机信息系统数据罪。

按照通常的理解，这是我国首例利用爬虫技术侵入计算机信息系统抓取数据案。与刑法第285条第3款所规定的专门用于侵入、非法控制计算机信息系统的程序、工具不同，爬虫技术本来是一种常见的数据抓取技术，最常见的领域就是搜索引擎。

正是爬虫技术的有效运用使得数据的共享和分析具有了广泛的可能，从而形成了互联网生态的多元繁荣。而本案的判决说明，任何技术的应用都必须遵循法律的框架，所谓中立的技术在非法意图的支配下仍然具有成立犯罪的可能。更重要的是，本案所使用的技术采取了伪造手段逃避服务器的身份校验以及使用伪造UA及IP绕过服务器的访问频率限制，已经构成前述两高解释针对刑法第285条第3款所解释的“具有避开或者突破计算机信息系统安全保护措施，未经授权或者超越授权获取计算机信息系统数据的功能”的“专门用于侵入、非法控制计算机信息系统的程序、工具”。

本案之所以引起较多关注，就是在于确认了此类行为的刑事违法性。这毫无疑问具有标志性的意义。不过，如果我们的分析仅仅局限于此，似乎并没有更多的刑法理论上的更新、突破。

实际上，如果我们更为仔细地探讨其中所涉及的规范和事实，似乎就可以看到这一罪名的构成要件在实际适用中所面临的不完美性以及既定规范条文的固有困境。本案所反映出来的这种立法和司法上的不完美性可能比前述刑事违法性的确认更具有启发意义，并因此对未来的数据法律制度构建具有更强的指导性。

成立本罪，应当具备情节严重的情形，按照2011年两高《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第1条规定，包含如下情形：获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息10组以上的；获取前述以外的身份认证信息500组以上的；违法所得5000元以上或者造成经济损失1万元以上的；其他情节严重的情形。

就本罪设立的目的而言，本来是为了保护数据的安全性，因此一般而言，非法获取的数据本身的重要与否、数量、性质等等特点决定了犯罪的成立和责任的轻重。但从前述适用于本罪的情节严重情形来看，却并未紧密地围绕数据本身来讨论犯罪的危害性，并确定其刑罚。

虽然考虑到身份认证信息尤其是涉及网络金融服务的身份认证信息的重要性而作出了区分性的特别规定，但是其余数据的类型划分、性质认定、数量识别、意义界定等等，前述司法解释均未能加以直接面对。考虑到数据的种类包罗万象，前述解释强调了身份认证信息的重要性，固然说明了此类信息的特殊性，但这种挂一漏万的作法从另一方面说明了数据本身在类型化、定量化上存在的困难，正是这样一种困难造成了目前的尴尬局面：我们打一个不太恰当但可能更为容易理解的比喻，就好像行为人非法侵入他人住宅盗窃住宅内的物品，但考虑到这些物品无法归类，且不易确定其价值，因此无法认定其行为成立盗窃罪，而不得不只能委婉地成立一个性质上相对较轻的非法侵入他人住宅罪。

也正是因为类型难以确认、价值难以评估等诸多困难，本案判决回避了犯罪行为所抓取的数据类型、数量、价值等，判决主文对此均未曾明确表述，也更未明确表明犯罪人的违法所得数额，而径直地认定这一行为造成被害单位损失技术服务费人民币2万元。这既不是犯罪人的目标所指，也不是被害单位的真正损失，更不是本案应蕴含的裁判价值。这只是一种便宜之计，司法解释也正是了解此种难度，所以才有了造成经济损失1万元以上成立本罪的规定。

不过，本案中，或者说我们回到刚刚非法侵入他人住宅罪的场景，这种经济损失并不是住宅内物品被非法获取而造成他人的财产损失，而是后来住宅所有人为了不让小偷进来而更换新锁的损失。

换言之，这并非基于数据本身的价值而造成的损失，而是围绕数据而产生的其他方面的损失。这样一种解释，迎合了不完美的、尴尬的、无奈的或者不伦不类的立法，在这样一种立法中，立法的目的似乎是为了保护数据本身，但实际上，数据本身没有得到应有的、真正的尊重，相反，保护数据的那些安全保护措施得到了超越性的尊重。这也正是我为什么要呼吁，应当对数据本身进行足够的精细研究，从而使得我们能够将尊重的关注点重新切换到数据本身。

也正是因为这样一种原因，非法获取计算机信息系统数据罪并没有放在侵犯财产罪这一章中，甚至也没有放在破坏社会主义市场经济秩序罪中，而是勉为其难地放在了妨害社会管理秩序罪中的破坏公共秩序罪这一节中。

这样一种法益的定位，却也正好在无意之间避免了一个更为令人苦恼也更本质化因此也需要尽快明确的争论：即被害单位是否能够以及如何论证其对数据的权属？

本案遵循了立法的逻辑，在立法中，数据的权属问题被刻意地回避，但被害单位对数据的产生、保存、分享进行了大量的投资，并因此产生了独立的利益，尤其是被害单位对数据进行了合理的保护，而数据的公开性和数据的受保护性之间并不矛盾，视频的可观看性和视频未经授权而禁止批量下载之间也完全可以兼容。

因此，针对数据的受保护性以及信息系统的安全性，被告人的行为具有了违法性，而违反了网络安全法第63条第3款的规定，即任何个人和组织都不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动，并进而构成了前述犯罪。

声明：文章收集于网络，为传播信息而发，如有侵权，请联系小编及时处理，谢谢！

文章来源：法律之旋转门