【摘要】互联网企业使用“爬虫”的行为非常普遍，随着涉互联网的刑法规制越来越严密，有很多使用“爬虫”的行为入刑，笔者根据裁判文书网的判决，归纳出互联网企业使用“爬虫”入刑的近百种行为，从“侵入”、“获取”、“控制”、“破坏”、“帮助”等五个涉刑的角度进行分析，结合刑事立案标准，总结出使用“爬虫”刑事合规的要点以及民事侵权与刑事犯罪的边界，供企业与法律实务界参考。

关键词：爬虫;抓取行为;法律漏洞;立法完善

一、使用“爬虫”“侵入”的行为

“侵入”的行为对应的罪名是非法侵入计算机信息系统罪，即刑法第二百八十五条第一款规定的：违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。

（一）入刑的侵入行为

根据裁判文书网的刑事判决，认定为刑法意义上的“侵入”行为有（行为很多，在此并不一一列举）：

1.使用破解他人软件登录密码的技术【龚俊鹏、骆龙非法侵入计算机信息系统亳州市谯城区人民法院（2018）皖1602刑初481号】

2.扫描网站漏洞后，使用技术工具侵入【广元市昭化区人民法院（2018）川0811刑初18号杨淼非法侵入计算机信息系统案、广州市番禺区人民法院（2018）粤0113刑初2551号郑伟豪非法侵入计算机信息系统案】

（二）本罪名规定的漏洞

由于这个罪名是1997年新设立的，鉴于当年的实际情况，也只有“国家、国防、尖端科技”才有计算机系统，民用的基本没有，所以立法时没有考虑对民用计算机信息系统的保护。随着社会的发展，民用计算机系统的总量突飞猛进，但刑法一直没有对规定的三种系统之外的计算机系统进行保护，所以这里就留下了一个漏洞：即侵入一般计算机信息系统不构成犯罪。

（三）突破《刑事诉讼法》证据体系的例外的证据类型——“检验结论”

根据《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》（以下简称《两高解释》）第十条的规定：“国家事务、国防建设、尖端科学技术领域的计算机信息系统”、“专门用于侵入、非法控制计算机信息系统的程序、工具”、“计算机病毒等破坏性程序”难以确定的，应当委托省级以上负责计算机信息系统安全保护管理工作的部门检验。司法机关根据“检验结论”，并结合案件具体情况认定。

这里出现了整个刑法、刑诉法及相关司法解释体系内唯一例外的证据类型“检验结论”。司法实践中明确规定了“检验报告”属于鉴定意见，适用鉴定意见的审查规则;但对“检验结论”尚无定论，在司法实践中司法机关一般依据“检验结论”定案，但一般并不依据《刑事诉讼法》关于鉴定意见的审查规则审查“检验结论”。同时，做出“检验结论”的机构并不需要相应的资质，造成的后果是：省级以上公安机关只要检验出来属于三种类型的信息系统，法官就会采信，就可以依据“检验结论”直接定案，客观上变成了公安定案，而且一般这种“检验结论”并没有人签名，没有人知道是谁做出这个结论的，也没有做出结论的依据的法律和标准以及做出的程序。

笔者认为，应当明确“检验结论”作为鉴定意见的一种，适用鉴定意见的审查规则。

二、使用“爬虫”的“获取”行为

“获取”行为对应刑法第二百八十五条第二款之一的规定：违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据的，是非法获取计算机信息系统数据罪。

（一）入刑的“获取”行为

根据裁判文书网的刑事判决，认定为刑法意义上的“获取”行为有：

1.使用伪造device_id绕过服务器的身份校验【北京市海淀区人民法院 （2017）京0108刑初2384号 上海晟品网络科技有限公司、侯明强等非法获取计算机信息系统数据案 】

2.使用伪造UA及IP绕过服务器的访问频率限制【北京市海淀区人民法院 （2017）京0108刑初2384号 上海晟品网络科技有限公司、侯明强等非法获取计算机信息系统数据案 】

3.利用“cookie”劫持的方式绕过该金刚系统权限认证【上海市青浦区人民法院（2014）青刑初字第1362号苏某等非法获取计算机信息系统数据案一审刑事判决书】

4.通过“SQL”注入攻击等方法获得网站的漏洞信息【南通市通州区人民法院（2017）苏0612刑初506号舒腾飞等人非法获取计算机信息系统数据、非法控制计算机信息系统案】

5.获取运营商服务器登录许可，并通过部署SD程序，从运营商服务器抓取采集网络用户的登录cookie数据【绍兴市越城区人民法院（2019）浙0602刑初1143号王志一非法获取计算机信息系统数据、非法控制计算机信息系统案】

（二）本罪名规定的漏洞

1.《刑法》规定了获取“数据”的行为构成犯罪，但非法获取“程序”并不在刑法规制的体系范围内。

2.《两高解释》更对《刑法》的规定做出了限制性解释：根据两高解释第一条第一、二款之规定，非法获取的“数据”仅限于“身份认证信息”。

3.本罪名两高解释虽然在第三、第四条做了兜底性规定，即非法获益5000元以上或者造成损失10000元以上的也构成犯罪，这里存在歧义：即这个金额是为了获取“身份认证信息”兜底，还是为了获取“身份认证信息”以外的信息兜底。

从立法精神来看，应当仅限于获取“身份认证信息”，且从相应的民事判决来看不正当竞争民事判决中，对于因非法“获取”数据造成损失200万以上的并不少见;如果以“获取”一般数据造成损失1万元就入罪的话，则那些不正当竞争民事案件中的情节就都够罪了，所以笔者认为，司法解释应当消除以上歧义。

（三）因“获取”对象的不同，造成法律后果也不同

1.“获取”身份认证信息的，达到立案标准的，抓取了十组以上网络金融服务的身份认证信息（例如支付结算、证券交易、期货交易等）、五百组以上身份认证信息、获利5000千元以上或造成他人经济损失10000元以上的，构成非法获取计算机信息系统数据罪;

2.“获取”他人著作侵犯著作权的，达到立案标准的（500部以上），构成侵犯著作权罪;达不到立案标准的，是对著作权的民事侵权;

3.“获取”公民个人信息，达到立案标准（标准比较复杂，这里就不引用了，见《侵犯公民个人信息司法解释》）的，构成侵犯公民个人信息罪;

4.“获取”他人商业秘密达到立案标准的（损失数额或者违法所得数额在三十万元以上的，或者直接导致商业秘密的权利人因重大经营困难而破产、倒闭的），构成侵犯商业秘密罪;

5.“获取”以上情节以外的数据的又使用的，不构成犯罪;造成侵权的，属于民事范畴的不正当竞争。

三、使用“爬虫”的“控制”行为

刑法第二百八十五条第二款之二规定的非法控制计算机信息系统罪：违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金;情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

以下手段是常见入刑的非法“控制”行为：

1.通过“SQL”注入攻击等方法获得网站的漏洞信息【南通市通州区人民法院（2017）苏0612刑初506号舒腾飞等人非法获取计算机信息系统数据、非法控制计算机信息系统案】

2.获取运营商服务器登录许可，并通过部署SD程序，从运营商服务器抓取采集网络用户的登录cookie数据【绍兴市越城区人民法院（2019）浙0602刑初1143号王志一非法获取计算机信息系统数据、非法控制计算机信息系统案】

3.通过上传含有自设密码的文件，对网站服务器权限进行非法控制【扬州市邗江区人民法院（2015）扬邗刑初字第00044号杨光义非法获取计算机信息系统数据、非法控制计算机信息系统案】

4.利用特定软件及购买的网站非法控制权限，将广告网页植入被非法控制的网站内，从而实现通过使用网站非法控制权限向网站内植入违法广告等方法非法控制站点。【吉林省长春市中级人民法院（2017）吉01刑终331号梁子健等人非法控制计算机信息系统案】

四、使用“爬虫”的“破坏”行为

《刑法》第二百八十六条规定了破坏计算机信息系统罪：“违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役;后果特别严重的，处五年以上有期徒刑。

违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。

故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚。”

（一）入刑的“爬虫”“破坏”行为

以下行为是常见的入刑破坏的模式：

1.通过植入木马病毒等方法控制他人计算机信息系统抓捕“肉鸡”【最高法公报案例：江苏省无锡市滨湖区人民检察院诉马志松等破坏计算机信息系统案】

2.采用DDOS攻击方式，利用大量网络服务请求来占用宽带网络资源，对他人网站平台进行非法干扰，致使平台服务器瘫痪、关闭【沈阳市和平区人民法院（2015）沈和刑初字第00024号缠某、荆某破坏计算机系统罪】

3.使用破坏性程序，逃避安全监测后上传至互联网。破坏性程序具备抓取客户端登录用户的账号、Clientkey、将程序链接上传等功能，会造成用户隐私信息泄露、财产损失等安全风险的【北京市东城区人民法院（2016）京0101刑初192号刘某破坏计算机信息系统案】

4.使用软件修改他人运营平台传输中的计算机命令的【北京市朝阳区人民法院（2017）京0105刑初369号王亮破坏计算机信息系统案】

4.使用软件对他人系统传输的数据包进行拦截、抓取后将数据进行篡改【江苏省苏州市中级人民法院（2018）苏05刑终445号林思渊、李县浩破坏计算机信息系统案】

（二）法律规定的漏洞

对比法条的第一、二款，我们可以看到对于信息系统功能本身的保护与系统内数据、程序的保护是不一样的，其中对破坏系统功能入罪的情形包括：删除、修改、增加、干扰，且要造成计算机信息系统不能正常运行，并且后果严重的;而对破坏数据、程序入罪的情形并没有“干扰”，且不需要造成“不能正常运行”的结果。

以上漏洞不知道是立法精神有意对两种情形进行区别对待，还是立法过程中出现的瑕疵，都是值得实务界人士关注的地方。

五、爬虫类入罪的“帮助”行为

《刑法》第二百八十五条第三款规定的提供侵入、非法控制计算机信息系统程序、工具罪，是指提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的。

（一）常见判决中的“帮助”行为

常见判决中的“帮助”类行为有：

1.制作可以绕过游戏安全检测程序的外挂程序，并对外销售谋取非法利益【成都市龙泉驿区人民法院 · （2014）龙泉刑初字第390号李寿斌、项人达、胡金龙提供侵入、非法控制计算机信息系统程序、工具罪】

2用计算机编程制针对网页漏洞进行攻击，并负责软件的运营、维护、推广、销售【 南城县人民法院 （2018）赣1021刑初13号 王铁、王帅提供侵入、非法控制计算机信息系统程序、工具案】

（二）刑法规定的漏洞

《刑法》规定中没有对向“破坏”行为提供程序和工具的行为做出规定。

从法定刑的设置可以看出，“破坏”性行为是计算机犯罪中刑罚最重的一类犯罪，但遗憾的是，这里帮助行为的实行行为化仅仅是针对帮助“侵入”和“控制”计算机信息系统的行为，竟然遗漏了把为“破坏”行为提供程序和工具的行为单独认定为犯罪，虽然这类行为也可以依据总论共犯理论得以解决，但是和严重的行为帮助行为实行行为化的立法精神相违背。

六、利用“爬虫”进行数据抓取的民事风险

互联网数据的抓取和使用可能引发的民事诉讼主要有三种案由，分别是不正当竞争纠纷（占75%）、著作权侵权纠纷、侵犯隐私权纠纷。

（一）不正当竞争纠纷分析

1.认定率

利用“爬虫技术”抓取信息涉及不正当竞争纠纷的诉讼中，95%被认定构成不正当竞争，构成侵权，认定率较高。

2.赔偿额

判决赔偿款项包括被侵权人经济损失及合理开支。其中支持的经济损失在2万元到300万元不等，200万元及以上的约占50%;合理开支在6000元到30万元不等，15万元以上的占70%。

3.典型行为

（1）无视他人网站设置的Robots协议，仍然对网站内容进行抓取。

（2）未经他人授权许可，利用网络爬虫等抓取技术，大量获取并且无偿使用他人收集、整理的数据并将数据用于经营行为。

（3）使用绕开或破坏他人网站技术保护措施的手段，实施抓取和展示他人网站数据的行为。

（4）第三方应用、软件与类似微博的开放平台（OpenAPI）合作，但未经开放平台用户同意也未取得平台授权，获取并使用平台用户的其他信息。

（5）有法院认为天眼查网站发布的信息来源于裁判文书网，属合法渠道获取的公开信息。

4.合规建议

（1）尽量避免采取具有妨碍他人网站正常运行的抓取技术手段，若基于利益考量仍然需要实施上述技术，需衡量可期待利益与预期损失之间的风险。

（2）尽量避免对同一个网站搜集大量数据并直接照搬使用。

（3）若需要抓取合作方的网站数据，也应取得授权后再使用。

（二）著作权侵权纠纷分析

1.认定率

利用“爬虫技术”抓取数据涉及著作权侵权纠纷的诉讼中，57%被认定构成不正当竞争，构成侵权。

2.赔偿额

可参考案例较少，但赔偿数额未见有10万以上的案例。

3.典型行为

（1）采用技术手段大量抓取他人网站收集的商户基本信息和点评内容数据，并刊登在自己网站或app上。

（2）未经同意转发了他人享有著作权的作品，在自己的网站上登载。

（3）网络服务提供者爬取海量数据，链接至他人网站，但没有采取合理、有效的技术措施防止侵权行为的发生。

（4）使用破坏技术措施获取他人网站数据，其中包含未经授权的他人作品，并在自己的软件或网站上提供。

4.合规建议

（1）抓取数据并在自己网站提供链接，使用户可以点击链接至他人网站，如果抓取范围较小，提供链接的网站要更重视审查链接网站有无侵犯他人著作权

（2）若抓取范围较大，他人提出可能构成侵权时，要尽快作出处理，避免因未及时删除承担相应责任

（三）隐私权侵权纠纷案分析

抓取用户个人信息并未经授权提供给他人使用，可能被用户起诉侵犯隐私权，也可能被起诉构成不正当竞争行为。其中，隐私权纠纷胜诉率明显低于不正当竞争纠纷的胜诉率。

七、结语

本文对互联网企业使用“爬虫”的合规风险进行了论述，希望这篇文章能够给企业合规经营提供一定的帮助。

本文同时论述了涉及使用“爬虫”的法律体系，在此希望立法机关能够借鉴国外的立法体系，对以下间接侵犯计算机数据和系统安全的犯罪进行规制：

（一）将生产、销售、为投入使用而（1）采购、进口、分发或者（2）其他使其可为他人获得、持有用于侵犯计算机数据和信息系统安全的特殊物品的行为;

（二）对数据探查、拦截的行为;

（三）探查与拦截的预备行为;

（四）数据窝藏的行为。

参考文献

1. 王华伟.我国网络犯罪立法的体系性评价与反思.法学杂志，2019（10）

2. 周立波.破坏计算机信息系统罪司法实践分析与刑法规范调适—基于100个司法判例的实证考察. 法治研究，2018（4）

3. 皮勇.网络犯罪立法兼顾本土化与国际化.检察日报，2020.04.08

4.米铁男.基于法益保护的计算机犯罪体系之重构. 河南大学学报，2014（7）

4. 喻海松.网络犯罪的刑事对策与审判疑难问题解析.人民司法，2013（23）

基金项目：1.《应用型法律人才培养理念下网络教学平台与法学课堂契合度研究》（项目编号：2019SJJXGG02），广东省教育厅质量工程项目，2019.

2.《社区矫正虚拟仿真实验室建设研究》（项目编号：202102484032），教育部实践条件和实践基地建设产学研课题，2021.

3.《社区矫正制度与实务》，广东省教育厅一流本科课程，2021.

4.《刑法总论》（项目编号：XJYXKC202132），广州商学院2021年度优秀课程，2021.