【作者】 楊志瓊(東南大學法學院講師,法學博士,東南大學法學院網絡安全法治研究中心研究員)
【來源】北大法寶法學期刊庫《比較法研究》2020年第4期(文末附本期期刊要目)。因篇幅較長,已略去原文注釋。
內容提要:網絡爬蟲具有促進數據共享與侵犯數據權利的兩面性,域內外司法實踐呈現出「嚴厲」與「緩和」的不同趨勢,但都未能有效識別網絡爬蟲的技術特徵和數據類型,由此而面臨部門法責任界分的難題。私法賦權和公法規制形成了當前各國數據保護體系,這啟發我們將網絡爬蟲的司法規制建立在數據權利的譜系分析之上,而網絡爬蟲的違法性判斷恰恰源於數據主體的上述權利安排,並與數據的開放程度和訪問權限密切相關。由此形成了網絡爬蟲歸責體系的兩個維度:在行為不法層面,違背民事合約與突破技術措施是界分網絡爬蟲民刑責任的形式標準;在對象不法層面,開放數據、限制重新使用的數據和限制訪問、獲取的數據是確定網絡爬蟲民刑責任內容的實質標準。
關鍵詞:網絡爬蟲;數據權利;訪問權限;開放程度
在當今數字經濟時代,網絡爬蟲成為數據資源取得與利用的重要手段,並引發了一系列的侵權糾紛、不正當競爭糾紛和刑事犯罪。如何區分網絡爬蟲的合法使用與違法犯罪成為當前亟需解決的司法難題。對此,民法學者在檢討私法規制的局限性之後開始關注數據的公共性原理及其公法規制框架,卻未能深入探討網絡爬蟲的入罪問題。而刑法學者在研究個人信息領域網絡爬蟲出入罪標準之後,亦未能深入研究網絡爬蟲的前置法規制框架。這種部門法研究各自為政、畫地為牢的割裂局面,不可避免地導致網絡爬蟲研究結論的片面性和裁判標準的不科學性。顯然,對於網絡爬蟲而言,「法律要規範的並非技術原理,而是技術運用所造成的當事人間的利益分配格局」。這要求我們將網絡爬蟲的司法規制追溯至部門法數據權利體系,並建構一個能充分平衡數據主體、數據網站和網絡爬蟲利益的操作規則,以合理確定網絡爬蟲的入罪邊界與責任類型。
一
域內外網絡爬蟲刑法規制的檢視:嚴厲與緩和的分野
網絡爬蟲(Web Crawler)是指利用「機器人」「蜘蛛」或「網絡瀏覽器」等程序從數據網站、手機APP、小程序、搜尋引擎中檢索、提取、收集數據的行為。網絡爬蟲能系統掃描、分析和保存有關網站的信息,幫助識別和提取數據以供分析,匯總來自不同來源的信息,並繪製出未經開發的伺服器和網站,因而廣泛運用於網際網路金融、天氣預報、招投標、視頻圖書類聚合平臺等領域。據統計,目前網站訪問量中約有1/4的網絡流量是通過數據抓取工具進行的,谷歌、百度、搜狗、必應等數據公司都普遍使用網絡爬蟲獲取數據資源。但網絡爬蟲同時也存在導致ICP網站擁堵,影響伺服器正常運行或者耗費伺服器資源等技術風險和侵害個人信息、智慧財產權等法益風險。美國民意研究協會(The American Association for Public Opinion Research)的研究報告指出,網絡爬蟲對數據所有權、數據管理、數據搜集權、隱私保護以及其他數據保護提出了政策挑戰。
(一)域內網絡爬蟲的刑法規制:嚴厲趨勢
近年來,我國對網絡爬蟲的司法規制在強化數據安全理念下日趨「嚴厲」,逐步由民事領域轉向刑事領域。如2013年百度訴奇虎360案、2015年新浪微博訴脈脈案、2016年大眾點評訴百度地圖案等僅將網絡爬蟲抓取數據認定為不正當競爭行為,確立了企業數據不能為其他競爭者獲取的裁判理念。而近年來司法實務對網絡爬蟲的刑事關注度不斷提升,如2017年運滿滿訴貨車幫侵犯個人信息案、酷米客訴車來了非法獲取數據案、晟名公司非法抓取視頻數據案等都因數據抓取而被起訴或定罪量刑,這些案例表明對網絡爬蟲的司法評價正逐漸由侵權行為、不正當競爭行為轉向犯罪行為,並成為懸在數據企業頭上的「達摩克裡斯之劍」。尤其是2019年以來,國內新顏、魔蠍等多家數據公司高管因涉嫌數據抓取業務被警方帶走調查,此後,金融行業率先發文對網絡爬蟲進行「圍剿」,都為蓬勃發展的數據產業蒙上一層陰影。
梳理上述網絡爬蟲典型案例可發現,我國司法對網絡爬蟲的「嚴厲」態勢大致遵循了如下路線:首先,不識別網絡爬蟲的技術特徵而一律入罪。網絡爬蟲抓取數據的方式多樣,既包括獲得數據網站同意的爬取行為;也包括違背數據網站授權意思的爬取,如違反爬蟲協議、服務協議、點擊生效協議、瀏覽生效協議等;還包括故意避開或強行突破數據網站安全措施的爬取,如對數據進行解碼、解密或者用其他方法避開、越過、癱瘓、去除、取消或毀損技術措施。數據保障措施的複雜程度與追責可能性密切相關,數據網站不能對其未能有效保護的數據提起訴訟。網絡爬蟲面臨的數據網站的技術排他性不同,抓取數據行為所承擔的法律責任亦不相同,但當前我國司法實務卻將上述情形等同視之,一概入罪,不當擴大了網絡爬蟲入罪範圍。其次,不區分網絡爬蟲抓取的數據類型而一律入罪。實務中網絡爬蟲抓取的數據類型不一,既包括數據網站完全開放的數據,如中國裁判文書網公開的裁判文書;也包括允許註冊用戶用帳號登錄後訪問、瀏覽但不允許不當利用的數據,如酷米客公交後臺數據可供註冊用戶瀏覽,但不允許競爭對手爬取後用於不正當競爭;還包括數據網站嚴禁獲取的數據,如作為公司商業秘密且採取保密措施的數據。網絡爬蟲抓取的數據類型取決於數據網站的授權目的、保護需求,數據的排他性需求越低,法益保護需求就越低,網絡爬蟲所面臨的法律責任亦愈低,但當前我國司法實務對網絡爬蟲抓取的數據類型不加區分而一概入罪,擴大了網絡爬蟲的處罰範圍。
從實效來看,網絡爬蟲的權益侵害和行為模式涉及多個部門法責任,但我國司法實務對網絡爬蟲的經驗累積和規範評價明顯不足,難以合理確定網絡爬蟲的責任類型。究其原因,首先,未能對不同技術特徵的網絡爬蟲確立不同的評價標準。網絡爬蟲的違法性判斷取決於是否「未經授權」,從技術角度而言,「未經授權」的方式包括明示與暗示:明示的「未經授權」包括與員工籤訂保密協議、網頁上標註的禁止爬蟲的警告、合同使用條款說明等;暗示的「未經授權」主要是指密碼認證,如用戶通過密碼來獲取訪問權限,如果規避技術訪問屏障、繞開認證,就屬於「未經授權」。而我國刑法對網絡爬蟲涉及的非法獲取計算機信息系統數據罪、侵犯公民個人信息罪中「行為不法」的「獲取」要件規定得過於簡單,相關司法解釋也未能給予進一步的規定,導致上述罪名對網絡爬蟲的解釋力和涵攝力大大降低而難以作出準確評價。其次,未能對不同類型數據確立不同的獲取、利用規則。數據的公開方式多種多樣,帶來的風險也不盡相同,所體現的法益侵害與責任輕重也不相同,應將數據開放與受限公開、託管訪問等進行分類保護。這就要求對數據自身內容、使用價值和侵害風險進行獨立的規範評價,以體現不同保護、利用需求。如開放數據與非開放數據的開放性、共享性不同,所體現的法益侵害和責任輕重也不盡相同,應在網絡爬蟲歸責時進行不同層次的分析。但我國司法實務卻未對不同類型數據「分而治之」,將網絡爬蟲抓取公開數據的行為入罪在當前司法實務中較為常見,其合理性卻值得質疑。最後,未能合理確定網絡爬蟲的入罪情節而導致入罪過廣。刑法對非法獲取計算機信息系統數據罪、侵犯公民個人信息罪等的「結果不法」規定了兩種認定標準:一是獲取特定類型的數據(如身份認證信息)達到一定數量;二是造成一定數額的經濟後果,如違法所得或經濟損失。由於上述認定標準的數額普遍偏低,極大地降低了入罪門檻,導致動輒抓取海量規模數據的網絡爬蟲具有先天入罪基因。加之上述標準在司法實務中極易得到證明而被廣泛採用,使得刑法在網絡爬蟲案件中一路「攻城略地」,逼窄了民法的適用空間,導致網絡爬蟲民刑責任進一步模糊。
(二)域外網絡爬蟲的刑法規制:緩和趨勢
域外網絡爬蟲案件主要涉及直接商業競爭對手之間或彼此緊密相鄰的市場主體之間的訴訟糾紛。對網絡爬蟲主張法律責任已成為數據經營者用來消除商業競爭對手的主要手段,eBay、LinkedIn、Craigslist、Ticketmaster都曾對經營模式上具有數據依賴性的競爭對手採取過類似的法律策略。在推崇數據共享且網絡信息科技產業最為發達的美國,基於數據經濟驅動功能發展出的多種數據紅利共享計劃極大地推動了數據流動和再利用。而與網絡爬蟲「如影隨形」的美國《計算機詐欺及濫用法案》(Computer Fraud and Abuse Act,CFAA),是全美乃至全球研究者最為關注的立法,也是近年來美國司法實務判斷網絡爬蟲法律責任的主要依據。
考察美國近年來的司法實踐,可以發現判例對網絡爬蟲適用CFAA刑事責任的反思與猶豫,並在鼓勵數據再利用和促進數位技術發展的理念下日趨「緩和」。這主要表現在:首先,從合同責任理論走向技術責任理論,採用基於代碼的授權機制來限縮網絡爬蟲的入罪範圍。以往判例對於網絡爬蟲抓取數據是否被「授權」的判斷曾經採取寬泛的入罪標準,幾乎所有能顯示數據網站對網絡爬蟲不滿的信號都足以讓法官認定訪問是「未經授權」的,如違反數據網站使用條款、違反僱員忠誠義務、違反保密協議、違反資料庫授權或其他合同限制都被認為「未經授權」或「超越授權」,甚至有判例認為數據網站對網絡爬蟲提起控訴就足以證明抓取「未經授權」。上述觀點被批判為以數據網站自身利益作為網絡爬蟲入罪的判斷標準,具有將網際網路中合同違約行為演變為刑事犯罪的風險。因而,近年來多數學者主張以技術規則為基礎的代碼理論作為抓取「授權」的判斷標準,以區分有害的數據抓取和有益的數據抓取。這種趨向於審查技術保護措施的責任標準對網絡爬蟲顯示出極大的容忍度,使其入罪率大大降低。其次,對抓取公開數據行為採取「明確分割規則」將使部分網絡爬蟲免於訴訟。2017年美國HiQ v. Linkedln案首次闡明了為保護數據自由競爭秩序,數據使用者可以正當獲取、使用數據網站的公開數據。本案中HiQ抓取的是Linkedln的公開數據,而非有技術保障措施的數據。對此,學界基於網際網路共享功能和開放目的主張對公開數據抓取應採取「明確分割規則」,認為滿足下列條件的網絡爬蟲將免於訴訟:(1)抓取行為沒有在技術上使數據網站的負擔過重;(2)抓取的是公開而不具有技術保護措施的數據;(3)抓取數據沒有侵犯他人的信息權、智慧財產權等權利;(4)所抓取的數據被用於創建變革性產品,而非以類似產品來竊取數據網站的市場份額。受判例法傳統以及HiQ v. Linkedln在競爭法領域的深遠影響,上述「明確分割規則」將善意的、有利於數據收集和流通的網絡爬蟲排除在了司法糾紛之外,大幅度降低了網絡爬蟲的處罰範圍。
從實效來看,在過去10年間美國法院通過一系列解釋性操作重塑了網絡爬蟲的司法格局,這代表了當前數據共享理念和數位技術發展背景下網絡爬蟲司法判斷的全球共性問題。但前述「緩和」趨勢也導致網絡爬蟲的部門法責任難以界分。首先,網絡技術規則的法律效力難以識別和證成,導致網絡爬蟲的民刑責任混淆不清。對網絡爬蟲的法律規制,不僅要適用現有的法律規範,還應將網絡技術規則作為政策事項來對待。美國CFAA同時包含了民事責任條款和刑事責任條款,而數據抓取案件大多是在民事背景下產生,作為民事責任基礎的行為同時也是作為刑事責任基礎的行為,使得網絡爬蟲的民刑責任本身就難以界分。加之CFAA對數據抓取中「未經授權」「超越授權」等規範性要素並未作出明確規定,實務中法院通常以「平常的、當代的、常用的」方式予以解釋,但普通法既未對爬蟲協議、服務協議、身份認證機制等網絡技術規則的法律效力作出明確規定,也未能為網絡爬蟲侵權訴訟提供足夠清晰的操作規則,任何違反數據網站隱晦或明確授權意思的抓取行為都可能被認定為「未經授權」,導致網絡爬蟲的民事違約和刑事犯罪難以區分。其次,現有判例對開放數據和私人數據的二分法處理使網絡爬蟲民刑責任的界分面臨新的挑戰。由於網絡效應和鎖定效應,數據資源已成為上遊數據控制者的競爭優勢,並成為下遊數據使用者進入相關市場的壁壘,因而,當前司法規制的主要目的是對數據濫用或競爭失序進行糾偏,而非阻止數據分享和流動,以服務於數據產業的良性發展需求。在HiQ v. Linkedln案中,涉案雙方都聲稱自己的主張能最大程度地促進網絡數據的流動,有利於公共利益。法院最終認定,選擇公開其數據的用戶應預料到他們的公開數據將被搜集、挖掘、整合及分析。如果賦予Linkedln等數據企業任意決定誰可以收集、使用其數據,將會造成數據壟斷的風險,進而危害公眾利益。該案突破合同法思維和CFAA的限制,引入了公共利益考量,將CFAA的解釋重心從傳統的「未經授權」延伸至「受保護的計算機」,如果被訪問、抓取的數據是向公眾開放的數據,則不屬於CFAA中「受保護的計算機」,抓取行為亦不受CFAA刑事條款規制。這意味著網絡爬蟲刑事責任認定逐步讓位於數據反壟斷的公共政策需求,即對於公共領域的數據抓取應謹慎入罪,使網絡爬蟲的民刑責任面臨重新劃分的難題。
綜上可見,域內外對網絡爬蟲「嚴厲」與「緩和」的不同司法趨勢都面臨其合法使用與違法犯罪的界分難題,而司法裁判亦在數據保護與共享之間搖擺不定,難以抉擇。其核心問題在於如何準確識別網絡爬蟲的技術特徵和數據類型並分而治之。這要求我們必須充分考察網絡爬蟲的技術排他性和數據排他性,並在衡量數據網站和網絡爬蟲利益的基礎上形成合理的入罪體系。
二
網絡爬蟲刑法規制的教義學基礎:數據權利的譜系分析
對數據主體、數據網站利益訴求的司法回應是對數據權利化,因為「法律要規範的並非技術原理,而是技術運用所造成的當事人間的利益分配格局」。網絡爬蟲司法規制涉及合同法、侵權法、競爭法、刑法等多個部門法,不同部門法的理念和特徵決定了其在觀察維度和規制範疇上的差異,這是確定網絡爬蟲行為邊界的教義學起點。其中,民法看重數據的隱私保護和商業利用價值,重視事前對數據「賦權」以制止網絡爬蟲的侵權行為;競爭法著重數據競爭秩序建構,重視事後對競爭利益損害進行追認以制止網絡爬蟲的不正當競爭行為;而刑法偏重網絡數據安全保護,重視事後對網絡爬蟲法益侵害進行認定以懲罰犯罪。
(一)網絡爬蟲侵害的民事權利:個人信息權、財產權、智慧財產權
民法領域網絡爬蟲侵權對象包括個人數據(個人信息)與企業數據,前者以用戶個人權益為中心,後者以數據企業權益為中心。
(1)對網絡爬蟲侵害的個人數據的權利屬性主要存在人格權說、財產權說等觀點,旨在防止個人信息的不當搜集和濫用。人格權說賦予數據主體個人信息權,強調自然人對其個人數據被收集、存儲、轉讓和使用過程的自主決定利益,這種權利不止於消極排除他人使用,也強調在意思自治下允許他人積極利用。但弔詭的是,雖然學界和立法者普遍認為個人信息權不同於傳統隱私權並嘗試在立法上將二者分立,但實證研究顯示,以擴張隱私權外延的方式保護被網絡爬蟲抓取的個人數據卻是當前我國民法實務的主要做法。此外,對個人數據的財產化(data propertization)旨在保障數據主體能從對自身數據的收集、利用中獲益,並強化數據本身的經濟驅動功能,以打破傳統隱私權、信息權過度保護而阻礙數據流通的僵局。但財產權保護只能說明個人數據法律保護的必要性,卻不能作為採取絕對權保護模式的依據,且當前我國司法實務中亦無判決認可個人數據的財產權屬性,可見個人數據的財產權保護進路與現實生活經驗、需求並不吻合。這導致以個人數據財產侵權來追究網絡爬蟲民事責任難以實現。
(2)對網絡爬蟲侵害的企業數據的權利屬性主要存在智慧財產權說和財產權說等觀點,旨在保護企業數據的前期投入和後期收益。在智慧財產權領域,企業數據的權利類型主要涉及著作權、專利權、商業秘密等。其中,著作權保護僅針對企業數據中具有「獨創性」的作品部分,而不包括缺乏獨創性的企業數據編排;專利權保護僅針對具有鮮明技術屬性並能解決一定技術問題的大數據運算程序,但不包括缺乏新穎性、非顯而易見性和實用性的企業數據編排;商業秘密保護僅針對具有價值性、新穎性和保密性的企業數據,而不包括缺乏新穎性、秘密性的企業原初數據。上述技術特徵導致實務中通過智慧財產權保護對網絡爬蟲提起訴訟存在較大障礙。對於企業數據的財產權保護,主要考慮數據經營者通過對數據的收集、加工、利用、交易等而形成了動態的使用、利益關係,獲得了數據資產的經營權和資產權。這種財產權旨在安排一種鼓勵企業數據經濟化的私有結構,以體現企業數據的可支配性和排他佔有性私益,卻又面臨相關財產權的控制、分享、救濟難題。
顯然,個人數據與企業數據在理論維度和價值目標上存在較大差異,在面對網絡爬蟲時的保護力度、廣度也就不盡相同,因而一概「權利化」並不能真正解決本質問題。更重要的是,上述分類忽略了與個人數據、企業數據無關的大量非結構化數據--由單個數據組成的集合體,包含了「海量」特性但又缺乏「技術分析、加工」的無數個低價值數據和無價值數據。這些非結構化數據多是收集者非法抓取且未經編排而隨意堆積的初始數據,收集者無意了解數據的具體內容,更無意對其加工整理,僅在非法獲取後用來實施違法犯罪或轉賣他人。由於其既不能識別個人信息,也不具有智慧財產權價值或財產權價值,因而向來為民法研究者所忽視。但從當前數據犯罪的黑灰產業生態來看,這類非結構化數據恰恰處於數據犯罪鏈條的前端,網絡爬蟲隨意抓取上述數據仍存在法益侵害風險,應受到法律的保護。
對數據「權利化」的私法保護進路是通過對個人數據、企業數據的迭加式賦權來回應數據主體的利益訴求,卻在權益層級方面(民事權利或利益)和權益屬性方面(人格權、財產權)歷經曠日持久的爭論,導致網絡爬蟲的民法規制在權利確定、行為邊界和權利救濟上都相當困難。其根本原因在於,私法賦權忽略了數據本身的無形性、可分享性、公共性特點以及數據必須通過分享來實現自身價值的客觀事實,因而,基於數據的流動性、共享性對數據的開放程度及其公共秩序建構成為規制網絡爬蟲的另一個重要手段。
(二)網絡爬蟲侵害的競爭法權益:競爭秩序、經營者利益、消費者利益
競爭法視域下網絡爬蟲糾紛演化為數據資源的爭奪、競爭,但關注的重點不在於數據確權,而在於具有競爭關係的企業獲取、利用數據的行為是否構成不正當競爭。當前司法實務主要利用《反不正當競爭法》第2條的一般條款對網絡爬蟲案件進行處理,該條闡述了不正當競爭行為的基本元素,即違反競爭原則(如誠實信用和商業道德)和損害市場競爭秩序、經營者利益、消費者利益,因而,由競爭秩序、經營者利益、消費者利益組成的「三疊加」法益成為我國不正當競爭法所保護的權益。這種「功能性的市場取向法」(the functional market-based approach)詮釋了現代競爭法的基本理念,要求數據競爭的利益衡量規則必須充分考慮數據經營者、數據用戶和社會公眾的決策自由和利益平衡。
(1)網絡爬蟲侵害的數據競爭秩序包括公平、自由的競爭秩序。從競爭法的角度而言,規制數據競爭的核心目標是維護數據要素市場的競爭秩序和競爭機制,這既需要兼顧數據控制方與數據使用方的利益訴求,也需要均衡數據資源的產出激勵效率和配置使用效率。當前數據競爭的實質是上下遊數據競爭者之間的利益博弈,上遊數據企業基於對數據資源的巨大投資和收益期待,產生了數據保護訴求;下遊數據企業基於網際網路「互聯互通」精神倡導數據流通和開放共享,產生了數據共享訴求。因而,對數據競爭秩序的維護包括對公平數據競爭秩序的維護和對自由數據競爭秩序的維護:前者需要關注數據使用者的不正當競爭行為,如利用網絡爬蟲惡意竊取競爭對手的數據資源,攫取他人競爭優勢的「搭便車」行為;後者需要考察數據控制者限制競爭的不當壟斷、圈佔數據行為,如利用服務條款、技術措施等有針對性地拒絕他人獲取數據以打壓潛在競爭對手。在HiQ v. Linkedln案中,法院要求Linkedln必須在24小時之內移除妨害HiQ獲取期公開數據的技術障礙的禁令,是因為《謝爾曼法》禁止公司利用壟斷權力阻止競爭或獲得競爭優勢、摧毀競爭對手,而Linkedln拒絕爬取的數據壟斷行為顯然不利於數據流動及數位技術發展。
(2)網絡爬蟲侵害的經營者權益表現為財產性權益。競爭法歷來保護誠實經營者免受不誠信競爭對手的商業攻擊,因而多對經營者予以「權利化」保護,典型的是將競爭成果「權利化」、「財產化」,甚至「法益化」。在大眾點評訴愛幫網案、淘寶訴美景案等網絡爬蟲案中,我國法院逐步認可了數據經營者對於企業數據享有競爭法上的財產性權益,並成為諸多判例認定不正當競爭損害的關鍵。雖然多數企業數據缺乏創造性而不能獲得智慧財產權的保護,但這些企業數據是數據企業長期經營積累形成的,具有商業價值,能夠為企業帶來直接經濟收入,因而應受到競爭法保護。如在酷米客訴車來了抓取公交後臺數據案中,法院認為公交車作為公共運輸工具,其實時運行路線、運行時間等信息雖然是客觀事實,但當此類信息經過人工收集、分析、編輯、整合併配合GPS精確定位後已成為公交信息查詢軟體的後臺數據,具有了實用性並能夠為權利人帶來經濟利益,已具備無形財產屬性,權利人對該數據享有佔有、使用、收益及處分權益。
(3)網絡爬蟲侵害的消費者權益被「附屬化」。競爭法保護消費者基於決策自由所產生的利益以及其人格權、財產權等不受侵害。如在新浪微博訴脈脈案中,二審法院認為脈脈通過用戶上傳手機通訊錄展示非脈脈用戶的微博信息,損害了非脈脈用戶的知情權和選擇權,因而構成不正當競爭。網絡爬蟲抓取數據可能侵犯消費者的數據知情權、攜帶權、遺忘權等數據權利,但多數數據不正當競爭糾紛的提起和裁判都跨越了數據權屬爭議,在沒有消費者參與的情形下,直接將企業收集、整理的數據認定為企業經營的核心競爭資源。作為消費者的用戶數據權益已淪為競爭法裁判的隱性影響因素,而數據經營者的大數據競爭優勢才是主要保護對象。如在HiQ v. Linkedlin案中,法官對數據抓取可能侵犯的個人隱私權保持緘默態度,而對企業數據的競爭法品性著墨頗多,結果是消費者個人的權利救濟機制將隱匿不見,企業之間的利益競爭乃至依託公權力的救濟機製成為網絡爬蟲糾紛的訴訟主流。
通過反不正當競爭法來保護被網絡爬蟲抓取的企業數據已成為數據行業的通行做法,併集中體現出「數據正在改變競爭的性質與方式」的整體趨勢。就此而言,反不正當競爭法和民法、智慧財產權法在規制網絡爬蟲的立法目的上存在差異:民法、智慧財產權法旨在保護具有權利屬性的數據產品而禁止網絡爬蟲侵權行為,反不正當競爭法旨在維護市場競爭秩序而防止「食人而肥」等網絡爬蟲不正當競爭行為。但當數據私法確權存在爭議時,利用《反不正當競爭法》第2條的一般條款對網絡爬蟲案件進行處理可以有效迴避對數據權屬認定難題和損害賠償難題,因而更具司法便利性。
(三)網絡爬蟲侵害的刑法法益:傳統法益與數據安全新型法益
大數據背景下網絡爬蟲侵權過程可能發生於數據處理的多個環節,尤其是抓取數據後洩露、濫用而產生下遊犯罪、社會分層、消費操控等衍生性、繼發性新型損害,使得傳統侵權法難堪重任,網絡爬蟲被公法「俘獲」成為必然。事實上,早在數據的私權爭議之前,刑法就已經對數據表徵的各類權利進行保護,而且比民法的保護力度更強,規範也更為完善,在立法和司法上都呈現出「先刑後民」的格局,如《刑法修正案(七)》《刑法修正案(九)》對數據犯罪、侵犯公民個人信息罪的增設、修訂以及與之相關的多個司法解釋,都為公檢法系統依法偵查、起訴、審判網絡爬蟲提供了有力依據。
從保護法益的範圍來看,刑法較之民法和競爭法更為周延,因為刑法並未從數據主體角度來確定數據法益,而是從數據所具有的表徵傳統法益和新型法益的多重功能出發,涵蓋了所有數據私權在刑法領域的映射,為應對各類網絡爬蟲的法益侵害預留了足夠的空間。
(1)網絡爬蟲侵害了數據表徵的傳統法益,依其特定內涵和識別標誌可包括個人信息權、財產權、智慧財產權等。其中,具有「識別可能性」的數據表徵了個人信息權,因為只有能夠識別特定個人的數據才具有侵犯個人信息權的隱憂,應成為個人信息法的保護對象,這恰好與民法中的「個人數據」範疇相對應。具有經濟價值和可轉移性的數據表徵了財產法益,主要體現為財產性利益,因為數據產生、利用、交易中所體現的利益形態和財產價值已不言而喻,數據主體相應的財產權應受到法律保護。具有「創造性」的數據表徵了智慧財產權,具體包括「獨創性」的著作權和具有「秘密性」的商業秘密權等,其價值在於維護權利人的專有控制力以及排他性處分、使用收益權能。上述數據表徵的傳統法益回應了民法中個人數據和企業數據的保護需求,是數據的私權屬性在刑法領域的映射。
(2)網絡爬蟲侵害了數據表徵的新型法益--數據安全法益。隨著數位化技術的發展,數據利用滲透至生活的每一個角落,針對數據的竊取、篡改、破壞、擴散等行為日益增多,並轉化成整體的資訊風險,對數據主體的使用、處分權能造成極大威脅,因而產生了針對數據自身安全的獨立保護需求。這催生了新的數據法益--數據安全法益,包括數據的保密性(confidentiality)、完整性(integrity)和可用性(availability),旨在保護數據利用的三個面向(CIA triad):數據的「保密性」是指確保數據免受未授權人探知、獲悉、使用;數據「完整性」是指確保數據不被修改或損害;數據「可用性」是指確保權利人能及時、有效地獲取、使用數據。當前,各國主要通過「身份認證、訪問控制、安全管理審計、平臺基線配置等大數據平臺安全技術,以及數據防洩漏、業務數據風險管理、結構化和非結構化數據保護等安全制度,確保數據的保密性、完整性、可用性」。數據安全法益彌補了民法對非結構化數據的權利的忽視,並採取預備行為實行化的策略將網絡爬蟲非法獲取數據的行為納入刑法保護範疇,如我國《刑法》第285條第2款規定的非法獲取計算機信息系統數據罪。
綜上可見,各國有關網絡爬蟲的法律規制都確立私法賦權與公法規制雙管齊下的治理模式:私法賦權是通過確立數據的權利屬性而對數據予以制度保護;公法規制則旨在規範數據收集、存儲、轉讓、使用等。這要求我們將網絡爬蟲的歸責體系建立在部門法數據權利譜系的分析基礎之上,以全面判定網絡爬蟲可能落入的部門法規制範疇,確定其責任類型。
三
網絡爬蟲刑法規制的出路:訪問權限與開放程度
隨著社會將數位技術應用於更多有益目的,必須在法律層面明確區分網絡爬蟲的合法使用和違法犯罪。無論是私法領域數據確權還是刑法領域數據法益保護,網絡爬蟲抓取數據的正當性、有效性都源於數據主體的授權,這種授權與數據的訪問權限和開放程度密切相關,由此衍生出的技術排他性規則和數據排他性規則構成了網絡爬蟲入罪判斷的兩個維度,並依法益侵害程度形成侵權責任→不正當競爭法責任→刑事責任的責任梯度。
(一)行為不法:數據的訪問權限
數據的訪問權限是界定網絡爬蟲法律責任的關鍵要素,要求對抓取是否被「授權」進行規範性解釋。為了維護數據安全,防止非法抓取,通常要求數據網站主觀上對數據具有保護的意思,客觀上採取一定的安全防控措施。這些保護措施包括:(1)合約授權,即通過意思表示允許或禁止他人訪問、獲取數據。如Facebook、LinkedIn、eBay、Craigslist等都在其網站中設置爬蟲協議、用戶協議、權責聲明、使用條款、服務條件等對網絡爬蟲進行限制。(2)技術措施,即通過設置各種技術性手段來監控、防止數據抓取。如監控網站流量、設置身份驗證措施等。違反合約授權或突破技術措施意味著對數據權利的侵犯,但合約授權和技術措施所體現的數據保護意願、自治能力及法律實效均不同,所承擔的法律責任也不相同。這構成規制網絡爬蟲的第一個維度,並決定了其民事不法與刑事不法的界限。
1.違反合約授權的網絡爬蟲僅承擔民事責任
對於網絡爬蟲可能違反的合約授權類型包括數據網站單方面授權的意思通知和數據網站與用戶之間存在合同的情形。
首先,基於數據網站單方面授權的意思表示。該觀點認為網絡爬蟲違法性判斷取決於數據網站允許抓取的意思表達。重點考察:其一,數據網站如何通知用戶其限制訪問的意思。積極的意思表達通常被認定為有效的意思表示,而消極的不表達則難以起到禁止抓取的作用。其二,何種內容的通知有資格作為抓取限制。如果將所爬取的數據用於未經授權的目的,則違背了數據網站的限制訪問意思。實務中基於數據網站單方面授權的意思表示包括基於使用條款和其他單方面聲明的授權,如網站上的告知、警告、彈窗等,以及數據產品中的備註說明、解釋等,典型的是爬蟲協議,會告知允許或禁止抓取的數據範圍。只要有足夠的證據來證明通知意思到達了網絡爬蟲並且被閱讀理解了,則違背通知意思的數據抓取是「未經授權」的。美國判例強調數據網站限制抓取的意思表達必須以訪問用戶所能明確知悉的方式來告知,否則不承認其法律效力。如在Cvent, Inc. v. Eventbrite, Inc.案中,法院認為原告的限制抓取的意思表達「未能以用戶可能注意到的方式顯示在網站上」,因為訪問連結「被埋在第一頁的底部,字體非常小,並且條款本身非常長而難以被完整閱讀、理解」,因而對於沒有積極採取安全措施阻止他人抓取數據的數據網站,難以承認其損害。同樣地,在2006年我國泛亞訴百度侵犯著作權案中,法院最終認定,如果被連結網站沒有建立禁鏈的協議,對搜尋引擎服務系統而言,意味著對該網站可以互聯互通、信息共享。因此,被告提供搜尋引擎服務並沒有侵犯原告著作權的主觀故意和過失,不構成著作權侵權。
其次,基於用戶與數據網站之間的合同關係。該觀點認為,網絡爬蟲違法性判斷取決於訪問者與數據網站之間是否存在明確的合同關係,重點考察抓取行為是否違反了網站的用戶協議、使用條款或服務條件等。當前幾乎每個數據網站都部署了服務條款作為訪問網站的內容條件,在用戶訪問數據時,雙方受到隱含或明確規定對數據訪問權限的合同約束。如果數據網站在其使用條款中包括了訪問者不能獲取的數據,而訪問者繼續獲取數據,則數據網站可以提起違約訴訟。這類合同通常涉及點擊生效協議(clickwrap)或瀏覽生效協議(browserwrap)。在點擊生效的情況下,網站用戶在使用之前點擊「我同意」或「我接受」等選項就表示已同意數據網站的授權內容並受合同法的約束。相比之下,瀏覽生效協議只有使用條款的連結出現在網站(通常是在一個不顯眼的地方,如網頁的最底部),此時,數據網站必須顯示實質性或建設性的合同條款,以確定授權內容的拘束力。在這類案件中,法院通常會評估:其一,數據網站是否對數據抓取給予了合理的條款通知或明確同意。如用戶協議、服務條款、權責說明等都表明了數據主體的授權內容。其二,何種意思表達有資格作為訪問限制。數據網站基於自身利益的單方面規定顯然不如網絡空間公認的社會規範更具認可度。其三,用戶是否對數據訪問、使用的合同條款進行了實質性的了解並作出真實的意思表示。當數據網站合同條款的內容過於專業、內容晦澀且被置於不易被用戶閱讀的位置時,判例對該合同條款的效力會存在爭議。
合約授權體現了數據網站對數據的「弱」保護意願,是披著契約外衣的「私立規則」,不具有技術上的強制作用,即無論網站所有者在合同條款中服務協議和終止信、停止函的措辭如何,違背合同規定的數據抓取都只構成違約責任,應採用傳統的合同法規則和補救措施予以規範和制止。顯然,「合同既是實現此類數據信息的重要工具,又是行使其權利的法律邊界」。值得關注的是,合約授權意味著由數據網站依據自身利益來設定數據抓取的權利義務,進而影響「抓取」的違法判斷。這被批判為通過授予數據網站廣泛權限來定義「授權」,實質是將網絡爬蟲違法犯罪的判斷委託給數據網站,使得網絡用戶普遍面臨入罪風險,嚴重侵犯了受憲法保護的網絡行為。尤其是在數據競爭背景下,數據網站的使用條款可能禁止競爭對手訪問該網站,從而造成數據壟斷並影響數據流通。
2.故意避開或強行突破網站技術措施的網絡爬蟲需要承擔刑事責任
美國學界在批判前述合約授權理論的缺陷時提出了代碼理論,認為只有迴避或突破計算機信息系統中代碼屏障的訪問才是非法的。當數據網站希望藉助網絡來保護其數據安全時,通常會對計算機軟體進行編碼,以授予特定用戶對數據的訪問權限,同時將其他人排除在訪問範圍之外。這種方法其實通過計算機代碼來創建一個屏障,以阻止用戶超越其在網絡上的訪問權限。當抓取者繞過受保護的計算機的代碼屏障時,就是未經授權訪問、抓取數據。美國著名數據犯罪專家奧爾·科林(Orin S. Kerr)教授在最新研究中認為這種代碼機制是身份驗證。雖然網絡是開放的,但數據網站通常會對網站訪問權限進行限制,以區分開放空間和封閉空間。身份驗證恰好創建了一個必要的屏障,既可以保護隱私,又可以在網上劃分公共訪問權限。因此繞過身份驗證時應被視為「未經授權」的非法侵入網絡空間。典型的身份驗證機制是密碼認證,如在登陸某個網站的時候需要輸入帳號和密碼,這就在暗示用戶需要通過密碼來獲取訪問權限,如果繞開了認證予以暴力訪問,那麼可以被推定為「未經授權」而構成犯罪。而事實上,除了身份驗證措施之外,數據網站採取的防止爬蟲的常見技術手段還包括IP限制、驗證碼、登陸限制、數據偽裝、參數籤名、隱藏驗證和阻止調試等。這些反爬技術措施在維繫數據網站服務質量的同時確保了數據不被爬取。
代碼理論體現了數據主體對數據的「強」保護意願,是依據技術措施來確定網絡爬蟲的行為邊界,能在用戶隱私保護與數據共享之間劃定明確的界限,當抓取者在明知沒有授權而故意避開或強行突破技術措施時,屬於「未經授權」訪問或獲取數據。與違反合約授權的數據抓取相比,其危害更為嚴重,行為人應承擔刑事責任。顯然,相對於合同責任是基於數據網站的利益損害進行的主觀違法判斷而言,代碼理論是以計算機訪問技術為基礎作出的客觀違法判斷,能更明確無誤地傳達數據網站允許抓取的數據範圍,而使抓取者無需擔心因違反合同限制而被起訴。近年來,美國網絡爬蟲訴訟的判斷標準已從合約授權理論轉向代碼責任理論,以阻止有害的網絡爬蟲並保護有益的網絡爬蟲。如在Facebook v. Power Ventures案中,Power公司開始具有訪問Facebook公司數據的權限,但Facebook以停止信函告知Power撤銷其訪問授權後,Power公司仍故意無視撤銷許可,通過技術設置規避Facebook發送的網際網路協議(IP)壁壘並訪問了受密碼保護的Facebook會員帳戶檔案。後法院認定,當抓取者明知沒有獲得訪問授權而突破技術保護措施時屬於「未經授權」訪問計算機,應承擔CFAA下的刑事責任。
代碼理論與我國數據犯罪的立法規定和司法解釋不謀而合,都認為網絡爬蟲只有規避、繞過、突破計算機技術屏障時才入罪。如我國《刑法》第285條將非法獲取計算機信息系統數據罪的行為要件明確規定為「採用侵入或其他技術手段」。最高人民法院、最高人民檢察院2011年8月1日頒發的《關於辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》第2條對於「專門用於侵入、非法控制計算機信息系統的程序、工具」的定義也強調其「具有避開或者突破計算機信息系統安全保護措施」。實務中判例多根據數據網站設置的技術安全保護措施對訪問權限進行認定,並將突破安全措施的訪問、抓取行為視為對計算機信息系統的「不法侵入」。在我國首例利用「爬蟲」技術抓取視頻數據案中,上海晟名網絡科技有限公司使用「tt_spider」軟體抓取被害公司信息系統中的視頻數據,在抓取過程中使用偽造的device_id繞過伺服器的身份驗證,使用偽造的UI和IP繞過伺服器的訪問頻率限制,從而進入被害公司計算機信息系統獲取了視頻數據。法院認定被告人使用技術手段繞過伺服器身份校驗等系統保護措施並獲取伺服器中數據,屬於未經允許進入其計算機信息系統,構成非法獲取計算機信息系統數據罪。
(二)對象不法:數據的開放程度
數據網站有權決定數據的公開或共享的範圍和程度,除非涉及公共利益或其他強制性要求。顯然,數據的性質決定了網絡爬蟲的正當性和有效性;數據的獨佔性與價值越弱,法益保護需求就越低,網絡爬蟲被認為犯罪的可能性就越小。因此,數據的開放程度成為規制網絡爬蟲的第二個維度,並決定了其抓取數據行為的侵權內容和法益侵害實質。
1.抓取開放數據的網絡爬蟲無需承擔法律責任
開放數據是指任何人可在任何時間、地點訪問、使用的數據。數據開放意味著數據主體放棄了數據的控制權和對價獲取,且不排除任何人利用。一旦數據主體將數據置於公眾可以自由獲取、利用的狀態,數據即轉化成公共物品。除非存在十分充分的理由,否則不宜在法律層面賦予私人主體對數據的支配力,使其有權控制數據的傳播範圍並獨佔其蘊含的各項價值。
對數據的開放意味著權利人同意他人訪問、獲取數據且自願承受相關不利後果,因而阻卻違法性,即「同意不生違法」(volenti non fit injuria)。這種數據公開的同意在規範功能上成為數據處理行為合法與不法的涇渭界限,在規範效果上成為數據流動走向數據控制的閥門。
首先,對公開數據的抓取阻卻民事責任,不構成侵權行為。在民法領域,被害人同意向來被認為是侵權責任的免責事由。被害人就他人訪問數據作出有效同意時,將構成個人信息權的違法阻卻事由,他人的損害行為不具有違法性,無須承擔損害賠償責任。就個人開放數據而言,社會公眾可自由、正當獲取、利用,數據主體不得因為網絡爬蟲技術的應用來追究他人侵權責任。我國司法解釋和法院判例也都承認經被害人同意授權的數據抓取行為具有阻卻侵權責任的效力。如2014 年10 月10 日最高人民法院頒發的《關於審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》第12條第一款第一項規定,網絡用戶或者網絡服務提供者「經自然人書面同意且在約定範圍內公開個人信息」,不承擔侵權責任。根據我國《民法典》第1036條第一項的規定,在權利人同意範圍內合理處理其個人信息的行為不承擔民事責任。就企業開放數據而言,網際網路領域的雙邊市場特性和經營目的決定數據網站不得追究網絡爬蟲的侵權責任。當前,多數數據網站一邊通過提供免費數據資源來吸引更多的基礎用戶,另一邊面向廣告商提供收費業務或向用戶提供其他增值服務來獲取利潤,如通過數據訪問、獲取來獲得點擊量、流量等,由此形成了「基礎網絡服務免費+增值服務收費+廣告服務收費」的經營模式。這些數據網站主動免費向公眾提供的數據資源,符合網際網路互聯互通和開放性使用需求,網絡爬蟲可自由抓取、使用。
其次,對公開數據的抓取也阻卻刑事責任,不構成犯罪。刑法的目的在於保護各類數據權利,如果數據主體主動將所有人能查看、獲取的數據在網站上公開,意味著授權公眾查看這些信息。這種作為法益自決權內容的「權利人同意」在刑法教義學上被稱為「被害人承諾」,具有阻卻違法性的功能。因為根據「保護必要性闕如原理」,當權利人放棄自己權利保護時,將導致刑法保護法益闕如,該同意具有排除國家刑罰幹涉的機能。從技術層面而言,一旦數據網站選擇了公開數據,就不能再通過使用協議或技術授權規則來增加網絡爬蟲「未經授權」的刑事風險。對於這類缺乏可識別性管理措施,無需註冊、登錄且可以隨時訪問、獲取的公開數據,抓取行為只是加快了數據的獲取速度,沒有改變數據的存在狀態,不構成犯罪。在HiQ v. Linkedln案中,一審法院也認為當用戶訪問的數據是對公眾開放時,不屬於「未經授權」訪問計算機,不承擔CFAA中的刑事責任。
2.抓取限制重新使用數據的網絡爬蟲需承擔民事責任
限制重新使用的數據對訪問、獲取不加限制,同意他人知悉、獲取,但是對數據被獲取後的重新使用方式存在限制,尤其是不能使用所抓取的數據來侵害數據網站利益。典型的是各類數據企業的網絡APP或視頻,對註冊用戶開放使用,用戶可以在權限範圍內瀏覽、下載相關數據,但不得在後續使用中侵犯相應數據權利。
由於此類數據並不拒絕有訪問權限的網絡爬蟲,因而具有訪問權限者抓取這類數據並不構成犯罪。如在United States v. Nosal案中,Nosal曾在獵頭公司Korn工作,在辭職後他說服了一些仍在Korn工作的同事利用他們的登錄憑證從公司計算機下載機密數據傳遞給自己以開展競爭性業務。法院認為現有員工使用其有效憑證登錄公司資料庫說明其擁有訪問權限而未違反CFAA,即便他們對數據的使用違背了當初被授予知悉數據的目的。因為CFAA中「超越授權」的立法目的在於懲罰黑客規避技術準入障礙的行為,而不是盜用商業機密,因而「超越授權」僅限於違反對數據訪問的限制,而不是對其使用的限制。而Nosal的同事有權訪問公司的資料庫並獲取其中的數據,因而不符合「超過訪問權限」,不構成犯罪。但網絡爬蟲對被許可獲取數據的後續不當使用行為仍可能被追究其他部門法責任。雖然民法領域的數據權利可分為個人數據權和企業數據權,但數據抓取技術的海量規模使得大數據侵權糾紛往往涉及不特定個人數據,加之個人數據侵權損害證明困難,導致個人數據權缺乏民法上的可訴性,因而,大數據的權益配比往往聚焦於數據企業間的整體大數據競爭。實務中網絡爬蟲抓取限制使用的數據糾紛主要是智慧財產權糾紛與不正當競爭糾紛。
首先,網絡爬蟲可能承擔智慧財產權侵權責任。數據作為非實體物,其法定權利最有可能成為我國智慧財產權下的著作權。在信息網絡環境中,網絡爬蟲侵害著作權的行為又多指向信息網絡傳播權,即以有線或無線方式向公眾提供作品,使公眾可以在其個人選定的時間和地點獲得作品的權利。網絡爬蟲侵害作品信息網絡傳播權的情形包括兩種:其一,直接侵權行為,即未經許可通過信息網絡提供權利人享有信息網絡傳播權的作品、表演、錄音錄像製品等。如數據平臺通過爬蟲技術將他人享有信息網絡傳播權的視頻內容抓取後存儲到自己的伺服器上,經過轉碼或適配後直接向用戶提供觀看服務,構成對該作品信息網絡傳播權的直接侵犯。其二,間接侵權行為(教唆、幫助侵權),即網絡服務提供者通過網絡基礎設施或者網絡服務為他人實施的侵權行為提供實質性幫助,且主觀上有過錯的侵權行為。2006年7月國務院頒布的《信息網絡傳播權保護條例》將「網絡服務」分為接入服務、緩存服務、存儲服務、搜索連結服務四種類型。其中存儲服務和搜索連結服務與信息網絡傳播行為的關聯度高,是實務中的主要規制類型。如果數據平臺對於用戶抓取並上傳的短視頻未盡審查義務而存在過錯,則可能構成幫助侵權或者教唆侵權。對數據平臺的主觀過錯,需要綜合考慮其專業程度和行業地位、涉案作品的知名度和熱度、平臺方是否對涉案作品進行人工幹預、接到通知是否及時刪除侵權作品、是否具有誘導用戶上傳侵權作品等因素來綜合衡量。
其次,網絡爬蟲可能承擔不正當競爭法責任。由於智慧財產權保護有嚴格的法定框架和適用條件,且智慧財產權侵權損害賠償數額遠低於不正當競爭損害的賠償數額,因而實務中多數企業對網絡爬蟲尋求反不正當競爭法規制。現代競爭法從市場參與者基於競爭享有的利益角度出發,將競爭過程中經營者自由競爭的利益、消費者自由決策的利益和競爭不受扭曲所產生的社會公共利益作為認定不正當競爭的關鍵因素。對被抓取數據重新使用的正當性評價,需要對上述利益進行綜合權衡,判斷數據企業是否通過損害其他市場參與者利益的方式不合理地獲得了競爭優勢。從競爭者角度而言,主要是對數據使用後果進行經濟利益分析,確保其財產性價值不因數據複製、使用而貶值;從消費者角度而言,則考慮其自由決策所依賴的基本條件是否受到破壞、私人領域是否受到侵害。如在「大眾點評訴百度案」中,百度抓取大眾點評平臺上的用戶評價數據後大量用於「百度地圖」和「百度知道」,構成了對大眾點評的「實質性替代」,消減了其競爭優勢和交易機會,消費者的知情權、選擇權也受到侵害,只是未被明顯感知,因而屬於不正當競爭行為。此類判例中,數據再利用行為對數據資源的依賴性遠大於數據抓取技術本身,並沒有對數據資源進行創造性利用,也沒有為消費者提供更好的差異化服務,屬於典型的「搭便車」不正當競爭行為。國外判例也認為這類數據抓取行為的本質是寄生行為,是盜用數據資源並損害經營者與用戶關係的搭便車行為。
3.抓取限制訪問、獲取數據的網絡爬蟲需承擔刑事責任
限制訪問、獲取的數據是指僅限於特定群體、特定目的、特定範圍內訪問、獲取的數據,是在尊重數據網站產權的前提下允許其附條件地選擇數據使用人、決定數據的使用目的、方式、對價等。這類數據旨在保護數據不被知悉、窺探的狀態,是為保護特別重要的數據權利安全而將刑法防線前移,提前對網絡爬蟲進行幹預、規制,因而對於未能獲得授權或超越授權的數據抓取行為可能入罪。
在刑法領域,網絡爬蟲突破限制訪問可能構成非法侵入計算機信息系統罪。這取決於被侵入的計算機信息系統的性質以及訪問是否被授權。根據我國刑法第285條第一款的規定,違反國家規定,侵入國家事務、國防建設、尖端科學技術領域的計算機信息系統的,可構成非法侵入計算機信息系統罪。該罪旨在保護特定領域的計算機信息系統安全,因此,網絡爬蟲在無授權情況或超出授權範圍使用帳號、密碼登錄涉及國家安全和國家秘密的政府內網、國防建設、尖端科學技術領域的計算機信息系統,可構成非法侵入計算機信息系統罪。
網絡爬蟲抓取限制獲取的數據依照侵害的不同法益構成不同犯罪。其一,網絡爬蟲抓取表徵傳統法益的數據構成傳統犯罪。奧林·科爾(Orin S. Kerr)認為,隨著越來越多的權利客體被以數據形式予以儲存、使用,數據表徵的傳統法益內涵日益豐富,但這只是傳統法益的網絡化、數據化,並沒有對傳統刑法提出新的挑戰,因而仍可以適用傳統刑法罪名來應對。首先,抓取表徵個人信息權的個人數據應構成侵犯公民個人信息罪。根據我國《刑法》第253條第3款規定,竊取或者以其他方法非法獲取公民個人信息的,構成侵犯公民個人信息罪。因而,網絡爬蟲抓取具有「可識別性」的個人數據,可構成侵犯公民個人信息罪。如被告人馬某為牟利,於2018年2月至4月間使用自己編寫的爬蟲程序竊取APP及網站內包括姓名、聯繫方式等的公民個人信息約20萬條出售給蘇某某,非法獲利共計人民幣2.4萬元。法院審理後認為馬某違反國家相關規定,竊取公民個人信息後向他人出售,情節特別嚴重,其行為已構成侵犯公民個人信息罪。其次,抓取表徵財產權的數據應構成財產犯罪。其行為實質是通過財產犯罪的方式來獲取財產性利益,在當前我國學界普遍認可財產性利益可成為盜竊罪、詐騙罪等犯罪對象的背景下,將網絡爬蟲抓取財產性數據的行為認定為財產犯罪應無疑議。因而並不需要像民法學者所建議的在我國刑法分則「侵犯財產罪」章中增設「侵犯數據資產罪」,以將具有財產權屬性的「數據資產」納入保護範疇。最後,抓取表徵「創造性」智慧財產權的數據應構成智慧財產權犯罪。如實務中編寫爬蟲軟體從網際網路上抓取具有「獨創性」的小說、知名視頻的行為多被認定為侵犯著作權罪。
其二,網絡爬蟲抓取表徵數據安全法益的數據應構成數據犯罪。根據我國《刑法》第285條第2款的規定,違反國家規定,侵入國家事務、國防建設、尖端科技領域以外的計算機信息系統或採用其他技術手段,獲取該計算機信息系統中儲存、處理、傳輸的數據的,構成非法獲取計算機信息系統數據罪。本罪的「非法獲取」是指非法改變了數據主體所設定的數據「不被知悉」的狀態,進而非法取得了本應「保密」的數據,侵犯了數據的保密性需求。在行為類型上包括未經授權訪問、獲取數據的外部網絡黑客行為和超越授權訪問、獲取數據的內部網絡黑客行為。如被告人黃某、翁某自2014年5月15日開始,以非法獲取cookie數據為目的,編寫了用於獲取cookie的javascript,存儲在其租用的阿里雲伺服器中,非法獲取淘寶用戶cookie達2600萬餘組,並將獲取的cookie存放在虛擬隊列中。黃某又利用翁某事先編寫的網絡爬蟲程序讀取虛擬隊列中的cookie並獲取淘寶用戶的交易訂單數據(內容包含用戶暱稱、商品價格、交易創建時間、收貨人姓名、收貨地址等)達1億餘條。後法院認為黃某、翁某構成非法獲取計算機信息系統罪。
綜上可見,數據的訪問權限與開放程度構成了網絡爬蟲歸責體系的兩個維度,其中,數據的訪問權限是判斷網絡爬蟲入罪的形式標準,而數據的開放程度則劃定了網絡爬蟲入罪的實質標準。對此,域外判例也認為有益的網絡爬蟲通常具有如下特徵:(1)抓取的是已公開且不受代碼保護的數據,如沒有身份驗證或其他技術安全措施保護。(2)抓取的數據應該用於為網絡用戶提供了效率或方便性。(3)數據抓取沒有損害數據網站的利益,即沒有妨礙數據網站的運行或破壞數據網站盈利等。值得注意的是,當網絡爬蟲突破數據網站技術措施而抓取其公開發布的數據時,雖然抓取手段非法但對行為對象無害,應基於實質可罰性的立場通過實質標準予以出罪。顯然,網絡爬蟲「獲取」數據行為的評價可能在責任類型上存在公法和私法的分界,但在「利用」數據行為的評價上則只涉及私法主體之間的權利保護和利益分配。
四
結語
當網絡爬蟲逐漸成為網際網路生態系統中的一個重要組成部分,數據網站必然向法院尋求抓取、使用數據的法律邊界。這凸顯了數字經濟時代數據經營者對數據資源的重視與爭奪,以及建立在數據流動規律基礎上的數據權利化與數據分享性的理念衝突和法律關切。但這一問題不可能通過一般性的犯罪評估予以解決,而必須「清晰劃分相關領域的邊界,平衡相應的被保護利益,創立新的均衡機制」。這啟發我們將網絡爬蟲的司法規制建立在數據權利譜系的分析之上,從民法、競爭法、刑法等多個部門法形成私法賦權和公法管制的數據保護體系。在這種保護體系之下,可發現網絡爬蟲正當性和有效性的基礎源於數據網站的授權,這種授權與數據的訪問權限和開放程度密切相關,需要關注數據技術上的排他性和權利上的排他性。因此,數據的訪問權限和開放程度這兩個維度形成了網絡爬蟲的歸責體系:就形式標準而言,對於違反數據網站合約授權的網絡爬蟲,僅承擔民事違約責任,而迴避或突破數據網站技術措施的網絡爬蟲則面臨刑事責任;就實質標準而言,網絡爬蟲抓取開放數據無需承擔任何法律責任,抓取限制重新使用的數據面臨智慧財產權侵權責任和不正當競爭法責任,抓取限制訪問、獲取的數據則面臨刑事責任。
《比較法研究》2020年第4期要目
【專題研討】
1.體系創新:中國民法典的特色與貢獻
王利明(1)
2.解碼法典化:基於比較法的全景式觀察
石佳友(14)
3.越權代表中的法人責任
楊代雄(37)
4.民法典物權編的外在體系評析
——論物權編外在體系的自洽性
李永軍(52)
5.《民法典》物權配置的三重視角:公地悲劇、反公地悲劇與法定義務
謝鴻飛(64)
6.民法典動產抵押物轉讓規則的解釋論
高聖平;葉冬影(78)
7.我國《民法典》上的「混合擔保規則」解釋論
鄒海林(91)
8.論《民法典》中債總規範的識別與適用
翟遠見(107)
9.民法典中的債之保全體系
龍俊(120)
10.民法典網絡侵權條款研究:以法解釋論框架的重構為中心
薛軍(131)
【論文】
11.論裁判規則的規範性
張騏(145)
12.中國在線訴訟:實證研究與發展展望
左衛民(161)
13.跨境數據流動中的國際貿易規則:規制、兼容與發展
時業偉(173)
14.數據時代網絡爬蟲的刑法規制
楊志瓊(185)
《比較法研究》(雙月刊)是中華人民共和國教育部主管、中國政法大學主辦的法學期刊,由中國政法大學比較法學研究院編輯出版,創刊於1987年1月,1992年9月經國家新聞出版署批准於1993年起向國內外公開發行。原刊期為季刊,自2003年開始改為雙月刊,逢單月25日出版發行。
-END-
責任編輯 | 石小寧
審核人員 | 張文碩