網貸領域爬蟲,既非原罪者也非無辜者

摘要：爬蟲是一種獲取網絡公開數據的技術工具，其本身並不具備價值色彩。但在目前激烈的信息競爭環境下，爬蟲被推向了風口浪尖，網貸領域的爬蟲更是眾矢之的。網貸爬蟲被控告最多的罪名為助長暴力催收、非法入侵計算機系統和侵犯個人隱私等。而通過分析爬蟲的工作原理可得，不法獲取信息和獲取信息後的不當利用與爬蟲本身並無直接因果關係，爬蟲在上述過程中充當的只是一個中立的步驟角色。不過，網貸爬蟲也面臨相關法律風險。在刑法上可能構成網絡犯罪的幫助犯，此外即使獲得了信息授權，也可能因無效授權而侵犯用戶權益。在關涉第三方時，爬蟲被授權獲取的信息可能涉及合同違約和侵權等法律責任。所以法律仍應對爬蟲充分關注，網貸爬蟲從業者也需做好合規工作。

關鍵詞：爬蟲 P2P 網貸 個人信息 暴力催收

一、引入：人人喊打的網貸爬蟲

資訊時代有很多大家雖耳熟卻並不能詳的概念，比如對非專業技術人員來說的「爬蟲」。爬蟲似乎手眼通天、充滿邪惡，稍加不注意就會變成無孔不入的侵害者。而網貸領域的爬蟲更容易被認作侵害個人隱私和其他人身權益的罪魁禍首。監管方對網貸數據爬蟲的監管力度也日漸收緊，並在2019年下半年達到高潮，魔蠍科技、公信寶、聚信立等第三方風控行業頭部公司相繼被調查或被波及，整個行業如履薄冰，主要爬蟲服務出於避險考慮基本暫停。網友紛紛調侃「爬蟲爬得好，牢房進得早；數據玩得溜，牢飯吃個夠」。

在這一背景下更引人關注的是51信用卡被查處事件。2019年10月21日上午，杭州警方至51信用卡公司(以下簡稱51信用卡)辦公地點突擊檢查，同日晚在微博「@杭州公安」上發布公告，稱51信用卡委託外包催收公司冒充國家機關，採取恐嚇、滋擾等軟暴力手段催收債務，警方對其涉嫌尋釁滋事等犯罪行為開展調查。目前該案件還在進一步偵辦中，未有更多官方後續信息。雖然警方以「尋釁滋事罪」立案，但是網傳各種小道消息、新聞報導和分析認為，此案涉及不當使用爬蟲，與2019年9月以來杭州警方調查魔蠍科技、公信寶運營公司、杭州存信數據科技有限公司以及徵信工具「信用管家」屬於同一目的，都是監管方對爬蟲業務的整頓。不過截至2020年3月10日關於該案缺乏更多的官方聲明，本文將依據各類公開可查信息展開討論。創立於2012年的51信用卡為港股上市企業，涉及信用卡、理財、借貸等業務，是中國首個且最大的在線信用卡管理和信貸平臺，通過理財方式提供信貸撮合業務並按比例提成。[1]

因此，擁有超過1億激活用戶的51信用卡是名為「信用卡」，但是主要業務為提供網絡信貸服務的平臺，在P2P領域具有重要地位，是行業內的「老大哥」，也是首先使用爬蟲技術的P2P公司之一。本次對「老大哥」的查處，如同連綿陰沉天氣下的巨雷，使得網貸行業人人自危，因為這表明監管對P2P行業正式結束觀望狀態。接下來各種政策和行業動態，也印證了這一趨勢。據不完全統計，目前湖南、山東、重慶、河南、四川、雲南、河北、甘肅、山西等9個省份宣布取締本行政區域內全部P2P業務。2020年2月，中國人民銀行召開2020年金融市場工作電視電話會議時提出，將多措並舉徹底化解網際網路金融風險，這體現出P2P市場監管以「退」為主的趨勢。

在化解「網際網路金融風險」的目標下，網貸公司由於合規與監管困難而被逐漸清退，而很多討論認為不當使用爬蟲構成其中一個重要風險。網貸公司如果涉及暴力催收、設定不合理利率侵犯金融消費者合法權益而被追究民事、行政乃至刑事責任理所應當。但是令人疑惑的是，作為技術手段的爬蟲如何成為風口浪尖上的打擊對象?現有的各種網絡報導51信用卡事件時，大量提及非法爬蟲，卻未明確到底什麼是非法爬蟲，非法又體現在何處，讓爬蟲從業者手足無措。

本文以51信用卡為例，試圖揭開大眾頻頻提及卻似懂非懂的爬蟲在網貸領域的神秘面紗。下面討論將分為兩個部分：第一部分是在明確爬蟲概念的基礎上，澄清爬蟲背負的莫須有的三大類刑法罪名；第二部分是在我國法律體系下來探討，形式合規的爬蟲自身切實帶來的法律問題。

二、本為無罪蟲：洗脫爬蟲含冤背負的罪名

(一)網貸爬蟲的工作原理

1. 爬蟲在網貸領域的具體應用。爬蟲是一個技術概念，簡單來說是一個自動提取信息和網頁的程序，由一系列的代碼構成。一個代碼初級學者經過簡單訓練就可以寫成一段基礎爬蟲代碼。一個基本的爬蟲由制定目標、全面檢索、信息傳輸、信息分析和信息存儲五個步驟組成。基於基礎的爬蟲，又有一些具體的數據爬蟲分類，其爬取邏輯、爬取對象不同，也具有不同的特點、不同的用途。

圖1 一段爬蟲代碼

(圖片來源：網絡)

雖然網際網路上有海量數據，但是通過人工提取所有信息幾乎不可能完成。而運用爬蟲技術，則可以快速、全面地獲得相關信息。通過算法和代碼，可以實現對信息的無遺漏收集，就像釋放出無數蟲子，順著大樹的每一個分叉爬行，最終遍布所有枝丫。樹杈即跳轉不同網站的節點，每一個分叉即最終的具體信息。數據爬取最早和最經典的應用是搜尋引擎。引擎每天對各種網站進行爬蟲，將信息抓取收集下來，進行可視化整理後供用戶進行檢索。

不過爬蟲本身的代碼方式決定了最基本的爬蟲獲取的是網絡上的公開信息，在其正常運行的前提下，無法進入封閉系統。一個網站如果禁止網絡爬蟲對自己的信息進行獲取通常會採取多種方式。一方面，網站會設置形式上的「禁止進入聲明」——robots協議，即一段指明網站中哪些信息禁止爬取的代碼。不過robots的性質還有爭議，目前普遍認為其並非是民法上的合同，而是一種道德規則，[2]類似屬於公交車上的「老弱病殘專座」告示。在實踐中，違反robots協議要承擔不利後果，[3]但司法實踐的態度是責任追究還需要綜合各種要素進行考慮。[4]另一方面，網站通常會設置實質上的技術障礙——如設置防火牆、封IP、設置參數查驗和驗證碼等——將爬蟲阻擋在網站之外，從而保護自己的信息。

作為一種信息獲取手段，爬蟲被廣泛應用到各個領域，在大數據分析、輿情檢測和知識信息儲備等行業中都舉足輕重。對網際網路金融，爬蟲更是具有重要意義。信息是網際網路金融領域的靈魂，無論是前端風控還是貸後催收，位於屏幕另一邊的貸款公司顯然需要各種數據與借款人發生真實聯繫。據相關網貸從業人員對媒體透露的信息來看，數據可分為電商信息、銀行卡信息、運營商信息、司法信息、社交信息和開放數據等幾大類。如通過電商信息可獲得真實交易信息和收貨地址等，是進行身份驗證的有效數據。此外，電商的消費情況一定程度上能反映用戶消費能力，從而評估信用；通過運營商信息，可以通過通話記錄客觀反映和用戶關聯的聯繫人，從而可以用作催收；通過銀行卡信息，可獲得核心的金融借貸的身份驗證、資產狀況等直接有效的用戶信用情況。在網際網路金融領域，數據當然是越多越好，以便多維度調查用戶資信。

爬蟲在上述信息獲取的過程中扮演的是一種工具角色。在可公開獲得的數據方面，需要爬蟲進行大量的獲取。如通過天眼查、企查查、啟信寶等企業信息查詢網站，獲取一個公司的資信情況；也可通過網貸之家、零壹數據、網貸天眼和76676網際網路金融門戶等獲得各大網貸平臺不同時間段的放貸數據。在非公開的數據方面，爬蟲是獲取公開數據的手段，因此往往需要獲得相關數據源或數據主體的授權，爬蟲方可大搖大擺地進入資料庫進行爬取，如經過用戶同意後獲得其用戶名和密碼，進入電商網站進行數據的爬取等。不過對於大部分網貸公司來說，獲得運營商和電商的直接授權基本是不可能的，所以正常情況下，在網際網路金融領域的爬蟲理論上可分為兩種形式：一種是通過用戶授權，如獲取用戶的郵箱、通信錄權限等，再對所授權信息進行爬取；另一種是對不需授權的公開信息進行爬取。

2. 爬蟲對授權信息的獲取。51信用卡儘可能擴大用戶授權範圍獲取數據，在2019年7月被國家工業和信息化部發文批評51人品貸存在「未經用戶同意收取用戶信息」後，更是不斷增加其用戶協議內容，獲取更多用戶授權。首先在註冊51信用卡這一平臺時，需要用戶以點擊同意的方式，籤訂《51信用卡管家隱私政策》(以下簡稱《隱私政策》)和《51信用卡管家用戶註冊協議》(以下簡稱《註冊協議》)，在《隱私政策》中，註明其收集的用戶信息包括但不限於：儲蓄卡/信用卡卡號、用戶名、開戶行、持卡人銀行預留手機號、持卡人身份證號碼等。被授權人為51信用卡與其關聯公司。

籤訂上述兩個協議後，用戶即擁有了登錄51平臺的權利。不過要進行實質操作獲得貸款，用戶還需要接著籤訂《信息授權服務協議》，在這一協議中，用戶需要「不可撤銷地同意並授權平臺」獲取銀行卡、郵箱、網銀、電商平臺、支付寶、通信運營商資料、微博、簡歷資料等信息。舉例來看，《信息授權服務協議》在電商信息部分規定，51平臺可獲得用戶電商平臺相關資料包括：「帳號信息、實名認證狀態、交易記錄相關信息(包括但不限於交易時間、交易內容、收貨人姓名、收貨人固話/手機、收貨人地址)等。」可以說51信用卡通過用戶的授權，能獲得其線上和線下幾乎全部的活動軌跡。

在獲得授權後，網站即有資格後續獲取用戶同意的相關信息。不過需要說明的是，爬蟲獲取的是存儲在網絡上的信息，用戶存儲在自己本地的信息——通信錄、手機型號相關信息等，在用戶同意訪問通信錄的一刻，即可被51信用卡存儲。

3. 爬蟲對公開信息的獲取。日常生活中普通人進行網絡檢索時，不可能每訪問一個網站都要詢問權限，而是在沒有障礙的情況下，通過點擊網站進行閱讀，並可按照頁面上的連結進行跳轉。這被通俗地表述為訪問網絡公開信息。信息的聚集連接，也是網絡的意義所在。爬蟲雖然有強大的讀取信息能力，但本質上與普通人訪問網站並無不同，在沒有防火牆等情況下，也可輕鬆捕捉授權外的大量信息。不過需要明確的是，什麼是授權之外能獲得的公開信息?

在法律層面上，我國現行法律法規對公開信息的主要判斷標準為，個人信息主體自行公開與合法公開披露的信息。全國信息安全標準化技術委員會於2019年6月24日發布《信息安全技術——個人信息安全規範(徵求意見稿)》(以下簡稱《安全規範》)[5]，對個人信息保護涉及的各個方面作出了詳細的解釋與指引，是判斷個人信息保護工作是否合規的重要文件。《安全規範》規定，法律法規規定、個人信息主體自行公開的、籤訂和履行合同所必需的和從合法公開披露的信息中收集個人信息的，不必徵得信息主體授權同意也可收集。[6]《數據安全管理辦法(徵求意見稿)》第二十七條列舉了兩種公開的類型：從合法公開渠道收集且不明顯違背個人信息主體意願的和個人信息主體主動公開的。[7]上述兩條規定雖然表述上是對「授權」的豁免，但實質是從反面角度對公開信息的定義。此外，《網絡借貸信息中介機構業務活動管理暫行辦法》(2016)[8]和《網際網路個人信息安全保護指南》(2019)[9]等相關部門規章和規範性文件，也對個人信息作出了類似規定。綜上所述，我國規定的公開信息為自行公開與合法公開披露的信息，對該類信息的獲取不需經過信息所有者的授權。

在形式層面上，由於沒有設定明顯技術障礙的網頁，可以由任一主體在任一時間進行訪問，因此本文認為，該類信息應屬於合法公開與公開披露的信息。簡單來說，爬蟲程序可以在無障礙運作時訪問的網頁信息，應認為是公開信息。司法裁判中有信息被獲取方聲稱，即使沒有設置實質障礙，但自己的信息具有隱私性不應被讀取，或者以robots的存在認定爬蟲是非法獲取信息。但是上述理由並不成立：第一，雖然robots的存在可能設定訪問範圍的限制，但是實踐中，幾乎所有網站均設置robots協議，甚至存在濫用robots協議的情形，因此robots協議的存在不能作為單一否認公開信息的依據；第二，當網站未對其應妥善管理的數據設置其他保護措施時，如果被爬蟲爬取，網站應承擔信息洩露的責任，不能苛責其他方對其信息能否被獲取具有辨別能力。

綜上所述，嚴格意義上的爬蟲僅能訪問授權信息與公開信息。以51信用卡為例，其可以通過經過用戶授權和檢索網絡公開信息獲取放貸和催收需要的數據。龐大的信息搜集工作量要求爬蟲完成這一艱巨任務。

(二)成為脫離本意的背鍋俠

經過檢索可發現現有司法案例與相關學界探討爬蟲，聚焦在集中的幾個罪名上。而在清楚了爬蟲的運作邏輯後再來分析爬蟲的「罪與罰」，會發現其也有蒙冤之處。

1. 暴力催收不是非法爬蟲之罪。關於51信用卡被調查的原因，杭州公安僅僅表述為「51信用卡涉及大量各地異常投訴信息」。51信用卡被投訴並非意料之外，網貸通過電話轟炸、恐嚇等方式進行催收，幾乎成為行業的普遍做法。

軟暴力催收在網貸領域是一種常見的現象。而在我國刑事法律框架下，軟暴力催收並不能構成單獨的犯罪，而需要根據手段和後果對應相應的罪名。軟暴力催收的形式，在中國銀行保險監督管理委員會牽頭髮布的《關於規範民間借貸行為維護經濟金融秩序有關事項的通知》(2018)中作了列舉規定，指以故意傷害、非法拘禁、侮辱、恐嚇、威脅、騷擾等非法手段催收民間貸款。不過該規範性文件並未指出公安機關應如何具體查處。具體懲治方式可見在2019年10月22日，即51信用卡被杭州警方查處後第二天，最高人民法院、最高人民檢察院、公安部和司法部聯合發布的《關於辦理非法放貸刑事案件若干問題的意見》[10]，其中羅列了強行索要債務可構成的罪名——故意殺人、故意傷害、非法拘禁、故意毀壞財物、尋釁滋事等。因此，滋擾等軟暴力催收需要根據刑事規定，通過考察主觀和客觀要件，對違法性和免責事由進行判斷，在刑法體系內進行定罪。根據上述規定，爬蟲作為一種單純獲取信息的工具，並不能構成違法的充分必要條件，需要有人身傷害和騷擾、威脅活動等犯罪行為，具有故意或過失，以及產生入罪後果才可定罪。

綜上可知，警方通報的51信用卡涉及暴力催收尋釁滋事罪，與爬蟲自身關聯不大。

那麼，爬蟲是否因為騷擾提供了可能條件而受譴責?通過分析51信用卡案例可得，爬蟲是在授權範圍內對用戶的信息進行搜集。《用戶協議》與《隱私政策》明確說明，51平臺可訪問各種身份信息。在《信息授權服務協議》中，51平臺可以通過電商平臺等獲取用戶聯繫人地址。因此，即使爬蟲為上述活動提供了一定條件，也是在用戶授權範圍內進行的，該過程在形式上是合法的。可能構成犯罪行為的是獲得信息後採取的傷害、滋擾等活動，而並非獲取信息本身的行為。不過該授權是否合法有效，以及在無合法授權的情況下是否構成其他網絡犯罪的幫助犯，本文將在下面詳細分析。

2. 非法侵入系統並非爬蟲之罪。網傳51信用卡此次被查處，還有一個重要原因是其在未獲得授權的情況下，獲取某合作銀行內部信息。該信息真實性尚待確認。如果屬實，則非法侵入計算機系統獲取相關數據，可能違反《中華人民共和國刑法》第二百八十五條規定的非法侵入計算機信息系統罪和非法獲取計算機信息系統數據、非法控制計算機信息系統罪；如果提供侵入計算機系統的程序、工具，則可能構成同條第三款的提供侵入、非法控制計算機信息系統程序、工具罪。在討論爬蟲的各種聲音中也往往有人提出，爬蟲可能涉及非法侵入計算機系統類的相關犯罪行為。

在惡意訪問計算機系統時，爬蟲可能採取兩種手段。

第一種是使用爬蟲大量訪問網站，使其暫時癱瘓，然後對系統數據進行獲取。在這種方式下，爬蟲作為入侵的手段，若符合刑法法條規定的其他要件，則構成相關計算機類犯罪。如在李文環、王碩、盧曉燕等非法侵入計算機信息系統一案中,[11]雖然所定罪名為非法侵入計算機信息系統罪，被告人也有使用爬蟲軟體的行為，但核心問題是被告用爬蟲進行多線程提交、批量刷單、驗證碼自動識別等方式，突破系統安全保護措施。在這種情況下，爬蟲屬於系統侵入行為，故在其他要件滿足——行為人主觀具有惡意，且造成嚴重後果的情況下可以入罪。不過這種情況在網貸領域極少見。

第二種是在利用其他黑客手段攻入計算機系統後，利用爬蟲獲取內部數據。本文認為，如果採取其他措施侵入計算機系統，而侵入後用爬蟲進行數據獲取，核心是網絡安全問題。在《刑法》第二百八十五條規定的各類犯罪中，重要的行為要件為「侵入」。爬蟲在這一情況下扮演的並非侵入角色，而是侵入後的第二行為——獲取信息等，因此單獨的爬蟲並非是構成侵入計算機系統的罪魁禍首。

因此，侵入計算機系統類犯罪的核心是「侵入」，需要判斷的是侵入的行為，而無論侵入的行為是爬蟲還是「走蟲」，滿足其他要件後都符合這一犯罪的構成。在網貸領域第一種情況極少，爬蟲主要還是作為讀取信息的工具。而如果使用了爬蟲卻未有侵入行為，則不能構成相關罪名。總結來看，在這一類犯罪下單純討論爬蟲，可能並非是一種有效率的分類方式。

類似地，侵犯公民個人信息也需要首先判斷是否有「侵犯」的行為。最高人民檢察院2017年發布的六起侵犯公民個人信息犯罪典型案例之一是，被告委託他人針對網站漏洞編制批量爬取數據的惡意程序，在未經網站授權的情況下，進入該網站後臺管理系統，從中非法獲取客戶訂單信息。[12]最高人民檢察院指出，利用惡意程序批量非法獲取網站用戶個人信息的，構成侵犯公民個人信息罪。雖然「扒取數據」直指爬蟲，但該案例的核心問題仍然是未經授權侵入管理系統，如果具備這一核心要件，並符合情節嚴重等其他入罪條件，則無論是少量讀取還是用爬蟲大量獲取客戶信息，都可構成侵犯公民個人信息罪。

3. 對信息的不當利用並非爬蟲之罪。以「爬蟲」「刑事」為關鍵詞，在威科、北大法寶案例庫進行檢索，除了上述問題外，還可能涉及刑法上的侵犯著作權罪、在對爬蟲獲取後的數據進行販賣、運用可能涉及侵犯個人隱私和不正當競爭等問題。諸多學者在討論何為合法爬蟲時，以所爬取信息的使用作為爬蟲合法與否的重要標準。

但是本文認為，對信息的不當利用與信息獲取的手段之間並無必然的聯繫。任何手段獲取數據後的不當利用，都可能造成侵犯個人或法人權益的問題。在爬蟲這一聯繫下進行集中討論，將使問題過於龐雜。因此，並非爬蟲不會牽扯相關法律問題，而是這些問題主要涉及的是獲取信息後，如何使用信息的問題，與獲取時是否使用爬蟲這一手段沒有必然關聯。

綜上所述，作為一種技術的爬蟲，現有的法律問題討論似乎與其本身概念與功能相距較遠。爬蟲本身並不是暴力催收、非法侵入計算機系統和不當運用信息引發的一系列問題的罪魁禍首，其他要件的加入才是違法的關鍵。將獲取信息前使用的手段，與獲取信息後的不當利用等問題都歸於爬蟲下的分析，可能造成概念界定模糊和問題焦點轉移。通過獲取授權和訪問公開頁面收集信息的爬蟲，背負了過多不應有的罪名。

三、也非無辜者：爬蟲涉及的法律問題

通過上述討論可得，暴力催收、非法侵入計算機系統與獲取信息後的不當利用，並非是爬蟲「一蟲之力」可造成的網貸領域亂象，各種風險的產生源於其他因素的加入。因此在上述問題中法律不可僅僅著眼於爬蟲本身，而應對構成要件進行逐一審查。

不過在我國法律體系下爬蟲仍面臨相關問題。一方面我國《刑法》規定了幫助信息網絡犯罪活動罪，爬蟲方仍可能因符合相關條件構成此罪的幫助犯。此外，值得思考的是，獲得了用戶授權的爬蟲，就真的毫無問題嗎?如果答案是肯定的，則在大量的用戶協議中無限擴大授權範圍，數據搜集方就可高枕無憂。這樣的邏輯顯然令人難以接受。在我國現有法律規定中對授權有明確要求，因此如果爬蟲違反授權規定即存在授權效力的問題，構成對公民信息的侵犯。此外，在真實有效的授權下，爬蟲仍可能面臨一定的合同和侵權責任。

(一)可能構成幫助信息網絡犯罪活動罪

雖然除自身作為入侵計算機系統的手段外，單獨的網貸爬蟲行為不會構成上述第二部分的罪名，但是在現行《刑法》中，其可能因實施網絡犯罪的幫助行為，獨立構成幫助信息網絡犯罪活動罪。

1. 罪名與要件規定。2015年通過的《刑法修正案(九)》第二百八十七條第二款規定了幫助信息網絡犯罪活動罪，學界絕大部分觀點認為，這是將原來有爭議的中立的幫助行為進行了正犯化，即如果符合該罪的構成要件即可定罪，不需要以正犯實施符合構成要件的不法行為為前提。[13]如果按照傳統刑法上共犯的理論，倘若沒有查明正犯是誰，則不可能判斷其是否有刑事責任能力和故意，以及幫助者與正犯是否具有共同的犯罪故意，因而認定共同犯罪非常困難。一方面，在信息社會，由於階段不同、實施不同行為的主體可能處於不同國家，且從未謀面或直接交流，因此認定犯意聯絡存在很大困難。另一方面，司法機關在查處犯罪時也面臨無法追尋境外正犯的困境。根據共犯從屬性理論，在未確定正犯的情況下也難以對實施幫助行為的人進行定罪。所以在傳統共犯體系下，非法提供網際網路接入、伺服器託管、網絡存儲和通信傳輸等技術支持，或者提供廣告推廣、支付結算等幫助的相關責任方很容易脫罪。而《刑法修正案(九)》中幫助犯的正犯化，則是刑法對上述問題的回應。

結合法律規定與刑法理論，現行《刑法》中幫助信息網絡犯罪活動罪的構成要件是：

(1)明知他人利用信息網絡實施犯罪的故意；(2)為其犯罪提供技術支持；(3)符合情節嚴重的要求。上述構成要件(2)和構成要件(3)，在實踐中面臨一定模糊性的問題，為了解決定罪量刑標準和有關法律適用等問題，2019年10月頒布的《最高人民法院、最高人民檢察院關於辦理非法利用信息網絡、幫助信息網絡犯罪活動等刑事案件適用法律若干問題的解釋》對相關問題進行規定。針對構成要件(1)，通過列舉的方式，明確了幫助信息網絡犯罪活動罪的主觀明知推定規則；[14]針對構成要件(3)，明確了幫助信息網絡犯罪活動罪的「情節嚴重」入罪標準。[15]且該司法解釋第十二條另外註明，因客觀條件限制無法查證被幫助對象是否達到犯罪的程度時，符合一定條件的也應當以幫助信息網絡犯罪活動罪追究行為人的刑事責任，明確了幫助犯正犯化和幫助犯獨立性的司法態度。

2. 爬蟲方的違法風險。通過對要件分析可得，如果實施爬蟲的個人或公司，有或被推定明知他人有利用信息網絡實施犯罪的故意，仍為犯罪提供技術支持，並符合司法解釋中關於情節嚴重的要求，可構成幫助信息網絡犯罪活動罪。

具體來說，在至少存在間接故意的情況下，當爬蟲為暴力催收的信息搜集、以非法使用為目的進行的搜集信息提供技術支持，雖不能構成針對信息使用或暴力相關的犯罪，但可構成獨立的幫助信息網絡犯罪活動罪。該罪名不能以提供信息網絡技術支持、幫助本身是一種中性業務行為作為抗辯理由。根據《刑法》規定，構成犯罪的個人將被處三年以下有期徒刑或者拘役，並處或者單處罰金，單位犯罪的需承擔罰金，直接負責的主管人員和其他直接責任人員依照前款的規定接受處罰。

不過需要說明的是，這一罪名仍然是在我國刑法幫助犯體系下的。首先，根據法律和司法解釋規定，即使對正犯的主體和犯罪程度無須查實也可定罪，但也必須有正犯行為的存在且其具有社會危害性。其次，在幫助者層面必須有明知的要件才能定罪，即必須對其服務對象系利用信息網絡實施犯罪這一事實，有充分證據顯示其明知或推定明知，行為才有可能被評定為犯罪。如果爬蟲在提供技術支持時主觀上不明知其技術支持、幫助的行為被犯罪活動所利用，則不能構成幫助信息網絡犯罪活動罪。因此司法實踐中不可隨意擴張對此罪名的範圍，第三方爬蟲公司在為客戶提供服務時做好調查工作，即會大大避免法律風險。

(二)不真正授權與其法律責任

用戶授權可能是不真正授權,[16]因此部分授權無效。用戶在註冊使用網站或應用提供的服務前，會籤訂不同形式的用戶協議，因此用戶與網站之間構成合同關係。但問題是，即使網站依據合同關係進行權限獲取，也可能通過誤導用戶和無效的格式條款等，不合理地擴大應用的權限，造成對用戶信息的過度獲取。在不真正授權下獲取公民信息，會造成對用戶利益的侵犯。分析發現，51信用卡的上述協議也存在不公平問題。下面對協議可能存在的各種情況進行詳細探討，並分析無效授權後的法律風險。

1. 違反真實意思表示的授權可撤銷。通過點擊「同意」用戶協議的授權方式，因協議內容過於龐雜、頁面顯示過小，用戶難以仔細閱讀相關內容會對授權範圍產生誤解。此類授權可能因違背用戶的真實意思表示而可撤銷。

《隱私政策》《用戶協議》與《信息授權服務協議》是複雜的，並且充滿專業術語、更新頻繁，在籤訂過程中，用戶可能違背其真實意思。最新版本的《隱私政策》總字數為11129字,《註冊協議》為6427字，而《信息授權服務協議》為5340字，在手機小屏顯示的情況下，認真閱讀每份隱私政策需要花費15分鐘以上，難以苛求一般人在註冊時做到仔細閱讀。且在近一年來，51信用卡不斷對相關協議進行更新,[17]內容變換頻繁，涉及的授權範圍也不斷變大。這樣大量的協議內容，實質上限制了用戶對其權利的充分知悉。2008年的一個統計指出，如果有人要閱讀每個每年訪問一次的網站的隱私政策，估計每年平均花費244小時閱讀。[18]在信息更發達的十多年後，這一數據只會更加龐大。因此這種情況下的「同意」，可能並非用戶的真實意思表示。而根據合同法上的合意原則，相對人對條款內容應當知曉、理解，才構成有效承諾。據此，隱私政策可能因顯失公平、缺乏真實意思表示而可被撤銷(《中華人民共和國合同法》第五十四條)。

2. 無效格式條款下的授權無效。或許有人認為，用戶作為信貸類產品的使用者，理應具備相應的認知能力。對該觀點本文不作詳細討論。不過，即使認為用戶可通過閱讀相關條款作出真實意思表示，該授權也存在無效可能。51信用卡所涉三份協議均為用戶註冊時被動接受、必須同意的條款，屬于格式條款，且拒絕接受將無法接受相應服務。部分格式條款可能因違反民法上的規定而無效。

通過對《合同法》第三十九條[19]和第四十條[20]體系解釋，格式條款無效應滿足以下要件：

(1)「已經訂入合同」；(2)「經合同解釋明確其含義」；(3)「未遵循公平原則確定當事人之間的權利和義務」，其表現形式多為「提供格式條款一方免除其責任、加重對方責任、排除對方主要權利」。[21]在認為籤訂隱私政策為用戶的真實意思表示的前提下，顯然(1)、(2)要件成立，重點是分析是否構成(3)要件中權利義務不對等的情況。首先，《隱私政策》和《信息授權服務協議》，規定相關信息可以隨意使用和獲取，有信息獲取超過必要限度之嫌。甚至在包羅萬象的《信息授權服務協議》中的表述為用戶一旦授權將不可撤銷。而如果用戶拒絕接受格式條款，則無法享受核心服務。雖然名為「自願」，但用戶是為使用相關產品而不得不作出的妥協，這樣的權利義務設定未遵循公平原則。其次，在用戶的妥協下，51信用卡可以獲得用戶幾乎所有的信息，給自己爭奪了更多話語權和解釋空間，並可依此在未來產生爭議時進行脫罪，目的上是對自己未來責任的排除。因此51信用卡「大包大攬」的格式條款可能無效。

此外，《信息授權服務協議》除小標題外，沒有任何加粗和下劃線，未盡到格式合同對免除或限制責任最基本的提請注意的義務(《合同法》第三十九條第一款)。

圖2 沒有任何加粗和下劃線的《信息授權服務協議》(該版本已更新)

(資料來源：51信用卡APP)

綜上所述，51信用卡的信息協議由於用戶只能以點擊方式同意，以不註冊、退出方式拒絕，屬于格式條款。而部分協議內容實質上擴大自身權利、排除對方主要權利，且涉及用戶重要權益的條款並無加粗和下劃線等提請注意的處理，此類協議的格式條款無效。無效的格式條款的授權部分，授權的合法性基礎受到動搖。

3. 概括授權侵犯個人合法權益。網貸公司與用戶的協議中，往往存在不明確、非具體的概括性授權。概括性授權指不特定的授權，包括被授權主體的概括性[22]、授權內容的概括性[23]等。這樣的「授權」基本是強制和形式上的授權，個人並未真正享受到同意的權利。以51信用卡為代表的網貸公司涉及概括授權幾乎為常態，在我國監管體系下屬於不合法行為。

《中國人民銀行金融消費者權益保護實施辦法(徵求意見稿)》[24]與《個人金融信息保護試行辦法(徵求意見稿)》[25]禁止金融機構以概括授權的方式，獲得個人金融信息使用授權或者同意。那信貸公司是否應受上述規定約束呢?一方面從體系解釋來看，我國的個人信息監管由諸多法律法規構成，在法律法規無明顯衝突，且各有側重、構成監管體系的情況下，本文認為對概念的討論應結合整體框架。[26]《個人金融信息保護技術規範》中明確規定「涉及個人金融信息處理的相關機構」屬於金融機構。且其他文件中對金融機構的規定也不局限於持牌金融機構，因此在央行的規範體系下，網貸公司屬於金融機構範疇。另一方面從目的解釋來看，央行擴張金融機構定義，是為其監管提供可能性。此外，央行的監管文件切實對從事相關業務和服務的非持牌機構產生重要影響。所以網貸公司應屬於廣泛定義上的「金融機構」。

即使在經過一次次改進的2020年最新版51信用卡《信息服務授權協議》，也體現出授權的概括性。第一，被授權主體是概括性的「平臺服務所涉及的各個服務支持提供方及平臺合作機構」，並且該授權主體有自由變動的權利——協議中規定其有權「相應地改變適用範圍和被授權主體，且無須您(用戶)重新確認授權」。第二，授權的內容是概括性的。在協議規定中，51平臺可獲得六大類十五小類信息，每小類信息又用列舉的方式羅列了二到十幾種具體信息類型，同時大量使用「包括但不限於」「等」之類詞語，在解釋上可進行隨意擴展。因此信息收集範圍廣泛而具有概括性。第三，個人信息的使用範圍是概括性的。協議中規定用戶同意授權不明確的第三方獲得並記錄信息，且51平臺「不對該第三方的行為及後果承擔任何責任」。概括授權看似高效便捷，但其並非用戶的真實意思。在接收協議、獲取服務與拒絕授權、無法借貸的兩難選擇中，用戶往往會抱著僥倖心理選擇前者。但這並不是授權，而是一種利益考量下的被迫同意。此外，概括授權也可能因過度獲取公民信息，且使得個人信息被反覆、多次、無限使用而侵犯個人合法的信息與隱私權益。

4. 無效授權的法律責任。綜上所述，協議部分條款可能由於違背合同相對方真實意思而可撤銷。即使在真實意思表示下，也存在格式條款無效事由。所以基於該部分條款的信息授權是一種不真正授權，造成對用戶信息的過度獲取。此外，概括授權是一種用戶的被迫同意，也會侵犯個人的信息和隱私權益。即使爬蟲在形式上得到了用戶授權的「通行證」，如果實質授權無效，則看似的康莊大道也可能是一條不法之路。

關於具體責任需要在我國法律體系下進行審查。在個人信息與隱私方面，法律、行政法規、部門規章等都有相應規範。大部分學者認為應堅持刑民一體化視野與法秩序統一原理，根據法律規範的構造進行解釋，《民法總則》第一百一十一條規定自然人的個人信息受法律保護，任何組織和個人不得非法收集。這在法律規範的結果上指示著個人信息權的確認。《刑法》第二百五十三條規定了「侵犯公民個人信息罪」，其構成要件為：(1)違反國家有關規定；(2)向他人出售或者提供公民個人信息；(3)情節嚴重。上述三要件的具體規定可見《最高人民法院、最高人民檢察院關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》。侵犯公民個人信息罪的保護法益是個人信息權，該罪名是對民法總則及相關法律法規個人信息權的刑法確認。[27]

《網絡安全法》對不構成犯罪的行為進行了責任補充，第六十四條規定竊取或者以其他非法方式獲取公民信息尚不構成犯罪的，應承擔相應的行政責任。此外，在《數據安全管理辦法(徵求意見稿)》、《電信和網際網路用戶個人信息保護規定》和《中國人民銀行金融消費者權益保護實施辦法》等部門規章中，對欺騙、誤導或者強迫等方式或者違反法律、行政法規以及雙方的約定收集、使用信息的行為，作出了責任規定。

關於刑民交叉問題，學界有很多討論,[28]本文認為應以社會危害性程度作為責任劃分的界限。如果爬蟲未經授權或授權無效，可根據其具體情況進行法律責任的判斷。刑法是其他部門法的保障法和最後一道屏障，構成刑法上犯罪的行為，一定也可由民法或行政法來解釋，不過刑法之所以將某種行為規定為犯罪，是因為其他部門法在規制力度上已經力有不逮。[29]司法層面上,一旦爬蟲未經授權或授權無效的行為符合了刑法上規定的構成要件，即主觀上有非法獲取信息的故意，客觀上實施了相關行為且造成嚴重後果，便應當作為犯罪處理，這與刑法謙抑性並無衝突。而未滿足刑法要件的無效授權行為則不會構成犯罪，當違反上述其他民事、行政法律或部門規章時，應根據具體的規定承擔相應民事或行政責任。

(三)多主體關係下的法律問題

上述討論是在「用戶—網站」這一對關係下進行的。下面分析的是，即使網站通過合同，合法、有效地獲取用戶信息採集權，由於授權下的爬蟲涉及多類主體與多種法律關係，通過爬蟲獲取信息仍然可能存在相關法律問題。

1. 合同角度下的違約責任。在最簡化的法律關係中，用戶與網貸公司之間基於服務協議、信息協議等構成合同關係，如圖3所示，以下簡稱合同關係1。同時，用戶在註冊使用其他應用或網站時，也會與對方構成合同關係，以下簡稱合同關係2。用戶與網貸公司基於合同關係1的授權，可能違反用戶與其他信息平臺的合同約定，導致用戶在合同關係2中的違約責任。

圖3 爬蟲多方法律關係

(資料來源：作者整理)

目前通說認為，用戶作為自然人擁有信息所有權，提供服務的機構可獲取信息並在約定的範圍內擁有信息使用權，如加工和保存相關信息等。具有大量數據信息的網站或應用，往往明示禁止其他方對其數據進行爬取，這一態度也會在其用戶協議中明確提示。如微博在《微博服務使用協議》[30]明確聲明，除非微博出具書面通知，否則用戶無權授予其他主體對其微博數據進行爬取。《淘寶平臺服務協議》也註明，未經淘寶平臺同意，直接或間接授權第三方使用淘寶平臺帳戶或獲取帳戶項下的行為無效。考慮到平臺維護信息的成本和信息帶來的利益，上述合同條款屬於意料之中。在沒有法律法規明確禁止進行此類約定時，在「法無禁止即自由」的基本法律精神下，信息平臺與用戶可基於自由的合同關係，禁止用戶授權第三方爬取平臺信息。

那麼，如果自然人甲為A網貸公司的用戶，甲授權A網貸公司登錄其微博或淘寶帳號時，可能會違反甲與微博、淘寶的合同約定，甲需承擔合同中規定的違約責任。在51信用卡場景下，其《信息授權服務協議》明確提及可由用戶授權，獲取用戶在電商平臺的信息。如果51信用卡未與相關電商達成協議，則用戶將面臨違約責任。在合同關係1授權有效的情況下，如果網貸公司爬取其他信息平臺數據，則用戶會違反合同關係2下禁止爬取信息的條款，可能依據合同承擔相關違約責任。

此外值得反思的是，無論是面對網貸公司還是其他平臺，作為自然人的用戶都是弱勢的一方，但在這樣的合同關係中，最終的法律風險卻由用戶承擔，顯然存在權利與義務不對等的不公平現象。如果對信息授權完全放任，將導致個人既承擔信息風險，又是其他法律責任的潛在承擔者。

2. 侵權角度下的權益侵犯。在雙邊關係下，如果沒有獲得用戶的真實有效授權，顯然網站會對用戶的信息權造成侵犯。但是涉及第三方時，即使擁有有效的信息授權，也可能造成對其他權益方的侵權。

用戶授權相關應用或機構獲取信息，由於其授權過程中可能涉及第三人的信息，因此可構成對第三人的侵權。《中華人民共和國網絡安全法》第四十二條規定，未經被收集者同意，不得向他人提供個人信息。但是在用戶與網貸公司的授權過程中，卻可能造成雖經授權，而獲取他人信息的結果。如在黑貓、21CN聚投訴等平臺，涉及51信用卡的投訴超過4000條，投訴內容主要是51信用卡獲取借款人身邊聯繫人的電話，進行上千條的簡訊騷擾、電話狂轟濫炸，或者未經允許獲取聯繫人地址，以借款人姓名發送惡意包裹等。在用戶授權網貸公司閱讀其通信錄、電商數據後，用戶聯繫人的通信數據、地址等就在未經同意的情況下被獲取，造成對他人個人隱私和個人信息的侵犯。

在有效的授權下，爬蟲方因缺乏非法獲取信息的主觀犯意而難以受到刑法規制。不過根據《中華人民共和國侵權責任法》第六條及學理解釋，行為人因侵害他人民事權益的應當承擔侵權責任，該責任為過錯推定責任。由於其不當使用他人信息造成對第三人絕對權侵害的，爬蟲應承擔侵權責任。

此外如上所述，基於授權後對其他信息平臺進行信息爬取，除了使用戶可能面臨違約風險，數據爬取方與被爬取方之間也可能構成侵權關係。有數據的地方就有價值。以社交媒體平臺為例，用戶在平臺中發布的信息匯集於平臺，形成廣告展位，為平臺增加增值業務機會；用戶在平臺中發布的信息可帶動粉絲入駐平臺，成為廣告或增值業務的受眾和消費者；高關注度用戶的存在和其發布的信息，也會提昇平臺的高曝光率。因此，對免費使用的社交媒體平臺來說，其數據和信息，是立身之本。在無社交媒體明確授權同意的情況下，如果網貸平臺依靠用戶授權，利用用戶社交帳號對社交媒體信息進行爬取，可能侵犯其他網絡平臺合法的商業化數據上的權利。

雖然在網貸領域的數據爬取主要目的為徵信與催收，可能不會直接對社交媒體數據進行大規模商業使用，但由於網貸數據團隊傾向於對數據進行存儲、在關聯公司之間共享，數據一定積累後仍可能對其他平臺合法權益造成侵害，需依據《侵權法》承擔民事責任。構成《中華人民共和國反不正當競爭法》第十二條第四款「其他妨礙、破壞其他經營者合法提供的網絡產品或者服務正常運行的行為」的，還需承擔行政責任。

所以即使獲得授權的爬蟲，其本身不是構成暴力催收或侵犯信息類犯罪的充分必要條件，但由於其獲取信息能力的強大性、授權方式的特殊性和法律關係上的複雜性，可能會對公民和其他信息主體利益造成損害，需要監管上的特殊關注，爬蟲從業者也應對其行為進行審查，以避免違法違規。

四、結語

51信用卡風波雖然沒有正式的官方聲明，但隨著監管的強化，網貸公司與大數據公司大量解散爬蟲團隊，使行業出現兩難困境：一種選擇是爬蟲解散後又缺乏有力的數據源泉，使得相關產業只能自行探索風險更高或更不準確的信息搜集方式，面臨更多不合規問題；另一種選擇是業務徹底轉型，放棄P2P業務，如P2P巨頭陸金所藉助其母公司平安集團申請到消費金融牌照。但更多的小貸公司難以滿足轉型的資金與合規要求，在命運的十字路口黯然離場。曾經熱鬧非凡的P2P市場，讓人不禁產生「陋室空堂，當年笏滿床；衰草枯楊，曾為歌舞場」的唏噓感。

在數據價值日益凸顯的今天，通過強監管維護公民信息安全、社會公平秩序和網絡安全環境是必要的。但是強監管並不意味著風聲鶴唳、草木皆兵。在資訊時代，我們面臨非常多的新鮮概念，對傳統法律秩序提出了挑戰，爬蟲是挑戰的一個例子和縮影。只有明確概念，才能對相關問題作出充分分析。這即是本文希望達到的目的——通過對爬蟲的「洗白」和追責，剝除無關問題，探討到底什麼是爬蟲。作為一種獲取信息的中立手段，我們無須聞之而色變，對其可能涉及的風險進行充分探討和有效管控，爬蟲就能變成「良蟲」。

其他類似爬蟲的技術，它們是新時代的利器，其利其弊取決於持器之人的運用統籌。對利器理應更妥善保管。不管是將利器完全收藏封印，還是用制度和手段保護可能受到侵害的群體，是不同的存管思路。對問題要具體分析，有的放矢地進行保護。同時，新事物的分析也不能脫離既有的基本法律關係，不可迷信和稀泥式的「法律創新」與脫離體系的「倫理分析」。這樣新事物發展與弱勢權益保護並存，就不是無法調和的悖論。

注釋：

[1]參見51信用卡招股說明書與51信用卡官網，資料來源：https：//www.u51.com/#/company，2020年2月10日訪問。

[2]參見寧立志、王德夫：《「爬蟲協議」的定性及其競爭法分析》，載《江西社會科學》2016年第1期。

[3]如果違反協議，可能構成侵權法上的侵權行為(侵犯隱私權和財產權)，參見Alex Cato, Robot.txt and Linking the Internet, 24 Australian Law Librarian 37(2016)，也可能構成違反信義的行為或不正當競爭法上的問題，參見何穎：《數據共享背景下的金融隱私保護》，載《東南大學學報(哲學社會科學版)》2017年第1期。

[4]在著名的「百度訴360不正當競爭案」中，北京市第一中級人民法院裁判意見認為尊重行業規則robots協議，但也並未認為違反協議為判定違法的必要條件，雙方可通過「協商—通知」程序解決問題。參見北京市第一中級人民法院網：「百度訴奇虎360違反Robots協議案一審宣判360賠償百度70萬元」，資料來源：http：//bj1zy.chinacourt.gov.cn/article/detail/2014/09/id/1446252.shtml，2020年2月27日訪問。

[5]全國信息安全標準化技術委員會2017年12月29日發布的國家標準GB/T35273-2017《信息安全技術個人信息安全規範》於2018年5月1日實施。2019年6月24日由全國信息安全標準化技術委員會公開徵求意見並於2019年10月24日發布的《信息安全技術個人信息安全規範(最新版徵求意見稿)》。

[6]《安全規範》第5.6條規定：「以下情形中，個人信息控制者收集、使用個人信息不必徵得個人信息主體的授權同意：a)與個人信息控制者履行法律法規規定的義務相關的；b)與國家安全國防安全直接相關的；c)與公共安全、公共衛生、重大公共利益直接相關的；d)與刑事偵查、起訴、審判和判決執行等直接相關的；e)出於維護個人信息主體或其他個人的生命、財產等重大合法權益但又很難得到本人授權同意的；f)所涉及的個人信息是個人信息主體自行向社會公眾公開的；g)根據個人信息主體要求籤訂和履行合同所必需的；h)從合法公開披露的信息中收集個人信息的，如合法的新聞報導、政府信息公開等渠道。」

[7]《數據安全管理辦法(徵求意見稿)》第二十七條規定：「網絡運營者向他人提供個人信息前，應當評估可能帶來的安全風險，並徵得個人信息主體同意。下列情況除外：(一)從合法公開渠道收集且不明顯違背個人信息主體意願；(二)個人信息主體主動公開；(三)經過匿名化處理；(四)執法機關依法履行職責所必需；

(五)維護國家安全、社會公共利益、個人信息主體生命安全所必需。」

[8]中國銀行業監督管理委員會、工業和信息化部、公安部和國家網際網路信息辦公室發布。

[9]公安部網絡安全保衛局、北京網絡行業協會、公安部第三研究所聯合發布。

[10]該法第六條第二款規定：「為強行索要因非法放貸而產生的債務，實施故意殺人、故意傷害、非法拘禁、故意毀壞財物、尋釁滋事等行為，構成犯罪的，應當數罪併罰。」

[11]四川省德昌縣人民法院(2018)川初字第169號刑事判決書。

[12]中華人民共和國最高人民檢察院：「最高檢發布六起侵犯公民個人信息犯罪典型案例」，資料來源：http：//www.spp.gov.cn/xwfbh/wsfbt/201705/t20170516_190645.shtml#1，2020年2月10日訪問。

[13]支持意見參見劉憲權：《論信息網絡技術濫用行為的刑事責任——《刑法修正案(九)》相關條款的理解與適用》，載《政法論壇》2015年第6期；車浩：《刑事立法的法教義學反思——基於刑法修正案(九)的分析》,載《法學》2015年第10期；於志剛：《網絡空間中犯罪幫助行為的制裁體系與完善思路》，載《中國法學》2016年第2期；劉豔紅：《網絡犯罪幫助行為正犯化之批判》，載《法商研究》2016年第3期。關於非正犯化的意見主要由張明楷教授提出，其認為是一種對幫助犯量刑的規定，參見張明楷：《論幫助信息網絡犯罪活動罪》，載《政治與法律》2016年第2期。

[14]第十一條規定：「可以認定行為人明知他人利用信息網絡實施犯罪，但是有相反證據的除外：(一)經監管部門告知後仍然實施有關行為的；(二)接到舉報後不履行法定管理職責的；(三)交易價格或者方式明顯異常的；(四)提供專門用於違法犯罪的程序、工具或者其他技術支持、幫助的；(五)頻繁採用隱蔽上網、加密通信、銷毀數據等措施或者使用虛假身份，逃避監管或者規避調查的；(六)為他人逃避監管或者規避調查提供技術支持、幫助的；(七)其他足以認定行為人明知的情形。」

[15]第十二條規定：「具有下列情形之一的，應當認定為刑法第二百八十七條之二第一款規定的『情節嚴重』：

(一)為三個以上對象提供幫助的；(二)支付結算金額二十萬元以上的；(三)以投放廣告等方式提供資金五萬元以上的；(四)違法所得一萬元以上的；(五)二年內曾因非法利用信息網絡、幫助信息網絡犯罪活動、危害計算機信息系統安全受過行政處罰，又幫助信息網絡犯罪活動的；(六)被幫助對象實施的犯罪造成嚴重後果的；

(七)其他情節嚴重的情形。」

[16]用戶授權可能是不真正授權，即雖形式上獲得授權同意，但由於該授權存在瑕疵，因此部分授權最終歸於無效，信息使用方不能以此作為侵犯個人信息的抗辯事由。

[17]2019年4月、2019年11月、2019年12月、2020年1月與2020年2月至少有一份協議的更新。

[18]Aleecia M.McDonald & Lorrie Faith Cranor, The Cost of Reading Privacy Policies, 4 Journal of Law and Policy for the Information Society 534(2008).

[19]《合同法》第三十九條規定：「採用格式條款訂立合同的，提供格式條款的一方應當遵循公平原則確定當事人之間的權利和義務，並採取合理的方式提請對方注意免除或者限制其責任的條款，按照對方的要求，對該條款予以說明。格式條款是當事人為了重複使用而預先擬定，並在訂立合同時未與對方協商的條款。」

[20]《合同法》第四十條規定：「格式條款具有本法第五十二條和第五十三條規定情形的，或者提供格式條款一方免除其責任、加重對方責任、排除對方主要權利的，該條款無效。」

[21]賀栩栩：《〈合同法〉第40條後段(格式條款效力審查)評註》，載《法學家》2018年第6期。

[22]胡建淼主編：《中國現行行政法律制度》，中國法制出版社2011年版，第24頁。

[23]個人信息保護課題組：《個人信息保護國際比較研究》，中國金融出版社2007年版，第147頁。

[24]《中國人民銀行金融消費者權益保護實施辦法》(銀髮〔2016〕314號)第三十條第二款規定：「金融機構不得以概括授權的方式，索取與金融產品和服務無關的個人金融信息使用授權或者同意。」雖然在2019年的徵求意見稿中將該款替換為「金融機構應當履行《中華人民共和國消費者權益保護法》規定的明示義務，並保留有關證明資料」，但實質上仍然是對概括授權的禁止。

[25]該文件未向公眾公開，根據相關媒體報導，第十八條為「金融機構不得以『概括授權』的方式取得信息主體對收集、處理、使用和對外提供其個人金融信息的同意」。

[26]目前，我國在個人金融信息保護問題上的監管框架包含若干個規範性文件，可歸納為「一法三辦法」，分別為：《網絡安全法》《數據安全管理辦法(徵求意見稿)》《信息安全技術個人信息安全規範(徵求意見稿)》《信息安全技術數據出境安全評估指南(徵求意見稿)》和《個人金融信息(數據)保護試行辦法(徵求意見稿)》《中國人民銀行金融消費者權益保護實施辦法(徵求意見稿》。2020年2月13日央行發布了新的金融行業標準——《個人金融信息保護技術規範》，從技術標準角度對上述框架進一步支撐和完善。

[27]劉豔紅：《民法編纂背景下侵犯公民個人信息罪的保護法益：信息自決權——以刑民一體化及〈民法總則〉第111條為視角》，載《浙江工商大學學報》2019年第6期。

[28]相關具體討論與類型劃分參見楊興培：《刑民交叉案件的類型分析和破解方法》，載《東方法學》2014年第4期；參見江偉、範躍如：《民刑交叉案件處理機制研究》，載《法商研究》2005年第4期；參見董秀婕：《刑民交叉法律問題研究》，吉林大學法學院2007年博士學位論文。

[29]劉憲權、陳羅蘭：《我國P2P網貸平臺法律規制中的刑民分界問題》，載《法學雜誌》2017年第6期。

[30]《微博服務使用協議》：「1.3.2未經微博運營方事先書面許可，用戶不得自行或授權、協助任何第三方非法抓取微博內容，『非法抓取』是指採用程序或者非正常瀏覽等技術手段獲取內容數據的行為。」資料來源：https：//m.weibo.cn/c/regagreement，2020年2月17日訪問。