【技术中立并非侵犯公民个人信息挡箭牌】

  • A+
所属分类:云安全
来源:法制日报,作者:中国政法大学刑事司法学院  夏 伟

近日,上海市浦东新区人民法院审理了一起侵犯公民个人信息罪案件,被告人刘某、黄某等8人被判处有期徒刑三年、缓刑三年至有期徒刑一年、缓刑一年不等,并各处罚金3万元至1万元不等。据媒体报道,刘某等人均为上海某信息科技公司员工,该公司在没有取得国家有关部门批准的情况下,有偿为其客户提供个人信息查询服务。据刘某等人供述,公司获取相关个人信息的来源主要有两个:一是从上游公司购买;二是利用“爬虫”技术爬取各类网站、社保、公积金、手机App等网络上的个人信息,然后经过整合储存在公司租赁的服务器内,供客户查询,违法所得共计1750余万元。

此案是当前利用技术手段获取个人信息,实施违法犯罪的一个典型案例。近年来,一些科技企业以风控、提供征信服务等名义利用网络爬虫技术获取个人信息,或者在网络上爬取公开的碎片化信息之后,再利用技术手段将这些碎片化信息重新组合为个人信息,为其客户提供有偿查询等服务。司法实践中,关于上述行为的定性一直存在较大争议,争议的焦点在于,上述行为究竟只是中立技术的一种应用方式,还是可能涉嫌违法犯罪?所谓网络爬虫,是指按照一定的预设规则,自动抓取互联网上相关信息的程序或者脚本,它与互联网的迭代发展息息相关。比如,人们熟知的百度等搜索引擎,就是以网络爬虫作为关键底层技术来实现搜索的精准性和广覆盖性。从形式上看,网络爬虫技术具有中立性,借助这项技术可以实现数据资源的流通共享。但从实质上看,技术本身的中立性不能证成该技术使用行为的中立性,未经授权而利用网络爬虫技术爬取个人信息的行为不仅非中立,而且具有极大的侵害性,特别是在网络空间雪球效应的叠加影响下,个人信息不当泄露的危害性将被无限放大,并严重损害当事人的合法权益。因此,这类行为本质上是以技术中立之名行违法犯罪之实,侵犯了个人信息权益,情节严重的还可能构成刑事犯罪。

根据我国现行法律法规的规定,对于利用网络爬虫技术爬取个人信息行为是否涉嫌违法犯罪,主要看两点:一是个人信息的爬取是否符合法律规定。例如,根据民法典的规定,经过权利人同意而处理其个人信息的,属于合理使用的情形,不承担民事责任。因此,如果某科技公司爬取个人信息时经过了权利人的同意,则这种行为属于合法行为,当然也不构成刑事犯罪。反之,如果未经权利人同意而随意爬取个人信息的,则属于违法行为,情节严重的,还可能构成刑事犯罪。二是利用爬虫技术爬取个人信息时是否突破了他人设置的技术保护措施。有的公司为了保护存储在服务器内的数据,通常会以防火墙、加密程序等方式阻止网络爬虫,这就是技术保护措施。在司法实践中,技术保护措施通常被视为保护数据安全的计算机信息系统,因此,突破技术保护措施而爬取个人信息的行为,还可能构成非法获取计算机信息系统数据罪、破坏计算机信息系统罪等犯罪。

值得关注的是,如果行为人利用爬虫技术获取网络上公开的碎片化信息之后,重组为个人信息,再出售、提供给他人的,应当如何定性?一般而言,利用爬虫技术获取网络上公开的碎片化信息,并不违法。但是,如果将这些碎片化信息进行重组,增加其可识别性,使其成为法律意义上的个人信息,再出售、提供给他人的,则可能涉嫌违法犯罪。根据2017年5月最高人民法院、最高人民检察院发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条的规定,个人信息的核心是可识别性,将网络上获取的碎片化信息进行重组,使之能够反映他人身份或者反映他人活动情况,这样的信息本质上就是个人信息,此时,如果再随意出售、提供给他人,情节严重的,就会构成侵犯公民个人信息罪。

技术中立并非侵犯公民个人信息的挡箭牌。对于网络爬虫技术,我们既要看到它对信息资源流通共享的不可或缺性,也要意识到它的滥用对个人信息权益造成的严重侵犯。科技企业在使用网络爬虫技术的过程中,需要严格遵守现行法律法规,遵循爬虫技术规则,尊重爬虫对象设置的技术保护措施。唯有如此,才能在法治逻辑下使网络爬虫回归技术本质,推动整个行业健康有序发展。

【技术中立并非侵犯公民个人信息挡箭牌】

技术中立?!法律这样看

https://new.qq.com/omn/20210428/20210428A052FD00.html

本文始发于微信公众号(电子物证):【技术中立并非侵犯公民个人信息挡箭牌】

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: