网络爬虫行为的刑事法律风险

admin 2022年8月7日01:00:21安全闲碎评论4 views4889字阅读16分17秒阅读模式

点击蓝字关注我们

网络爬虫(Web Crawler)(简称爬虫),是互联网时代一项运用非常普遍的网络信息搜索技术。简单来说,它包含采集信息、数据存储和信息提取三个步骤。这一技术最早应用于搜索引擎领域,随着互联网在社会生活领域的广泛渗透,爬虫技术的应用领域不断拓宽。以日常所用软件为例,出行软件中爬虫的占比较高,其中被各方火力集中攻击的则属中国铁路客户服务中心(12306)。此外,中国执行信息公开网、国家企业信用信息公示系统等也是被爬虫的对象。而被爬虫企业通常采取的对抗方式,包括图片验证码、滑块验证、解密运算等,以增加爬虫程序资源的成本,更有企业积极开发反爬虫技术以限制网络爬虫的访问权限。
理论上看,“爬虫” 作为一项网络信息搜索技术,具有技术中立性,并未被我国现行法律所明令禁止。但是在司法实务中,“技术中立原则”的适用也应有边界。如果使用技术的人用以危害社会,利用技术手段实施犯罪行为,则不因“技术中立原则”而免除刑事责任。从深圳市谷米科技有限公司与武汉元光科技有限公司反不正当竞争案,到全国首例“爬虫”技术侵入计算机系统犯罪案,可以看出,在运用爬虫技术侵入系统、提取数据的过程中,轻则可能涉及民事违法,重则可能触及刑事犯罪。
一、网络爬虫行为刑事案件概况
笔者通过在Alpha系统检索网络爬虫行为所涉刑事案件,共得到刑事裁判文书25份。细化到具体罪名来看,网络爬虫业务刑事案件涉及最多的罪名为侵犯公民个人信息罪(占48%),后依次为侵犯著作权罪(占16%)、非法获取计算机信息系统数据、非法控制计算机信息系统罪(占16%)、非法侵入计算机信息系统罪(占4%)、提供侵入、非法控制计算机信息系统程序、工具罪(占4%)、破坏计算机信息系统罪(占4%)、传播淫秽物品罪(占4%)、诈骗罪(占4%)。
网络爬虫行为的刑事法律风险
二、网络爬虫行为的主要刑事法律风险
在使用网络爬虫技术的过程中,从技术本身的使用行为到抓取数据后的使用、传播行为,可能涉及非法侵入计算机信息系统罪、非法获取计算机信息系统数据、非法控制计算机信息系统罪、侵犯公民个人信息罪、诈骗罪、侵犯著作权罪等。
(一)非法侵入计算机信息系统罪等
1、非法侵入计算机信息系统罪
根据《刑法》第二百八十五条第一款之规定,非法侵入计算机信息系统罪属于行为犯。如果使用爬虫技术,非法侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统,则只要实施了侵入行为,即构成非法侵入计算机信息系统罪。在李文环、王硕、卢晓燕等非法侵入计算机信息系统罪一案中,被告人李文环使用“爬虫”软件,大量爬取全国各地及凉山州公安局交警支队车管所公告的车牌放号信息,之后使用软件采用多线程提交、批量刷单、验证码自动识别等方式,突破系统安全保护措施,将爬取的车牌号提交至“交通安全服务管理平台”车辆报废查询系统,进行对比,并根据反馈情况自动记录未注册车牌号,建立全国未注册车牌号数据库。法院认为“被告人李文环等人为牟取私利,违法国家规定,侵入国家事务领域的计算机信息系统,构成非法侵入计算机信息系统罪。”
在司法实务中,法院对于“侵入”行为的认定,主要考量是否存在超越权限、对系统的正常运行产生影响等情形。对于大数据服务公司而言,其在运用爬虫技术抓取国家企业信用信息公示系统、中国执行信息公开网等公开数据时,风险点在于是否对目标系统的正常运行产生影响。在被爬虫网站已经采取反爬虫技术的情况下,如果恶意破解反爬虫技术抓取数据,进而对网站运行造成影响的,则可能构成非法侵入计算机信息系统罪。
此外,司法实务中容易引起争议的是对“国家事务”的认定。虽然《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第十条规定“对于是否属于刑法第二百八十五条、第二百八十六条规定的‘国家事务、国防建设、尖端科学技术领域的计算机信息系统’、‘专门用于侵入、非法控制计算机信息系统的程序、工具’、‘计算机病毒等破坏性程序’难以确定的,应当委托省级以上负责计算机信息系统安全保护管理工作的部门检验。”但是由于《刑法》和相关司法解释并未对“国家事务”予以明确界定,导致实务中对于“国家事务的计算机信息系统”的认定不统一,部分案例中将地方政府网站也认定为“国家事务的计算机信息系统”。从刑法的谦抑性角度来看,对于“国家事务”应当进行限制解释。“国家事务的计算机信息系统”应仅限于处理全国层面的国家内部治理事务和外交事务的计算机信息系统,对于地方国家权力机关的政务公开或网络办公系统,不应当认定为国家事务的计算机信息系统。
2、非法获取计算机信息系统数据、非法控制计算机信息系统罪
《网络安全法》第二十七条明确规定“任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动。”实践中,信息提供者会采取各种反爬虫技术措施为爬虫设置障碍或者增加爬虫技术的成本。在各种反爬虫策略中,Robots协议是技术界为了解决爬取方和被爬取方之间通过计算机程序完成关于爬取的意愿沟通而产生的一种机制。信息提供者可以在自己的站点设置Robots协议,以告知爬虫控制者哪些信息是提供者不希望被爬取的。
根据《刑法》第二百八十五条第二款之规定,如果使用网络爬虫技术,恶意破解目标网站,非法侵入国家事务、国防建设、尖端科学技术领域之外的计算机信息系统,获取该计算机信息系统中存储、处理或者传输的非公开数据或者未授权数据,或者对该计算机信息系统实施非法控制,情节严重的,则构成非法获取计算机信息系统数据、非法控制计算机信息系统罪。
在呙某某非法获取计算机信息系统数据、非法控制计算机信息系统罪一案中,辩护人提出“呙某某编写爬虫脚本获取计算机信息系统数据的行为不具有违法性”,而法院以“呙某某未经网站授权,利用特定网站的漏洞,通过编写爬虫脚本入侵特定网站的方式,批量获取计算机信息系统中公民信息数据并用于出售”为由认定了该行为的非法性。
在上海晟品网络科技有限公司、侯明强等非法获取计算机信息系统数据罪一案中,侯明强指使被告人郭辉破解北京字节跳动网络技术有限公司的防抓取措施,使用“tt_spider”文件实施视频数据抓取行为,在数据抓取的过程中使用伪造device_id绕过服务器的身份校验,使用伪造UA及IP绕过服务器的访问频率限制。法院认为“被告单位上海晟品网络科技有限公司违反国家规定,采用技术手段获取计算机信息系统中存储的数据,情节严重,其行为已构成非法获取计算机信息系统数据罪。”
需要注意的是,非法获取计算机信息系统数据罪与侵犯公民个人信息罪是法条竞合的关系,如果网络爬虫抓取的是公民个人信息,基于特别法条优先于普通法条的原则,适用侵犯公民个人信息罪的规定。
(二)侵犯公民个人信息罪
《网络安全法》第四十四条规定“任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。”根据我国《刑法》第二百五十三条之一第一款之规定,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,构成侵犯公民个人信息罪。根据本条第三款之规定,窃取或者以其他方法非法获取公民个人信息的,亦构成侵犯公民个人信息罪。所谓“公民个人信息”,根据《办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条之规定,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
在彭中正、吕雷、周敏侵犯公民个人信息罪一案中,被告人彭中正辩解称涉案信息来源是在网上抓取,并非非法获取的。而法院认为“彭中正无论是从公司窃取还是自己加工获取,未征得他人同意收集信息,均系非法手段,不影响本罪的构成。”因此,如果爬虫控制者在未经他人同意或者超出权限许可范围的情况下大量抓取公民个人信息,其手段即具有非法性,可能构成侵犯公民个人信息罪。
2019年下半年以来,套路贷产业链所依靠的大数据服务公司遭遇强监管。其中不乏有大数据服务公司成为了为“套路贷”犯罪分子提供“服务”的职业化群体,其爬取的数据维度较为细致,爬虫技术被应用在“套路贷”的个人信息搜集和暴力催收上,具有严重的社会危害性。如果大数据服务公司在对“套路贷”犯罪不知情的情况下,单纯出售、提供公民个人信息,情节严重的,可能构成侵犯公民个人信息罪;如果大数据服务公司在明知他人实施“套路贷”犯罪,出售、提供、帮助获取公民个人信息的,根据《关于办理“套路贷”刑事案件若干问题的意见》的规定,一般以相关犯罪的共犯论处。其中,对“明知”的判断应当结合行为人的认知能力、既往经历、行为次数和手段、与同案人、被害人的关系、获利情况、是否曾因“套路贷”受过处罚、是否故意规避查处等主客观因素综合分析认定。
(三)诈骗罪
在电信诈骗泛滥的当下,网络爬虫技术也也成为了犯罪分子实施诈骗的工具,根据《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》的规定,利用“钓鱼网站”链接、“木马”程序链接、网络渗透等隐蔽技术手段实施诈骗的,属于酌定从重处罚情节。
在叶文荣、孙雷杰诈骗案中,被告人叶文荣雇佣他人,为谋取非法利益,通过购买爬虫软件获取淘宝网新开店店家信息,冒充淘宝客服人员向店家发送店铺未激活、交易关闭等虚假信息,以帮助店家解决问题为由诱骗被害人同意其进行远程协助并提供支付宝账户及密码,后其通过电脑远程操作的方式使用被害人支付宝为视频账户充值。法院认为“被告人叶文荣以非法占有为目的,利用电信网络对不特定多数人实施诈骗,骗取财物数额特别巨大,其行为已构成诈骗罪”。
(四)侵犯著作权罪
根据《刑法》第二百一十七条之规定,如果行为人以营利为目的,未经著作权人许可,利用爬虫软件抓取他人享有著作权的作品,并擅自在网络上传播的,违法所得数额较大或者有其他严重情节的,则构成侵犯著作权罪。
在段某某侵犯著作权案中,被告人段某某未经著作权人许可,利用视频搜索爬虫技术,针对乐视、土豆等各大知名视频网站的影视作品设置加框链接,收取用户点击、浏览影视作品后产生的广告费。法院认为“被告人在本案中实施的是聚合以后的加框链接行为,链接技术本身是中立的,但技术中立并不代表采用该技术就不构成侵权或严重情况下不触犯刑律。只有主观上不明知或应知被链作品系侵权作品,客观上未故意避开或破坏技术措施,仅是基于用户指令为查找、定位、浏览、获取相关信息而实施的客观的网页和目标间的转换连接,才有可能豁免其相关责任。”“如果对此类行为再不予重视和规制,已经日趋健康的互联网竞争秩序将回复残酷的‘丛林弑杀’。被告人的行为使他人与其经济利益相匹配的作品可控传播范围得以无限扩大,不仅展示了他人作品,而且使用户能轻易直接获得该作品,这种未经他人授权许可的作品再提供及牟利,本院无法得出其性质正当性的可能。”
在金某某、潘某侵犯著作权案中,被告人潘某负责编写爬虫软件从互联网上抓取小说数据储存至其租用的阿里云服务器内,供用户免费阅读。法院认为“被告人金某某、潘某结伙,以营利为目的,未经玄霆公司许可,复制玄霆公司享有信息网络传播权的文字作品1024部,并通过信息网络向公众传播,情节严重,其行为均已构成侵犯著作权罪。”
虽然技术本身具有中立价值,但这并不意味着其必然不受刑法规制。在对网络爬虫行为进行定性时,需综合考虑行为人利用网络爬虫技术实施了何种行为,是否对刑法所保护的法益造成侵害,并结合行为人的主观心理状态予以判断是否符合犯罪的构成要件。



编辑:陈十九

审核:商密君

征文启事

大家好,为了更好地促进同业间学术交流,商密君现开启征文活动,只要你对商用密码、网络安全、数据加密等有自己的独到见解和想法,都可以积极向商密君投稿,商密君一定将您的声音传递给更多的人。

网络爬虫行为的刑事法律风险

点击购买《2020-2021中国商用密码产业发展报告》网络爬虫行为的刑事法律风险

来源:彼德研究院 

注:内容均来源于互联网,版权归作者所有,如有侵权,请联系告知,我们将尽快处理。

网络爬虫行为的刑事法律风险

网络爬虫行为的刑事法律风险
网络爬虫行为的刑事法律风险
点分享
网络爬虫行为的刑事法律风险
点点赞
网络爬虫行为的刑事法律风险
点在看

原文始发于微信公众号(商密君):网络爬虫行为的刑事法律风险

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年8月7日01:00:21
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  网络爬虫行为的刑事法律风险 https://cn-sec.com/archives/1222021.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: