网贷领域爬虫,既非原罪者也非无辜者
2020-08-09程明皓
程明皓
一、引入:人人喊打的网贷爬虫
信息时代有很多大家虽耳熟却并不能详的概念,比如对非专业技术人员来说的“爬虫”。爬虫似乎手眼通天、充满邪恶,稍加不注意就会变成无孔不入的侵害者。而网贷领域的爬虫更容易被认作侵害个人隐私和其他人身权益的罪魁祸首。监管方对网贷数据爬虫的监管力度也日渐收紧,并在2019 年下半年达到高潮,魔蝎科技、公信宝、聚信立等第三方风控行业头部公司相继被调查或被波及,整个行业如履薄冰,主要爬虫服务出于避险考虑基本暂停。网友纷纷调侃“爬虫爬得好,牢房进得早;数据玩得溜,牢饭吃个够”。
在这一背景下更引人关注的是51 信用卡被查处事件。2019 年10 月21 日上午,杭州警方至51 信用卡公司(以下简称51 信用卡)办公地点突击检查,同日晚在微博“@杭州公安”上发布公告,称51 信用卡委托外包催收公司冒充国家机关,采取恐吓、滋扰等软暴力手段催收债务,警方对其涉嫌寻衅滋事等犯罪行为开展调查。目前该案件还在进一步侦办中,未有更多官方后续信息。虽然警方以“寻衅滋事罪”立案,但是网传各种小道消息、新闻报道和分析认为,此案涉及不当使用爬虫,与2019 年9 月以来杭州警方调查魔蝎科技、公信宝运营公司、杭州存信数据科技有限公司以及征信工具“信用管家”属于同一目的,都是监管方对爬虫业务的整顿。不过截至2020 年3 月10 日关于该案缺乏更多的官方声明,本文将依据各类公开可查信息展开讨论。创立于2012 年的51 信用卡为港股上市企业,涉及信用卡、理财、借贷等业务,是中国首个且最大的在线信用卡管理和信贷平台,通过理财方式提供信贷撮合业务并按比例提成。①参见51 信用卡招股说明书与51 信用卡官网,资料来源:https://www.u51.com/#/company,2020 年2 月10 日访问。
因此,拥有超过1 亿激活用户的51 信用卡是名为“信用卡”,但是主要业务为提供网络信贷服务的平台,在P2P 领域具有重要地位,是行业内的“老大哥”,也是首先使用爬虫技术的P2P 公司之一。本次对“老大哥”的查处,如同连绵阴沉天气下的巨雷,使得网贷行业人人自危,因为这表明监管对P2P 行业正式结束观望状态。接下来各种政策和行业动态,也印证了这一趋势。据不完全统计,目前湖南、山东、重庆、河南、四川、云南、河北、甘肃、山西等9 个省份宣布取缔本行政区域内全部P2P 业务。2020 年2 月,中国人民银行召开2020 年金融市场工作电视电话会议时提出,将多措并举彻底化解互联网金融风险,这体现出P2P 市场监管以“退”为主的趋势。
在化解“互联网金融风险”的目标下,网贷公司由于合规与监管困难而被逐渐清退,而很多讨论认为不当使用爬虫构成其中一个重要风险。网贷公司如果涉及暴力催收、设定不合理利率侵犯金融消费者合法权益而被追究民事、行政乃至刑事责任理所应当。但是令人疑惑的是,作为技术手段的爬虫如何成为风口浪尖上的打击对象? 现有的各种网络报道51 信用卡事件时,大量提及非法爬虫,却未明确到底什么是非法爬虫,非法又体现在何处,让爬虫从业者手足无措。
本文以51 信用卡为例,试图揭开大众频频提及却似懂非懂的爬虫在网贷领域的神秘面纱。下面讨论将分为两个部分:第一部分是在明确爬虫概念的基础上,澄清爬虫背负的莫须有的三大类刑法罪名;第二部分是在我国法律体系下来探讨,形式合规的爬虫自身切实带来的法律问题。
二、本为无罪虫:洗脱爬虫含冤背负的罪名
(一)网贷爬虫的工作原理
1.爬虫在网贷领域的具体应用。爬虫是一个技术概念,简单来说是一个自动提取信息和网页的程序,由一系列的代码构成。一个代码初级学者经过简单训练就可以写成一段基础爬虫代码。一个基本的爬虫由制定目标、全面检索、信息传输、信息分析和信息存储五个步骤组成。基于基础的爬虫,又有一些具体的数据爬虫分类,其爬取逻辑、爬取对象不同,也具有不同的特点、不同的用途。
图1 一段爬虫代码
虽然互联网上有海量数据,但是通过人工提取所有信息几乎不可能完成。而运用爬虫技术,则可以快速、全面地获得相关信息。通过算法和代码,可以实现对信息的无遗漏收集,就像释放出无数虫子,顺着大树的每一个分叉爬行,最终遍布所有枝丫。树杈即跳转不同网站的节点,每一个分叉即最终的具体信息。数据爬取最早和最经典的应用是搜索引擎。引擎每天对各种网站进行爬虫,将信息抓取收集下来,进行可视化整理后供用户进行检索。
不过爬虫本身的代码方式决定了最基本的爬虫获取的是网络上的公开信息,在其正常运行的前提下,无法进入封闭系统。一个网站如果禁止网络爬虫对自己的信息进行获取通常会采取多种方式。一方面,网站会设置形式上的“禁止进入声明”——robots 协议,即一段指明网站中哪些信息禁止爬取的代码。不过robots 的性质还有争议,目前普遍认为其并非是民法上的合同,而是一种道德规则,①参见宁立志、王德夫:《“爬虫协议”的定性及其竞争法分析》,载《江西社会科学》2016 年第1 期。类似属于公交车上的“老弱病残专座”告示。在实践中,违反robots 协议要承担不利后果,②如果违反协议,可能构成侵权法上的侵权行为(侵犯隐私权和财产权),参见Alex Cato,Robot.txt and Linking the Internet,24 Australian Law Librarian 37 (2016),也可能构成违反信义的行为或不正当竞争法上的问题,参见何颖:《数据共享背景下的金融隐私保护》,载《东南大学学报(哲学社会科学版)》2017 年第1 期。但司法实践的态度是责任追究还需要综合各种要素进行考虑。③在著名的“百度诉360 不正当竞争案”中,北京市第一中级人民法院裁判意见认为尊重行业规则robots 协议,但也并未认为违反协议为判定违法的必要条件,双方可通过“协商—通知”程序解决问题。参见北京市第一中级人民法院网:“百度诉奇虎360 违反Robots 协议案一审宣判360 赔偿百度70 万元”,资料来源:http://bj1zy.chinacourt.gov.cn/article/detail/2014/09/id/1446252.shtml,2020 年2 月27 日访问。另一方面,网站通常会设置实质上的技术障碍——如设置防火墙、封IP、设置参数查验和验证码等——将爬虫阻挡在网站之外,从而保护自己的信息。
作为一种信息获取手段,爬虫被广泛应用到各个领域,在大数据分析、舆情检测和知识信息储备等行业中都举足轻重。对互联网金融,爬虫更是具有重要意义。信息是互联网金融领域的灵魂,无论是前端风控还是贷后催收,位于屏幕另一边的贷款公司显然需要各种数据与借款人发生真实联系。据相关网贷从业人员对媒体透露的信息来看,数据可分为电商信息、银行卡信息、运营商信息、司法信息、社交信息和开放数据等几大类。如通过电商信息可获得真实交易信息和收货地址等,是进行身份验证的有效数据。此外,电商的消费情况一定程度上能反映用户消费能力,从而评估信用;通过运营商信息,可以通过通话记录客观反映和用户关联的联系人,从而可以用作催收;通过银行卡信息,可获得核心的金融借贷的身份验证、资产状况等直接有效的用户信用情况。在互联网金融领域,数据当然是越多越好,以便多维度调查用户资信。
爬虫在上述信息获取的过程中扮演的是一种工具角色。在可公开获得的数据方面,需要爬虫进行大量的获取。如通过天眼查、企查查、启信宝等企业信息查询网站,获取一个公司的资信情况;也可通过网贷之家、零壹数据、网贷天眼和76676 互联网金融门户等获得各大网贷平台不同时间段的放贷数据。在非公开的数据方面,爬虫是获取公开数据的手段,因此往往需要获得相关数据源或数据主体的授权,爬虫方可大摇大摆地进入数据库进行爬取,如经过用户同意后获得其用户名和密码,进入电商网站进行数据的爬取等。不过对于大部分网贷公司来说,获得运营商和电商的直接授权基本是不可能的,所以正常情况下,在互联网金融领域的爬虫理论上可分为两种形式:一种是通过用户授权,如获取用户的邮箱、通信录权限等,再对所授权信息进行爬取;另一种是对不需授权的公开信息进行爬取。
2.爬虫对授权信息的获取。51 信用卡尽可能扩大用户授权范围获取数据,在2019 年7 月被国家工业和信息化部发文批评51 人品贷存在“未经用户同意收取用户信息”后,更是不断增加其用户协议内容,获取更多用户授权。首先在注册51 信用卡这一平台时,需要用户以点击同意的方式,签订《51 信用卡管家隐私政策》(以下简称《隐私政策》)和《51 信用卡管家用户注册协议》(以下简称《注册协议》),在《隐私政策》中,注明其收集的用户信息包括但不限于:储蓄卡/信用卡卡号、用户名、开户行、持卡人银行预留手机号、持卡人身份证号码等。被授权人为51 信用卡与其关联公司。
签订上述两个协议后,用户即拥有了登录51 平台的权利。不过要进行实质操作获得贷款,用户还需要接着签订《信息授权服务协议》,在这一协议中,用户需要“不可撤销地同意并授权平台”获取银行卡、邮箱、网银、电商平台、支付宝、通信运营商资料、微博、简历资料等信息。举例来看,《信息授权服务协议》在电商信息部分规定,51 平台可获得用户电商平台相关资料包括:“账号信息、实名认证状态、交易记录相关信息(包括但不限于交易时间、交易内容、收货人姓名、收货人固话/手机、收货人地址)等。”可以说51 信用卡通过用户的授权,能获得其线上和线下几乎全部的活动轨迹。
在获得授权后,网站即有资格后续获取用户同意的相关信息。不过需要说明的是,爬虫获取的是存储在网络上的信息,用户存储在自己本地的信息——通信录、手机型号相关信息等,在用户同意访问通信录的一刻,即可被51 信用卡存储。
3.爬虫对公开信息的获取。日常生活中普通人进行网络检索时,不可能每访问一个网站都要询问权限,而是在没有障碍的情况下,通过点击网站进行阅读,并可按照页面上的链接进行跳转。这被通俗地表述为访问网络公开信息。信息的聚集连接,也是网络的意义所在。爬虫虽然有强大的读取信息能力,但本质上与普通人访问网站并无不同,在没有防火墙等情况下,也可轻松捕捉授权外的大量信息。不过需要明确的是,什么是授权之外能获得的公开信息?
在法律层面上,我国现行法律法规对公开信息的主要判断标准为,个人信息主体自行公开与合法公开披露的信息。全国信息安全标准化技术委员会于2019 年6 月24 日发布《信息安全技术——个人信息安全规范(征求意见稿)》(以下简称《安全规范》)①全国信息安全标准化技术委员会2017 年12 月29 日发布的国家标准GB/T 35273 -2017 《信息安全技术个人信息安全规范》于2018 年5 月1 日实施。2019 年6 月24 日由全国信息安全标准化技术委员会公开征求意见,并于2019 年10 月24 日发布的《信息安全技术个人信息安全规范(最新版征求意见稿)》。,对个人信息保护涉及的各个方面作出了详细的解释与指引,是判断个人信息保护工作是否合规的重要文件。《安全规范》规定,法律法规规定、个人信息主体自行公开的、签订和履行合同所必需的和从合法公开披露的信息中收集个人信息的,不必征得信息主体授权同意也可收集。②《安全规范》第5.6 条规定:“以下情形中,个人信息控制者收集、使用个人信息不必征得个人信息主体的授权同意:a)与个人信息控制者履行法律法规规定的义务相关的;b)与国家安全国防安全直接相关的;c)与公共安全、公共卫生、重大公共利益直接相关的;d)与刑事侦查、起诉、审判和判决执行等直接相关的;e)出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人授权同意的;f)所涉及的个人信息是个人信息主体自行向社会公众公开的;g)根据个人信息主体要求签订和履行合同所必需的;h)从合法公开披露的信息中收集个人信息的,如合法的新闻报道、政府信息公开等渠道。”《数据安全管理办法(征求意见稿)》第二十七条列举了两种公开的类型:从合法公开渠道收集且不明显违背个人信息主体意愿的和个人信息主体主动公开的。③《数据安全管理办法(征求意见稿)》第二十七条规定:“网络运营者向他人提供个人信息前,应当评估可能带来的安全风险,并征得个人信息主体同意。下列情况除外:(一)从合法公开渠道收集且不明显违背个人信息主体意愿;(二)个人信息主体主动公开;(三)经过匿名化处理;(四)执法机关依法履行职责所必需;(五)维护国家安全、社会公共利益、个人信息主体生命安全所必需。”上述两条规定虽然表述上是对“授权”的豁免,但实质是从反面角度对公开信息的定义。此外,《网络借贷信息中介机构业务活动管理暂行办法》(2016)④中国银行业监督管理委员会、工业和信息化部、公安部和国家互联网信息办公室发布。和《互联网个人信息安全保护指南》(2019)⑤公安部网络安全保卫局、北京网络行业协会、公安部第三研究所联合发布。等相关部门规章和规范性文件,也对个人信息作出了类似规定。综上所述,我国规定的公开信息为自行公开与合法公开披露的信息,对该类信息的获取不需经过信息所有者的授权。
在形式层面上,由于没有设定明显技术障碍的网页,可以由任一主体在任一时间进行访问,因此本文认为,该类信息应属于合法公开与公开披露的信息。简单来说,爬虫程序可以在无障碍运作时访问的网页信息,应认为是公开信息。司法裁判中有信息被获取方声称,即使没有设置实质障碍,但自己的信息具有隐私性不应被读取,或者以robots 的存在认定爬虫是非法获取信息。但是上述理由并不成立:第一,虽然robots 的存在可能设定访问范围的限制,但是实践中,几乎所有网站均设置robots 协议,甚至存在滥用robots 协议的情形,因此robots 协议的存在不能作为单一否认公开信息的依据;第二,当网站未对其应妥善管理的数据设置其他保护措施时,如果被爬虫爬取,网站应承担信息泄露的责任,不能苛责其他方对其信息能否被获取具有辨别能力。
综上所述,严格意义上的爬虫仅能访问授权信息与公开信息。以51 信用卡为例,其可以通过经过用户授权和检索网络公开信息获取放贷和催收需要的数据。庞大的信息搜集工作量要求爬虫完成这一艰巨任务。
(二)成为脱离本意的背锅侠
经过检索可发现现有司法案例与相关学界探讨爬虫,聚焦在集中的几个罪名上。而在清楚了爬虫的运作逻辑后再来分析爬虫的“罪与罚”,会发现其也有蒙冤之处。
1.暴力催收不是非法爬虫之罪。关于51 信用卡被调查的原因,杭州公安仅仅表述为“51 信用卡涉及大量各地异常投诉信息”。51 信用卡被投诉并非意料之外,网贷通过电话轰炸、恐吓等方式进行催收,几乎成为行业的普遍做法。
软暴力催收在网贷领域是一种常见的现象。而在我国刑事法律框架下,软暴力催收并不能构成单独的犯罪,而需要根据手段和后果对应相应的罪名。软暴力催收的形式,在中国银行保险监督管理委员会牵头发布的 《关于规范民间借贷行为维护经济金融秩序有关事项的通知》(2018)中作了列举规定,指以故意伤害、非法拘禁、侮辱、恐吓、威胁、骚扰等非法手段催收民间贷款。不过该规范性文件并未指出公安机关应如何具体查处。具体惩治方式可见在2019 年10 月22 日,即51 信用卡被杭州警方查处后第二天,最高人民法院、最高人民检察院、公安部和司法部联合发布的《关于办理非法放贷刑事案件若干问题的意见》①该法第六条第二款规定:“为强行索要因非法放贷而产生的债务,实施故意杀人、故意伤害、非法拘禁、故意毁坏财物、寻衅滋事等行为,构成犯罪的,应当数罪并罚。”,其中罗列了强行索要债务可构成的罪名——故意杀人、故意伤害、非法拘禁、故意毁坏财物、寻衅滋事等。因此,滋扰等软暴力催收需要根据刑事规定,通过考察主观和客观要件,对违法性和免责事由进行判断,在刑法体系内进行定罪。根据上述规定,爬虫作为一种单纯获取信息的工具,并不能构成违法的充分必要条件,需要有人身伤害和骚扰、威胁活动等犯罪行为,具有故意或过失,以及产生入罪后果才可定罪。
综上可知,警方通报的51 信用卡涉及暴力催收寻衅滋事罪,与爬虫自身关联不大。
那么,爬虫是否因为骚扰提供了可能条件而受谴责? 通过分析51 信用卡案例可得,爬虫是在授权范围内对用户的信息进行搜集。《用户协议》与《隐私政策》明确说明,51 平台可访问各种身份信息。在《信息授权服务协议》中,51 平台可以通过电商平台等获取用户联系人地址。因此,即使爬虫为上述活动提供了一定条件,也是在用户授权范围内进行的,该过程在形式上是合法的。可能构成犯罪行为的是获得信息后采取的伤害、滋扰等活动,而并非获取信息本身的行为。不过该授权是否合法有效,以及在无合法授权的情况下是否构成其他网络犯罪的帮助犯,本文将在下面详细分析。
2.非法侵入系统并非爬虫之罪。网传51 信用卡此次被查处,还有一个重要原因是其在未获得授权的情况下,获取某合作银行内部信息。该信息真实性尚待确认。如果属实,则非法侵入计算机系统获取相关数据,可能违反《中华人民共和国刑法》第二百八十五条规定的非法侵入计算机信息系统罪和非法获取计算机信息系统数据、非法控制计算机信息系统罪;如果提供侵入计算机系统的程序、工具,则可能构成同条第三款的提供侵入、非法控制计算机信息系统程序、工具罪。在讨论爬虫的各种声音中也往往有人提出,爬虫可能涉及非法侵入计算机系统类的相关犯罪行为。
在恶意访问计算机系统时,爬虫可能采取两种手段。
第一种是使用爬虫大量访问网站,使其暂时瘫痪,然后对系统数据进行获取。在这种方式下,爬虫作为入侵的手段,若符合刑法法条规定的其他要件,则构成相关计算机类犯罪。如在李文环、王硕、卢晓燕等非法侵入计算机信息系统一案中,①四川省德昌县人民法院(2018)川初字第169号刑事判决书。虽然所定罪名为非法侵入计算机信息系统罪,被告人也有使用爬虫软件的行为,但核心问题是被告用爬虫进行多线程提交、批量刷单、验证码自动识别等方式,突破系统安全保护措施。在这种情况下,爬虫属于系统侵入行为,故在其他要件满足——行为人主观具有恶意,且造成严重后果的情况下可以入罪。不过这种情况在网贷领域极少见。
第二种是在利用其他黑客手段攻入计算机系统后,利用爬虫获取内部数据。本文认为,如果采取其他措施侵入计算机系统,而侵入后用爬虫进行数据获取,核心是网络安全问题。在《刑法》第二百八十五条规定的各类犯罪中,重要的行为要件为“侵入”。爬虫在这一情况下扮演的并非侵入角色,而是侵入后的第二行为——获取信息等,因此单独的爬虫并非是构成侵入计算机系统的罪魁祸首。
因此,侵入计算机系统类犯罪的核心是“侵入”,需要判断的是侵入的行为,而无论侵入的行为是爬虫还是“走虫”,满足其他要件后都符合这一犯罪的构成。在网贷领域第一种情况极少,爬虫主要还是作为读取信息的工具。而如果使用了爬虫却未有侵入行为,则不能构成相关罪名。总结来看,在这一类犯罪下单纯讨论爬虫,可能并非是一种有效率的分类方式。
类似地,侵犯公民个人信息也需要首先判断是否有“侵犯”的行为。最高人民检察院2017年发布的六起侵犯公民个人信息犯罪典型案例之一是,被告委托他人针对网站漏洞编制批量爬取数据的恶意程序,在未经网站授权的情况下,进入该网站后台管理系统,从中非法获取客户订单信息。①中华人民共和国最高人民检察院:“最高检发布六起侵犯公民个人信息犯罪典型案例”,资料来源:https://www.spp.gov.cn/xwfbh/wsfbt/201705/t20170516_190645.shtml#1,2020 年2 月10 日访问。最高人民检察院指出,利用恶意程序批量非法获取网站用户个人信息的,构成侵犯公民个人信息罪。虽然“扒取数据”直指爬虫,但该案例的核心问题仍然是未经授权侵入管理系统,如果具备这一核心要件,并符合情节严重等其他入罪条件,则无论是少量读取还是用爬虫大量获取客户信息,都可构成侵犯公民个人信息罪。
3.对信息的不当利用并非爬虫之罪。以“爬虫”“刑事”为关键词,在威科、北大法宝案例库进行检索,除了上述问题外,还可能涉及刑法上的侵犯著作权罪、在对爬虫获取后的数据进行贩卖、运用可能涉及侵犯个人隐私和不正当竞争等问题。诸多学者在讨论何为合法爬虫时,以所爬取信息的使用作为爬虫合法与否的重要标准。
但是本文认为,对信息的不当利用与信息获取的手段之间并无必然的联系。任何手段获取数据后的不当利用,都可能造成侵犯个人或法人权益的问题。在爬虫这一联系下进行集中讨论,将使问题过于庞杂。因此,并非爬虫不会牵扯相关法律问题,而是这些问题主要涉及的是获取信息后,如何使用信息的问题,与获取时是否使用爬虫这一手段没有必然关联。
综上所述,作为一种技术的爬虫,现有的法律问题讨论似乎与其本身概念与功能相距较远。爬虫本身并不是暴力催收、非法侵入计算机系统和不当运用信息引发的一系列问题的罪魁祸首,其他要件的加入才是违法的关键。将获取信息前使用的手段,与获取信息后的不当利用等问题都归于爬虫下的分析,可能造成概念界定模糊和问题焦点转移。通过获取授权和访问公开页面收集信息的爬虫,背负了过多不应有的罪名。
三、也非无辜者:爬虫涉及的法律问题
通过上述讨论可得,暴力催收、非法侵入计算机系统与获取信息后的不当利用,并非是爬虫“一虫之力”可造成的网贷领域乱象,各种风险的产生源于其他因素的加入。因此在上述问题中法律不可仅仅着眼于爬虫本身,而应对构成要件进行逐一审查。
不过在我国法律体系下爬虫仍面临相关问题。一方面我国《刑法》规定了帮助信息网络犯罪活动罪,爬虫方仍可能因符合相关条件构成此罪的帮助犯。此外,值得思考的是,获得了用户授权的爬虫,就真的毫无问题吗? 如果答案是肯定的,则在大量的用户协议中无限扩大授权范围,数据搜集方就可高枕无忧。这样的逻辑显然令人难以接受。在我国现有法律规定中对授权有明确要求,因此如果爬虫违反授权规定即存在授权效力的问题,构成对公民信息的侵犯。此外,在真实有效的授权下,爬虫仍可能面临一定的合同和侵权责任。
(一)可能构成帮助信息网络犯罪活动罪
虽然除自身作为入侵计算机系统的手段外,单独的网贷爬虫行为不会构成上述第二部分的罪名,但是在现行《刑法》中,其可能因实施网络犯罪的帮助行为,独立构成帮助信息网络犯罪活动罪。
1.罪名与要件规定。2015 年通过的《刑法修正案(九)》第二百八十七条第二款规定了帮助信息网络犯罪活动罪,学界绝大部分观点认为,这是将原来有争议的中立的帮助行为进行了正犯化,即如果符合该罪的构成要件即可定罪,不需要以正犯实施符合构成要件的不法行为为前提。①支持意见参见刘宪权:《论信息网络技术滥用行为的刑事责任——《刑法修正案(九)》相关条款的理解与适用》,载《政法论坛》2015 年第6 期;车浩:《刑事立法的法教义学反思——基于刑法修正案(九)的分析》,载《法学》2015 年第10 期;于志刚:《网络空间中犯罪帮助行为的制裁体系与完善思路》,载《中国法学》2016年第2 期;刘艳红:《网络犯罪帮助行为正犯化之批判》,载《法商研究》2016 年第3 期。关于非正犯化的意见主要由张明楷教授提出,其认为是一种对帮助犯量刑的规定,参见张明楷:《论帮助信息网络犯罪活动罪》,载《政治与法律》2016 年第2 期。如果按照传统刑法上共犯的理论,倘若没有查明正犯是谁,则不可能判断其是否有刑事责任能力和故意,以及帮助者与正犯是否具有共同的犯罪故意,因而认定共同犯罪非常困难。一方面,在信息社会,由于阶段不同、实施不同行为的主体可能处于不同国家,且从未谋面或直接交流,因此认定犯意联络存在很大困难。另一方面,司法机关在查处犯罪时也面临无法追寻境外正犯的困境。根据共犯从属性理论,在未确定正犯的情况下也难以对实施帮助行为的人进行定罪。所以在传统共犯体系下,非法提供互联网接入、服务器托管、网络存储和通信传输等技术支持,或者提供广告推广、支付结算等帮助的相关责任方很容易脱罪。而《刑法修正案(九)》中帮助犯的正犯化,则是刑法对上述问题的回应。
结合法律规定与刑法理论,现行 《刑法》中帮助信息网络犯罪活动罪的构成要件是:(1)明知他人利用信息网络实施犯罪的故意;(2)为其犯罪提供技术支持;(3)符合情节严重的要求。上述构成要件(2)和构成要件(3),在实践中面临一定模糊性的问题,为了解决定罪量刑标准和有关法律适用等问题,2019 年10 月颁布的《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》对相关问题进行规定。针对构成要件(1),通过列举的方式,明确了帮助信息网络犯罪活动罪的主观明知推定规则;①第十一条规定:“可以认定行为人明知他人利用信息网络实施犯罪,但是有相反证据的除外:(一)经监管部门告知后仍然实施有关行为的;(二)接到举报后不履行法定管理职责的;(三)交易价格或者方式明显异常的;(四)提供专门用于违法犯罪的程序、工具或者其他技术支持、帮助的;(五)频繁采用隐蔽上网、加密通信、销毁数据等措施或者使用虚假身份,逃避监管或者规避调查的;(六)为他人逃避监管或者规避调查提供技术支持、帮助的;(七)其他足以认定行为人明知的情形。”针对构成要件(3),明确了帮助信息网络犯罪活动罪的“情节严重”入罪标准。②第十二条规定:“具有下列情形之一的,应当认定为刑法第二百八十七条之二第一款规定的‘情节严重’:(一)为三个以上对象提供帮助的;(二)支付结算金额二十万元以上的;(三)以投放广告等方式提供资金五万元以上的;(四)违法所得一万元以上的;(五)二年内曾因非法利用信息网络、帮助信息网络犯罪活动、危害计算机信息系统安全受过行政处罚,又帮助信息网络犯罪活动的;(六)被帮助对象实施的犯罪造成严重后果的;(七)其他情节严重的情形。”且该司法解释第十二条另外注明,因客观条件限制无法查证被帮助对象是否达到犯罪的程度时,符合一定条件的也应当以帮助信息网络犯罪活动罪追究行为人的刑事责任,明确了帮助犯正犯化和帮助犯独立性的司法态度。
2.爬虫方的违法风险。通过对要件分析可得,如果实施爬虫的个人或公司,有或被推定明知他人有利用信息网络实施犯罪的故意,仍为犯罪提供技术支持,并符合司法解释中关于情节严重的要求,可构成帮助信息网络犯罪活动罪。
具体来说,在至少存在间接故意的情况下,当爬虫为暴力催收的信息搜集、以非法使用为目的进行的搜集信息提供技术支持,虽不能构成针对信息使用或暴力相关的犯罪,但可构成独立的帮助信息网络犯罪活动罪。该罪名不能以提供信息网络技术支持、帮助本身是一种中性业务行为作为抗辩理由。根据《刑法》规定,构成犯罪的个人将被处三年以下有期徒刑或者拘役,并处或者单处罚金,单位犯罪的需承担罚金,直接负责的主管人员和其他直接责任人员依照前款的规定接受处罚。
不过需要说明的是,这一罪名仍然是在我国刑法帮助犯体系下的。首先,根据法律和司法解释规定,即使对正犯的主体和犯罪程度无须查实也可定罪,但也必须有正犯行为的存在且其具有社会危害性。其次,在帮助者层面必须有明知的要件才能定罪,即必须对其服务对象系利用信息网络实施犯罪这一事实,有充分证据显示其明知或推定明知,行为才有可能被评定为犯罪。如果爬虫在提供技术支持时主观上不明知其技术支持、帮助的行为被犯罪活动所利用,则不能构成帮助信息网络犯罪活动罪。因此司法实践中不可随意扩张对此罪名的范围,第三方爬虫公司在为客户提供服务时做好调查工作,即会大大避免法律风险。
(二)不真正授权与其法律责任
用户授权可能是不真正授权,③用户授权可能是不真正授权,即虽形式上获得授权同意,但由于该授权存在瑕疵,因此部分授权最终归于无效,信息使用方不能以此作为侵犯个人信息的抗辩事由。因此部分授权无效。用户在注册使用网站或应用提供的服务前,会签订不同形式的用户协议,因此用户与网站之间构成合同关系。但问题是,即使网站依据合同关系进行权限获取,也可能通过误导用户和无效的格式条款等,不合理地扩大应用的权限,造成对用户信息的过度获取。在不真正授权下获取公民信息,会造成对用户利益的侵犯。分析发现,51 信用卡的上述协议也存在不公平问题。下面对协议可能存在的各种情况进行详细探讨,并分析无效授权后的法律风险。
1.违反真实意思表示的授权可撤销。通过点击“同意”用户协议的授权方式,因协议内容过于庞杂、页面显示过小,用户难以仔细阅读相关内容会对授权范围产生误解。此类授权可能因违背用户的真实意思表示而可撤销。
《隐私政策》《用户协议》与《信息授权服务协议》是复杂的,并且充满专业术语、更新频繁,在签订过程中,用户可能违背其真实意思。最新版本的《隐私政策》总字数为11129 字,《注册协议》为6427 字,而《信息授权服务协议》为5340 字,在手机小屏显示的情况下,认真阅读每份隐私政策需要花费15 分钟以上,难以苛求一般人在注册时做到仔细阅读。且在近一年来,51 信用卡不断对相关协议进行更新,①2019 年4 月、2019 年11 月、2019 年12 月、2020 年1 月与2020 年2 月至少有一份协议的更新。内容变换频繁,涉及的授权范围也不断变大。这样大量的协议内容,实质上限制了用户对其权利的充分知悉。2008 年的一个统计指出,如果有人要阅读每个每年访问一次的网站的隐私政策,估计每年平均花费244 小时阅读。②Aleecia M.McDonald &Lorrie Faith Cranor,The Cost of Reading Privacy Policies,4 Journal of Law and Policy for the Information Society 534 (2008).在信息更发达的十多年后,这一数据只会更加庞大。因此这种情况下的“同意”,可能并非用户的真实意思表示。而根据合同法上的合意原则,相对人对条款内容应当知晓、理解,才构成有效承诺。据此,隐私政策可能因显失公平、缺乏真实意思表示而可被撤销(《中华人民共和国合同法》第五十四条)。
2.无效格式条款下的授权无效。或许有人认为,用户作为信贷类产品的使用者,理应具备相应的认知能力。对该观点本文不作详细讨论。不过,即使认为用户可通过阅读相关条款作出真实意思表示,该授权也存在无效可能。51 信用卡所涉三份协议均为用户注册时被动接受、必须同意的条款,属于格式条款,且拒绝接受将无法接受相应服务。部分格式条款可能因违反民法上的规定而无效。
通过对《合同法》第三十九条③《合同法》第三十九条规定:“采用格式条款订立合同的,提供格式条款的一方应当遵循公平原则确定当事人之间的权利和义务,并采取合理的方式提请对方注意免除或者限制其责任的条款,按照对方的要求,对该条款予以说明。格式条款是当事人为了重复使用而预先拟定,并在订立合同时未与对方协商的条款。”和第四十条④《合同法》第四十条规定:“格式条款具有本法第五十二条和第五十三条规定情形的,或者提供格式条款一方免除其责任、加重对方责任、排除对方主要权利的,该条款无效。”体系解释,格式条款无效应满足以下要件:(1)“已经订入合同”;(2)“经合同解释明确其含义”;(3)“未遵循公平原则确定当事人之间的权利和义务”,其表现形式多为“提供格式条款一方免除其责任、加重对方责任、排除对方主要权利”。①贺栩栩:《〈合同法〉 第40 条后段(格式条款效力审查)评注》,载《法学家》2018 年第6 期。在认为签订隐私政策为用户的真实意思表示的前提下,显然(1)、(2)要件成立,重点是分析是否构成(3)要件中权利义务不对等的情况。首先,《隐私政策》和《信息授权服务协议》,规定相关信息可以随意使用和获取,有信息获取超过必要限度之嫌。甚至在包罗万象的《信息授权服务协议》中的表述为用户一旦授权将不可撤销。而如果用户拒绝接受格式条款,则无法享受核心服务。虽然名为“自愿”,但用户是为使用相关产品而不得不作出的妥协,这样的权利义务设定未遵循公平原则。其次,在用户的妥协下,51 信用卡可以获得用户几乎所有的信息,给自己争夺了更多话语权和解释空间,并可依此在未来产生争议时进行脱罪,目的上是对自己未来责任的排除。因此51 信用卡“大包大揽”的格式条款可能无效。
此外,《信息授权服务协议》除小标题外,没有任何加粗和下划线,未尽到格式合同对免除或限制责任最基本的提请注意的义务(《合同法》第三十九条第一款)。
图2 没有任何加粗和下划线的《信息授权服务协议》(该版本已更新)
综上所述,51 信用卡的信息协议由于用户只能以点击方式同意,以不注册、退出方式拒绝,属于格式条款。而部分协议内容实质上扩大自身权利、排除对方主要权利,且涉及用户重要权益的条款并无加粗和下划线等提请注意的处理,此类协议的格式条款无效。无效的格式条款的授权部分,授权的合法性基础受到动摇。
3.概括授权侵犯个人合法权益。网贷公司与用户的协议中,往往存在不明确、非具体的概括性授权。概括性授权指不特定的授权,包括被授权主体的概括性①胡建淼主编:《中国现行行政法律制度》,中国法制出版社2011 年版,第24 页。、授权内容的概括性②个人信息保护课题组:《个人信息保护国际比较研究》,中国金融出版社2007 年版,第147 页。等。这样的“授权”基本是强制和形式上的授权,个人并未真正享受到同意的权利。以51 信用卡为代表的网贷公司涉及概括授权几乎为常态,在我国监管体系下属于不合法行为。
《中国人民银行金融消费者权益保护实施办法(征求意见稿)》③《中国人民银行金融消费者权益保护实施办法》(银发〔2016〕 314号)第三十条第二款规定:“金融机构不得以概括授权的方式,索取与金融产品和服务无关的个人金融信息使用授权或者同意。”虽然在2019 年的征求意见稿中将该款替换为“金融机构应当履行《中华人民共和国消费者权益保护法》规定的明示义务,并保留有关证明资料”,但实质上仍然是对概括授权的禁止。与《个人金融信息保护试行办法(征求意见稿)》④该文件未向公众公开,根据相关媒体报道,第十八条为“金融机构不得以‘概括授权’ 的方式取得信息主体对收集、处理、使用和对外提供其个人金融信息的同意”。禁止金融机构以概括授权的方式,获得个人金融信息使用授权或者同意。那信贷公司是否应受上述规定约束呢? 一方面从体系解释来看,我国的个人信息监管由诸多法律法规构成,在法律法规无明显冲突,且各有侧重、构成监管体系的情况下,本文认为对概念的讨论应结合整体框架。⑤目前,我国在个人金融信息保护问题上的监管框架包含若干个规范性文件,可归纳为“一法三办法”,分别为:《网络安全法》《数据安全管理办法(征求意见稿)》《信息安全技术个人信息安全规范(征求意见稿)》《信息安全技术数据出境安全评估指南(征求意见稿)》和《个人金融信息(数据)保护试行办法(征求意见稿)》《中国人民银行金融消费者权益保护实施办法(征求意见稿》。2020 年2 月13 日央行发布了新的金融行业标准——《个人金融信息保护技术规范》,从技术标准角度对上述框架进一步支撑和完善。《个人金融信息保护技术规范》中明确规定“涉及个人金融信息处理的相关机构”属于金融机构。且其他文件中对金融机构的规定也不局限于持牌金融机构,因此在央行的规范体系下,网贷公司属于金融机构范畴。另一方面从目的解释来看,央行扩张金融机构定义,是为其监管提供可能性。此外,央行的监管文件切实对从事相关业务和服务的非持牌机构产生重要影响。所以网贷公司应属于广泛定义上的“金融机构”。
即使在经过一次次改进的2020 年最新版51 信用卡《信息服务授权协议》,也体现出授权的概括性。第一,被授权主体是概括性的“平台服务所涉及的各个服务支持提供方及平台合作机构”,并且该授权主体有自由变动的权利——协议中规定其有权“相应地改变适用范围和被授权主体,且无须您(用户)重新确认授权”。第二,授权的内容是概括性的。在协议规定中,51 平台可获得六大类十五小类信息,每小类信息又用列举的方式罗列了二到十几种具体信息类型,同时大量使用“包括但不限于”“等”之类词语,在解释上可进行随意扩展。因此信息收集范围广泛而具有概括性。第三,个人信息的使用范围是概括性的。协议中规定用户同意授权不明确的第三方获得并记录信息,且51 平台“不对该第三方的行为及后果承担任何责任”。
概括授权看似高效便捷,但其并非用户的真实意思。在接收协议、获取服务与拒绝授权、无法借贷的两难选择中,用户往往会抱着侥幸心理选择前者。但这并不是授权,而是一种利益考量下的被迫同意。此外,概括授权也可能因过度获取公民信息,且使得个人信息被反复、多次、无限使用而侵犯个人合法的信息与隐私权益。
4.无效授权的法律责任。综上所述,协议部分条款可能由于违背合同相对方真实意思而可撤销。即使在真实意思表示下,也存在格式条款无效事由。所以基于该部分条款的信息授权是一种不真正授权,造成对用户信息的过度获取。此外,概括授权是一种用户的被迫同意,也会侵犯个人的信息和隐私权益。即使爬虫在形式上得到了用户授权的“通行证”,如果实质授权无效,则看似的康庄大道也可能是一条不法之路。
关于具体责任需要在我国法律体系下进行审查。在个人信息与隐私方面,法律、行政法规、部门规章等都有相应规范。大部分学者认为应坚持刑民一体化视野与法秩序统一原理,根据法律规范的构造进行解释,《民法总则》第一百一十一条规定自然人的个人信息受法律保护,任何组织和个人不得非法收集。这在法律规范的结果上指示着个人信息权的确认。《刑法》第二百五十三条规定了“侵犯公民个人信息罪”,其构成要件为:(1)违反国家有关规定;(2)向他人出售或者提供公民个人信息;(3)情节严重。上述三要件的具体规定可见《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》。侵犯公民个人信息罪的保护法益是个人信息权,该罪名是对民法总则及相关法律法规个人信息权的刑法确认。①刘艳红:《民法编纂背景下侵犯公民个人信息罪的保护法益:信息自决权——以刑民一体化及〈民法总则〉 第111 条为视角》,载《浙江工商大学学报》2019 年第6 期。《网络安全法》对不构成犯罪的行为进行了责任补充,第六十四条规定窃取或者以其他非法方式获取公民信息尚不构成犯罪的,应承担相应的行政责任。此外,在《数据安全管理办法(征求意见稿)》、《电信和互联网用户个人信息保护规定》和《中国人民银行金融消费者权益保护实施办法》等部门规章中,对欺骗、误导或者强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息的行为,作出了责任规定。
关于刑民交叉问题,学界有很多讨论,②相关具体讨论与类型划分参见杨兴培:《刑民交叉案件的类型分析和破解方法》,载《东方法学》2014 年第4 期;参见江伟、范跃如:《民刑交叉案件处理机制研究》,载《法商研究》2005 年第4 期;参见董秀婕:《刑民交叉法律问题研究》,吉林大学法学院2007 年博士学位论文。本文认为应以社会危害性程度作为责任划分的界限。如果爬虫未经授权或授权无效,可根据其具体情况进行法律责任的判断。刑法是其他部门法的保障法和最后一道屏障,构成刑法上犯罪的行为,一定也可由民法或行政法来解释,不过刑法之所以将某种行为规定为犯罪,是因为其他部门法在规制力度上已经力有不逮。③刘宪权、陈罗兰:《我国P2P 网贷平台法律规制中的刑民分界问题》,载《法学杂志》2017 年第6 期。司法层面上,一旦爬虫未经授权或授权无效的行为符合了刑法上规定的构成要件,即主观上有非法获取信息的故意,客观上实施了相关行为且造成严重后果,便应当作为犯罪处理,这与刑法谦抑性并无冲突。而未满足刑法要件的无效授权行为则不会构成犯罪,当违反上述其他民事、行政法律或部门规章时,应根据具体的规定承担相应民事或行政责任。
(三)多主体关系下的法律问题
上述讨论是在“用户—网站”这一对关系下进行的。下面分析的是,即使网站通过合同,合法、有效地获取用户信息采集权,由于授权下的爬虫涉及多类主体与多种法律关系,通过爬虫获取信息仍然可能存在相关法律问题。
1.合同角度下的违约责任。在最简化的法律关系中,用户与网贷公司之间基于服务协议、信息协议等构成合同关系,如图3 所示,以下简称合同关系1。同时,用户在注册使用其他应用或网站时,也会与对方构成合同关系,以下简称合同关系2。用户与网贷公司基于合同关系1 的授权,可能违反用户与其他信息平台的合同约定,导致用户在合同关系2 中的违约责任。
图3 爬虫多方法律关系
目前通说认为,用户作为自然人拥有信息所有权,提供服务的机构可获取信息并在约定的范围内拥有信息使用权,如加工和保存相关信息等。具有大量数据信息的网站或应用,往往明示禁止其他方对其数据进行爬取,这一态度也会在其用户协议中明确提示。如微博在《微博服务使用协议》①《微博服务使用协议》:“1.3.2 未经微博运营方事先书面许可,用户不得自行或授权、协助任何第三方非法抓取微博内容,‘非法抓取’ 是指采用程序或者非正常浏览等技术手段获取内容数据的行为。”资料来源:https://m.weibo.cn/c/regagreement,2020 年2 月17 日访问。明确声明,除非微博出具书面通知,否则用户无权授予其他主体对其微博数据进行爬取。《淘宝平台服务协议》也注明,未经淘宝平台同意,直接或间接授权第三方使用淘宝平台账户或获取账户项下的行为无效。考虑到平台维护信息的成本和信息带来的利益,上述合同条款属于意料之中。在没有法律法规明确禁止进行此类约定时,在“法无禁止即自由”的基本法律精神下,信息平台与用户可基于自由的合同关系,禁止用户授权第三方爬取平台信息。
那么,如果自然人甲为A 网贷公司的用户,甲授权A 网贷公司登录其微博或淘宝账号时,可能会违反甲与微博、淘宝的合同约定,甲需承担合同中规定的违约责任。在51 信用卡场景下,其《信息授权服务协议》明确提及可由用户授权,获取用户在电商平台的信息。如果51 信用卡未与相关电商达成协议,则用户将面临违约责任。在合同关系1 授权有效的情况下,如果网贷公司爬取其他信息平台数据,则用户会违反合同关系2 下禁止爬取信息的条款,可能依据合同承担相关违约责任。
此外值得反思的是,无论是面对网贷公司还是其他平台,作为自然人的用户都是弱势的一方,但在这样的合同关系中,最终的法律风险却由用户承担,显然存在权利与义务不对等的不公平现象。如果对信息授权完全放任,将导致个人既承担信息风险,又是其他法律责任的潜在承担者。
2.侵权角度下的权益侵犯。在双边关系下,如果没有获得用户的真实有效授权,显然网站会对用户的信息权造成侵犯。但是涉及第三方时,即使拥有有效的信息授权,也可能造成对其他权益方的侵权。
用户授权相关应用或机构获取信息,由于其授权过程中可能涉及第三人的信息,因此可构成对第三人的侵权。《中华人民共和国网络安全法》第四十二条规定,未经被收集者同意,不得向他人提供个人信息。但是在用户与网贷公司的授权过程中,却可能造成虽经授权,而获取他人信息的结果。如在黑猫、21CN 聚投诉等平台,涉及51 信用卡的投诉超过4000 条,投诉内容主要是51 信用卡获取借款人身边联系人的电话,进行上千条的短信骚扰、电话狂轰滥炸,或者未经允许获取联系人地址,以借款人姓名发送恶意包裹等。在用户授权网贷公司阅读其通信录、电商数据后,用户联系人的通信数据、地址等就在未经同意的情况下被获取,造成对他人个人隐私和个人信息的侵犯。
在有效的授权下,爬虫方因缺乏非法获取信息的主观犯意而难以受到刑法规制。不过根据《中华人民共和国侵权责任法》第六条及学理解释,行为人因侵害他人民事权益的应当承担侵权责任,该责任为过错推定责任。由于其不当使用他人信息造成对第三人绝对权侵害的,爬虫应承担侵权责任。
此外如上所述,基于授权后对其他信息平台进行信息爬取,除了使用户可能面临违约风险,数据爬取方与被爬取方之间也可能构成侵权关系。有数据的地方就有价值。以社交媒体平台为例,用户在平台中发布的信息汇集于平台,形成广告展位,为平台增加增值业务机会;用户在平台中发布的信息可带动粉丝入驻平台,成为广告或增值业务的受众和消费者;高关注度用户的存在和其发布的信息,也会提升平台的高曝光率。因此,对免费使用的社交媒体平台来说,其数据和信息,是立身之本。在无社交媒体明确授权同意的情况下,如果网贷平台依靠用户授权,利用用户社交账号对社交媒体信息进行爬取,可能侵犯其他网络平台合法的商业化数据上的权利。虽然在网贷领域的数据爬取主要目的为征信与催收,可能不会直接对社交媒体数据进行大规模商业使用,但由于网贷数据团队倾向于对数据进行存储、在关联公司之间共享,数据一定积累后仍可能对其他平台合法权益造成侵害,需依据《侵权法》承担民事责任。构成《中华人民共和国反不正当竞争法》第十二条第四款“其他妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行的行为”的,还需承担行政责任。
所以即使获得授权的爬虫,其本身不是构成暴力催收或侵犯信息类犯罪的充分必要条件,但由于其获取信息能力的强大性、授权方式的特殊性和法律关系上的复杂性,可能会对公民和其他信息主体利益造成损害,需要监管上的特殊关注,爬虫从业者也应对其行为进行审查,以避免违法违规。
四、结语
51 信用卡风波虽然没有正式的官方声明,但随着监管的强化,网贷公司与大数据公司大量解散爬虫团队,使行业出现两难困境:一种选择是爬虫解散后又缺乏有力的数据源泉,使得相关产业只能自行探索风险更高或更不准确的信息搜集方式,面临更多不合规问题;另一种选择是业务彻底转型,放弃P2P 业务,如P2P 巨头陆金所借助其母公司平安集团申请到消费金融牌照。但更多的小贷公司难以满足转型的资金与合规要求,在命运的十字路口黯然离场。曾经热闹非凡的P2P 市场,让人不禁产生“陋室空堂,当年笏满床;衰草枯杨,曾为歌舞场”的唏嘘感。
在数据价值日益凸显的今天,通过强监管维护公民信息安全、社会公平秩序和网络安全环境是必要的。但是强监管并不意味着风声鹤唳、草木皆兵。在信息时代,我们面临非常多的新鲜概念,对传统法律秩序提出了挑战,爬虫是挑战的一个例子和缩影。只有明确概念,才能对相关问题作出充分分析。这即是本文希望达到的目的——通过对爬虫的“洗白”和追责,剥除无关问题,探讨到底什么是爬虫。作为一种获取信息的中立手段,我们无须闻之而色变,对其可能涉及的风险进行充分探讨和有效管控,爬虫就能变成“良虫”。
其他类似爬虫的技术,它们是新时代的利器,其利其弊取决于持器之人的运用统筹。对利器理应更妥善保管。不管是将利器完全收藏封印,还是用制度和手段保护可能受到侵害的群体,是不同的存管思路。对问题要具体分析,有的放矢地进行保护。同时,新事物的分析也不能脱离既有的基本法律关系,不可迷信和稀泥式的“法律创新”与脱离体系的“伦理分析”。这样新事物发展与弱势权益保护并存,就不是无法调和的悖论。