网络爬虫技术滥用的刑事责任
2021-11-29刘荣王爱强
刘荣 王爱强
摘 要:网络爬虫是高效收集、分类、整理海量网络信息的程序或者脚本,具有很高的实用价值。但当网络爬虫使用者为了获取经济利益,将其作为犯罪工具,严重扰乱计算机信息系统的运行秩序,会构成计算机相关犯罪,同时网络爬虫具有收集信息的功能,可能会侵害到公民个人信息等多种法益。网络爬虫技术滥用的行为一旦已经达到相关司法解释立案追诉的标准,就应当依照相关规定追究行为主体的刑事责任。应将违法所得和经济损失作为“情节严重”的认定依据。在审查方法上,要厘清相关行为,明确因果关系,并对危害后果进行全面评估。
关键词:网络爬虫 技术滥用 刑事责任 经济损失
一、问题的提出
[基本案情]被告单位某甲网络科技有限公司于2014年4月成立,负责人为林某某,公司成立后开发了某房产信息APP,为了能够获取房源信息,该公司使用自行编写的网络爬虫爬取某乙公司经营的房产网站数据。某乙公司网站服务器设定了一定的反爬取措施。某甲公司使用破解验证码、绕开挑战登录等方式破解某乙公司的反爬取措施,大量获取某乙公司网站的房源数据,并采用逆向破解的手段获取某乙公司在APP端隐藏的真实用户电话号码,后将爬取到的数据存储在自己的公司服务器中,供自己公司的房產信息APP调用,通过向该APP的用户收取会员费盈利。在爬取期间,某甲公司为了保证自己的房产APP能够与某乙公司网站同步更新,使用网络爬虫24小时不间断、高频率、大流量访问某乙公司网站的数据接口。由于某甲公司爬取数据请求量过大,曾导致某乙公司网站登录服务器被限流,期间所有需要通过验证码登录的用户均无法正常登录,时间长达数十分钟。为了应对某甲公司的爬取行为,某乙公司通过优化验证码验证策略等手段升级反爬取机制,专门开发了相应防御策略进行应对。某甲公司发现由于反爬取策略升级,网络爬虫无法获取数据后,多次通过互联网购买针对某甲公司的专业打码软件,优化网络爬虫,持续突破某乙公司反爬取机制。经鉴定,某甲公司的爬取行为造成某乙公司的直接经济损失10万余元。后法院以非法获取计算机信息系统数据罪分别判处甲公司、林某甲、林某乙有期徒刑1年6个月不等,并处罚金。
在案件审查中,存在以下争议:一是网络爬虫一般属于不正当竞争的范畴,属于民事侵权行为,是否能进行刑事打击;二是本案中某甲公司的行为是否达到了非法获取计算机信息系统数据罪司法解释中“情节严重”的入罪标准;三是本案中某甲公司的行为是否侵犯了公民个人信息。
二、网络爬虫技术入罪分析
就技术本身而言,网络爬虫可以在互联网上采集数据,满足科学计算、数据处理以及网页开发等多个方面的用途。[1]网络爬虫能模拟正常用户的一些行为,按照一定的规则自动抓取网络中的各种信息。网络爬虫爬取的数据可以分为政务数据、企业经营类数据,对这两类数据的获取和运用有着不同的规则。针对政务数据,《数据安全法》指出,国家机关应当遵循公正、公平、便民的原则,按照规定及时、准确地公开政务数据。依法不予公开的除外。国家制定政务数据开放目录,构建统一规范、互联互通、安全可控的政务数据开放平台,推动政务数据开放利用。对政务数据的合理运用有利于社会各行业的健康发展。而企业经营类数据,多是企业用于开展经营活动,其网站呈现的信息属于其经营的主要业务,如二手交易信息、视频、音频等内容。因此网站经营者会根据数据的重要程度和自身网络安全技术水平,采取一定的保护措施。网络爬虫使用者获取上述数据时,应当遵循网站管理者设置的访问规则,规范自己的爬取行为,不得侵害数据所有者的利益。网络爬虫滥用大多是“损人利己”的行为,坐享别人的劳动成果,牟取经济利益。
虽然以往司法实践,大多将恶意利用网络爬虫的行为归为不正当竞争行为,但这并不妨碍刑法对网络爬虫滥用的行为进行规制,这是因为网络爬虫在犯罪过程中被作为犯罪手段,需要将其行为所造成的危害后果整体进行评价,如果符合相应的犯罪构成,就应进行刑事打击,而不限于是否属于计算机犯罪。通常而言,网络爬虫滥用可能涉嫌犯罪的情形有以下几种:
(一)排除访问规则的设定扰乱计算机信息系统正常秩序
网络爬虫本质上是信息收集和整理的工具,爬取功能是由使用者主观目的决定的,爬虫使用者可以设置爬取的目标网站、爬取频率、爬取内容等,这直接反映出爬虫使用者的主观心态。本案中,被告单位未经授权,使用网络爬虫通过加装打码插件,使目标网站的反爬机制不能正常工作,突破网站管理者对用户访问频率的限制,以达到对目标网站的高频访问,保证自己获取数据更新的及时性。此类网络爬虫在短时间内,大量访问过度占用目标网站的网络资源,导致网站的正常运行出现问题,服务器崩溃。[2]网络爬虫恶意爬取数据,会增加目标服务器的负载。服务器运营者通常会在服务器上设置反爬取措施,可以节约成本,达到服务器正常运转的目的。通常而言,在单位时间内某些特定IP访问次数达到设定的阈值,就会触发验证码挑战、登录挑战等反爬取机制,以甄别相应IP的访问请求是否来自正常用户,对于不能通过验证的IP就不再返回数据。网络爬虫的违法性在于排除网站管理者对正常访问秩序的设定。
根据既往的司法实践,使得验证码登录挑战不能发挥作用的插件和代码属于“专门用于侵入、非法控制计算机信息系统的程序、工具”,此类软件符合“具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权对计算机信息系统实施控制的功能”的特性。[3]
本案中被告单位作为房产类APP,对上新房源的时效性要求高,设定网络爬虫24小时不间断、高频次地对某乙公司网站进行爬取,在触发某乙公司的反爬取机制后,被告单位利用公司服务器,部署打码软件,对验证码挑战进行破解运算,爬虫软件自动利用打码软件返回相应的数值通过验证码验证,实现大流量爬取的目的,最终导致某乙公司登录服务器被限流,影响了正常用户的登录操作。《网络安全法》第27条规定“任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、获取网络数据等危害网络安全的活动……”。被告单位使用打码插件严重干扰目标网站服务器的正常工作,超过了网络爬虫技术正当的使用范围,情节严重的可能构成非法获取计算机信息系统数据、破坏计算机信息系统数据罪等犯罪行为,此时的网络爬虫应当认定为非法获取计算机信息系统数据的工具,而并不是认为网络爬虫技术具有非法性。
(二)采用非法手段获取数据造成网站经营者较大经济损失
使用网络爬虫非法获取他人数据,分类、加工整理后谋取经济利益的模式已经逐渐产业化。《数据安全法》第8条规定:“开展数据处理活动,应当遵守法律、法规,尊重社会公德和伦理,遵守商业道德和职业道德,诚实守信,履行数据安全保护义务,承担社会责任,不得危害国家安全、公共利益,不得损害个人、组织的合法权益。”恶意大流量的爬取行为,会造成被爬取单位的经济损失。造成经济损失是计算机类犯罪司法解释中的一项入罪标准,如果使用的网络爬虫违反法律规定,采用非法手段获取对方数据,造成对方经济损失,有可能构成非法获取计算机信息系统数据罪。
网站经营者会根据自身网站用户的使用情况选择适当的网络专线、租赁服务器的付费方式。本案中,被告单位以盈利为目的,在自己公司服务器上开设数千台虚拟机,使用数千条网络宽带,利用网络爬虫高频率访问目标网站,在打码插件作用下,目标网站服务器无法区分正常用户和网络爬虫的访问,甚至无法侦测到爬取行为的存在,由于访问流量暴增,某乙公司为了保障正常用户访问,只能选择对服务器和网络专线进行扩容,同时为了避免流量猛增造成的服务器宕机,还设定专人岗位24小时监测网络流量报警,这直接导致了某乙公司人力成本增加。网络爬虫技术滥用,本身就是对计算机信息系统正常运行秩序的干扰,具有违法性。严重滥用网络爬虫技术的行为所造成的危害,不亚于其他扰乱计算机信息系统运行秩序犯罪所造成的危害后果,达到相应司法解释立案追诉标准的,就应当依法进行打击。
(三)惡意利用网络爬虫技术提取隐藏信息
提取隐藏信息有可能构成侵犯公民个人信息类的犯罪。在本案中,被告单位利用网络爬虫模拟接收某乙公司网站返回的信息流,提取需要的数据,采用技术手段分类整理后存储在本地的数据库中,完成对某乙公司网站页面呈现数据的爬取,某乙公司在其网站上呈现的用户手机号为虚拟号码,但在服务器和用户APP 传输过程中采用的是明码传输,转化虚拟号是在用户APP端完成。被告单位通过对数据流进行分析,逆向破解了加密手段,自动解密后获得了用户的真实手机号,存储在自己的服务器中,供自己公司APP调用。《数据安全法》第32条也规定了任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。用户的真实手机号是某乙公司不对外公开的数据,但某甲公司通过逆向破解而获取数据,为自己所用,不具有正当性。
虽然本案中被告单位获取的数据经过审查最终没有认定为公民个人信息,但以网络爬虫为手段获取加密数据并且调用解密插件进行解密,存在侵犯公民个人信息的重大风险。
三、“情节严重”的认定
网络爬虫仅仅是犯罪嫌疑人实施犯罪的工具,而如果需要定罪量刑,则应当按照相关司法解释进行论证。在《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下简称《解释》)中,对危害计算机信息系统安全的行为进行了列举,在各个罪名中均将违法所得和经济损失作为“情节严重”的认定依据,而在实际操作中违法所得和经济损失的认定属于难点问题。
(一)“违法所得”的认定
结合本案,如果想要以违法所得来判断犯罪嫌疑人的行为是否达到立案追诉标准,就需要明确犯罪嫌疑人的违法所得是由非法爬取行为产生的。但实际上,被告单位爬取了多家网站的数据,此时就需要侦查机关继续查明案件事实,全面查明其利用爬取到的数据的获利情况,认定其违法所得数额。
如果涉案公司或者个人有合法业务收入,其滥用网络爬虫技术获得的收入仅为其盈利项目的一项,则应当从其他角度证明其违法所得数额。本案中,被告单位通过收取APP会员费盈利,但经审查,供用户查询爬取到的数据仅为收费功能的一项,该APP中还有一键发布房源、房源资料分析整理等其他收费功能,因此无法区分用户是基于何种功能而购买的会员,无法将其一段时期内收取的所有会员费认定为违法所得。
(二)“经济损失”的认定
根据上述《解释》规定,“经济损失”包括危害计算机信息系统犯罪行为给用户直接造成的经济损失,以及用户为恢复数据、功能而支出的必要费用。直接经济损失的认定是网络犯罪认定的难点问题。
网站运营者租赁或者自购服务器、支付网络专线费用,是网站运营者主要的成本。本案中,某甲公司每月访问达数百亿次,长时间、大流量、不间断的非法爬取的行为,造成了服务器网络专线费用上升。由于打码插件的存在,导致网站运营者无法对爬取行为进行阻断,为了保证正常用户的使用,只能对服务器和网络专线进行扩容。服务器租赁不属于一次性消耗品,无法确定该服务器是专供爬取的访问使用,但网络专线资费是按月结算,可以根据被告单位的IP区分出其额外占用网络专线的客观情况,某乙公司支付的额外的网络专线费用应当认定为经济损失。
鉴定机构及某乙公司将一定时间内被告单位爬取的数据总量,根据其爬取的时间分布,通过抽样、比对,换算得出被告单位的网络爬虫占用某乙公司服务器网络专线的区间值,本着存疑有利于被告人的原则,将理论最小值乘以某乙公司服务器网络专线计费单价,得出一段时间内某乙公司因某甲公司的非法爬取行为所造成的网络资费损失。
同时,某乙公司为对抗被告单位的爬取行为而支出的人力费用,应当认定为被告单位造成的“经济损失”。通过分析系统日志、讯问被告人及询问证人,查明被告单位与某乙公司进行对抗的过程,认定某乙公司为应对大流量的打码行为开发防御机制而付出的人力成本,属于乙公司的经济损失。
四、审查的方法
(一)厘清网络爬虫技术滥用的行为
如前述所言,网络爬虫技术的应用具有极强的目的导向。因此在认定网络爬虫技术滥用行为是否构成犯罪时,应注重对网络爬虫使用者言词证据的审查,明确爬虫使用者如何突破反爬取机制,与鉴定意见、勘验检查笔录等客观证据形成印证,认定其主观目的。
重视司法鉴定意见,对爬虫功能进行鉴定,重视对双方所使用的设备系统日志等证据的收集和运用,对双方的计算机信息系统,均应全面提取日志;通过现场勘验、远程勘验、专业鉴定机构出具鉴定意见等方式对网络爬虫工作原理、爬取的数据类型和速度、如何突破反爬机制等方面全面进行复盘。
(二)明确非法爬取行为的因果关系
实践中,被爬取的单位往往通过可疑访问请求的IP地址对爬虫使用者进行追踪,或者对某些行为模式进行总结,投放特异性数据,对爬虫使用者进行追踪。在审查过程中,对确定犯罪嫌疑人身份的过程,要有严密的证据链条进行证明。可以对犯罪嫌疑人进行有针对性的讯问,听取申辩意见,根据其供述的行为模式或者使用网络情况等因素综合进行审查,最终认定非法爬取行为和非法爬取行为造成经济损失确系犯罪嫌疑人所为,查明因果关系,准确认定责任。
(三)对网络爬虫技术滥用的危害后果全面评估
网络爬虫大多属于犯罪的手段行为,可能触犯多个罪名,在认定时需要对其行为模式、危害后果进行评估,根据侵害的法益,对其准确定性。本案中,在被告单位爬取的房产信息中,包含了一些不对外公开的注册用户真实手机号。经查,某乙公司是在一段时间内,逐步在全国范围内推行的用户虚拟手机号,在此之前均在网站上展示用户的真实手机号,由于技术原因,无法确定被告单位获取的用户真实手机号的具体时间,无法判断其是否经过爬虫自动解密处理得来。在民法典对公民个人信息保护范围作出调整的背景下,暂无法认定被告人的行为侵犯了公民个人信息。
在审查过程中,应综合全案证据,评估网络爬虫技术滥用造成的危害后果,是否实质上严重扰乱了计算机信息系统运行秩序,是否对计算机信息系统造成了破坏;行为人是否以网络爬虫为手段非法获取公民个人信息,是否侵害了其他法益,根据查明的犯罪事实依照刑法的相应罪名定罪处罚。