网络爬虫刑法规制研究*
2022-02-03陈毅坚曾宪哲
陈毅坚 曾宪哲
数字经济是农业、工业经济之后新的经济社会发展形态,即以数字化知识和信息为关键生产要素、以现代信息网络为重要载体、以有效使用信息通信技术来提升效率和优化经济结构的一系列经济活动,主要包括大数据、人工智能、区块链等为代表的新技术集群。①中共浙江省委党校、浙江省经济和信息化厅编著:《数字经济》,杭州:浙江人民出版社,2019年,第1—18页。其中,大数据是数字产业化与产业数字化的重要手段与发展对象,已深入社会生产、生活的各方面,但大数据黑灰产业链也随之不断升级。②参见陈毅坚、陈海劲:《私人数字货币发行的刑法规制研究》,《湖南社会科学》2022年第3期,第78页。一方面,网络爬虫作为批量获取数据源的主要手段被不法分子加以利用,严重危害公民人身、财产等权利;另一方面,没有厘清网络爬虫的技术原理及其与其他技术的区别,又极易陷入对网络爬虫入刑的扩大化。因此,如何区分网络爬虫的合理使用与违法犯罪成为重要课题。
但是,关于网络爬虫刑法规制的现有研究呈现弱技术性、分散性和单一性的特点。其一,停留在网络爬虫的浅层机理,仅认识到网络爬虫是一种按规则自动抓取数据的程序或脚本,能够广泛应用于搜索引擎、网络舆情、大数据挖掘等领域,而并未深入研究其技术基础、分类和特点,未能与网络爬虫的技术特征高度对应,呈现弱技术性。①参见刘艳红:《网络爬虫行为的刑事规制研究——以侵犯公民个人信息犯罪为视角》,《政治与法律》2019年第11期,第16—17页。其二,尚未从网络爬虫的技术特征与已有的司法实践出发来总结滥用网络爬虫的不法类型,具有分散性。②参见李慧敏、孙佳亮:《论爬虫抓取数据行为的法律边界》,《电子知识产权》2018年第12期,第58—67页。其三,局限于滥用网络爬虫与公民个人信息、著作权和计算机数据保护间的博弈,未能发现实践中的新问题,具有单一性。③参见杨志琼:《我国数据犯罪的司法困境与出路:以数据安全法益为中心》,《环球法律评论》2019年第6期,第151—171页;宋行健:《滥用网络爬虫技术收集个人信息的刑法规制》,《湖南科技大学学报(社会科学版)》2021年第4期,第139—148页。综上,由于缺乏对网络爬虫技术层面的深入分析,现有研究未能识别滥用网络爬虫法律问题的技术本质,故难以有针对性、多维度地挖掘滥用网络爬虫亟待解决的问题。据此,本文通过分析网络爬虫的深层机理对滥用网络爬虫的不法类型进行检视,结合技术、理论与实务情况,从法益维度分析我国刑法规制滥用网络爬虫行为的现状及问题,进而从数据的保护与共享理念出发提出相应的规制限度与出路。
一、网络爬虫的运作机理与不法类型
(一)网络爬虫的运作机理及分类
网络爬虫又称网络蜘蛛、网络蚂蚁、网络机器人等,是一种根据特定算法规则自动化浏览和收集互联网中特定数据的任务行为,即模拟人点击网页并获取数据,具有高精准性、广覆盖面、低技术准入性和难防守性四大特点。其运作机理是,网络爬虫从种子URLs(Uniform Resource Locator)出发,获取初始网页上的URL,之后在抓取网页的过程中,不断从当前页面上抽取新的URL放入队列,直至满足系统设置的停止条件。④参见周德懋、李舟军:《高性能网络爬虫:研究综述》,《计算机科学》2009年第8期,第26页。
网络爬虫主要分为通用网络爬虫(General Purpose Web Crawler)、聚焦网络爬虫(Focused Crawler)、增量式网络爬虫(Incremental Web Crawler)和深层网络爬虫(Deep Web Crawler)四种类型。通用网络爬虫又称全网爬虫,其目标资源在全网,爬取数量大且范围广,主要为门户站点搜索引擎和大型Web服务提供商采集数据。⑤参见韦玮:《精通Python网络爬虫:核心技术、框架与项目实战》,北京:机械工业出版社,2017年,第6页。如百度搜索引擎的爬虫每日在海量网页中爬取优质网页并存储,当用户检索关键词时,百度就会依据关键词从收录的网页中找出相关网页,按照一定的规则排序并将结果展现给用户。聚焦网络爬虫又称主题爬虫,可根据一定的网页分析算法过滤与用户所设定主题无关的链接,保留有用的链接并将其放入等待抓取的URL队列,实现低成本、高效、精准抓取,常用于特定目的的小规模爬取。⑥参见周立柱、林玲:《聚焦爬虫技术研究综述》,《计算机应用》2005年第9期,第1965—1966页。如抖音、华住会、社保掌上通等各类APP可以将聚焦网络爬虫的爬取主题设为“公民个人信息”来收集全站所有或特定的公民个人信息。⑦参见《隐私难设防:APP爬取个人信息手段多样》,载人民网2019年4月1日,http://it.people.com.cn/n1/2019/0401/c1009-31005509.html。增量式网络爬虫则通过持续爬取的方式将爬取到的“更重要”的网页替换掉“次重要”的网页,在一定程度上保证爬取的页面尽可能是新的页面,具有时效性,通常应用于已抓取了足够量的数据后进行数据周期性更新的运营中,如商用搜索引擎。①参见《爬虫分类——通用网络爬虫、聚焦网络爬虫、增量式网络爬虫、深层网络爬虫》,载CSDN博客2020年3月23日,https://blog.csdn.net/qq_39368007/article/details/105047654。深层网络爬虫主要用于爬取深层网页,深层网页区别于以超链接就能够到达的表层网页,需要通过程序交互或提交一定的关键词后才能获取隐藏数据,因此深层网络爬虫爬取的数据质量较高,适用于数据深度分析。②参见曾伟辉、李淼:《深层网络爬虫研究综述》,《计算机系统应用》2008年第5期,第122—123页。如某些房产网站中会显示楼盘名称、开盘时间、楼盘面积和地理位置示意图,但经纬度等具体的地理数据则隐藏在JavaScript脚本语言中,需要用深层网络爬虫挖取;又如需要用户注册后才能获取的数据,也需要用深层网络爬虫爬取。
为保证网站的正常运转及数据竞争力,网站通常都会针对爬虫采取以下两种措施来维护自身数据安全。一是协议合意,如Robots协议或Robots Meta标签、服务条款、权责声明等,与用户合意数据爬取的范围。广为运用的Robots协议全称是“网络爬虫排除标准”(Robots Exclusion Protocol),网站会在其根目录下放置“robots.txt”文件,其中规定了哪些内容不可抓取。当爬虫访问站点时,它会首先检查该站点根目录下是否存在robots.txt文件。如果存在,爬虫就会按照该文件中的内容来确定访问范围;如果不存在,爬虫将能够访问网站上所有没有被口令保护的页面。此类措施主要靠用户自觉遵守,而没有技术上的强制力,表明网站对数据的保护意愿较低。③参见罗刚:《网络爬虫全解析:技术、原理与实践》,北京:电子工业出版社,2017年,第45—48页。二是反爬虫技术壁垒,如身份验证、封锁IP、封锁User-Agent、JavaScript渲染和CSS偏移等。④《9种常见的反爬虫策略思路》,知乎网http://zhuanlan.zhihu.com/p/345343134,2021年1月19日。此类措施防止无授权的爬取,表明网站较强的数据保护意愿。
(二)网络爬虫的不法类型
网络爬虫与人力抓取相比具有高效、便捷、全面的特点,因而在数字经济与大数据时代备受青睐。Imperva发布的报告显示,51.8%的互联网访问由机器人产生,其中恶意机器人占比28.9%。⑤Igal Zeifman,“Bot Traffic Report 2016,”Imperva(Jan.24,2017),https://www.imperva.com/blog/bot-traffic-report-2016/.网络爬虫只是一种收集数据的技术,本身无所谓不法,但近年来爬虫技术被严重滥用而异化为不法分子攫取利益尤其是经济利益的重要手段,从而丧失了基于技术中立的责任豁免可能性。⑥参见刘宪权:《网络黑灰产上游犯罪的刑法规制》,《国家检察官学院学报》2021年第1期,第7—9页。网络爬虫的不法与爬虫使用者是否获得数据的爬取权限和数据的后续使用直接相关,这种基于权限和滥用的不法体现为手段不法、内容不法和使用不法。
1.网络爬虫的手段不法。数据的代际属性转变逐步证明数据应当具有独立的法益地位,数据法益指数据本体法益,包括数据的保密性(confidentiality)、完整性(integrity)和可用性(availability)。⑦参见杨志琼:《我国数据犯罪的司法困境与出路:以数据安全法益为中心》,第159—161页。网络爬虫的手段不法主要表现为对数据法益的侵害,具体包括以下两种情形。
第一,网站通过设置反爬虫技术壁垒表明其反对被爬取任何公开与非公开数据的强烈要求,行为人强行通过破坏或避绕反爬技术壁垒以获取数据,则破坏了网站数据的保密性和完整性。如“陈辉提供侵入、非法控制计算机信息系统程序、工具案”中,被告人编写的爬虫软件具有以非常规手段模拟用户识别和输入图形验证码的功能,该功能可绕过大麦网平台的人机识别验证机制以访问大麦网平台的资源①参见广东省广州市南沙区人民法院(2021)粤0115刑初5号刑事判决书。;又如“林镇平等非法获取计算机信息系统数据案”中,被告单位利用爬虫程序,采用破解验证码等手段非法获取某网站的房产数据,经解密、加工、整理后供自己使用②参见北京市朝阳区人民法院(2020)京0105刑初2594号刑事判决书。。此类破坏或避绕行为均具备手段不法。有学者认为,反反爬虫行为包括深度链接(deep link)③参见刘艳红:《网络爬虫行为的刑事规制研究——以侵犯公民个人信息犯罪为视角》,第22—23页。,深度链接即设链者在不脱离本网页的情况下,以从被链网站下载或打开超链接的方式将他人网站中的内容展现在自己的网页中。本文认为,深度链接与反反爬虫行为没有必然联系,因为设链网页对被链网站内容的获取并不必然通过不法爬虫爬取,其相同点仅在于两者均未经授权而使用他人资源。如果仅涉及链接技术操作,则深度链接在性质上与破坏、避绕这类攻击行为完全不同;深度链接只有与爬虫技术相结合的情况下,才具有手段不法。
第二,网络爬虫可以作为网络攻击方式,造成计算机信息系统不能正常运行。其一,网络爬虫都可以通过多线程的方式实现,即爬虫通过多个运算核心创建多条线路并行运作,但礼貌性原则要求不能同时发起过多的数据下载请求,否则,极易导致网站瘫痪、无法访问等后果,将破坏网站及其数据的可用性,故使用多线程爬虫时需有所克制。如“杨杰明、张国栋破坏计算机信息系统案”中,被告人授权公司员工使用网络爬虫对深圳市居住证系统进行查询访问,其访问量为每秒183次,共计查询信息约151万条次,造成该时段内深圳市居住证系统无法正常运作,严重影响了深圳市公安局人口管理处的工作。④参见广东省深圳市南山区人民法院(2019)粤0305刑初193号刑事判决书。其二,滥用网络爬虫删除、修改、增加计算机信息系统中存储、处理或者传输的数据和应用程序,导致计算机信息系统无法正常运行的,破坏了网站及其数据的完整性和可用性。如“王博一文、黄业兴破坏计算机信息系统案”中,被告人将爬虫程序植入第十三届全运会接待服务系统,删除了该系统内大量参赛运动员及技术官员的抵离信息、酒店住宿信息、人员简要身份信息,致使当日天津市全运会组委会接待服务部39台计算机无法正常运行接待服务系统,给全运会接待服务工作造成严重影响。⑤参见天津市南开区人民法院(2017)津0104刑初740号刑事判决书。
2.网络爬虫的内容不法。如前所述,网站在采取协议合意的方式保护数据安全时,往往使用Robots协议或Robots Meta标签明确爬取的内容范围。协议授权包括明示授权与默示授权,前者指网站在协议上明确写明所有爬虫或特定公司、个人的爬虫可以爬取本网站特定范围的数据,或通过技术措施主动筛选允许的爬虫;后者指不发布任何协议,也不采用任何的反爬技术壁垒,默认所有的爬虫均可访问网站并爬取数据。网络爬虫的内容不法主要表现为对公民个人信息和知识产权法益的侵害,具体包括以下两种情形。
第一,在明示授权的情况下,可能因为超越爬取范围而产生内容不法。由于协议合意没有技术强制力,而是靠用户自觉遵守,在授权范围内的爬取行为本身不存在不法,但却可能因为无视协议或超越授权范围爬取而变为无授权爬虫,产生内容不法。如网站协议规定,A爬虫可以爬取全站数据,B爬虫仅可以爬取特定数据,若B爬虫超出允许范围爬取协议禁爬的数据,则爬取超出范围部分数据时属于无授权爬虫。若B在不允许的领域爬取到公民个人信息、商业秘密和著作权作品等数据即存在内容不法,侵害了公民个人信息和知识产权法益。目前市面上的多款日常生活中常用的APP均存在超协议授权范围采集数据的现象,有专家发现许多APP及其SDK(Software Development Kit)都申请了大量与其功能毫不相关的权限,比如只需要5个权限,但申请量可能高达55个。①《多款知名APP涉嫌侵犯公民个人隐私和超范围采集公民个人隐私》,载搜狐网2019年9月17日,https://www.sohu.com/a/341357509_100170731。全国首例利用手机APP非法超授权范围采集公民个人信息案中,被告人通过手机贷款APP在用户服务条款的授权以外非法采集通讯录、通话记录、短信等用户个人信息,其行为存在爬虫的内容不法②《全国首例手机APP非法超限采集个人信息案宣判!》,载长沙县人民政府网2021年10月8日,http://www.csx.gov.cn/zwgk/zfxxgkml/rdzt/2021ngjwlaqxcz/xwsd/202110/t20211008_10258903.html。。可见,无授权爬虫广泛存在且对公民个人信息、商业秘密和著作权作品等数据存在着现实、紧迫的威胁。
第二,在明示或默示授权的情况下,可能因为爬取著作权数据而产生内容不法。网络爬虫的运作原理是模拟人点击网页来获取、下载并储存数据至服务器,爬取行为本质上就是复制行为。③参见王迁:《复制权与信息网络传播权的关系》,《湖南师范大学社会科学学报》2022年第2期,第1—2页。而书籍、视频、图片和经过汇编的一般程式码④参见许可:《数据爬取的正当性及其边界》,《中国法学》2021年第2期,第177页。等著作权作品的复制权受刑法保护,未经许可且不属于合理使用而爬取上述作品则侵犯著作权。而且,在无特别情况下,著作权相关权利的许可是单向、单次的,即便网站获得了著作权人的复制权、展览权或信息网络传播权等权利许可,未经著作权人同意亦不得将上述权利转让给他人。⑤《中华人民共和国著作权法》第二十九条规定:“许可使用合同和转让合同中著作权人未明确许可、转让的权利,未经著作权人同意,另一方当事人不得行使。”该条规定的权利也包括再次转让权限。因此,网站若明示或默示授权爬虫可爬取站内著作权作品,爬虫仍可能因缺乏原著作权人的许可而产生内容不法。如“陕西纵航软件开发有限公司与北京华视聚合文化传媒有限公司侵害作品信息网络传播权案”中,纵航公司未经华视聚合公司许可使用爬虫软件与深度链接结合的方式在其经营的微信公众号中传播了华视聚合公司享有信息网络传播权的电影作品,使公众可以在其个人选定的时间和地点获得该作品,侵犯了华视聚合公司对涉案作品依法享有的信息网络传播权。⑥参见陕西省高级人民法院(2020)陕民终1109号民事判决书。无论纵航公司在公众号上是否写明视频可转载,他人均不可越过华视聚合公司的授权而随意爬取,否则可能产生内容不法。
3.网络爬虫的使用不法。网络爬虫常被用作侵犯财产、公民个人信息和知识产权等犯罪的上游行为工具,网络爬虫的使用不法体现在对爬取特殊数据的后续使用行为,主要表现为对传统法益的侵害,包括以下两种情况。
第一,销售爬取数据获利的行为侵犯了公民个人信息和知识产权等法益。数字经济下数据变现能力大大增强,成为重要财富密码,如公民个人信息、商业秘密和著作权作品均具有与有形财产相同的经济价值性、稀缺性和可控性等财产属性而能够直接变现,因此,数据倒卖黑灰产业链逐步形成、壮大。⑦参见李爱君:《数据权利属性与法律特征》,《东方法学》2018年第3期,第65—66页。其中,滥用网络爬虫获取数据并销售获利是数据交易中最为常见的情况,如“巧达科技公司侵犯公民个人信息案”中,巧达公司通过利用大量代理IP地址、伪造设备标识等技术手段,绕过招聘网站的防护技术,非法获取简历信息超过2亿条,并将简历数据库以13800元每年的价格卖给有需求的企业客户。①《警方披露巧达科技案情:利用爬虫获取简历36人被批捕》,载新浪财经网2019年5月24日,https://finance.sina.com.cn/chanjing/gsnews/2019-05-24/doc-ihvhiqay1025765.shtml。
第二,使用爬取的数据实施诈骗、催收非法债务或进行不正当竞争的行为侵犯了财产、人身安全和市场正当竞争秩序等法益。其一,爬虫爬取到的公民个人信息包括身份证号码、家庭住址和电话号码等,具有明确个体指向性和人身贴合性。行为人能够以此取得被害人信任,实施诈骗、敲诈勒索、滋扰或暴力催收等犯罪。这在互联网金融借贷行业中较为常见,风控企业借助大量数据对用户进行精准画像来评估风险,甚至进行线下的非法催收。如“51信用卡案”就因未经相关银行授权而获取银行用户个人信息,并涉嫌对用户进行“套路贷”和非法暴力催收被立案侦查。②《“催命”51信用卡:投诉量超4000条,大多关于套路贷、砍头息》,载凤凰网财经2019年10月23日,https://finance.ifeng.com/c/7r08BPrE0dE。其二,行为人基于损害他人市场竞争力或进行替代性市场活动的目的而爬取竞争对手的数据并进行不法使用。在“酷米客诉车来了案”中,车来了APP运营方元光公司为获取精准公交数据,破解了谷米公司的酷米客APP加密系统,并爬取了酷米客APP内实时数据。法院认为,该信息虽可免费查询,但数据需以不违背权利人意志的合法方式获得,被告利用爬虫技术大量获取、无偿使用他人数据的行为构成不正当竞争。③参见广东省深圳市中级人民法院(2017)粤03民初822号民事判决书。
二、网络爬虫刑法规制的现状与问题
(一)网络爬虫刑法规制的现状
1.网络爬虫侵害数据法益的规制现状。滥用网络爬虫侵害数据法益主要表现为侵害数据的保密性、完整性和可用性三方面,《刑法》第二百八十五条至第二百八十七条之二规定的计算机相关犯罪对此进行规制,根据行为链条主要包括以下三种犯罪。
首先,当行为主体是网络爬虫的直接或授意操作者时,可能构成两种犯罪。第一,网络爬虫未经授权或超越授权爬取他人数据的行为属于“非法获取”,“情节严重”时构成非法获取计算机信息系统数据罪。如在网站中植入URL获取网站存储的Cookie④本案被告人的行为方式与一般模拟点击的爬虫不同,前者修改了网站程序,而后者一般不修改网站程序。参见“黄后荣、翁秀豪非法获取计算机信息系统数据、非法控制计算机信息系统案”,杭州市余杭区人民法院(2014)杭余刑初字第1231号刑事判决书。,或全国首例爬虫入刑案中被告人爬取时使用伪造设备身份(device_id)绕过服务器身份校验,使用伪造用户代理(User-Agent)及IP地址绕过服务器的访问频率限制获取视频数据的行为⑤参见“上海晟品网络科技有限公司、侯明强等非法获取计算机信息系统数据案”,北京市海淀区人民法院(2017)京0108刑初2384号刑事判决书。,或违反Robots协议获取数据的行为⑥参见“马骏、张伟非法获取计算机信息系统数据、非法控制计算机信息系统案”,山东省济南市历下区人民法院(2020)鲁0102刑初351号刑事判决书。,都可能构成本罪。
第二,当网络爬虫的抓取干扰了计算机信息系统的功能,或滥用网络爬虫删除、修改、增加计算机信息系统中存储、处理或者传输的数据和应用程序,导致系统不能正常运行,“后果严重”时构成破坏计算机信息系统罪。①参见姜瀛:《论刑法介入网络数据爬取行为的类型与限度》,《浙江社会科学》2021年第10期,第141—142页。如前述“杨杰明、张国栋破坏计算机信息系统案”和“王博一文、黄业兴破坏计算机信息系统案”,法院均判决构成破坏计算机信息系统罪。
其次,当行为主体未直接操作爬虫,而是为他人实施网络犯罪而制作网络爬虫,“情节严重”时构成提供侵入、非法控制计算机信息系统程序、工具罪。《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第二条明确规定了具有避开或突破计算机信息系统安全保护措施,未经授权或超越授权获取计算机信息系统数据功能的程序、工具属于“专门用于侵入、非法控制计算机信息系统的程序、工具”,网络爬虫属于此类程序、工具。如“刘某2、夏某某等提供侵入、非法控制计算机信息系统程序、工具案”中,被告人明知同案人要求开发的是用于侵入快递公司信息系统并获取其数据的软件,仍为其开发并提供“单号助手”爬虫软件,法院判决其构成提供侵入、非法控制计算机信息系统程序、工具罪。②参见上海市青浦区人民法院(2020)沪0118刑初1292号刑事判决书。
2.网络爬虫侵害公民个人信息的规制现状。有学者认为滥用网络爬虫侵害公民个人信息的行为样态包括三种:其一,违反协议或破坏、避绕反爬技术壁垒获取网站内公民个人信息;其二,合法爬取但不法公开公民个人信息;其三,利用网站漏洞或无视协议植入爬虫收集外部访问者的个人信息。③参见宋行健:《滥用网络爬虫技术收集个人信息的刑法规制》,第141—142页。本文认为这种分类存在交叉,也不够全面。上述第一、三种样态是爬取公民个人信息本身具有刑事不法,都可以构成侵犯公民个人信息罪,其中破坏、避绕反爬技术壁垒或利用网站漏洞爬取公民个人信息表现为爬虫的手段不法,掺杂了对数据法益的破坏;违反协议或无视协议爬取则表现为爬虫的内容不法。第二种样态则表现为网络爬虫爬取公民个人信息的后续使用不法,因为爬取权限内的公民个人信息与行为人逐一下载并无本质区别,其违法本质在于随意公开、提供或销售公民个人信息,以及其他使用非法爬取的公民个人信息侵犯财产、人身安全、市场正当竞争秩序等。换言之,滥用网络爬虫获取公民个人信息的核心违法要素在于爬虫违反协议或突破反爬技术壁垒非法获取公民个人信息;而合法爬取信息时,是后续使用行为具有不法,此时应根据爬虫获取公民个人信息之后所实施行为确定具体罪名。
非法爬取公民个人信息行为主要由《刑法》第二百五十三条之一的侵犯公民个人信息罪来规制,其重点在于:第一,判断爬取的数据是否是公民个人信息。《民法典》《个人信息保护法》《网络安全法》和《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(下称《个人信息解释》)均规定可识别性是公民个人信息的必备要件。申言之,只要行为人爬取到的数据能够识别特定自然人即侵犯了公民个人信息。第二,从行为主体上看,直接爬取者与不履行管理义务的平台都可能负刑事责任,放任爬虫爬取公民个人信息的网络平台虽不能成立本罪,却可能构成拒不履行信息网络安全管理义务罪。
3.网络爬虫侵犯知识产权的规制现状。实践中,侵犯著作权罪与侵犯商业秘密罪常被用于规制滥用网络爬虫侵犯知识产权的行为。首先,爬取知识产权数据与爬取其他数据不同,除非网站协议明确注明可以爬取知识产权数据,否则一经复制即构成侵权。亦即,行为人单纯访问知识产权数据不构成侵权,但一旦抓取则属于复制了此类数据,就侵犯了相应的知识产权。主要有两种方式:第一,以营利为目的,未经著作权人许可爬取书籍、视频和音乐等作品,进而置于自己的网页供人下载浏览,侵犯了权利人的信息网络传播权。第二,根据《刑法修正案(十一)》在第二百一十七条增加的第六款,以营利为目的,未经著作权人或相关权利人许可,利用网络爬虫故意避开或破坏权利人为其作品、录音录像制品等采取的保护著作权或与著作权有关权利的技术措施。①参见喻海松:《网络外挂罪名适用的困境与转向——兼谈〈刑法修正案(十一)〉关于侵犯著作权罪修改的启示》,《政治与法律》2021年第8期,第68—70页。比如在“王世杰侵犯著作权案”中,被告人未经著作权人许可爬取电影、电视剧和综艺等各类视频资源,通过解析网站的网页源代码②此处的解析网页源代码是一种下载行为,而非仅链接对方网页,故仍属复制范畴,与深度链接无关。利用深度链接侵犯著作权罪的案例,可参见“郑某等侵犯著作权案”,北京市海淀区人民法院(2013)海刑初字第2725号刑事判决书。,编写对应的程序,链接到自己的网站内供他人观看,法院判决其构成侵犯著作权罪。③参见陕西省勉县人民法院(2020)陕0725刑初19号刑事判决书。
其次,滥用网络爬虫窃取、获取商业秘密,构成侵犯商业秘密罪。《关于办理侵犯知识产权刑事案件具体应用法律若干问题的解释(三)》第三条规定,采取非法复制、未经授权或者超越授权使用计算机信息系统等方式窃取商业秘密的,应当认定为《刑法》第二百一十九条第一款第一项规定的“盗窃”;以贿赂、欺诈、电子侵入等方式获取权利人的商业秘密的,应当认定为该项规定的“其他不正当手段”。值得注意的是,《刑法修正案(十一)》删除了对商业秘密的定义,故认定是否属于商业秘密应根据相关前置法,主要是《反不正当竞争法》。而2019年修订的《反不正当竞争法》增加了“等商业信息”这一表述,说明对企业数据的保护更为周延,相应地,利用网络爬虫获取企业数据的行为构成本罪的可能性也更大。
(二)网络爬虫刑法规制的问题
1.刑事责任的层次不清。司法实践仅着眼于爬虫是否未经授权或超越授权抓取数据,而并不对网络爬虫的技术特点作详细区分,不区分规制对象的做法导致刑事责任的无差别化。首先,被害人的自我保护意愿的强弱影响行为人刑事责任的层次区别。如前所述,网站采取的不同反爬措施表达了其对爬虫敌意的强弱,采取Robots协议等合约方式意味着排除爬虫的意愿不太强烈,但采取反爬技术壁垒则表达了较为强烈的排除爬虫意思。这对行为人的刑事责任的轻重必然存在影响,但实务中对滥用网络爬虫的规制总体趋于扩大化,且刑事责任没有层次区分。其次,爬取数据的开放性不同可能导致刑事责任的层次区别。比如获取网站开放数据和公开或不公开浏览数据在不法上显然存在质的差别。④参见杨志琼:《数据时代网络爬虫的刑法规制》,《比较法研究》2020年第4期,第186页。
2.知识产权作品的保护漏洞。刑法对有协议默示授权的爬取知识产权作品行为的规制阙如。如前所述,网站未设置任何反爬措施则存在协议的默示授权,本文以“刑事案件”“爬虫”和“侵犯著作权罪”为关键词在中国裁判文书网仅检索到2个案件。可见,无论网站是否设置反爬措施,司法实践都极少以知识产权犯罪加以处罚。一般来说,网站不设置反爬措施意味其数据是开放的数据,授权任意爬取。但是,知识产权作品权利人可能并非仅是网站,而同时有其他权利人,默示授权未必都是有效的许可。因此,不能以默示授权的协议认定行为人不存在故意,只有在网站以明示授权表达爬虫可以复制该网站所有或部分作品的情况下,才可能以行为人不存在故意而免责。因此,不设置任何反爬措施并不必然意味着一律默示许可爬取网站作品,若不对此加以处罚,有放纵知识产权犯罪之嫌。
3.网络不正当竞争的规制阙如。从爬取数据的后续使用上看,滥用网络爬虫可能侵犯网络正当竞争秩序法益,而刑法对网络不正当竞争行为的规制阙如。“酷米客诉车来了案”①参见广东省深圳市中级人民法院(2017)粤03民初822号民事判决书。“百度诉360奇虎公司不正当竞争案”②参见北京市第一中级人民法院(2013)一中民初字第2668号民事判决书。和“大众点评诉爱帮网案”③参见北京市第一中级人民法院(2011)一中民终字第7512号民事判决书。等民事判决均确认了滥用网络爬虫具有民事违法性,这对网络爬虫使用者起到了提醒作用④See Jacquellena Carrero,“ACCESS GRANTED”,Columbia Law Review,Vol.120,2020,pp.149-172.。但在刑事层面,只有“酷米客诉车来了案”的被告人被判处非法获取计算机信息系统数据罪⑤参见“邵凌霜等非法获取计算机信息系统数据案”,广东省深圳市南山区人民法院(2017)粤0305刑初153号刑事判决书。,且没有认定其进行网络不正当竞争存在独立的刑事不法。
对此,如前所述,本文认为在手段不法与内容不法之外,网络爬虫还存在使用不法,是独立的不法类型。在互联网产业常态化的背景下,滥用网络爬虫并恶意使用爬取数据的行为频发,损害了竞争对手的利益和消费者权益,侵犯了网络正当竞争秩序法益,严重破坏了网络市场竞争秩序。但是,刑法并未专门规定针对网络不正当竞争的罪名,而是采用传统罪名网络化的方式进行规制,主要包括损害商业信誉、商品声誉罪、虚假广告罪、非法经营罪、侵犯商业秘密罪和破坏生产经营罪五个罪名。本文以“爬虫”和“刑事案件”为关键词在中国裁判文书网上检索到80个案件,并没有判决上述五个罪名的案件,且没有任何提及不正当竞争的内容,这说明实践中尚未确认滥用网络爬虫进行不正当竞争行为的刑事违法性,基本上诉诸《反不正当竞争法》的保护,这与网络不正当竞争现象愈演愈烈而亟待刑事规制的需求不符。
4.法益侵害的评价不充分。网络爬虫刑法规制的法益评价不充分主要体现在对手段不法所侵犯法益的评价不充分。实践中,在认定网络爬虫突破技术壁垒抓取公民个人信息构成何种犯罪时,主要有两种做法。一是采取一元评价进路,只认定为侵犯公民个人信息罪。比如在“郭航宇等侵犯公民个人信息案”中,被告人无授权爬取淘宝等网购平台共计110万余条公民个人信息并出售牟利,法院裁判重心是保护公民个人信息,仅将爬取行为认定为“以其他方法非法获取”判决被告人构成侵犯公民个人信息罪,而判决书中对突破技术壁垒爬取的行为性质只字未提,此获取手段未被独立评价。⑥参见浙江省金华市金东区人民法院(2021)浙0703刑初17号刑事判决书。二是采取竞合评价进路,认为构成侵犯公民个人信息罪与非法获取计算机信息系统数据罪的想象竞合犯或牵连犯,从一重罪处断。如《检察机关办理侵犯公民个人信息案件指引》规定,“对于违反国家有关规定,采用技术手段非法侵入合法存储公民个人信息的单位数据库窃取公民个人信息的行为,也符合刑法第二百八十五条第二款非法获取计算机信息系统数据罪的客观特征,同时触犯侵犯公民个人信息罪和非法获取计算机信息系统数据罪的,应择一重罪论处。”
本文认为,两种进路都无法周延地评价突破反爬技术壁垒侵犯公民个人信息行为的手段不法。第一,一元的“公民个人信息安全”进路仅考虑公民个人信息的泄露,会遗漏评价爬取行为破坏了他人花费人力、物力搭建和管理的反爬技术壁垒这一手段不法。第二,想象竞合犯或牵连犯进路从一重罪处断通常认定为非法获取计算机信息系统数据罪,该罪看似同时评价了侵入手段与获取数据两个行为。但是,一方面,该罪的法定刑与侵犯公民个人信息罪相同,而侵犯公民个人信息罪的规制范围并不包含侵入手段,可见,非法获取计算机信息系统数据罪的规制重点在于“获取”而不在于“侵入”,其对手段不法的评价并不充分。另一方面,实践中两罪判处的刑罚也不均衡。比如,在“呙某兴非法获取计算机信息系统数据、非法控制计算机信息系统案”中,被告人通过SQL注入漏洞及编写爬虫脚本的方式侵入计算机信息系统并获取其存储的个人信息约1500万余条后销售牟利,法院认定被告人犯非法获取计算机信息系统数据罪,判处有期徒刑五年,并处罚金人民币二万元。①参见山东省青岛市中级人民法院(2020)鲁02刑终108号刑事裁定书。但在“方昊侵犯公民个人信息案”中,被告人以账号密码登录单位系统来爬取系统内的公民个人信息10万余条并销售给他人,法院认定其构成侵犯公民个人信息罪,判处有期徒刑三年六个月,罚金人民币四万元。②参见北京市朝阳区人民法院(2019)京0105刑初1883号刑事判决书。以此推论,假设方昊以账号密码登录单位系统后使用爬虫获取1500万余条个人信息,则构成侵犯公民个人信息罪“情节特别严重”,可被判处五年以上有期徒刑。相比较而言,呙某兴使用突破反爬技术壁垒的非法爬虫手段侵犯公民个人信息实际所获刑罚却可能比未使用突破反爬技术壁垒的非法爬虫手段所获刑罚还要低,可见,非法获取计算机信息系统数据罪对非法爬取的手段不法评价不足。综上,司法实践的问题不在于侵犯公民个人信息罪与非法获取计算机信息系统数据罪发生竞合时应选择哪个罪名,因为无论选择哪个罪名都无法全面评价突破反爬技术壁垒这一手段不法。
三、网络爬虫刑法规制的限度与出路
(一)网络爬虫刑事责任的限度
数字经济时代,数据不仅关乎公民各项权利,更是投入企业生产的重要要素,对数据的获取和把控甚至决定了企业经营的成败,故实现数据保护与共享的平衡是法律规制的主要目标。网络爬虫作为获取海量数据的主要途径,其刑法规制应体现对数据的规制理念,也应遵循“成本-效益”分析理论,即投入最小的立法与司法成本实现最大的数据保护效益,同时不阻碍其有利于经济发展的正常流通,依据网络爬虫的技术特点和数据性质来厘清其责任限度,以实现保护与共享的平衡。
首先,反爬意愿的强弱影响责任限度。爬虫协议是典型的“君子协议”,没有技术上的强防御力,是一种私力规则。网站仅设置协议抵御爬虫,说明网站愿意承担爬虫可能不遵守协议爬取的部分风险,表现了网站较弱的反爬虫意愿,违反协议爬取知识产权和公民个人信息以外的一般数据与民法中的违约行为性质相同,不具备手段不法,没有达到刑事不法的程度。③参见童云峰:《大数据时代网络爬虫行为刑法规制限度研究》,《大连理工大学学报(社会科学版)》2022年第2期,第93页。
其次,数据开放的程度影响责任限度。第一,爬取完全开放数据不构成任何犯罪,但爬取公开浏览数据可能构成手段不法、内容不法和使用不法。本文认为,数据开放与数据公开浏览两个概念并不等同。数据开放代表着数据权利人对数据控制权与经济获益的放弃,也即任何人在任何时候、任何地点均可获取和使用数据,此时,数据转化为公共产品。基于平衡保护数据与公共文化、避免产生数字技术暴力①参见孙昊亮:《网络环境下著作权的边界问题研究》,北京:法律出版社,2017年,第26—30页。的考虑,爬取开放数据不构成犯罪。②参见杨志琼:《数据时代网络爬虫的刑法规制》,第196—197页。但是,网站数据可公开浏览不是网站准许爬虫爬取数据的必要条件。比如,裁判文书网上的文书被准许浏览却不能过度爬取而影响网站运行,否则可能具备手段不法;网站上的小说被准许阅读却不准许任意爬取,否则可能具备内容不法;即便网站明示授权准许爬取小说,行为人后续也不能公开发行,否则会具备使用不法。
第二,构成同一类型的滥用爬虫不法时,爬取公开浏览数据与不公开浏览数据在责任承担上应当区分。本文认为,网站允许浏览与允许爬取是两个不相重叠的许可,因此,数据浏览的公开与否对不法的形成没有影响。比如某社交网站设置了反爬技术壁垒,明确要求不能爬取网站的任何公民个人信息,即便该网站的公民个人信息是可公开浏览的,也不可爬取,其手段不法的形成与爬取该网站其他不公开浏览的公民个人信息别无二致。但考虑到网站公开浏览数据已经丧失了数据的保密性,因此,爬取公开浏览数据的不法程度有所降低,其责任理应轻于爬取不公开浏览数据。
(二)侵犯知识产权预备行为的可罚性
《刑法修正案(十一)》通过增设新罪和拓展旧罪的方式扩大了知识产权犯罪的处罚范围,并提升法定刑以加重其处罚,充分体现了刑法全面、严格保护知识产权的立法目的。③参见刘湘廉:《我国知识产权刑法的最新修正及其适用》,《重庆大学学报(社会科学版)》2021年第2期,第237—240页。本文认为,以后续发行或通过网络传播为目的,爬取未设置协议或反爬技术壁垒的网站的知识产权作品,构成侵犯著作权罪的预备行为,无论是否实际发行或通过网络传播,均应处罚。
首先,“在风险社会中,由于法益面临了各种无法预料的风险,这些风险在行为人实施预备行为时就已经存在危险性,这些危险一旦转变为现实就会对法益造成无可弥补的损害结果,为了更有效保护法益,必须对这些危险性高的预备行为进行前置性的刑法保护”④陈毅坚:《预备罪及其共犯比较研究》,《中国刑事法杂志》2011年第9期,第3页。,因此,处罚获取行为从预备阶段即切断了知识产权作品被他人使用而造成进一步损失的风险,符合刑法积极预防的功能。其次,网络爬虫作为一种点击、下载工具,识别数据能否被爬取的唯一途径就是该网站是否明确以可读取的协议或技术壁垒的方式声明不可爬取。从技术层面看,若网站无任何的反爬措施,爬虫默认允许爬取而进行点击、下载似乎不具有可谴责的刑事不法,但行为人驱使爬虫正是基于通过不付费而获取他人著作权作品并以此牟利的故意。可以说,无论网站是否设置了反爬措施,在不符合合理使用的条件下,行为人都应当认识到知识产权的特殊性而不进行爬取。因此,在网站未设置反爬措施的情况下,以后续发行或通过网络传播为目的,实施单纯爬取行为可以认定为侵犯著作权罪的预备行为而予以处罚。
(三)网络正当竞争秩序的目的性保护
首先,刑法应保护网络正当竞争秩序法益。当今互联网市场公平观念的缺失较为严重,如流量劫持、恶意不兼容、恶意卸载软件和网络刷单等不正当竞争手段频出,且由于数字经济下竞争关系的存在并不以同类产品或服务为标准,网络不正当竞争的范围急速扩大化。此类行为不仅损害了竞争主体的利益,还损害了消费者权益与网络市场竞争秩序。《反不正当竞争法》第十二条明确指出,经营者不得利用技术手段,通过影响用户选择或其他方式,实施妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行的行为,并在第三十一条确认了追究刑事责任的可能性。故应当发挥刑法积极预防的功能,对严重危害网络正当竞争秩序的行为予以犯罪化,方能更好地维护互联网市场主体的合法权益与国家对网络竞争秩序的管理目的。①参见丁晓东:《互联网反不正当竞争的法理思考与制度重构——以合同性与财产性权益保护为中心》,《法学杂志》2021年第2期,第75—78页。
其次,数据资源的创新性运用使得产品之间的差异界限被打破,不同产品间也可能具有实质竞争关系,故判断网络爬虫及其爬取的数据是否构成不正当竞争时,除了考察双方的商品或服务是否重叠,还要考虑是否形成了实质竞争关系。②参见郭玮:《网络数据爬取行为的刑法规制研究——以非法获取计算机信息系统数据罪为视角》,《新疆社会科学》2020年第3期,第96—97页;Jeffrey Kenneth Hirschey,“Symbiotic Relationships:Pragmatic Acceptance of Data Scraping”,Berkeley Technology Law Journal,Vol.29,2014,p.919.因此,若行为人无视竞争对手的反爬协议或突破其反爬技术壁垒获取数据,并用于生产经营,或利用多线程爬虫恶意抓取竞争对手的网页造成其瘫痪,进而导致对手的经济效益、商业信誉、数据安全等合法市场利益受到严重损害的,即便行为人与竞争对手的产品并不重叠,也侵害了网络正当竞争秩序法益。
最后,滥用网络爬虫进行网络不正当竞争的,可以扩大解释破坏生产经营罪进行规制。③本文认为,目前仍需通过解释现行刑法的传统罪名来处罚已经具备刑事不法的网络不正当竞争行为,待立法时机成熟时,可以考虑增设网络不正当竞争罪。第一,本罪的保护法益是生产经营秩序。有学者认为本罪脱胎于1979年刑法规定的破坏集体生产罪,因而其保护法益是生产经营秩序;也有学者认为本罪规定于侵犯财产罪章,所以其保护法益是财产法益而非生产经营秩序;还有学者认为本罪的保护法益是双重的,既包括生产经营秩序也包括财产法益。④参见刘仁文:《网络时代破坏生产经营的刑法理解》,《法学杂志》2019年第5期,第50页。本文认为,破坏生产经营罪的保护法益是生产经营秩序,这种秩序本身包含了生产资料和经济利益等与财产有关的内容。但本罪的规制重点是行为对生产经营的影响而非对财产法益的侵犯,否则将与故意毁坏财物罪趋于混同,两罪也就没有区分的必要。⑤参见孙道萃:《破坏生产经营罪的网络化动向与应对》,《中国人民公安大学学报(社会科学版)》2016年第1期,第91—92页。因此,构成本罪必须符合破坏生产经营秩序这一根本点。第二,破坏生产经营罪的构成要件为规制网络不正当竞争行为提供了解释空间。传统理论认为,行为人以毁坏财物的手段破坏他人生产经营,并造成重大经济损失时才构成本罪,且“以其他方法破坏生产经营”的手段应与“毁坏机器设备、残害耕畜”具有同质性。⑥参见张明楷:《刑法学(下)》(第6版),北京:法律出版社,2021年,第1344页。然而,“刑法的体系性形成不是与本体的预先规定性相联系的,而只允许从刑法的目的的设定性中引导出来的”⑦[德]克劳施·罗克辛:《德国刑法学总论(第一卷):犯罪原理的基础构造》,王世洲译,北京:法律出版社,2005年,第124页。。对刑法的解释也应以合理的目的为导向,方能及时回应社会需求,更好实现刑法的体系目的。本文认为,坚持客观主义立场和以目的为导向的解释论,要求本罪在立法尚未调整的情况下发挥其最大的规制作用,可以对本罪的客观要件“以其他方法破坏生产经营”作目的性扩张解释。因此,无视竞争对手的反爬协议或突破其反爬技术壁垒获取数据,并用于生产经营,或者滥用多线程网络爬虫使竞争对手网站瘫痪而给对方造成损失的,本质上是一种直接或间接毁坏他人生产资料的行为,属于“以其他方法破坏生产经营”,构成破坏生产经营罪。①参见孙道萃:《破坏生产经营罪的网络化动向与应对》,第91—92页。
(四)手段不法与内容不法的数罪并罚
本文认为,滥用网络爬虫突破反爬技术壁垒获取公民个人信息的行为是刑法上的数行为,属于侵害数据法益与公民个人信息法益的牵连犯,应当以非法侵入计算机信息系统罪或破坏计算机信息系统罪与侵犯公民个人信息罪数罪并罚。
1.承认数据法益与公民个人信息法益的独立性。首先,将数据法益作为独立法益对待能更全面评价突破反爬技术壁垒获取公民个人信息的行为。1997年《刑法》及《刑法修正案(七)》《刑法修正案(九)》制定时,立法者考虑到了计算机信息系统与数据内容的分离性,而随着社会进入web3.0的数字经济时代,云计算等技术的出现导致计算机信息系统或网络与其所表达的内容进一步分离,生产者和经营者在技术领域投入更多的成本来保持竞争优势。详言之,数据法益是指数据本体法益,即元数据及其产品的保密性、完整性和可用性,是一种工具性利益。②参见黄鹂:《数据作为新兴法益的证成》,《重庆大学学报(社会科学版)》2020年网络首发。“保护网络公共秩序是为了防范社会风险,只有对网络空间的公共秩序产生了实质性的侵害,才能成立相应的网络犯罪”③陈毅坚、陈梓瀚:《帮助信息网络犯罪活动罪的司法适用——基于正犯性视角的教义学展开》,《地方立法研究》2021年第5期,第105—106页。,因此,关于数据法益内涵及独立性的理解对罪数问题存在决定性影响。数据法益与计算机信息安全法益并不等同,数据法益受到侵犯时不一定会影响计算机信息系统安全,如非法删除购物网站差评并不会导致计算机信息系统无法运行④参见“李某破坏计算机信息系统案”,浙江省杭州市滨江区人民法院(2014)杭滨刑初字第106号刑事判决书。。反爬技术壁垒的构建以元数据为基础,对其中某个关键的或者某些元数据进行增加、删除、修改等行为可能导致产品结构的破坏与失效,这与计算机信息系统安全的关系不大,却与数据本体安全直接相关。即使不考虑公民个人信息法益等计算机数据内容的获取,驱使网络爬虫破坏、避绕网站反爬技术壁垒的行为是对网站投入财力、人力建立相关措施的直接破坏,若因此导致网站产生严重的经济损失,具备手段不法的行为本身已经侵犯了网站的数据本体法益且达到了刑事可罚的程度,虽不完全符合非法获取计算机信息系统数据罪,但可能构成非法侵入计算机信息系统罪或破坏计算机信息系统罪。
其次,公民个人信息法益独立于财产法益。关于公民个人信息的法益内涵,存在人格权⑤参见王利明:《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》,《现代法学》2013年第4期,第64—71页。、隐私权⑥参见喻海松:《侵犯公民个人信息罪的司法适用态势与争议焦点探析》,《法律适用》2018年第7期,第12—13页。或兼有人格、财产和隐私等属性的个人信息自决权⑦参见周光权:《侵犯公民个人信息罪的行为对象》,《清华法学》2021年第3期,第38—39页。等观点。本文赞同公民个人信息自决权说,理由是:第一,一元的人格权或隐私权路径无法解释公民个人信息的流通性,而售卖个人信息正是侵犯公民个人信息罪的主要打击对象;同理,一元的财产权路径同样无法解释公民个人信息与公民人身的强粘合性,而这也是本罪设立的主要原因,即保护公民人身安全不因信息泄露而受威胁。①参见向秦、高富平:《论个人信息权益的财产属性》,《南京社会科学》2022年第2期,第93—96页。由此可见,公民个人信息兼具人格、隐私和财产等多重属性,是一种综合性法益。第二,若仅采取一元路径,则侵犯公民个人信息罪易与刑法分则中其他罪名重合,如非法获取计算机信息系统数据罪和盗窃罪等,这不符合刑事立法的经济性。第三,根据《个人信息解释》的规定,侵犯公民个人信息罪在入罪情节中规定了违法所得数额与数据类型标准,说明立法与司法均承认个人信息人格与财产的双重属性。综上,侵犯公民个人信息罪的保护法益是个人信息自决权,具备双重法益属性,对于非法爬取个人信息的行为不需再认定为财产犯罪。
2.牵连犯数罪并罚的证立。首先,本文认为,罪数的判断应以法益为标准,滥用网络爬虫突破反爬技术壁垒与获取公民个人信息分别侵犯了数据法益与公民个人信息法益,是刑法意义上的两个行为,且两者具有手段与目的的牵连关系,成立牵连犯。②参见张明楷:《刑法学(下)》(第6版),第651—652页。其中,突破反爬技术壁垒的行为构成非法侵入计算机信息系统罪或破坏计算机信息系统罪,获取公民个人信息的行为构成侵犯公民个人信息罪。
其次,只有数罪并罚才能全面评价此类行为。牵连犯的处断规则主要存在两种观点。从一重罪处断说认为,牵连犯侵犯了多个法益,应评价为数罪,但表现为对社会的一次整体侵害,作为科刑的一罪即可达到刑罚上的评价效果③参见李海滢、王延峰:《因受贿而渎职的罪数问题:处断原则与理论依据》,《河南社会科学》2021年第10期,第63页。;数罪并罚说认为从罪数类型的设立目的与罪刑等价原则出发,一罪对应一罚、数罪对应并罚,异种数罪的牵连犯应数罪并罚④参见卢有学、卢钇熹:《一罪与数罪的区分维度:累进犯模型之提倡》,《学术交流》2020年第9期,第57—59页。。本文支持异种数罪牵连犯的数罪并罚说,理由主要是:第一,异种数罪的牵连行为在客观上该当数个互不重合的构成要件,本质就是数罪,从一重罪处断割裂了犯罪与刑罚的统一关系,相当于无条件免除了其余罪行的刑罚,可能导致罪刑不相适应。⑤参见庄劲:《罪数的理论与实务》,北京:中国人民公安大学出版社,2012年,第213—214页。第二,牵连犯与一般的数行为没有本质差别,即便不考虑牵连关系,也应数罪并罚。第三,异种数罪的牵连行为在主观上存在多个故意,不能视为整体的一目的,数罪并罚不会违反禁止重复评价原则。
综上,行为人主观上存在突破反爬技术壁垒与获取公民个人信息两个故意,并且客观上也实施了“突破”与“获取”两个侵害不同法益的犯罪行为,是异种数罪的牵连犯,应当数罪并罚。
四、结 语
数字经济时代下的网络爬虫既有其便捷之处,也成为犯罪分子利用的工具。滥用网络爬虫的行为可能以其手段不法侵害数据法益,也可能以内容不法、使用不法侵害传统法益。我国刑法虽然能够规制部分滥用网络爬虫犯罪,但仍存在不足之处,理论与实务对如何规制滥用网络爬虫这类新型网络犯罪还处于探索和完善阶段。秉持着数据在数字经济时代具有关键性地位的理念,刑法应当在规制滥用网络爬虫行为上实现数据保护与共享的平衡。
