张喆锐

一、问题提出:非法爬取著作权作品的犯罪判断标准亟待明晰

Web3.0时代的网络犯罪是以人工智能与大数据为特征的智能化科技犯罪。①刘艳红:《Web3.0时代网络犯罪的代际特征及刑法应对》,《环球法律评论》2020年第5期。这个时代里,数据不仅是企业的重要资产,也是国家的战略资源,②程啸:《论大数据时代的个人数据权利》,《中国社会科学》2018年第3期。各主体对数据信息的整合分析很大程度改变了以往人类对信息的认知方式与范围。“网络爬虫”作为基础的数据获取手段方式,在当下面临着诸多法律问题。现有研究大多在关于个人信息保护或侵害著作权罪的范畴下对网络爬虫的刑事可罚性予以讨论,③刘艳红:《网络爬虫行为的刑事规制研究》,《政治与法律》2019年第11期;杨志琼,《数据时代网络爬虫的刑法规制》,《比较法研究》2020年第4期。但爬取著作权作品行为有别于爬取个人信息行为,则“避风港”原则也并不能成为各网络平台的护身符,将其包容评价为侵害著作权罪有混淆评价对象的嫌疑。

其一,互联网著作权作品区别于个人信息及其他一般电子信息数据。需要明确的是,数据并不具有单独的意义,只有信息才是人所关注的东西,才是在法律上具有意义的对象。数据与日常生活中的符号并无二致,在早期人类赋予符号予意义,从而达到沟通的目的。如今,代码只不过是符号的电子化。对于代码所展示的信息,立法者基于不同的法律部门利益考虑对其予以保护。个人信息关涉人格尊严和人身财产权益,而著作权所保护的是人的创新与劳动成果。在获取规则上,著作权先于个人信息保护走在了前面。面对所保护的利益关系差异,以及著作权的赋权初衷,相比于强调消极不受干扰的个人信息保护,著作权所鼓励的是合法则的积极传播。因此,著作权作品相比于个人信息与一般电子信息数据具有独立意义。面对互联网的飞速发展,尤其是自媒体时代的到来,传统著作权保护也并没有做好准备。作为代表性的链接模式不断细化,通过网络爬虫获取著作权作品的规则亟待予以明晰。

其二,Robots协议作为行业协议的规范属性存疑。在数据爬取行为的认定上,针对网络爬虫而设置的Robots协议能否成为判断爬虫行为合法的规范标准尚无法得出定论。数据爬取行为不仅可能构成非法获取计算机信息系统数据罪,同时可能构成侵犯公民个人信息罪。根据《刑法》第253条之一的规定,将违背Robots协议获取公民个人信息的行为,认为属于“以其他方法获取公民个人信息”①刘艳红:《网络爬虫行为的刑事规制研究》,《政治与法律》2019年第11期。既符合情理也符合法理。然而,是否可以为实现刑法形式上的体系性,将非法获取计算机信息系统数据罪之“非法”与侵犯公民个人信息罪之“非法”作等同理解呢?若以Robots协议可以成为侵犯公民个人信息罪的违法性判断标准前提为由,将此直接作为本罪的前置法规范,则无视两罪构成要件上的差异性规定。若直接否认Robots协议的刑法规范效力,则又会使得行业规范缺乏强有力的刑法保障。至于该协议能否成为“非法性”判断标准还有待讨论,并非理所当然予以肯定。

其三,缺乏“非法性”的具体判断标准。一方面,爬虫行为所可能涉及的权益纷繁复杂。根据所爬取对象的不同,其背后所牵涉的法益存在巨大的差异性,进而需要在不同的部门法内对爬取行为进行考虑。虽然在法秩序统一层面确立一个同一的“非法”性判断标准存在理论上的可能性,但是,该标准必然是模糊的,不然难以将不同类型的法益侵害都概括规制在内。另一方面,数据权属问题并不是能一概而论予以解决的,其高度依赖场景,这意味着,对个人与企业数据权益的保护也必须采取场景化的保护方式。②丁晓冬:《数据到底属于谁?——从网络爬虫看平台数据权属与数据保护》,《华东政法大学学报》2019年第5期。基于数据权属问题之上的数据主体“授权”范围问题必须在具体情境下对“授权”认定范围进行界定。对于涉及爬虫行为“非法性”的判断,应当具象到个别情境中,根据具体法益的规范品质,予以针对性保护,确立类型化的“非法性”判断标准。根据最新出台的《个人信息保护法》,原则上处理普通个人信息应该取得个人的同意,在处理敏感个人信息时应当取得个人的单独同意。相比于此,在传统意义上获取并使用著作权作品往往采用“避风港”原则,可以初步发现在授权规则上,二者存在显著区别。因此,采取场景模式类型化判断本罪“非法”具有必要性。

是以,对本罪之“非法”予以明确,不仅对爬虫行为的正确定性具有重要意义,同时也能更好地促进健全知识产权保护制度。针对现有研究的不足,本文旨在对具体情境下使用网络爬虫获取互联网著作权作品行为非法性的判断进一步展开研究。首先,拟对非法获取计算机信息系统数据罪的“非法性”来源进行追溯,确定本罪的前置条款。其次,结合该前置条款,从数据类型与数据获取方式两个维度,对数据获取行为的正当性基础进行论述,提出数据主体对数据的授权同意是数据获取行为的正当化基础。最后,通过对涉及爬虫的109份裁判文书实证分析,提出具体情境下爬虫行为“非法性”认定的司法裁判标准。

二、非法获取作为著作权作品的计算机信息系统数据犯罪所涉前置规范认定

相比于自然犯,法定犯“行为是否侵害法益”是无法忽略的重要问题。①刘艳红:《“法益性的欠缺”与法定犯的出罪——以行政要素的双重限缩解释为路径》,《比较法研究》2019年第1期。与自然犯天然的反道德属性相比,法定犯的法益侵害性更难被证成。为了寻求法定犯“不法”之来源,必须在法定犯行政违法从属性的基础上,再进行前置法规范的确立。具体到非法获取计算机信息系统数据罪的认定过程中,也应当坚持行政违法判断先行的原则。

(一)Robots协议不能直接成为非法获取计算机信息系统数据罪的“非法性”来源根据

形式上看,无论Robots协议内容是否正当,都不能直接作为非法获取计算机信息系统数据罪的前置条款。如上所述,根据《刑法》第285条第2款、第96条以及2011年由最高人民法院颁布的《关于准确理解和适用刑法中“国家规定”的有关问题的通知》,本罪前置条款的制定主体应当是全国人大及其常委会或者是国务院,Robots协议作为行业规范不符合刑法对于本罪前置条款的规定。因此,违背Robots协议的爬取行为不能认定为本罪之“非法”。如前所述,有观点认为违反行业爬虫协议获取公民个人信息的行为,可以认定为侵犯公民个人信息罪之“非法”。在《反不正当竞争法》上具有违法性的行为,属于侵犯公民个人信息罪的“以其他方法非法获取公民个人信息”行为。但是,如此并不意味着在认定非法获取计算机信息系统数据罪时,也能采用侵犯公民个人信息罪的“非法”判断标准。如果为了片面地达成体系一致,是以牺牲罪刑法定原则为巨大代价,则更大程度地破坏了体系的一致性。因此,Robots协议不能成为非法获取计算机信息系统数据罪的前置违法判断规范。

实质上,内容正当的Robots协议可以成为辅助判断爬虫爬取数据行为正当与否的标准之一。正当的Robots协议代表了数据主体在合理权利行使范围内的意思表示,划定了数据的合理授权使用范围。作为公认的行业规范,Robots协议的效力应当被予以肯定。当数据主体过度地使用该项权利,在一定程度上已经与互联网的互联互通原则相违背时,应当对其权利予以限制。譬如,在“百度”与“奇虎360”不正当竞争案中,百度搜索引擎的Robots协议对360搜索引擎予以拒绝的行为,使得Robots的协议初衷无法得以实现,最终被认定构成“百度”对“360”构成不正当竞争行为。行业规则在一定程度上体现了诚实信用或者是商业道德原则,如果Robots协议过度滥用了这项权利,形成一定程度的数据垄断,与行业规则的内在品质相违背,此时的数据授权效力可以被质疑甚至否定。是以,Robots协议不能被不加质疑地作为划定数据授权范围的标准,“在不损害消费者利益、不损害公共利益、不损害竞争秩序的情况下,应当允许网站经营者通过Robots协议对其他网络机器人进行限制,这是网站经营者自主权的一种体现”。②北京市高级人民法院(2021)京民终281号民事判决书。

(二)明确以《网络安全法》为核心的前置法律规范体系

要确立网络爬虫爬取行为是否具有前置法上的违法性,首先应当对前置于刑法的法律规范予以明确。网络爬虫的合法性边界主要由法律规范中的禁止性规定构成,行政立法在其中起着举足轻重的作用。①苏宇:《网络爬虫的行政法规制》,《政法论坛》2021年第6期。由于涉及保护信息数据安全的法律以及行政法规数量较多,为方便获取计算机信息系统数据行为的违法性认定,以下将从数据获取行为本身与行为所针对的对象类型两个方面对所涉及的条款进行整理分析。

从获取计算机信息系统数据行为本身来看,所涉及最主要的法律或行政法规是全国人大常委会颁布的《网络安全法》。若要对获取计算机信息系统数据行为进行行政合法性认定,《网络安全法》是最为重要的衡量标准之一。在获取信息系统数据的问题上,《网络安全法》第12条的规定作为基础性条款,虽然对网络信息的流动有所涉及,但是其条文过于抽象,对于认定获取数据行为是否正当不具有指引功能,不能作为本罪的行政前置条款。除此,该法第27条对数据处理也有所规定。该条款不仅明确地禁止了非法侵入他人网络行为,同时还对其他非法干扰、窃取数据等行为予以了规定,与非法获取计算机信息系统数据罪的罪状相对应,为认定非法获取信息系统数据行为提供了前置法上的依据,违反该条款成为本罪的行政不法来源。因此,可以认为《网络安全法》第27条是本罪的行政前置条款。

在爬取著作权作品时,《著作权法》与《反不正当竞争法》可以作为辅助判断的前置规范。作为爬取对象的著作权作品,如附着信息网络传播权的原创视频,要对其进行获取,必然涉及对所保护利益的影响,则需根据信息背后所体现的法律关系进行法律规范适用。从对象物的角度而言,首当其冲的便是《著作权法》。比如,数据收集者C利用网络爬虫爬取了A在B平台上传的原创视频,由于视频是由A所创作,此时A对视频享有著作权,应当根据《著作权法》第10条、第52条进行判断C的数据爬取行为是否具有违法性。对于关涉著作权作品获取的单纯行为本身而言,数据爬取行为不仅可能直接违反《网络安全法》第27条,同时也可能违反《反不正当竞争法》进而间接获取违法性。在《著作权法》与《反不正当竞争法》之间的关系上,针对数据治理,应当走向多部门、多领域、多工具的协同治理。②陈兵:《保护与竞争:治理数据爬取行为的竞争法功能实现》,《政法论坛》2021年第6期。如“乐视”诉“字节跳动”一案中,乐视公司认为字节跳动公司实施的破坏反爬技术保护措施以及非法抓取电视剧的行为构成违背商业道德的不正当竞争行为。③北京市朝阳区人民法院(2017)京0105民初69425号民事判决书。申言之,违背上述法规范的爬取行为并不会直接获得本罪之前置违法性,而是间接违背《网络安全法》第27条,进而属于本罪之“非法”行为。

对于通过网络爬虫获取计算机信息系统数据行为的违法性的判断,应当结合行为与行为对象二者进行前置法律规范上的性质认定。其一,数据爬取行为只能发生在互联网中,因此,在判断爬取数据行为是否具有违法性时,应当将《网络安全法》作为前置法规优先进行适用。其二,爬虫所爬取的数据信息内容也将对行为违法性认定产生影响。以上两个方面共同构筑了数据爬取行为正当性的认定规则,若有其中之一违反了相应前置规范,整体爬取行为应当被认定是违法的;只有当二者共同符合了前置法规时,才能认定该爬取行为是合法的。

三、作为著作权作品的计算机信息系统数据获取正当性基础:有限授权获得与行为规范遵守

计算机信息系统数据获取行为的正当性认定是合理认定本罪的根本性前提,基于此,以下将从数据类型,即爬取行为指向的对象,与数据获取行为两方面展开,结合本罪的前置法律规范,论述认定获取网络著作权作品行为正当性的核心在于数据主体的知情同意。

(一)作为对象物的著作权作品获取正当性基础:有限授权获得

在行为规范结构中,行为对象背后所涉及的法律关系对于行为正当性的规范判断起至关重要的作用。譬如,盗窃他人财物由于侵犯他人对于物品的占有而可能构成盗窃罪,出于认识错误盗窃自身财物,可能因为法益性的阙如,具有违法性阻却事由。对于著作权作品而言,其背后所体现的当然为著作权,一种典型的知识产权。作为一项赋予知识性创作的权利,按照通常的理解,他人要想获得作品的使用权,首先必须获得权利人的授权许可。

虽然在创作过程中,先有的公共素材为著作权人的灵感与表达提供了重要的先在基础,但是著作权人的利益必须得到保护。《著作权法》第1条将保护创作者的合法权益与鼓励作品的创作和传播作为著作权保护的核心目的。其中,核心要素就是著作权作品获取与使用的授权条件与范围。只有在合理使用、法定许可或强制许可等著作权限制情形下,可以不经著作权人许可,直接使用作品。①张曼:《著作权法定许可制度研究》,厦门大学出版社2013年版,第31-32页。从自然法出发,作为财产权的著作权可以认为在实定法之前就已经存在,但正是实定法赋予了其得以实现的条件。因此,作为著作权制度的授权规则实际上是由立法机关进行综合考量得以确立的。在这当中,授权许可某种程度上更加作为一种交易成本被考虑。要求对所有作品的获取与使用都必须获得著作权人的许可,必然能最大限度地实现保护著作权人权益以及鼓励创新的目的。这在现在的网络时代是不现实的。我们以最大化保护创造力为名义,只会消除了个别艺术家或者让其他公司选择的可能性,面对与产权结构不一致的互联网世界,我们究竟该如何做出赌注?②Robert P.Merges,The Concept of Property in the Digital Era,Houston Law Review,2008,p.1274.不要忘了财产权制度是为了让人们过得更好而存在。因此,如何平衡著作权人、社会以及交易效率之间的关系成为一个棘手的问题,这个问题不可能在理论上得出一个普遍适用的解决答案,必然会是一个本土化的个别产物。因此,从判决出发寻求解决方案也许是一条值得考虑的路径。

(二)爬取著作权作品信息数据行为正当性基础:行为规范遵守

使用爬虫软件获取著作权作品的行为是否正当,除考虑其背后的权益属性外,是否采取合法合理的行为方式进行获取数据也至关重要。行为方式合法与否,应当严格依据预先设立的行为规范进行判断。是故,此处应当以《网络安全法》《反不正当竞争法》为核心对行为方式的合法性进行认定。前者是网络世界秩序得以建立的基本性法律,后者是用以保护市场公平竞争的基本性规范,结合网络爬虫程序使用的情境与特色,以上述两部法律作为行为合法性认定的基本根据。以下,根据实践中网络爬虫的适用情况,以是否突破技术保护措施为标准,对不同情形下网络爬虫使用方式的合法性认定展开讨论。

1.未突破技术保护措施方式爬取数据

使用网络爬虫进行数据爬取时,通常会面对以下三种情况:第一,对方在网站内设置反爬虫程序,爬取数据请求遭到拒绝;第二,对方在网站根目录下设置了Robots.txt,提示网络爬虫哪些数据信息不可被爬取(情形A);第三,所爬取的信息为完全公开透明信息(情形B)。在上述三种情况中,后两种情况属于以未突破技术保护措施方式获取数据,除此之外,还有一种行为方式应当纳入考虑,即事先获取数据主体许可进入网站平台,但超越权限获取权限许可外数据信息的(情形C)。以上四种情况构成了此处所指的行为模式。

那么,情形A中的数据获取行为是否具有正当性?核心在于界定Robots.txt的效力范围。值得注意的是,中国互联网协会于2012年11月颁布实施的《互联网搜索引擎服务自律公约》对爬虫协议进行了相应的规定。签约仪式上,包括百度公司、奇虎公司在内的国内12家搜索引擎服务企业现场签订了该公约。①杨华权、曲三强:《论爬虫协议的法律性质》,《法律适用》2013年第4期。其确定了Robots协议行业惯例与商业规则之地位,形成不正当竞争的Robots.txt则被排除在外。进一步的问题是,违背行业惯例的数据爬取行为是否违反具体法规范?根据《网络安全法》第27条规定:“任何个人和组织不得从事非法侵入他人网络……等危害网络安全的活动。”此处的“非法”是否应当与刑法中的“非法”作同一理解呢?首先,刑法中的“非法”应当根据《刑法》第96条之规定进行解释,而《网络安全法》中不存在与《刑法》第96条相类似的条款;其次,《网络安全法》第27条中的“非法”应当结合该法的总则进行体系解释。对于网络运营者来说,作为网络服务的提供者,行业惯例是其重要的行为规范之一。行业惯例是行业内所公认的行为规则,不按照行业规范进行行为,是不遵守商业道德的体现。不遵守商业道德的行为也同时触犯了《反不正当竞争法》第2条的原则性规定。对于个人和组织来说,若要进入行业领域进行行为,譬如编写网络爬虫程序进行数据抓取,行业惯例则意味着该领域的公共秩序,个人和组织也应当予以遵守。故此,若不遵守Robots协议进行获取计算机信息系统数据,则会违反《网络安全法》第9、11、12条进而具有前置违法性。

情形C中的获取数据行为是否具有正当性呢?显然,该获取数据行为也是违法行为。超越授权的行为本质上是一种未经授权行为,而未经授权获取对数据的占有则是一种窃取行为,符合《网络安全法》第27条之规定。其次,对于存在竞争关系的对象来说,窃取数据行为是违背自愿、平等、公平、诚信原则的行为,该行为违反了《反不正当竞争法》第2条总则性规定;如果窃取的数据具有商业秘密的属性,还同时触犯了《反不正当竞争法》第9条第1款之规定。相比于前者,情形B的结论则是显而易见的。由于数据主体并未设置任何的反爬虫措施,可以推定数据主体在互联网中让渡了这部分数据获取权限,仅从行为方式角度来看,该获取数据行为是经过授权的正当行为。

2.突破技术保护措施方式爬取数据

突破技术保护措施的行为方式是指以绕开或强行突破反爬虫技术措施而进入数据主体互联网站进行爬取数据的行为。如果对数据主体的授权同意程度进行划分,分别从将数据完全透明公开上传于互联网络、在网站根目录中设置了Robots协议到在网站中设置了反爬虫措施呈逐步减少趋势。使用网络爬虫爬取数据越困难,则意味着数据主体对外授权程度越低。设置了反爬虫措施,则意味着除非获得数据主体的明示同意许可,才可以获取数据,否则就是对数据主体意思自治的破坏。故此,以破坏技术保护措施方式获取数据的行为无疑具有违法性质。

综上所述,是否获得数据主体的授权成为使用网络爬虫获取计算机信息系统数据行为是否正当的认定关键。从数据本身,一般情况下未获得数据主体的知情同意,均属于违背意志的数据获取,属于“窃取网络数据”行为。未获得授权的数据获取行为,要么因违背商业道德等原则而违反《反不正当竞争法》,具有不正当性,要么直接破解他人技术保护措施,均属于“非法侵入他人网络”行为。违背数据主体意志,进而违反《著作权法》《反不正当竞争法》构成《网络安全法》上的违法行为,获得数据主体的授权是数据爬取主体进行数据收集的前提。申言之,授权范围的认定成为关乎该行为正当性与否的核心要素。

四、具体情境下“非法性”的认定标准:基于109份爬取著作权作品判决的分析

为对有限授权获得与行为规范遵守标准进行司法裁判上的具体画像,从而形成具有本土特色的司法认定标准,本文选取了109份与网络爬虫相关的判决进行类型化提炼分析。由于判决数量较多,对同一类型判决仅选取具有代表性案例进行类型化分析。

(一)法益视角:针对著作权侵权“非法性”认定的司法裁判标准

在著作权领域,获取计算机信息系统数据行为的正当性认定具有特殊性。为保护作者的著作权以及与著作权有关的权益,《著作权法》更强调对于使用行为的规制。相比于著作权作品的获得,对作品的使用更加容易导致对著作权人利益的侵害。在《著作权法》规定的各项财产权利中,每一种权利所调整的行为都涉及对作品的使用。①参见北京知识产权法院(2016)京73民终143号民事判决书。未经授权擅自使用他人作品并对著作权人合法利益造成侵害,违法所得数额较大或者有其他严重情节的,应当以侵犯著作权罪论处,而非以非法获取计算机信息系统数据罪定罪量刑。对新兴媒体而言,大体上具有事前管理义务、事中配合义务以及事后制止义务。②梅术文:《新兴媒体著作权法律义务的体系建构》,《苏州大学学报》(法学版)2021年第1期。于本罪而言,最需要关注的是事前管理义务,即在何种情形下以及多大程度上需要获得著作权。具体应当如何划定该授权范围,即如何根据不同情形设立不同的授权获取数据规则,则在以下案例中展开论述。

最具代表性的就是运用网络爬虫进行设链的情形。在对作品进行信息网络传播过程中,大多数的平台或者个人都是以链接的方式进行传播,包括全网搜索链接与定向搜索链接。选择不同的搜索链接方式,需承担的义务也随之不同。相比于定向搜索链接,全网搜索链接无法事先预知所抓取的网站。对于全网搜索链接,司法实践中往往对于爬虫使用者课以相对较低的注意义务。在“卓易”诉“迅雷”案中,法院对卓易公司适用了“避风港”原则,否认了卓易公司应对其提供的一切非法链接具有审查义务。法院提到,并不能因为搜索引擎所提供的是非法链接,因此获利就应当承担侵权责任,这实际上已经突破了“避风港”原则。同时,也不能以现在对快播软件的认知去推定当时的快播软件具有非法性质,而要求卓易公司负有较高审查义务。③参见北京知识产权法院(2016)京73民终201号民事判决书。可见,对于提供全网搜索链接服务的网络经营者,不得对其课以较高义务,只需获得著作权人的默示授权即可。

司法实践中,定向链接服务提供者往往对所链网站负有较高审查义务。其在工作时会预先对抓取链接的网站范围进行限定和选择,其最终的搜索结果仅来自于几个网站,搜索结果不会包括未选择的任何其他网站。④参见北京知识产权法院(2016)京73民终201号民事判决书。定向链接体现了设链者自身的主观意图和对被链网站的选择,也因此要求网络服务提供者对被链网站是否侵权承担高于全网搜索服务提供者的注意义务。①参见上海市闵行区人民法院(2015)闵民三(知)初字第1433号民事判决书。然而,定向搜索服务提供者所承担的注意义务应当如何提高,提高到什么程度则不可一概而论。

当定向链接所指向的是著作权人时,对于搜索服务提供者所科以的义务是审查所爬取作品是否获得授权。由于链接行为本质上并不涉及对任何数据形式的传播,只是提供了一个地址。用户是否可以获得作品以及在什么时间可以获得作品均取决于被链接网站。②参见北京知识产权法院(2016)京73民终143号民事判决书。只有在链接到第三方平台时,才具有审查来源合法的意义。因此,当定向链接至著作权人时,无须获得明示授权。

当定向链接所指向的是合法获得授权的第三方平台,但该平台违背与著作权人的合同约定,未设立相应禁链措施时,应当认定搜索服务提供者已获得授权,已履行了相应的注意义务,并不具有违法性。此时,“只能通过合同法进行救济,绝不能因合同中有此约定就认定其应属于著作权法所保护的权利。否则,将意味着著作权的权利可以依据合同设立,这显然与权利法定的原则相违背”。③参见北京知识产权法院(2016)京73民终143号民事判决书。此种情况下,对于未设相应保护措施的被链网站的审查义务,限于获得被链网站的授权即可。这种授权介于明示授权与默示授权之间,对于专业从事平台经营的服务者,未在网站内设置保护措施,则可以视为一种类明示授权。

当定向链接所链接的网站并非获得合法授权的,则负有最高审查义务,若要获得作品,则应当以获得著作权人的明示授权为准。尤其是当被链网站并非受众范围广的知名网站时,应当具有更高的谨慎和注意义务。④参见泰安市中级人民法院(2021)鲁09民终1590号民事判决书。在未经著作权人授权的情形下,虽然被链接网站允许并鼓励链接,但是毒树之果亦有毒,链接服务提供者并不能从非法事物中获得合法性,只能在违法上连带。因此,“当明知或应知被链网站存在侵害涉案作品的信息网络传播权的行为,仍提供搜索链接服务,构成对侵害涉案作品信息网络传播权的帮助侵权行为”。⑤参见天津市高级人民法院(2021)津民终847号民事判决书。

(二)行为视角:侵入计算机信息系统型非法爬取行为的司法裁判标准

根据刑法对本罪的规定,侵入计算机信息系统的行为,同样对数据获取行为的正当性认定产生影响。其中,最具代表性的问题就是违背Robots协议与突破技术保护措施对行为正当性的影响。如果经营者在网站内未设立Robots协议,则视为允许他人对站内数据进行爬取。例如,在乐视与字节跳动不正当竞争纠纷一案中,法院认为在案证据不能证明乐视网公司在其域名为“m.le.com”网站中设置了爬虫协议,因此,对主张字节跳动公司构成不正当竞争的诉求不予支持。⑥参见北京市朝阳区人民法院(2017)京0105民初69425号民事判决书。因此,以下将对明显违背经营者同意的情形进行论述。

1.对违背Robots协议进行数据爬取的性质认定

违背Robots协议进行爬取数据的行为是否当然具有违法性呢?在“百度”诉“奇虎360”案件中,一审法院作出认定,奇虎公司在推出其360搜索引擎伊始没有遵守百度公司网站的Robots协议的行为明显不当,在《搜索引擎公约》签订之前,奇虎公司对百度内容相关网页的抓取构成不正当竞争。⑦参见北京市第一中级人民法院(2013)一中民初字第2668号民事判决书。尽管后续的判决认定百度公司滥用Robots协议,同等条件下允许境外搜索引擎对其数据信息进行爬取,却限制打击360搜索引擎,因而认定百度公司对奇虎公司构成不正当竞争。①参见北京市高级人民法院(2017)京民终487号民事判决书。然而,这是由于百度公司所编写的Robots协议不具有合理性,并非否认违背Robots协议进行爬取数据的行为具有违法性。由于Robots协议是经营者的自由意志体现,而且Robots协议的语法规则是为了促进交流,以同意他人抓取为原则,不同意为例外。对于不允许他人爬取的部分,是需要用“Disallow:”语句说明的。②参见北京市高级人民法院(2017)京民终487号民事判决书。由此可见,Robots协议所不允许他人爬取的数据信息明确表明了数据主体的意思态度。为保证网站内数据的安全,同时考虑到Robots协议作为行业惯例应当在领域内具有效力,应当将违背Robots协议进行爬取数据的行为视为《网络安全法》第27条所规定的非法侵入他人网络并窃取数据的行为。

2.对突破技术保护措施进行数据爬取的性质认定

如果说Robots协议是经营者对数据保护的态度,那么技术保护措施的设立则最大程度体现了这种态度。不管是强行突破还是绕开技术保护措施,都必然地具有违法性。在谷米公司与元光公司一案中,被告元光公司通过不断更换爬虫软件程序内的IP地址,将“酷米客”APP客户端的加密系统予以攻破,大量获取原告服务器中的公交车实时数据。最后,法院认为“被告元光公司……为一种‘不劳而获’‘食人而肥’的行为……违反诚实信用原则,扰乱了竞争秩序,构成不正当竞争行为”。③参见广东省深圳市中级人民法院(2017)粤03民初822号民事判决书。在赵海畅非法获取计算机信息系统数据一案中,虽然音悦台公司并未对所有数据都设置爬虫协议,但对APP进行了层层加密,赵海畅作为曾经“音悦台”APP的开发人员,利用熟知情况对平台数据进行调取和使用,其未经授权的获取行为构成本罪。④参见北京市朝阳区人民法院(2020)京0105刑初1289号刑事判决书。在呙某某非法获取计算机信息系统数据案中,其通过SQL注入漏洞以及编写爬虫脚本的方式,违反国家规定,侵入他人计算机信息系统获取数据,其行为也构成本罪。⑤参见山东省青岛市中级人民法院(2020)鲁02刑终108号刑事判决书。

五、结 语

Web3.0时代已开启10年,这10年来新型网络犯罪手段方式层出不穷,迭代更新。但这并不意味着网络犯罪的迅猛发展告一段落,反而更像是一场更大“风雨”来临的前奏。由网络技术所带来的传统刑法理论与新问题之间的关系问题,仍然是当下时代发展所应处理好的五种关系之一。⑥刘艳红:《刑法理论因应时代发展需处理好五种关系》,《东方法学》2020年第2期。面对网络世界中天量的数据信息,如何确立数据获取规则,对数据产业的发展至关重要。对于数据爬取行为,应当以《网络安全法》第27条为前置核心规范,以《著作权法》《反不正当竞争法》为前置辅助规范,结合后者可以为前者的判断提供其他法律部门视野,更好地实现法秩序统一性。为此,应当在数据共享与主体具体权益、公共网络秩序之间进行类型化利益衡量,坚持以数据主体的知情同意为不可动摇的行为正当性基础,针对不同情形对数据主体的授权标准采取具体类型化认定,从而构建更加有序的网络秩序与生态。