恶意数据爬取犯罪的类型区分与治理模式
2022-03-11李灿
李 灿
一、引言
信息网络时代的快速发展对刑法理论的冲击不容忽视,数据安全已经成为各国和地区的共识,而数据的保护与治理成为上述问题的核心与关键。以北京市海淀区人民法院判处全国首例利用网络爬虫恶意数据爬取刑事案件为标志,数据爬取行为进入刑事治理的轨道。数据爬取技术在作为互联网数据收集重要方式的同时,相伴而生的犯罪问题同样需要认真对待。网络爬虫(又被称为网页蜘蛛、网络机器人),是一种按照一定的规则,自动地抓取万维网信息的程序或者脚本。互联网数据的获取往往依赖于网络爬虫的自动搜索与爬取数据技术,但是网络爬虫技术面临被使用者滥用而违法犯罪的风险。如何确定数据爬取的合法界限,有效惩治恶意使用数据爬取技术所引发的犯罪,已经成为国家、网络产业和社会公众面临的重大发展命题。实践是理论的一面镜子,法学理论必须直面司法实践中出现的新型问题并作出有效回应。目前刑法学界,以刘艳红、杨志琼等学者为代表,对数据爬取犯罪侵犯的法益、是否构成侵犯公民个人信息罪、破坏计算机信息系统罪等具体个罪进行了微观层面的分析探讨。从宏观层面而言,劳东燕、张勇等学者对于个人数据的刑法保护模式、数据安全分级刑法保护等问题展开了探讨。但是,从中观层面,聚焦数据爬取犯罪本身的特征,系统研究如何进行治理的成果相对缺乏。有鉴于此,笔者通过对司法实践中涉网络爬虫爬取数据行为的刑事案件进行系统分析、类型化解构,以期更好把握数据爬取犯罪的整体特征和深层原因,从而为恶意数据爬取犯罪的治理提供指引,以期对数据产业的健康发展有所裨益。
二、恶意数据爬取犯罪的司法样态
本文研究的恶意数据爬取犯罪是行为人违反相应的授权协议,或者超越授权协议的范围,非法获取数据并加以不当使用构成刑事犯罪的行为。为更好地了解恶意数据爬取犯罪在司法实践中的样态,笔者将总体61件裁判样本案件按照发生时间、地域、罪名等方面梳理如下:
一是案件数量逐渐呈现高速增长态势。案件数量按照时间顺序分布情况如下:2013年1件、2014年1件、2015年2件、到2016年1件、2017年2件、2018年11件、2019年16件、2020年24件、2021年(截止到2021年5月4日)3件。2017年之前,恶意数据爬取犯罪案件数量增长呈现较为平缓的趋势,偶尔出现零星案件,而在2017年之后,案件数量逐渐呈现出高速增长态势。随着网络犯罪侦查技术的增强,以及司法实务界的高度重视,可以预见,在今后数据爬取技术的应用与发展过程中,因恶意使用数据爬取技术导致的网络侵害案件也逐渐进入高发期。检索中发现,自2013年至2021年涉及爬虫技术滥用的民事案件数量高达449件,也表明网络爬虫技术滥用涉嫌违法案件数量激增的趋势。总体来看,目前恶意数据爬取刑事犯罪的案件数量不高,一方面显示出司法机关对待此类犯罪审慎克制的态度,凸显刑法作为最后保障法的原则;另一方面也从侧面表明数据爬取犯罪的案件由于犯罪黑数未被查处,还有部分案件由于被认定为其他类型的案件,未纳入数据爬取犯罪的范畴。
二是案件发生地域分布不均衡。案件数量按照地域分布情况如下:江苏省9件,浙江省8件,上海市6件,四川省、北京市、山东省、湖南省各5件,广东省4件,重庆市、福建省、陕西省、湖北省各 2件,吉林省、江西省、安徽省、甘肃省、河南省、天津市各1件。从中可以看出,样本案件发生地在全国呈现出不均衡的状态,发生恶意爬取犯罪案件的省市总数量接近全国总数量一半,由于网络犯罪并无地域限制,治理恶意数据爬取犯罪逐渐成为全国需要共同关注应对的难题。数据爬取的案件发生地与所在地经济发展程度并无线性相关,但在互联网金融商业繁荣的长三角地区等区域数据爬取犯罪案件相对多发,线上线下相结合的互联网商业模式产生的海量数据,多以手机端 App作为场景化地存储应用,为恶意数据爬取犯罪提供了一定的犯罪场景。
三是罪名集中于侵犯个人数据安全。从罪名分布情况来看,样本案件中恶意数据爬取行为共触犯9类罪名,其中侵犯公民个人信息罪(20件)最多,其次是诈骗罪(7件)、非法获取计算机信息系统数据罪(7件)、传播淫秽物品罪(7件)、侵犯著作权罪(6件),构成其他罪名的案件数量相对较少。恶意数据爬取犯罪呈现出较为多样的罪名形态分布,侧面反映出恶意数据爬取犯罪具有手段多样性、侵犯法益复杂性等特征,不仅侵犯公民个人信息安全、扰乱计算机信息系统正常运行,还包括扰乱国家事务网站正常访问。滥用数据爬虫面临多重风险,不仅在技术上可能由于爬取数据过多过快造成服务器瘫痪,同时也可能在非法侵入信息系统、获取数据,超越权限访问等不同阶段触犯不同罪名。司法实践中针对不同类型的数据爬取犯罪案件定性不一,表明此类案件的法律适用存在困难。随着司法审判经验逐渐累积,相较于初期判决,数据爬取犯罪的刑事判决说理更为充分。恶意数据爬取犯罪根据不同的内容可以分为爬取普通型数据、内容型数据、具有可识别性的数据等三种模式。
(一)爬取普通型数据犯罪
爬取的普通数据是相对于具有内容型与可识别性而言的,并非仅仅是具有物理意义的普通数据。爬取普通数据数量较为庞大,涉及面较为广泛,一旦数据泄露,造成的法益侵害难以恢复。如果破坏、侵入政府、商业平台运行的计算机信息系统,不仅造成网络瘫痪不能正常访问,还会造成政府信用权威在一定程度上的削弱、网络平台用户满意度降低、用户流失等诸多负面影响。样本案件中爬取普通型数据的犯罪模式通常有三种(见表 1)。
表1 爬取普通型数据犯罪〔4〕参见(2014)杭余刑初字第1231号刑事判决书;(2014)浙江杭刑终字第97号刑事判决书;天津市南开区人民法院(2017)津0104刑初740号刑事判决书;天津市第一中级人民法院(2018)津01刑终300号刑事裁定书。广东省深圳市南山区人民法院(2019)粤0305刑初193号刑事判决书;上海市徐汇区人民法院(2020)沪0104刑初731号刑事判决书;四川省德昌县人民法院(2018)川3424刑初169号刑事判决书;江苏省镇江市京口区人民法院(2020)苏1102刑初322号刑事判决书。
(二)爬取内容型数据犯罪
“由于数据与知识产权的‘无形财产’具有天然契合性,以数字代码形式储存、利用、传输,因而几乎所有的网络知识产权都可以被网络爬虫抓取。”如果行为人以营利为目的,未经著作权人许可,复制发行通过网络爬虫程序抓取获得的文字作品,情节严重的,将会构成侵犯著作权罪。由于侵犯的数据类型不同,此种情况下是一种目标性犯罪类型,通过爬取视频、小说等可以在著作权上认定的作品,再通过会员充值、广告招租、吸引流量进行牟利,通过爬取淫秽物品并加以传播牟利本质上也属于此种模式。在侵犯著作权罪中,恶意数据爬取的行为模式通常是:以营利为目的+未经授权爬取数据(内容载体为视频、小说、链接)+设置广告流量获利,具体情形包括三类:第一类爬取的数据内容属于具有知识产权的视频;第二类爬取的数据内容属于小说等文字作品;第三类爬取淫秽、涉恐等非法视频(见表 2)。其中,淫秽、涉恐视频都属于非法的视频内容,与上述爬取视频文字内容数据犯罪行为模式具有一定的相似性。例如,被告人尹某某在自己经营的网站上利用“爬虫”技术抓取含有淫秽电子信息的磁力链接,以提供淫秽电子信息链接的方式提高网站知名度,卖出网站从中牟利。实践中,以爬取方式传播淫秽物品案件数量较多,但通过爬虫软件宣扬恐怖主义同样不可忽视,由于爬虫软件无法识别爬取软件是否合法,被告人放任恐怖主义信息和淫秽物品在网上传播,如不及时删除,会造成严重危害。
表2 爬取内容型数据犯罪
(三)爬取具有可识别性数据型犯罪
大数据时代,公民个人信息大多数已经以电子数据的方式存储在计算机信息网络中。个人信息由于具有可识别性的特征,在互联网黑色产业中,通过恶意爬取的公民个人信息已经成为网络犯罪的上游犯罪行为,成为滥用网络爬虫技术的重灾区。在利用网络爬虫技术实施的侵犯公民个人信息刑事案件中,人民法院认定成立犯罪的行为模式多样化(见表3)。具体而言,第一,被告人研发并运营具有付费查询公民个人借贷信息、身份证照片信息等功能的“黑爬虫”网站,并以此谋取非法利益。第二,被告人通过爬虫程序下载含有公民姓名和电话号码的工商个体户和单位资料进行贩卖,并以此谋取非法利益。第三,被告人通过爬虫程序窃取App及网站的用户信息后出售,并以此谋取非法利益。第四,被告人通过被告公司进行公民个人信息修复非法交易。第五,为谋取非法利益,被告人合谋开发具有付费查询获取“同信缘”等多家小额贷款平台内公民个人借贷信息、身份证照片信息等功能的“黑爬虫”网站,由被告人负责组织开发、维护该网站并对外经营。第六,被告人通过技术手段非法侵入京东商城“WIS旗舰店”等商户的账户维护后台,窃取公民交易类个人信息予以售卖并获利。第七,被告人利用其在公司实习之机,未经网络运营者及用户同意许可,搜集大量公民个人信息,包括手机号码+访问时间+用户网页浏览记录,内容涉及全国多省市有关金融、股票、房产、贷款、保险等方面的用户手机号码。第八,被告单位通过爬虫组与数据组分工负责,爬取电商的评论、商品价格、商品详细情况、销量,爬取微博的内容、关注关系、注册基本信息,爬取招聘网站的公司招聘信息、注册信息等。
表3 爬取具有可识别数据的类型
(四)爬取数据构成的关联型犯罪
滥用网络爬虫技术,不仅可以构成非法获取数据类的犯罪,同样可以成为实施其他犯罪重要的手段,与其他犯罪形成相关联的上下游犯罪。由于其具有一定的特殊性,而且没办法归入到上述某一类型模式中,有必要单独列出加以研究。初步梳理样本案件中可以构成关联型犯罪的模式如表4所示。
表4 数据爬取行为构成关联型犯罪〔18〕参见(2019)苏0111刑初832号刑事判决书、(2019)沪0113刑初2565号刑事判决书、(2019)甘0402刑初96号刑事判决书、(2018)鲁1721刑初79号刑事判决书、(2019)浙0602刑初636号刑事判决书。
由此可见,恶意数据爬取犯罪除具有传统网络犯罪的特征外,还具有自身特征:一是数据爬取犯罪具有“产业化”特征。爬虫软件的来源广泛,很多案件中作为犯罪工具使用的爬虫程序,要么是单位犯罪中程序员专门写代码设计出来,通过有组织、有分工的模式进行数据爬取恶意使用,或者是个人通过自行编写程序脚本进行。从这一点不难发现,爬虫技术已经逐渐平民化,网络上不仅充斥低廉的爬虫技术入门教程,也有专业技术公司通过贩卖爬虫技术软件来获利,从而使得数据爬取等互联网灰黑产业逐渐形成完整的产业链。二是恶意数据爬取犯罪所侵犯目标对象不特定。侵犯的对象不仅有国家事务、国防建设和尖端技术的计算机信息系统,也有普通商用民用的计算机信息系统,而更多的是以手机App等较为普遍的载体,凸显出滥用爬虫技术侵害对象的广泛性。三是爬取数据易造成关联违法犯罪行为。数据爬取不仅容易造成海量的数据信息泄露、滥用,而且也容易造成被害人的财产损失,违法所得数额一般特别巨大,情节严重。尤其是在作为形成产业链的灰黑产业中,爬虫软件爬取的数据往往作为一种犯罪的工具和手段,如在表4中的第二种情况下,行为人利用爬虫软件获取店铺信息进行精准诈骗。此种行为危害程度较一般网络诈骗危害更大,不仅易于得手,而且极易破坏互联网经营秩序,由于容易获得相应数据、犯罪成本低廉,导致关联犯罪的预防与惩治难度进一步加大。因此,有必要针对爬虫技术的相应特点进行数据的保护与治理。
三、恶意数据爬取犯罪治理的现实困境
恶意数据爬取犯罪相较于传统网络犯罪,面临更高的技术异化风险,需要统合不同的法律规范、整合数据治理流转的技术规则。因此,需要探究数据爬取犯罪发生独特的原因,分析恶意数据爬取犯罪治理的现实困境,寻找治理恶意数据爬取犯罪的科学之道。
(一)数据爬取犯罪生成模式特殊
犯罪生成模式即犯罪产生的原因,目前对于恶意数据犯罪的生成模式研究较为匮乏,往往是涵盖在网络犯罪中笼统加以考察。梳理样本案件发现,恶意数据爬取犯罪具有以下特征:其一,数据爬取犯罪具有广泛性。随着互联网应用场景和互联网技术的普及,产生大量的数据,之前网络知识作为犯罪工具,而现在网络成为犯罪场所,数据无处不在,因此任何环节都可能产生犯罪。无论是录入诸如居住证等原始的个人数据,还是作为消费者产生的电商评论等二次数据,伴随着网络迭代演变,数据爬取犯罪的产生场景更加多样化。其二,数据爬取犯罪的成本低。新型技术的发展过程中,往往呈现平民化的趋势,网络爬虫技术随着互联网平台推广逐渐平民化,由于网络平台出售各类网络爬取技术的课程,导致了网络爬取技术获取途径方便快捷,从而降低了爬虫技术的门槛,普通网民也较易掌握。网络爬虫技术结合自动化算法可以实现巨大的技术优势,不仅可以精准抓取网站页面数据,还可以对搜集的数据进行动态整合。由此导致潜在的数据犯罪人大大增加,犯罪治理难度进一步加大。其三,数据爬取犯罪的非法谋取财产目的。数据公开化的时代,个人信息处于“裸奔”状态,时刻面临着被滥用的危险。生活中无论是手机应用,或是线下游玩住宿等实体消费,无法完全回避提供个人信息以获取一些服务。还有部分隐形的数据存储于公司内部缺乏有效监管,由于正是个人信息的暴露,导致犯罪人实施数据犯罪的成本极低,而通过数据犯罪谋取的非法利益极为丰厚,但无论是通过侵入网站获取个人信息牟利,还是窃取其他商业网站的数据、干扰其他网站的正常流量、侵害其他商业竞争体的利益,本质上都是为谋取不正当经济利益。
(二)数据爬取犯罪查处定性困难
一是数据爬取犯罪具有隐蔽性。一方面由于网络的虚拟性,导致网络犯罪难以被发觉,无形的电子数据和信息本身难以被监测和侦查,而犯罪分子入侵后往往会抹掉自己的入侵记录,这无疑加大了数据爬取犯罪的隐蔽性。另一方面是即使到了案件侦破环节,也会在证据提取方面遇到较大障碍。尤其是在恶意违法爬取具有著作权的文字作品案件中,行为人往往案发前对涉嫌违法侵权的书籍下架删除,导致固定犯罪证据较为困难。由于侵权周期长,即使被查出,对于犯罪数额情节的准确认定也存在较大困难。
二是数据犯罪具有跨国、跨区域的特征。由于互联网的虚拟性、非接触性,导致数据爬取犯罪呈现跨国、跨区域性的特征,行为人一般通过租用国外服务器进行缓存爬取数据,查处难度进一步加大。网络犯罪团伙采取了公司化运作方式和管理架构,犯罪分子之间前后勾连,形成规模庞大的灰黑产业链。侵犯公民个人信息犯罪的案件中,尽管实施犯罪主体并非公司员工,但公司员工充当“内鬼”通过向行为人出租公司的账号密码,而行为人通过此种方式进行登录快递公司内部网站获取大量个人信息进行出售获利,而被出售的信息被行为人利用来勾结境外人员实施精准电信网络诈骗。即使犯罪案件得以发现,如何进行跨区域抓捕犯罪嫌疑人也成为实践中的一大困境。因此,网络犯罪的国际合作显得十分必要。
三是数据爬取犯罪司法定性难。实践中存在诉判不一、罪名界限模糊的情况,如在一起案件中,检方以提供侵入、非法控制计算机信息系统程序、工具罪起诉,最后法院认定非法获取计算机信息系统数据罪。法院的理由在于被告人违反《网络安全法》第27条的规定,在用户不知情,且未经百度网站授权的情况下,利用“探索云盘搜索”的插件自动抓取用户存储于百度网盘的分享链接的地址和提取码,将该信息收录于自己研发的网站上用于牟利,其犯罪数额已达情节特别严重,被告人的行为均已构成非法获取计算机信息系统数据罪。法院更倾向认为被告人的行为并非仅仅提供非法入侵工具,更有非法获取的实质行为。也有学者指出,非法获取计算机信息系统数据罪呈现出一定程度的“口袋化”倾向。除此之外,数据爬取行为本身还可能涉及其他犯罪行为,因此数据爬取犯罪的罪数判断存有争议,主张数罪并罚的观点有之,主张从一重罪处断亦有之。
(三)治理数据爬取犯罪的法律体系有待完善
一是前置法规制力度不足。除面临刑法规制之外,滥用网络爬虫的技术案件同样面临民事违法的巨大风险,如涉嫌构成著作权侵权、不正当竞争等法律责任。在“大众点评网诉爱帮网”一案中,尽管经过多轮诉讼,法院最终认定爱帮网构成不正当竞争,并赔偿经济损失50万元。从大数据案例所反映出来的纠纷产生的原因以及大数据动作路径来看,坚持以不正当竞争来规范大数据市场秩序也存在一定的局限性,从赔偿的数额来看,远远不构成对相关技术的规制。
二是数据的法律定义存在多样化的矛盾。数据有可能是作为商业秘密,也有可能认定作为独创性的作品,还有可能作为个人信息的内容。《数据安全法》中认为数据是指任何以电子或者其他方式对信息的记录。上述宽泛的表述凸显出数据定义的难度。目前对于何为数据并未有清晰一致的定义,也导致了数据本身的内涵边界模糊。《数据安全法》中明确了数据的分级保护制度以及违法责任承担等,《个人信息保护法》仅对个人数据进行规范,这些法律对于数据的保护不够周全。另外,对于数据更具体的技术规范指引还有待完善,《App违法违规收集使用个人信息行为认定方法》《信息安全技术个人信息安全规范》《数据安全管理办法》《个人信息出境安全评估办法》等前端数据治理规则在恶意数据爬取犯罪治理中的作用未能凸显。
三是数据的权属认定规则缺失。数据权属的认定则成为数据治理中的关键问题,由于目前对于数据权属的认定还处于争论之中。数据的归属由于授权的性质不同也存在不同的内涵,就个人数据而言,个人信息数据权利具有多权利、多主体的特征,不仅涉及个人信息数据的所有权、使用权、人格权、财产权等方面,同时也涉及信息处理过程中的信息主体、使用主体、监管主体等。原则上应该建立如下规则:按照对于未经用户同意授权的数据归属于个人,而对于授权网络平台,但未经授权对外开放的数据,属于个人与网络平台共同所有。
四、恶意数据爬取犯罪治理的完善进路
(一)明确数据复合法益依法治理
大多数学者主张数据权应作为刑法上值得保护的法益,“大数据时代的洪流之下,法律应当将数据权作为一个独立的新兴法益”。对于数据的法益定位,有观点认为,应当以数据的保密性、完整性、可用性需求组成的数据安全法益成为数据犯罪的独立保护法益。也有观点主张以数据的专门化与财产化二元保护的格局统摄安全法益和财产法益,从而保护数据法益。对于数据的法律定位,并未有一致的看法。关于数据爬取涉嫌的刑法规制的罪名集中于《刑法》分则第六章之中,总体上是将数据作为一种传统的法益类型加以保护。笔者认为,数据内涵丰富,具有数据安全、经济价值等复合法益特征。在互联网信息安全日益重要的当下,以数据为核心的网络安全已经得到重视,《网络安全法》《数据安全法》也确认了数据安全的法益内涵。实践发生的案件中,行为人通过侵入居住证管理系统、交警管理系统等国家事务机关计算机信息系统爬取数据,凸显了刑法保护数据安全法益的重要性。同时,我们不应否认数据作为民事客体应当具有财产属性而受到刑法保护。首先,从实践来看,尽管作为数据的内容并不相同,无论是个人信息、商业评论,或者具有创造性知识产权的视频小说,行为人都是通过爬虫技术手段加以贩卖,或者获取流量,最后谋取非法利益。因此,数据的经济价值是行为人的犯罪动力之一,也正因此才使得数据犯罪多发频发。其次,如果将数据仅仅作为个人信息来保护显得力度不足。《民法典》《网络安全法》《数据安全法》中对数据安全、流转、保护有所规定,但对于数据的权属并未作出相应规定,也未明确个人信息的法律属性,同时并未排除数据作为一种财产权利受到刑法保护。最后,数据的经济价值已经得到司法实践的认可。司法解释的制定者也不否认网络数据的财产性质,对于游戏账号等虚拟财产作为一种数据可以受到刑法的保护。尽管这一解释只是针对计算机信息系统数据犯罪,但对不同类型的数据确立财产定位具有积极意义。大数据的财产化保护是为了明确大数据在刑法上的财产属性,立法保护的主要客体是数据的财产安全。数据由于其可复制性、不唯一性、不具有稀缺性的特点,在认定经济违法所得数额时需要谨慎对待。
(二)区分数据类型分类治理
对于数据犯罪的基本行为予以类型化分析,是解决数据犯罪的基本思路。按照数据爬取的一般流程,可以从爬取数据的对象,爬取数据的手段,以及数据的使用等方面进行治理。一方面,从爬取数据的内涵上,应当按照数据内涵征表的法益内容进行分类分级治理。非法获取数据爬取行为需要根据爬取数据的内容、爬取数据的行为方式以及造成的危害后果而确定不同的罪名。数据权利征表的传统法益,应当按照传统类型犯罪定罪。如果数据征表财产权,应该按照财产犯罪处理;数据征表数据安全型法益,应当按照数据安全类型犯罪定罪。数据权利征表不同类型的法益,指引我们在对不同类型的恶意数据爬取犯罪进行认定,而且也对恶意数据爬取犯罪的治理提供了方向。另一方面,根据数据类型的主体不同给予不同强度保护,可以将数据类型分为非个人数据(non-PII)和个人数据(PII),前一类数据主要是公开数据,后一种个人数据又可分为已经识别的个人身份数据与可能识别的个人数据。公开数据需要以实际应用的场景进行分类监督,分级保护,从而有的放矢防范爬虫技术引发的犯罪。政府部门网站需要加强反爬虫技术措施,尤其是涉及国家事务等计算机信息系统,应及时弥补漏洞。对于搜集、存储个人隐私、信息的网站、服务器以及APP等需要进行合规审查;对于专门发布涉黄、涉暴等违法违规信息的网站需要进行高度敏感信息保护。对于非个人数据需要考虑从民事法层面进行保护。
(三)数据犯罪治理的多元协作
由于数据爬取犯罪侵犯的主体不仅包括政府部门、商业平台,还有消费者、普通个体,受害主体与犯罪主体均呈现出多元化特征,对此,亟须构建公私合作的数据犯罪治理模式。首先,注重数据爬取犯罪主体的情境预防。通过直接管理、设计、调整等方式和途径,以减少犯罪的机会和所得、增大犯罪的代价和危险,从而达到预防犯罪目的的策略。在样本案件中,犯罪主体具有大学本科文化程度的案件占总体样本的30%以上,凸显出恶意数据爬取犯罪主体高学历的特征,因此为防止恶意数据爬取犯罪的发生,对数据行业从业人员以及高校学生的法制宣传、数据安全的教育必不可少。其次,多方合力进行数据监管。政府在数据治理过程中肩负双重角色,既是搜集个人信息的一方,又是监督一方。一方面,需要确保政府作为搜集主体,信息的采集、合理使用,避免成为信息滥用的“利维坦”;另一方面,传统依靠政府监管、发现、查处的模式已经难以适应越来越迅猛发展的趋势。由于个人数据偏重于强调载体,个人信息偏重于强调内容,完全可以用任何载体传达个人信息。因为载体的特殊性,使得其传播变得特别容易。因此,有必要建立个人信息侵害的检索举报制度,对于个人信息、个人通话记录、行程隐私记录被企业侵犯的,应及时举报给网络安全管理部门。最后,加强企业平台数据安全合规建设。通过建立专业合规团队,加强企业内部自律,建立企业内部数据采集、使用的流程规范,避免形成数据技术滥用的组织体系。对于非个人的数据,采集数据平台负有一定的保护安全义务,服务器租赁平台应当建立审查制度,对于滥用数据的个人或者企业用户建立黑名单制度,一旦发现数据来源或者用途不合法,及时与监管部门报告,防止数据信息的泄露。如果服务器提供者不履行数据保护的义务,致使数据大规模泄露的,有可能触犯拒不履行安全管理义务罪。
五、结语
数据安全是网络安全的重要组成部分,数据爬取犯罪治理揭开了数据网络犯罪治理的大幕。运用数据爬取技术不能简单以技术中立原则为外衣,当然一味用刑事手段进行打击滥用数据爬取的技术行为也忽视了数据产业健康发展的需求。因此,应从消极防御到主动控制,填补法律规范的漏洞,明确数据的复合型法益内涵。数据治理从局部打击到全周期、全流程的治理方式才是长远之道,而非仅针对非法数据获取这一环节。从刑事司法层面而言,确立审慎裁判规则,明确爬取数据不同类型的场景化运用,从而采取不同的方式定罪处罚是实然之策。当然,纾解数据治理难题仅靠法律单一手段也颇显吃力,其有赖于个人、平台、政府等多主体协作,同时需要算法伦理、技术正义等多维度共同发力。
