网络爬虫技术的安全风险和刑法应对

科学技术本身具有中立性，但其一旦进入社会领域，必然会被社会制度、社会组织和社会群体的各种利益、诉求和价值判断所塑造和限制 。“快播案”“基因编辑案”等案件表明，原本价值无涉的科学技术，也可能因其技术特性被用于实施违法行为乃至刑事犯罪而产生安全风险。如何对这类中立技术进行合理的法律规制，实现自由与安全、效率与秩序的价值平衡，已经成为法律亟待解决的问题。

大数据时代的到来，催生了数据产业的崛起，数据已经成为互联网产业最宝贵的资产。人工智能、智慧城市、用户习惯、物联网等新技术需要数据作为支撑，精准营销、用户画像、分享经济、个性化服务等互联网生态经济也需要数据作为基础，互联网 4.0 时代的用户经济逐渐依靠数据转化为 4.0 时代的数据经济 。如何实现数据保护和数据利用的平衡，已经成为受到广泛关注的社会问题。作为一种获取网络数据的重要手段，网络爬虫在过去一直被视作价值无涉的中立技术，但近年来网络爬虫的安全风险愈演愈烈。网宿科技发布的《2021 上半年中国互联网安全报告》显示，恶意爬虫攻击量连年翻倍增长。2021 年上半年，网宿安全平台共监测并拦截 Web 应用攻击 101.13 亿次、恶意爬虫攻击 341.47 亿次，分别是 2020 年同期的 2.4倍、3.3 倍，2019 年 同 期 的 21.7 倍、6.3 倍 。庞大的数字折射出网络爬虫技术在互联网大数据时代蕴含的安全隐忧。但目前我国对网络爬虫的法律规制尚处于起步阶段。因此，本文将在分析网络爬虫刑事风险的基础上，分析当前网络爬虫刑法规制的不足，明确刑法的基本立场，并提出相应对策。

1

网络爬虫的风险概述

网络爬虫是一种按照一定的规则，自动化爬取储存于网络中的计算机程序或者脚本的工具。其作用原理是通过模拟浏览器访问网页的过程，抓取目标网页的数据。概言之，网络爬虫可以被简化为一种在网络空间内采集特定数据的工具。在法律层面，网络爬虫技术不仅在民法、竞争法等领域表现出侵权、不正当竞争的风险，也在刑法领域滋生了犯罪的风险。根据侵犯法益的不同，网络爬虫技术的刑事风险主要体现在以下几个方面。

1.1　网络爬虫危害计算机信息系统安全

如上所述，网络爬虫的原理是模拟使用浏览器访问网络的过程，来获取所需数据。这一过程类似于用户对网络的访问。与之不同的是，网络爬虫程序依托计算机强大的计算能力，可以实现短时间内对目标网站的大量访问，而这种访问往往会造成目标网站在一定时间内产生拥堵，不仅影响其他用户使用，还会造成网站服务器负担过重，无法正常运行甚至宕机等后果。如果使用者不以爬取数据为目的，而是专门编写网络爬虫形式的攻击程序对网站进行自动化攻击，那么其危害与一般黑客行为相比更是有过之而无不及。

1.2　网络爬虫危害知识产权

数据是具有可识别性的、能够存储客观事实的各种符号，是信息的载体，其所展现的信息内容可能存在产权归属，如果在未经他人授权的情况下爬取具有产权性质的数据，会造成对产权的侵害。比如爬取网站上具有版权归属的影视作品、文学作品等。与“录屏”“盗播”等行为方式需要行为人手动完成不同，网络爬虫可以通过执行自动化脚本完成对视频等作品数据的抓取和储存，因而表现出更强的法益侵害性。

1.3　网络爬虫危害个人信息安全

数据的价值在于其表征的信息，而那些能够反映个人信息的数据，因其具有广泛的用途和深度的可挖掘利用性，成为数据产业趋之若鹜的“石油”。随着数据产业的发展，数据与数据主体的分离进一步加剧，数据在空间上脱离主体，集中于提供网络资源和网络服务的中间方。公民在使用互联网产品时，其个人信息会被服务方采集，以数据的形式储存在收集者的数据库中。然而，由于部分运营者在收集、储存数据后没有采取足够的技术保障措施，或者他人通过更高技术手段突破反爬措施，使得用户个人信息遭到恶意爬虫获取，这不仅对公民个体的信息权、隐私权造成危害，还对公共信息安全提出了挑战。

2

网络爬虫的规制现状

有学者指出，与传统风险相比，现代风险具有独特性质，其兼具积极与消极意义，会带来不确定性与危险，也具有开辟更多选择自由的效果、风险的影响途径不确定，以及现代风险形成有害影响的途径不稳定且不可预测的特性。由以上分析可知，价值中立的网络爬虫技术，既可以有效推动数据的流动与利用，也可能被用来实施犯罪，且行为手段复杂，侵害法益多元，危害后果严重，所凸显的刑事风险充分契合了当今风险社会的景观。因此，包括我国在内的各国均试图通过刑法对恶意爬虫进行规制，但在实际效果上却存在一定不足。

2.1　立法上：数据犯罪体系仍需完善

目前，我国刑法对网络爬虫的规制主要通过“侵犯公民个人信息罪”“非法获取计算机信息系统数据罪”“破坏计算机信息系统罪”等罪名来实现，而这些罪名散布在刑法分则的多个章节，这就导致我国当前对网络爬虫的刑法规制，仍然呈现出片段性、不完整性与间接性。具体表现在，现行刑法只对非法“获取”数据（包括个人信息）的行为进行了明确规定，而对于破坏数据完整性、可用性的行为，只能通过司法解释的补充，适用破坏计算机信息系统罪，来实现对数据的“迂回保护”。此外，对于数据对象的保护范围也相对狭窄，仅限于“计算机信息系统数据”“公民个人信息”两类。

2.2　司法上：违法性评价标准模糊，罪数问题处理不明

首先，对于不同技术特征的获取行为，刑法评价上未能明确区分。网站所有者对数据的保护措施主要有两种：一是设置 robots 协议，即爬虫协议，该协议存储于网站根目录中，是爬虫访问该网站时默认访问的第一个文件，其作用是告知网络爬虫该网站的爬取规则；二是反爬技术措施，是指网站所有者通过在网页中植入反爬代码来从技术上约束网络爬虫。同时，根据是否违反 robots 协议及是否突破反爬措施，可以将网络爬虫分为善意爬虫与恶意爬虫。但这种划分仅仅是技术意义上的评价，如何将技术判断融入刑事违法性的判断，是当前司法实务中面临的一大问题。现有的裁判观点对此大多采取回避态度，既有仅违反 robots 协议而入罪的，也有违反 robots 协议及突破反爬措施并存而入罪的。而相关罪名的构成要件对行为方式的规定又过于简单，比如非法获取计算机信息系统数据罪中的“侵入或其他技术手段”，以及“侵犯公民个人信息罪”的“获取”，都存在宽泛的解释空间。这导致当前对网络爬虫行为的违法性认定较为粗放，违反爬虫协议、突破反爬措施的技术特征能否落入刑法文本的解释范围存在疑问。

其次，对于不同数据对象的获取行为，刑法评价上未能明确区分。如开放数据与非开放数据的开放性、共享性不同，所体现的法益侵害和责任轻重也不尽相同，应在网络爬虫归责时进行不同层次的分析。但我国司法实务未对不同类型数据“分而治之”，将网络爬虫抓取公开数据的行为入罪在当前司法实务中较为常见，其合理性却值得质疑。以“范某、徐某、李某等侵犯公民个人信息案”为例，本案中被告人通过制作爬虫软件从“企查查”“天眼查”等网站上获取企业法人的联系方式等信息并提供给他人，法院最终以司法解释规定“未经被收集者同意，将合法收集的公民个人信息向他人提供的，属于‘提供公民个人信息’”为由，认定犯罪成立。然而，如果对司法解释作如此理解，无疑会导致‘提供公民个人信息’的行为被放大。

最后，在笔者检索到的 117 份涉网络爬虫犯罪判决书中，鲜有对网络爬虫的罪数问题进行讨论。法院在认定网络爬虫行为的性质时，往往只说明行为符合刑法分则的哪一构成要件，进而对该罪名予以适用。例如，同样是爬取包含个人信息的淘宝用户订单的行为，一些被认定为“侵犯公民个人信息罪”，一些则被认定为“非法获取计算机信息系统数据罪”。但即使是单一的爬取行为，也有可能触犯数个罪名。非法爬取包含公民个人信息的数据，完全可能既符合侵犯公民个人信息罪的构成要件，又符合非法获取计算机信息系统数据罪的构成要件。

3

网络爬虫的规制立场

由上可知，虽然网络爬虫技术在刑法领域具有规制的必要性，但我国当前的刑事规制手段仍存在诸多不足。笔者认为，对网络爬虫技术进行刑法规制，应当坚持以下基本立场。

3.1　谦抑性和法秩序统一性

刑法具有谦抑性。在立法上，表现为针对某一行为，只有在具备处罚必要性，且其他部门法中不存在可以替代刑罚效果的制裁手段时，才能将其规定为犯罪，纳入刑法的处罚范围；在司法上，刑事制裁手段的严厉性决定了刑法只有在确有必要时才可介入。在探讨网络爬虫的刑事规制边界时需要认识到的是，许多网络爬虫案件存在民事救济、行政救济的可能，刑事处罚并非唯一解决途径，尤其是那些反映了市场主体的数据竞争的案件。如果盲目地将刑法防线前移，容易使那些本就具有市场优势的大型企业的地位进一步巩固，阻碍技术创新和数据流通。因此在运用刑法对网络爬虫进行规制时，不可越俎代庖，应当时刻秉持谦虚、谨慎的态度，充分发挥刑法的补充性和最后性，使刑法扮演好社会保护的最后一道防线的角色。

刑法的谦抑性与法秩序统一性原理密切相关，后者是指在由宪法、刑法、行政法、民法等多个法领域构成的整体法秩序中不存在矛盾，法领域之间也不应作出相互矛盾、冲突的解释 。而刑法语境下的法秩序统一性，是指刑法不能处罚其他部门法律所允许的行为。目前，已经出台的《民法典》《网络安全法》《反不正当竞争法》《数据安全法》《个人信息保护法》等前置法都从不同角度划定了网络爬虫在自身法领域的合法边界。如何在不违反前置法判断结论的前提下对网络爬虫进行刑事评价，是当前要考虑的问题。最极端的后果是，刑法将其他部门法得出合法评价的网络爬虫行为认定为违法，这样不仅会导致不同法领域判断结论的冲突，还会损害法律的行为指引功能，使公民在选择行为，即利用网络爬虫技术时陷入行动萎缩的境地。

3.2　安全与效率的价值平衡

任何科学技术在产生与发展时，其背后都交织着安全与效率二元价值的博弈。安全和秩序是法律所要实现的重要价值，它主要通过公法的实施，尤其是刑事法律的实施来保障 。网络爬虫技术的应用牵动着数据安全，因此在刑法领域，我们必须正视网络爬虫技术的安全风险。在信息网络社会风险因素和潜在威胁不断增大的背景下，非特定的风险和无序开始显现。近年来频频出现的海量个人信息泄露事件使公民对数据和信息安全的要求与日俱增。不法分子通过恶意爬虫侵入计算机信息系统，窃取具有重要价值的数据，其危害不仅针对公民个体，还对网络安全、数据安全、信息安全等公共安全秩序造成极大威胁。对此，刑法应当发挥其风险防控与安全保护的作用。

然而，效率同样是法律追求的价值目标。互联网自诞生起始终秉持“自由、共享、开放”的发展理念，这一理念带来的直接影响是资源分配与利用效率的提升。在大数据时代，人人都是数据的生产者，人人也都是数据的消费者。数据的价值不是其固有的，而是在流通、利用过程中产生的，数据本身不能产生任何利益 。《数据安全法》第七条规定：“国家保护个人、组织与数据有关的权益，鼓励数据依法合理有效利用，保障数据依法有序自由流动，促进以数据为关键要素的数字经济发展。”网络爬虫技术为数据流动搭建了一条“高速公路”，极大拓宽了数据获取的途径，提高了数据利用效率。通过爬虫技术可以快速实现不同主体之间的数据交换，促进数据价值的最大化，降低信息获取成本。当前，数据产业呈现精细化的趋势，数据收集主体和利用主体也逐渐分离，形成“收集—分析—利用”模式的数据产业链。如果过度重视数据的安全性而忽视数据的利用价值，将进一步加剧大型数据企业对数据的“圈地运动”，不利于我国数据产业的发展和社会的进步。

如何确定网络爬虫行为的刑事界限，不仅适用于网络爬虫技术，同样代表着刑法对于其他网络技术的态度 。与安全和效率的二元价值相同，刑法应当追求法益保护和人权保障的相对平衡，不能出于对数据安全的保护而一味扩张犯罪圈，也不能将刑法的法益保护机能盲目让位于数据利用的效率要求。在对网络爬虫技术进行规制时，应追求安全与效率的价值平衡，既要对利用网络爬虫实施犯罪的行为予以严密法网，也要保障网络爬虫技术的合法、合理使用，使其成为推动数据经济发展的力量。

3.3　数据犯罪治理思路之转变——从控制到利用

如上所述，安全和效率应当是刑法需要平衡的两种基本价值取向，这一理念也与我国的现实情况相契合。有学者指出，对两种价值取向的追求不同，衍生出对数据犯罪进行治理的两种模式，分别是数据控制模式和数据利用模式 。前者注重保护数据主体对数据的权利，强调的是数据的本体安全，后者则注重保护数据的流动过程，强调的是数据的利用安全。目前，我国对数据犯罪治理采取的仍是数据控制模式，具体表现为通过禁止非法获取或泄露数据等行为，来加强数据主体对数据的控制。然而这种思路忽视了数据的公共产品属性，难以实现“共享”的价值目标，在具体规制效果上也难以令人满意。上文提及的网络爬虫刑事规制现状的不足，即可被视为该模式弊端的具体表现。与数据控制模式相比，数据利用模式旨在通过对数据 “动的安全”的维护，释放数据的社会价值。该模式将规制重点转移至数据滥用行为，引导数据利用者合理利用数据，从而实现对数据主体利益的更为全面的维护。此外，该模式也与当前我国数据前置法规（如《数据安全法》《个人信息保护法》等）的基本理念相契合，有利于避免刑法与前置法产生矛盾。

网络爬虫技术是获取数据的重要手段，因此，借由网络爬虫的刑法规制，实现对数据犯罪治理从控制模式到利用模式的转变，具有重要的意义。

4

网络爬虫的刑法应对

在确定了网络爬虫刑事规制的基本立场后，笔者拟提出相关对策。对网络爬虫进行刑法规制，应当从立法和司法两种进路出发。在立法上严密法网，完善数据保护体系，充分发挥法律的行为指引功能，规范网络爬虫行为；在司法上完善违法性认定机制，不以技术判断取代规范判断，根据网络爬虫行为侵害的不同法益适用不同罪名，同时妥善处理罪数问题。

4.1　立法上：加快数据犯罪体系构建，完善数据保护体系框架

4.1.1　积极增设故意破坏数据新罪名

如前文所述，在大数据时代，数据已不再局限于服务计算机信息系统功能的正常实现，开始具有独立意义，比如存放于网络服务器云端的海量聚合数据。破坏型爬虫完全可以在不对计算机服务器本身运行造成危害的情况下，对数据实施修改、删除等操作，以破坏其“完整性”“可用性”。此类行为不仅不涉及对数据的合理利用，还会对数据的可利用性造成极大的损害，行为人实施此类行为的，也基本可以排除其存在合理利用数据的意图，故对该类行为进行规制时，应当侧重于对数据安全价值的保护，即强化对此类行为的刑法规制。目前对于该类行为，一般按照《刑法》第二百八十六条第二款，以“破坏计算机信息系统罪”论处。但此种做法存在两个问题：一方面，导致破坏计算机信息系统罪的一般条款化，使其沦为兜底罪名；另一方面，若该行为所指向的数据对象为公民个人信息，破坏行为与获取行为相比，前者的不法程度应当重于后者，但由于该罪与侵犯公民个人信息罪的法定刑存在显著差异，容易产生处罚失衡。

因此笔者认为，可以在“破坏计算机信息系统罪”之外设立“破坏数据罪”，或者参照“侵犯公民个人信息罪”的修改，扩大“非法获取计算机信息系统数据罪”的构成要件范围，将其修改为“侵犯数据罪”，将侵害数据完整性和可用性的网络爬虫行为纳入该罪范围，以实现对数据犯罪和计算机信息系统犯罪的“分而治之”，实现处罚的均衡。同时，将数据犯罪单独成罪，也有利于发挥立法的宣示作用，实现法律的行为指引功能，规范网络爬虫技术的使用。

4.1.2　谨慎增设过失危害数据新罪名

目前，我国对数据犯罪的规制，尚停留在故意犯罪层面，对于基于过失实施的损害数据法益的行为，缺乏相关罪名加以规制。据此，有学者指出，应当设立过失数据犯罪，以弥补刑法的处罚漏洞 。但笔者认为，不宜贸然设立过失数据犯罪。原因在于，与故意破坏数据行为不同，行为人基于过失实施的危害数据法益的行为，很有可能是出于合理获取并利用数据的目的。例如，在“杨某、张某破坏计算机信息系统案”中，两名被告共同开发了一款信贷查询软件，后由于目标网站登录方式发生变化而被告人未能对爬虫软件及时调整，导致该信贷查询软件在短时间内对服务网站进行了极高频率的访问，造成系统服务器阻塞，无法正常运行，而法院最终判决二人构成破坏计算机信息系统罪。笔者认为该结论值得商榷，原因在于，二被告主观上并不具有犯罪故意。因此，对此类行为加以规制时，应当充分考虑安全与效率的价值平衡，只有当带来的收益远大于成本时，对过失危害数据的行为犯罪化才具有正当性。也即，即使要设立过失犯罪，也应当设定较高的入罪门槛。

4.2　司法上：规范网络爬虫违法性认定机制，妥善处理罪数问题

刑法起源于没有网络的时代，其具体概念与网络没有任何关系，因此许多概念难以适用于网络犯罪 。网络犯罪的技术特征促使立法机关不得不在法律条文中采取一定的技术性描述，来将其行为手段纳入刑法文本中，而受刑法稳定性和简短价值的影响，这些规定往往过于笼统。换言之，目前我国刑法对网络犯罪的构成要件，尤其是在对体现技术特征的行为方式的规定上呈现一种粗放状态。这使得司法工作人员在判断行为是否符合构成要件时，很难通过技术特征对行为加以识别，对网络犯罪、计算机犯罪构成要件的解释流于表面，导致部分罪名在司法实务中呈现“口袋化”趋势，不当扩大刑法的处罚范围。

在技术判断难以融入规范判断的背景下，对法定构成要件采取单纯的形式解释已无法满足实质正义的需要，应当对构成要件进行实质解释以得到妥当的处理结论。特别是在司法对网络爬虫普遍采取入罪态度的当下，充分发挥实质解释的出罪功能已确有必要。根据张明楷教授对实质解释论的阐述，对构成要件的解释必须以法条的保护法益为指导，解释一个犯罪的构成要件，必须首先明确该犯罪的保护法益，然后在刑法用语可能具有的含义内确定构成要件的具体内容 。也即对构成要件的解释不能脱离法益保护的规范目的。若行为在字面上符合构成要件，但并没有侵害刑法所保护的法益，那么就不存在实质违法性，不能将其评价为犯罪。具体而言，以法益为指导的网络爬虫犯罪司法认定需要注意 3 个问题。

4.2.1　两大技术特征仅是判断网络爬虫形式违法性的依据

如前文所述，善意爬虫与恶意爬虫的区别在于是否违反 robots 协议和是否突破反爬措施。因此，目前国内学者将其作为判断网络爬虫违法性的依据。但笔者认为这一观点值得商榷。

首先，“爬虫协议”并非真正的“协议”，并不具有双向性，只是运营者一方设定的规范爬虫访问的文件，仅能起到告知作用，不具备技术防护功能。目前关于该协议的法律性质，学界虽有诸多探讨，但尚未有观点将其提升到具有法律效力的高度，至多认为是一种行业习惯或商业道德 。即使在民事领域将其作为一种“格式条款”予以认定，但因为网站可以根据自身需求随意制定爬虫协议，该条款也极有可能因违反公平原则而无效，即违反爬虫协议的爬取行为未必具有民事违法性。贸然将其作为判断刑事违法性的依据，有越俎代庖之嫌。

其次，反爬措施在技术上具有限制爬虫访问的功能。能够突破反爬措施的网络爬虫似乎能够被非法获取计算机信息系统数据罪“采取侵入或其他技术手段”的构成要件所涵摄，在侵犯公民个人信息罪中，也能够根据前置法的规定解释为“非法获取”。有学者以国外的“代码理论”为依据，认为能够突破反爬代码的网络爬虫体现了较强的规范违反意思，具有刑事违法性 。笔者认为，这种判断路径看似与我国刑法规定相契合，但只是对构成要件进行形式解释得到的结论。“代码理论”未能揭示数据犯罪的本质，仅仅提供了形式上的判断标准。在刑法对数据犯罪构成要件规定过于简单的情况下，容易造成处罚范围不当扩张。以实质解释为路径进行分析可知，非法获取计算机信息系统数据罪保护的法益是数据安全，具体而言，是数据的“保密性”与“可用性”，即数据未经授权不得“访问、获取”。因此，授权之“权”应当是数据内容访问、获取的权限，而非访问手段的权限。据此，非法获取计算机信息系统数据罪所规定的“侵入或其他技术手段”就应当被解释为“突破数据内容访问获取之限制的手段”，对“非法获取”的解释同理。针对爬虫技术设置的反爬措施不等同于保密措施，尤其是那些针对公开数据的反爬措施，比如裁判文书网的身份登录认证等，只是用于限制访问数据的方式，即禁止使用爬虫技术访问、限制爬虫的访问频率等，但并不禁止人类用户访问获取，即对数据本身的知悉、支配权利并没有限制。因此，突破此类反爬措施的网络爬虫并不能落入相关犯罪构成要件的文本范围，只有那些突破数据内容的访问、获取限制的网络爬虫，才可以被认定为“侵入或者其他技术手段”或“非法获取”。

此外，企业可以自己制定爬虫协议和反爬措施，诸如“百度”等互联网巨头出于保护自身利益的考虑，都设置了非常严苛的爬虫协议和反爬措施。如果将违反爬虫协议与反爬措施作为违法性判断依据，无异于将判断标准的制定委托于数据网站，会进一步促使大型互联网企业对数据展开“圈地运动”，不仅会普遍扩大入罪风险，还会造成数据垄断的消极后果，影响数据的流通与使用。

因此，笔者认为，技术上对善意爬虫与恶意爬虫进行区分，不意味着后者具有天然的违法性，特别是刑事违法性。违反 robots 协议和突破反爬措施，只能说明爬取行为存在形式上的违法性。若要认定爬取行为构成犯罪，该行为还必须具有实质违法性。而对实质违法性的认定，则只能诉诸实质解释。

4.2.2　法益侵害性才是判断网络爬虫实质违法性的依据

一般认为，法益具有立法批判与解释指导机能，而实质解释是发挥后一机能的有力手段，其主张以法益为指导，在可能的文义范围内确定构成要件的涵摄范围。若行为仅仅是在形式上符合构成要件，但并未侵害罪名所保护的法益的，就应当以法益侵害性的阙如将其出罪。基于爬取行为的性质及指向对象的不同，网络爬虫行为实质违法性的判断可以分为两种情形予以讨论。

（1）利用网络爬虫实施攻击行为的判断。如前文所述，虽然网络爬虫的设计初衷在于更加方便、快捷地获取数据，但也正是这一技术特性使得其能够在短时间内对目标网站进行大量访问。因此，实践中存在大量利用网络爬虫对网站进行超频访问式的攻击，使网站崩溃以至于无法被用户正常使用的情形。此类行为并非为了获取数据，而仅仅是利用爬虫的技术特性来达到破坏正常网络秩序的目的。换言之，网络爬虫并非手段，而是目的。而破坏计算机信息系统罪的保护法益正是计算机信息系统的安全，这种安全具有独立保护的价值。因此，若网络爬虫行为并未导致目标计算机信息系统遭受破坏，或者有破坏的危险，那么就应当否定该行为的实质违法性。此时即使爬虫违反了 robots 协议和反爬措施，也不能认定其构成破坏计算机信息系统罪。

（2）利用网络爬虫获取数据行为的判断。与攻击型网络爬虫不同，获取型网络爬虫的目的在于抓取目标网站的数据以进一步利用。网络爬虫只是手段，而不是目的。目前，司法实务中对获取型爬虫犯罪认定的一大争议点是数据的公开性能否成为获取型爬虫犯罪的出罪事由，即数据的公开性是否可以阻却爬取行为的实质违法性。对此，笔者认为，数据所征表的法益具有多样性，故不能一概而论。数据的公开性是否具有排除实质违法性的功能，取决于其保密性是否属于数据背后法益的保护内容。

以侵犯公民个人信息罪为例，该罪的保护法益是公民的信息权和隐私权，即公民有权决定其个人信息是否被他人知悉，以及被知悉的范围等。网络爬虫抓取网络上合法公开的个人信息的，不构成对该罪保护法益的侵犯，故不应认定为犯罪。另外，《民法典》第 1036 条规定，合理处理自然人自行公开或者其他依据合法公开的信息，不承担侵权责任。以上文提及的“范某、徐某、李某等侵犯公民个人信息案”为例，本案中被告人通过制作爬虫软件从“企查查”“天眼查”等网站获取企业法人的联系方式等信息，而此类个人信息系合法公开，被告抓取该信息是用于提供征信查询服务，属于合理使用，在民事领域合法。因此，不管是基于法益保护原则还是法秩序统一性原理，对此类行为均不能追究刑事责任。

但是，如果数据的公开性与被保护法益无关的，依然可能构成犯罪，此类数据往往由于其反映信息的特殊性而受刑法单独保护。以侵犯著作权罪为例，该罪的法益为著作权，包括作品的复制发行权、出版权等，而保密性不包含在内。因此对公开但具有著作权性质的网络数据，比如视频、文字作品等进行爬取，依然可能构成对著作权的侵犯。根据最高人民法院、最高人民检察院《关于办理侵犯知识产权刑事案件具体应用法律若干问题的解释（二）》，该罪的行为方式“复制发行”，既包括“复制和发行”，也包括“复制”或“发行”，即单纯的复制行为也可能构成对著作权法益的侵害，而网络爬虫对数据“抓取 + 存储”的行为模式是否构成“复制”，就存在解释的空间。

4.2.3　网络爬虫犯罪的罪数问题

如前文所述，关于网络爬虫的罪数问题，主要涉及非法获取计算机信息系统数据罪与侵犯公民个人信息罪的关系。目前通说认为，非法获取计算机信息系统数据罪是普通法，侵犯公民个人信息罪是特别法，因此应当适用法条竞合“特别法优于普通法”的原则 。也有学者认为二者是非此即彼的关系，应当根据数据在具体犯罪中属于对象还是手段，分别认定为数据犯罪（非法获取计算机信息系统数据罪）还是传统犯罪（侵犯公民个人信息罪）。笔者认为两种方案均有值得商榷之处。

非法获取计算机信息系统数据罪与侵犯公民个人信息罪并非简单的法条竞合，从构成要件可知，两罪在行为方式和对象上表现出一种复杂的交叉关系。若按照前者将二罪理解为普通法与特别法的关系，容易导致司法工作人员出于对办案效率的考量主动回避对涉案数据性质的认定，加重非法获取计算机信息系统数据罪“口袋化”之趋势。而后者的思路虽然很好地贯彻了数据法益独立保护之理念，但未能给出判定数据在犯罪中所扮演角色的具体方案，其可行性存疑。笔者认为，数据除作为信息的载体征表传统法益，以及服务于计算机信息系统功能的正常实现之外，确已具备独立保护的必要。数据安全法益应当得到确认，即数据未经许可不得获取、处理的公共秩序安全，非法获取计算机信息系统数据罪的保护法益也正是在于数据安全的“保密性”“可用性”。对于非法获取用户个人信息数据的网络爬虫，由于侵害了包含数据安全、公民信息权和隐私权在内的双重法益，因此成立想象竞合犯，应从一重罪论处。此外，随着数据犯罪的产业化、链条化态势明显，利用网络爬虫非法获取数据而构成的上游犯罪，与基于数据而实施的下游犯罪之间在事实上是否具有通常的牵连性，从而能够按照牵连犯处理，应当是需要考虑的问题。

5

结　语

在互联网时代，网络技术的应用为社会发展注入了新动力，但也产生了诸多问题。近年来，随着数据产业的兴起，网络爬虫技术在国内引发广泛讨论，其既推动数据利用又引发多元安全风险的两面性，在现有网络技术中具有一定代表性。对此，我们不能因噎废食，惧于技术带来的安全风险而畏葸不前，也不能过于激进，为了效率与发展而牺牲秩序与安全。当前，我国正逐渐完成对网络技术法律规制体系的建构，刑法作为二次调整法，具有最后性和补充性，应当与其他前置法通力配合，通过对包括网络爬虫在内的众多网络技术的合理规制，实现互联网空间治理和现实法益保护的目标。出具体威胁类型以及响应建议。

引用格式：孙永兴 . 网络爬虫技术的安全风险和刑法应对 [J]. 信息安全与通信保密 ,2022(12):62-72.