vlambda博客
学习文章列表

律谈|网络爬虫技术的刑事风险(计算机犯罪研究系列之一)




本文是车冲律师根据为爬虫技术方提供法律服务期间所形成的工作成果的实务总结,希望对爬虫技术方的刑事风险的规避提供借鉴。


律谈|网络爬虫技术的刑事风险(计算机犯罪研究系列之一)




一、什么是网络爬虫?


要认识到网络爬虫的刑事风险,首先需要理解什么是网络爬虫。


什么是网络爬虫?所谓网络爬虫也称为爬虫(Crawler),本质上是一种程序,该程序运行的逻辑流程包括:数据请求、数据处理、数据存储等三个环节,运行该程序的目的在于使用人通过该程序的运行自动收集并保存网络上符合特定要求的信息。


可以说,在目前的大数据风控行业,一切的产品开发均与该项技术存在或多或少的联系,为了更为清晰地理解爬虫技术的概念,本律师首先对该技术的逻辑流程绘制了一个清晰的图表:


律谈|网络爬虫技术的刑事风险(计算机犯罪研究系列之一)


从上图可以看出,爬虫的运行本质上是获取数据。整个流程类似于个人利用浏览器搜索信息的过程。爬虫的数据收集过程虽然与个人的上网行为类似但又有不同。爬虫的“上网”过程类似于从虚拟浏览器发送请求(获取网页代码)->提取有用的数据->存放于数据库或文件中。


爬虫技术存在的刑事风险就是存在于上面的数据获取和保存的过程中。本律师结合自己的实务经验针对爬虫技术包含的刑事风险予以总结,具体如下:


二、与数据来源有关的刑事风险


利用爬虫技术获取数据的行为可能涉嫌非法获取计算机信息系统数据罪。


爬虫技术的使用过程中,如果所爬取的是公开的网络信息,利用爬虫技术获得的该部分数据行为则不存在违法犯罪的刑事风险。但是如果爬取的数据是经过他人“加密”或者需要“授权”的数据时则存在涉嫌构成非法获取计算机信息系统数据罪的刑事风险。


该种行为的风险在于爬虫技术使用了“侵入”的方法进入他人的计算机信息系统来获取数据。这种行为表现为破解或绕开了他人的“反爬虫技术”,因为正常的数据抓取行为是无法抓取到他人采取了“反爬虫技术”措施予以防御的数据的。以(2017)京0108刑初2384号《刑事判决书》为例,在该案中被告人宋健、侯明强等人正是利用爬虫“tt_spider”技术来对被害单位的数据库中的视频数据进行抓取。在该《一审判决书》的“本院查明”部分法院明确指出了被告人爬虫技术的“侵入”行为的具体表现:“在数据抓取的过程中使用伪造device_id绕过服务器的身份校验,使用伪造UA及IP绕过服务器的访问频率限制。”该部分内容表明了视频数据的获取需要经过被害人所设置的身份校验和频率限制等技术,该部分技术就是所谓的“反爬虫技术”,也是被害人对所拥有的数据所采取的技术防御手段。案件中的被告人则不顾该类技术保护措施,采用技术手段来破解或避开进而获取他人服务器中保存的视频数据,属于比较典型的侵入他人计算机信息系统获取数据的行为。


三、与数据使用有关的刑事风险


      既然利用爬虫非法获取数据存在刑事风险,那么经过合法爬虫技术手段获取的数据是否存在刑事风险呢?答案:同样存在风险。


(一)涉嫌构成侵犯公民个人信息罪的刑事风险


在这类刑事风险中,常见的是涉案人员或公司利用爬虫技术超越客户授权范围收集公民个人信息后转卖或提供给他人的行为。该类行为涉嫌构成侵犯公民个人信息罪,而且在不超越用户权限的情形下所获得的公民个人信息的转卖和提供行为同样也存在构成侵犯公民个人信息罪的刑事风险。


在超越用户权限获取信息的情形中,以主要用于网络贷款平台的“同业爬虫”为例,只要提供一个用户在现金贷平台的用户名和密码,“同业爬虫”就可以爬取到用户的基本信息、银行卡信息、职业、联系人、贷款记录、理财信息等与公民个人密切相关的数据。


以上爬取公民个人信息的行为,往往是超越了用户的授权范围,一般而言用户所授权的信息仅仅是个人所提供的账户和密码,而非更进一步的信息,但是这种超越用户授权的行为并非只能认定具有刑事风险。


超越用户权限收集公民个人信息的行为首先面临的责任并非刑事责任,其首先面对的是“治安管理处罚”层面的责任或民事责任。在以上行为中,如果爬虫使用者是在提供网络服务的业务活动中收集、使用公民个人信息,那么应该遵守的原则是全国人大常委会《关于加强网络信息保护的决定》的规定中规定的“合法、正当、必要的原则”,而且在获取“授权”范围的时候,一定要对收集、使用信息的“目的、方式、范围”予以明确。避免出现超越权限收集公民个人信息的情形和因为是否超越权限而引发的纠纷。


什么情形下会产生刑事风险呢?按照我国《刑法》第二百五十三条之一中关于侵犯公民个人信息罪的规定:“违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。”也就是说在用爬虫技术获取公民个人信息后出售或提供给他人使用的行为才可能涉嫌构成侵犯公民个人信息罪。


综上,利用爬虫技术所获得的数据如果超越了用户的授权,那么首先承担的是“治安管理处罚”层面的责任,但是如果将该类数据(不论超越权限与否)出售或提供给他人的行为则可能涉嫌侵犯公民个人信息。


(二)涉嫌构成“套路贷”相关犯罪的刑事风险


这个类型的刑事风险主要源于一些大数据风控公司所开发的“运营商爬虫”产品。该种爬虫运行所获得的数据主要是跟用户手机业务有关的数据,即可以抓取一些手机卡过往使用情况的信息,包括使用时长、常用联系人、套餐信息等,以此验证机主的真实性来做风控,主要用于网络贷款平台中的反欺诈。按道理这部分业务属于风控业务,只要获得用户授权本不存在刑事风险,但是如果将该类数据提供或出售给他人使用则会产生风险。



在实务中,大数据风控公司与套路贷的人员产生联系的方式主要有两种:



第二种,作为技术合作方,直接利用爬虫技术提供“查询”服务。


无论是第一种还是第二种方式,存在的刑事风险在于,如果爬虫技术转让方或者合作方均“明知”网贷平台会将该技术用于“套路贷”等犯罪活动,则依照《关于办理“套路贷”刑事案件若干问题的意见》的规定有被按照“套路贷”相关犯罪的共同犯罪的可能(与本文相关的罪名主要是诈骗罪、敲诈勒索罪)。


但是值得注意的是,并非所有的爬虫技术转让方和合作方(以下统称爬虫技术方)均会被认定构成“套路贷”犯罪的共同犯罪。提出这一观点原因在于,一但在“套路贷”案件中认定爬虫技术方“明知”,那么爬虫技术方更为常见的是被认定为诈骗罪的共同犯罪。考虑到“套路贷”犯罪中的诈骗金额往往数额特别巨大,如果按照诈骗罪的量刑规定,爬虫技术方所面临的量刑幅度往往是“十年以上有期徒刑”。这一结果对于只是技术提供者而并未实际参与诈骗活动的爬虫技术方而言,所承担的责任过于严苛。事实上,只要爬虫技术方提供技术的行为,被认定为不明知他人利用该部分爬虫技术实施“套路贷”犯罪,那么该爬虫技术者的行为有很大可能被认定为帮助信息网络犯罪活动罪。而能否实现这一罪名的转变与“明知”与否能否被认定至关重要。


因此,在实务中辩护律师如何综合在案证据结合爬虫技术方的“认知能力”“既往经历”“行为次数”“手段”“与同案人”“被害人的关系”“获利情况”“是否主观规避查处”等主客观要素综合评估爬虫技术方的“主观”方面是否“明知”是决定案件定性的关键。


律谈|网络爬虫技术的刑事风险(计算机犯罪研究系列之一)



供稿|车   冲


审稿|吴自力


排版|徐惠芳



律谈|网络爬虫技术的刑事风险(计算机犯罪研究系列之一)

车  冲 律师

广东法丞汇俊律师事务所刑事律师

律师执业证号:14401201610693045

【基本概况】车冲律师获西南政法大学刑法学硕士学位,车冲律师专注于从事刑事法学领域的理论研究与实践工作,理论功底扎实、辩护实务经验多丰富,效果理想。

【擅长领域】车冲律师进入律师行业后,办理了多起重大、疑难组织、领导传销活动罪(网络传销)案件,开设赌场罪(网络赌场)案件,网络期货平台诈骗犯罪(非法经营)案件、破坏计算机信息系统罪案件,非法控制计算机信息系统罪案件,提供侵入、非法控制计算机信息系统的程序、工具罪案件,侵犯公民个人信息罪案件等,其专业独特的法律意见得到律师同行及客户的好评。

【理论成果】2017年、2018年连续两年获得广州市律师协会颁发的“理论成果奖”。







广东法丞汇俊律师事务所









欢迎点在看