2023-08-01
(一)合法性原则的违反 合法性原则的含义是,指一行为要与法律规范的要求相统一。具体而言,本文所论述的网络爬虫涉及收集、利用和处理公民个人信息三种行为。此三种行为都必须与法律法规、部门规章等对于个人信息的相关要求相匹配。我国《刑法》第253条之一规定,构成“侵犯公民个人信息罪”的前提条件包括“违反国家有关规定”。对该条文中的“国家规定”的理解,依据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第二条,所对应的规定是“法律、行政法规、部门规章有关公民个人信息保护的规定”。当前,计算机技术日趋发达,立法者十分重视规制网络犯罪行,也出台了不少关于规范网络爬虫行为的文件。一是相关行政法规和规范性文件,如《关于加强网络信息保护的决定》以及《个人信息安全规范》。举例来说,《个人信息安全规范》将收集个人信息的合法性、最小必要、以及需要事先取得用户授权同意的信息范畴规范在该法第五条。这类法律法规对于信息爬取行为的规定是比较具体而明确的,对于判定爬虫行为的违法性具有较明确的指引性。二是《刑法》以及特别领域的《网络安全法》《个人信息保护法》等法律,这些法律对于网络爬虫行为都是比较原则性、全面性的规定。其中,2021年全国人大常委会通过的《个人信息保护法》是目前认定“网络爬虫行为”构成“侵犯公民个人信息罪”最为重要的法律。 在此之前,我国实际上并没有专门针对个人信息保护做出系统规定的法律。只有有关个人信息保护法的议案和草案可以进行参考。《个人信息保护法》首次对于信息处理者应当遵守的原则和规则进行了具体而详尽的规定。通过对这些法律法规的分析可知,是否经过个人同意是作为衡量收集行为合法与否的重要依据。假如实施爬虫行为的行为人在没有取得用户允许的情形下直接收集其信息,那么有很大概率与法律的上述规定相违背。但是如果用户明晰并允许行为人收集属于自己的信息,那么此种行为就应当被认定为合法。因此如果大量爬取他人个人信息未经他人同意并知晓,则爬虫行为就不再是单纯的中立计算机技术,而是可能构成违法犯罪的行为。再如2017年施行的《网络安全法》第27条也明确禁止了对窃取数据等行动提供其所需要的相关程序和工具。这条规定也与《个人信息保护法》第十条相呼应,这两条中的“非法”共同确立了实施网络爬虫行为应当遵循法律的规定,否则将可能被认定为非法。总之,通过对上述有关规制网络爬虫行为的法律法规的梳理,可知网络爬虫行为必须奉行合法性准则,这些法律法规也可以作为爬虫行为的具体参考坐标。一但违反这些法律法规的规定,也就相当于违反了合法性原则,则该爬虫行为是违法的,进而会被认定为犯罪。 (二)行业规则——爬虫协议的违反 爬虫协议,也可称之为Robots协议,是上个世纪九十年代由荷兰的一位工程师Martijn Koster创立的行业法则。其规定网站服务商或者所有者可以在网站根目录下插入robots.txt文件,用一定的语言程序告知访问者允许被访问、抓取的数据以及禁止获取的数据,对网络爬虫行为进行一定的指引。基于此种协议的简明、便捷和高效,世界范围内的互联网行业基本都认可和遵循这一协议。该协议的出台目的首先是为了帮助网站服务商标明访问者的权限,减少大量的爬虫行为导致网站服务器奔溃的情况发生;其次也是为了保护网站中涉及的个人信息或者商业秘密等私密信息。虽然国内外对Robots协议的效力尚无定论,但目前在搜索引擎领域下,爬虫协议已被广泛接受并成为了该领域的通用标准。从国内外的司法判决中可以看出,法官对爬虫协议的效力基本都持认可态度。因此可以得出这一认识:如果爬虫行为无视被访问网站的Robots协议,致使与网站服务商的单方意思表示相违背,也会构成上文中提到的“非法”,该爬虫行为也可能将以犯罪论处。 (三)反反爬虫措施的采取 由于Robots协议如上文所述,只是网站服务商的单方意思表示,并不能对网络爬虫行为做出强制禁止行为。因此有的网站服务商会采取一系列的反爬虫措施直接禁止网络爬虫爬取网站信息。这其实也是网站服务商对于自己所有网站数据被访问范围的意愿表示,也相当于是具有强制性的Robots协议。因此如果网络爬虫行为直接突破了网站的反爬取措施,强行爬取该网站的相关数据,也属于变相违反了上文中的Robots协议。区分善意爬虫和恶意爬虫的主要标准就是是否遵守了这一协议。善意的爬虫行为因为并未违反这一协议,不仅不会对网站造成损害,还能够给网站带来更多的点击量和访问量,引来流量。与此相反的恶意爬虫则直接绕过该协议,对网站协议不能爬取的信息进行肆意爬取,其中甚至包括个人信息或者商业秘密等被保护的信息。并且恶意爬虫行为的实施者为了更快更多的获取信息,会释放大量的爬虫多次对目标网站进行爬取,这会对目标网站的服务器造成过大的流量导致目标网站崩溃,造成损失。恶意爬虫除了违反Robots协议,还可能是实施了反反爬虫措施,也就是采取一定的技术手段突破服务商常采取的反爬虫措施,主要有验证码、隐IP限制、数据伪装、阻止调试等,因此爬虫行为采用一定的技术手段突破这些反爬虫措施,进行暴力抓取大量信息的,就属于恶意爬虫,就可以认定为违背了网站服务商的单方意思表示,与违背Robots协议性质相同,对于爬虫行为的定性具有重要的指引作用。 (四)行为人使用爬虫行为的权限许可 行为人是否在权限许可范围内利用网络爬虫技术获取公民个人信息是对行为违法性判断的方法之一。利用爬虫进行的爬取公民个人信息的行为,或是未经信息所有权人或平台的许可,或是超出了信息所有权人或平台授权范围的爬虫行为。如在最高人民检察院发布的36号指导案例中,被告人龚某就职于一家网络公司,在工作会接触到该公司内部管理开发系统的账号及密码,从而可以通过该系统账号查阅该公司的相关数据信息。但是该公司员工被禁止擅自通过该系统收集工作需要以外的数据信息。法院认为龚某擅自将自己掌握的公司内部管理开发系统的登录账号信息提供给卫某,使卫某收集到了该系统的大量数据信息。龚某虽然没有采取技术手段破坏系统防护,但是其明显属于超出公司给予龚某的授权范围,因此也构成犯罪。 (五)公民个人信息的可识别性 2021年颁布的《个人信息保护法》明确了公民个人信息的关键点在于“能识别到特定自然人,不包含匿名化处理后的信息”。因此能否从行为人通过网络爬虫技术获得的公民个人信息中识别出特定自然人身份,是对“非法”进行判断的关键。即使爬虫行为具有“非法”,但如果仅凭爬虫抓取的信息根本无法确定特定自然人身份,爬虫行为也不能构成犯罪。当事人通过各种途径收集大量的信息,即使其中包括电话号码,但是不能识别到特定自然人,其已经经过匿名化处理,这部分信息的收集行为也不构成犯罪。 参考文献: [1]潘晓英,陈柳,余慧敏,赵逸喆,肖康泞.主题爬虫技术研究综述[J].计算机应用研究,2020,37(04):961-965+972. [2]刘鹏.利用网络爬虫技术获取他人数据行为的法律性质分析[J].信息安全研究,2019,5(06):548-552. [3]See eBay, Inc v. Bidder’s Edge, Inc., 100 F. Supp. 2d1058, 1060-63(N.D. Cal 2000). [4]贺思聪编著.爬虫实战从数据到产品[M].北京:电子工业出版社,2019:5-10. [5]刘艳红.网络爬虫行为的刑事规制研究——以侵犯公民个人信息犯罪为视角[J].政治与法律,2019(11):16-29.
个人简介
 吴倩律师主要专注于劳动争议、婚姻家事、合同纠纷、施工纠纷等民商事业务领域,具备较强的纠纷争议解决能力。同时,也曾先后为重庆市消防救援总队、重庆市城市管理局、江北区市场监督管理局、重庆市沙坪坝规划和自然资源局、重庆市人民政府外事办公室、重庆市燃气集团等行政机关和大型国企提供法律服务,协助客户处理相关的诉讼案件以及非诉业务,具备较丰富的法律服务经验。 电话(微信号):13896618083 邮箱:953311741@qq.com |
