曹岚欣：恶意爬取数据行为的刑法规制边界——以非法获取计算机信息系统数据罪为视角

2024-07-05 17:54 山东

作者简介

作者：

曹岚欣

作者单位：

中国政法大学刑事司法学院，北京 100088；

作者简介：

曹岚欣(1999—)，女，湖南怀化人，中国政法大学刑事司法学院博士研究生，研究方向为刑法学。

论文相关信息

中图分类号：

D924.36

文献标识码：

文章编号：

1673-5595(2024)01-0130-09

DOI：

10.13216/j.cnki.upcjess.2024.01.0016

摘要

爬取数据行为的刑事风险逐渐扩张，根本原因在于未厘清非法获取计算机信息系统数据罪法益的实质内涵。考虑到作为本罪行为对象的“数据”所具有的动态流转功能及其背后的重要利益价值，应将本罪保护的法益界定为“数据的控制与操作自由—传统信息内容安全” 。这一阶层式法益成功跨越事实和规范之间的“鸿沟” ，保证了刑法罪名体系之间的协调与功能上的合理配置。在厘清非法获取计算机信息系统数据罪法益内涵的基础上，能够为恶意爬取数据的行为划定合理的刑法边界。爬取开放数据一律不构罪；恶意爬取半开放数据不构成本罪，但不排除构成传统信息类犯罪的可能性；恶意爬取不开放数据，若其无法被还原为刑法类型化保护的传统信息，则不构罪；如果能够被还原，根据刑法类型化保护的信息内容是否公开再次判断，若公开则不构罪，反之则构罪，并且可能与传统信息类犯罪发生法条竞合。

关键词

网络爬虫；非法获取计算机信息系统数据罪；法益；刑法边界

一、恶意爬取数据行为的罪名适用争议

数据爬虫，又称为网络爬虫、网络蜘蛛，是指根据使用者所设置的指令在不同的网络站点跳转过程中自动提取网页内容的脚本工具。爬取数据行为就是使用者在万维网上利用数据爬虫这一脚本工具来筛选、抓取所需要的数据的行为。^[1]爬取数据行为有善意和恶意之分，善意的爬取数据行为实际上是一种技术中立行为，有利于提高信息传递与交流的效率，而恶意的爬取数据行为却会引发刑事风险。

案例1 被告单位上海晟品网络科技有限公司系有限责任公司，经营计算机网络科技领域内的技术开发、技术服务、电子商务、电子产品等业务。被告人张洪禹系上海晟品网络科技有限公司法定代表人兼CEO，负责公司整体运行；被告人宋健于2016年8月至2017年2月任职上海晟品网络科技有限公司，担任联席CEO，系产品负责人；被告人侯明强于2016年8月至2017年2月任上海晟品网络科技有限公司CTO，系技术负责人；被告人郭辉系上海晟品网络科技有限公司职员。被告人张洪禹、宋健、侯明强经共谋，于2016年至2017年间采用技术手段抓取被害单位北京字节跳动网络技术有限公司服务器中存储的视频数据，并由侯明强指使被告人郭辉破解北京字节跳动网络技术有限公司的防抓取措施，使用“tt_spider”文件进行视频数据的抓取。法院认定行为人的行为构成非法获取计算机信息系统数据罪。^①

案例2 2019年2月份，被告人周某为获取其私自研究程序所需的公民个人信息，使用自己编写的网络爬虫程序擅自进入XX学院教务管理系统，窃取了包括照片、姓名、性别、身份证号码等数据内容的4万余条学生个人信息，并将窃取的学生信息存放在自己的服务器内。法院认定周某构成侵犯公民个人信息罪。^②

案例3 2018年1月至7月期间，被告人呙某某通过SQL注入漏洞以及编写爬虫脚本的方式，侵入计算机信息系统，获取计算机系统内存储的大量数据，其中涉及个人信息的数量约为1500万条，并将其获取的个人信息通过QQ销售给多名网络买家，从中获利54万余元。被告人呙某某被民警抓获到案。法院认定呙某某构成非法获取计算机信息系统数据罪。^③

案例1被中国互联网法律大会列为全国首例利用“爬虫技术” 侵入计算机系统抓取数据案，其判决结果引发了学界的广泛争议。有学者认为，该案中，网站采用流媒体播放这一技术本身即意味着视频数据的非公开性，也同时意味着行为人爬取其视频文件的非法性。^[2]也有学者认为，“本案基于技术层面数据载体的保密性，将爬取信息内容公开且处于公众可访问状态数据的行为，认定为非法获取计算机信息系统数据罪，存在以技术判断主导定罪的刑法扩大化适用嫌疑”^[3]。而在案例2和案例3中，同样是恶意爬取数据的行为，有的法院按照传统信息类罪名定罪处罚；有的法院却直接认定为数据犯罪，按照非法获取计算机信息系统数据罪处理。由此可见，实务界和理论界对于恶意爬取数据行为的定性存在较大争议。

如果仔细考究就会发现，实务界和理论界在恶意爬取数据行为定性问题上未达成共识的症结，在于对非法获取计算机信息系统数据罪的法益存在不同的理解。例如，在案例1中，如果认为本罪保护的法益是数据的操作和控制，即使信息公开，恶意爬取数据的行为也会构成本罪；而如果认为本罪保护法益还包括信息内容安全（保密性），那么恶意爬取内容公开的数据则不构成本罪。案例2和案例3会出现不同的判决结果，是因为案例2中，法院的判决思路是，非法获取计算机信息系统数据罪是传统信息类犯罪的补充性罪名，后者保护的是传统信息内容安全，而前者保护的是传统信息内容安全之外的普通信息内容安全，两者在刑法罪名体系中共同运作，目的是实现对于信息的分流保护；案例3中，法院的判决思路是，只要破坏了数据的控制与操作自由就构成非法获取计算机信息系统数据罪。因此，只有真正厘清非法获取计算机信息系统数据罪法益的规范内涵，才能解决司法实践中出现的同案不同判现象，进而维护社会的公平正义，也能够防止因罪名的不当适用导致犯罪圈扩大，进而更好地落实人权保障的要求。本文将以非法获取计算机信息系统数据罪为研究视角，以期划定恶意爬取数据行为的刑法规制边界。

二、非法获取计算机信息系统数据罪法益的理论聚讼

目前学界的通说认为，非法获取计算机信息系统数据罪保护的法益是数据安全。^[4]167关于数据安全的内涵，理论界主要有两种不同观点。

（一）数据的控制和操作说及其检视

有学者认为数据的法益属性指向的是对数据的控制与操作而非信息内容，理由是数据与信息是两个不同的概念，数据指向的是其作为符号的流转功能，而信息指向的是静态的内容。^[5]123按照这种思路，信息内容公开而数据未开放的情形也应当被纳入非法获取计算机信息系统数据罪的规制范围。

然而，刑法不可能单纯保护数据的控制和操作，保护数据的控制和操作安全是聚焦于保护秩序法益，秩序法益这一概念的提出本身值得商榷，因为秩序或者制度是能够由立法者任意决定的一类集体法益，而刑法又是最严厉的制裁措施，如果刑法将这些集体法益都加以保护将会不当扩大犯罪圈，与国民的法感情产生严重的背离。刑法保护的集体法益应当结合具体个罪的犯罪构成要件进行实质解释，能够还原为个人法益、具体法益的集体法益才具有正当性。非法获取计算机信息系统数据罪在司法实践中之所以呈现出“口袋化”趋势，原因之一就在于司法者只关注数据的技术属性，即数据的流转功能，而不关注数据流转功能背后隐藏的重要利益。实际上，数据真正的价值在于能够被加工分析进而获取特定利益相关的信息。^[6]若数据经过加工处理后无法从中提取重要信息或者重要的信息内容本身是公开的，此时完全可以通过《反不正当竞争法》进行规制，因为即使是公开的信息，经过人工收集、分析、编辑与整合之后，通过商业运行可以带来可观效益，已经具备了无形财产的特征，抓取此类数据的行为本质上是一种不正当竞争。^[7]因而无需动用刑法的手段进行规制。

（二）普通信息内容安全说及其检视

有学者认为非法获取计算机信息系统数据罪保护的是数据背后的信息内容安全。但是，由于公民个人信息、知识产权等信息已经被现行刑法类型化保护，为避免法益保护的重复性，本罪不保护以数据为媒介的传统法益，只保护传统信息安全之外的普通信息内容安全。^[4]168

首先，在数据和信息二分的情况下，非法获取计算机信息系统数据罪法条明确表述的是“ 非法获取数据”而非“非法获取信息”，这意味着不宜将数据安全完全理解为信息内容安全，在侵害信息内容安全之前首先侵犯的是数据作为符号的动态流转功能，即数据的控制与操作。如果忽略了这一前提条件，即使数据未被复制，只要信息内容被知悉就构成本罪。随之而来的问题是：本罪对手段行为有要求，即必须采取“技术手段”，如果仅仅只保护“信息内容安全” 而不考虑“数据的控制与操作”，那么无论采取何种手段都不应当影响入罪，因此有自相矛盾的嫌疑。由此可见，仅仅破坏信息内容的保密性尚不足以构成本罪，还要求发生数据流转的结果（即数据被复制），这种结果体现在数据数量的有形增加，但是数据的内容仍未发生变化。

其次，将刑法未类型化保护的信息通过本罪纳入刑法的规制范围，并不符合罪责刑相适应的基本原则。刑法之所以要对传统信息进行保护，是因为传统信息一旦被泄露，将会引发“链条式” 犯罪。例如，关于杜天禹侵犯公民个人信息案，最高人民法院指出，侵犯公民个人信息犯罪被称为网络犯罪的“百罪之源”，由此滋生了电信网络诈骗、敲诈勒索、绑架等一系列犯罪，社会危害十分严重，确有打击必要。^[8]而对于类似下载记录、关键词搜索记录等信息，只会反映用户的个人喜好，并无法识别出特定个人，即使被利用也不会直接危及人身、财产安全，由于刑法是最严厉的制裁手段，因此需要保持谦抑性，如果将这一类信息纳入刑法的规制范围，显然不符合罪责刑相适应的基本原则。

最后，普通信息内容安全说导致《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》（以下简称《解释》）与其他司法解释无法有效衔接。《解释》第1条将非法获取计算机信息系统数据罪的对象规定为“身份认证信息”，根据信息内容安全说，本罪的目的是实现信息的分流保护，因而 “身份认证信息” 属于刑法独立保护的一类信息，与传统的公民个人信息是并列排斥的关系。然而，《解释》第11条规定：“本解释所称‘身份认证信息’，是指用于确认用户在计算机信息系统上操作权限的数据，包括账号、口令、密码、数字证书等。”而根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第1条的规定，公民个人信息的定义中也包含了账号、密码的表述。根据文义解释规则，《解释》并不排斥身份认证信息作为公民个人信息子集的可能性。因此，普通信息内容安全说会导致《解释》与其他司法解释的规定出现矛盾。

三、非法获取计算机信息系统数据罪法益的教义学重构

“作为将外部的规范需求传递进入刑法体系的媒介，法益承担着沟通刑法体系与外部环境的功能，是刑法体系应变性机制中的重要组成部分，也因此，法益本身具有被影响的一面，而构成要件类型的确定及其解读更是受到法益内容的制约。”^[9]准确适用非法获取计算机信息系统数据罪的前提是厘清本罪的法益。

（一）数据和信息概念界分

实践中，数据和信息的概念经常被混淆使用^[5]120，然而，这两者对应的功能实质上存在明显区别，也直接影响对于非法获取计算机信息系统数据罪法益的界定，因此有必要重新厘清两者之间的关系。

从数据和信息本身的科学定义来看，数据与信息是两个属性完全相异的概念。纽约大学法学教授尤查·本科勒（Yochai Benkler）在三个层面讨论了数据的支配和控制问题，其中，最底层是“ 物理层”，即数据储存载体的特定物质结构；中间层是“符号层”，在计算机系统中，数据以二进制信息单元0、1的形式表示，经过编码转换后便形成人类可以理解的符号；最顶层是“内容层”，即数据所承载的内容。^[10]形象地说，如同在纸张上写字，纸张是物理层，汉字是符号层，而汉字呈现出来的含义是内容层。这实际上是将数据置于三个不同的层面进行理解，但无论处于哪一层面，都未改变数据自身的性质，即数据本身是一种可识别的、抽象的符号，这种符号有多种表现形式，包括具有一定意义的文字、字母、数字符号等，由此可以说，数据是一种符号，其与数据的内容处于不同的层面、具有本质区别。而信息是数据经过有序排列组合后呈现出的对人有价值的内容。需要注意的是，根据国际标准化组织的定义，信息是在特定语境下具有特定含义的知识，数据则是该知识的表现形式，但是并不意味着数据一定承载着信息内容，国际标准化组织之所以如此定义是为了说明数据和信息之间的关系。实际上，数据可能以冗余数据的形式出现，冗余数据被获取之后，经过加工处理可能会指向刑法已经类型化保护的信息，如公民个人信息、国家秘密、商业秘密等，因此，有必要对非法获取冗余数据的行为加以规制。基于此，对 “数据”更精准的定义应表述为“经过计算机编码并通过特定设备或装置予以读取的表现形式”^[5]120。

从我国的立法导向来看，对数据和信息是分开保护的。在刑事立法领域，我国早期对涉及数据的刑法保护主要有两种方式：一种是通过《刑法》第286条的破坏计算机信息系统罪对“删除、修改、增加计算机信息系统中存储、处理或者传输的数据”的行为进行规制；另一种实际上是保护多个数据组合后所承载的信息内容，例如，我国1997年《刑法》立法之初，“秘密情报”和“证券交易”两类信息被作为犯罪对象加以保护。^[11]从早期的保护路径来看，刑法将数据和信息分开保护，说明立法者有意将数据和信息区别对待。前者强调数据本身作为符号的性质，侧重于保护计算机信息系统安全，即计算机信息系统的正常运行；而后者侧重于保护信息内容，这两者保护的法益不在同一维度。基于体系解释中语义同一性的要求，非法获取计算机信息系统数据罪中的“数据”也应当被理解为一种区别于信息的符号。这种对于数据和信息区别对待的做法不仅体现在刑事立法中，还体现在行政和民事立法中。例如，我国行政立法制定了《数据安全法》和《个人信息保护法》，前者聚焦于电子数据的基础性安全规则，包括数据的流转、泄露等，后者则聚焦于个人信息内容的保护；在民事立法领域，《民法典》分别在第1034条和第127条规定了个人信息和数据保护，并且将数据和虚拟财产置于同一法条中，说明数据在计算机场域中具有区别于信息的独立价值。从目前的立法导向来看，立法者将数据和信息分开保护，二者呈现出明显的并列关系。

由此可见，数据强调的是其作为符号的动态流转功能，而信息强调的是静态的内容。非法获取计算机信息系统罪以“数据” 作为行为对象，就绕不开对于数据功能本身的保护作用。因此，非法获取计算机信息系统数据罪首先保护的法益是数据的控制与操作自由。

（二）“非法获取”行为的实质规范内涵

“非法获取”行为是非法获取计算机信息系统数据罪的实行行为，对“非法获取” 行为的理解直接影响到对“ 数据的控制与操作自由” 法益的界定。因此有必要厘清“非法获取”行为的实质规范内涵。

《刑法》第285条第2款对非法获取数据行为具体的表述是“侵入或者采取其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据”。厘清的关键在于如何理解“ 侵入” “ 其他技术手段” “获取”的具体含义。

就“侵入”行为而言，其本质上也是一种“技术手段”。“其他技术手段”中的“其他”一词表明对“侵入”行为应适用同质解释规则。从相关立法资料来看，《中华人民共和国刑法释义》认为“侵入，是指未经授权或者他人同意，通过技术手段进入计算机信息系统”^[12]491。“侵入”与“其他技术手段”的区别可以依据《解释》第2条的规定推断出来。《解释》第2条规定，“侵入”需要具有避开或者突破计算机信息安全系统的性质，最典型的形式诸如攻击服务器、爆破、破解通信协议等。那么 “其他技术手段” 就应指那些未经授权，但未避开或者突破计算机信息安全系统的情形，如采取交换、收买、骗取、窃取等手段获取用户身份，正常登录计算机信息系统获取数据。“技术手段”并非要求行为人必须采取物理科技手段侵入计算机信息系统，只要未经授权突破了数据主体设置的安全技术措施就可以认为行为人采取了“技术手段”，因为设置安全技术措施的主要目的就是划定网络平台的隐私区域，只允许特定主体访问，其他主体未经允许闯入“禁区”获取数据就会受到刑法的规制。由此可见，“非法获取”行为不仅要满足“未经授权”的控制性标准条件，还要满足“技术手段”这一技术性标准条件。如果数据主体未设置技术安全措施，即使行为人未经授权获取了数据，也无法构成非法获取计算机信息系统数据罪。虽然这种场合下看似也妨碍了数据主体的数据控制与操作自由，但是对数据控制与操作自由的保护也有强弱之分，只有达到了值得刑法规制的程度才能够入罪。

从具体内容上看，关于“获取”行为，有学者认为“只要行为对数据的保密性造成侵犯便是本罪所评价的‘获取’ 数据行为”^[13]。然而，这其实是混淆了“数据”和“数据的内容” 两者的属性，前者只是一种抽象的符号，不存在保密性一说，本罪中明确表述的是“数据”而非“数据的内容”，说明仅仅知悉数据的内容但并未发生数据流转（被复制）的结果时，是不符合本罪的行为对象要件的。并且，仅仅保护数据内容的保密性是没有意义的，只有数据被实际复制才会产生利用价值。因此，本罪的“ 获取” 行为应指数据实际被复制。从“获取”行为在犯罪中的作用而言，有学者认为“强行侵入普通系统虽未抓取数据但制造了法不允许的危险时亦有刑事违法性”^[14]。这种观点认为“获取”行为是本罪的既遂条件而非成立条件。然而，本罪要求满足“情节严重” 的标准才成立犯罪，参照传统信息类犯罪，情节严重均要求实际获取信息，从体系解释的角度出发，本罪也应当要求实际获取数据，才符合“情节严重”的标准。因此，对于“侵入”或者采取“其他技术手段” 进入计算机信息系统，由于意志以外的原因未获取到数据，即使对数据安全造成了一定的威胁，也不满足“情节严重”的要求，无法构罪，“获取”行为是犯罪成立条件而非既遂条件。综上所述，如果数据未被复制（获取），就不能认为侵害了“数据的控制与操作自由”这一法益。

（三）保护法益的重新定位

“数据的控制与操作自由”是一种行为规范，其体现的是一种超具体法益的基础属性，即秩序法益。然而，单纯的秩序法益将难以解决法益保护与人权保障之间的二律背反。^[15]如果仅仅考虑行为规范将会导致形式入罪，因此还需要考虑非法获取计算机信息系统数据罪的裁判规范属性，为实质出罪提供依据。裁判规范的对象是法官，让法官根据自身的专业知识进行刑法适用的规范评价，在数据控制与操作这一秩序法益的基础上进一步限缩，还需要对信息内容安全造成侵害。根据前文分析，刑法尚未类型化保护的信息内容目前不适宜通过非法获取计算机信息系统数据罪纳入刑法的规制范围，否则会阻碍信息的流通，抑制科技创新，因此将“信息内容安全”定位于刑法已经类型化保护的信息内容较为合适。另外，对刑法传统类型化保护的信息内容安全的侵害，包括现实的侵害和潜在的侵害两种情形。

现实的侵害是指，在数据被获取的同时，刑法类型化保护的信息内容保密性也受到了破坏。在罪数关系上，虽然传统信息类罪名的手段行为可能会与非法获取计算机信息系统数据罪的“获取” 行为出现重合，但是两类罪名保护的法益仍存在区别。例如，“窃取” 是侵犯公民个人信息罪的一种手段行为，突破身份认证措施爬取数据的行为也可以被理解为“窃取” 行为，但是侵犯公民个人信息罪保护的是公民个人信息的保密性，至于通过何种非法行为获取信息并不是刑法关注的对象（前提是满足行为的等质性要求），这也是侵犯公民个人信息罪只要求未经授权，而不要求必须采取技术手段的原因。换言之，传统信息类罪关注的是现实结果而非实现的过程，而非法获取计算机信息系统数据罪不仅关注结果，还关注数据的控制和操作过程。通过上述分析可知，非法获取计算机信息系统数据罪和传统信息类罪之间是法条竞合关系。其中，规定非法获取计算机信息系统数据罪的法条是特别规定，传统信息类罪涉及的法条是一般规定，因为前者在侵犯信息内容安全的基础上还侵犯了数据的控制与操作这一秩序法益。一般情况下，特别法优先，特殊情况下择重处理。

潜在的侵害是指，在数据被获取的同时，刑法类型化保护的信息内容保密性并未受到破坏，在数据被获取之后，经过加工处理，侵犯了刑法类型化保护的信息内容。这种情形下，非法获取计算机信息系统数据罪与传统信息类犯罪的区别在于打击时间的提前，本罪不要求传统信息内容安全受到实际损害，只要求非法获取数据并在未来有造成传统信息内容安全损害的必然性即可。原因在于，非法获取并利用数据的行为相对于直接非法获取信息的行为社会危害性更大，一旦数据被获取并经过加工利用，就会对集合状态的个人法益（即不特定或者多数主体的信息内容安全）造成范围、种类等不确定的损害，且造成个人法益侵害的几率较高，相对于保护同类个人法益的传统信息类犯罪而言，其入罪门槛自然有降低的必要。^[16]同时，非法获取计算机信息系统数据罪还能够填补传统罪名对于传统信息内容安全的保护漏洞。以侵犯公民个人信息罪为例，根据《刑法》和《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》的规定^④，可以发现“其他非法获取”的手段行为需要与 “窃取、骗取、购买、收受、交换” 具有等质性，这五种行为的特点是：获取的都是现成的公民个人信息，手段行为具有直接性，不包括将数据经过加工分析后获取公民个人信息的情形。虽然侵犯公民个人信息罪的法益是信息内容的保密性，但是不能只考虑法益而忽略了构成要件，如果不符合“非法获取”手段行为的等质性要求，就无法满足罪的构成要件，相比于实质解释论，形式解释论更加符合刑法谦抑性原则的要求。可见，传统罪名无法对将数据加工处理后获取公民个人信息的行为进行规制，但这种行为与窃取公民个人信息的社会危害性并无本质区别，因此有纳入刑法规制的必要性。而《刑法》第285条第2款规定的非法获取计算机信息系统数据罪便能够填补上述行为漏洞，因为即使无法直接打击数据加工处理的行为，仍然可以打击前端的非法获取数据行为，而且非法获取计算机信息系统数据罪与传统信息犯罪的基本法定刑相同，不会造成刑罚上的漏洞。综上所述，本文认为，非法获取计算机信息系统数据罪保护的法益是“数据的控制与操作自由—传统信息内容安全”的阶层式法益。

四、恶意爬取数据行为的合边界性审视

本文按照开放程度将数据种类划分为完全开放数据、半开放数据和不开放数据三类，“开放”和 “公开”语词在含义上是有区别的，“开放” 是针对数据的控制与操作而言的，而“公开” 是针对信息内容而言的，这两者的关系在于，信息公开不代表数据开放，但是数据开放信息一定是公开的。基于对非法获取计算机信息系统数据罪法益的教义学反思，下文将以此为基础，对恶意爬取数据行为的刑法规制边界进行研究。

（一）完全开放数据

完全开放数据是指，不需要附加任何限制条件，主体有权限获取的数据。如果数据本身是开放的，说明可以自由获取数据，不可能构成非法获取计算机信息系统数据罪。如果获取数据的同时知悉了传统信息内容，也不构成传统信息类犯罪，因为数据开放，意味着数据所承载的信息也是公开的。如果获取数据后，经过加工处理才能知悉传统信息内容，那么加工处理数据的行为是否应当被允许呢? 笔者持肯定的态度，因为这种情况下，仅仅获取数据是没有意义的，只有对数据进行加工处理才能彰显数据的价值。数据主体同意他人获取数据，也就默认了对于数据的后续处理行为，否则这种同意没有任何意义。随之而来的问题是：即使加工处理A的数据的行为是被允许的，也有可能侵犯B的信息内容保密性，如果侵犯了B的信息内容保密性，能否适用传统信息类犯罪进行处罚呢? 根据前文分析，利用数据加工获取信息的行为并不在目前传统信息类犯罪的手段范围之内，因此不能适用传统信息类犯罪，这也是法律目前存在的漏洞。

（二）半开放数据

半开放数据是指，主体有权限获取的数据，但是附加了一定的限制条件。获取半开放数据主要包括两种情形：一种是突破反爬措施获取数据，另一种是超越授权获取数据。前者本质上获取的是客户端数据，客户端数据的特点在于不限制访问的主体，而是对于访问的方式进行了限制，如不得采用爬虫措施一次性获取大量的数据；后者获取的是服务端数据，服务端数据的特点在于具有私密性，因而限制访问的主体，即只允许特定的主体进行访问。

1.突破反爬措施获取数据

用户身份认证措施与反爬措施不仅在技术设计上有所区别，而且背后的规范保护目的也不同。著名的网络法学者奥林·塞缪尔·克尔（Orin S Kerr）论述，借助用户身份认证系统，网站主体可以在互联网中划分出明确的两个区域，开放空间和非开放空间。^[17]身份认证措施划分的非开放空间特点在于，对获取数据的主体进行“过滤”，除非获得授权，否则主体不能进入服务端计算机信息系统获取数据。而在网络爬虫的情形下，业内一般将用户身份认证信息之外的措施称之为反爬机制。^[18]反爬措施是指利用某种技术手段阻止他人利用爬虫技术大规模访问客户端的方式，“IP访问量限制、session访问量限制、User-Agent限制以及设置登陆验证码” 都属于实践中常见的反爬措施。^[19]由此可知，反爬措施作用于客户端也就是访问者的计算机信息系统，客户端数据的特点是对所有访问者开放，不用经过数据主体的授权就可以直接获取数据，数据主体放弃对数据垄断的权利，将作为私有产品的数据转变为具有操作共享性的公共资源。^[20]之所以还要设置反爬措施，是为了防止网络爬虫过高的访问频率对普通用户的访问造成影响，比如减缓访问速度或者造成计算机信息系统瘫痪，这种非开放空间的特点在于限制获取数据的方式而非主体。

非法获取计算机信息系统数据罪中的“ 技术手段”应当不包括“突破反爬措施”的行为，通过考察我国《刑法》第285条第1款非法侵入计算机信息系统罪的立法背景可知，立法者确立本罪名的主要目的在于规制通过突破网站设立的系统安全保护措施的黑客入侵与攻击等行为。^[12]491因此，网站所设立的系统安保措施必定也是针对具有访问权限的特定主体，而对其他主体则是默认关闭，基于体系解释的规则，本罪的“技术措施” 也是针对特定主体而非特定方式设置的，本罪的“数据” 是指服务端的数据而非客户端的数据。综上所述，突破反爬措施获取数据的行为不构成非法获取计算机信息系统数据罪，但是可能对计算机信息系统造成损害，在符合破坏计算机信息系统罪构成要件的情况下按照破坏计算机信息系统罪处理，否则不构成犯罪。如果在爬取数据的同时获取了传统信息内容，由于该行为是在客户端完成的，客户端的信息内容是公开的，因此不存在侵犯传统信息内容安全的可能性，不构成传统信息类犯罪。

2.超越授权获取数据

超越授权的前提是主体有获取数据的权限，但是超越了授权的目的或者范围，即突破了数据主体对其设立的限制条件。对于这一类情形，又可以根据是否设置身份认证措施划分为合约授权和技术授权两种类型。

合约授权中超越授权情形，不构成非法获取计算机信息系统数据罪。首先，非法获取计算机信息系统数据罪中“非法获取”的实质内涵是技术手段，合约授权指的是通过意思表示允许或者禁止他人访问、获取数据，这一类保护措施不具有技术上的强制力。^[21]因此，即使超越合约授权获取了数据也不构成本罪。其次，从合约授权的通常性质来看，虽然名为合约授权，实际上多数情况下都是被爬取平台的单方意思表示通知，比如网站上的告知、弹窗、数据产品中的备注，双方并未形成实际合意，并且这些单方声明是否为用户所明确知悉也存疑，显然用户处于弱势地位，如果将违背这种“合约”授权的行为入罪，一方面不符合公众对公平正义的法感情期待，另一方面导致入罪与否完全取决于被爬取平台的单方意志，会扩大刑法处罚的范围，并不具有合理性。再次，“所谓‘爬虫协议’，亦称为robots协议（robots exclusion protocol），是指ICP利用robots.txt文件指导其网站如何应对 robots 程序的协议。”^[22]在百度诉奇虎360不正当竞争纠纷案中，法院就爬虫协议的属性进行了讨论，并做出如下认定：爬虫协议是技术规范，并非法律意义上的协议。2012年11月，在互联网协会牵头下，百度公司和奇虎360公司签署《互联网搜索引擎服务自律公约》（以下简称《自律公约》），《自律公约》并非法院可以直接参照适用的法律法规或规章，但其反映和体现了行业内的公认商业道德和行为标准，法院对于《自律公约》所体现出的精神予以充分考虑。因此，爬虫协议不属于合同，并不具有法律效力，更不用说具有刑事违法性的判断功能。^⑤最后，从法益的角度看，刑法之所以要求“非法获取” 行为具备技术本质，是因为数据主体设置安全保护措施体现了对数据的强保护意愿，而合约授权并未设置技术措施，从客观上看是一种弱保护，即使数据主体有强保护意愿，但是在能够意识到不设置技术措施后果（即数据极易被获取）时仍不采取措施，刑法也不应该超前干预，否则刑法就会成为阻碍科技创新的绊脚石。此时，这种数据被控制和操作的风险就应当由数据主体自行承担，不能对行为人施加刑罚，但是不排除行为人需要承担民事责任的可能性。

技术授权中超越授权的情形，不构成非法获取计算机信息系统数据罪。如果数据主体赋予了行为人获取数据的权利，就应当意识到行为人可能会存在超越授权获取数据的行为，从客观上看，这是数据主体对数据的一种弱保护，基于上述对于合约授权不受刑法规制的法益分析，行为人对数据安全的侵害尚未达到刑法规制的程度。因此，行为人超越授权获取数据行为的风险应当由数据主体承担。当然，这并不排除行为人要承担超越授权的民事法律责任。为了防止技术授权中超越授权现象的出现，企业可以从源头上治理，比如规范用人标准、制定相应的防范措施或者处罚机制。

在上述两种情形中，如果获取数据的同时还破坏了刑法类型化保护的信息内容的保密性，仍然构成传统信息类犯罪，因为传统信息类犯罪的手段不要求必须是技术手段，只要是未经授权的行为都可以构成该类犯罪。而传统信息类犯罪之所以不要求技术手段，是因为信息内容的保密性是刑法的重点保护对象，在数据主体没有做好防范措施的时候，刑法基于公共利益的考量（比如防止利用这些信息进行侵犯人身、财产的犯罪）也要替数据主体进行保护。

（三）不开放数据

不开放数据是指，主体没有获取权限的数据。如果非法获取不开放数据并加工利用后，无法获取刑法类型化保护的传统信息内容，则不构成非法获取计算机信息系统数据罪；如果非法获取不开放数据后，能够加工利用获取刑法类型化保护的传统信息内容，根据刑法类型化保护的传统信息内容是否公开，又可以分为两种情况进行讨论。

1.刑法类型化保护的信息内容公开

对于这一种情形，不构成犯罪。理由是：根据非法获取计算机信息系统数据罪保护的法益来看，表面上是保护数据的控制与操作，但实质上是为了保护刑法已经类型化的信息内容安全（保密性），如果该类信息内容本身是公开的，此时再保护数据的控制和操作便失去了刑法规范上的意义。以案例1为例，暂且不考虑行为人恶意抓取的视频内容是否涉及到刑法类型化保护的传统信息内容，由于视频的信息内容本身是公开的，那么就不存在对信息内容保密性进行破坏的可能性，因而无法构成本罪。

2.刑法类型化保护的信息内容不公开

对于这一类情形，一律构成犯罪。具体可以分为两种情况：一是爬取数据后经过加工处理获取刑法类型化保护的信息内容；二是直接爬取刑法已经类型化保护的信息数据。对于第一种情况，符合“情节严重”的要求时，构成非法获取计算机信息系统数据罪。对于第二种情况，爬取数据的行为同时触犯了非法获取计算机信息系统数据罪与传统信息类罪名，按照法条竞合处理。本文提到的案例2和案例3就属于第二种情况。

五、结语

实务界和理论界对于恶意爬取数据的行为定性存在较大争议，根源在于未厘清非法获取计算机信息系统数据罪法益的规范内涵。要厘清本罪的法益，首先，需要明确本罪的行为对象。“数据” 强调的是其作为符号的流转属性，而“信息” 则强调的是内容的保密属性，两者不可等同视之。因此，本罪应当将“数据的控制与操作自由” 作为阻挡层法益进行考虑。其次，需要从实行行为的角度对“数据的控制与操作自由”法益的具体内涵进行界定。本罪的“非法获取” 行为包括“ 侵入” 与 “其他技术手段” 两种行为样态，且均需同时满足 “未经授权” 的控制性标准和“技术手段” 的技术性标准。 “获取” 行为应指数据实际被复制，且应作为犯罪成立条件而非既遂条件适用。最后，需要对本罪的保护法益进行重新定位。本罪不仅是保护数据的控制与操作自由的行为规范，而且还是保护现实与潜在的信息内容安全的裁判规范。之所以需要保护潜在的信息内容安全，是为了防止法益侵害泛化以及弥补传统信息类犯罪手段行为的漏洞。结合上述对于非法获取计算机信息系统数据罪法益的规范解读，可以为恶意爬取数据行为划定刑法规制的边界。根据数据是否开放可以分为开放数据、半开放数据、不开放数据。爬取开放数据一律不构罪。恶意爬取半开放数据不构成本罪，但是可能会构成传统信息类犯罪。恶意爬取不开放数据，如果不涉及侵害传统信息内容安全，则不构成本罪；若可能侵犯传统信息内容安全，则看刑法类型化保护的信息内容是否公开，若公开，那么一律不构罪，但是可能会受到其他部门法的规制，若不公开，则构成本罪，并会与传统信息类犯罪发生法条竞合。

注释及参考文献

注释：

①参见北京市海淀区人民法院（2017）京0108刑初2384号判决书。

②参见湖南省怀化市鹤城区人民法院（2019）湘1202刑初530号判决书。

③参见山东省青岛市中级人民法院（2020）鲁02刑终108号裁定书。

④参见《刑法》第253条、《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第4条。

⑤参见北京市第一中级人民法院（2013）一中民初字第2668号判决书。

参考文献：

[1]曾伟辉，李淼.深层网络爬虫研究综述[J].计算机系统应用，2008(5)：122-126.

[2]游涛，计莉卉.使用网络爬虫获取数据行为的刑事责任认定——以“晟品公司”非法获取计算机信息系统数据罪为视角[J].法律适用，2019 (10)：3-10.

[3]石经海，苏桑妮.爬取公开数据行为的刑法规制误区与匡正——从全国首例“爬虫”入刑案切入[J].北京理工大学学报(社会科学版)，2021，23(4)：154.

[4]杨志琼.非法获取计算机信息系统数据罪“口袋化” 的实证分析及其处理路径[J].法学评论，2018，36(6).

[5]孙杰.数据爬取的刑法规制[J].政法论坛，2021(3).

[6]郭旨龙.非法获取计算机信息系统数据罪的规范结构与罪名功能——基于案例与比较法的反思[J].政治与法律，2021(1)：64-76.

[7]李帅.网络爬虫行为对数据资产确权的影响[J].财经法学，2020 (1)：25-34.

[8]电信网络诈骗犯罪典型案例[EB/OL].(2019-11-19)[2022-03-24].https：//www.court.gov.cn/zixun-xiangqing-200671.html.

[9]劳东燕.个人信息法律保护体系的基本目标与归责机制[J].政法论坛，2021，39(6)：4.

[10]Yochai Benkler.From Consumers to Users.Shifting the Deeper Structures of Regulation Toward Sustainable Commons and User Access[J].Federal Communications Law Journal ，2000，52(3)：561-579.

[11]田刚.数据安全刑法保护扩张的合理边界[J].法学论坛，2021，36(2)：66-75.

[12]郎胜.中华人民共和国刑法释义(第六版)[M].北京：法律出版社，2015.

[13]李紫阳.厘清法益准确认定数据犯罪之“获取”[N].检察日报，2021-07-19(3).

[14]童云峰.大数据时代网络爬虫行为刑法规制限度研究[J].大连理工大学学报(社会科学版)，2022，43(2)：94.

[15]王永茜.论刑法上裁判规范与行为规范的分离[J].清华法学，2015，9(5)：145-160.

[16]姜涛.论集体法益刑法保护的界限[J].环球法律评论，2022，44(5)：123.

[17]Orin S Kerr.Norms of Computer Trespass[J].Columbia Law Review，2016，116(4)：1143-1182.

[18]付强，李涛.网络爬虫的刑法应对[J].中国检察官，2020(18)：17-22.

[19]唐松.Python网络爬虫从入门到实践(第二版)[M].北京：机械工业出版社，2019：5.

[20]高富平.数据经济的制度基础——数据全面开放利用模式的构想[J].广东社会科学，2019(5)：5-16.

[21]阮林赟.网络爬虫刑事违法的立场、标准和限制[J].河北法学，2021，39(7)：182.

[22]曹阳.我国对违反“爬虫协议”行为的法律规制研究[J].江苏社会科学，2019(3)：159.