网络数据爬取行为中“数据”范围的认定

网络数据爬取行为中“数据”范围的认定

Criminal law issues in web crawlers

通过对我国司法实践中规制网络数据爬取行为的现状梳理，发现我国目前司法实践中对于网络数据爬取行为的认定标准比较宽泛，尤其是在对于数据范围的认定方面，存在诸多不足和模糊之处。因此本文拟通过对我国司法实践中数据的范围认定问题进行探讨，以保证刑法的谦抑性，避免网络数据爬取行为造成的法律风险扩张。

作为被侵害的对象，数据范围的认定一直以来都是网络数据爬取类犯罪的关注重点。但是，数据范围认定的不一致是我国司法实践面临的困境与难题。因此，唯有对数据的范围作出一致的规定，对数据类型作出严格的区分和界定才能帮助我们更好地认识网络数据爬取类犯罪，进而更好地防范和规制网络数据爬取类犯罪。

首先，数据范围的扩大化适用。我国《刑法》第二百八十条所规定的数据根据相关司法解释，将“数据”限缩为移动支付结算、证券和期货交易等金融网络服务的身份认证信息及其他身份认证信息。其中，身份认证信息包括账号、密码等用于确认用户操作权限的数据。在我国新出台的《数据安全法》中，“数据”是这样定义的：采用电子信息或其他方式记录的信息，明显是将数据和信息进行了概念上的混同。数据和信息是不可分割的一对概念，接收者对信息识别后表示的符号叫作数据。数据作为可识别的符号，其具有多种形式，但其中包含的信息内容是不会随载体的变化而变化的。信息是对数据的翻译和解释，即使数据被处理了过后，也是需要经过解释来转变为可读的信息。从本质上来说，数据是客观对象的载体形式，而信息则是数据内涵的整合意义，数据只有对实体行为产生影响时才能成为信息。

但是在我国的司法实践中，对于网络数据爬取类犯罪行为中“数据”的认定还是存在误区，对于“数据”的理解较为混乱，特别是在涉及计算机信息系统的犯罪中，司法实务界尚未对“数据”的内涵和外延达成统一的认定。从具体的案例中可以看出来，实务界对于数据范围的认定是很宽泛的，几乎是包括了网络信息系统的显示、存储、传输的权利客体。在以往使用爬虫技术进行犯罪的案件中，被爬取的数据包括了智能设备的账号和密码等诸如此类的身份识别信息，以及有经济价值的信用卡信息资料。从法院已生效的判决中可以看出，对于网络犯罪，特别是涉及到计算机信息系统的犯罪，法院在审理和判决时并未严格按照司法解释的规定对数据进行限缩解释，而且也没有仅仅在“身份识别信息”类的数据信息范畴之内，而是直接将此类数据纳入到非法获取计算机信息系统数据罪中进行规制。

这样过于广义的、宽泛的“数据”范畴，让非法获取计算机信息系统数据罪保护的法益涵盖了个人的信息权、财产权甚至是知识产权等众多不同类型的权利，从而形成了该罪所保护的法益的内涵和外延混乱不清。

其次，数据与个人信息二者概念产生混同，导致边界不够清晰。在网络飞速发展的时代，人们总是把数据和个人信息联系起来，因为个人信息在网络上通常情况下都是以数据的形式流通和储存的。关于数据和个人信息二者的概念和关系，有一些学者观点是数据和个人信息之间是载体和内容的关系，个人数据是一个大概念，个人数据囊括了个人信息。有一些学者则认为，个人数据与个人信息仅有交集关系，如果数据可以根据身份识别特征直接指向特定的自然人就应认定为个人信息。

总而言之，个人信息的范围和外延是比数据的范围和外延小的，从我国现行的刑事法律中也无从得知明确具体的个人信息的含义，但是在《侵犯公民个人信息犯罪解释》中对该定义的解释与《个人信息保护法》中并不一致，从而容易造成在实务中涉及到公民个人信息的数据犯罪，难以运用刑法做到完全地规制。

根据上述的分析可以得出司法实务中，计算机信息系统中包含的一切文字、图片、音频等都被当作计算机网络数据犯罪所侵害的对象，所以需要明确一下网络数据爬取类犯罪的“数据”的范围。

解决这一问题的关键在于准确认定以非法获取计算机信息系统数据罪为代表的一系列计算机系统犯罪所保护的法益。

在传统意义上，非法获取计算机信息系统数据罪所保护的法益是计算机信息系统安全中的信息系统的安全性和计算机信息系统功能的安全性，虽然从立法者的角度站在当时的背景下考虑，这个出发点是正确的，保护计算机信息系统和其功能的安全性足以防范和规制当时的计算机信息系统犯罪的所有类型，但是社会的发展，时代的变化，在当今的视角下，如果非法获取计算机信息系统数据罪保护的法益仅仅还是计算机信息系统的安全性和计算机信息系统功能的安全性那则是远远不够的。

如今，在互联网的领域内，数据的重要程度远远高于计算机信息系统的重要程度，必须发挥数据安全作为本罪所保护的新型法益构成的重要作用。所以本罪保护的法益角度应当从“计算机信息系统”转换为“计算机信息系统和计算机信息系统数据的安全性”。

随着数据经济的蓬勃发展以及新型科学技术的广泛使用，数据以及数据保护的要求越来越高。根据全国信息安全标准化技术委员会制定的推荐性国家标准《信息安全技术数据安全能力成熟度模型》（GB/T37988-2019）规定，数据安全是指以数据为中心的安全，保护数据的可用性（availability）、完整性（integrity）和机密性（confidentiality）。《数据安全法》规定，“数据安全，是指通过采取必要措施，确保数据处于保护和合法利用的状态，以及具备保障持续安全状态的能力。”

从条文中，可以得出数据安全的三个性质：数据的有效保护、数据的合法利用以及数据的持续安全状态。因此，“非法获取数据”的行为可以理解为非法篡改了数据主体设定的数据不被知悉的状态，从而非法获取了保密的数据，侵犯了数据的保密性要求。所以，被数据主体予以秘密保护的数据或者因破坏行为可能导致计算机信息系统功能无法正常运行的数据才能成为此类利用计算机信息系统犯罪所保护的法益。

当然也有学者主张要发挥“数据控制权”作为本罪所保护的法益的重要作用，因为如果强调对于保密性数据的保护则难以对爬取公开数据的行为进行规制，那么爬取公开数据的行为均不构成犯罪便会有失偏颇，造成本罪无法涵盖本该规制的犯罪行为。数据控制权强调的是数据的所有者对于数据的控制、使用、处分、收益的一种权利，在互联网领域，数据对于数据的所有者、经营者而言极其重要。但是在很多情形下，数据开源或者公开是经营者的一种营销策略，此时如果说获取这类公开的数据是违法的显然不合理，那么我们需要关注的就是获取数据后行为的后续行为。

在实务案例中，很多行为人爬取公开的数据之后，进行一些非法牟利活动，便会变相地造成数据控制人的既得利益的削弱和消解，此时便会侵犯数据所有人的数据控制权。其次，网络公司在日常经营中收集了用户的信息数据，即使对数据不享有所有权但是因其掌握了数据收集的渠道和技术，自然享有数据控制权。

正如上文所述，数据权利包括了所有权、使用权、收益权和处分权等权利，而这一切的权利都是控制权的表现形式，或者说来源于控制权，因此，将控制权作为数据权利的核心并无不妥。此外，过于注重数据所有权将面临的问题是，数据里所承载的个人信息属于个人，互联网经营者只是起到了管理的作用，这便会造成数据所有权的归属难以界定。

综合以上论述，将数据控制权作为刑法的数据犯罪所保护的法益更为妥当，相比于数据的安全性和保密性，数据的控制权能够更好地反映出非法获取计算机信息系统数据罪所保护的法益，对于数据的所有权、收益权、处分权等权利都是建立在对数据的控制之上的，权利人只有在这样的前提下，依据相关法律法规的规定或者签订相关的协议措施，才能对所享有的数据权利得到充分完全的保障。