网络爬虫行为不同类型的法律风险

根据《刑法》第二百八十五条第一款的规定，非法侵入计算机信息系统罪是指违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。

这里的“国家规定”是指国家为保护计算机信息系统安全而颁布的法律与行政法规为主，国务院各部委制定的部门规章只有在对法律、行政法规章的规定做详细解读和补充说明的前提下才能纳入“国家规定”的范围。因为当前利用网络爬虫技术对公民个人信息安全与计算机信息系统安全的侵害是与传统刑法犯罪不同的模式，再加上当前我国的刑法条文中关于非法网络爬虫行为在公民个人信息保护以及计算机信息系统安全保护方面的内容多为概括性规范，所以并没有将部门规章完全排除在“国家规定”的范围之外，如此，《数据安全法》作为规制利用爬虫技术不法抓取计算机系统数据行为的前置法，有利于我国打击新型网络犯罪，弥补了我国目前对于数据安全保护法律法规的空缺。

同时，对于条文中“侵入”的认定也至关重要，关于这一点，在理论界和实务界中已达成共识，对于“侵入”的认定是：没有合法权限的行为人利用爬虫技术进入特殊计算机信息系统，此为“非法侵入”。

那么对于一般计算机信息系统而言，其中对网站技术措施的突破或者避开是否属于“非法侵入”呢？笔者认为利用网络爬虫技术突破网站反爬虫措施的行为构成“非法侵入”，而且司法实务界对该行为也以非法获取计算机信息系统数据罪进行定罪量刑。因为根据《侵犯个人信息的解释（2017）》中将“具有避开或者突破计算机信息系统安全保护措施，未经授权或者超越授权获取计算机信息系统数据的功能的”被认定为“专门用于侵入计算机信息系统的程序、工具”。所以反爬虫技术措施可以被认定为刑法意义上的计算机系统安全保护措施。

网络爬虫入刑第一案公开后，计算机领域对突破反爬虫技术措施具有构罪的可能出现很大的争议。这是因为突破反爬虫技术措施在计算机领域司空见惯，甚至一些作者会在书籍或者论文中列举如何突破反爬虫技术措施，但“晟品案”使这种常用的技术手段附带极大的刑事风险，体现了计算机领域与刑法领域在网络爬虫技术认知上的矛盾冲突。因此，在认定非法网络爬虫行为突破反爬虫技术措施是否具有刑法意义上的“侵入”时，应当结合计算机领域普遍认知与刑法规定综合判断。

值得一提的是，这里的犯罪对象是特定的，仅指国家事务、国防建设、尖端科学技术领域的计算机信息系统安全的破坏，因为这些对象与国家的安全密切相关，所以予以特殊保护。此外，从条文可知，本罪属于行为犯，行为人实施了法定的侵入行为，无论目的和后续行为，均可以构成本罪。如在司法实践中曾出现过行为人利用XSS跨站脚本漏洞对市公安局门户网站进行非法渗透攻击，导致网站局长信箱模块无法正常运行，市公安局的门户网站属于国家事务的计算机信息系统，所以行为人构成非法侵入计算机信息系统罪。

根据刑法第二百八十六条第一款的规定，破坏计算机信息系统罪是指违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。

当行为人利用爬虫技术在短时间内对目标网站进行高频次的访问，因网络服务器的承载能力有限，这种远超常人的虚假访问频次会占用相当大的网站服务器资源和挤压消耗网络带宽，轻则使得网站正常用户访问时会出现卡顿延迟等情况，重则会造成目标网站的瘫痪崩溃，对计算机信息系统造成破坏，妨碍网络服务器对正常用户的访问进行回应。破坏性的手段和方式有随意增加、删除、更改计算机信息系统的数据，对计算机信息系统的安全措施进行暴力破解等行为。加之，根据条文的表述可知，本罪是结果犯，能否构成本罪还需要对犯罪行为是否造成了严重后果进行判断。

根据《最高人民法院最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》( 以下简称《计算机安全解释》) 第四条第一款规定，《刑法》第二百八十六条所称“后果严重”包括：“（一）造成十台以上计算机信息系统的主要软件或者硬件不能正常运行的；（二）对二十台以上计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加操作的；（三）违法所得五千元以上或者造成经济损失一万元以上的；（四）造成为一百台以上计算机信息系统提供域名解析、身份认证、计费等基础服务或者为一万以上用户提供服务的计算机信息系统不能正常运行累计一小时以上的；（五）造成其他严重后果的”。

在司法实务中，滥用网络爬虫对计算机信息系统可能造成的危害结果大致可以分为以下两大类：一是对系统数据的破坏，即任意增加、删除、修改计算机信息系统的关键运行数据，常见的是爬虫按照设置的运行指令，模拟人工点击来自动进行破坏性的增删修改行为；二是对计算机系统的应用程序进行破坏，即行为人滥用数据收集技术，大量挤压系统空间，致使网络服务器因缺乏足够的计算资源而无法为网络用户提供服务。

关于对计算机信息系统数据的非法侵害，可以根据计算机信息系统数据的具体类型来确定不同的罪名。如果抓取的是法律没有特别规定保护的数据以及日常工作生活中的聊天记录、视频、邮件、照片等，可用非法获取计算机信息系统数据罪加以规制。如果抓取的是个人信息数据、知识产权数据等，则可用侵犯公民个人信息罪、侵犯知识产权罪等加以规制。

根据刑法第二百八十五条第二款规定，非法获取计算机信息系统数据罪是指违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

这里的“侵入”和上述所讨论的“侵入”定义是一致的，只是“侵入”的对象有所不同，该罪的“侵入”对象是除了国家事务、国防建设、尖端科学技术之外的领域。由此也可知，该罪是作为网络犯罪的兜底罪名而存在的。对于条文中的“情节严重”的认定，根据司法解释的规定，情节严重的结果类型可以分为：行为人获利或造成他人经济损失（如晟品公司一案就是属于此类）；获取的数据为身份认证信息（如谭某等人利用“小黄伞”如软件获取淘宝用户的账号和密码并予以出售一案属于此类）。

至于抓取个人信息数据、知识产权数据等行为，则可用侵犯公民个人信息罪、侵犯知识产权罪进行规制。网络爬虫如果非法抓取到公民个人信息，则属于《刑法》第二百五十三条之一，侵犯公民个人信息罪第三款中规定的行为方式，“窃取或者以其他方法非法获取”此外，根据《刑法》第二百一十九条第一款的规定，虽然网络爬虫行为符合侵犯商业秘密罪构成要件中的“电子侵入”行为，但是利用网络爬虫技术爬取到商业秘密的行为并不一定就构成侵犯商业秘密罪，因为要构成本罪，还需要对犯罪情节加以认定，唯有符合“情节严重”或“情节特别严重”，同时还需因此获利，造成权利人利益的减损或消解才可予以惩处。

总而言之，在判断恶意网络爬虫行为如何利用刑法进行规制时可以参照以下路径：当获取数据的行为本身符合特殊情形时，则可能构成非法侵入计算机信息系统罪、破坏计算机信息系统罪；当获取的数据具有特殊属性、特殊的价值时，那么在认定具体罪名时可以根据具体的行为来确定，如侵犯公民个人信息罪、侵犯知识产权类犯罪、侵犯商业秘密罪等；在上述两种情形之外，对于一般性的普通数据而言，可以采用兜底罪名作为补充规制，如非法获取计算机信息系统数据罪。