付強(qiáng) 李濤

摘 要：網(wǎng)絡(luò)爬蟲作為一種新型的數(shù)據(jù)處理技術(shù)，使用價值與刑事風(fēng)險兼具。對于網(wǎng)絡(luò)爬蟲的刑事法律應(yīng)對，應(yīng)當(dāng)以網(wǎng)絡(luò)爬蟲附隨要素指向的法益為核心，關(guān)注網(wǎng)絡(luò)爬蟲的訪問權(quán)限和獲取數(shù)據(jù)的性質(zhì)，同時兼顧考察行為人在使用技術(shù)過程中的合理注意義務(wù)，從而綜合判斷行為是否涉嫌犯罪以及罪名的適用。

關(guān)鍵詞：網(wǎng)絡(luò)爬蟲 授權(quán) 非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪 破壞計算機(jī)信息系統(tǒng)罪 侵犯公民個人信息罪

一、問題的提出

2019年，隨著多家大數(shù)據(jù)公司因?yàn)槔镁W(wǎng)絡(luò)爬蟲技術(shù)非法獲取數(shù)據(jù)被公安機(jī)關(guān)立案調(diào)查，網(wǎng)絡(luò)爬蟲的犯罪邊界問題成為互聯(lián)網(wǎng)業(yè)界、法學(xué)界關(guān)注的熱點(diǎn)。在嚴(yán)厲打擊網(wǎng)絡(luò)犯罪的高壓態(tài)勢之下，可以預(yù)見到，將會有更多的類似案例出現(xiàn)，以往已經(jīng)被互聯(lián)網(wǎng)業(yè)界習(xí)以為常的技術(shù)行為可能需要重新接受道德、社會規(guī)范乃至刑事法律的檢驗(yàn)。司法機(jī)關(guān)在辦理此類案件過程中，不僅需要破除跨專業(yè)學(xué)科造成的知識鴻溝，準(zhǔn)確理解技術(shù)行為的特征，更需要全面審視技術(shù)行為的內(nèi)在價值與必要性，綜合判斷行為的社會危害性，堅守罪刑法定原則，秉持刑法的謙抑性，慎用刑事制裁手段。結(jié)合一起實(shí)際案例，筆者擬通過通過數(shù)據(jù)訪問權(quán)限、數(shù)據(jù)性質(zhì)、合理使用義務(wù)三個不同的角度理清網(wǎng)絡(luò)爬蟲的犯罪邊界。

（一）基本案情

2016年7月至2017年5月期間，行為人史某在某市家中，通過自行研發(fā)的計算機(jī)程序訪問某市交通管理局車輛管理所（以下簡稱“車管所”）網(wǎng)上選號系統(tǒng)，批量查詢某市車輛號碼牌照資源使用情況，同時自建數(shù)據(jù)庫系統(tǒng)對號碼牌照資源使用情況予以記錄、更新?，F(xiàn)有證據(jù)可以證實(shí)，僅2017年以來，行為人史某利用上述程序共計訪問車管所網(wǎng)上選號系統(tǒng)24659793次，獲取某市車牌號碼數(shù)量200多萬個，通過在淘寶上出售相關(guān)數(shù)據(jù)庫查詢權(quán)限，獲利人民幣4萬余元。

經(jīng)查，行為人實(shí)施的具體行為：史某通過對網(wǎng)上選號系統(tǒng)進(jìn)行研究，按照該系統(tǒng)的驗(yàn)證邏輯編寫對應(yīng)的網(wǎng)絡(luò)爬蟲程序，并將其部署在境外服務(wù)器上，在設(shè)定的時間段內(nèi)（一般是晚上）訪問網(wǎng)上選號系統(tǒng)，批量獲取車牌號碼使用情況數(shù)據(jù)。其工作原理如下：第一，自動生成符合車管所網(wǎng)上選號系統(tǒng)校驗(yàn)規(guī)則的信息，如身份證號碼、姓名等。第二，使用“打碼”平臺自動應(yīng)對選號系統(tǒng)的驗(yàn)證碼功能。第三，訪問車管所選號系統(tǒng)，按照正常選號流程進(jìn)行號牌預(yù)選操作，通過邏輯條件判斷號碼資源是否被占用，并將相關(guān)信息更新至數(shù)據(jù)庫。

（二）分歧意見

在案件辦理過程中，司法機(jī)關(guān)主要產(chǎn)生了兩種不同的分歧意見。

第一種意見認(rèn)為，史某在網(wǎng)絡(luò)爬蟲程序中附加使用“打碼”技術(shù)，屬于未經(jīng)授權(quán)進(jìn)行訪問，構(gòu)成非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪。

第二種意見認(rèn)為，在否定第一種意見的基礎(chǔ)上，應(yīng)重點(diǎn)考察史某是否存在濫用網(wǎng)絡(luò)爬蟲的情況，其行為涉嫌破壞計算機(jī)信息系統(tǒng)罪，但因證據(jù)不足，應(yīng)對其作存疑不起訴處理。

筆者贊同第二種意見，理由在于：對于網(wǎng)絡(luò)爬蟲犯罪邊界的合理區(qū)分，應(yīng)當(dāng)以網(wǎng)絡(luò)爬蟲附隨要素與法益為框架，關(guān)注網(wǎng)絡(luò)爬蟲的訪問權(quán)限和數(shù)據(jù)性質(zhì)，兼顧考察行為人的合理注意義務(wù)。為明確觀點(diǎn)，筆者有必要對網(wǎng)絡(luò)爬蟲的概念、附隨要素及其法律屬性進(jìn)行簡要的介紹。

二、網(wǎng)絡(luò)爬蟲的概念及法律屬性

（一）網(wǎng)絡(luò)爬蟲的概念

網(wǎng)絡(luò)爬蟲（英語：web crawler），也叫網(wǎng)絡(luò)蜘蛛（spider），是一種可以自動化訪問并收集目標(biāo)計算機(jī)信息系統(tǒng)數(shù)據(jù)的程序，設(shè)計初衷是通過計算機(jī)技術(shù)手段自動為網(wǎng)站編纂索引，并不斷更新信息。因?yàn)榫W(wǎng)絡(luò)爬蟲可以高效地實(shí)現(xiàn)信息的讀取、儲存等工作，在搜索引擎應(yīng)用之外，也往往被用于訪問特定網(wǎng)站，依照開發(fā)者設(shè)計的規(guī)則讀取、保存特定信息。網(wǎng)絡(luò)爬蟲種類繁多，一般來說，我們可以以部署環(huán)境、使用場景對爬蟲進(jìn)行分類。

從部署環(huán)境來看，一般將網(wǎng)絡(luò)爬蟲分為服務(wù)器爬蟲和客戶端爬蟲兩個類型。兩者的區(qū)別好比制式相同卻采用不同口徑彈藥的自動步槍，實(shí)際功能基本一致，但是服務(wù)器爬蟲可以通過借助服務(wù)器端更具優(yōu)勢的計算機(jī)信息系統(tǒng)資源——多線程和更大的帶寬，在同一時間內(nèi)訪問更多的信息資源。

從使用場景來看，一般將網(wǎng)絡(luò)爬蟲分為通用爬蟲、聚焦爬蟲兩種類型。通用網(wǎng)絡(luò)爬蟲，又稱為全站爬蟲，它的主要功能是從互聯(lián)網(wǎng)中搜集網(wǎng)頁、采集信息，并下載到本地，形成一個互聯(lián)網(wǎng)資源的備份鏡像。這些備份鏡像可以用于為搜索引擎建立索引提供支持，而備份鏡像文件的數(shù)據(jù)量決定著整個引擎系統(tǒng)的可用性，包括信息更新是否及時、涵蓋內(nèi)容是否豐富等，而這正是搜索引擎系統(tǒng)（Baidu、Google、Bing等）的基礎(chǔ)。

（二）網(wǎng)絡(luò)爬蟲的附隨要素

我國法理學(xué)家張文顯曾論述，如果精確地解釋和確定法律概念的意義， 就能夠精確地描述法律現(xiàn)象， 正確地進(jìn)行法律推理。[1]網(wǎng)絡(luò)爬蟲通常來說有三種基本功能，分別是：訪問、下載、解析。訪問，是指網(wǎng)絡(luò)爬蟲依據(jù)代碼設(shè)定的邏輯，向計算機(jī)信息系統(tǒng)發(fā)送訪問請求，以期訪問數(shù)據(jù);下載，是指將目標(biāo)計算機(jī)信息系統(tǒng)儲存的數(shù)據(jù)傳輸、儲存到本地或指定的計算機(jī)信息系統(tǒng)中;解析，是指對計算機(jī)信息系統(tǒng)數(shù)據(jù)的內(nèi)容進(jìn)行分析、篩選。一般而言，這三種基礎(chǔ)性的功能本身并不會對計算機(jī)信息系統(tǒng)數(shù)據(jù)進(jìn)行增加、刪除、修改操作。如果我們將網(wǎng)絡(luò)爬蟲放置于使用場景下進(jìn)行考察，網(wǎng)絡(luò)爬蟲在共同的基本功能之上同時也受到一些共同的要素影響，我們可以將這些要素理解為網(wǎng)絡(luò)爬蟲的附隨要素，具體包括以下內(nèi)容：

1.網(wǎng)絡(luò)爬蟲是否具有訪問數(shù)據(jù)的權(quán)限

網(wǎng)絡(luò)爬蟲程序運(yùn)行的前提是必須具有明確的訪問目標(biāo)，而訪問權(quán)限也是網(wǎng)絡(luò)爬蟲面對的第一個門檻。對網(wǎng)絡(luò)爬蟲是否具有訪問數(shù)據(jù)權(quán)限的判斷等同于危害計算機(jī)信息系統(tǒng)及數(shù)據(jù)安全刑事案件中的違法性判斷的核心要素——“未經(jīng)授權(quán)或者超越授權(quán)”。

2.網(wǎng)絡(luò)爬蟲獲取數(shù)據(jù)的性質(zhì)與范圍

網(wǎng)絡(luò)爬蟲可以按照編寫者的設(shè)計，獲取特定或不特定的數(shù)據(jù)。這其中不僅包括了人類可以感知的、具有信息意義的數(shù)據(jù)資源（如圖片、文字、視頻等），也可能包括本身應(yīng)交由計算機(jī)信息系統(tǒng)進(jìn)行解讀的非可視性的數(shù)據(jù)內(nèi)容 [2]（如CSS數(shù)據(jù)、網(wǎng)站根目錄、數(shù)據(jù)庫文件等）。網(wǎng)站控制者可能會基于計算機(jī)信息系統(tǒng)安全、原創(chuàng)性設(shè)計、隱私等考慮，拒絕他人獲取上述數(shù)據(jù)。

3.網(wǎng)絡(luò)爬蟲對計算機(jī)信息系統(tǒng)流量帶寬和計算資源造成的影響

網(wǎng)絡(luò)爬蟲作為一種高效、自動化的計算機(jī)信息系統(tǒng)程序，對目標(biāo)網(wǎng)站的訪問頻次遠(yuǎn)遠(yuǎn)高于一般正常的人類用戶，在運(yùn)行的過程中往往容易對目標(biāo)網(wǎng)站計算機(jī)信息系統(tǒng)資源（一般是指服務(wù)器流量帶寬和計算資源）造成大量消耗，導(dǎo)致目標(biāo)網(wǎng)站因缺乏足夠的帶寬和計算機(jī)資源以至于無法響應(yīng)其他用戶的訪問請求。

（三）網(wǎng)絡(luò)爬蟲的法律屬性

出于對網(wǎng)絡(luò)爬蟲所引發(fā)的網(wǎng)絡(luò)安全與隱私的考慮，1994年，由荷蘭工程師Martijn Koster提出了一份行業(yè)技術(shù)規(guī)范，并在此基礎(chǔ)之上，逐漸發(fā)展出了一套完整的網(wǎng)絡(luò)爬蟲使用技術(shù)規(guī)范-Robots.txt協(xié)議[3]。Robots協(xié)議，英文全稱Robots Exclusion Protocol，其被設(shè)計者儲存于網(wǎng)站根目錄下的ASCII編碼的文本文件，網(wǎng)站站長可以通過代碼注明以下信息：該網(wǎng)站是否允許網(wǎng)絡(luò)爬蟲抓取某一類特定的數(shù)據(jù)。近25年以來“Robots協(xié)議由于簡單、高效，成為國內(nèi)外互聯(lián)網(wǎng)行業(yè)內(nèi)普遍通行、普遍遵守的技術(shù)規(guī)范”[4]。但Robots協(xié)議本身并不具備任何的約束力。至今，在Robots官網(wǎng)上最顯著的位置，依然有這樣一份聲明，其強(qiáng)調(diào)了Robots協(xié)議并非官方標(biāo)準(zhǔn)，不具備任何強(qiáng)制執(zhí)行力。在我國，第一個對Robots協(xié)議的法律性質(zhì)作為較為完整論述的見于百度公司VS.奇虎360案，在該案件判決中，法院就Robots協(xié)議的法律屬性進(jìn)行了討論，并做出如下認(rèn)定：Robots協(xié)議是技術(shù)規(guī)范，并非法律意義上的協(xié)議;Robots協(xié)議系網(wǎng)站服務(wù)商或所有者在自行編寫，屬于單方宣示;但其同時承認(rèn)，Robots協(xié)議在互聯(lián)網(wǎng)領(lǐng)域具有通用性，是一份可行的技術(shù)標(biāo)準(zhǔn)。[5]

筆者認(rèn)為，在互聯(lián)網(wǎng)語境之下，存在著大量類似的技術(shù)行為，它們作為企業(yè)或用于挖掘商業(yè)價值、或用于維護(hù)自身權(quán)益的工具，已經(jīng)成為了一種業(yè)界通行的商業(yè)慣例，進(jìn)而成為一種特定的社會規(guī)范。這種新型的社會規(guī)范所伴隨的法益“對傳統(tǒng)刑法學(xué)具有釜底抽薪的效應(yīng)?！盵6]對于新型網(wǎng)絡(luò)犯罪而言，司法者如果刻意忽視這種社會規(guī)范，甚至以個人價值覆蓋社會規(guī)范，無疑會與實(shí)踐產(chǎn)生極大的分歧。因此，網(wǎng)絡(luò)爬蟲法律屬性的確定，必須需要回到計算機(jī)技術(shù)領(lǐng)域的視角下回答。

1.訪問屬性

訪問數(shù)據(jù)就是網(wǎng)絡(luò)爬蟲的本質(zhì)屬性，也是其行為的起點(diǎn)，而因?yàn)樵L問權(quán)限的設(shè)立，致使網(wǎng)絡(luò)爬蟲存在未經(jīng)授權(quán)或者超越授權(quán)訪問數(shù)據(jù)的可能性，在實(shí)踐中，對“授權(quán)”的設(shè)計具體可能表現(xiàn)為：訪問權(quán)限控制存在多種不同的機(jī)制。在傳統(tǒng)計算機(jī)信息傳統(tǒng)安全框架下，用戶身份認(rèn)證信息是最經(jīng)典也是最關(guān)鍵的權(quán)限控制方式。同時，也存在其他依附于該機(jī)制所構(gòu)建的補(bǔ)充機(jī)制，如對訪問請求的IP地址范圍進(jìn)行授權(quán)控制;又比如利用機(jī)器人協(xié)議和驗(yàn)證碼機(jī)制對訪問對象進(jìn)行授權(quán)限制。在網(wǎng)絡(luò)爬蟲的場景下，業(yè)內(nèi)一般將用戶身份認(rèn)證信息之外的措施稱之為反爬機(jī)制。在實(shí)踐中，有司法人士在案件論證中將反爬機(jī)制引入作為“未經(jīng)收入或者超越授權(quán)”論理的立足點(diǎn)，認(rèn)為：“被告單位正是偽造了 device_id 繞過了服務(wù)器的身份校驗(yàn)，并使用偽造 UA 及 IP 繞過服務(wù)器的訪問頻率限制才實(shí)行了對被害單位服務(wù)器數(shù)據(jù)庫的訪問。被告單位繞過APP客戶端與被害單位網(wǎng)站服務(wù)器端的身份驗(yàn)證系統(tǒng)，行為性質(zhì)實(shí)際就已經(jīng)屬于非法侵入被害單位的計算機(jī)信息系統(tǒng)了”。[7]對此，筆者不能贊同。這種論證的本質(zhì)偏差在于將反爬機(jī)制與前述的用戶身份認(rèn)證信息作等同性理解，這種理解不僅導(dǎo)致刑事規(guī)制的不適當(dāng)擴(kuò)大，也反應(yīng)了司法實(shí)踐人員對技術(shù)知識的誤解。

我國刑法第285條非法侵入計算機(jī)信息系統(tǒng)罪的立法之初，主要針對的是以黑客攻擊等手段，突破控制者設(shè)立的安全保護(hù)措施的不法行為。喻海松法官認(rèn)為“與計算機(jī)信息系統(tǒng)安全相關(guān)的數(shù)據(jù)中最為重要的是用于認(rèn)證用戶身份的身份認(rèn)證信息（如口令、證書等），此類數(shù)據(jù)通常是網(wǎng)絡(luò)安全的第一道防線，也是網(wǎng)絡(luò)盜竊的最主要對象”。[8]這種結(jié)論并非是人為構(gòu)造概念或者法益，而是對于計算機(jī)信息系統(tǒng)安全保護(hù)的深刻洞察、總結(jié)。我們反觀互聯(lián)網(wǎng)發(fā)展的歷史，身份認(rèn)證信息系統(tǒng)無疑是用來保護(hù)計算機(jī)信息系統(tǒng)和數(shù)據(jù)安全的最佳形式，它同時兼?zhèn)淞讼蛴脩簦ㄈ祟悾┖陀嬎銠C(jī)信息系統(tǒng)同時進(jìn)行“授權(quán)”聲明的特質(zhì)，不僅符合實(shí)際安全需要，而且符合社會規(guī)范的形式。正如國外著名的網(wǎng)絡(luò)法學(xué)者Orin S. Kerr論述：“借助用戶身份認(rèn)證系統(tǒng)，網(wǎng)站主體可以在互聯(lián)網(wǎng)中劃分出明確的兩個區(qū)域，開放空間和非開放空間?！盵9]

而針對網(wǎng)絡(luò)爬蟲的反爬機(jī)制與用戶身份認(rèn)證信息機(jī)制在規(guī)制對象上是不同的，這是為了保護(hù)不同的法益而發(fā)展出的兩種完全不同的技術(shù)措施。反爬機(jī)制的構(gòu)建并不需要以用戶身份認(rèn)證信息為必備條件，其技術(shù)原理是通過對用戶的訪問IP＼UA＼訪問頻率等數(shù)據(jù)進(jìn)行條件篩選進(jìn)而屏蔽訪問請求。因此不難看出，其技術(shù)本身也暗含著一種“授權(quán)”，司法人員對這種授權(quán)理解為：“不是通過真實(shí)的 UA 和 IP 進(jìn)行的訪問，均是無權(quán)限的非法訪問”。這種理解具有一定違和之處：當(dāng)一名真實(shí)的用戶通過VPN訪問該網(wǎng)站時，因?yàn)槭褂玫牟皇钦鎸?shí)IP，所以形成了無權(quán)限的非法訪問。甚至于可以得出一種結(jié)論，司法人員試圖用刑法保護(hù)網(wǎng)站對于用戶行為的選擇權(quán)，任何用戶一旦違反網(wǎng)站的要求，就會有涉嫌觸犯刑法的可能性。這個結(jié)論無疑是荒謬的，也難以讓人接受。這也正是對刑法285條內(nèi)涵“授權(quán)”理解的過度解讀帶來的消極結(jié)果。而由于司法人員對反爬機(jī)制的錯誤理解，導(dǎo)致其在論證的過程中并未意識到與反爬機(jī)制密切相關(guān)的法益侵害問題。

2.中性化的程序、工具屬性

我國刑法第285條第3款規(guī)定了“專門用于侵入、非法控制計算機(jī)信息系統(tǒng)的程序、工具”，這實(shí)質(zhì)上是對某類特定技術(shù)行為直接予以否定性評價。筆者認(rèn)為，可以從該條款入手，探討網(wǎng)絡(luò)爬蟲本身的價值與法律屬性。

從罪狀來看，“專門”是界定一項技術(shù)是否被納入285條第3款予以規(guī)制的核心要素。刑法語意下的“專門”，是指“行為人所提供的程序、工具只能用于實(shí)施非法侵入、非法控制計算機(jī)信息系統(tǒng)的用途”。[10]立法者在設(shè)計該罪名構(gòu)成要件時，顯然考慮認(rèn)識到涉計算機(jī)信息系統(tǒng)類犯罪的客觀行為完全可以由中性程序予以實(shí)施。通過“專門”二字對行為人研發(fā)程序、工具的主觀目的進(jìn)行限定，從而避免了中性程序因?yàn)楸挥糜诜缸锒恍淌滤痉ㄈ娣穸ǖ那闆r，為中性程序、工具預(yù)留出罪路徑，兼顧了打擊犯罪和保障技術(shù)發(fā)展的需求。

從實(shí)踐來看，網(wǎng)絡(luò)爬蟲的誕生有其必然性與合理性。萬物互聯(lián)時代的本質(zhì)是信息借助計算機(jī)信息系統(tǒng)數(shù)據(jù)為載體，以互聯(lián)網(wǎng)為脈絡(luò)，跨實(shí)踐、地域、文化進(jìn)行流轉(zhuǎn)，而一旦數(shù)據(jù)脫離流轉(zhuǎn)，成為一灘“死水”，那計算機(jī)信息系統(tǒng)不過是一臺大型的“計算器”，互聯(lián)網(wǎng)也將失去“生命力”，其也必然不會成為現(xiàn)代社會不可或缺的工具。為應(yīng)對海量數(shù)據(jù)，自動化處理數(shù)據(jù)技術(shù)的發(fā)展成為唯一的解決出路，而網(wǎng)絡(luò)爬蟲應(yīng)運(yùn)而生。不難看出，“數(shù)據(jù)流轉(zhuǎn)”是一個典型的中性化的詞語，在互聯(lián)網(wǎng)語境之下，任何行為均是數(shù)據(jù)的流轉(zhuǎn)。瀏覽網(wǎng)頁是數(shù)據(jù)的流轉(zhuǎn)，非法獲取計算機(jī)信息系統(tǒng)同樣是數(shù)據(jù)的流轉(zhuǎn)。而作為數(shù)據(jù)流轉(zhuǎn)工具之一的網(wǎng)絡(luò)爬蟲，也只是為實(shí)現(xiàn)數(shù)據(jù)流轉(zhuǎn)所不可缺的一種中性化的工具。

三、網(wǎng)絡(luò)爬蟲的刑法應(yīng)對

刑法適用的基本原則要求主客觀相一致，而技術(shù)行為的客觀特征決定了司法機(jī)關(guān)開展刑事規(guī)制的切入點(diǎn)。結(jié)合本案，筆者將進(jìn)一步闡述，刑事法律在面對網(wǎng)絡(luò)爬蟲乃至具有相同技術(shù)特征的行為時，如何從數(shù)據(jù)訪問權(quán)限、數(shù)據(jù)性質(zhì)、合理注意義務(wù)三個層面進(jìn)行判斷、適用。

（一）數(shù)據(jù)訪問權(quán)限的合法性論證

刑法目的之一是保障社會價值，維護(hù)社會管理秩序。計算機(jī)信息系統(tǒng)數(shù)據(jù)之所以值得被刑法保護(hù)，是因?yàn)樵诨ヂ?lián)網(wǎng)社會背景之下，數(shù)據(jù)往往承載著特定的價值，如對公民而言，公民個人信息類數(shù)據(jù)具有多重價值，關(guān)系到公民的人身安全、隱私、財產(chǎn)安全等;如對企業(yè)而言，計算機(jī)信息系統(tǒng)數(shù)據(jù)往往本身就是商業(yè)秘密的內(nèi)容，內(nèi)涵經(jīng)濟(jì)利益;如對國家而言，關(guān)鍵基礎(chǔ)設(shè)施的地理位置等關(guān)系到國防安全等價值，其以電子數(shù)據(jù)的形式呈現(xiàn)，如GPS標(biāo)示等，則理應(yīng)被刑法保護(hù)。而法律對上述數(shù)據(jù)的保護(hù)又充分考慮到其流動性的問題，以數(shù)據(jù)所有者是否“自愿、知情”為依據(jù)對數(shù)據(jù)獲取的方式進(jìn)行違法性判斷。如行為人在數(shù)據(jù)所有者不知情、不自愿的情況下獲取了相關(guān)數(shù)據(jù)，其違法性顯而易見?！度珖嗣翊泶髸?wù)委員會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》，《網(wǎng)絡(luò)安全法》等法律規(guī)定也對上述判斷方式進(jìn)行明確性規(guī)定。

而本案中，車牌號碼系車管所基于“自愿、知情”的前提條件下，通過計算機(jī)信息系統(tǒng)，允許民眾查詢的計算機(jī)數(shù)據(jù)，具有公開性（部分外地車管所采用公開宣告而非查詢的方式也可以提供“公開性”的例證）的特征，法律本身并沒有對公民獲取數(shù)據(jù)的數(shù)量、查詢的次數(shù)進(jìn)行規(guī)定。因此，第一種意見將注意力集中在“打碼”技術(shù)上，認(rèn)為通過機(jī)器學(xué)習(xí)、他人代填等非用戶自主填寫驗(yàn)證碼的行為屬于未經(jīng)授權(quán)的行為。筆者對該意見不予贊同。有學(xué)者曾論述，非法數(shù)據(jù)訪問和非法獲取數(shù)據(jù)兩種基本行為方式，分別對應(yīng)數(shù)據(jù)支配權(quán)限、數(shù)據(jù)知悉狀態(tài)兩個數(shù)據(jù)安全的本質(zhì)特征。[11]一種訪問行為任意違反了上述兩個特征之一，有可能被評價為非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪。但第一種意見顯然錯誤地理解了技術(shù)行為與指向的保護(hù)對象。

驗(yàn)證碼機(jī)制在業(yè)界有多種技術(shù)標(biāo)準(zhǔn)，以CAPTCHA為例：其全稱是計算機(jī)和人類的圖靈測試（Completely Automated Public Turing test to tell Computers and Humans Apart，簡稱CAPTCHA），是由谷歌公司研發(fā)的、一種較為常見的、并被廣泛采用的公共全自動程序，其設(shè)計的目的是防止計算機(jī)程序自動、批量地訪問某一計算機(jī)信息系統(tǒng)資源，其本身與網(wǎng)站主體的用戶身份認(rèn)證系統(tǒng)是相互獨(dú)立的兩個系統(tǒng)。用通俗的方式理解：網(wǎng)站用戶身份驗(yàn)證系統(tǒng)的構(gòu)建者是網(wǎng)站主體本身，與網(wǎng)站本身架構(gòu)所關(guān)聯(lián)，直接影響到網(wǎng)站數(shù)據(jù)的獲取權(quán)限;而CAPTCHA的構(gòu)建者是谷歌公司，其主體程序所依托的是谷歌圍繞CAPTCHA所架設(shè)的系統(tǒng)。CAPTCHA作為獨(dú)立的程序，即使通過其認(rèn)證，亦同時需要正確的用戶身份認(rèn)證信息方可通過用戶身份認(rèn)證系統(tǒng)。

因此，驗(yàn)證碼機(jī)制不過是另一種反爬機(jī)制，其與IP訪問限制、UA限制具有同樣的技術(shù)底色，所指向的保護(hù)對象并非是數(shù)據(jù)的支配狀態(tài)或知悉狀態(tài)，因此將違反這兩種技術(shù)的行為認(rèn)定為“未經(jīng)授權(quán)或超越授權(quán)”并適用刑法285條，實(shí)際上是犯了“張冠李戴”的錯誤。

（二）網(wǎng)絡(luò)爬蟲獲取的數(shù)據(jù)性質(zhì)影響罪名的適用，非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪與其他罪名可能存在競合的可能性

盡管筆者并不認(rèn)為行為人涉嫌非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪，但本案事實(shí)涉及到車牌號碼數(shù)據(jù)，這就引發(fā)了一個有趣的問題——非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪與侵犯公民個人信息罪在實(shí)踐中的競合適用。在當(dāng)代互聯(lián)網(wǎng)社會，公民個人信息與計算機(jī)信息系統(tǒng)數(shù)據(jù)有天然的重合性，數(shù)據(jù)作為信息的載體，勢必會導(dǎo)致以其為對象的犯罪競合。有觀點(diǎn)認(rèn)為，侵犯公民個人信息罪與非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪的適用：“由于只有一個犯罪行為，屬于刑法中的想象競合犯，按照處理一個犯罪形態(tài)的規(guī)則，應(yīng)當(dāng)從一重罪處斷。”[12]。筆者對這種觀點(diǎn)不予贊同。當(dāng)范圍限定于以電子數(shù)據(jù)形式保存的公民個人信息，兩罪在邏輯上存在著交叉競合關(guān)系，這種競合是因?yàn)樵诹⒎〞r對罪狀進(jìn)行列舉造成的法律規(guī)范的競合。兩罪之間關(guān)系可以從身份認(rèn)證信息與公民個人信息的關(guān)系推衍，在公民個人信息定義中，身份認(rèn)證信息無疑是作為構(gòu)成公民個人信息概念的一個子集，將內(nèi)容單一的身份認(rèn)證信息作為普通要素，而將構(gòu)成更加繁復(fù)的公民個人信息作為特別要素，區(qū)分對待，也正體現(xiàn)兩個罪名的立法邏輯，因此非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)屬于普通法，而侵犯公民個人信息屬于特殊法。在采用法條競合的觀點(diǎn)之下，可以直接得出上述情況適用侵犯公民個人信息罪的結(jié)論。[13]上述論證的邏輯，同樣適用于非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪與侵犯商業(yè)秘密罪的竟合情況。一般而言，法條競合優(yōu)先考慮的適用“特別法優(yōu)于普通法”原則，但在實(shí)踐中，有學(xué)者對司法實(shí)踐進(jìn)行歸納后，發(fā)現(xiàn)該罪名成為名副其實(shí)的“口袋罪”，[14]其實(shí)質(zhì)上可以用于評價所有非法獲取電腦系統(tǒng)數(shù)據(jù)的行為。因?yàn)榉缸飿?gòu)成判斷簡單、入罪標(biāo)準(zhǔn)較低、不需額外占用司法資源等原因，已經(jīng)成為了多種犯罪行為的兜底性罪名。

（三）濫用網(wǎng)絡(luò)爬蟲可能構(gòu)成破壞計算機(jī)信息系統(tǒng)罪

正如前文所述，網(wǎng)絡(luò)爬蟲的附隨要素之一就是占用計算機(jī)信息系統(tǒng)資源（主要是網(wǎng)絡(luò)帶寬和硬件資源）。因此，濫用網(wǎng)絡(luò)爬蟲技術(shù)極有可能是導(dǎo)致目標(biāo)計算機(jī)信息系統(tǒng)沒有空閑資源響應(yīng)用戶的請求，一般表現(xiàn)為網(wǎng)站、服務(wù)不能正常訪問。為了維護(hù)互聯(lián)網(wǎng)正常秩序，倡導(dǎo)合理使用數(shù)據(jù)采集技術(shù)，全國網(wǎng)信辦于2019年5月28日發(fā)布《數(shù)據(jù)安全管理辦法》（征求意見稿），第16條規(guī)定：“網(wǎng)站運(yùn)營者采取自動化手段訪問收集網(wǎng)站數(shù)據(jù)，不妨礙網(wǎng)站正常運(yùn)行;此類行為嚴(yán)重影響網(wǎng)站運(yùn)行，如自動化訪問收集流量超過網(wǎng)站日均流量三分之一，網(wǎng)站要求停止自動化訪問收集時，應(yīng)當(dāng)停止”。這項條款也被稱為“網(wǎng)絡(luò)爬蟲”條款，立法者并未直接否定網(wǎng)絡(luò)爬蟲，而是要求行為人對技術(shù)的使用應(yīng)盡到合理注意義務(wù)，避免危害結(jié)果發(fā)生。正是出于對自身合法權(quán)益的維護(hù)，網(wǎng)絡(luò)服務(wù)提供商才逐漸研究、發(fā)展、使用了驗(yàn)證碼等反爬機(jī)制。

從濫用網(wǎng)絡(luò)爬蟲的危害結(jié)果進(jìn)行審視，網(wǎng)絡(luò)爬蟲與DDOS攻擊行為在技術(shù)行為上幾乎是一致的，最大區(qū)別在于，DDOS系通過發(fā)送大量的虛假訪問請求，惡意擠占對象的網(wǎng)絡(luò)帶寬資源，從而達(dá)到干擾計算機(jī)信息系統(tǒng)正常運(yùn)行的結(jié)果，行為人主觀罪過形式為故意;而網(wǎng)絡(luò)爬蟲在使用的過程中，可能因?yàn)樾袨槿酥饔^上的故意或者過失，導(dǎo)致上述結(jié)果的出現(xiàn)。因此，我們不能在出現(xiàn)了計算機(jī)信息系統(tǒng)被干擾的情況下，僅通過訪問請求的真實(shí)性去認(rèn)定犯罪，而同時應(yīng)該結(jié)合對行為人主觀層面的考察。司法機(jī)關(guān)可以通過以下要素判斷行為人是否進(jìn)到了合理注意義務(wù)，以區(qū)別其主觀上究竟是故意還是過失：

第一，行為人是否在研發(fā)、使用網(wǎng)絡(luò)爬蟲程序之前，主動收集風(fēng)險信息，合理研發(fā)、設(shè)計網(wǎng)絡(luò)爬蟲程序，確保網(wǎng)絡(luò)爬蟲之中立性。具體而言，司法機(jī)關(guān)應(yīng)核實(shí)行為人是否曾主動了解過被訪問計算機(jī)信息系統(tǒng)的性質(zhì)（是否屬于“三大領(lǐng)域”）、訪問權(quán)限、被訪問數(shù)據(jù)的性質(zhì)、被訪問計算機(jī)信息系統(tǒng)架構(gòu)等信息。行為人是否在技術(shù)可行性的基礎(chǔ)上，曾開展過合法性論證。

第二，行為人在使用網(wǎng)絡(luò)爬蟲的過程中，是否持續(xù)性地對網(wǎng)絡(luò)爬蟲的運(yùn)行狀態(tài)進(jìn)行監(jiān)控、修正，保持網(wǎng)絡(luò)爬蟲工具在合法、合理的范圍內(nèi)運(yùn)行。在實(shí)踐中，行為人對網(wǎng)絡(luò)爬蟲的使用并非是一個靜止的樣態(tài)，而是一個動態(tài)的、不斷優(yōu)化的過程。行為人在實(shí)施的過程中，必然涉及到對網(wǎng)絡(luò)爬蟲進(jìn)行優(yōu)化，而這種優(yōu)化的實(shí)質(zhì)內(nèi)容是在網(wǎng)絡(luò)爬蟲的效率和對目標(biāo)計算機(jī)信息系統(tǒng)的影響程度之間進(jìn)行平衡、取舍，可以從客觀上反應(yīng)行為人的主觀認(rèn)知和意志，從而幫助司法機(jī)關(guān)進(jìn)一步明確行為人的主觀構(gòu)成要件。

就本案而言，涉案程序自2017年以來共計訪問24659793次，屬于高頻訪問行為。但高頻訪問只是文義上的描述，應(yīng)關(guān)注高頻訪問行為是否造成了刑法上的危害結(jié)果。在此類案件中，一般危害結(jié)果表現(xiàn)為對目標(biāo)計算機(jī)信息系統(tǒng)流量帶寬的占用是否達(dá)到了網(wǎng)站所能承受的上限，嚴(yán)重影響了其他用戶的使用。但偵查機(jī)關(guān)在取證過程中，未能提取車管所網(wǎng)站儲存的行為人訪問數(shù)據(jù)，未對訪問行為的流量與網(wǎng)站對車管流量進(jìn)行對比，不能證實(shí)車管所網(wǎng)站在行為人使用網(wǎng)絡(luò)爬蟲的時間段內(nèi)出現(xiàn)不能正常訪問的情況（包括不能訪問的持續(xù)時間），因此導(dǎo)致無法認(rèn)定其行為符合破壞計算機(jī)信息系統(tǒng)罪的入罪標(biāo)準(zhǔn)。同時，檢察機(jī)關(guān)注意到，行為人將網(wǎng)絡(luò)爬蟲設(shè)定的時間為凌晨，此段時間內(nèi)網(wǎng)站訪問人數(shù)較少，說明行為人有意避免網(wǎng)絡(luò)爬蟲影響到目標(biāo)計算機(jī)信息系統(tǒng)的正常運(yùn)轉(zhuǎn)，其主觀罪過形式可能系過失而非故意。因此，綜合全案證據(jù)情況考慮，檢察機(jī)關(guān)采取了第二種意見，作存疑不起訴處理。

注釋：

[1]參見張文顯：《法哲學(xué)范疇研究》，中國政法大學(xué)出版社2001年版，第69頁。

[2]參見非可視性并不等于非可獲得。一般而言，非可視性數(shù)據(jù)主要是指計算機(jī)信息系統(tǒng)程序在正常使用過程中需要處理的某類數(shù)據(jù)，這類數(shù)據(jù)并不直接體現(xiàn)為用戶在前端網(wǎng)頁上可以閱讀的內(nèi)容。比如網(wǎng)頁的CSS樣式、數(shù)據(jù)庫、API接口等。

[3]國內(nèi)一般翻譯為機(jī)器人協(xié)議、爬蟲協(xié)議。

[4]李慧敏、孫佳亮：《論爬蟲抓取數(shù)據(jù)行為的法律邊界》，《電子知識產(chǎn)權(quán)》2018年第12期。

[5]參見中國裁判文書網(wǎng)某市第一中級人民法院（2013）一中民初字第2668號刑事判決書。

[6]孫道萃：《網(wǎng)絡(luò)刑法知識轉(zhuǎn)型與立法回應(yīng)》，《現(xiàn)代法學(xué)》2017年第1期。

[7]游濤、計莉卉：《使用網(wǎng)絡(luò)爬蟲獲取數(shù)據(jù)行為的刑事責(zé)任認(rèn)定》，《法律適用》2019年第10期。

[8]喻海松： 《〈關(guān)于辦理危害計算機(jī)信息系統(tǒng)安全刑事案件應(yīng)用法律若干問題的解釋〉的理解與適用》，《人民司法》2011年第19期。

[9]Orin S. Kerr， Norms of Computer Trespass， 116 Colum. L. Rev. 1143， 1161 （2016）。

[10]參見全國人大常委會法制工作委員會刑法室：《中華人民共和國刑法條文說明、立法理由及相關(guān)規(guī)定》，北京大學(xué)出版社2009年版，第592頁。

[11]參見于志剛、李源粒：《大數(shù)據(jù)時代數(shù)據(jù)犯罪的類型化與制裁思路》，《政治與法律》2016年第9期。

[12]喻海松：《網(wǎng)絡(luò)犯罪二十講》，法律出版社2018年版，第234頁。

[13]參見陳興良：《走向教義的刑法學(xué)》，北京大學(xué)出版社2018年版，第347頁。

[14]參見楊志瓊：《非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪“口袋化”的實(shí)證分析及其處理路徑》，《法學(xué)評論》2018年第6期。