李 雪 健

(南京師范大學(xué) 法學(xué)院,江蘇 南京 210046)

一、問題的提出

中共中央國務(wù)院《關(guān)于構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見》指出,“數(shù)據(jù)作為新型生產(chǎn)要素,是數(shù)字化、網(wǎng)絡(luò)化、智能化的基礎(chǔ),已快速融入生產(chǎn)、分配、流通、消費和社會服務(wù)管理等各環(huán)節(jié),深刻改變著生產(chǎn)方式、生活方式和社會治理方式。數(shù)據(jù)基礎(chǔ)制度建設(shè)事關(guān)國家發(fā)展和安全大局?！蔽覈叨戎匾晹?shù)字經(jīng)濟(jì)發(fā)展,明確鼓勵和支持?jǐn)?shù)據(jù)在各行各業(yè)的創(chuàng)新應(yīng)用,數(shù)據(jù)日益成為企業(yè)的重要戰(zhàn)略資產(chǎn)。作為大數(shù)據(jù)時代的高效、快捷的數(shù)據(jù)獲取方式,網(wǎng)絡(luò)爬蟲為企業(yè)數(shù)據(jù)保護(hù)帶來了巨大的挑戰(zhàn)。

網(wǎng)絡(luò)爬蟲(Web Crawler),又稱網(wǎng)頁蜘蛛(Web Spider),是一種自動網(wǎng)絡(luò)索引(Web Index)機器人,其任務(wù)在于遍歷網(wǎng)頁鏈接,生成網(wǎng)頁索引清單來幫助用戶更高效地獲取數(shù)據(jù)。爬蟲始于網(wǎng)絡(luò)地址(Uniform Resource Locators,URLs),甄別出該頁面上的所有超級鏈接,生成一個爬行疆域,并將它們寫入“待訪列表”(索引清單)中,這一清單中所有的網(wǎng)頁都會按照某一種策略進(jìn)行“訪問—響應(yīng)”的基礎(chǔ)數(shù)據(jù)傳輸模式進(jìn)行數(shù)據(jù)獲取,直至滿足停止條件[1]530。

當(dāng)前,學(xué)界對網(wǎng)絡(luò)爬蟲多存在誤讀,增加了網(wǎng)絡(luò)爬蟲的入罪風(fēng)險。例如,有觀點認(rèn)為網(wǎng)絡(luò)爬蟲在爬取數(shù)據(jù)時可能會散布計算機病毒或破壞數(shù)據(jù)信息[2]50。又如,有觀點認(rèn)為網(wǎng)絡(luò)爬蟲的自動化訪問會造成網(wǎng)絡(luò)資源的擠壓,進(jìn)而破壞計算機的系統(tǒng)穩(wěn)定[3]91。前一觀點錯誤明顯,從功能上看,網(wǎng)絡(luò)爬蟲僅僅具備搜索功能,根本無法改變被訪問系統(tǒng)或程序的代碼結(jié)構(gòu),遑論散步計算機病毒。而后一觀點未免有些牽強。隨著中央處理器處理能力指數(shù)級的提高,服務(wù)器的抗壓能力已經(jīng)今非昔比,且訪問能力與抗壓能力存在對等關(guān)系,極大多數(shù)網(wǎng)絡(luò)爬蟲所依托的硬件設(shè)備同網(wǎng)站服務(wù)器不可同日而語。若行為人對網(wǎng)絡(luò)爬蟲的使用已達(dá)到破壞網(wǎng)站服務(wù)器系統(tǒng)穩(wěn)定的程度,則網(wǎng)絡(luò)爬蟲早已異化為分布式拒絕服務(wù)攻擊(Distributed Denial of Service,DDOS),超出了網(wǎng)絡(luò)爬蟲的討論范圍。

因此,在技術(shù)層面,網(wǎng)絡(luò)爬蟲僅僅是“模擬”計算機使用者對服務(wù)器進(jìn)行訪問的自動化程序,而與此相對,網(wǎng)絡(luò)爬蟲所能爬取到的數(shù)據(jù)亦一定是架構(gòu)于互聯(lián)網(wǎng)之中,且能為他人訪問的數(shù)據(jù)。網(wǎng)絡(luò)爬蟲的入罪風(fēng)險僅可能源于網(wǎng)絡(luò)爬蟲對企業(yè)數(shù)據(jù)的強行爬取,即突破或繞過反爬蟲措施及技術(shù)合約,強制訪問并獲取企業(yè)數(shù)據(jù)。在規(guī)范層面,強行爬取行為并不能直接涵攝于某一特定構(gòu)成要件行為,原因在于這一行為幾乎能夠為《刑法》中所有“取得犯罪”的構(gòu)成要件行為所涵攝,故而決定強行爬取企業(yè)數(shù)據(jù)所侵犯法益及其罪質(zhì)的核心在于企業(yè)數(shù)據(jù)所承載的法益。

2017年,被譽為“爬蟲入刑第一案”的晟品公司、侯某等非法獲取計算機信息系統(tǒng)數(shù)據(jù)案公開宣判,正式標(biāo)志著利用網(wǎng)絡(luò)爬蟲獲取企業(yè)數(shù)據(jù)的行為入罪。同年,邵某某等非法獲取計算機信息系統(tǒng)數(shù)據(jù)案(下稱“酷米客訴車來了”案)表明了國內(nèi)針對爬取企業(yè)數(shù)據(jù)行為的“強硬態(tài)度”。同國內(nèi)的“強硬態(tài)度”不同,面對網(wǎng)絡(luò)爬蟲這一新生現(xiàn)象,國外司法實踐更加寬容和謙抑。在2019年的“HiQ訴領(lǐng)英案”(HiQ v.LinkedIn)中,美國第九巡回上訴法院從數(shù)據(jù)流通與互聯(lián)網(wǎng)的整體利益出發(fā),認(rèn)為HiQ無視領(lǐng)英公司的技術(shù)措施、合約,爬取領(lǐng)英公司用戶職業(yè)信息數(shù)據(jù)的行為并不違反《計算機欺詐與濫用法》(Computer Fraud and Abuse Act,CFAA)第1030(a)條。美國第九巡回上訴法院“同案不同判”的做法說明:信息時代下,爬取企業(yè)數(shù)據(jù)的行為背后存在復(fù)雜的利益沖突。

同為數(shù)據(jù)大國,美國司法機關(guān)對待爬取企業(yè)數(shù)據(jù)行為的態(tài)度值得引起我們的注意。在數(shù)據(jù)成為數(shù)字經(jīng)濟(jì)發(fā)展的“血液”的今天,過度保護(hù)企業(yè)數(shù)據(jù)可能會違背數(shù)字經(jīng)濟(jì)的發(fā)展規(guī)律,縱使爬取企業(yè)數(shù)據(jù)的行為需要入罪化,司法機關(guān)也需要以更加精密的判斷規(guī)則以確定企業(yè)數(shù)據(jù)的保護(hù)限度。因此,本文擬首先明確刑法所評價的行為對象的具體內(nèi)涵,而后對企業(yè)數(shù)據(jù)所承載法益進(jìn)行討論,進(jìn)而確定規(guī)制侵犯企業(yè)數(shù)據(jù)行為所適用的罪名,并明確該罪名構(gòu)成要件行為的具體內(nèi)涵及其認(rèn)定的具體標(biāo)準(zhǔn)。最后,結(jié)合既有的爬取企業(yè)數(shù)據(jù)案件,揭示當(dāng)前司法機關(guān)所存在的法律適用錯誤,進(jìn)而明確爬取企業(yè)數(shù)據(jù)行為入罪的界限。

二、企業(yè)數(shù)據(jù)承載法益及其罪質(zhì)界定

1.行為對象:表現(xiàn)為二進(jìn)制代碼的信息

由于行為對象系法益的載體,確定行為對象的具體內(nèi)涵系厘清法益的前提。因此,在對企業(yè)數(shù)據(jù)所承載法益進(jìn)行探討之前,有必要對數(shù)據(jù)的具體內(nèi)涵予以確定。

從信息學(xué)出發(fā),哈佛大學(xué)信息學(xué)家尤查·本科勒(Yochai Benkler)的通信系統(tǒng)理論將數(shù)據(jù)劃分為物理層、代碼層以及內(nèi)容層3個層面。所謂物理層,是指支撐代碼運行及信息呈現(xiàn)的計算機、網(wǎng)線等物理設(shè)備。所謂代碼層,是指基于物理層而運作的,以0和1的比特存儲形式而存在的二進(jìn)制代碼。而內(nèi)容層則是指二進(jìn)制代碼所承載的能夠為人們所感知的信息[4]562-563。在現(xiàn)代信息技術(shù)出現(xiàn)以前,無論是結(jié)繩記事、龜甲刻文還是紙張書寫,信息載體同信息內(nèi)容并不同一,信息載體可以脫離于信息內(nèi)容而存在,二者相互獨立。然而,現(xiàn)代計算機技術(shù)顛覆了這一關(guān)系。受益于信息網(wǎng)絡(luò)技術(shù)發(fā)展,數(shù)據(jù)本身既是信息的數(shù)字化媒介的同時又可以直接顯現(xiàn)為信息本身。“正是基于數(shù)字化的特點,數(shù)據(jù)除作為媒介以外,同時又因其與信息直接對應(yīng)而帶有信息本體性的特點?！盵5]168因此,在信息學(xué)上,數(shù)據(jù)即表現(xiàn)為二進(jìn)制代碼的信息。

而根據(jù)既有立法,法律領(lǐng)域中的“數(shù)據(jù)”顯然同信息學(xué)保持一致。2009年《刑法修正案(七)》設(shè)立非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪的初衷在于規(guī)制“不法分子利用技術(shù)手段非法侵入計算機系統(tǒng),竊取賬號、密碼等信息”的行為[6]。而2011年最高人民法院、最高人民檢察院《關(guān)于辦理危害計算機信息系統(tǒng)安全刑事案件應(yīng)用法律若干問題的解釋》(簡稱《計算機安全解釋》)第1條將獲取網(wǎng)絡(luò)金融服務(wù)及其他身份認(rèn)證信息的行為認(rèn)定為“情節(jié)嚴(yán)重”的做法亦表明刑法中的數(shù)據(jù)是信息。而根據(jù)2021年《數(shù)據(jù)安全法》第3條,數(shù)據(jù)系“指任何以電子或其他方式對信息的記錄”。這一概念亦表明,法律中的數(shù)據(jù)系代碼層與內(nèi)容層的統(tǒng)一,數(shù)據(jù)在本質(zhì)上就是表現(xiàn)為二進(jìn)制代碼的信息。

因此,作為刑法的評價對象,數(shù)據(jù)是表現(xiàn)為二進(jìn)制代碼的信息,系代碼層與內(nèi)容層的統(tǒng)一,二者之間只存在是否“讀取”的差別。基于信息與數(shù)據(jù)在數(shù)字技術(shù)環(huán)境下的共生特征,在互聯(lián)網(wǎng)世界中,任何對于信息或數(shù)據(jù)的保護(hù)最終都具有保護(hù)實質(zhì)信息內(nèi)容和數(shù)據(jù)形式完整的雙重任務(wù),二者不能割裂[5]168。因此,不承載信息且不具有任何意義的冗余數(shù)據(jù)并非刑法所保護(hù)的對象。

2.企業(yè)數(shù)據(jù)權(quán)利化:體系難題與價值困境

當(dāng)前,學(xué)界對企業(yè)數(shù)據(jù)所承載法益多有爭議,而這一爭議主要圍繞著企業(yè)對數(shù)據(jù)是否享有權(quán)利展開。主張確權(quán)的權(quán)利路徑主要立足于自然財產(chǎn)理論,其認(rèn)為由于企業(yè)付出了技術(shù)、資金與人力成本,故而賦予企業(yè)以權(quán)利具有正當(dāng)性[7]51。其希冀將數(shù)據(jù)問題歸屬于既有權(quán)利體系之中,并比照既有權(quán)利制度來界定數(shù)據(jù)權(quán)益的保護(hù)規(guī)則,賦予數(shù)據(jù)主體以排他性的權(quán)利,并對數(shù)據(jù)主體以外的不特定人課以尊重該權(quán)利的不作為義務(wù)。然而,基于傳統(tǒng)權(quán)利體系不兼容與價值沖突的雙重困境,權(quán)利路徑并不可行。

(1)數(shù)據(jù)確權(quán)的體系難題

同企業(yè)數(shù)據(jù)相關(guān)的權(quán)利路徑主要有物權(quán)、著作權(quán)以及商業(yè)秘密權(quán)。然而,企業(yè)數(shù)據(jù)猶如法律世界中的“四不像”,難以滿足任何權(quán)利客體的全部特征。

首先,企業(yè)數(shù)據(jù)難以評價為“財產(chǎn)”。企業(yè)數(shù)據(jù)雖具有二進(jìn)制代碼的組合形式,但其既難以為企業(yè)所獨占,又必須依賴于物理層的計算機與網(wǎng)線終端,故而缺乏財產(chǎn)權(quán)客體所要求的確定性與獨立性。且企業(yè)數(shù)據(jù)的經(jīng)濟(jì)價值缺乏明確的標(biāo)準(zhǔn),多數(shù)數(shù)據(jù)企業(yè)皆對企業(yè)數(shù)據(jù)建立定期刪除制度,故而企業(yè)數(shù)據(jù)缺乏財產(chǎn)權(quán)客體所要求的價值性。因此,企業(yè)數(shù)據(jù)難以評價為“財產(chǎn)”,其所承載的法益并非財產(chǎn)權(quán)。

其次,企業(yè)數(shù)據(jù)難以評價為“作品”或“匯編作品”。“作品”是人類智力勞動的結(jié)晶,而非通過計算機程序或算法的加工處理的結(jié)果。因此,企業(yè)數(shù)據(jù)難以評價為“作品”?！皡R編作品”意在保護(hù)編排和結(jié)構(gòu)的獨創(chuàng)性。企業(yè)數(shù)據(jù)雖然具有一定的選擇和編排方式,但其價值主要在海量數(shù)據(jù)所呈現(xiàn)的內(nèi)容而非數(shù)據(jù)的結(jié)構(gòu)或編排。在“大眾點評訴愛幫網(wǎng)不正當(dāng)競爭案”( 北京市第一中級人民法院(2009)一中民終字第5031號民事判決書)中,法官亦認(rèn)為,點評信息的優(yōu)勢在于公眾參與而帶來的“口碑效應(yīng)”而非編排結(jié)構(gòu),故而難以評價為匯編作品。因此,企業(yè)數(shù)據(jù)承載的法益亦非著作權(quán)。

最后,企業(yè)數(shù)據(jù)難以評價為“商業(yè)秘密”。根據(jù)我國《反不正當(dāng)競爭法》第9條,商業(yè)秘密具有非公知性、價值性、保密性與實用性。然而,企業(yè)數(shù)據(jù)除缺失上文所提到的價值性外,還缺乏非公知性與保密性。一方面,由于企業(yè)數(shù)據(jù)來源于社會公眾、政府?dāng)?shù)據(jù)公開等不同的公開途徑,故缺乏非公知性。另一方面,從保密性來看,企業(yè)所設(shè)置的保密措施多出于系統(tǒng)安全的需要,其是否為企業(yè)數(shù)據(jù)所專設(shè)不能一概而論,故保密性難以認(rèn)定。在“新浪微博訴陌陌案”(北京市高級人民法院(2016)京73民終588號民事判決書)中,微夢公司便曾主張其企業(yè)數(shù)據(jù)系商業(yè)秘密,但法院并未予以支持。因此,企業(yè)數(shù)據(jù)難以評價為“商業(yè)秘密”,其承載法益并非商業(yè)秘密權(quán)。

(2)數(shù)據(jù)確權(quán)的價值困境

此外,將企業(yè)數(shù)據(jù)所承載的法益理解為一種權(quán)利還將面臨深遠(yuǎn)的價值困境。

首先,權(quán)利化主張違背數(shù)據(jù)的公開分享、互惠利他的特點。由于數(shù)據(jù)的本質(zhì)是信息,且信息具有公共性,故而數(shù)據(jù)符合經(jīng)濟(jì)學(xué)上的“公共品”(public goods)非競爭性與非排他性的特征,一人對數(shù)據(jù)的使用不影響他人對數(shù)據(jù)的使用,多人可以同時使用數(shù)據(jù)而互不排斥。正是因為數(shù)據(jù)的公開分享與互惠利他,互聯(lián)網(wǎng)技術(shù)在極短時間內(nèi)蓬勃興起,數(shù)字經(jīng)濟(jì)的發(fā)展動力生生不息。權(quán)利化路徑無疑違背了數(shù)據(jù)公開分享、互惠利他的特點。

其次,權(quán)利化主張違背大數(shù)據(jù)時代下數(shù)據(jù)價值生產(chǎn)的基本原理。有學(xué)者指出,數(shù)據(jù)價值生產(chǎn)呈現(xiàn)數(shù)據(jù)與信息相互轉(zhuǎn)化的周期化特征,數(shù)據(jù)在不同生命周期中基于不同處理目的為不同數(shù)據(jù)主體所“關(guān)系化”,并源源不斷地產(chǎn)生具備新的使用價值的信息[8]262。數(shù)據(jù)于不同主體之間的流通系數(shù)據(jù)價值的生產(chǎn)前提,而賦予數(shù)據(jù)主體以數(shù)據(jù)權(quán)利無疑嚴(yán)重阻礙了數(shù)據(jù)在不同主體間的流轉(zhuǎn)。

最后,對于企業(yè)數(shù)據(jù)而言,權(quán)利化主張亦不利于正當(dāng)競爭秩序的實現(xiàn)。與傳統(tǒng)工業(yè)社會不同,在大數(shù)據(jù)時代中,數(shù)據(jù)上下游競爭者圍繞數(shù)據(jù)產(chǎn)生巨大的利益沖突,上游期望通過數(shù)據(jù)控制攫取經(jīng)濟(jì)利益,而下游則要求數(shù)據(jù)開放共享[9]63。數(shù)據(jù)是企業(yè)生存與發(fā)展的“血液”,企業(yè)對數(shù)據(jù)的控制力度直接影響公平、公正的競爭秩序構(gòu)建。權(quán)利化路徑將導(dǎo)致數(shù)據(jù)壟斷,嚴(yán)重影響公平、公正的數(shù)據(jù)競爭秩序[10]164。

3.事實控制:企業(yè)數(shù)據(jù)承載法益的真相

可見,企業(yè)數(shù)據(jù)同既有權(quán)利體系并不兼容,且始終面臨著控制與分享價值的二律背反,欲求將企業(yè)數(shù)據(jù)權(quán)利化的觀點并不可行。然而,法律完全放棄對企業(yè)數(shù)據(jù)的保護(hù)亦并不現(xiàn)實,企業(yè)對數(shù)據(jù)確實存在排除外界的破壞和干涉的要求。作為數(shù)字經(jīng)濟(jì)發(fā)展的重要主體,企業(yè)需要通過維持巨大的“數(shù)據(jù)鴻溝”以開發(fā)數(shù)據(jù)業(yè)務(wù)及進(jìn)行數(shù)據(jù)市場交易。因此,為衡平數(shù)據(jù)的控制與流通,學(xué)界觀點主張仿照物權(quán)法上的“占有”制度,創(chuàng)造性地提出了利益路徑。

利益路徑將企業(yè)數(shù)據(jù)所承載的法益理解為“企業(yè)對數(shù)據(jù)的事實控制”,這種事實控制表現(xiàn)為企業(yè)通過積極設(shè)置專門技術(shù)措施,防止數(shù)據(jù)為他人訪問獲得[11]864。值得注意的是,同傳統(tǒng)權(quán)利人對權(quán)利客體無需施加任何“力”即推定控制不同,企業(yè)對數(shù)據(jù)所形成的控制是一種附有積極作為義務(wù)的控制。形象的說,掛載于互聯(lián)網(wǎng)之中的企業(yè)數(shù)據(jù)猶如河里流動的水,企業(yè)若不蓄壩圍堤,則無法形成對水的有效控制。因此,企業(yè)對數(shù)據(jù)的事實控制是一種“弱”控制,一旦企業(yè)未積極設(shè)置專門技術(shù)措施而放任數(shù)據(jù)為他人公開訪問,則因為數(shù)據(jù)的流通需要而推定企業(yè)放棄對數(shù)據(jù)的事實控制,同意他人對自己數(shù)據(jù)的訪問。利益路徑并不為企業(yè)賦予絕對排他的權(quán)利,但承認(rèn)企業(yè)對數(shù)據(jù)控制的合法狀態(tài),能夠有效對抗他人未經(jīng)本人許可而對既有控制狀態(tài)的干涉與破壞的同時,最大程度促進(jìn)數(shù)據(jù)的自由流通。因此,在《民法典》未對數(shù)據(jù)的法律性質(zhì)予以規(guī)定的背景下,利益路徑被認(rèn)為是最符合數(shù)據(jù)自身特點與數(shù)字經(jīng)濟(jì)發(fā)展需要的觀點,且這一觀點已成為學(xué)界的主流觀點[12]1405,并為民商事領(lǐng)域司法裁判所廣為接納。

綜上所述,對于企業(yè)數(shù)據(jù)而言,其既非“財物”或“商業(yè)秘密”又非“作品”或“匯編作品”,企業(yè)數(shù)據(jù)所承載的法益并非一種權(quán)利,其所承載法益僅為企業(yè)對企業(yè)數(shù)據(jù)的事實控制。而作為“唯一純正數(shù)據(jù)罪名”,非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪所保護(hù)的法益恰好為數(shù)據(jù)保密性(confidentiality),即數(shù)據(jù)主體對數(shù)據(jù)的事實控制,防止數(shù)據(jù)不為他人所獲得[13]167。也因此,適用非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪以規(guī)制侵犯企業(yè)數(shù)據(jù)的行為系學(xué)理的必然選擇。

三、非法侵入的具體內(nèi)涵及其類型化判斷

正如文首所述,網(wǎng)絡(luò)爬蟲的入罪風(fēng)險在于突破或繞過反爬蟲技術(shù)措施或技術(shù)合約獲取數(shù)據(jù),且企業(yè)數(shù)據(jù)所承載法益為企業(yè)對數(shù)據(jù)的事實控制,需適用非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪予以保護(hù)。因此,判斷強行爬取數(shù)據(jù)行為是否構(gòu)成非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪的核心在于判斷突破或繞過反爬蟲技術(shù)措施及無視技術(shù)合約是否構(gòu)成“非法侵入”。

1.非法侵入:未經(jīng)授權(quán)或超越授權(quán)

根據(jù)我國現(xiàn)行立法,非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪的行為方式為“非法侵入計算機系統(tǒng)獲取數(shù)據(jù)”。然而,立法對“非法侵入”的規(guī)定僅是出于形式精簡和罪刑法定明確性要求的類型化,缺乏實踐指導(dǎo)功能[14]90-91。盡管立法并未直接說明“非法侵入”的具體內(nèi)涵,但《計算機安全解釋》第2條對“侵入、非法控制計算機信息系統(tǒng)程序、工具”的規(guī)定為我們指明了方向。根據(jù)該司法解釋,結(jié)合數(shù)據(jù)的傳輸模式,可以將“非法侵入”初步解釋為“未經(jīng)授權(quán)或超越授權(quán)進(jìn)入計算機信息系統(tǒng)”。由此,網(wǎng)絡(luò)爬蟲行為不法的判斷便有賴于對“計算機信息系統(tǒng)”與“授權(quán)”的理解。

“計算機信息系統(tǒng)”是一個典型的空間概念,它是數(shù)據(jù)的儲存、交換、編譯的基本場所。在計算機信息技術(shù)中,一個獨立的網(wǎng)絡(luò)操作系統(tǒng)被稱之為“域”,這也是為什么網(wǎng)址要被稱為“域名”。數(shù)據(jù)訪問獲取可以形象地比喻為“入戶取物”。在這一過程中,訪問者利用域名探尋到“域”的入口(建筑物門口),而后向數(shù)據(jù)主體的計算機信息系統(tǒng)發(fā)出訪問請求(請求入戶),在獲得授權(quán)后,進(jìn)入他人計算機信息系統(tǒng)獲取數(shù)據(jù)(入戶取物)。

然而,對“授權(quán)”進(jìn)行定義卻并不容易。有學(xué)者在研究相關(guān)法律文書時發(fā)現(xiàn),我國法院對“未經(jīng)或超越授權(quán)”概念的解釋存在一定程度的“集體性失語”,絕大多數(shù)皆未對該概念進(jìn)行定義[15]103。從域外立法看,盡管美國CFAA第1030(a)條直接將“未經(jīng)或超越授權(quán)”作為數(shù)據(jù)犯罪的構(gòu)成要件,但這一要件亦因其模糊性(ambiguity)而廣受學(xué)者詬病,且立法及司法機關(guān)同樣無法對其進(jìn)行定義[16]1562。對此,有學(xué)者指出,“授權(quán)”的模糊化系立法者有意為之的結(jié)果。在立法者看來,網(wǎng)絡(luò)中計算機信息系統(tǒng)的開放程度各異,對計算機的訪問方式亦不斷變化,在立法上予以詳細(xì)規(guī)定并不明智亦不可能[17]1705-1706。換言之,在網(wǎng)絡(luò)之中,并非所有計算機信息系統(tǒng)都是開放的,亦并非所有計算機信息系統(tǒng)都是封閉的,甚至還有看似開放實則封閉的計算機信息系統(tǒng),故而法律難以用一個明確的要件來管理模糊的訪問問題,其只能交由司法者結(jié)合具體案件予以認(rèn)定。

因此,計算機中的“授權(quán)”同現(xiàn)實生活中的“許可證”功能相同,是一種社會規(guī)范,產(chǎn)生于授權(quán)人與相對人之間的社會實踐,取決于公眾認(rèn)知與文化承認(rèn),體現(xiàn)社群對“許可”的共同理解,其具體的判斷標(biāo)準(zhǔn)取決于計算機信息系統(tǒng)的開放程度及具體情境[18]1639。根據(jù)計算機信息系統(tǒng)于網(wǎng)絡(luò)中的開放程度及具體情境,計算機信息系統(tǒng)可以類型化為城堡型(castle model)系統(tǒng)、公共場所型(public place model)系統(tǒng)以及混合型(mixed model)系統(tǒng)。

2.城堡型系統(tǒng):“寬”的代碼規(guī)則與合同規(guī)則

城堡型系統(tǒng)是指未接入或雖接入互聯(lián)網(wǎng),但采取技術(shù)措施完全阻止他人訪問的計算機信息系統(tǒng)類型。該類型將計算機信息系統(tǒng)比作“私人住宅(城堡)”,系統(tǒng)所有人享有對計算機信息系統(tǒng)的絕對控制。

城堡型系統(tǒng)理論產(chǎn)生于20世紀(jì)末,這同當(dāng)時計算機發(fā)展的現(xiàn)狀與挑戰(zhàn)是相互適應(yīng)的。在當(dāng)時,私人計算機并未大規(guī)模普及,僅國家機關(guān)及大型企業(yè)才能夠擁有計算機。與此同時,互聯(lián)網(wǎng)技術(shù)尚不成熟,個體脫機使用屬于常態(tài)。計算機信息系統(tǒng)被安裝在一個由硬件與軟件構(gòu)成的計算機之中,形成了一個“封閉城堡”,儲存于硬盤之上的數(shù)據(jù)被安置在“城堡”之中。由于計算機所有者擁有計算機的所有權(quán),故而包括系統(tǒng)在內(nèi)的,關(guān)于該盒子的一切皆由所有權(quán)人的意愿而掌控。

在現(xiàn)實生活中,為保障住宅安寧,《刑法》第245條非法侵入住宅罪確定了“除非有明確的許可,否則不允許進(jìn)入私人住宅”的訪問規(guī)范。在私人住宅中,主人具有絕對、排他的權(quán)力,凡是主人沒有明確表示允許進(jìn)入的人,都有義務(wù)不進(jìn)入,且主人不需要為驅(qū)逐他人的行為說明原因[19]15-16。在計算機語境下,同主人對住宅的權(quán)力一樣,只要訪問行為違背系統(tǒng)所有人意愿,該行為就會被認(rèn)定為“未經(jīng)授權(quán)或超越授權(quán)訪問”,且這種意愿在計算機信息系統(tǒng)之內(nèi)表現(xiàn)為代碼阻礙,在計算機信息系統(tǒng)之外則表現(xiàn)為契約阻礙。

由于當(dāng)時計算機信息系統(tǒng)漏洞極多,蠕蟲、病毒等黑客行為猖獗,商業(yè)間諜現(xiàn)象亦十分嚴(yán)重,故而為處罰黑客行為及商業(yè)間諜行為設(shè)置規(guī)則。美國司法機關(guān)通過1991年的“美國訴莫里斯(Morris)案”(United States v.Morris)以及2000年的“舍佳德存儲中心訴安全守衛(wèi)倉儲公司案”(Shurgard Storage Centers,Inc.v.Safeguard Self Storage,Inc.),分別形成了判斷訪問行為“未經(jīng)授權(quán)”的代碼規(guī)則(Code Approach)與“超越授權(quán)”的合同規(guī)則(Contract Approach)[20]913-914。前者以訪問者突破或繞過系統(tǒng)代碼障礙為標(biāo)準(zhǔn),而后者則以違背系統(tǒng)所有人同訪問者所形成的合意為標(biāo)準(zhǔn)。無獨有偶,在2017年,我國最高人民檢察院在其所頒布的第36號指導(dǎo)案例“衛(wèi)某、龔某等非法獲取計算機數(shù)據(jù)罪”中,亦同樣確立了代碼規(guī)則與合同規(guī)則。為區(qū)分下文限縮的代碼規(guī)則與合同規(guī)則,本文將以上判斷標(biāo)準(zhǔn)稱之為“寬”的代碼規(guī)則與合同規(guī)則。

隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展,自由、開放、共享的互聯(lián)網(wǎng)精神試圖將其打造成一個計算機相互連接、數(shù)據(jù)資源相互共享、無權(quán)限中心的“公共空間”。在此背景下,傳統(tǒng)封閉的城堡型系統(tǒng)理論受到了挑戰(zhàn),適應(yīng)互聯(lián)網(wǎng)發(fā)展趨勢的公共場所型系統(tǒng)理論應(yīng)運而生。

3.公共場所型系統(tǒng):代碼規(guī)則與合同規(guī)則的失效

所謂公共場所型系統(tǒng),即指接入互聯(lián)網(wǎng),并公開為社會不特定公眾提供數(shù)據(jù)獲取服務(wù)的計算機信息系統(tǒng),是同城堡型系統(tǒng)在內(nèi)容上完全相反的理論模型。

不同于城堡型系統(tǒng)將計算機信息系統(tǒng)比作“私人住宅”,公共場所型系統(tǒng)將計算機信息系統(tǒng)比作“公共場所”。在現(xiàn)實生活中,公共場所所遵循的訪問規(guī)范為“笑迎八方客,誠待四海賓”,法律并不賦予公共場所管理者以絕對、排他的權(quán)力,而是推定公共場所向社會所有人開放,無論男女老少,皆可進(jìn)入享受公共服務(wù),這也是為何沒有也不可能有“非法侵入公共場所罪”的原因。

在計算機語境下,公共場所型系統(tǒng)的公開性則來源于互聯(lián)網(wǎng)的開放訪問規(guī)范。當(dāng)前,互聯(lián)網(wǎng)數(shù)據(jù)傳輸是建立在“超文本傳輸協(xié)議”(Hyper Text Transfer Protocol,HTTP)基礎(chǔ)之上的,其中RFC1945、RFC2616將互聯(lián)網(wǎng)定義為一種“普遍的、無國界的、共享的和超媒體”的信息系統(tǒng)。任何連接互聯(lián)網(wǎng)的服務(wù)器(網(wǎng)站)都需要同意HTTP,這也是為什么網(wǎng)站的前綴一般為“http://”[21]。而根據(jù)HTTP,接入互聯(lián)網(wǎng)中的服務(wù)器歡迎所有人,所有的訪問者原則上皆可通過“訪問——回饋”的方式獲得數(shù)據(jù),這種訪問是默認(rèn)授權(quán)的。

正因為公共場所型系統(tǒng)是“默認(rèn)授權(quán)”,故對于純粹的公共場所型系統(tǒng)而言,城堡型系統(tǒng)中判斷“授權(quán)”的代碼規(guī)則與合同規(guī)則將全部無效。事實上,公共場所型系統(tǒng)也根本不會設(shè)置任何代碼障礙,故而根本談不上代碼規(guī)則的應(yīng)用問題。盡管公共場所型系統(tǒng)的所有者亦可能會有意志表達(dá),但也因公共場所型系統(tǒng)的公開性而推定無效。

然而,隨著互聯(lián)網(wǎng)技術(shù)的進(jìn)一步發(fā)展,手機等移動終端的快速普及,互聯(lián)網(wǎng)日趨融入人們的生活,“人”“網(wǎng)”逐漸合一。數(shù)字時代的到來使得經(jīng)濟(jì)“脫實向虛”,互聯(lián)網(wǎng)經(jīng)濟(jì)的發(fā)展使得大量以提供數(shù)據(jù)服務(wù)為生的互聯(lián)網(wǎng)企業(yè)(平臺)如雨后春筍般涌現(xiàn),互聯(lián)網(wǎng)企業(yè)所提供的網(wǎng)站、APP成為人們娛樂、工作、交流的重要領(lǐng)地,大型互聯(lián)網(wǎng)企業(yè)甚至因為其基礎(chǔ)性與公共性而成為新的公用事業(yè)[22]89。因此,混合型系統(tǒng)理論應(yīng)運而生。

4.混合型系統(tǒng):限縮的代碼規(guī)則與合同規(guī)則

所謂混合型系統(tǒng),是指兼具城堡型系統(tǒng)與公共場所型系統(tǒng)特征的計算機信息系統(tǒng)。在現(xiàn)實世界中,一個公共空間內(nèi)也可能存在私人空間,“酒店”就是最好的例子。顧客可以在大廳、餐廳、過道之間來回穿梭,卻不能任意進(jìn)入別人的客房。事實上,幾乎所有向社會公眾提供數(shù)據(jù)服務(wù)的企業(yè)計算機信息系統(tǒng)都是混合型系統(tǒng),企業(yè)既需要利用無需授權(quán)的“公共空間”去吸引流量,又需要劃定“私人空間”以獲取利益。

在計算機語境下,由于“私人空間”的存在,故城堡型系統(tǒng)所衍生出的代碼規(guī)則與合同規(guī)則依然有效。企業(yè)會利用代碼阻礙將“公共空間”和“私人空間”分割開來。但需要注意的是,這種分割必須是完全且徹底的,否則“私人空間”仍會因同“公共空間”交叉而產(chǎn)生“默認(rèn)授權(quán)”的效果。因此,并非所有的代碼障礙皆可表征“授權(quán)”,城堡型系統(tǒng)所衍生出的代碼理論需予以限縮適用,否則將導(dǎo)致處罰范圍的擴(kuò)大。在具體標(biāo)準(zhǔn)上,有學(xué)者根據(jù)計算機“訪問控制列表(Access Control Lists,ACL)”的基本原理指出,在計算機信息系統(tǒng)中只有身份認(rèn)證措施能夠產(chǎn)生空間劃分的效果。其內(nèi)在邏輯在于:ACL首先將訪問者的訪問類型區(qū)分為讀、寫和執(zhí)行訪問,而后將這3種類型施加于特定文件之上,進(jìn)而在系統(tǒng)中為不同訪問者劃分?jǐn)?shù)據(jù)的訪問權(quán)限,而區(qū)分不同訪問者的主要手段便是以“用戶名——密碼”組合為代表的身份驗證方法[23]250。因此,在兼具城堡型系統(tǒng)與公共場所型系統(tǒng)特征的計算機信息系統(tǒng)中,判斷行為人訪問行為是否“未經(jīng)授權(quán)”的判斷標(biāo)準(zhǔn)為經(jīng)過限縮的代碼理論,即身份認(rèn)證措施。

此外,為確保網(wǎng)絡(luò)用戶能夠自由表達(dá)和行事,避免因系統(tǒng)管理人隨意撤銷授權(quán)而帶來的刑事法律風(fēng)險,系統(tǒng)管理人的自由意志被嚴(yán)格限制。在混合型系統(tǒng)中,合同規(guī)則亦被嚴(yán)格限制在“私人空間”內(nèi)。除非訪問者所訪問的是已經(jīng)通過身份認(rèn)證措施完全分割出來的“私人空間”,否則在“公共空間”與“私人空間”相混同的網(wǎng)站中,系統(tǒng)管理者的自由意志將因公共空間的“默認(rèn)授權(quán)”而被推定為無效。因此,企業(yè)在網(wǎng)站首頁所設(shè)置的諸如服務(wù)協(xié)議(Terms of Service,ToS)等“一攬子”授權(quán)協(xié)議一般被認(rèn)為無效。

綜上所述,非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪中“非法侵入”的認(rèn)定需要區(qū)分行為人訪問系統(tǒng)的類型,并適用不同的判斷規(guī)則。對于城堡型系統(tǒng)而言,行為人訪問行為“未經(jīng)授權(quán)”與“超越授權(quán)”的判斷分別適用“寬”的代碼規(guī)則與合同規(guī)則。對于公共場所型系統(tǒng)而言,行為人的訪問行為因“默認(rèn)授權(quán)”而無需授權(quán),故而不存在判斷問題。最后,對于兼具城堡型系統(tǒng)與公共場所型系統(tǒng)特征的計算機信息系統(tǒng)而言,行為人訪問行為“未經(jīng)授權(quán)”與“超越授權(quán)”的判斷分別適用嚴(yán)格限縮的代碼規(guī)則與合同規(guī)則。

四、爬取企業(yè)數(shù)據(jù)行為不法判斷的司法擴(kuò)張及其限縮

上文已經(jīng)對企業(yè)數(shù)據(jù)承載的法益及其罪質(zhì)進(jìn)行了確定,并明確了“非法侵入”這一構(gòu)成要件行為判斷的具體標(biāo)準(zhǔn),故而下面有必要結(jié)合具有典型性的司法案例及其審理思路,揭示當(dāng)前司法機關(guān)理解所存在的法律適用錯誤,進(jìn)而明確爬取企業(yè)數(shù)據(jù)行為入罪的界限。

1.擴(kuò)張適用:司法機關(guān)錯誤理解的必然結(jié)果

2019年,“爬蟲入刑第一案”以其重大社會影響力、高公眾關(guān)注度以及審判思路及結(jié)果的重大突破被評選為當(dāng)年人民法院十大刑事案件。因此,該案基本可以代表官方對爬取企業(yè)數(shù)據(jù)行為的基本立場。然而,通過對該案件裁判文書及思路進(jìn)行研究表明,當(dāng)前司法機關(guān)對企業(yè)數(shù)據(jù)法益及“非法侵入”認(rèn)定的具體標(biāo)準(zhǔn)顯然同應(yīng)然存在偏差,嚴(yán)重導(dǎo)致爬取企業(yè)數(shù)據(jù)入罪的司法擴(kuò)張。

(1)法益理解錯誤導(dǎo)致的對象擴(kuò)張

在法益理解方面,司法機關(guān)并沒有將企業(yè)數(shù)據(jù)法益理解為企業(yè)對數(shù)據(jù)的事實控制,而是選擇了與其相反的權(quán)利化路徑。在“爬蟲入刑第一案”中,司法機關(guān)就認(rèn)為,“在大數(shù)據(jù)時代,數(shù)據(jù)的獨立價值與權(quán)利屬性已經(jīng)越來越得到廣泛重視”[24]5-9,而在“車來了案”中,司法機關(guān)亦認(rèn)為,“數(shù)據(jù)能夠為原告帶來現(xiàn)實或潛在的經(jīng)濟(jì)利益,已經(jīng)具備無形財產(chǎn)的屬性。”而正如上文所述,“權(quán)利”具有歸屬和排除功能,權(quán)利人原則上對其物可以任意處分并排除他人的干涉,其產(chǎn)生的是一種無需任何條件的“強”控制。因此,利益路徑下因企業(yè)對數(shù)據(jù)的“弱”控制而產(chǎn)生的“推定同意”效果以及常態(tài)化的法益衡量便缺乏適用的空間。也因此,在這種理解下,無論數(shù)據(jù)是否公開,也不論數(shù)據(jù)是否被壟斷,只要數(shù)據(jù)儲存在企業(yè)計算機信息系統(tǒng)之中,皆具有保護(hù)性。這無疑將具備阻卻違法性效果的數(shù)據(jù)類型“一攬子”地納入保護(hù)范疇,嚴(yán)重擴(kuò)張了本罪的行為對象。

(2)系統(tǒng)類型認(rèn)定錯誤導(dǎo)致的判斷標(biāo)準(zhǔn)擴(kuò)張

在“爬蟲入刑第一案”中,司法機關(guān)明確引用最高檢第36號指導(dǎo)案例所確立的“寬”的合同規(guī)則與代碼規(guī)則作為網(wǎng)絡(luò)爬蟲“非法侵入”的判斷標(biāo)準(zhǔn)。司法機關(guān)認(rèn)為,由于一切反爬蟲技術(shù)措施皆為代碼障礙,故而一切突破或繞過反爬蟲技術(shù)措施的行為皆為“非法侵入”,且由于技術(shù)合約亦表達(dá)了系統(tǒng)管理者的真實意愿,故而無視技術(shù)合約的行為亦被視作“非法侵入”[24]4-6?？梢?司法機關(guān)并未在觀念上對城堡型系統(tǒng)、公共設(shè)施型系統(tǒng)以及混合型系統(tǒng)進(jìn)行區(qū)分,而是將企業(yè)計算機信息系統(tǒng)直接認(rèn)定為城堡型系統(tǒng)。

然而,正如上文所述,當(dāng)今互聯(lián)網(wǎng)企業(yè)計算機信息系統(tǒng)皆兼具城堡型系統(tǒng)與公共設(shè)施型系統(tǒng)的特征,故而在“非法侵入”的判斷上,理應(yīng)適用限縮的代碼規(guī)則與合同規(guī)則。因此,并非一切突破或繞過代碼障礙的行為皆為“非法侵入”,技術(shù)合約亦需判斷其是否僅適用于“私人空間”。司法機關(guān)適用“寬”的代碼規(guī)則與合同規(guī)則顯然會導(dǎo)致本罪行為違法性認(rèn)定的擴(kuò)張。

事實上,司法機關(guān)對企業(yè)數(shù)據(jù)法益及“非法侵入”判斷標(biāo)準(zhǔn)的錯誤理解并非偶然,而是有著深厚的觀念和慣性原因。一方面,我國刑事司法對于數(shù)據(jù)的法律定位,并未擺脫古典時代占有主義觀念的影響。盡管我國在立法上從來沒有確立數(shù)據(jù)的財產(chǎn)地位,但是司法機關(guān)卻是按照所屬財產(chǎn)的范疇來處理的,這種觀念必然導(dǎo)致司法機關(guān)偏好企業(yè)數(shù)據(jù)的權(quán)利化路徑,無視數(shù)據(jù)的公共性與流通性[25]43。另一方面,由于我國長期適用非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪以保護(hù)“虛擬財產(chǎn)”,故而司法機關(guān)在實踐過程受到“虛擬財產(chǎn)”司法慣性的影響,實際上存在下意識地將非法獲取計算機信息數(shù)據(jù)罪視為“虛擬財物盜竊罪”的現(xiàn)象。因此,回歸于爬蟲案件之中,司法機關(guān)必須正視數(shù)據(jù)與信息網(wǎng)絡(luò)的公共性與流通性,限縮適用非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪以實現(xiàn)爬取企業(yè)數(shù)據(jù)行為入罪的“不偏不倚”。

2.對象不法限縮:不正當(dāng)競爭主體數(shù)據(jù)與公開數(shù)據(jù)判斷

(1)抓取公開數(shù)據(jù):被害人同意阻卻違法

所謂公開數(shù)據(jù),是指向社會公眾開放,可以在任何時間、地點進(jìn)行訪問、獲取、適用的數(shù)據(jù)[26]。公開數(shù)據(jù)這一數(shù)據(jù)類型的背后暗含著數(shù)據(jù)主體對于他人訪問獲取數(shù)據(jù)這一行為的同意,而在理論上,同意的來源主要有主體的主動同意與推定的同意。正如上文所述,企業(yè)對數(shù)據(jù)的控制具有“弱”穩(wěn)定,只要企業(yè)未利用身份識別措施將數(shù)據(jù)完全封鎖于封閉的計算機信息系統(tǒng)之中,則根據(jù)網(wǎng)絡(luò)公開性原則推定企業(yè)放棄對數(shù)據(jù)的事實控制,“推定”企業(yè)同意他人的數(shù)據(jù)訪問行為,相對應(yīng)的數(shù)據(jù)則成為公開企業(yè)數(shù)據(jù)。國外學(xué)者對這種情況有過生動的比喻:互聯(lián)網(wǎng)猶如物理世界中的開放的公共集市,互聯(lián)網(wǎng)企業(yè)猶如在公共集市上售賣蛋糕的人一樣,在用途上公開的數(shù)據(jù)猶如擺在桌子上的試吃蛋糕,任何人都可以索取。禁止他人獲取公開數(shù)據(jù),就像出版報紙,而后禁止某人閱讀[27]1163。因此,抓取企業(yè)主動公開及因企業(yè)對數(shù)據(jù)事實控制的“弱”穩(wěn)定而推定公開的企業(yè)數(shù)據(jù),構(gòu)成刑法理論中的被害人同意,進(jìn)而阻卻違法性。

(2)不正當(dāng)競爭主體數(shù)據(jù)

此外,由于數(shù)據(jù)企業(yè)競爭秩序兼具上游企業(yè)數(shù)據(jù)保護(hù)與下游企業(yè)機會平等的雙重任務(wù),企業(yè)對企業(yè)數(shù)據(jù)的事實控制不能違反公平、公正的競爭秩序。因此,爬取壟斷數(shù)據(jù)亦因存在優(yōu)越利益而阻卻行為違法性。2020年12月16日,中央經(jīng)濟(jì)工作會議再次指出互聯(lián)網(wǎng)絕非法外之地,“未來要強化反壟斷和防止資本無序擴(kuò)張”[28],“數(shù)據(jù)孤島”已經(jīng)成為數(shù)字經(jīng)濟(jì)發(fā)展的一大阻礙。由于互聯(lián)網(wǎng)行業(yè)的雙邊效應(yīng)、輻射效應(yīng)、鎖定效應(yīng),某一企業(yè)在某一行業(yè)領(lǐng)域做大做強后,會借助互聯(lián)網(wǎng)行業(yè)的鎖定效應(yīng)封鎖數(shù)據(jù)來源渠道,打壓行業(yè)后繼新秀,或者借助本行業(yè)所控制、積攢的數(shù)據(jù),染指其他行業(yè),獨占數(shù)據(jù)紅利,嚴(yán)重影響社會資源分配與市場競爭秩序中機會平等的實現(xiàn)。在前述“領(lǐng)英案”中,領(lǐng)英公司是職業(yè)關(guān)系行業(yè)的絕對支配者,其所擁有的職業(yè)信息數(shù)據(jù)早已經(jīng)達(dá)到市場支配地位,HiQ公司的數(shù)據(jù)分析完全依賴于領(lǐng)英公司的企業(yè)數(shù)據(jù)。對此,聯(lián)邦第九巡回上訴法院認(rèn)為,如若授予領(lǐng)英公司寬泛權(quán)力,通過CFAA以保護(hù)其壟斷數(shù)據(jù),不僅對公眾言論是一種限制,更有違互聯(lián)網(wǎng)數(shù)據(jù)自由流通的初衷。最終,法院認(rèn)為LinkedIn有構(gòu)成不正當(dāng)競爭的嫌疑,駁回了其CFAA訴請。有論者認(rèn)為,每一個數(shù)據(jù)生態(tài)系統(tǒng)的產(chǎn)生都蘊藏著公共利益與公眾訴求,對壟斷企業(yè)數(shù)據(jù)服務(wù)的公眾不滿(Public Backlash)是其他數(shù)據(jù)企業(yè)誕生的原因。法院應(yīng)當(dāng)注意到被爬取企業(yè)數(shù)據(jù)背后的公共動因,過分支持?jǐn)?shù)據(jù)壟斷企業(yè)的訴求有失偏頗[29]924-928。在數(shù)據(jù)企業(yè)存在不正當(dāng)競爭行為時,刑法應(yīng)當(dāng)謹(jǐn)慎衡量企業(yè)數(shù)據(jù)背后的企業(yè)經(jīng)濟(jì)利益與社會、公共利益,謹(jǐn)防刑法成為企業(yè)不正當(dāng)競爭、打壓同行的工具。

3.行為不法限縮:技術(shù)合約與延緩訪問措施

(1)無視技術(shù)合約:需具體判斷違法性

在爬蟲案件中,技術(shù)合約主要是指爬蟲協(xié)議。所謂爬蟲協(xié)議(robot.txt),是一種存放于網(wǎng)站根目錄下的ASCII編碼的文本文件,其可以通過“allow/disallow”+“/x/”(目錄)或“.xxx”(文件后綴)來表明網(wǎng)絡(luò)爬蟲允許或禁止爬取的目錄或后綴。盡管爬蟲協(xié)議存放于根目錄,但是系統(tǒng)管理人能夠利用代碼將其效力范圍限定于某一個網(wǎng)站根目錄下具體需要身份認(rèn)證的網(wǎng)頁鏈接(私人空間)。然而,為最大程度阻止爬蟲爬取數(shù)據(jù),多數(shù)企業(yè)并不在爬蟲協(xié)議中明確該協(xié)議適用于“私人空間”,而是將其效力范疇擴(kuò)散至根目錄下的全部網(wǎng)頁。這直接導(dǎo)致爬蟲協(xié)議因違反“公共領(lǐng)域”的“默認(rèn)授權(quán)”而被推定全部無效。例如,在“B公司訴A公司不正當(dāng)競爭案”(北京市高級人民法院(2017)京民終487號民事判決書)中,法院認(rèn)為,robot.txt的使用需遵循公平、開放和促進(jìn)信息自由流動的原則,無合理理由于主頁設(shè)置“白名單”的行為具有違法性。因此,司法機關(guān)需仔細(xì)區(qū)分技術(shù)合約的效力范圍,精準(zhǔn)區(qū)分“私人空間”與“公共空間”,進(jìn)而確定無視技術(shù)合約行為的違法性。

(2)突破或繞過延緩訪問措施:不具有形式違法性

在網(wǎng)絡(luò)爬蟲案件中,司法者需區(qū)分“身份認(rèn)證措施”與“延緩訪問措施”。延緩訪問措施雖然客觀上能形成一定的訪問障礙,但其僅能起到延緩訪問速度的功能,并不具備身份識別功能。當(dāng)前司法實踐中經(jīng)常采納以作為認(rèn)定根據(jù)的IP地址識別、UA識別、驗證碼識別皆屬于延緩訪問措施而不具有身份認(rèn)證功能,故而應(yīng)當(dāng)否定突破或繞過上述代碼障礙的違法性。

首先,IP地址識別這一技術(shù)本身并不具有身份識別功能。IP地址(Internet Protocol Address)又稱“互聯(lián)網(wǎng)協(xié)議地址”,系IP協(xié)議在接入互聯(lián)網(wǎng)時為每一臺計算機所分配的邏輯地址[30]。在現(xiàn)實生活中,IP地址隨著用戶的網(wǎng)絡(luò)接入地點變化而變化,并非同訪問者具有對應(yīng)關(guān)系?！癐P地址限制應(yīng)當(dāng)被僅僅認(rèn)為是一種訪問速度的障礙,而非是身份認(rèn)證,因為繞過IP地址限制比彎著脖子繞過前方暫時阻擋了視線的人更容易”[27]1168。如果將IP地址認(rèn)定為表征“授權(quán)”的技術(shù)措施,就會出現(xiàn)同一用戶訪問同一網(wǎng)站,因為家庭和咖啡館的IP地址不同而成立本罪的謬誤。

其次,UA是一種向訪問網(wǎng)站提供你所使用的瀏覽器類型及版本、操作系統(tǒng)及版本、瀏覽器內(nèi)核等信息的標(biāo)識[31]。其僅具有識別訪問者是否通過特定瀏覽器來訪問數(shù)據(jù)的功能,行為人只需要換一個瀏覽器,便可以正常訪問。因此,UA難以評價為身份認(rèn)證措施。

最后,驗證碼(CAPTCHA),是一種全自動區(qū)分計算機和人類的圖靈測試[32]。驗證碼僅具有人機識別功能,其并不能被評價為身份認(rèn)證措施,即便通過其認(rèn)證,用戶亦需要填寫身份認(rèn)證信息才可以訪問數(shù)據(jù)。以知網(wǎng)為例,同一賬戶連續(xù)輸入3次以上錯誤密碼,后臺便會鎖定訪問者的電腦,并要求訪問者輸入驗證碼。若認(rèn)為驗證碼表征知網(wǎng)的“授權(quán)”,那么某一訪問者連續(xù)輸入3次錯誤密碼后,更換另一臺電腦,輸入正確的密碼訪問數(shù)據(jù),就會被認(rèn)定為“未經(jīng)授權(quán)”,這有違常識。因此,繞過驗證碼的行為不應(yīng)當(dāng)認(rèn)定為“未經(jīng)授權(quán)”。

五、結(jié) 語

在網(wǎng)絡(luò)爬蟲已經(jīng)為互聯(lián)網(wǎng)生態(tài)所不可或缺的背景下,不加區(qū)分地將一切爬取企業(yè)數(shù)據(jù)行為予以入罪不僅會導(dǎo)致網(wǎng)絡(luò)爬蟲污名化,更有違刑法的謙抑精神。在爬取企業(yè)數(shù)據(jù)案件中,司法機關(guān)應(yīng)當(dāng)摒棄天然私權(quán)觀念,正視數(shù)據(jù)的公共性與流通性,將爬取公開數(shù)據(jù)與壟斷數(shù)據(jù)的行為予以出罪,還應(yīng)當(dāng)考察被爬取企業(yè)網(wǎng)站及網(wǎng)絡(luò)爬蟲的技術(shù)特征,正確認(rèn)定網(wǎng)絡(luò)爬蟲行為的違法性。顯然,以更加審慎的態(tài)度、更加精細(xì)的規(guī)則與標(biāo)準(zhǔn)去對待新生事物方為刑法參與社會治理的正確姿態(tài),對爬取企業(yè)數(shù)據(jù)行為入刑限度的正確把握將更加有利于數(shù)字經(jīng)濟(jì)的未來發(fā)展。