楊 猛

一、背景與問題的提出

數據是網絡空間的基本單位，對網絡空間的凈化和保護，其根本在于對人類行為的規(guī)制，①數據是現實社會與虛擬社會連接的管道與核心，但起主導作用的是人類行為：“無論是生存于自然界的線下社會還是存在于賽博空間的數字社會，生活于其中且起著主導甚至主宰作用的還是自然人類?！眳⒁娕碚\信：《數字社會的思維轉型與法治根基——以個人信息保護為中心》，《探索與爭鳴》2022 年第5 期。最終要落腳到數據法治。以數據作為侵害對象的犯罪手段、犯罪工具在不斷升級，使得數據犯罪行為的認定日趨復雜。爬取衍生性數據犯罪對象的獨特性與手段的科技化，使其成為數據犯罪定性的新焦點。早期人們關注的僅是爬蟲技術本身，對其應用過程中的法律風險并未過多涉及，直到2018 年至2019 年前后出現關于數據爬蟲犯罪的具體案例，②有關爬蟲犯罪的首案是2017 年上海晟品網絡科技有限公司的主管人員，成功破解北京字節(jié)跳動公司的防范措施，采用爬蟲技術抓取北京字節(jié)跳動公司服務器中存儲的視頻數據，造成北京字節(jié)跳動公司損失技術服務費人民幣2 萬元。法院以非法獲取計算機信息系統(tǒng)數據罪對被告人予以定罪量刑。此后相關爬蟲法律規(guī)制的研究成果陸續(xù)發(fā)表，但有關爬蟲刑法規(guī)制的研究成果相對較少。才開始有較多學者研究爬蟲技術的法律規(guī)制問題?？梢哉f，對于網絡空間的治理，已經從過去的虛擬財產犯罪定性，層層深入到更為實質的數據合規(guī)治理，從而使得目前數據法治的法律研究和適用呈現出以下樣態(tài)：

一是在規(guī)范意義上，肯定了數據的物之屬性，但與物權之保護存有一定差異。立法肯定了數據的財產價值與物之屬性：2020 年公布的《中華人民共和國民法典》（以下簡稱《民法典》）第127 條將數據財產納入其保護范圍，并將之與虛擬財產并列作為物的下位概念。但是數據權益保護與物權保護有不同之處，在不同場景下數據是不同的權利客體載體，分屬不同法域，如知識產權、反不當競爭、個人信息保護等，可以說其物之屬性因其不同類型而呈現出不同特征。但立法并未明確數據的具體類型，而數據種類與物之屬性有很強的關聯性，不同種類的數據其生物識別度及應用場景完全不同，對其爬取的違法與罪責定性也不盡相同，因此，不能完全照搬傳統(tǒng)的物權保護觀，需在明確數據類型及區(qū)分相關概念的基礎上，進行針對性規(guī)制。

二是在司法實踐中，雖然數據在客觀上也是一種物質存在形式，可以類比電能、無線電頻譜資源等賦予數據絕對權保護，但這將與數據共享性、公益性的基本理念存在沖突。①物權以權利人排他性使用為原則，他人的合理使用為例外，數據權利則以他人的合理使用為原則，權利人排他性使用為例外。數據財產權的構建可以借鑒物權的相關保護理念，但不能完全照搬其保護模式。②錢子瑜：《論數據財產權的構建》，《法學家》2021 年第6 期。尤其涉及新型數據犯罪司法實踐的場域，就存在較多爭議性案件，如武漢元光“車來了”案件最后定性為刑事案件，判定為非法獲取計算機信息系統(tǒng)數據罪，③2017 年武漢元光公司為了提升其APP “車來了”的信息查詢準確度，指使員工利用網絡爬蟲工具爬取深圳谷米公司及其他競爭對手的公交行駛信息、到站時間等實時數據，并為了順利獲取數據而使用了“變化IP 地址”“破解加密系統(tǒng)”等手段，后深圳市南山區(qū)人民法院認定元光公司構成非法獲取計算機信息系統(tǒng)數據罪。而淘寶公司訴美景公司的“生意參謀案”則被定性為民事案件，判定為不正當競爭。以上判決實際上都回避了衍生性數據是否是財物的問題，也回避了財產性犯罪的定性爭議問題。

結合以上背景，可以融合規(guī)范與實務層面提出以下互相銜接的問題：數據在規(guī)范層面應當如何進行科學分類？在類型化的基礎上，現有立法能否對爬取衍生性數據的行為解釋適用？本文將圍繞這些問題進行探討。

二、衍生性數據釋義及其三方主體的法律責任

1.數據種類變化與衍生性數據生成

其一，數據種類的多元發(fā)展變化在立法與實踐中已有凸顯。首先，立法上已在《民法典》第127 條中有所體現，該條款明確把數據與虛擬財產進行區(qū)分處理，把數據作為獨立的權利客體，為數據權利法律保護的刑民銜接提供了基礎與前提?？梢哉f，數據權利的確證依據，已經從原本的人格屬性、人身依附性向權利人的自決性④王華偉：《數據刑法保護的比較考察與體系建構》，《比較法研究》2021 年第5 期。逐漸發(fā)展。只要數據是基于人們在網絡中的物理行為所產生，且具備一定的使用價值和交換價值，即使不具備人身屬性，也應當得到法律的保護。我們對數據權利的認知大致經歷了以下發(fā)展歷程：從對虛擬物種類歸屬的爭議，⑤張明楷：《非法獲取虛擬財產的行為性質》，《法學》2015 年第3 期；劉明祥：《竊取網絡虛擬財產行為定性探究》，《法學》2016 年第1 期。到其物權屬性的確定，⑥陳興良：《虛擬財產的刑法屬性及其保護路徑》，《中國法學》2017 年第2 期；楊猛：《APP 虛擬財產犯罪新解——以占有為解釋視角》，《華東政法大學學報》2019 年第4 期。再到當今對數據權利的探索。⑦程嘯：《論大數據時代的個人數據權利》，《中國社會科學》2018 年第3 期；汪慶華：《數據可攜帶權的權利結構、法律效果與中國化》，《中國法律評論》2021 年第3 期；錢子瑜：《論數據財產權的構建》。其次，法律適用也隨之發(fā)生相應的更新與發(fā)展：對于虛擬財產犯罪來說，可以適用傳統(tǒng)的財產犯罪刑；⑧參見2006 年第11 期最高人民法院公報案例：上海市黃浦區(qū)人民檢察院訴孟動、何立康網絡盜竊案。該案認為秘密竊取網絡環(huán)境中的虛擬財產構成盜竊罪，且應當按該虛擬財產在現實生活中對應的實際財產遭受損失的數額確定盜竊數額。虛擬財產在現實生活中對應的財產數額，可以通過該虛擬財產在現實生活中的實際交易價格來確定。對于具有身份識別性的數據犯罪來說，可以適用侵犯公民個人信息罪、非法獲取計算機信息系統(tǒng)數據罪等刑法規(guī)定；對于不具有人身識別性的數據違法行為來說，對其定性目前集中在民事法領域。但是，從不具有人身識別性的數據價值屬性及爬取此類數據的社會危害性角度來看，當然也有可能發(fā)展為刑事犯罪。⑨以上案件的焦點對象都是基于衍生性數據集成后所具有的商業(yè)價值。從可量化的實質社會危害性角度來看，已經滿足入罪要求。

其二，衍生性數據這一數據類型在以上數據發(fā)展變化中逐漸形成，其釋義可表述為：在虛擬世界現實化、現實世界虛擬化的互動中，靜態(tài)數據逐漸向動態(tài)數據轉化，①于沖：《數據安全犯罪的迭代異化與刑法規(guī)制路徑——以刑事合規(guī)計劃的引入為視角》，《西北大學學報（哲學社會科學版）》2020年第5 期。使得某些數據即使不具備人身屬性、無法生物識別，但被不斷收集分類后，也具備相應的交換價值、使用價值，這種數據類型就是衍生性數據，②也有學者將衍生性數據視為數據的增值部分或數據資產。參見丁道勤：《基礎數據與增值數據的二元劃分》，《財經法學》2017 年第2 期；龍衛(wèi)球：《數據新型財產權構建及其體系研究》，《政法論壇》2017 年第4 期。如商品的點擊率、下單量、瀏覽量、網頁瀏覽痕跡、購物記錄等。對于衍生性數據的法律保護，在前置行政法域主要是《中華人民共和國反不正當競爭法》（以下簡稱《反不正當競爭法》），但是缺乏數據保護的針對性，而相對來說具有數據保護針對性的《中華人民共和國數據安全法》（以下簡稱《數據安全法》）、《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）卻沒有將衍生性數據這一類型進行明確、專門的保護；在刑事法域，由于衍生性數據不具有人身識別性，所以不能適用侵犯公民個人信息罪來加以保護。盡管非法獲取計算機信息系統(tǒng)數據罪可以適用，但是該罪的構成要件較為簡略，存在一定的構成性缺陷，③該罪的犯罪客體是計算機信息系統(tǒng)的安全，犯罪對象僅限于使用中的計算機信息系統(tǒng)中存儲、處理、傳輸的數據，脫離計算機信息系統(tǒng)存放的計算機數據，如光盤、U 盤中的計算機數據不是該罪的保護對象。有必要對其進行重構。另外，衍生性數據與侵犯商業(yè)秘密罪中的商業(yè)秘密有一定交叉，但存在一定差異，④在該罪的犯罪構成中，商業(yè)秘密是不為公眾所知悉、僅限于一定范圍內的人知悉的事項。而衍生性數據加工集成后，一般可以通過交易出售向民眾展示，知悉的范圍明顯大于商業(yè)秘密，且從其本質屬性角度而言，衍生性數據是數據技術作用的對象，而商業(yè)秘密是對公司發(fā)展利好或利空的重要信息，二者雖有交叉但是仍存在本質區(qū)別。需要聯系具體場景才能加以適用。可以說，目前刑法并沒有明確將衍生性數據融入構成犯罪的該當要素之中。

2.數據種類多元發(fā)展導致數據權利主體的權利內容發(fā)生變化

衍生性數據對人身的依附性降低，對平臺的依附性增強——產生于個人網絡行為，但依附于網絡。因此，只有明確衍生性數據的權利屬性及歸屬，才能進一步對侵害該類數據權利的行為進行違法性判斷。用戶和平臺在一定范圍內都享有衍生性數據權利，就用戶而言，其衍生性數據的權利是“自決權、可攜權等數據權利”，⑤王華偉：《數據刑法保護的比較考察與體系建構》；汪慶華：《數據可攜帶權的權利結構、法律效果與中國化》。這些權利的實現有賴平臺提供技術支持；就平臺而言，其衍生性數據權利來自對數據的集合、加工和再創(chuàng)造，在合理范圍內享有一定的占有權、使用權，同時也負有盡職保管之義務。所以，用戶的數據權利也受到了一定程度的削弱：

第一，用戶自決權的不完整性。首先，從法理或憲法層面來看，可賦予個人絕對自決權，使衍生性數據權利主體綁定人身屬性。有學者認為，不論一般性數據還是衍生性數據的權利保護，只應當從個人法益而非社會公共秩序角度考量。⑥王華偉：《數據刑法保護的比較考察與體系建構》。但是將衍生性數據權利僅賦予個人，可能會造成衍生性數據權利的泛化，將導致整體數據使用和保護的混亂。如果對衍生性數據權利侵害的認定僅僅是以個人的自決權是否被侵害為標準，那么就會造成民事違法和刑事違法之間的混淆，造成司法資源的浪費。其次，衍生性數據權利本身，不僅具有個人屬性，也有一定的社會屬性。⑦張勇：《數據安全分類分級的刑法保護》，《法治研究》2021 年第3 期。基于其社會屬性，應結合數據的存在形態(tài)、樣本數量、與其他信息數據的結合程度進行大致分類，以采用不同等級的保護標準。其中，“樣本數量”在一定程度上反映出數據的社會屬性，尤其是對于不具備身份識別屬性的衍生性數據，被侵害的只有達到一定數量，才有社會危害性，也才會有刑法規(guī)制之必要。所以，在個人自決權的基礎上，只有融合社會公共秩序法益侵害的量化考量，才能對達到一定量的衍生性數據的侵害行為認定為刑事違法，如此，針對衍生性數據的權利保護才更為有效。這種量化的社會性標準早在個人信息保護中就有體現，即2017 年《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱《解釋》）第5 條對侵犯公民個人信息罪“情節(jié)嚴重”的認定設置了一定的數量標準，如非法獲取財產信息應達到50 條以上，非法獲取住宿信息應達到500 條以上等。

第二，用戶可攜權受限。賦予衍生性數據可攜權，并基于此認為個人是衍生性數據的唯一主體易造成數據保護的不周延。在《個人信息保護法》中，可攜權針對的是具有人身依附性的數據，所指向的數據對象并不包含衍生性數據。也就是說，可攜權在數據本體上僅限于基礎性數據。所以，可攜權不能作為個人享有衍生性數據權利的依據。退一步講，即使認為基于可攜權可以產生個人的衍生性數據權利，但是基于衍生性數據本身的屬性也很難實現：其一，可攜權的實現表現在主體攜帶數據跨平臺轉移，但對于衍生性數據而言，無法實現從一個平臺轉移至第三方平臺，至少目前無法通過技術加以轉移，這是由衍生性數據不具備人身依附性所決定的。衍生性數據對平臺具有高度依賴性，需要平臺對其進行抓取、篩選、集成后才能使用，這就導致很難被多平臺兼容，也就無法實現數據的交換與流通。因此，很難通過個人實現衍生性數據的全平臺轉移、嵌入以及再使用。其二，衍生性數據本身是留痕式數據，它對個人沒有身份識別性（如網頁瀏覽信息），對于單獨個體而言攜帶這樣的信息，從隱私權的角度以刑法規(guī)制的方式對其加以保護，實際意義不大（民事保護即可）。但對于平臺來說，大量瀏覽信息的匯集，通過抓取、分析、整合，最后形成一定的數據模塊，就會具有商業(yè)價值，甚至會對企業(yè)間的競爭產生很大影響，這就不僅涉及民事領域的商業(yè)秘密保護，還可能涉及刑法保護。所以，對于衍生性數據，其真實價值不在個人隱私，而在平臺的加工、利用。綜上，從有利于數據保護，保障良性的法治網絡環(huán)境角度來講，應當弱化用戶對衍生性數據的權利主體地位，肯定平臺對衍生性數據權利擁有主體地位，同時也應強調平臺對衍生性數據的合規(guī)管理之義務。

3.爬取衍生性數據三方主體的法律責任舉要

第一，爬蟲軟件使用人的合理使用義務，涉及民事責任與刑事責任的區(qū)分。利用爬蟲軟件搜索網絡信息，一般不具備違法性。大多平臺歡迎爬蟲軟件光顧，看重的是其推廣能力；用戶進行網絡體驗，也少不了爬蟲軟件的使用（爬蟲軟件是搜索引擎的重要工具），此時爬蟲軟件體現的是工具性、中立性。但是，如果基于非法目的爬取數據，將爬蟲軟件作為非法活動的工具，那么就可能構成民事違法，甚至涉及刑事違法。首先，無權或超出其權限利用爬蟲軟件收集衍生性數據，若未造成嚴重后果，僅構成一般民事違法，應當承擔相應的民事責任。如一般用戶需要付費才能看到的圖片、文字，被無差別或被特定爬取下來經過釋放處理后，無須付費就可以直接使用或轉賣給其他平臺使用，以吸引更多用戶，這是典型的不正當競爭行為。再如，爬取價格信息、用戶點擊瀏覽數據等，則可能構成對商業(yè)秘密的侵害。其次，當以上違法行為的社會危害性達到一定程度，則可能構成刑事違法。如《解釋》第5 條對侵犯公民個人信息罪的“情節(jié)嚴重”設定了財產性信息達到50 條以上、住宿信息達到500 條以上的數量標準。當然，上述量化的信息還停留在身份依賴性的隱私性信息方面，對于衍生性數據的保護也理應遵循以上的定性邏輯。因此，對于利用爬蟲軟件非法爬取衍生性數據的行為定性，應在量化的基礎上區(qū)分民事違法與刑事違法。

第二，爬蟲軟件應用環(huán)境的平臺管理人，應對平臺數據安全承擔監(jiān)管責任。衍生性數據權利具有雙重屬性，一方面，平臺合法累積、再加工、再集成的數據資源，屬于虛擬空間管理者自身生產端可以控制的數據資產，平臺管理人員當然可以在合理范圍內占有使用；另一方面，用戶是衍生性數據的制造者，當然對其享有所有權，但該權利依賴平臺才能得以實現，從這個意義上講，用戶對衍生性數據的所有權并不完整，實質上是將一部分數據權利“讓渡”給了平臺。因此，平臺在享有占有權與合理范圍使用權的同時，也應當對衍生性數據加強管理與保護，其盡職作為義務基于此而產生。那么，如果平臺管理人未盡此義務，導致嚴重的損害后果，即未對違法爬取行為預警、阻止或未設置反爬措施，導致衍生性數據被違法爬取，不僅平臺自身的商業(yè)利益受到侵害，用戶的所有權也受到侵害，平臺管理人應當承擔相應的民事甚至刑事責任。

第三，爬蟲軟件的研發(fā)者，應對研發(fā)爬蟲軟件的正當性負有審查責任。爬蟲軟件的研發(fā)者作為爬蟲技術的提供方，應遵守相關法律規(guī)定，保證其職業(yè)行為的中立性。如果其具有竊取數據的犯罪目的進行爬蟲研發(fā)，應承擔相應的刑事責任自不待言。但問題在于，如果研發(fā)者并不具備主觀犯罪故意，僅僅是對技術接受方的違法犯罪行為具備一定的特別認知，而研發(fā)者仍然提供爬蟲技術的研發(fā)服務，那么其是否構成相應犯罪的共犯呢？這就涉及中立性的研發(fā)行為在具備特別認知的情況下，是否應當承擔刑事責任的問題。特別認知是否能成為歸責依據，與認知對象及認知程度緊密聯系，通過對爬蟲技術研發(fā)者認知對象的類型及認知程度的分析，可以對研發(fā)行為是否具有共犯屬性進行定性，筆者認為，該種情形是可能承擔相應刑事責任的，詳細分析見后文。

三、衍生性數據權利刑法保護之困境檢視

1.衍生性數據權利刑法保護的前置立法附而不屬

中國采用附屬刑法和刑法典雙向立法模式，附屬刑法的前置法有《反不正當競爭法》、《個人信息保護法》、《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）等。如前所述，這些前置立法的數據范圍與法定類型都不包括衍生性數據，顯然存在附而不屬的情況，現有立法不能明確保護衍生性數據，更遑論衍生性數據所涉及的三方主體的刑事責任問題。另外，附屬刑法的前置法對行業(yè)規(guī)則利用不充分。有關網絡爬蟲的行業(yè)規(guī)范是否能成為附屬刑法前置法法源，應當在前置法中加以明確，從而為刑事違法性評價的介入設置緩沖地帶。目前來看，最為重要的前置法當屬《網絡安全法》《個人信息保護法》《數據安全法》，但以上立法均沒有明確指出行業(yè)規(guī)則的法源地位。

2.衍生性數據犯罪的刑法解釋適用規(guī)則模糊

目前針對數據爬蟲犯罪可以適用的罪名有非法侵入計算機信息系統(tǒng)罪、侵犯公民個人信息罪、非法獲取計算機信息系統(tǒng)數據罪、侵犯商業(yè)秘密罪等，但由于適用對象與規(guī)制行為方式的局限性，對爬取衍生性數據的刑事責任認定，存在諸多問題。

首先，從適用對象上看，以上罪名都不針對衍生性數據，甚至將衍生性數據排除在外。如侵害公民個人信息罪是由非法獲取個人信息罪修訂而來，是指以竊取或者其他方法非法獲取國家機關或者金融、電信、交通、教育、醫(yī)療等單位在履行職責或者提供服務過程中獲得的公民個人信息，出售或者非法提供給他人，情節(jié)嚴重的行為。具體法條中涉及的個人身份信息①上述法條中的個人信息僅包括：出售或者提供行蹤軌跡信息，被他人用于犯罪的；知道或者應當知道他人利用公民個人信息實施犯罪，向其出售或者提供的；非法獲取、出售或者提供行蹤軌跡信息、通信內容、征信信息、財產信息50 條以上的；非法獲取、出售或者提供住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產安全的公民個人信息500 條以上的。僅是指具有身份識別性的信息，不包括衍生性數據。再如，根據《中華人民共和國刑法》第二百八十五條規(guī)定，非法獲取計算機信息系統(tǒng)數據罪，是指違反國家規(guī)定，侵入國家事務、國防建設、尖端科學技術領域以外的計算機信息系統(tǒng)或者采用其他技術手段，獲取該計算機信息系統(tǒng)中存儲、處理或者傳輸的數據，情節(jié)嚴重的行為。該罪中的數據②根據司法解釋，其中所謂情節(jié)嚴重是指具有下列情形之一的，應當認定為第二百八十五條第二款規(guī)定的“情節(jié)嚴重”：獲取支付結算、證券交易、期貨交易等網絡金融服務的身份認證信息10 組以上的；獲取前項以外的身份認證信息500 組以上的；非法控制計算機信息系統(tǒng)20 臺以上的；違法所得5000 元以上或者造成經濟損失1 萬元以上的等。實際上也與身份識別信息具有高度的關聯性，不包括衍生性數據。又如，就侵犯商業(yè)秘密罪而言，商業(yè)秘密雖與衍生性數據會產生交叉性關聯，可以在某些場景下適用，但是二者在本質屬性上是有較大差異的，無法將衍生性數據作為商業(yè)秘密加以直接保護。

其次，爬取數據這一行為類型無法解釋到以上罪名中。就行為的客觀違法要素而言，對于非法獲取計算機信息系統(tǒng)數據罪，其行為是在計算機信息系統(tǒng)內部，而爬取衍生性數據的行為方式有多種，可以在移動硬盤中完成，甚至可以通過手機完成。就行為的主觀違法要素而言，侵害公民個人信息罪、非法控制計算機信息系統(tǒng)程序工具罪、破壞計算機信息系統(tǒng)罪、非法獲取計算機信息系統(tǒng)數據罪等均是典型的故意犯，對于故意利用爬蟲軟件爬取數據的行為可以適用，但是，平臺管理人或者爬蟲軟件研發(fā)者沒有盡到注意義務過失導致數據犯罪發(fā)生，那么以上罪名就無法規(guī)制。

四、爬取衍生性數據三方主體刑事責任規(guī)制路徑的具體展開

通過上文論述可知，爬取衍生性數據的三方主體責任中的刑事責任包括以下三類：一是爬蟲軟件使用人的刑事責任、二是網絡平臺管理人的刑事責任、三是爬蟲研發(fā)人的刑事責任。以上刑事責任的認定應在數據法治邏輯框架下，并以《數據安全法》等前置法對衍生性數據予以明確保護為前提，才能對三方責任主體的行為類型及其涉及的罪名進行具體分析。

1.應遵循數據法治邏輯

第一，要符合數據法治的發(fā)展規(guī)律。早在2018 年前后，人們對于網絡虛擬世界的研究，就已經層層穿透到了虛擬財產背后最為基本的底層邏輯之中，即虛擬世界的構成元素——數據。目前甚至更為深入地開始研究數據的算力、算法領域，包括數據的運行邏輯以及算力操控，研究越來越細化，這樣有利于將責任類型化。與之相應，相關立法也從對虛擬財產性質的界定逐漸推移到對數據的法律保護層面。自2016 年，相繼推出了《網絡安全法》《數據安全法》《個人信息保護法》等一系列的數據相關立法，在刑事法域也更新出臺了治理數據犯罪的新罪名。從整體來看，數據法治的邏輯是清晰且往前推進的，即數據與財產是涇渭分明的。對于衍生性數據這種更加細化的數據類型，其本質上仍屬于數據范疇，立法上已有數據犯罪罪名跟進，司法上也取得了實際的應用效果，那么在此大背景下就不能也不應當將數據犯罪又倒回到財產犯罪的認定中去，這既不符合事物的認知規(guī)律，也不符合法治發(fā)展的邏輯。①人們對虛擬世界的探究動因，主要就在于虛擬環(huán)境當中的某些元素，包括數據或者虛擬財產，具有交換價值與使用價值，因此，人們才要去探討其與現實世界中財產的區(qū)別，才會推動出臺有別于傳統(tǒng)法律的分門別類的專屬立法。不能因為衍生性數據具有財產性價值或者財產性利益，就又將其歸屬到財產犯罪中去，這是法治的“返祖”，在邏輯上也有倒果為因之嫌。所以，對于衍生性數據，還應從數據犯罪現有的罪名中尋找法律治理依據和路徑。

第二，要凸顯數據犯罪治理，謹慎適用非數據犯罪罪名。衍生性數據加工集成后的數據模型雖然有交換與使用價值，但是同傳統(tǒng)意義上的虛擬財產等價值物相比，還是有明顯區(qū)別的。所以，對于侵犯衍生性數據的犯罪行為，應當適用數據犯罪來治理，若與財產類等其他犯罪相競合，應謹慎適用其他非數據犯罪。這里以商業(yè)秘密為例。衍生性數據往往作為數據服務呈現在商業(yè)環(huán)境中，在能認定某類衍生性數據構成商業(yè)秘密的情況下，若侵犯此類數據，可能會形成侵犯商業(yè)秘密罪與數據犯罪之間的競合。筆者認為，此種情況下，應重視衍生性數據與虛擬財產的本質區(qū)別，回歸數據犯罪治理的目的，凸顯對數據法益的保護，要謹慎適用侵犯商業(yè)秘密罪。

第三，要符合刑法罪責刑相適應以及謙抑性原則。爬取衍生性數據犯罪的社會危害性，相較財產犯罪，通常情況下是相對較輕的，若將爬取衍生性數據的犯罪行為直接定性為財產犯罪可能過于嚴厲，有違刑法的罪責刑相適應原則。對于爬取衍生性數據的違法行為而言，刑法是威懾性的預防性立法，是最后的“防護堤”，不宜過早介入，應將行業(yè)規(guī)范和前置立法作為緩沖地帶，通過行業(yè)自治、民事責任、行政責任等形式先行治理，最后再訴諸刑法手段，從而實現刑法的謙抑性原則。

2.前置法中數據類型的重新界定與明確爬蟲協議的法律地位

第一，前置法應重新界定數據類型。

目前，數據分類較為多元。一是從數據的表現形式來看，可以分為技術型數據、服務型數據、隱私型數據、公共型數據，單一數據、集成數據等。二是從數據的實質價值來看，又可以分為知識產權型數據、商業(yè)秘密型數據、生物識別數據、虛擬財產數據等?？梢?，網絡空間數據由計算機信息系統(tǒng)的技術傳輸對象逐漸變成了現實的載體，也就是說數據已經從技術中立、價值無涉的狀態(tài)轉化為大數據時代法律所重點關注的對象，因而數據法益具有獨立的技術屬性與法律地位，并成為法益保護的對象和主要內容。因此，有必要在法律層面對數據類型進行細化，這也是對數據犯罪刑事責任主體歸責定性的前提。筆者認為，可以在《數據安全法》中將數據類型進行細化分類。（1）基礎性數據，即傳統(tǒng)的數據類型。主要包括三種：一是算法或算力直接作用生成的數據，是數據勞動的產物，如應用程序、區(qū)塊鏈中的數據等；二是被具體定義為具有人身關聯性數據的電磁記錄，主要包括具有身份識別信息的相關數據，如人臉信息、私人賬戶等所有個人信息數據；三是網頁等網絡環(huán)境中用戶端的公共數據資源，如微博中呈現的數據。（2）衍生性數據，即靜態(tài)數據逐漸向動態(tài)數據轉化過程中，使得某些即使不具備人身屬性，但隨著其在網絡空間積累被不斷收集分類后，也具備相應交換價值和使用價值的數據，也有學者將其稱為數據的增值部分。衍生性數據可以分為兩種：一是衍生性數據中的基礎數據，如商品的點擊率、下單量、瀏覽網頁痕跡等群體性的選擇性偏好，即散狀沉淀分布于平臺當中的衍生性數據。二是由基礎的衍生性數據加工集成再次衍生出來的數據，如以上平臺中積累沉淀的數據通過后期加工整理，就可以形成具有使用價值與交換價值的衍生性數據模型，如商業(yè)預測分析模型等。

第二，明確爬蟲協議的法律地位。

《網絡安全法》第十一條規(guī)定，網絡相關行業(yè)組織應按照章程，加強行業(yè)自律，制定網絡安全行為規(guī)范，指導會員加強網絡安全保護，提高網絡安全保護水平，促進行業(yè)健康發(fā)展。據此，作為行業(yè)規(guī)則之一的爬蟲協議（Robots 協議），在刑事違法性判斷中，應當有其一席之地。爬蟲協議的作用是對數據屬性進行宣示性界定，明確哪些數據具有私密性，哪些數據可以自由獲取，即明確哪些數據是受保護的。依此可以將違反爬蟲協議強行獲取被保護數據的行為定性為違法。違反爬蟲協議是一般違法性的前提，還要進一步考察是否違反《網絡安全法》《個人信息保護法》等前置法，當法益侵害比較嚴重，社會危害性比較大，則有可能構成刑事違法。因此可以說，爬蟲協議是刑事違法評價邏輯鏈條中的開端和基礎，其工具屬性不應被弱化，應明確其規(guī)范性，強化其前置法屬性。

3.刑法謙抑性視角下三方主體刑事責任的具體展開

從刑法謙抑性視角出發(fā)，衍生性數據犯罪刑法規(guī)制的重點就是相關罪名解釋適用的明確性和細致化，在選取輕罪適用的基礎上，要明確行為特點，細化行為模式，使得入罪精準化、出罪規(guī)范化，如此才能實現罪責刑相適應，進而平衡衍生性數據治理的法律效果與社會效果。

第一，爬蟲軟件使用人的刑事責任。

要拓展細化非法獲取計算機信息系統(tǒng)數據罪的行為方式。目前該罪名設置的行為類型較為概括，僅局限于計算機電腦內部，而爬蟲軟件并不局限于電腦端，任何網絡互聯設備的數據都可能成為爬蟲攻擊的對象，且其行為方式也很混雜，需要結合衍生性數據的特征進行細化梳理。爬取數據涉嫌的犯罪是典型的法定犯，由手段行為與目的行為競合而成，應以法律擬制的方式對手段行為和目的行為加以定性?？梢詫⑴老x犯罪行為分為兩個部分，抓取行為和使用行為，而使用行為具有多樣性，所以可將爬蟲犯罪的行為概括為“抓取+N”的行為模式，大致可分為抓取+使用；抓取+展示；抓取+售賣；抓取+幫助。抓取行為即手段行為，使用、展示、售賣等行為即目的行為。爬蟲犯罪行為的定性應當在手段行為的基礎上，結合目的行為在主客觀相統(tǒng)一的范圍內進行評價：

首先，利用爬蟲軟件抓取數據的手段行為實際上是以欺騙方式盜取數據。其行為模式主要有以下幾種：第一種是賬戶欺騙，即通過偽造賬戶的方式獲取數據，包括虛假注冊賬戶、設置虛擬賬戶、偽造用戶和用戶端數據來訪問爬取數據。第二種是協議欺騙，即通過協議破解，直接侵犯被爬網站的通信協議和加密算法，進而盜取數據。第三種是主體欺騙，即利用爬蟲軟件偽裝成真人用戶，通過改機、刷機等方式，騙取設備端的信任從而盜取數據。可見，利用爬蟲軟件的犯罪手段并不需要高端技術，基本都是基于偽裝和破解技術騙取目標網站信任從而盜取數據。然而，以上手段具有較強的隱蔽性和攻擊性，倒逼互聯網企業(yè)不得不采取攻防措施，最終結果就是造成企業(yè)資源浪費，降低社會效率，具有社會危害性。

其次，利用抓取數據進行特定目的的犯罪，其目的行為是定性爬蟲犯罪的關鍵。如前所述，將手段行為與目的行為相結合，可以將爬蟲犯罪行為分為：抓取+使用（涉及侵犯著作權、商業(yè)秘密以及非法獲取計算機信息系統(tǒng)數據）；抓取+展示（涉及傳播淫穢物品）；抓取+售賣（涉及侵犯個人信息、傳播淫穢物品以及侵犯商業(yè)秘密）；抓取+幫助（涉及電信詐騙、人身犯罪、財產犯罪等多種犯罪共犯）。而對于衍生性數據而言，由于其不具有人身屬性，所以其犯罪類型僅涉及抓取+使用、抓取+售賣和抓取+幫助，具體涉及的罪名包括侵犯商業(yè)秘密罪、非法獲取計算機信息系統(tǒng)數據罪以及部分共同犯罪。在現實案件中，爬蟲軟件成為實現犯罪目的的犯罪工具，如非法獲取企業(yè)的用戶商品瀏覽信息、消費者購買傾向性數據信息等商業(yè)秘密，獲取后行為人自己參考使用或出售牟利；或者利用爬蟲軟件破壞相關的計算機信息系統(tǒng)，非法侵入特定領域的計算機信息系統(tǒng)非法獲取衍生性信息和數據；或者利用爬蟲軟件爬取衍生性數據作為幫助手段，實現其他犯罪目的，可能涉及罪數與競合的問題，如非法獲得數據信息后，明知他人利用該數據實施詐騙或其他犯罪，仍提供給他人，那就要在構成共犯的基礎上進行數罪并罰。

第二，平臺管理人的刑事責任。

平臺管理人的刑事責任主要集中在五個領域：色情信息傳播；侵犯個人信息或隱私；網絡誹謗或侮辱；侵犯知識產權；違反監(jiān)管義務。對于衍生性數據而言，平臺刑事責任主要集中在第五個方面，即違反監(jiān)管義務，主要包括內外兩個方面。

首先，平臺內部監(jiān)管義務。衍生性數據在平臺積累產生，平臺享有有限權利的同時應當承擔相應的管理義務。由于爬蟲協議沒有強制力，不能有效預控爬蟲違法犯罪行為，這也強化了平臺的監(jiān)管義務。其一，平臺自身應當創(chuàng)建爬蟲協議對衍生性數據加以保護，如果沒有爬蟲協議實際上就喪失了數據的可保護性，數據犯罪風險成為可接受風險，相當于默許了衍生性數據被他人下載、復制、獲取的行為。概言之，如果沒有爬蟲協議，被害人當然不能主張數據權利。其二，即使有爬蟲協議也不能完全保證衍生性數據的安全性。對于平臺管理人來說，有了爬蟲協議僅是履行平臺監(jiān)管義務的一部分，還應加強網站的管理和維護：需主動規(guī)范用戶的行為方式，當存在非法爬取衍生性數據的情況時，要及時啟動反爬蟲預警機制或阻止程序；要定期對整個平臺運行環(huán)境進行重新清理，提醒用戶修改密碼，建立防火墻，這些都是平臺自身應當承擔的監(jiān)管義務。

其次，平臺外部監(jiān)管的配合義務。根據《網絡安全法》《數據安全法》《個人信息保護法》以及相關行業(yè)規(guī)則與指引，平臺公司應當建立數據合規(guī)體系，在整體公司合規(guī)的框架內構建自上而下的合規(guī)治理結構；應建立數據合規(guī)自查機制與數據信息歷史臺賬，及時配合監(jiān)管機關、司法機關的司法活動。配合義務可進一步劃分為兩種：一是積極義務，即為配合司法機關的調查需求，平臺積極采取相關的數據措施，如為司法機關保存數據、解密數據、分析數據與傳遞數據等，其中當然包括衍生性數據；二是消極義務，即為確保司法機關法律適用的公正性與高效性，網絡平臺禁止實施某些特定行為，如不得出售轉賣敏感信息數據、在特定案件中禁止向司法機關以外的涉案對象提供數據源等。以上都構成了平臺一般違法性評價的前置義務來源。在明確以上一般違法性的前提下，在拒不履行信息網絡安全義務罪項下應當明確網絡平臺刑事違法的具體內容：其一，惡意瀆職行為。平臺對爬取數據的行為明知或推定明知且沒有及時處理，如已監(jiān)控到平臺用戶穿透平臺防火墻，明知其盜取其他用戶的相關數據，仍不及時處理的行為等；其二，違規(guī)疊加行為。平臺故意實施日常維護數據之外的附加行為，如為了盈利對衍生性數據進行類型化篩選、針對性修改，并將其提供給非善意第三人的行為等；其三，拒不履行行為。數據監(jiān)管機關針對平臺的高風險數據以及高風險行為進行風險提示，并督促整改，卻仍不履行數據合規(guī)義務；其四，拒絕配合行為。對于涉案平臺，拒絕配合司法機關調查；或對非涉案的關聯性平臺，拒絕配合協助司法機關的司法查詢等?？傮w而言，平臺主體刑事責任的立法規(guī)制應在于提升強化網絡平臺數據合規(guī)的自主性，嚴格控制刑事責任的啟動，從而保證正常有序的網絡服務。

第三，爬蟲技術研發(fā)人的刑事責任。

技術升級發(fā)展必然帶來技術風險，在實踐中技術賦能和技術賦權呈現出“一顯一隱”“一強一弱”的非均衡性困境，技術賦能愈發(fā)彰顯，技術賦權尤甚薄弱，科技企業(yè)與個人之間的“數字鴻溝”日趨拉大。①單勇：《犯罪之技術治理的價值權衡：以數據正義為視角》，《法制與社會發(fā)展》2020 年第5 期。因此，數據技術的不當運用必然會導致相應的刑事風險：若明知技術使用人或購買人的犯罪行為仍向其提供技術支持，則可能構成相關犯罪的共犯；若對技術使用人的犯罪行為有特別認知或存在認知可能性并放任，則涉及構成提供侵入非法控制計算機信息系統(tǒng)程序工具罪。

首先，爬蟲技術研發(fā)人以技術研發(fā)作為幫助手段，與行為人形成共犯的情況。即爬蟲技術研發(fā)人為了獲取非法利益，根據行為人爬取特定數據的需要，研發(fā)編寫爬蟲軟件，故意提供給犯罪行為人使用。也就是說在主觀上技術研發(fā)人與犯罪行為人提前溝通，明知技術應用的違法用途，仍為犯罪行為人提供爬蟲技術支持，那么可以認定技術研發(fā)人與行為人已形成合意。同時在客觀上其研發(fā)爬蟲軟件的行為為相關犯罪提供了實質幫助，在符合主客觀相統(tǒng)一的犯罪該當條件下，應當認定為共犯。

其次，爬蟲技術研發(fā)人基于特別認知偏離職業(yè)行為中立性，客觀上加功犯罪的情況。爬蟲技術研發(fā)人基于行業(yè)特征與行業(yè)慣例，對于高風險數據所產生的高風險行為一般情況下有較為準確的特別認知，也就是說通過行業(yè)經驗的實質判斷，技術人員能夠認識到自己的職業(yè)行為是否偏離中立性，如果已經偏離技術行為的中立性，卻仍然為他人提供技術支持、放任他人利用爬蟲技術實施犯罪，雖然沒有意思聯絡無法形成共犯，但仍可能成立提供侵入非法控制計算機信息系統(tǒng)程序工具罪（間接故意）。因此，研發(fā)人員在提供服務之前應當做好盡職調查，對所研發(fā)軟件的應用領域、應用目的以及簽訂研發(fā)合同相對方的資質應當有所了解。在未做好盡職調查且有特別認真的情況下，就有可能構成提供侵入非法控制計算機信息系統(tǒng)程序工具罪。

再次，爬蟲技術研發(fā)人的技術本身就是用于違法犯罪活動，形成常業(yè)犯的情況。即研發(fā)人員主觀上就是為數據犯罪提供技術支持與便利條件，客觀上研究出售技術具備常業(yè)性，即使沒有與行為人溝通，也未參與行為人實施的犯罪行為，無法形成共犯，但也可考慮適用幫助信息網絡犯罪活動罪或者提供侵入非法控制計算機信息系統(tǒng)程序工具罪。

最后，應盡量保護技術研發(fā)人員中立的技術研發(fā)行為。在大部分一般的職業(yè)技術活動中，技術人員研發(fā)活動的主觀目的在于獲取正常的勞動酬金，客觀上上下游的技術研發(fā)與使用行為不僅不會危害國家利益、社會利益以及他人的合法權益，還會推動技術革新與提升生產效率，也就是說中立的技術研發(fā)行為具有正當性，不應受到刑法規(guī)制。作為一項中立技術，爬蟲技術對于敏感信息的甄別、風險信息的預警與收集以及司法機關定向抓取數據破獲案件都有重要意義。因此，對于技術研發(fā)人員不可因其有可能為爬蟲犯罪提供技術工具，就對其苛責過多義務，這不利于數據科技的發(fā)展與進步。