□曾 磊,鄧佳燕

(甘肅政法大學,甘肅 蘭州 730070)

一、問題的提出

數(shù)據(jù)被視作數(shù)字經濟時代的“新石油”,逐漸成為企業(yè)核心競爭力的重要組成部分。企業(yè)想要發(fā)展離不開數(shù)據(jù)信息的搜集整合,而網絡爬蟲技術能幫助企業(yè)高效率抓取特定數(shù)據(jù),提高數(shù)據(jù)分析能力,因而備受企業(yè)青睞并得到廣泛應用。網絡爬蟲本身是一種中立技術,但是一旦被行為人惡意使用,極易僭越法律底線,進而侵犯數(shù)據(jù)隱私、個人信息、知識產權等法益,從而使企業(yè)面臨刑法規(guī)制的風險。例如,爬蟲入刑第一案(1)參見:(2017)粵 0305 刑初 153 號。中的上海晟品網絡科技有限公司因惡意使用爬蟲技術涉嫌非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪,被處罰金20萬數(shù)元,涉案成員也均被判處有期徒刑。然而,目前我國司法實踐中對該技術的規(guī)制呈現(xiàn)出技術司法評價混亂的現(xiàn)狀以及規(guī)制出罪路徑缺位間接導致司法評價的擴大化傾向。在這樣的司法導向下,作為網絡爬蟲技術使用主體的企業(yè)成為了犯罪“重災區(qū)“,而企業(yè)作為一個組織體,一旦遭受嚴厲的刑罰處罰,極易造成“垮掉一個企業(yè),失業(yè)一批職工”的社會負面連鎖效應。后疫情時代,國家鼓勵民營經濟發(fā)展,這對打擊網絡爬蟲犯罪提出了更為嚴格的要求。

新時代以來,全球企業(yè)合規(guī)尤其是刑事合規(guī)的發(fā)展在我國呈現(xiàn)深度發(fā)展的趨勢,國家不斷擴大合規(guī)試點城市,各個省市相繼取得了豐碩的合規(guī)成果。[1]該制度意在將企業(yè)經營中違法犯罪的風險消解于最前端的同時激勵涉案企業(yè)完成合規(guī)整改實現(xiàn)刑罰減免,跳出傳統(tǒng)刑法以懲罰性打擊犯罪為主的單一規(guī)制桎梏,轉而以風險預防為主,對打破現(xiàn)有網絡爬蟲規(guī)制困局有著重要意義。故此,企業(yè)有必要引入刑事合規(guī)制度,制定切實可行的爬蟲技術專項刑事合規(guī)方案,真正防范和抵御企業(yè)在爬蟲技術應用過程中的各種法律風險,提高企業(yè)的抗風險能力和市場競爭力,助力企業(yè)行穩(wěn)致遠。

二、網絡爬蟲技術的刑事規(guī)制現(xiàn)狀及困境

(一)技術的刑事規(guī)制現(xiàn)狀

網絡爬蟲技術本身是價值中立的,但是圍繞技術的不當使用行為是存在法律風險的 ,無論是被稱為“爬蟲入刑第一案”的上海晟品網絡科技有限公司非法獲取計算機信息系統(tǒng)數(shù)據(jù)案,亦或是全國首例短視頻爬蟲案,都表明網絡爬蟲行為是具備刑事違法性的。針對爬蟲技術犯罪行為,我國司法實務中往往通過界定技術行為刑法層面的善惡邊界來判定入罪與否。而關于技術的善惡界定,理論界和司法實務中都存在不同的觀點,大致可以歸類為以下兩種:

第一,以Robots協(xié)議為主的技術性界定方式。所謂技術性界定方式是指從網絡爬蟲技術工具本身出發(fā)尋求區(qū)分技術善惡的方法。具體而言,法院常以爬蟲行為有沒有違反網站管理者設置的robot.txt文本這一標準來判斷違法與否。另外,該類界定方式標準還包括爬蟲技術是否繞過或者突破“反爬蟲”技術措施壁壘等,這一點類似于美國的撤銷范式。[2]全國首例短視頻爬蟲案件中的裁判理據(jù)便屬于這一類,其中所涉及的短視頻軟件因具備突破反爬措施的技術功能而被認定為違法。該類善惡界定方式在司法實踐中被大多數(shù)法院所采用,不過理論界對此卻存在諸多質疑和爭議。有學者[3]就指出全國首例“爬蟲”入刑案中存在以技術判斷主導定罪的刑法擴大化適用嫌疑。

第二,依據(jù)場景化的利益衡量原則進行違法界定。[4]場景化利益衡量原則與技術性界定不同,該原則主張淡化爬蟲技術本身的評價,側重于綜合考量網絡爬蟲技術帶來的權益侵害是否為各部門法所關注。例如,在奇虎訴百度Robots協(xié)議不正當競爭案(2)參見:(2017)京民終487號。中,最高人民法院最終在認定被訴行為否構成不正當競爭行為的時候就適用了該原則,考量了爬蟲技術的損害后果以及是否違反了誠實信用原則和公認的商業(yè)道德等綜合利益因素。刑法的任務是保護法益,將利益衡量原則介入爬蟲技術的規(guī)制能夠一定程度確保社會有益性的實現(xiàn)。不過依然有部分學者對此種界定方式持反對意見,他們認為籠統(tǒng)的利益衡量原則無法真正在個案中進行衡量,歸根結底該原則中的善惡邊界取決于爬蟲行為帶來的結果這一不可控因素,這顯然容易導致法律適用的不平等。

(二)技術的刑事規(guī)制困境

首先,技術司法評價混亂。其一,網絡爬蟲行為善惡界限模糊。目前司法實踐中惡意網絡爬蟲行為的界定標準為是否未經授權或者超越權限,而是否未經授權或者超越權限的認定方法還未實現(xiàn)統(tǒng)一。有的法院采取以Robots協(xié)議為主的技術性界定方式;有的法院則采用場景化的利益衡量原則進行違法界定。這就導致了類似的案件可能會產生不同的評價結果,進而導致法律適用的不平等。另外利益衡量原則本身也是一個籠統(tǒng)的界定標準,因為針對網絡爬蟲技術保護法益無法確定,所以即使是都采取該類界定標準也容易出現(xiàn)同案不同判的現(xiàn)象。例如個人利用搶票軟件“加密狗”進行高價倒買倒賣的行為被定性為犯罪,而“攜程”等單位利用爬蟲技術進行搶票的企業(yè)卻因其商業(yè)用途而免于牢獄之災。其二,網絡爬蟲行為善惡界定方式不當。不論是技術性界定方法還是利益衡量原則界定方式都存在評價弊端。前者將數(shù)據(jù)控制者的授權視為善惡的決定性因素,忽視了控制者借此進行不正當競爭和惡意壟斷的可能性。后者對爬蟲技術行為的法益進行強調,雖然規(guī)避了上述問題,但是將原則作為指導準則終究是模糊不清的,極易導致司法評價不一。其三,網絡爬蟲技術犯罪評價缺乏刑事責任層次。[5]在全國首例短視頻網絡爬蟲案件中,法官提出“網絡爬蟲”是一種中立性數(shù)據(jù)抓取技術,但是由于本案被告人售賣的軟件采取了避開或者突破計算機信息系統(tǒng)的安全保護措施,在未經許可的情況下貿然進入被害人單位的計算機系統(tǒng),因此構成犯罪。然而,司法實踐中并沒有對網絡爬蟲技術的技術特性予以強調,這也就導致了刑事責任的無差別化。比如說違反Robots協(xié)議條款非法抓取數(shù)據(jù)的行為人主觀故意較弱,繞開反爬取技術壁壘的行為人主觀故意較強,在對行為人定罪量刑的時候是應當予以考慮的,然而司法實踐中并沒有對此進行明確的層次劃分。

第二,司法評價的擴大化傾向。在對新技術進行規(guī)制時,刑法往往以處罰為慣性。在全國首例“爬蟲”入刑案中,法院將爬取信息內容公開且處于公眾可訪問狀態(tài)數(shù)據(jù)的行為,認定為非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪,就存在以技術判斷主導定罪的刑法擴大化適用嫌疑,這不僅有違法秩序統(tǒng)一原理,而且還會阻礙數(shù)據(jù)資源的最大化利用,不宜作為“現(xiàn)代信息技術的國家治理體系和治理能力現(xiàn)代化”的刑事司法導向。[6]具體而言,一方面,后疫情時代,中小型民營企業(yè)生存更顯費力,在弱肉強食的大市場里站穩(wěn)腳跟已然不易,如果再因為一起案件遭受刑罰,容易導致“辦理一起案件,垮掉一個企業(yè),失業(yè)一批員工”的社會負面連鎖反應,這與我國保護民營企業(yè)發(fā)展的政策嚴重不匹配。另一方面,數(shù)據(jù)流通產生驅動力,驅動力帶來價值。數(shù)據(jù)作為網絡時代重要的生產要素,各個企業(yè)都在積極參與數(shù)據(jù)競爭,尤其互聯(lián)網企業(yè)更是如此。不過并非所有的企業(yè)都有能力自己生產數(shù)據(jù),通常新興的互聯(lián)網企業(yè)都需要通過爬蟲技術這樣的工具來獲取數(shù)據(jù)以提高競爭力,如果一味通過傳統(tǒng)刑罰手段打擊技術使用過程的不當行為,不僅會很大程度限制數(shù)據(jù)流通,迫使數(shù)據(jù)要素價值難以得到充分釋放,而且也會進一步拉大企業(yè)之間的資源差距,不利于市場均衡發(fā)展。

三、刑事合規(guī)引入網絡爬蟲法律規(guī)制的法理證成

傳統(tǒng)認為,打擊犯罪是國家的任務,國家依靠刑事手段來達到控制犯罪的目的。然而在風險社會的背景下,單一的刑事“大棒”政策已經無法實現(xiàn)國家對單位網絡犯罪的有效控制。對此,國家不妨推動網絡犯罪管理“義務下沉”,鼓勵企業(yè)進行自我監(jiān)管。一般來說,就如何通過刑事法推動企業(yè)實施自我管理,目前存在兩種制度構建路徑:一是通過量刑激勵的方式推動企業(yè)實施合規(guī)管理;二是通過立法賦予企業(yè)以及相關責任人員刑事合規(guī)義務。事實上,美國選擇了前一路徑,《美國聯(lián)邦量刑指南》明確規(guī)定:如果企業(yè)建立了有效的合規(guī)系統(tǒng),那么可以減輕其刑罰,減輕幅度最高可達95%。(3)See.U.S.Sentencing Guideline Manual(2018),§8,C2.6.后一路徑則主要體現(xiàn)在我國的前置法規(guī)的內控要求中,例如《網絡安全法》第21條明確規(guī)定了服務商的合規(guī)管理義務。但是目前我國相關前置法規(guī)大多屬于行政法,即使將其規(guī)定于刑法中,相比于對個體施壓,通過量刑激勵“倒逼”整個企業(yè)實施合規(guī)管理顯然更有威懾力。

(一)刑事合規(guī)制度的緣起及其法理釋義

“合規(guī)”一詞源于英美法系,意為遵守法律、標準與指令。事實上,在公司產生之初,美國就發(fā)現(xiàn)在這樣的組織形式中壟斷可以合法化存在,為加強企業(yè)監(jiān)管,政府開始著手構建旨在加強行業(yè)監(jiān)管和自我監(jiān)管的企業(yè)合規(guī)措施。直到20世紀80年代,美國發(fā)生了國防工業(yè)舞弊案,政府為鼓勵企業(yè)自我揭弊嘗試將合規(guī)計劃作為定罪量刑的考量因素,企業(yè)合規(guī)逐漸有了刑事法色彩。從“合規(guī)”一詞字面意思簡單理解,刑事合規(guī)即要求企業(yè)遵守國家刑事法律法規(guī)。的確,從企業(yè)角度來看,刑事合規(guī)旨在設定一系列的合規(guī)規(guī)則來規(guī)避和及時發(fā)現(xiàn)企業(yè)中存在的犯罪風險。不過,如果僅僅從企業(yè)層面理解刑事合規(guī)的概念的話,它與企業(yè)合規(guī)的概念沒有任何區(qū)別,僅僅是倡導單一的企業(yè)自我管理。事實上,企業(yè)合規(guī)和刑事合規(guī)是有所區(qū)分的,刑事合規(guī)之所以在刑法界引起關注和討論,關鍵在于刑事合規(guī)與國家層面的起訴、定罪、量刑掛鉤,該制度更多地強調企業(yè)自我管理與國家規(guī)制理念的融合。因此,刑事合規(guī)制度被定義為國家以起訴、定罪或量刑等外部激勵方式推動企業(yè)建構可以有效預防、發(fā)現(xiàn)違法犯罪行為等內部控制機制的法制度工具。[7]其中德國西門子公司合規(guī)事件就是該制度適用的典型案例,在因涉嫌商業(yè)賄賂而受到德國慕尼黑檢察機關的調查后,西門子公司主動向美國司法部和證券交易委員會報告了自己的跨國行賄行為,并聘請了專業(yè)律師進行了長達兩年的內部獨立調查。最后,西門子公司與美國、德國政府達成和解協(xié)議,免于刑事處罰。

(二)刑事合規(guī)引入的必要性:打破規(guī)制困局

基于上述困境,傳統(tǒng)刑法對網絡爬蟲行為的規(guī)制似乎陷入了困局。一方面,網絡爬蟲技術犯罪社會危害性大,不僅對數(shù)據(jù)安全本身造成了嚴重侵害,而且在企業(yè)數(shù)字化轉型的時代背景下,爬蟲技術犯罪正在逐漸加劇企業(yè)間的不正當競爭,加之該犯罪的高發(fā)態(tài)勢以及互聯(lián)網的倍增效應,國家的確需要刑罰這樣的嚴厲手段才足以對相關犯罪達到威懾力度。而另一方面,民營經濟作為推進中國式現(xiàn)代化的生力軍、高質量發(fā)展的重要基礎,國家一直高度重視企業(yè)發(fā)展,中共中央、國務院在今年7月14日發(fā)布的《關于促進民營經濟發(fā)展壯大的意見》進一步明確了國家對民營企業(yè)的支持和鼓勵。在這樣的大背景下,一慣采取傳統(tǒng)刑法制裁新興技術引發(fā)的犯罪,又將與國家鼓勵民營企業(yè)發(fā)展的政策背道而馳。另外目前司法實務中對該技術的司法評價還呈混亂和擴大化傾向,進一步加劇了這種矛盾,傳統(tǒng)刑法對此情況的治理更加局限。刑事合規(guī)作為一種立足于傳統(tǒng)刑法框架下的企業(yè)風險預防制度,意在將企業(yè)經營中違法犯罪的風險消解于最前端的同時激勵涉案企業(yè)完成合規(guī)整改實現(xiàn)刑罰減免,一改傳統(tǒng)刑法中為報應和譴責而懲罰的特性,轉變?yōu)闉榱祟A防風險而威懾的風格,[8]無疑是對現(xiàn)有爬蟲技術刑事規(guī)制司法導向的一次糾偏。

(三)刑事合規(guī)引入的正當性:風險社會的應然要求

首先,刑事合規(guī)制度契合了法人責任的本質,構建了法人責任的出罪路徑。我國單位刑事責任歸屬原則經歷了從傳統(tǒng)向現(xiàn)代的轉變。傳統(tǒng)罪責理論主張公司罪責的從屬性,即以自然人責任為基礎,公司責任僅為代位責任?，F(xiàn)代社會,我國刑法已明文規(guī)定了單位犯罪,獨立追究單位犯罪刑事責任幾無爭議。不過在責任歸屬原理上學術界還存在不同的觀點,例如人格化社會系統(tǒng)責任論和組織體責任論。人格化社會系統(tǒng)責任論[9]是單位自身犯罪論的開先河之論,其主張法人是人格化的社會系統(tǒng),具有獨立的單位整體意志和行為;另外有學者[10]主張從傳統(tǒng)單位刑事責任和組織責任論的視角綜合考慮單位犯罪的主觀要件,即在確定作為單位化身的代表具有犯罪故意同時從企業(yè)自身的組織結構、規(guī)章、政策、宗旨、文化等企業(yè)自身特征來判斷企業(yè)刑事責任。上述理論雖然側重點不同,但是都已經擺脫了早期以單位成員責任論證單位責任的模式,轉而將重心放在了單位本身。對此,更有學者[11]主張“以責任一體化為目標,使公司刑事責任等構于自然人刑事責任”為未來企業(yè)刑事責任歸責新方向。上述學說觀點的共同點都是尊重法人責任,從組織體自身尋找責任依據(jù),而刑事合規(guī)制度正是建立在這種認知基礎上的產物。

在單位能夠作為獨立于其負責人的責任主體地位的基礎上,網絡爬蟲技術刑事合規(guī)管理順應了風險社會的刑法變遷。風險社會一詞源于德國社會學家烏爾里?！へ惪说摹讹L險社會》,意指后工業(yè)社會在創(chuàng)造財富的同時也蘊含著巨大的風險,其核心在于為滿足民眾的安全需求尋求控制社會風險的路徑。網絡爬蟲技術亦是如此,在帶來效率和競爭力的同時,給企業(yè)帶來的安全問題也日益凸顯。近年來,爬蟲行為的刑事風險日趨擴張,爬蟲技術單位入罪判決日趨遞增,對于一個企業(yè)而言,刑事處罰是致命的:無力承擔的高額罰金;涉案人員入獄后的企業(yè)運營混亂;信譽直線降低、企業(yè)形象受損;失信記錄導致企業(yè)融資困難;另外隨著經濟全球化,企業(yè)同時也面臨遭受他國法律制裁的風險。特別是在我國疫情之后,一旦涉嫌犯罪,民營企業(yè)面臨著隨時宣告破產的危機,企業(yè)發(fā)展的不安全感進一步加劇,而企業(yè)不安感的增加就意味著企業(yè)對風險減少的需求增加。也就是說,風險社會要求國家尋求一種以預防風險為導向、減少不安感的刑法體系。刑事合規(guī)政策正是順應了這種需求。一方面,國家通過刑事法手段,激勵企業(yè)進行自我管理,從而降低企業(yè)犯罪的可能性;同時為幫助涉案企業(yè)出罪或減輕罪責提供了新的通道。另一方面,企業(yè)與國家共同承擔社會治理的責任,解決了因犯罪距離、企業(yè)專業(yè)強等原因而導致的國家規(guī)制有限問題,形成國家和企業(yè)合作治理的新局面?？梢哉f,合規(guī)管理是風險社會的必然選擇。[12]

四、網絡爬蟲技術刑事風險及合規(guī)規(guī)則思考

刑事合規(guī)意在通過內部控制有效預防風險,而風險預防的前提是風險識別,風險點的差異決定了合規(guī)規(guī)則制定的差異化。網絡爬蟲行為存在的刑事風險點主要關涉爬取數(shù)據(jù)內容和方式兩方面。

(一)數(shù)據(jù)爬取內容存在的刑事風險及合規(guī)規(guī)則

1.侵犯個人信息

根據(jù)《刑法》第253條之一的規(guī)定,侵犯公民個人信息罪,是指違反國家有關規(guī)定,向他人出售、提供公民個人信息,情節(jié)嚴重的行為,以及竊取或者以其他方法非法獲取公民個人信息的行為?；谧锩麅群?網絡爬蟲行為在個人信息方面存在的風險在于其是否屬于“以其他方法非法獲取公民個人信息的行為”。其中的認定重點不在于“其他方法”,而在于是否屬于“非法獲取”。因為“其他方法”本身充當一個兜底規(guī)定,目的在于為了囊括更多的“非法獲取”公民個人信息行為。而這里的“非法”可以從合法性和行業(yè)規(guī)則兩個層面進行理解。一方面,在合法性層面,網絡爬蟲的使用應當符合國家法律、行政法規(guī)、部門規(guī)章等有關收集、處理、利用數(shù)據(jù)信息的規(guī)定。比如,《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第4條中對“以其他方法非法獲取公民個人信息”的補充解釋;《電信和互聯(lián)網用戶個人信息保護規(guī)定》第 5 條提出了電信業(yè)務經營者、互聯(lián)網信息服務提供者在公民個人信息收集中應當遵循合法、正當、必要原則……其中,最為直接的規(guī)范當屬《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》):(1)《個人信息保護法》構建了以“告知-同意”為核心的個人信息處理規(guī)則,要求企業(yè)在處理個人信息之前應履行告知義務并取得個人同意,個人信息處理的重要事項發(fā)生變更的應當重新向個人告知并取得同意。同時,《個人信息保護法》還對敏感信息的收集、向他人提供或公開個人信息、跨境轉移個人信息等環(huán)節(jié)作出特別強調,要求處理人單獨征求個人同意和遵循相應的告知義務。(2)生物識別、宗教信仰、行蹤軌跡以及不滿十四周歲未成年人等相關個人信息被列為敏感的個人信息。只有在具有特定的目的和充分的必要性,并采取嚴格保護措施的情形下,企業(yè)才有權處理以上信息,同時《個人信息保護法》要求企業(yè)進行事前影響評估,并向個人告知處理的必要性以及對個人權益的影響。這一點企業(yè)在制定合規(guī)規(guī)制的時候應該予以關注。(3)該法還進一步強化了個人信息處理者義務,例如要求定期進行審計等。另一方面,網絡爬蟲的使用應當符合行業(yè)規(guī)則,這里的行業(yè)規(guī)則一般指Robots協(xié)議,即網站經營者為限制技術爬取內容而在網站設置的一個robot.txt文本,如果企業(yè)違背協(xié)議限制強行爬取則可能違反商業(yè)道德,構成不正當競爭。目前司法實踐中也認可了違反行業(yè)協(xié)議的非法性。[13]

就侵犯公民個人信息罪合規(guī)風險而言,還有一個問題需要厘清:已公開的個人信息能否納入本罪規(guī)制對象。對于個人自行公開的信息是否能在未經告知和許可的情況下采集和使用呢?這一點一直存在爭議。有罪說主張個人信息不等同于個人隱私,未經同意擅自獲取和使用均有侵犯個人私生活安寧的可能性;無罪說則認為信息一旦公開就意味著“值得刑法保護的信息”不復存在了,不宜再用此罪進行規(guī)制。筆者認為兩種觀點都較為粗放,因此更傾向于認同:獲取、提供已公開的個人信息但改變信息公開目的或者用途的成立犯罪。其中,就網絡爬蟲純粹的抓取行為而言,由于很難判斷他人后來對于該信息的使用目的是否與個人公開其信息時相同,也無法確定信息的用途是否被改變,難以得出行為人侵害被害人法益處分自由的唯一結論,因此不宜認定有罪。[14]針對企業(yè)利用技術抓取后的提供行為,則需要企業(yè)合乎信息公開者的最初公開目的。

綜上,企業(yè)在未經同意或者違反Robots協(xié)議的情況下利用爬蟲技術過度抓取、提供非公開信息,亦或者是違背公開目的向他人非法提供公開信息時,則有可能構成違法行為,從而使企業(yè)陷入侵犯公民個人信息罪的刑事合規(guī)風險。 值得注意的是,在未經同意的情況下,向他人提供通過合法途徑采集的個人信息不阻礙該罪的成立。為規(guī)避上述風險,企業(yè)可以從以下角度構建合規(guī)規(guī)則:(1)建立個人信息分類目錄,區(qū)分高風險信息和一般信息,進行定期監(jiān)督、定期審計。在抓取提供敏感個人信息、利用個人進行自動化決策、對外提供或公開個人信息等高風險信息時進行事前評估,合法履行單獨的告知義務。(2)對于非公開的個人信息,原則上禁止任何形式的獲取和使用,但企業(yè)征得同意或者有正當理由的除外。這里的正當理由包括為應對突發(fā)公共事件、為公共利益的輿論報道等。(3)對于公開的個人信息,企業(yè)在提供使用時要注意與信息最初公開目的保持一致。(4)一旦接受到信息權利人關于停止采取個人信息的通知,企業(yè)應立即停止爬取并按照要求完成后續(xù)信息刪除工作。

2.侵犯知識產權與版權問題

一般來說,爬蟲技術侵犯知識產權最典型的罪名是侵犯著作權罪。根據(jù)《刑法》第117條規(guī)定,企業(yè)在使用爬蟲技術時要構成該罪,首先需要行為人主觀具有“營利目的”。至于在網絡著作權案件中如何認定“以營利為目的”目前學術界存在不同的觀點。一種觀點認為“以營利為目的”這一主觀目的是不同于主觀故意的超出主觀因素,需要進行特別證明;另外有觀點認為這一犯罪目的僅為刑法規(guī)定的對網絡著作權案件的注意規(guī)定,對犯罪行為的違法性沒有實質性影響。[15]筆者更認同謝焱[16]學者將侵犯著作權罪中“以營利為目的”性質認定為短縮的二行為犯,該認定類型源于德日刑法學,意指以實施第二行為為目的的犯罪,但只有第一行為是構成要件行為,第二行為不是構成要件行為;也就是說短縮的二行為犯承認間接故意形態(tài)的目的犯。例如,在北京易查無限信息技術有限公司、于某犯侵犯著作權案(4)參見:(2015)浦刑(知)初字第12號。中,盡管辯護人提出被告單位易查公司僅僅是在進行小說轉碼業(yè)務時未盡到相應的注意義務,并無作品侵權的直接故意,但是法院仍然以被告公司負責人未對爬蟲技術進行充分了解和審查管理,認定其主觀上存在放任的間接故意,從而判定其有罪。因此,目的犯與主觀間接故意并不矛盾,當企業(yè)使用爬蟲技術時存在“放任”危害行為的主觀心態(tài)仍然有涉嫌侵犯著作權罪的風險。另外,客觀上使企業(yè)陷入侵犯著作權刑事風險的行為主要有以下兩種:第一,技術爬取后的傳播行為。根據(jù)條文規(guī)定,“復制發(fā)行或者通過信息網絡向公眾傳播”為最主要的犯罪行為。一般來說,該罪名一般針對的是企業(yè)利用技術爬取數(shù)據(jù)后的傳播行為,而非純粹的爬取行為。但有學者指出,“復制發(fā)行”既包括復制或發(fā)行也包括復制和發(fā)行,純粹的爬取行為也有可能涉嫌刑事風險。不過值得注意的是,“復制”行為的本質是侵犯原生作品的核心內容,導致第三人難以區(qū)分,往往指作品實體層面的數(shù)量增加,而單獨的爬取行為一般存在于虛擬空間,為從無到有的增加。因此,將虛擬空間的爬取行為認定為“復制”是不準確的。[17]目前實務中也不存在僅對技術爬取行為進行刑法規(guī)制的案例。第二,特別的技術爬取行為。《刑法》第117條第6款規(guī)定了爬取行為的特殊情形:當企業(yè)在使用爬蟲技術時存在“故意避開或者破壞權利人為其作品、錄音錄像制品等采取的保護著作權或者與著作權有關的權利的技術措施的”情形的,仍然涉嫌著作權的侵犯。

綜上,企業(yè)以營利為目的,未經作品著作權人許可故意或者放任爬蟲技術抓取文字、音像、計算機軟件等作品后進行不法發(fā)行,或者繞開作品管理者設置的反爬蟲措施進行不當爬取,給他人造成較大損失或者其他嚴重情形的,則可能陷入侵犯著作權罪的風險。為規(guī)避該風險,企業(yè)可以從以下角度構建合規(guī)規(guī)則:(1)企業(yè)應事前充分了解爬蟲技術的技術原理,并對技術抓取范圍、抓取內容、抓取形式等信息進行合理審查,避免企業(yè)技術濫用。(2)企業(yè)在利用爬蟲技術抓取視頻、圖片等可能被認定為作品的內容時應保持謹慎態(tài)度,嚴格遵守網站設置的Robots協(xié)議,不得試圖繞開或突破平臺設置的任何反爬蟲措施。

(二)數(shù)據(jù)爬取方式存在的刑事風險及合規(guī)規(guī)則

1.數(shù)據(jù)爬取違背數(shù)據(jù)管理者意愿

為防止網頁數(shù)據(jù)被爬取,網站管理者往往會采取一些反爬蟲措施。比較常見的就是在網站設置robot.txt文本對爬蟲爬取的內容和范圍進行限制,這也是業(yè)界判斷技術行為是否經過授權的標準之一。一旦爬取行為未經授權,企業(yè)將可能面臨相應的法律風險。在刑法層面,涉及的罪名之一有非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪。根據(jù)《刑法》第285條規(guī)定,能否構成上述罪名,核心在于:第一,企業(yè)是否獲得合法授權。目前,學術界對于網絡爬蟲技術的授權界定仍然存在爭議,大體分為以Robots協(xié)議為主的技術性界定方法和依據(jù)場景化的利益衡量原則進行違法界定兩種方式。不過目前司法實務界更傾向于采用通過Robots協(xié)議來判斷爬蟲程序是否獲得了網站的授權。例如法院在百度公司訴 360案(5)參見:(2013)一中民初字第 2668 號。中指出,Robots 協(xié)議作為互聯(lián)網行業(yè)內普遍遵守的技術規(guī)范以及公認的商業(yè)道德,應該能得到充分尊重。如果企業(yè)沒有遵守網站經營者的 Robots 協(xié)議,其行為明顯不當,應當承擔相應的不利后果。第二,技術爬取行為能否認定為“侵入”計算機。首先,在《中華人民共和國刑法釋義》一書中“侵入”是指通過技術手段進入計算機信息系統(tǒng)[18]。雖然這里將侵入行為限定為“技術手段”,但是司法實務中出現(xiàn)了被認定為“侵入”的特殊情形:單位內部人員將計算機信息系統(tǒng)的用戶名和密碼告知外部人員,由外部人員多次通過互聯(lián)網登錄單位計算機信息系統(tǒng)而獲取數(shù)據(jù)的案件。顯然上述行為雖不存在任何技術手段,但是與利用技術手段暴力侵入系統(tǒng)帶來的法益侵害無異,因此,在理解“侵入”行為時不應僅限定為采取技術手段進入,也包括未征得他人同意或者授權進入。第三,公開信息是否能夠被爬取。一直以來為保障數(shù)據(jù)共享和流通,公開數(shù)據(jù)作為公共產品不宜在法律層面過度干預,但是在“晟品公司”非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪中出現(xiàn)了將公開信息認定為違法的情況。因此有學者認為上述罪名保護法益為數(shù)據(jù)安全,而數(shù)據(jù)不等同于信息,它包含信息和數(shù)據(jù)冗余兩部分,并不會因信息部分公開而喪失秘密性。雖然目前學術界對此觀點不一,但是筆者認為對于風險,企業(yè)最好“寧可信其有,不可信其無”,在構建合規(guī)規(guī)則時應秉持更加審慎的態(tài)度。[19]該罪名與前文提及的侵犯公民個人信息罪和侵犯著作權罪類似,基于非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪在網絡犯罪領域的“口袋化”適用趨勢[20],罪名之間在司法實踐中常常競合適用。而兜底罪名入罪門檻相對低,企業(yè)在制定合規(guī)準則時應以此為最低參照標準。

另外,當企業(yè)數(shù)據(jù)抓取行為違反數(shù)據(jù)管理者意愿時還可能構成非法侵入計算機信息系統(tǒng)罪,不過這里的數(shù)據(jù)管理者為國家。該罪系行為犯,如果企業(yè)使用爬蟲技術,一旦非法進入國家事務、國防建設、尖端科學技術領域的計算機信息系統(tǒng)即構成非法侵入計算機信息系統(tǒng)罪。另外,法條所指的“國家事務”應當從嚴理解,不應該將某些地方權力機關的政務公開系統(tǒng)或者網絡辦公系統(tǒng)一律涵蓋在內。[21]綜上,企業(yè)的合規(guī)規(guī)則可制定為:(1)原則上,企業(yè)應當禁止爬蟲技術訪問國家數(shù)據(jù)系統(tǒng)或網頁,更不得對涉密國家事務、國防建設、尖端科學技術領域的網站和計算機信息系統(tǒng)進行爬取;(2)即使是訪問普通數(shù)據(jù)系統(tǒng)或網站,企業(yè)也應當在Robots協(xié)議的限制或者數(shù)據(jù)管理者的同意下使用爬蟲技術。

2.擾亂網站服務器的正常運行

當企業(yè)利用爬蟲技術抓取數(shù)據(jù)過分追求效率時,容易導致被訪問的網站或系統(tǒng)陷入癱瘓、無法正常運營,從而使企業(yè)陷入構成破壞計算機信息系統(tǒng)罪的風險。從保護法益來看,該罪的法益為計算機信息系統(tǒng)的正常運行,屬于個體法益,而非社會秩序法益。[22]從實行行為來看,根據(jù)《刑法》第286條之規(guī)定,爬蟲技術應用構成該罪名主要在于其對計算機的破壞性訪問,這里的破壞性訪問既包括惡意大量訪問嚴重干擾計算機信息系統(tǒng)功能,也包括任意刪除、修改計算機信息系統(tǒng)數(shù)據(jù)行為。首先,網絡服務器承載力有限,若網絡爬蟲頻繁大規(guī)模進行訪問,會大量占用服務器的帶寬和運算能力,影響正常的網絡服務,干擾計算機信息系統(tǒng)正常運行,甚至導致網站崩潰。例如在楊某某、張某某破壞計算機信息系統(tǒng)一案(6)參見:(2019)粵0305刑初193號。中,嫌疑人利用自己開發(fā)的爬蟲軟件對居住證服務平臺進行大量訪問,造成服務器阻塞,居住證系統(tǒng)不能正常運行,依法被法院認定有罪。另外,單位在使用爬蟲技術時惡意刪除計算機系統(tǒng)中的數(shù)據(jù),甚至刪除信息系統(tǒng)功能,后果嚴重或造成系統(tǒng)不能正常運行的,亦構成破壞計算機信息系統(tǒng)罪。從罪量要素來看,破壞計算機信息系統(tǒng)數(shù)據(jù)罪系情節(jié)犯,即要求“后果嚴重”。根據(jù)最高人民法院、最高人民檢察院《關于辦理危害計算機信息系統(tǒng)安全刑事案件應用法律若干問題的解釋》,該情節(jié)的認定主要包括以下五個維度:其一,破壞計算機信息系統(tǒng)的數(shù)量;其二,違法所得數(shù)額;其三,經濟損失數(shù)額;其四,破壞重要計算機信息系統(tǒng)的時間;其五,兜底條款。其中,適用較多的標準當屬違法所得數(shù)額和經濟損失數(shù)額。

綜上,爬蟲技術即便爬取公開數(shù)據(jù)也可能因其對計算機系統(tǒng)造成“破壞”而入罪。因此,企業(yè)在構建爬蟲技術合規(guī)方案時也應充分考慮技術程序本身合規(guī)的問題。為規(guī)避上述風險,企業(yè)可以從以下角度構建合規(guī)規(guī)則:(1)充分尊重平臺設置的Robots協(xié)議,優(yōu)化爬蟲代碼,合理設置訪問頻率,避免網絡爬蟲程序給網站帶來過重負擔。(2)在必要時,企業(yè)可以在獲得相關許可和遵守數(shù)據(jù)保護法律規(guī)定的情況下設置代理IP池,但是不得違反合法的使用目的和方式。

五、結語

作為重要的數(shù)據(jù)抓取工具,爬蟲技術的廣泛應用對企業(yè)來說既是機遇也是風險。雖然技術本身價值中立,但是惡意使用行為使得個人信息安全、作品知識產權、網絡空間的秩序穩(wěn)定狀態(tài)隱患重疊,單位犯罪屢屢發(fā)生。面對新興技術引發(fā)的犯罪局面,傳統(tǒng)刑法以懲罰為慣性,這與我國支持民營經濟發(fā)展的政策無法保持同頻。因而,應對網絡爬蟲技術犯罪刑法體系理當主動進行理念轉變,轉而向預防導向靠攏,滿足現(xiàn)實需求。刑事合規(guī)制度作為企業(yè)風險預防的新制度,能“治未病”也能“治已病”,是對現(xiàn)有司法實踐爬蟲技術規(guī)制誤區(qū)的一次有效糾正。是故,將刑事合規(guī)制度引入爬蟲技術法律規(guī)制,能實現(xiàn)國家治理模式轉型的同時,亦有益于實現(xiàn)企業(yè)數(shù)字經濟健康發(fā)展和網絡空間治理的平衡。雖然目前我國相關制度尚在探索,但是我們有理由相信,未來只要國家和企業(yè)共同努力,高質量、精細化的數(shù)據(jù)合規(guī)工作必將進一步為現(xiàn)代企業(yè)的發(fā)展賦能、增色。