周浩：魔蝎爬虫案启示——数据刑事问题

　　文/新浪财经意见领袖专栏作家 周浩

　　一年多前，杭州、上海多家数据科技公司接连被查。日前，首批被查的杭州魔蝎数据科技有限公司（以下简称“魔蝎科技”）案件，迎来两审判决，以侵犯公民个人信息罪落下帷幕。

　　判决显示，魔蝎科技犯侵犯公民个人信息罪，判处罚金三千万元。公司法人周某某被判有期徒刑三年，缓刑四年；技术总监袁某被判有期徒刑三年，缓刑三年。

　　1

　　魔蝎获刑：信息非法留存

　　法院查明，魔蝎科技会将开发的前端插件嵌入网贷平台App中，网贷平台用户使用网贷平台的App借款时，需要在魔蝎科技提供的前端插件上输入其通讯运营商、社保、公积金、淘宝、京东、学信网、征信中心等网站的账号、密码。

　　经过用户授权后，魔蝎科技的爬虫程序即代替用户进入其个人账户，利用各类爬虫技术，爬取（复制）上述企、事业单位网站上贷款用户本人账户内的通话记录、社保、公积金等各类数据，并按与用户的约定提供给网贷平台用于判断用户的资信情况，并从网贷平台获取每笔0.1元至0.3元不等的费用。

　　期间，魔蝎科技在和个人贷款用户签订的《数据采集服务协议》明确告知贷款用户，“不会保存用户账号密码，仅在用户每次单独授权的情况下采集信息”，但未经用户许可仍采用技术手段长期保存用户各类账号和密码在自己租用的服务器上。截至2019年9月案发时，以明文形式非法保存的个人贷款用户各类账号和密码条数多达21241504条。

　　法院认为，魔蝎科技明确告知不会保存用户各类账号密码，还是未经许可非法留存用户信息，是以其他方法非法获取公民个人信息，构成侵犯公民个人信息罪。（参见（2020）浙0106刑初437号魔蝎侵犯公民个人信息案）

　　透过此案可以发现，用户在京东、淘宝等账号内的信息，虽存储在第三方平台账户内，但经过用户单方授权许可，法院并未以此认定魔蝎科技还需经过用户和第三方平台双重授权才能获取数据。这说明杭州市西湖区法院倾向于认同，用户存储在第三方平台账户内的信息，凭借用户单方授权即可，无需平台再次授权。

　　就认定逻辑来看，魔蝎科技获刑，是因魔蝎科技虽经用户许可获取信息，但是却在未经用户授权许可的情况下，超越使用目的，擅自以技术手段非法留存用户个人信息。

　　因此，魔蝎科技获取用户单方授权，运用爬虫技术获取相关数据，是在获得授权的基础上开展爬虫（复制）数据，所以在数据获取方面不是本案裁判关注的内容。

　　获取相关数据后，魔蝎科技未能遵从相互之间的约定，没有做到“用后即焚”，相反在未经用户授权的情况下将账号密码非法留存，是法院最终认定魔蝎科技以其他方法非法获取公民个人信息的落脚之处。

　　《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条规定，“公民个人信息”，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括账号密码、财产状况、行踪轨迹。

　　因此，魔蝎科技侵犯公民个人信息一案，在明确告知用户不会保存个人信息的情况下，还将用户信息留存在自己租用的服务器上，即数据获取后的沉淀行为，是本案值得关注的方面。

　　2

　　网络爬虫：刑事边界

　　如上所述，魔蝎科技获刑，本质上是信息处理方面存在问题，而非在信息获取方面。因此，认定此案，实际上与网络爬虫技术的运用不存在关联。

　　网络爬虫，可以归为获取数据的一种方式，在当下互联网时代，大行其道，应用场景非常广泛。

　　但要注意的是，不是说运用爬虫技术获取数据，就必然存在违法犯罪问题，应当给予区分对待。

　　利用网络爬虫获取数据，容易触及的罪名，主要是侵犯公民个人信息罪和非法获取计算机信息系统数据罪。

　　网络爬虫，作为技术来讲，本身不存在任何色彩问题，关键还是要看获取数据的主体是否有权限，获取的数据是否被采取保护措施，获取的数据性质是不是符合可识别性的公民个人信息。

　　第一，获取数据的权限

　　作为最高人民检察院指导性案例的卫某某、龚某某、薛某某非法获取计算机信息系统数据案，对获取数据的权限问题有过明确说明，即没有授权、超越授权，均是获取数据的非法方法。

　　龚某某因工作需要，拥有登录某大型网络公司内部管理开发系统的账号、密码、Token令牌（计算机身份认证令牌），具有查看工作范围内相关数据信息的权限。龚某某、卫某某经事先合谋，龚某某向卫某某提供自己所掌握的公司内部管理开发系统账号、密码、Token令牌。卫某某利用龚某某提供的账号、密码、Token令牌，违反规定多次在异地登录该公司内部管理开发系统，查询、下载该计算机信息系统中储存的电子数据。（参见检例第36号卫某某、龚某某、薛某某非法获取计算机信息系统数据案）

　　第36号指导性案例的发布，是非法获取计算机信息系统数据罪的分水岭。该案表明，没有授权、超越授权，即便未采用技术手段获取数据，但仍然可以被归入为“侵入”计算机信息系统，标志着行为人若是超出授权范围，获取无权取得的数据，可以构成非法获取计算机信息系统数据罪。

　　要指出的是，行为人在权限许可范围内获取数据，由于没有突破许可权限，即便采用网络爬虫的方式获取数据，也不会构成非法获取计算机信息系统数据罪。因为取得权限的情况下，没有突破权限范围，网络爬虫模拟人工点击，批量获取数据，只是相对人工而言，提高了获取数据的效率。

　　北京市海淀区人民检察院不予批捕的一起案件，就是如此。检方不批捕的理由可以概括为，“于某某为公司正式员工，根据公司授权登陆聊天工具后能够即时浏览到本案中的全部员工数据，该信息属于其职权范围内可以知晓的内容，而其使用数据爬取策略，仅仅系提高了查阅的效率，而非本质上的越权获取或者窃取等非法手段”。（参见北京市海淀区检察院于某某非法获取计算机信息系统数据案）

　　第二，获取数据的性质

　　采用爬虫技术，获取不同性质的数据，比如，获取公开数据，是否够罪，往往是网络爬虫获取数据面临的争议问题。同案不同判的情形，并不少见，有判决以公开的公民信息已经不再具备隐私要求，不认为是犯罪，有的判决则恰恰相反。

　　例如，南京市中级人民法院办理的一起侵犯公民个人信息案件，被告人利用工作便利，下载企业税务登记信息，获取包括企业法定代表人或联系人姓名、居民身份证号码、手机号码等税务登记信息。其后将该信息销售给他人，用于拨打电话作广告推销。

　　被告人称这些信息是可以在网上查询到的公开信息。法院最终认为，“识别性是公民个人信息的根本属性，不要求具有个人隐私的特征。即便是已经公开的公民个人信息，也属于刑法所保护的公民个人信息”（参见（2017）苏01刑终870号刑事判决书）

　　北京市海淀区人民法院审理的一起非法获取计算机信息系统数据案，同样存在数据性质是否公开的问题。

　　行为人通过破解防范抓取措施，在数据抓取的过程中使用伪造device_id绕过服务器的身份校验，使用伪造UA及IP绕过服务器的访问频率限制，获取服务器内数据。问题是，本案视频信息在APP用户范围内是公开的，是否意味着本案的数据是公开的。

　　法院认为，被害单位允许用户缓存观看视频，但未允许用户下载数据，信息虽然是可供观看的，但信息背后的数据未丧失保护措施。信息的有限公开，不代表视频数据可以为公众所共享，更不可以认为数据失去了安全保护的必要性。本案中，被告单位未经被害单位授权，使用网络爬虫程序绕过App用户认证系统，获取被害单位网站服务器内的视频数据的行为，构成非法获取计算机信息系统数据罪。（参见（2017）京0108刑初2384号刑事判决书）

　　就此来看，网络爬虫是否构成非法获取计算机信息系统数据罪，终归是要回到权限问题上来，是否具备权限，有无超越权限，这是检例第36号案确定的标准。是否构成侵犯公民个人信息罪，一方面是要看权限问题，一方面则要判断所获取的信息是否具备公民个人信息要求的识别性。

　　3

　　数据问题：合规审查

　　魔蝎科技侵犯公民个人信息，给大数据行业带来很多变数。一时之间，谈“数据”色变。

　　围绕数据涉刑核心问题，关键在于数据获取、数据交易、数据处理，较为容易触犯的罪名集中于非法获取计算机信息系统数据罪和侵犯公民个人信息罪。

　　第一，数据交易方面

　　数据交易，是大数据行业的核心环节。经营数据，目的在于通过分析和挖掘，找到有需求的一方，从而进行数据交易。

　　进行数据交易，未做到严格审查，最后祸及公司的不在少数，或是被认定为单位犯罪或是关闭整条业务线。“数据堂”相关人员侵犯公民个人信息案件，是个典型案例。

　　该案业务模式是，先向合作企业购进数据，再对数据进行整理、存储，并根据用户的兴趣、爱好不同加工，分别打上不同的标签后，放入公司集群。最后，再按照客户需求提取符合条件的数据，将数据发送给客户。（临沂市中级人民法院（2018）鲁13刑终549号刑事判决书）

　　此模式之下，数据交易常常会触犯侵犯公民个人信息罪，理由有两点：一是，通过购买的方式获取包含能够识别特定自然人身份的信息，符合以购买、收受、交换等方式获取公民个人信息；二是，未对获取的数据脱敏化处理，可以识别到个人的，以出售方式向他人非法提供公民信息。

　　这是数据交易通常存在的问题，没有对信息进行分类管理，更没有审核哪些信息需经过脱敏化处理，哪些信息需做到匿名化处理。因此，在未进到合规审核的情况下，交易的数据或是单独或是与其他信息相结合能够关联到特定自然人或是可以反映出特定自然人活动，多会触及侵犯公民个人信息罪。

　　第二，数据获取方面

　　数据行业容易出问题的环节，较多的发生在数据获取方面。魔蝎获刑，虽然与数据获取方式关系不大，但违反约定，未经过用户同意自行储存备用，同样与数据获取有一定关联，应当引起重视。

　　《网络安全法》第四十一条规定，“网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息”。

　　当前非法获取数据的行为，主要不再是买卖的方式，而是更多的如上述规定的内容，超越使用目的或收集与服务无关的信息，再或是没有按照约定收集、使用数据。正如魔蝎科技获取数据后的沉淀行为以及超越服务目的广泛收集数据的行为。

　　为确保数据获取合乎规范，通常来说，可以就以下六点进行审查：

　　一是，利用爬虫技术获取数据，应当以授权+同意为前提，避免在未授权或超越授权的情况下获取数据；

　　二是，通过技术手段获取数据，要避免对系统形成破坏或是干扰，以及是否绕开、规避、突破系统的防抓取措施；

　　三是，未经过用户同意，要避免获取单独或相互结合能够识别到特定自然人的公民个人信息；

　　四是，要审核合作方获取数据的方式以及获取的数据内容是否可识别；

　　五是，获取数据，要符合用途或服务目的。其中对获取的数据，要分门别类，区别管理，去除标识，涉及到公民个人信息，还要做到以最少的保存期限完成收集目的；

　　六是，竞争过程中，不得以技术手段侵入或攻击计算机系统，窃取相对方的竞品数据。

　　4

　　结语

　　数据刑事问题，是摆在数据行业面前的头等问题。为防范因数据处理不当导致刑事犯罪，应以最严格的要求对待，把问题集中于数据收集、存储、加工、使用、交易环节。

　　收集数据，以爬虫为例，是否取得用户同意和授权，是否遵守网站、App协议，是否具有正当性，是否绕过系统安全措施，是否爬取公民个人信息是重点关注的方面。

　　未授权的情况下，是否存在侵入或以其他技术手段获取数据，如通过反向编译、模拟请求、突破、绕开防范措施等解析源代码，从源代码中推导算法，或建构IP池，破解对方反爬虫措施，实现与对方系统交互，请求获取数据。

　　获取数据之后，还要注意审查所获取数据的内容，是否包含特别种类的信息，如公民信息、商业秘密。数据加工、使用和交易环节同样如此，避免出现不必要的刑事风险。

　　(本文作者介绍：执业于北京市炜衡律师事务所，聚焦于互联网金融方面的刑事风险。)