林维
世界的本质是数据,数据的重要意义可见一斑。正是基于这一原因有关利用网络爬虫技术抓取数据行为的法律性质引起了广泛关注,并一直存在较大争议。此次所讨论的这一案件所涉及的问题大体上覆盖了该类案件的基本问题,因此具有较强的典型意义。
一、关于计算机信息系统的判断
所谓“爬虫技术”,是指那些在互联网内爬动并从各种网页中搜集信息的计算机程序和自动化脚本,以方便用户自动化、高效率地浏览互联网并从互联网上获取数据。作为一种中立的计算机技术,其本身在法律上并不受禁止。某种意义上,只要涉及信息搜集,就势必会运用到爬虫技术,也正是爬虫技术的有效运用使得数据的共享和分析具有了广泛的可能性,从而形成了互联网生态的多元和繁荣。但利用爬虫技术抓取数据的行为则需要根据具体情况来予以认定。考察的着眼点集中在爬取的行为本身和通过爬取所获得数据的性质。
根据刑法第二百八十五条第二款的规定,违反国家规定,侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,情节严重的,成立非法获取计算机信息系统数据罪。实务上,对于计算机信息系统的理解可能过于狭窄,因而产生了定罪上的疑惑。2011年最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下简称《解释》)第十一条规定,本解释所称“计算机信息系统”和“计算机系统”是指具备自动处理数据功能的系统,包括计算机、网络设备、通信设备、自动化控制设备等。可知,设备仅仅是计算机信息系统的外在载体。诸如网络平台、移动客户端、App软件系统等作为计算机信息系统的要素之一,其通过一系列硬件设施和应用程序,实现对信息和数据的釆集、加工、存储、传输、检索,毫无疑问应当认定属于计算机信息系统。
二、如何认定“侵入”和“情节严重”
爬虫技术本质上有利于信息的交流和共享,有的网站甚至欢迎使用爬虫技术提取网页信息。因此要想厘清网络爬虫行为罪与非罪的界限,就需要明确爬虫技术的边界,也就涉及对非法获取计算机信息系统数据罪中“侵入”的认定。
非法获取计算机信息系统数据罪中的“侵入”是指未经授权或者他人同意,通过技术手段进入计算机信息系统。最高人民检察院第36号指导性案例“卫某等非法获取计算机信息系统数据案”也明确了此点,超出授权范围使用账号、密码登录计算机信息系统,属于侵入计算机信息系统的行为,侵入计算机信息系统后下载其储存的数据,可以认定为非法获取计算机信息系统数据。显然,案件的裁判要旨是行为人进入他人数据库的行为是否得到了权益人的同意或者授权。在所讨论的案件中,行为人通过部署爬虫程序,从运营商服务器中抓取、釆集网络用户的登录cookie数据,其行为并未得到权益人的同意或者授权,显然属于非法获取计算机信息系统数据的情形。
成立非法获取计算机信息系统数据罪,还需要达到情节严重的程度。在所讨论的案件中,行为人获取的cookie数据是网站为辨别用户身份、进行session跟踪而储存在用户本地终端上的数据,可以认为属于《解释》第十一条规定的“用于确认用户在计算机信息系统上操作权限的数据,包括账号、口令、密码、数字证书等”身份认证信息,因此直接依照《解释》第一条第一款规定的“身份认证信息”的定罪标准加以确定即可。需要指出的是,《解释》第一条规定了五种“情节严重”的情形,其中第五项为“其他情节严重的情形”。考虑到前四项“情节严重”的范围已经包括了网络金融服务类的身份认证信息、其他身份认证信息以及非法控制计算机信息系统的数量和违法所得、经济损失等因素,那么第五项规定的兜底条款就没有必要也不应等同于前述情形。个人认为,对于“其他情节严重的情形”的解释和刑法条款中“等”的解释略有不同:两者固然都存在同质性判断的必要,但是在“等”的解释上,如果作等外的理解,一般都会要求同前文规定的范畴具有特定的、具体的等质性或等价性;但对“其他情节严重的情形”判断的核心并不在于要和前文规定的内容具有等价性或等质性,而在于情节严重的综合判断。因此,“其他情节严重的情形”可以包括犯罪前、犯罪过程中乃至犯罪后表征行为的客观危害性和行为人的主观危险性等各种情节。在所讨论的案件中,行为人爬取的数据包括相应订单信息共计220552条,符合《解释》第一条第二款规定的“情节特别严重”的情形,应当按照加重的法定刑幅度进行量刑。
三、关于罪数认定
数据爬取行为往往同时涉及其他违法犯罪行为,就所讨论的案件而言,除考察爬取行为本身外,还应该考虑到所爬取的数据类型以及控制数据后所实施行为的定性问题。
刑法第二百八十六条第二款规定,违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,成立破坏计算机信息系统罪。在所讨论的案件中,行为人利用研发的爬虫软件、加粉软件远程访问运营商数据库中的数据,非法登录用户的网络平台账号,进行强制加粉、爬取订单等行为,侵害了网络平台的信息系统安全和用户的知情权,违法所得数额巨大,因此同时成立破坏计算机信息系统罪。关于此点,最高人民检察院第34号指导性案例“李某等破坏计算机信息系统案”确立了裁判要旨,指出冒用购物网站买家身份进入网站内部评价系统删改购物评价,属于对计算机信息系统内储存数据进行修改操作,应当认定成立破坏计算机信息系统罪。所讨论的案件与这一裁判要旨中所描述的情形类似,都属于对数据的修改操作,应当认定成立破坏计算机信息系统罪。
对于该案所涉及的非法获取计算机信息系统数据罪和破坏计算机信息系统罪,究竟应当确认为何种罪数关系,实务上存在一定争议。有的学者主张数罪并罚,有的学者认为应当从一重罪处罚。在所讨论的案件中,考虑到行为人非法侵入计算机信息系统并获取数据的目的是为了对前述数据进行修改、增加等,并通过这种方式谋取利益,因此应当认定成立手段和目的的牵连犯,从一重罪处罚。
该案还涉及一般数据和公民个人信息的区分,进而涉及非法获取计算机信息系统数据罪和侵犯公民个人信息罪之间的关系问题。所谓“公民个人信息”,按照2017年最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《个人信息解释》)第一条的规定,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。该案中,虽然cookie数据本身并不一定属于公民个人信息,但是行为人利用所获取的cookie数据信息登录不同用户的网络账号,并利用爬虫软件爬取用户的相关信息(包含姓名、联系方式、地址、订单信息等)。这些信息具备识别特定自然人身份的功能,因此属于公民个人信息,在其符合《个人信息解释》第五条所规定的情节严重的情形下,按照刑法第二百五十三条之一“窃取或者以其他方法非法获取公民个人信息”的规定,成立侵犯公民个人信息罪。对于侵犯公民个人信息罪和非法获取计算机信息系统数据罪之间的罪数关系,有的认为应当数罪并罚,有的认为成立牵连犯,应从一重罪处罚。就所讨论的案件而言,在整个犯罪过程中,窃取公民个人信息的行为和非法获取计算机信息系统数据之间存在行为过程的整体同一性,两行为之间存在法条竞合的关系,同时由于计算机信息系统数据和公民个人信息之间存在交叉关系,因此在相关行为同时成立非法获取计算机信息系统数据罪和侵犯公民个人信息罪的情形下,仍然应当遵循从一重罪处罚的原则。