数字经济时代,数据作为新型生产要素,深度融入经济社会各领域,成为驱动产业升级、技术创新与社会治理现代化的核心资源。数据爬取技术凭借自动化、高效率、规模化的优势,成为数据采集与流通的关键手段,广泛应用于搜索引擎、电商分析、金融风控、舆情监测、学术研究等诸多场景。据行业统计数据显示,全球约四分之一的网络流量由爬虫程序产生,足见其在数字生态中的基础性地位。
然而,数据爬取技术如同一把 “双刃剑”,在释放数据价值、推动技术创新的同时,也因行为边界模糊、规制标准不一,引发大量法律争议与司法难题。未经许可的爬取行为可能冲击网站正常运营、侵害用户个人信息权益、侵犯企业商业秘密与知识产权,甚至威胁国家数据安全。当前我国司法实践中,数据爬取行为的民事侵权、行政违法与刑事犯罪界限模糊,裁判尺度不统一、刑民责任混淆、刑事打击泛化等问题突出,既不利于保护数据主体合法权益,也可能抑制技术创新与数据合理流通。
基于此,笔者以数据爬取的双重属性为切入点,梳理域内外刑法规制现状与差异,以数据分类为基础构建违法性判断逻辑,确立行为不法与结果不法相结合的罪责二元标准,旨在厘清数据爬取的罪责边界,平衡数据安全保护、数据自由流通与技术创新发展的多重价值,为数字经济背景下数据爬取行为的法律规制提供理论参考与实践指引。
一、数据爬取的双重属性与司法现实困境
(一)数据爬取的技术本质与双重价值属性
数据爬取,又称网络爬虫、数据抓取,是指利用自动化程序(机器人、蜘蛛程序),按照既定规则对网站、APP、小程序、搜索引擎等网络载体中的数据进行检索、提取、收集与存储的技术行为。从技术中立性视角来看,数据爬取本身不具有天然违法性,其法律性质取决于行为主体、获取对象、授权状态与危害后果。
数据爬取的正面价值显著,是数字经济发展的基础设施。搜索引擎依赖爬虫技术实现全网信息索引,大数据企业通过爬取公开数据开展市场分析,科研机构借助数据爬取推进学术研究,监管部门利用爬虫技术实施网络舆情与市场秩序监测,这些合法合规的爬取行为,有效降低了数据获取成本,促进了数据要素的市场化配置,推动技术创新与产业升级。
与此同时,数据爬取存在显著的技术风险与法益侵害风险。技术层面,高频次、大规模的爬取行为会占用目标服务器大量带宽与计算资源,导致网站响应迟缓、服务中断甚至系统崩溃,破坏网络服务的正常运行。法益层面,未经授权的爬取可能侵犯计算机信息系统数据安全、公民个人信息权、著作权、商业秘密、国家秘密等多重合法权益,扰乱市场竞争秩序,甚至危害国家数据安全与公共利益。
(二)数据爬取规制的司法困境:民刑责任割裂与标准失衡
当前我国数据爬取行为的法律规制,存在民法、行政法与刑法衔接不畅、民刑责任混淆不清的核心困境,直接影响司法裁判的公正性与合理性。
从民法与竞争法视角看,规制逻辑聚焦于民事侵权与不正当竞争。民法侧重保护数据隐私、人格权益与财产权益,重点评判爬取行为是否构成侵权;反不正当竞争法则侧重维护数据市场竞争秩序,保护经营者与消费者合法利益,规制数据爬取中的不正当获取与使用行为。但二者均局限于民事责任层面,未深入探讨爬取行为的入罪化标准,缺乏对刑事责任边界的系统论证,难以应对情节严重、危害重大的恶意爬取行为。
从刑法视角看,规制路径直接指向刑事犯罪,主要适用非法获取计算机信息系统数据罪、侵犯公民个人信息罪、侵犯商业秘密罪等罪名,聚焦行为的入罪标准与构成要件。但司法实践中,刑法适用往往忽视民法、行政法等前置法的规制框架,未充分论证行为的基础不法性,直接将民事违约、行政违法行为升格为刑事犯罪,导致“刑民不分”、“以刑代民”的现象。
这种规制割裂带来诸多实践难题:一是罪与非罪界限模糊,部分爬取公开数据、未突破技术保护措施的行为被不当入罪;二是裁判标准不统一,同类爬取行为在不同地区、不同层级法院出现截然相反的裁判结果;三是刑事打击范围不当扩大,抑制了合法数据爬取的创新空间,违背刑法谦抑原则。
二、域内外数据爬取刑法规制检视:严厉与缓和的分野
(一)国内规制:从民事侵权到刑事犯罪的严厉化转向
我国对数据爬取行为的法律规制,呈现出从民事追责、行政监管向刑事打击逐步升级的态势,司法导向日趋严厉。早期司法实践中,爬取数据行为多以民事侵权、不正当竞争论处,侧重赔偿损失与停止侵害;近年来,随着数据安全问题凸显,司法机关逐步强化刑事规制,大量爬取行为被认定为刑事犯罪。
典型案例中,晟品公司爬取公开视频数据案、月亮播放器爬取百度网盘数据案等,均将原本可通过民事、行政手段规制的行为认定为刑事犯罪,反映出严厉化导向。但这些案例也存在明显的规制缺陷:
第一,技术特征识别不清。司法实践中不区分所避开技术保护措施的性质,将违反平台用户协议、爬虫协议等合同约定行为或其他性质技术措施的行为,等同于突破账号密码、验证码等授权访问防护技术措施的行为,一律认定为“未经授权”,扩大了不法行为范围。
第二,数据类型界定模糊。不区分公开数据与非公开数据、通用数据与专属数据,对爬取企业经营、社交网站、裁判文书等开放数据的行为,也纳入违法评价范畴,不当压缩数据合理利用空间。
第三,入罪门槛过低。忽视民事责任、行政责任的前置适用,罪量要求宽松,将情节轻微、危害不大的爬取行为入罪,违背刑法谦抑性与比例原则。
(二)域外规制:以平衡创新为核心的缓和化路径
以美国为代表的域外国家,对数据爬取的刑法规制呈现缓和化、平衡化趋势,核心依据为《计算机欺诈及滥用法案》(CFAA),司法裁判更注重数据流通、技术创新与安全保护的平衡。
域外规制的核心转变体现在两方面:一是授权标准从合同授权转向技术授权。以网站代码设置、技术防护措施作为判断“授权”的核心依据,限缩非法获取数据的入罪范围,仅将突破技术保护措施的行为认定为刑事不法;二是明确区分数据类型。在 HiQ v. LinkedIn 经典案例中,法院确立公开数据爬取宽容原则,认定爬取平台公开的用户职业数据不构成犯罪,认可公开数据的合理利用价值。
整体而言,域外数据爬取规制以技术措施为核心、以数据类型为基础,严格限定刑事打击范围,鼓励数据流通与技术创新,避免刑事手段过度干预市场行为。
(三)域内外规制对比与本土启示
国内外数据爬取刑法规制呈现鲜明反差:国内侧重数据安全保护,入罪标准宽松、忽视数据类型、刑事干预力度大;域外侧重数据共享与技术创新,入罪标准严格、以技术措施与数据类型为核心、刑事规制谦抑。
这一对比为我国提供重要启示:数据爬取的法律规制不能片面追求安全而忽视创新,也不能放任自由而牺牲安全,必须构建类型化、分层级、衔接有序的规制体系,严格界分民事违法、行政违法与刑事犯罪,实现安全、流通、创新三者的动态平衡。
三、数据分类与违法性判断:回归权利本源的规制逻辑
数据爬取的罪责判断,必须回归数据权利本源,以数据开放程度与权利属性为基础进行类型化划分,明确不同数据的权利边界与保护强度,这是判断爬取行为违法性与责任层级的逻辑起点。
(一)数据的类型化划分与权利边界
结合开放程度、访问权限与使用限制,可将数据分为三类:
1.开放数据。完全公开、无任何访问与使用限制,数据主体自愿放弃控制权,允许社会公众自由获取、利用。典型形态包括政府公开信息、公开裁判文书、公共卫生数据、公开新闻资讯等。此类数据权利边界最宽松,立法目的在于促进信息自由流动与公共利益实现,爬取开放数据原则上阻却违法性,不承担任何法律责任。
2.限制使用的数据。可自由访问、无需特殊授权获取,但对使用方式、使用范围、使用目的存在明确限制。典型形态包括社交平台公开用户信息、电商平台商品公开信息、网站公开内容等。爬取此类数据本身不具有不法性,但违反使用限制、不当利用数据侵害平台或用户权益的,可能构成民事侵权、不正当竞争,承担民事责任。
3.限制访问的数据。需身份授权、受技术保护措施防护,非经许可不得访问、获取。典型形态包括企业非公开经营数据、商业秘密、公民个人信息、账号密码、金融交易数据、国家秘密等。此类数据受法律严格保护,未经授权访问、爬取的行为,具有显著不法性,根据情节轻重分别承担民事、行政乃至刑事责任。
(二)违法性判断核心:授权状态与权限边界
数据爬取行为的违法性判断,核心在于判断是否未经授权或超越授权。同时,授权状态与数据开放程度、访问权限直接挂钩。
合法爬取的核心特征:严格遵循数据开放程度设定,在授权范围内实施获取、使用行为,未违反合同约定,未突破技术保护措施,未侵害他人合法权益。
违法爬取的核心特征:违背数据访问与使用权限,未经授权或超越授权获取数据,包括违反用户协议、爬虫协议等合同约定,以及突破账号密码、验证码、IP 校验等技术保护措施。
技术中立并非违法阻却事由,数据权利边界与平台访问规则,是判定爬取行为违法性的关键标尺,只有突破权利边界与权限规则的行为,才具有法律上的可责性。
四、数据爬取的罪责判断标准:行为不法与结果不法二元体系
数据爬取的刑事责任认定,应坚持刑法谦抑性原则,构建行为不法与结果不法相结合的二元判断标准,严格限缩刑事打击范围,精准界分民刑责任,避免刑事规制泛化。
(一)第一维度:行为不法 —— 违反授权合约与突破授权技术保护措施
行为不法是刑事责任的形式要件,核心判断爬取行为是否违反授权规则,分为民事不法与刑事不法两个层级:
1.民事不法。仅违反平台用户协议、服务条款、爬虫协议、权责声明等民事授权合约,未突破授权技术保护措施。此类行为仅构成民事违约或侵权,是刑事不法的前置基础,但不直接构成刑事犯罪。
2.刑事不法。避开、突破网站设置的账号密码、手机验证码、身份验证、加密防护等授权技术保护措施,非法获取数据。此类行为因进一步危害计算机信息系统数据安全,具备刑事可罚性,是入罪的核心形式要件。值得注意的是,计算机技术保护措施有很多,在判断非法获取数据的刑事违法性时,应辨别是否与授权有关的技术保护措施。如规避验证码、IP检测等限流措施的行为不应认定为未经授权侵入、获取计算机信息系统数据。(见拙文:规避验证码、IP检测技术措施的登录行为不构成非法侵入计算机信息系统)
简言之,仅违反授权合同约定不构成犯罪,突破授权技术保护措施才是刑事不法的核心标志,二者的界分是区分民刑责任的关键。
(二)第二维度:结果不法 —— 侵害刑法所保护的法益
结果不法是刑事责任的实质要件,核心判断爬取行为是否侵害刑法所保护的法益,只有造成实质法益侵害或严重危险,才具备刑事可罚性。结合数据类型与侵害对象,主要涉及以下法益与罪名:
1.侵害数据本身安全法益:非法获取计算机信息系统数据罪;
2.侵害公民个人信息权:侵犯公民个人信息罪;
3.侵害财产权益:盗窃虚拟财产、诈骗等财产犯罪;
4.侵害知识产权:侵犯著作权罪、侵犯商业秘密罪;
5.侵害国家法益:非法获取国家秘密罪、为境外非法提供数据类犯罪。
(三)罪责认定的核心规则
数据爬取行为构成刑事犯罪,必须同时满足行为不法与结果不法两个条件,缺一不可。仅违反授权合同约定但未突破授权技术保护措施,或仅获取数据但未造成实质法益侵害的,均不应认定为刑事犯罪,仅通过民事、行政手段规制即可。
这一标准符合刑法主客观相统一原则,也能有效限缩刑事打击范围,避免将合法创新、轻微违法的爬取行为入罪,实现精准规制。
五、结论:平衡安全与创新的数据爬取治理路径
数据爬取是数字时代不可或缺的技术手段,其法律规制本质是数据安全、数据流通与技术创新的价值平衡。结合域内外经验与我国司法实践,数据爬取的罪责判断与法律规制应遵循三大核心路径:
第一,回归权利本源,坚持数据类型化判断。以数据开放程度与权利属性为基础,区分开放数据、限制使用数据、限制访问数据,明确不同数据的保护强度与责任边界,摒弃一刀切的规制模式,为公开数据合理利用预留空间。
第二,构建二元罪责标准,严格界分民刑责任。以行为不法(违反授权、突破授权技术措施)与结果不法(法益侵害)为核心,严格限定刑事入罪条件。坚持刑法谦抑性,优先适用民事、行政责任,仅对情节严重、危害重大的恶意爬取行为追究刑事责任,避免刑事打击泛化。
第三,平衡多重价值,促进数字经济健康发展。法律规制既要强化数据安全、个人信息与知识产权保护,也要保障合法数据爬取的创新空间,推动数据要素自由流通,实现安全保障与创新发展的协同共进,为数字经济高质量发展提供坚实法治保障。
数据技术的迭代永不停歇,法律规制应保持理性与谦抑。唯有在安全与创新之间找到动态平衡,才能让数据爬取技术真正服务于数字经济发展,释放数据要素的最大价值,推动数字社会迈向更加有序、繁荣、创新的新阶段。
