□曾 磊,鄧佳燕

(甘肅政法大學(xué),甘肅 蘭州 730070)

一、問題的提出

數(shù)據(jù)被視作數(shù)字經(jīng)濟(jì)時代的“新石油”,逐漸成為企業(yè)核心競爭力的重要組成部分。企業(yè)想要發(fā)展離不開數(shù)據(jù)信息的搜集整合,而網(wǎng)絡(luò)爬蟲技術(shù)能幫助企業(yè)高效率抓取特定數(shù)據(jù),提高數(shù)據(jù)分析能力,因而備受企業(yè)青睞并得到廣泛應(yīng)用。網(wǎng)絡(luò)爬蟲本身是一種中立技術(shù),但是一旦被行為人惡意使用,極易僭越法律底線,進(jìn)而侵犯數(shù)據(jù)隱私、個人信息、知識產(chǎn)權(quán)等法益,從而使企業(yè)面臨刑法規(guī)制的風(fēng)險。例如,爬蟲入刑第一案(1)參見:(2017)粵 0305 刑初 153 號。中的上海晟品網(wǎng)絡(luò)科技有限公司因惡意使用爬蟲技術(shù)涉嫌非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪,被處罰金20萬數(shù)元,涉案成員也均被判處有期徒刑。然而,目前我國司法實踐中對該技術(shù)的規(guī)制呈現(xiàn)出技術(shù)司法評價混亂的現(xiàn)狀以及規(guī)制出罪路徑缺位間接導(dǎo)致司法評價的擴(kuò)大化傾向。在這樣的司法導(dǎo)向下,作為網(wǎng)絡(luò)爬蟲技術(shù)使用主體的企業(yè)成為了犯罪“重災(zāi)區(qū)“,而企業(yè)作為一個組織體,一旦遭受嚴(yán)厲的刑罰處罰,極易造成“垮掉一個企業(yè),失業(yè)一批職工”的社會負(fù)面連鎖效應(yīng)。后疫情時代,國家鼓勵民營經(jīng)濟(jì)發(fā)展,這對打擊網(wǎng)絡(luò)爬蟲犯罪提出了更為嚴(yán)格的要求。

新時代以來,全球企業(yè)合規(guī)尤其是刑事合規(guī)的發(fā)展在我國呈現(xiàn)深度發(fā)展的趨勢,國家不斷擴(kuò)大合規(guī)試點城市,各個省市相繼取得了豐碩的合規(guī)成果。[1]該制度意在將企業(yè)經(jīng)營中違法犯罪的風(fēng)險消解于最前端的同時激勵涉案企業(yè)完成合規(guī)整改實現(xiàn)刑罰減免,跳出傳統(tǒng)刑法以懲罰性打擊犯罪為主的單一規(guī)制桎梏,轉(zhuǎn)而以風(fēng)險預(yù)防為主,對打破現(xiàn)有網(wǎng)絡(luò)爬蟲規(guī)制困局有著重要意義。故此,企業(yè)有必要引入刑事合規(guī)制度,制定切實可行的爬蟲技術(shù)專項刑事合規(guī)方案,真正防范和抵御企業(yè)在爬蟲技術(shù)應(yīng)用過程中的各種法律風(fēng)險,提高企業(yè)的抗風(fēng)險能力和市場競爭力,助力企業(yè)行穩(wěn)致遠(yuǎn)。

二、網(wǎng)絡(luò)爬蟲技術(shù)的刑事規(guī)制現(xiàn)狀及困境

(一)技術(shù)的刑事規(guī)制現(xiàn)狀

網(wǎng)絡(luò)爬蟲技術(shù)本身是價值中立的,但是圍繞技術(shù)的不當(dāng)使用行為是存在法律風(fēng)險的 ,無論是被稱為“爬蟲入刑第一案”的上海晟品網(wǎng)絡(luò)科技有限公司非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)案,亦或是全國首例短視頻爬蟲案,都表明網(wǎng)絡(luò)爬蟲行為是具備刑事違法性的。針對爬蟲技術(shù)犯罪行為,我國司法實務(wù)中往往通過界定技術(shù)行為刑法層面的善惡邊界來判定入罪與否。而關(guān)于技術(shù)的善惡界定,理論界和司法實務(wù)中都存在不同的觀點,大致可以歸類為以下兩種:

第一,以Robots協(xié)議為主的技術(shù)性界定方式。所謂技術(shù)性界定方式是指從網(wǎng)絡(luò)爬蟲技術(shù)工具本身出發(fā)尋求區(qū)分技術(shù)善惡的方法。具體而言,法院常以爬蟲行為有沒有違反網(wǎng)站管理者設(shè)置的robot.txt文本這一標(biāo)準(zhǔn)來判斷違法與否。另外,該類界定方式標(biāo)準(zhǔn)還包括爬蟲技術(shù)是否繞過或者突破“反爬蟲”技術(shù)措施壁壘等,這一點類似于美國的撤銷范式。[2]全國首例短視頻爬蟲案件中的裁判理據(jù)便屬于這一類,其中所涉及的短視頻軟件因具備突破反爬措施的技術(shù)功能而被認(rèn)定為違法。該類善惡界定方式在司法實踐中被大多數(shù)法院所采用,不過理論界對此卻存在諸多質(zhì)疑和爭議。有學(xué)者[3]就指出全國首例“爬蟲”入刑案中存在以技術(shù)判斷主導(dǎo)定罪的刑法擴(kuò)大化適用嫌疑。

第二,依據(jù)場景化的利益衡量原則進(jìn)行違法界定。[4]場景化利益衡量原則與技術(shù)性界定不同,該原則主張淡化爬蟲技術(shù)本身的評價,側(cè)重于綜合考量網(wǎng)絡(luò)爬蟲技術(shù)帶來的權(quán)益侵害是否為各部門法所關(guān)注。例如,在奇虎訴百度Robots協(xié)議不正當(dāng)競爭案(2)參見:(2017)京民終487號。中,最高人民法院最終在認(rèn)定被訴行為否構(gòu)成不正當(dāng)競爭行為的時候就適用了該原則,考量了爬蟲技術(shù)的損害后果以及是否違反了誠實信用原則和公認(rèn)的商業(yè)道德等綜合利益因素。刑法的任務(wù)是保護(hù)法益,將利益衡量原則介入爬蟲技術(shù)的規(guī)制能夠一定程度確保社會有益性的實現(xiàn)。不過依然有部分學(xué)者對此種界定方式持反對意見,他們認(rèn)為籠統(tǒng)的利益衡量原則無法真正在個案中進(jìn)行衡量,歸根結(jié)底該原則中的善惡邊界取決于爬蟲行為帶來的結(jié)果這一不可控因素,這顯然容易導(dǎo)致法律適用的不平等。

(二)技術(shù)的刑事規(guī)制困境

首先,技術(shù)司法評價混亂。其一,網(wǎng)絡(luò)爬蟲行為善惡界限模糊。目前司法實踐中惡意網(wǎng)絡(luò)爬蟲行為的界定標(biāo)準(zhǔn)為是否未經(jīng)授權(quán)或者超越權(quán)限,而是否未經(jīng)授權(quán)或者超越權(quán)限的認(rèn)定方法還未實現(xiàn)統(tǒng)一。有的法院采取以Robots協(xié)議為主的技術(shù)性界定方式;有的法院則采用場景化的利益衡量原則進(jìn)行違法界定。這就導(dǎo)致了類似的案件可能會產(chǎn)生不同的評價結(jié)果,進(jìn)而導(dǎo)致法律適用的不平等。另外利益衡量原則本身也是一個籠統(tǒng)的界定標(biāo)準(zhǔn),因為針對網(wǎng)絡(luò)爬蟲技術(shù)保護(hù)法益無法確定,所以即使是都采取該類界定標(biāo)準(zhǔn)也容易出現(xiàn)同案不同判的現(xiàn)象。例如個人利用搶票軟件“加密狗”進(jìn)行高價倒買倒賣的行為被定性為犯罪,而“攜程”等單位利用爬蟲技術(shù)進(jìn)行搶票的企業(yè)卻因其商業(yè)用途而免于牢獄之災(zāi)。其二,網(wǎng)絡(luò)爬蟲行為善惡界定方式不當(dāng)。不論是技術(shù)性界定方法還是利益衡量原則界定方式都存在評價弊端。前者將數(shù)據(jù)控制者的授權(quán)視為善惡的決定性因素,忽視了控制者借此進(jìn)行不正當(dāng)競爭和惡意壟斷的可能性。后者對爬蟲技術(shù)行為的法益進(jìn)行強(qiáng)調(diào),雖然規(guī)避了上述問題,但是將原則作為指導(dǎo)準(zhǔn)則終究是模糊不清的,極易導(dǎo)致司法評價不一。其三,網(wǎng)絡(luò)爬蟲技術(shù)犯罪評價缺乏刑事責(zé)任層次。[5]在全國首例短視頻網(wǎng)絡(luò)爬蟲案件中,法官提出“網(wǎng)絡(luò)爬蟲”是一種中立性數(shù)據(jù)抓取技術(shù),但是由于本案被告人售賣的軟件采取了避開或者突破計算機(jī)信息系統(tǒng)的安全保護(hù)措施,在未經(jīng)許可的情況下貿(mào)然進(jìn)入被害人單位的計算機(jī)系統(tǒng),因此構(gòu)成犯罪。然而,司法實踐中并沒有對網(wǎng)絡(luò)爬蟲技術(shù)的技術(shù)特性予以強(qiáng)調(diào),這也就導(dǎo)致了刑事責(zé)任的無差別化。比如說違反Robots協(xié)議條款非法抓取數(shù)據(jù)的行為人主觀故意較弱,繞開反爬取技術(shù)壁壘的行為人主觀故意較強(qiáng),在對行為人定罪量刑的時候是應(yīng)當(dāng)予以考慮的,然而司法實踐中并沒有對此進(jìn)行明確的層次劃分。

第二,司法評價的擴(kuò)大化傾向。在對新技術(shù)進(jìn)行規(guī)制時,刑法往往以處罰為慣性。在全國首例“爬蟲”入刑案中,法院將爬取信息內(nèi)容公開且處于公眾可訪問狀態(tài)數(shù)據(jù)的行為,認(rèn)定為非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪,就存在以技術(shù)判斷主導(dǎo)定罪的刑法擴(kuò)大化適用嫌疑,這不僅有違法秩序統(tǒng)一原理,而且還會阻礙數(shù)據(jù)資源的最大化利用,不宜作為“現(xiàn)代信息技術(shù)的國家治理體系和治理能力現(xiàn)代化”的刑事司法導(dǎo)向。[6]具體而言,一方面,后疫情時代,中小型民營企業(yè)生存更顯費力,在弱肉強(qiáng)食的大市場里站穩(wěn)腳跟已然不易,如果再因為一起案件遭受刑罰,容易導(dǎo)致“辦理一起案件,垮掉一個企業(yè),失業(yè)一批員工”的社會負(fù)面連鎖反應(yīng),這與我國保護(hù)民營企業(yè)發(fā)展的政策嚴(yán)重不匹配。另一方面,數(shù)據(jù)流通產(chǎn)生驅(qū)動力,驅(qū)動力帶來價值。數(shù)據(jù)作為網(wǎng)絡(luò)時代重要的生產(chǎn)要素,各個企業(yè)都在積極參與數(shù)據(jù)競爭,尤其互聯(lián)網(wǎng)企業(yè)更是如此。不過并非所有的企業(yè)都有能力自己生產(chǎn)數(shù)據(jù),通常新興的互聯(lián)網(wǎng)企業(yè)都需要通過爬蟲技術(shù)這樣的工具來獲取數(shù)據(jù)以提高競爭力,如果一味通過傳統(tǒng)刑罰手段打擊技術(shù)使用過程的不當(dāng)行為,不僅會很大程度限制數(shù)據(jù)流通,迫使數(shù)據(jù)要素價值難以得到充分釋放,而且也會進(jìn)一步拉大企業(yè)之間的資源差距,不利于市場均衡發(fā)展。

三、刑事合規(guī)引入網(wǎng)絡(luò)爬蟲法律規(guī)制的法理證成

傳統(tǒng)認(rèn)為,打擊犯罪是國家的任務(wù),國家依靠刑事手段來達(dá)到控制犯罪的目的。然而在風(fēng)險社會的背景下,單一的刑事“大棒”政策已經(jīng)無法實現(xiàn)國家對單位網(wǎng)絡(luò)犯罪的有效控制。對此,國家不妨推動網(wǎng)絡(luò)犯罪管理“義務(wù)下沉”,鼓勵企業(yè)進(jìn)行自我監(jiān)管。一般來說,就如何通過刑事法推動企業(yè)實施自我管理,目前存在兩種制度構(gòu)建路徑:一是通過量刑激勵的方式推動企業(yè)實施合規(guī)管理;二是通過立法賦予企業(yè)以及相關(guān)責(zé)任人員刑事合規(guī)義務(wù)。事實上,美國選擇了前一路徑,《美國聯(lián)邦量刑指南》明確規(guī)定:如果企業(yè)建立了有效的合規(guī)系統(tǒng),那么可以減輕其刑罰,減輕幅度最高可達(dá)95%。(3)See.U.S.Sentencing Guideline Manual(2018),§8,C2.6.后一路徑則主要體現(xiàn)在我國的前置法規(guī)的內(nèi)控要求中,例如《網(wǎng)絡(luò)安全法》第21條明確規(guī)定了服務(wù)商的合規(guī)管理義務(wù)。但是目前我國相關(guān)前置法規(guī)大多屬于行政法,即使將其規(guī)定于刑法中,相比于對個體施壓,通過量刑激勵“倒逼”整個企業(yè)實施合規(guī)管理顯然更有威懾力。

(一)刑事合規(guī)制度的緣起及其法理釋義

“合規(guī)”一詞源于英美法系,意為遵守法律、標(biāo)準(zhǔn)與指令。事實上,在公司產(chǎn)生之初,美國就發(fā)現(xiàn)在這樣的組織形式中壟斷可以合法化存在,為加強(qiáng)企業(yè)監(jiān)管,政府開始著手構(gòu)建旨在加強(qiáng)行業(yè)監(jiān)管和自我監(jiān)管的企業(yè)合規(guī)措施。直到20世紀(jì)80年代,美國發(fā)生了國防工業(yè)舞弊案,政府為鼓勵企業(yè)自我揭弊嘗試將合規(guī)計劃作為定罪量刑的考量因素,企業(yè)合規(guī)逐漸有了刑事法色彩。從“合規(guī)”一詞字面意思簡單理解,刑事合規(guī)即要求企業(yè)遵守國家刑事法律法規(guī)。的確,從企業(yè)角度來看,刑事合規(guī)旨在設(shè)定一系列的合規(guī)規(guī)則來規(guī)避和及時發(fā)現(xiàn)企業(yè)中存在的犯罪風(fēng)險。不過,如果僅僅從企業(yè)層面理解刑事合規(guī)的概念的話,它與企業(yè)合規(guī)的概念沒有任何區(qū)別,僅僅是倡導(dǎo)單一的企業(yè)自我管理。事實上,企業(yè)合規(guī)和刑事合規(guī)是有所區(qū)分的,刑事合規(guī)之所以在刑法界引起關(guān)注和討論,關(guān)鍵在于刑事合規(guī)與國家層面的起訴、定罪、量刑掛鉤,該制度更多地強(qiáng)調(diào)企業(yè)自我管理與國家規(guī)制理念的融合。因此,刑事合規(guī)制度被定義為國家以起訴、定罪或量刑等外部激勵方式推動企業(yè)建構(gòu)可以有效預(yù)防、發(fā)現(xiàn)違法犯罪行為等內(nèi)部控制機(jī)制的法制度工具。[7]其中德國西門子公司合規(guī)事件就是該制度適用的典型案例,在因涉嫌商業(yè)賄賂而受到德國慕尼黑檢察機(jī)關(guān)的調(diào)查后,西門子公司主動向美國司法部和證券交易委員會報告了自己的跨國行賄行為,并聘請了專業(yè)律師進(jìn)行了長達(dá)兩年的內(nèi)部獨立調(diào)查。最后,西門子公司與美國、德國政府達(dá)成和解協(xié)議,免于刑事處罰。

(二)刑事合規(guī)引入的必要性:打破規(guī)制困局

基于上述困境,傳統(tǒng)刑法對網(wǎng)絡(luò)爬蟲行為的規(guī)制似乎陷入了困局。一方面,網(wǎng)絡(luò)爬蟲技術(shù)犯罪社會危害性大,不僅對數(shù)據(jù)安全本身造成了嚴(yán)重侵害,而且在企業(yè)數(shù)字化轉(zhuǎn)型的時代背景下,爬蟲技術(shù)犯罪正在逐漸加劇企業(yè)間的不正當(dāng)競爭,加之該犯罪的高發(fā)態(tài)勢以及互聯(lián)網(wǎng)的倍增效應(yīng),國家的確需要刑罰這樣的嚴(yán)厲手段才足以對相關(guān)犯罪達(dá)到威懾力度。而另一方面,民營經(jīng)濟(jì)作為推進(jìn)中國式現(xiàn)代化的生力軍、高質(zhì)量發(fā)展的重要基礎(chǔ),國家一直高度重視企業(yè)發(fā)展,中共中央、國務(wù)院在今年7月14日發(fā)布的《關(guān)于促進(jìn)民營經(jīng)濟(jì)發(fā)展壯大的意見》進(jìn)一步明確了國家對民營企業(yè)的支持和鼓勵。在這樣的大背景下,一慣采取傳統(tǒng)刑法制裁新興技術(shù)引發(fā)的犯罪,又將與國家鼓勵民營企業(yè)發(fā)展的政策背道而馳。另外目前司法實務(wù)中對該技術(shù)的司法評價還呈混亂和擴(kuò)大化傾向,進(jìn)一步加劇了這種矛盾,傳統(tǒng)刑法對此情況的治理更加局限。刑事合規(guī)作為一種立足于傳統(tǒng)刑法框架下的企業(yè)風(fēng)險預(yù)防制度,意在將企業(yè)經(jīng)營中違法犯罪的風(fēng)險消解于最前端的同時激勵涉案企業(yè)完成合規(guī)整改實現(xiàn)刑罰減免,一改傳統(tǒng)刑法中為報應(yīng)和譴責(zé)而懲罰的特性,轉(zhuǎn)變?yōu)闉榱祟A(yù)防風(fēng)險而威懾的風(fēng)格,[8]無疑是對現(xiàn)有爬蟲技術(shù)刑事規(guī)制司法導(dǎo)向的一次糾偏。

(三)刑事合規(guī)引入的正當(dāng)性:風(fēng)險社會的應(yīng)然要求

首先,刑事合規(guī)制度契合了法人責(zé)任的本質(zhì),構(gòu)建了法人責(zé)任的出罪路徑。我國單位刑事責(zé)任歸屬原則經(jīng)歷了從傳統(tǒng)向現(xiàn)代的轉(zhuǎn)變。傳統(tǒng)罪責(zé)理論主張公司罪責(zé)的從屬性,即以自然人責(zé)任為基礎(chǔ),公司責(zé)任僅為代位責(zé)任?，F(xiàn)代社會,我國刑法已明文規(guī)定了單位犯罪,獨立追究單位犯罪刑事責(zé)任幾無爭議。不過在責(zé)任歸屬原理上學(xué)術(shù)界還存在不同的觀點,例如人格化社會系統(tǒng)責(zé)任論和組織體責(zé)任論。人格化社會系統(tǒng)責(zé)任論[9]是單位自身犯罪論的開先河之論,其主張法人是人格化的社會系統(tǒng),具有獨立的單位整體意志和行為;另外有學(xué)者[10]主張從傳統(tǒng)單位刑事責(zé)任和組織責(zé)任論的視角綜合考慮單位犯罪的主觀要件,即在確定作為單位化身的代表具有犯罪故意同時從企業(yè)自身的組織結(jié)構(gòu)、規(guī)章、政策、宗旨、文化等企業(yè)自身特征來判斷企業(yè)刑事責(zé)任。上述理論雖然側(cè)重點不同,但是都已經(jīng)擺脫了早期以單位成員責(zé)任論證單位責(zé)任的模式,轉(zhuǎn)而將重心放在了單位本身。對此,更有學(xué)者[11]主張“以責(zé)任一體化為目標(biāo),使公司刑事責(zé)任等構(gòu)于自然人刑事責(zé)任”為未來企業(yè)刑事責(zé)任歸責(zé)新方向。上述學(xué)說觀點的共同點都是尊重法人責(zé)任,從組織體自身尋找責(zé)任依據(jù),而刑事合規(guī)制度正是建立在這種認(rèn)知基礎(chǔ)上的產(chǎn)物。

在單位能夠作為獨立于其負(fù)責(zé)人的責(zé)任主體地位的基礎(chǔ)上,網(wǎng)絡(luò)爬蟲技術(shù)刑事合規(guī)管理順應(yīng)了風(fēng)險社會的刑法變遷。風(fēng)險社會一詞源于德國社會學(xué)家烏爾里?！へ惪说摹讹L(fēng)險社會》,意指后工業(yè)社會在創(chuàng)造財富的同時也蘊(yùn)含著巨大的風(fēng)險,其核心在于為滿足民眾的安全需求尋求控制社會風(fēng)險的路徑。網(wǎng)絡(luò)爬蟲技術(shù)亦是如此,在帶來效率和競爭力的同時,給企業(yè)帶來的安全問題也日益凸顯。近年來,爬蟲行為的刑事風(fēng)險日趨擴(kuò)張,爬蟲技術(shù)單位入罪判決日趨遞增,對于一個企業(yè)而言,刑事處罰是致命的:無力承擔(dān)的高額罰金;涉案人員入獄后的企業(yè)運營混亂;信譽(yù)直線降低、企業(yè)形象受損;失信記錄導(dǎo)致企業(yè)融資困難;另外隨著經(jīng)濟(jì)全球化,企業(yè)同時也面臨遭受他國法律制裁的風(fēng)險。特別是在我國疫情之后,一旦涉嫌犯罪,民營企業(yè)面臨著隨時宣告破產(chǎn)的危機(jī),企業(yè)發(fā)展的不安全感進(jìn)一步加劇,而企業(yè)不安感的增加就意味著企業(yè)對風(fēng)險減少的需求增加。也就是說,風(fēng)險社會要求國家尋求一種以預(yù)防風(fēng)險為導(dǎo)向、減少不安感的刑法體系。刑事合規(guī)政策正是順應(yīng)了這種需求。一方面,國家通過刑事法手段,激勵企業(yè)進(jìn)行自我管理,從而降低企業(yè)犯罪的可能性;同時為幫助涉案企業(yè)出罪或減輕罪責(zé)提供了新的通道。另一方面,企業(yè)與國家共同承擔(dān)社會治理的責(zé)任,解決了因犯罪距離、企業(yè)專業(yè)強(qiáng)等原因而導(dǎo)致的國家規(guī)制有限問題,形成國家和企業(yè)合作治理的新局面?？梢哉f,合規(guī)管理是風(fēng)險社會的必然選擇。[12]

四、網(wǎng)絡(luò)爬蟲技術(shù)刑事風(fēng)險及合規(guī)規(guī)則思考

刑事合規(guī)意在通過內(nèi)部控制有效預(yù)防風(fēng)險,而風(fēng)險預(yù)防的前提是風(fēng)險識別,風(fēng)險點的差異決定了合規(guī)規(guī)則制定的差異化。網(wǎng)絡(luò)爬蟲行為存在的刑事風(fēng)險點主要關(guān)涉爬取數(shù)據(jù)內(nèi)容和方式兩方面。

(一)數(shù)據(jù)爬取內(nèi)容存在的刑事風(fēng)險及合規(guī)規(guī)則

1.侵犯個人信息

根據(jù)《刑法》第253條之一的規(guī)定,侵犯公民個人信息罪,是指違反國家有關(guān)規(guī)定,向他人出售、提供公民個人信息,情節(jié)嚴(yán)重的行為,以及竊取或者以其他方法非法獲取公民個人信息的行為。基于罪名內(nèi)涵,網(wǎng)絡(luò)爬蟲行為在個人信息方面存在的風(fēng)險在于其是否屬于“以其他方法非法獲取公民個人信息的行為”。其中的認(rèn)定重點不在于“其他方法”,而在于是否屬于“非法獲取”。因為“其他方法”本身充當(dāng)一個兜底規(guī)定,目的在于為了囊括更多的“非法獲取”公民個人信息行為。而這里的“非法”可以從合法性和行業(yè)規(guī)則兩個層面進(jìn)行理解。一方面,在合法性層面,網(wǎng)絡(luò)爬蟲的使用應(yīng)當(dāng)符合國家法律、行政法規(guī)、部門規(guī)章等有關(guān)收集、處理、利用數(shù)據(jù)信息的規(guī)定。比如,《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第4條中對“以其他方法非法獲取公民個人信息”的補(bǔ)充解釋;《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》第 5 條提出了電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)信息服務(wù)提供者在公民個人信息收集中應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則……其中,最為直接的規(guī)范當(dāng)屬《中華人民共和國個人信息保護(hù)法》(以下簡稱《個人信息保護(hù)法》):(1)《個人信息保護(hù)法》構(gòu)建了以“告知-同意”為核心的個人信息處理規(guī)則,要求企業(yè)在處理個人信息之前應(yīng)履行告知義務(wù)并取得個人同意,個人信息處理的重要事項發(fā)生變更的應(yīng)當(dāng)重新向個人告知并取得同意。同時,《個人信息保護(hù)法》還對敏感信息的收集、向他人提供或公開個人信息、跨境轉(zhuǎn)移個人信息等環(huán)節(jié)作出特別強(qiáng)調(diào),要求處理人單獨征求個人同意和遵循相應(yīng)的告知義務(wù)。(2)生物識別、宗教信仰、行蹤軌跡以及不滿十四周歲未成年人等相關(guān)個人信息被列為敏感的個人信息。只有在具有特定的目的和充分的必要性,并采取嚴(yán)格保護(hù)措施的情形下,企業(yè)才有權(quán)處理以上信息,同時《個人信息保護(hù)法》要求企業(yè)進(jìn)行事前影響評估,并向個人告知處理的必要性以及對個人權(quán)益的影響。這一點企業(yè)在制定合規(guī)規(guī)制的時候應(yīng)該予以關(guān)注。(3)該法還進(jìn)一步強(qiáng)化了個人信息處理者義務(wù),例如要求定期進(jìn)行審計等。另一方面,網(wǎng)絡(luò)爬蟲的使用應(yīng)當(dāng)符合行業(yè)規(guī)則,這里的行業(yè)規(guī)則一般指Robots協(xié)議,即網(wǎng)站經(jīng)營者為限制技術(shù)爬取內(nèi)容而在網(wǎng)站設(shè)置的一個robot.txt文本,如果企業(yè)違背協(xié)議限制強(qiáng)行爬取則可能違反商業(yè)道德,構(gòu)成不正當(dāng)競爭。目前司法實踐中也認(rèn)可了違反行業(yè)協(xié)議的非法性。[13]

就侵犯公民個人信息罪合規(guī)風(fēng)險而言,還有一個問題需要厘清:已公開的個人信息能否納入本罪規(guī)制對象。對于個人自行公開的信息是否能在未經(jīng)告知和許可的情況下采集和使用呢?這一點一直存在爭議。有罪說主張個人信息不等同于個人隱私,未經(jīng)同意擅自獲取和使用均有侵犯個人私生活安寧的可能性;無罪說則認(rèn)為信息一旦公開就意味著“值得刑法保護(hù)的信息”不復(fù)存在了,不宜再用此罪進(jìn)行規(guī)制。筆者認(rèn)為兩種觀點都較為粗放,因此更傾向于認(rèn)同:獲取、提供已公開的個人信息但改變信息公開目的或者用途的成立犯罪。其中,就網(wǎng)絡(luò)爬蟲純粹的抓取行為而言,由于很難判斷他人后來對于該信息的使用目的是否與個人公開其信息時相同,也無法確定信息的用途是否被改變,難以得出行為人侵害被害人法益處分自由的唯一結(jié)論,因此不宜認(rèn)定有罪。[14]針對企業(yè)利用技術(shù)抓取后的提供行為,則需要企業(yè)合乎信息公開者的最初公開目的。

綜上,企業(yè)在未經(jīng)同意或者違反Robots協(xié)議的情況下利用爬蟲技術(shù)過度抓取、提供非公開信息,亦或者是違背公開目的向他人非法提供公開信息時,則有可能構(gòu)成違法行為,從而使企業(yè)陷入侵犯公民個人信息罪的刑事合規(guī)風(fēng)險。 值得注意的是,在未經(jīng)同意的情況下,向他人提供通過合法途徑采集的個人信息不阻礙該罪的成立。為規(guī)避上述風(fēng)險,企業(yè)可以從以下角度構(gòu)建合規(guī)規(guī)則:(1)建立個人信息分類目錄,區(qū)分高風(fēng)險信息和一般信息,進(jìn)行定期監(jiān)督、定期審計。在抓取提供敏感個人信息、利用個人進(jìn)行自動化決策、對外提供或公開個人信息等高風(fēng)險信息時進(jìn)行事前評估,合法履行單獨的告知義務(wù)。(2)對于非公開的個人信息,原則上禁止任何形式的獲取和使用,但企業(yè)征得同意或者有正當(dāng)理由的除外。這里的正當(dāng)理由包括為應(yīng)對突發(fā)公共事件、為公共利益的輿論報道等。(3)對于公開的個人信息,企業(yè)在提供使用時要注意與信息最初公開目的保持一致。(4)一旦接受到信息權(quán)利人關(guān)于停止采取個人信息的通知,企業(yè)應(yīng)立即停止爬取并按照要求完成后續(xù)信息刪除工作。

2.侵犯知識產(chǎn)權(quán)與版權(quán)問題

一般來說,爬蟲技術(shù)侵犯知識產(chǎn)權(quán)最典型的罪名是侵犯著作權(quán)罪。根據(jù)《刑法》第117條規(guī)定,企業(yè)在使用爬蟲技術(shù)時要構(gòu)成該罪,首先需要行為人主觀具有“營利目的”。至于在網(wǎng)絡(luò)著作權(quán)案件中如何認(rèn)定“以營利為目的”目前學(xué)術(shù)界存在不同的觀點。一種觀點認(rèn)為“以營利為目的”這一主觀目的是不同于主觀故意的超出主觀因素,需要進(jìn)行特別證明;另外有觀點認(rèn)為這一犯罪目的僅為刑法規(guī)定的對網(wǎng)絡(luò)著作權(quán)案件的注意規(guī)定,對犯罪行為的違法性沒有實質(zhì)性影響。[15]筆者更認(rèn)同謝焱[16]學(xué)者將侵犯著作權(quán)罪中“以營利為目的”性質(zhì)認(rèn)定為短縮的二行為犯,該認(rèn)定類型源于德日刑法學(xué),意指以實施第二行為為目的的犯罪,但只有第一行為是構(gòu)成要件行為,第二行為不是構(gòu)成要件行為;也就是說短縮的二行為犯承認(rèn)間接故意形態(tài)的目的犯。例如,在北京易查無限信息技術(shù)有限公司、于某犯侵犯著作權(quán)案(4)參見:(2015)浦刑(知)初字第12號。中,盡管辯護(hù)人提出被告單位易查公司僅僅是在進(jìn)行小說轉(zhuǎn)碼業(yè)務(wù)時未盡到相應(yīng)的注意義務(wù),并無作品侵權(quán)的直接故意,但是法院仍然以被告公司負(fù)責(zé)人未對爬蟲技術(shù)進(jìn)行充分了解和審查管理,認(rèn)定其主觀上存在放任的間接故意,從而判定其有罪。因此,目的犯與主觀間接故意并不矛盾,當(dāng)企業(yè)使用爬蟲技術(shù)時存在“放任”危害行為的主觀心態(tài)仍然有涉嫌侵犯著作權(quán)罪的風(fēng)險。另外,客觀上使企業(yè)陷入侵犯著作權(quán)刑事風(fēng)險的行為主要有以下兩種:第一,技術(shù)爬取后的傳播行為。根據(jù)條文規(guī)定,“復(fù)制發(fā)行或者通過信息網(wǎng)絡(luò)向公眾傳播”為最主要的犯罪行為。一般來說,該罪名一般針對的是企業(yè)利用技術(shù)爬取數(shù)據(jù)后的傳播行為,而非純粹的爬取行為。但有學(xué)者指出,“復(fù)制發(fā)行”既包括復(fù)制或發(fā)行也包括復(fù)制和發(fā)行,純粹的爬取行為也有可能涉嫌刑事風(fēng)險。不過值得注意的是,“復(fù)制”行為的本質(zhì)是侵犯原生作品的核心內(nèi)容,導(dǎo)致第三人難以區(qū)分,往往指作品實體層面的數(shù)量增加,而單獨的爬取行為一般存在于虛擬空間,為從無到有的增加。因此,將虛擬空間的爬取行為認(rèn)定為“復(fù)制”是不準(zhǔn)確的。[17]目前實務(wù)中也不存在僅對技術(shù)爬取行為進(jìn)行刑法規(guī)制的案例。第二,特別的技術(shù)爬取行為?！缎谭ā返?17條第6款規(guī)定了爬取行為的特殊情形:當(dāng)企業(yè)在使用爬蟲技術(shù)時存在“故意避開或者破壞權(quán)利人為其作品、錄音錄像制品等采取的保護(hù)著作權(quán)或者與著作權(quán)有關(guān)的權(quán)利的技術(shù)措施的”情形的,仍然涉嫌著作權(quán)的侵犯。

綜上,企業(yè)以營利為目的,未經(jīng)作品著作權(quán)人許可故意或者放任爬蟲技術(shù)抓取文字、音像、計算機(jī)軟件等作品后進(jìn)行不法發(fā)行,或者繞開作品管理者設(shè)置的反爬蟲措施進(jìn)行不當(dāng)爬取,給他人造成較大損失或者其他嚴(yán)重情形的,則可能陷入侵犯著作權(quán)罪的風(fēng)險。為規(guī)避該風(fēng)險,企業(yè)可以從以下角度構(gòu)建合規(guī)規(guī)則:(1)企業(yè)應(yīng)事前充分了解爬蟲技術(shù)的技術(shù)原理,并對技術(shù)抓取范圍、抓取內(nèi)容、抓取形式等信息進(jìn)行合理審查,避免企業(yè)技術(shù)濫用。(2)企業(yè)在利用爬蟲技術(shù)抓取視頻、圖片等可能被認(rèn)定為作品的內(nèi)容時應(yīng)保持謹(jǐn)慎態(tài)度,嚴(yán)格遵守網(wǎng)站設(shè)置的Robots協(xié)議,不得試圖繞開或突破平臺設(shè)置的任何反爬蟲措施。

(二)數(shù)據(jù)爬取方式存在的刑事風(fēng)險及合規(guī)規(guī)則

1.數(shù)據(jù)爬取違背數(shù)據(jù)管理者意愿

為防止網(wǎng)頁數(shù)據(jù)被爬取,網(wǎng)站管理者往往會采取一些反爬蟲措施。比較常見的就是在網(wǎng)站設(shè)置robot.txt文本對爬蟲爬取的內(nèi)容和范圍進(jìn)行限制,這也是業(yè)界判斷技術(shù)行為是否經(jīng)過授權(quán)的標(biāo)準(zhǔn)之一。一旦爬取行為未經(jīng)授權(quán),企業(yè)將可能面臨相應(yīng)的法律風(fēng)險。在刑法層面,涉及的罪名之一有非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪。根據(jù)《刑法》第285條規(guī)定,能否構(gòu)成上述罪名,核心在于:第一,企業(yè)是否獲得合法授權(quán)。目前,學(xué)術(shù)界對于網(wǎng)絡(luò)爬蟲技術(shù)的授權(quán)界定仍然存在爭議,大體分為以Robots協(xié)議為主的技術(shù)性界定方法和依據(jù)場景化的利益衡量原則進(jìn)行違法界定兩種方式。不過目前司法實務(wù)界更傾向于采用通過Robots協(xié)議來判斷爬蟲程序是否獲得了網(wǎng)站的授權(quán)。例如法院在百度公司訴 360案(5)參見:(2013)一中民初字第 2668 號。中指出,Robots 協(xié)議作為互聯(lián)網(wǎng)行業(yè)內(nèi)普遍遵守的技術(shù)規(guī)范以及公認(rèn)的商業(yè)道德,應(yīng)該能得到充分尊重。如果企業(yè)沒有遵守網(wǎng)站經(jīng)營者的 Robots 協(xié)議,其行為明顯不當(dāng),應(yīng)當(dāng)承擔(dān)相應(yīng)的不利后果。第二,技術(shù)爬取行為能否認(rèn)定為“侵入”計算機(jī)。首先,在《中華人民共和國刑法釋義》一書中“侵入”是指通過技術(shù)手段進(jìn)入計算機(jī)信息系統(tǒng)[18]。雖然這里將侵入行為限定為“技術(shù)手段”,但是司法實務(wù)中出現(xiàn)了被認(rèn)定為“侵入”的特殊情形:單位內(nèi)部人員將計算機(jī)信息系統(tǒng)的用戶名和密碼告知外部人員,由外部人員多次通過互聯(lián)網(wǎng)登錄單位計算機(jī)信息系統(tǒng)而獲取數(shù)據(jù)的案件。顯然上述行為雖不存在任何技術(shù)手段,但是與利用技術(shù)手段暴力侵入系統(tǒng)帶來的法益侵害無異,因此,在理解“侵入”行為時不應(yīng)僅限定為采取技術(shù)手段進(jìn)入,也包括未征得他人同意或者授權(quán)進(jìn)入。第三,公開信息是否能夠被爬取。一直以來為保障數(shù)據(jù)共享和流通,公開數(shù)據(jù)作為公共產(chǎn)品不宜在法律層面過度干預(yù),但是在“晟品公司”非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪中出現(xiàn)了將公開信息認(rèn)定為違法的情況。因此有學(xué)者認(rèn)為上述罪名保護(hù)法益為數(shù)據(jù)安全,而數(shù)據(jù)不等同于信息,它包含信息和數(shù)據(jù)冗余兩部分,并不會因信息部分公開而喪失秘密性。雖然目前學(xué)術(shù)界對此觀點不一,但是筆者認(rèn)為對于風(fēng)險,企業(yè)最好“寧可信其有,不可信其無”,在構(gòu)建合規(guī)規(guī)則時應(yīng)秉持更加審慎的態(tài)度。[19]該罪名與前文提及的侵犯公民個人信息罪和侵犯著作權(quán)罪類似,基于非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪在網(wǎng)絡(luò)犯罪領(lǐng)域的“口袋化”適用趨勢[20],罪名之間在司法實踐中常常競合適用。而兜底罪名入罪門檻相對低,企業(yè)在制定合規(guī)準(zhǔn)則時應(yīng)以此為最低參照標(biāo)準(zhǔn)。

另外,當(dāng)企業(yè)數(shù)據(jù)抓取行為違反數(shù)據(jù)管理者意愿時還可能構(gòu)成非法侵入計算機(jī)信息系統(tǒng)罪,不過這里的數(shù)據(jù)管理者為國家。該罪系行為犯,如果企業(yè)使用爬蟲技術(shù),一旦非法進(jìn)入國家事務(wù)、國防建設(shè)、尖端科學(xué)技術(shù)領(lǐng)域的計算機(jī)信息系統(tǒng)即構(gòu)成非法侵入計算機(jī)信息系統(tǒng)罪。另外,法條所指的“國家事務(wù)”應(yīng)當(dāng)從嚴(yán)理解,不應(yīng)該將某些地方權(quán)力機(jī)關(guān)的政務(wù)公開系統(tǒng)或者網(wǎng)絡(luò)辦公系統(tǒng)一律涵蓋在內(nèi)。[21]綜上,企業(yè)的合規(guī)規(guī)則可制定為:(1)原則上,企業(yè)應(yīng)當(dāng)禁止爬蟲技術(shù)訪問國家數(shù)據(jù)系統(tǒng)或網(wǎng)頁,更不得對涉密國家事務(wù)、國防建設(shè)、尖端科學(xué)技術(shù)領(lǐng)域的網(wǎng)站和計算機(jī)信息系統(tǒng)進(jìn)行爬取;(2)即使是訪問普通數(shù)據(jù)系統(tǒng)或網(wǎng)站,企業(yè)也應(yīng)當(dāng)在Robots協(xié)議的限制或者數(shù)據(jù)管理者的同意下使用爬蟲技術(shù)。

2.擾亂網(wǎng)站服務(wù)器的正常運行

當(dāng)企業(yè)利用爬蟲技術(shù)抓取數(shù)據(jù)過分追求效率時,容易導(dǎo)致被訪問的網(wǎng)站或系統(tǒng)陷入癱瘓、無法正常運營,從而使企業(yè)陷入構(gòu)成破壞計算機(jī)信息系統(tǒng)罪的風(fēng)險。從保護(hù)法益來看,該罪的法益為計算機(jī)信息系統(tǒng)的正常運行,屬于個體法益,而非社會秩序法益。[22]從實行行為來看,根據(jù)《刑法》第286條之規(guī)定,爬蟲技術(shù)應(yīng)用構(gòu)成該罪名主要在于其對計算機(jī)的破壞性訪問,這里的破壞性訪問既包括惡意大量訪問嚴(yán)重干擾計算機(jī)信息系統(tǒng)功能,也包括任意刪除、修改計算機(jī)信息系統(tǒng)數(shù)據(jù)行為。首先,網(wǎng)絡(luò)服務(wù)器承載力有限,若網(wǎng)絡(luò)爬蟲頻繁大規(guī)模進(jìn)行訪問,會大量占用服務(wù)器的帶寬和運算能力,影響正常的網(wǎng)絡(luò)服務(wù),干擾計算機(jī)信息系統(tǒng)正常運行,甚至導(dǎo)致網(wǎng)站崩潰。例如在楊某某、張某某破壞計算機(jī)信息系統(tǒng)一案(6)參見:(2019)粵0305刑初193號。中,嫌疑人利用自己開發(fā)的爬蟲軟件對居住證服務(wù)平臺進(jìn)行大量訪問,造成服務(wù)器阻塞,居住證系統(tǒng)不能正常運行,依法被法院認(rèn)定有罪。另外,單位在使用爬蟲技術(shù)時惡意刪除計算機(jī)系統(tǒng)中的數(shù)據(jù),甚至刪除信息系統(tǒng)功能,后果嚴(yán)重或造成系統(tǒng)不能正常運行的,亦構(gòu)成破壞計算機(jī)信息系統(tǒng)罪。從罪量要素來看,破壞計算機(jī)信息系統(tǒng)數(shù)據(jù)罪系情節(jié)犯,即要求“后果嚴(yán)重”。根據(jù)最高人民法院、最高人民檢察院《關(guān)于辦理危害計算機(jī)信息系統(tǒng)安全刑事案件應(yīng)用法律若干問題的解釋》,該情節(jié)的認(rèn)定主要包括以下五個維度:其一,破壞計算機(jī)信息系統(tǒng)的數(shù)量;其二,違法所得數(shù)額;其三,經(jīng)濟(jì)損失數(shù)額;其四,破壞重要計算機(jī)信息系統(tǒng)的時間;其五,兜底條款。其中,適用較多的標(biāo)準(zhǔn)當(dāng)屬違法所得數(shù)額和經(jīng)濟(jì)損失數(shù)額。

綜上,爬蟲技術(shù)即便爬取公開數(shù)據(jù)也可能因其對計算機(jī)系統(tǒng)造成“破壞”而入罪。因此,企業(yè)在構(gòu)建爬蟲技術(shù)合規(guī)方案時也應(yīng)充分考慮技術(shù)程序本身合規(guī)的問題。為規(guī)避上述風(fēng)險,企業(yè)可以從以下角度構(gòu)建合規(guī)規(guī)則:(1)充分尊重平臺設(shè)置的Robots協(xié)議,優(yōu)化爬蟲代碼,合理設(shè)置訪問頻率,避免網(wǎng)絡(luò)爬蟲程序給網(wǎng)站帶來過重負(fù)擔(dān)。(2)在必要時,企業(yè)可以在獲得相關(guān)許可和遵守數(shù)據(jù)保護(hù)法律規(guī)定的情況下設(shè)置代理IP池,但是不得違反合法的使用目的和方式。

五、結(jié)語

作為重要的數(shù)據(jù)抓取工具,爬蟲技術(shù)的廣泛應(yīng)用對企業(yè)來說既是機(jī)遇也是風(fēng)險。雖然技術(shù)本身價值中立,但是惡意使用行為使得個人信息安全、作品知識產(chǎn)權(quán)、網(wǎng)絡(luò)空間的秩序穩(wěn)定狀態(tài)隱患重疊,單位犯罪屢屢發(fā)生。面對新興技術(shù)引發(fā)的犯罪局面,傳統(tǒng)刑法以懲罰為慣性,這與我國支持民營經(jīng)濟(jì)發(fā)展的政策無法保持同頻。因而,應(yīng)對網(wǎng)絡(luò)爬蟲技術(shù)犯罪刑法體系理當(dāng)主動進(jìn)行理念轉(zhuǎn)變,轉(zhuǎn)而向預(yù)防導(dǎo)向靠攏,滿足現(xiàn)實需求。刑事合規(guī)制度作為企業(yè)風(fēng)險預(yù)防的新制度,能“治未病”也能“治已病”,是對現(xiàn)有司法實踐爬蟲技術(shù)規(guī)制誤區(qū)的一次有效糾正。是故,將刑事合規(guī)制度引入爬蟲技術(shù)法律規(guī)制,能實現(xiàn)國家治理模式轉(zhuǎn)型的同時,亦有益于實現(xiàn)企業(yè)數(shù)字經(jīng)濟(jì)健康發(fā)展和網(wǎng)絡(luò)空間治理的平衡。雖然目前我國相關(guān)制度尚在探索,但是我們有理由相信,未來只要國家和企業(yè)共同努力,高質(zhì)量、精細(xì)化的數(shù)據(jù)合規(guī)工作必將進(jìn)一步為現(xiàn)代企業(yè)的發(fā)展賦能、增色。