數(shù)據(jù)玩得溜，牢飯吃個夠?怎么回事？

 2019 年 9 月以來，多家知名公司相關(guān)人員被抓或被調(diào)查，這些機構(gòu)均涉及大數(shù)據(jù)風(fēng)控業(yè)務(wù)和爬蟲技術(shù)的應(yīng)用。爬蟲技術(shù)違規(guī)嗎?開展業(yè)務(wù)到底存在哪些風(fēng)險點?由此，大數(shù)據(jù)業(yè)務(wù)的合規(guī)合法問題、爬蟲技術(shù)的合理應(yīng)用問題，引起了大數(shù)據(jù)和金融科技行業(yè)的特別重視。近日，在一本學(xué)院的風(fēng)控與助貸業(yè)務(wù)課堂上，上海瀛東律師事務(wù)所的高級合伙人及管理委員會成員冉晉律師，特別就大數(shù)據(jù)行業(yè)的合規(guī)合法問題進行了深入解讀。以下為部分內(nèi)容整理。

" 爬蟲 " 本中立，數(shù)據(jù)應(yīng)保護

一、公民個人信息不可侵犯

現(xiàn)在國家對數(shù)據(jù)行業(yè)和數(shù)據(jù)相關(guān)業(yè)務(wù)的整頓非常嚴(yán)厲。最近有這樣一個案例：X 公司是某快遞公司的分包服務(wù)商，可以登錄該快遞公司的后臺查詢快遞信息。X 公司的一名員工自行開發(fā)了一個爬蟲軟件，利用這家快遞公司給的權(quán)限密碼登錄后臺系統(tǒng)，抓取了后臺 25 萬條用戶信息。

這個案件被發(fā)現(xiàn)后，開發(fā)爬蟲軟件的員工被定為主犯抓捕，公司法人被定為從犯一起抓捕。公司法人沒有參與這件事，不是第一責(zé)任人，但仍然是責(zé)任關(guān)系方。從判刑上來看，主犯是 3-7 年量刑，從犯是 1-2 年量刑。可見，數(shù)據(jù)安全的問題是涉及全行業(yè)的，不僅限于金融科技領(lǐng)域。

二、爬蟲技術(shù)只是中立的工具

最近被查的大數(shù)據(jù)風(fēng)控機構(gòu)，都涉及爬蟲技術(shù)。一時間，網(wǎng)絡(luò)爬蟲技術(shù)被推到了風(fēng)口浪尖。

在大數(shù)據(jù)行業(yè)內(nèi)被廣泛使用的網(wǎng)絡(luò)爬蟲技術(shù)，到底是什么呢?其實，網(wǎng)絡(luò)爬蟲，是互聯(lián)網(wǎng)時代被普遍運用的一項網(wǎng)絡(luò)信息搜集技術(shù)。該項技術(shù)最早應(yīng)用于搜索引擎領(lǐng)域，是搜索引擎獲取數(shù)據(jù)來源的支撐性技術(shù)之一。簡單來說，它包含三個步驟：采集信息、數(shù)據(jù)存儲和信息提取。" 爬蟲 " 作為一種計算機技術(shù)，理論上來說具有技術(shù)中立性，在法律上也從未被明令禁止。它不像計算機病毒，計算機病毒本身就是負面的、破壞性的，而爬蟲是中立的。

那么使用爬蟲技術(shù)有什么風(fēng)險呢?如果在獲取數(shù)據(jù)的過程中，無法甄別哪些數(shù)據(jù)可以爬取，哪些數(shù)據(jù)禁止爬取，甚至為爬取數(shù)據(jù)而破解被爬服務(wù)器的防護措施，或者破壞被爬服務(wù)器的信息系統(tǒng)，就會觸及監(jiān)管紅線。

數(shù)據(jù)爬蟲主要涉及的三類罪名

對爬蟲技術(shù)應(yīng)用不當(dāng)?shù)钠髽I(yè)，可能涉及的罪名有三個：

一、侵犯公民個人信息罪

1. 爬取的數(shù)據(jù)信息屬于公民個人信息范疇

公民個人信息，是指以電子或者其他方式記錄的，能夠單獨或者與其他信息結(jié)合識別特定自然人身份，或者反映特定自然人活動情況的各種信息，包括姓名、身份證件號碼、通信通訊聯(lián)系方式、住址、賬號密碼、財產(chǎn)狀況、行蹤軌跡等。

2. 利用爬蟲技術(shù)獲取的公民個人信息為非法獲取的

利用爬蟲技術(shù)收集公民個人信息數(shù)據(jù)，應(yīng)當(dāng)獲得被收集人的同意，尤其是在數(shù)據(jù)中包含身份證號、信用信息等敏感數(shù)據(jù)的情況下，還需要獲得明示同意。同時，利用網(wǎng)絡(luò)漏洞非法下載、非法購買等行為，都屬于 " 非法獲取 " 公民個人信息。

3. 非法獲取公民個人信息達到 " 情節(jié)嚴(yán)重 " 以上的標(biāo)準(zhǔn)

非法獲取、出售或者提供行蹤軌跡信息、通信內(nèi)容、征信信息、財產(chǎn)信息五十條以上，非法獲取、出售或者提供住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產(chǎn)安全的公民個人信息五百條以上，非法獲取、出售或者提供上述規(guī)定以外的公民個人信息五千條以上，都屬于 " 情節(jié)嚴(yán)重 "。

4. 相關(guān)法律依據(jù)：《刑法》第 253 條

【侵犯公民個人信息罪】違反國家有關(guān)規(guī)定，向他人出售或者提供公民個人信息，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金;情節(jié)特別嚴(yán)重的，處三年以上七年以下有期徒刑，并處罰金。

違反國家有關(guān)規(guī)定，將在履行職責(zé)或者提供服務(wù)過程中獲得的公民個人信息，出售或者提供給他人的，依照前款的規(guī)定從重處罰。

竊取或者以其他方法非法獲取公民個人信息的，依照第一款的規(guī)定處罰。

單位犯前三款罪的，對單位判處罰金，并對其直接負責(zé)的主管人員和其他直接責(zé)任人員，依照該款的規(guī)定處罰。

合規(guī)建議：

利用爬蟲技術(shù)獲取公民個人信息的，應(yīng)該嚴(yán)格遵守相關(guān)法律、行政法規(guī)、部門規(guī)章的規(guī)定，否則極易落入 " 非法獲取 " 公民個人信息的法律風(fēng)險范疇。

此外，關(guān)于在公民個人信息已合法公開的情況下，利用爬蟲技術(shù)對其進行抓取是否構(gòu)成非法獲取這一問題，暫時沒有明確答案，但《民法典人格權(quán)編》(草案三次審議稿)第 816 條寫到：行為人收集、處理自然人自行公開的或者其他已經(jīng)合法公開的信息不承擔(dān)民事責(zé)任，但是該自然人明確拒絕或者處理該信息侵害其重大利益的除外。從立法走向上來判斷，收集已合法公開的個人信息應(yīng)不屬于違法，但在立法尚不完善的階段，仍建議謹(jǐn)慎使用爬蟲技術(shù)抓取公開的個人信息。

二、構(gòu)成非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪

1.利用爬蟲技術(shù)侵入計算機信息系統(tǒng)獲取數(shù)據(jù)，或采用其他技術(shù)手段獲取計算機信息系統(tǒng)數(shù)據(jù)

任何組織或個人不得危害計算機信息系統(tǒng)安全;不得破壞計算機及其相關(guān)的配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))安全，破壞其運行環(huán)境安全、信息安全，影響其功能正常發(fā)揮。因此企業(yè)若在爬取數(shù)據(jù)時，存在危害計算機信息系統(tǒng)安全的行為，包括破解被爬企業(yè)的防抓取措施、加密算法、技術(shù)保護措施等，則很有可能被認定為 " 侵入或以其他技術(shù)手段獲取計算機信息系統(tǒng)數(shù)據(jù) "。

2.非法獲取計算機信息系統(tǒng)數(shù)據(jù)達到 " 情節(jié)嚴(yán)重 " 以上的標(biāo)準(zhǔn)

獲取支付結(jié)算、證券交易、期貨交易等網(wǎng)絡(luò)金融服務(wù)的身份認證信息十組以上，或獲取其他的身份認證信息五百組以上的，均屬于 " 情節(jié)嚴(yán)重 "。

3. 相關(guān)法律依據(jù)：《刑法》第 285 條

【非法侵入計算機信息系統(tǒng)罪】違反國家規(guī)定，侵入國家事務(wù)、國防建設(shè)、尖端科學(xué)技術(shù)領(lǐng)域的計算機信息系統(tǒng)的，處三年以下有期徒刑或者拘役。

【非法獲取計算機信息系統(tǒng)數(shù)據(jù)、非法控制計算機信息系統(tǒng)罪】違反國家規(guī)定，侵入前款規(guī)定以外的計算機信息系統(tǒng)或者采用其他技術(shù)手段，獲取該計算機信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)，或者對該計算機信息系統(tǒng)實施非法控制，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金;情節(jié)特別嚴(yán)重的，處三年以上七年以下有期徒刑，并處罰金。

【提供侵入、非法控制計算機信息系統(tǒng)程序、工具罪】提供專門用于侵入、非法控制計算機信息系統(tǒng)的程序、工具，或者明知他人實施侵入、非法控制計算機信息系統(tǒng)的違法犯罪行為，而為其提供程序、工具，情節(jié)嚴(yán)重的，依照前款的規(guī)定處罰。

單位犯前三款罪的，對單位判處罰金，并對其直接負責(zé)的主管人員和其他直接責(zé)任人員，依照該款的規(guī)定處罰。

合規(guī)建議：

嚴(yán)格禁止通過技術(shù)手段繞過服務(wù)器的訪問限制，或破解被爬網(wǎng)站為保護數(shù)據(jù)而采取的加密算法及技術(shù)保護措施，從而對被爬網(wǎng)站受保護的計算機信息系統(tǒng)中的數(shù)據(jù)進行爬取。

若被爬網(wǎng)站設(shè)定了獲取數(shù)據(jù)信息的措施(包括實名認證、賬號密碼、內(nèi)部權(quán)限等)，爬蟲企業(yè)應(yīng)避免通過偽造實名認證或竊取賬號密碼、內(nèi)部權(quán)限的形式獲取數(shù)據(jù)。

避免或謹(jǐn)慎抓取身份認證信息(網(wǎng)絡(luò)金融服務(wù)的身份信息 10 組 / 其他身份認證信息 500 組)。

三、非法侵入計算機信息系統(tǒng)罪

1. 提供數(shù)據(jù)信息的網(wǎng)站為國家事務(wù)、國防建設(shè)、尖端科學(xué)技術(shù)領(lǐng)域的計算機信息系統(tǒng);

高頻使用的網(wǎng)站，如 " 國家企業(yè)信用信息公示系統(tǒng) "" 中國裁判文書網(wǎng) "" 中國執(zhí)行信息公開網(wǎng) " 以及各地政府網(wǎng)站等，都屬于 " 國家事務(wù) " 網(wǎng)站的法律范疇內(nèi)。

2.對計算機信息系統(tǒng)具有侵入行為

(1)只要有侵入行為，而不論侵入行為的結(jié)果。

(2)目前司法解釋未對 " 侵入 " 進行具體的定義，但一般法院在認定上主要有兩種方式：1)以非法手段登錄網(wǎng)站，獲取原本不該有權(quán)限獲取的數(shù)據(jù)信息;2)將惡意程序、非法文件等發(fā)送至網(wǎng)站，對網(wǎng)站的正常運行產(chǎn)生影響。

(3)在爬取此類網(wǎng)站的公開數(shù)據(jù)時，不存在 " 侵入 " 計算機信息系統(tǒng)的情形。但當(dāng)批量爬取數(shù)據(jù)信息時，需特別關(guān)注是否會對網(wǎng)站的正常運行產(chǎn)生影響，切不可逾越紅線。

今年曾有報道稱，裁判文書網(wǎng)數(shù)據(jù)被爬取后標(biāo)價售賣。由于裁判文書網(wǎng)被很多技術(shù)公司通過爬蟲系統(tǒng)無限制并發(fā)訪問獲取數(shù)據(jù)，造成網(wǎng)站負荷過大，正常用戶無法訪問。最高人民法院發(fā)文稱，為了對抗爬蟲技術(shù)，更好地確保正常用戶訪問性能，相關(guān)方面已采取多種方式，包括驗證碼技術(shù)等，防止爬蟲功能。對大數(shù)據(jù)公司，特別是大數(shù)據(jù)風(fēng)控企業(yè)來說，獲取 " 裁判文書網(wǎng) "" 執(zhí)行信息公開網(wǎng) " 的數(shù)據(jù)非常普遍且重要，但爬取這類國家事務(wù)網(wǎng)站的信息時應(yīng)當(dāng)尤為審慎，特別是在網(wǎng)站已采取相關(guān) " 反爬措施 " 的情況下，仍強行惡意突破防護措施爬取數(shù)據(jù)，對網(wǎng)站運行造成影響的，均可能構(gòu)成本罪。除上述法律風(fēng)險以外，利用爬蟲技術(shù)手段還可能產(chǎn)生構(gòu)成不正當(dāng)競爭、侵犯信息網(wǎng)絡(luò)傳播權(quán)等法律風(fēng)險。