• <fieldset id="82iqi"></fieldset>
    <tfoot id="82iqi"><input id="82iqi"></input></tfoot>
  • 
<abbr id="82iqi"></abbr><strike id="82iqi"></strike>
    • 

        
    
      
    
        
        
        
      
    
      
    
        
    
      
    
        
    
          
    
            
    
              您的位置:首頁 > 智能 >             
    
            
    
              
    
                
    網絡爬蟲涉及侵犯公民個人信息罪之風險探析
    
                
    
                  來源:36氪
                  ?
                  2021-12-18 19:34:23
                
    
              
    
              
    
			  
                
    本文分析了網絡爬蟲引發侵犯公民個人信息罪之刑事風險產生的具體原因、存在的爭議,并提出風險防范思路。
    作者 | 鄒雯張翰雄己任律師事務所
    編輯| 布魯斯
    【摘要】
    探析網絡爬蟲的刑事風險可從網絡爬蟲技術的自身特性、數據所處互聯網環境的復雜性、入罪依據的多元性以及法律規范的模糊性等多重維度來考量。本文對網絡爬蟲引發侵犯公民個人信息罪之刑事風險產生的具體原因、存在的爭議進行分析,并提出了相應的風險防范思路。
    網絡爬蟲是一種高度自動化獲取并存儲網絡數據的互聯網技術,得到了廣泛應用。關于如何有效防范網絡爬蟲的刑事風險,合規實施網絡爬蟲技術,也引發了法律和技術界的關注和廣泛討論。本文結合法律規定、最新個案和相關實踐,對網絡數據爬取涉及侵犯公民個人信息罪的刑事風險進行分析,并提出相應的防范思路。
    一、侵犯公民個人信息罪的構成要件和定罪量刑標準概述
    根據《刑法》及其相關司法解釋,并結合個人信息保護相關法律法規、部門規章、相關國家標準和司法實踐,在數據獲取和使用情景下,構成侵犯公民個人信息罪的核心構成要件有四:
    其一,竊取、非法獲取或提供、出售給他人的信息屬于“公民個人信息”,即“能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況”的數據信息;
    其二,行為必須“違反國家有關規定”,包括法律、行政法規、部門規章;
    其三,“提供給他人”中的“提供”,既包括向特定人提供,也包括通過信息網絡或者其他途徑發布;
    其四,獲取公民個人信息的行為屬于“竊取或者以其他非法方法獲取”,其中“其他非法方法獲取”包括違反法律、行政法規、部門規章的購買、收受、交換、收集等行為。
    關于侵犯公民個人信息罪的定罪量刑標準,《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(法釋〔2017〕10號,以下簡稱“2017年司法解釋”)第五條、第六條對此進行了詳細規定,此處不再贅述。
    二、網絡爬蟲涉侵犯公民個人信息罪之風險分析
    實施網絡爬蟲技術涉及侵犯公民個人信息罪的風險,主要源自以下四個方面。
    其一,網絡爬蟲技術自身所具有的技術特性和能力,以及為了實施網絡爬蟲技術而使用的其他技術手段,使數據爬取行為的獲罪風險較高。
    從數量和速度上看,網絡爬蟲可以在短時間內獲取大量數據,使得在數量規模上容易達到入罪標準。實踐中,多數利用爬蟲技術,非法獲取公民個人信息,構成侵犯公民個人信息罪的案例,涉案個人信息條數都極高,往往達到十余萬、數十萬乃至百萬級別。
    從技術手段上看,雖然爬蟲技術一般是中性的,但為了實現爬蟲而實施的其他技術手段則可能是具有侵入性的,在特定場景下會直接影響數據獲取行為的定性。由于網絡爬蟲具有短時間、大批量獲取數據的能力,而獲取數據實際上就是向存儲數據的服務器發送數據請求,并接收服務器響應的數據的過程,因此服務器為了節省流量和保護對數據的控制,往往會采取反爬措施,致使數據爬取失敗。此時,為了成功爬取數據,網絡爬蟲程序的編寫和運行者往往會采取具有侵入性的、能夠繞過或突破服務器反爬措施的技術手段,繼續獲取數據。由此,獲取個人信息數據行為的手段可能具有非法性,同時還會影響司法對于“個人信息是否屬于個人自行公開或者被合法公開”的判斷,最終容易導致爬取行為構成犯罪。
    例如,最高檢《檢察機關辦理侵犯公民個人信息案件指引》在有關“竊取或以其他非法方法獲取公民個人信息的證據審查”的規定中,將侵入信息網絡、數據庫時的IP地址、MAC地址、侵入工具、侵入痕跡等作為主要的證據類型。
    又如,在《人民法院報》2018年6月21日刊登的《公民個人信息刑法保護的例外》一文中[1],二審深圳中院將案件發回重審的主要理由在于,雖然企業公開信息中的自然人信息不受刑法保護,但是如果被告人獲取自然人信息所使用的軟件功能存在非法侵入、竊取功能,則表明行為人收集的自然人姓名及聯系方式可能是竊取得來。在被告人辯稱軟件只能獲取公開信息的情況下,相關事實不清,因而撤銷原判,發回重審。
    同時,數個判例也認定采取侵入手段實施爬取的行為構成“非法獲取公民個人信息”。例如,利用釣魚鏈接獲取電商平臺商家賬號進入商家后臺獲取數據[2]、在電商平臺頁面植入url獲取用戶cookie進而獲取個人信息數據[3]、使用黑客軟件侵入郵局內部系統獲取個人信息數據[4]、利用網站漏洞進入網站后臺爬取數據等[5]。
    事實上,網絡爬蟲、反爬蟲和反反爬蟲,其實是互聯網行業中非常普遍的“技術攻防”行為,而這種技術層面上的普遍性無疑也暗含著實施網絡爬蟲觸犯公民個人信息罪的較大風險。在涉及網絡爬蟲的非法獲取計算機信息系統數據罪案例中,許多案例中數據獲取的非法性,都在于爬取數據時使用了各種對抗反爬取措施的技術手段,最終被認定為構成繞過或突破計算機安全保護措施的行為。考慮到各大網站平臺對個人信息保護的程度和方式都在不斷提高和豐富,以個人信息為目標的數據爬取,很可能經常必須采取具有侵入性質的技術手段,從而導致涉嫌侵犯公民個人信息罪的風險隨之提升。
    其二,個人信息數據和網絡安全法律規范眾多,導致對于不同場景下的數據爬取行為和使用行為是否具有刑事違法性不易判斷,增加了對數據爬取和使用行為的刑事風險進行控制的難度。
    無論是爬取公民個人信息,還是使用爬取的公民個人信息,構成刑事犯罪的前提都必須是“違反國家有關規定”,即2017年《司法解釋》第二條所明確的“法律、行政法規、部門規章有關公民個人信息保護的規定”。然而,無論是“法律、行政法規、部門規章”的范圍,還是“有關個人信息保護”的范圍,都比較寬泛,客觀上為入罪提供了更多依據,同時也增加了識別和防范刑事風險的難度。
    例如,關于爬取公開個人信息的問題,根據《個人信息保護法》第十三條、第二十七條和《民法典》第一千零三十六條均規定,合理處理個人自行公開的或者其他已經合法公開的信息,除非個人明確拒絕或侵害個人重大利益,否則無需取得個人同意,也不承擔民事責任。因而爬取公開個人信息的行為似乎更不應認為具有刑事不法性,實踐中也有檢察機關據此建議公安撤案的報道[6]。但是,《網絡安全法》第二十七條又同時規定,“任何個人和組織不得從事非法侵入他人網絡、干擾他人網絡正常功能、竊取網絡數據等危害網絡安全的活動”。同時,《個人信息保護法》第六條第二款也規定,“收集個人信息,應當限于實現處理目的的最小范圍,不得過度收集個人信息”。那么,雖然爬取的是公開個人信息,但如果使用了具有侵入性的手段,或者數量過大、目的具有不正當性,是否一定不構成刑事犯罪,可能依然存在討論的空間。
    此外,相關法律法規自身條文規定的模糊性,進一步增加了防范刑事風險的難度。例如,如何判斷前述《民法典》和《個人信息保護法》規定中的“合理處理”和“侵害個人重大利益”、“對個人利益有重大影響”,目前缺乏明確依據。此外《個人信息保護法》第六條還規定了處理個人信息數據應當具有“明確、合理的目的”,收集個人信息“應當限于實現處理目的的最小范圍”。這些規定都對爬取和使用個人信息數據的行為定性有直接影響,可以成為入罪的重要依據,但具體衡量標準卻仍然欠明確。這無疑也會使防范爬取數據刑事風險的難度加大,同時導致爬取和使用數據行為的刑事風險提高。
    其三,在復雜的網絡環境下,個人信息數據在不同的范圍、以不同的形態和方式傳輸、存儲和展示,使不同場景下的數據爬取和爬取后的使用行為的定性問題高度復雜,進而導致防范數據爬取行為風險的難度進一步提升。
    在復雜的互聯網環境中,信息數據的自身形態、傳輸方式、存儲方式,在不同場景中可能存在較大差異。例如,在瀏覽器、手機APP等廣義上的“用戶端”的頁面上展示出來的個人信息,一般是以文字、圖片、音視頻等可視、可讀狀態存在的。但在用戶端頁面的網頁源代碼、APP軟件后臺,以及各種API數據接口中以數據形態存在的個人信息,雖然最終是公開展示的,但用戶難以實際接觸,即便實際接觸也不可讀,只有專業技術人員方可瀏覽、理解和使用(如使用抓包軟件或其他網絡測試工具等)。另外,有些個人信息是只有取得相應權限,或在特定環境中才能查看或獲取的,例如有些個人信息數據僅可在局域網查看或獲取,有些則需要在企事業單位的內網環境中才能查看或獲取,有些個人信息存儲于網盤或者云文檔中,通過鏈接或提取密碼供特定或不特定主體在不同時效內查看和獲取,有些權限高的用戶可以查看和獲取數據,而有些權限低的用戶只能查看不能獲取。這些諸多復雜情景,都使得對爬取個人信息行為的定性難度和爭議程度大大提高。
    從一些公開生效判決中,可以發現,在一些特定場景下,法院對于個人信息的公開場合、公開狀態、行為人瀏覽和獲取數據的權限等問題的認識可能存在差異,導致案件結論迥異。
    例如,對于公司員工爬取在公司內網上存儲的個人信息的行為,不同法院則持有不同觀點。在余某某侵犯公民個人信息罪一案中[7],法院認定,在公司不提供全員通訊錄,員工不可能一目了然地獲取數據,且獲取數據時相關員工個人均不知情的情況下,員工利用自己的賬號權限,違背公司內部有關規章制度,爬取公司內網上的大量員工個人信息,構成“竊取個人信息”的犯罪行為。而在李某侵犯公民個人信息罪一案中[8],案件情況基本相同,法院作出的認定卻與前案不同。法院認為,利用員工賬號自身權限爬取公司內網上的客戶信息并不構成“竊取”或“非法獲取”,并明確認定“被告人作為公司員工,利用賬號、密碼登錄公司系統,通過自動化軟件收集公民個人信息的行為不具有非法性,并未違反國家有關規定”。
    關于前述案例,在第一案中法院將違反公司內部有關制度,以及公司員工在個人信息被爬取時不知情,作為違法性的主要依據。雖然《民法典》第一千零三十五條規定,處理個人信息不應違反“雙方約定”,但公司內部管理制度究竟是否屬于“雙方約定”存在疑問。同時,公司內網上的員工個人信息很有可能是員工主動公開或合法公開的,且員工必然知道數據具有被查看和獲取的可能性,對此并未明確表示拒絕。此外,公司內部員工純粹的獲取行為,也不能斷言必然侵害員工個人利益。而在第二案中,客戶信息往往是公司在特定交易中獲取的信息,對于客戶信息的處理應當限于合理范圍。即使客戶本人以明示或者默示方式允許公司在內網中展示個人信息。參考最高檢的指導性案例[9],被告人作為公司員工是否必然有權以爬取方式獲取客戶信息,也存在討論的空間。有觀點認為,對于公司內網數據爬取的行為,可以依據《網絡安全法》第二十條有關保護數據泄露的義務的規定,主張爬取行為影響公司履行相關義務[10]。但是影響公司履行法律義務,是否屬于直接違反“有關個人信息保護的”法律、法規、規章的行為,可能還會存在不同意見。
    可見,在公司內網等特殊互聯網環境下,公民個人信息數據的來源和授權范圍、數據的存在狀態、數據訪問和獲取的途徑與權限、對個人信息數據施加的管理和保護程度、爬取者的身份,以及爬取的具體技術手段,可能都會不同程度地影響行為的刑法定性。這些因素的共同作用,使這類案件呈現出比較明顯的“場景化”特征,也使不同案件之間的可參照性相對較弱,客觀上加大了防范刑事風險的難度。
    其四,個人信息“可識別性”認定標準的模糊性,以及對個人信息“重識別”的諸多實現可能性,提升了防范刑事風險的難度。
    作為侵犯公民個人信息罪的犯罪客體,公民個人信息的基本認定標準無疑是“可識別性”,也即“能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息”。但看似明確的定義,在實際應用時依然存在許多模糊空間。
    常見的問題是,當具體案件中涉及的公民個人信息并不具有單獨的可識別性,僅在與其他信息結合的情況下具有可識別性時,是否依然可以認定為侵犯公民個人信息罪所規定的“公民個人信息”?有觀點認為,可以通過關聯性的強弱、信息的重要性,以及行為人的主觀目的來進行判斷[11]。筆者雖然認同這一觀點,但結合“去標識化”技術的實際情況,這一標準可能難以覆蓋到全部情形。
    根據《信息安全技術 個人信息去標識化指南GB/T 37964-2019》,很多手段都可以實現“去標識化”的效果,但“去標識化”事實上只是改變了“標識化”的程度,而不能像“匿名化”一樣徹底消除個人信息的可識別性。例如,加密技術作為一種“去標識化”手段,只是改變了個人信息的可讀性,并不會去除個人信息數據中任何具有標識作用的部分或者內容。因而如果獲取數據的一方掌握了解密方式,那么即便是處于加密狀態的個人信息數據亦可能具有極強的可識別性。又如,屏蔽、刪除、假名化、模糊化個人信息數據中的一些內容,也能起到“去標識化”的作用,但結合其他信息數據,依然可以恢復個人信息數據的“可識別性”,也即實現“重識別”。因此,除非直接實現徹底的“匿名化”,否則任何一種“去標識化”技術都難以徹底消除個人信息的“可識別性”,因而任何形式的“去標識化”技術都并不能完全消除刑事風險。
    同時,對于大規模處理涉及具體個人信息數據的主體而言,即便某次爬取或者使用的是“去標識化”程度較高的個人信息數據,但如果與通過爬取或者以其他方式獲取的數據相結合,如實施數據融合、碰撞等,或者采取解密等技術手段處理爬取的個人信息數據,則依然有可能使原先“可識別性”較低的信息數據完全或部分恢復“可識別性”,進而依然落入《刑法》的規制范圍。
    可見,在未徹底“匿名化”的情況下,個人信息數據本身“去標識化”的程度,“去標識化”的技術特征,以及行為人自身實現“重標識”技術能力或技術可能性,都可能會影響涉案數據是否構成公民個人信息的認定結論。而當認定結論存在較高不確定性時,防范刑事風險的難度也必然隨即提升。
    三、防范數據爬取行為的侵犯公民個人信息罪刑事風險的思路
    基于以上分析,筆者認為,針對數據爬取和使用爬取的數據的場景,防范侵犯公民個人信息罪的刑事風險,可以從以下幾個思路展開:
    首先,在實施數據爬取前,應當盡可能確認不會爬取到個人信息數據,尤其是非向不特定公眾公開的,真人不可見的,或純數據格式的個人信息數據。同時應當避免從性質敏感的途徑爬取與個人信息有關的數據,包括各類政府機關,學校醫院等具有公共服務性質的單位,以及直接競爭對手的網站或互聯網服務等。
    其次,爬取可能構成個人信息的數據時,應盡可能確認爬取的環境處于不特定網絡用戶可自由進入和訪問的公開網絡環境。應當避免采取具有侵入性的技術手段,繞過或者突破被爬取方的反爬取措施獲取數據。特別是當被爬取方升級反爬取措施時,應當避免采取更高程度的侵入性技術手段。
    再次,通過爬蟲獲取可能或確實包含個人信息的數據時,應盡可能識別是否存在具有完全識別性或者部分識別性的個人信息,對其實施匿名化或者較高程度的去標識化處理,同時在處理和使用數據時,盡可能采取閱后即刪的緩存等方式,應當避免長期或者永久性存儲。
    最后,在利用數據開展經營活動時,避免以外界可感知的方式使用數據,尤其避免直接使用爬取的數據或利用爬取的數據牟利或獲取商業機會,如直接販賣、交換,或提供付費API數據接口服務等。
    注釋:
    [1] 吳心斌、溫錦資:《公民個人信息刑法保護的例外》,《人民法院報》2018年6月21日。鏈接:http://rmfyb.chinacourt.org/paper/images/2018-06/21/07/2018062107_pdf.pdf
    [2] (2019)京0115刑初570號謝某某等侵犯公民個人信息一審刑事判決書
    [3] (2014)杭余刑初字第1231號黃某某、翁某某非法獲取計算機信息系統數據、非法控制計算機信息系統罪一審刑事判決書
    [4] (2016)內0402刑初396號肖某、周某、李某某、王某某、宋某某侵犯公民個人信息一審刑事判決書
    [5] (2016)滬0101刑初196號張某某、姚某某非法獲取公民個人信息一審刑事判決書
    [6] 盧志堅、白翼軒、田競:《出賣公開的企業信息牟利:檢察機關認定行為人不構成犯罪》,《檢察日報》2021年1月20日,第1版。
    [7] (2017)浙0110刑初737號余某某侵犯公民個人信息罪一審刑事判決書
    [8] (2019)京0112刑初62號李某侵犯公民個人信息一審刑事判決書
    [9] 參見最高檢第九批指導性案例“衛夢龍、龔旭、薛東東非法獲取計算機信息系統數據案”(檢例第36號)
    [10] 劉艷紅:《網絡爬蟲行為的刑事規制研究——以侵犯公民個人信息犯罪為視角》,《政治與法律》2019年第11期。
    [11] 喻海松:《侵犯公民個人信息罪司法適用探微》,《中國應用法學》2017年第4期。
    (本文僅代表作者觀點,不代表知產力立場)
    圖片來源 |網絡
    本文來自微信公眾號 “知產力”(ID:zhichanli),作者:鄒雯張翰雄,36氪經授權發布。
                  
    
			  
              
    
                                
    
              
    
                
    相關推薦