共享視角下數據爬取行為刑法規制理念重塑與路徑展開

內容提要 數據爬取行為在數據平臺的發展中必不可少。刑法的過多介入導致數據壟斷，阻礙了市場競爭，需要對過罪化的趨勢加以糾正。在數據共享的視角下，數據不同于個人信息，控制者對其沒有決定權，不能僅因為Robots協議或反爬蟲措施就認定獲取行為的非法性；亦不能無視數據爬取行為的特性，沿襲司法解釋的規定使罪量限制形同無物，對此類行為的規制應由降維轉向升維。數據爬取行為促進數據共享，符合社會公共利益。應以以下兩點認定相關犯罪：利用刑法加以保護的數據必須具有保護價值，其所蘊含的利益必須受到爬取行為的侵犯進而導致法益的實質減損；堅守形式與實質的雙重側面，只有數據爬取行為同時符合形式判斷和實質判斷的要求才能成立犯罪。

關鍵詞 數據爬取 數據共享 數據壟斷 數據法益 網絡爬蟲

侯躍偉，中國政法大學刑事司法學院博士研究生

本文為北京市法學會青年課題“生成式人工智能的法律風險與防范體系研究”（BLS〔2023〕C002）的階段性成果。

數據被譽為新時代的“石油”和“黃金”。在網絡服務行業中誰掌握了數據誰就掌握了權力，誰控制了數據誰就控制了人。想要大幅度提升數據獲取效率，就必須找尋一種高效的、可以一定程度上替代人力進行數據采集的技術，數據爬取行為因此應運而生[1]。數據爬取，是指按照一定的規則，利用編輯好的程序或者腳本自動抓取互聯網信息的行為[2]。它的工作原理可以簡單概括為：在互聯網海量信息中進行自動化瀏覽，尋找到目標信息后予以采集并進行存儲[3]。如果將互聯網比作一張超級大網，將網頁比作節點，那么數據爬取行為就好似蜘蛛在蛛網上爬行，這只蜘蛛可以順著節點之間的連線獲取所有節點的信息。概言之，“爬蟲就是獲取網頁并提取和保存信息的自動化程序”[4]。數據爬取技術具有超高的運行效率，已為我國各大網絡服務提供者所采用。后者憑借數據爬取技術，將爬取到的海量數據運用于自身的產品與服務之中，活躍了數據市場，推動了我國數字經濟的發展。然而誕生之初處于中立的數據爬取技術如今卻被嚴重污名化，“爬蟲”被戲稱為“害蟲”[1]，甚至動輒被刑事手段予以規制，這顯然不利于數據共享的實現。

數據共享理念認為，數據來源于公民個人而不是控制數據的企業，正如黃金源自礦廠，經由工人的開采提煉而成。數據不是由互聯網企業的計算機制造出來的，而是從個人身上采集來的，而制訂爬蟲協議且禁止其他主體進行數據抓取的公司往往是數據控制方[2]。有學者提出：“這樣的公司占用了我們的信息性勞動。他們吸收了智力和社會產出，吸收了我們的藝術和學術工作，并榨干我們……的數字剩余。它們將我們制造的東西轉化為它們可以擁有的東西，并像小麥一樣將其儲存在糧倉中?！盵3]數據共享旨在促進數據在不同主體間的流動，不把數據當作控制者的私產而是將其作為公共產品。因此，數據的提供、獲取不能僅由控制者根據個人意愿決斷，還必須衡量壟斷行為對數據共享造成的障礙。數據優勢經營者通過任意選擇或者拒絕數據共享對象，變相進行歧視性交易或者拒絕交易[4]，同時其還借助非法獲取計算機信息系統數據罪、侵犯公民個人信息罪等實現數據壟斷，這些都是數據共享理念所堅決反對的。數據共享理念認為，數據的價值因流動而提升，因此公開數據的獲取具有社會相當性，應謹慎認定爬取行為的違法性。數據不是物，不應過分強調其權屬，且刑法對其的保護模式也應有所限縮。在他人獲取數據后，數據控制者的利益并不會像物所有人喪失對物的占有一般遭受直接、完全的損害，數據流轉也僅是表征形式違法性，還需要對法益侵害進行實質認定。

雖然“技術進步使人們對行為方式的社會倫理評價顯得不那么確定了”[5]，甚至“恰恰是在新興科技的領域，立法者傾向于選擇相對嚴厲的刑法作為維持社會秩序的方式”[6]，但長久以來人們信奉刑法不是管理社會的前置法，而是所有規范的最后保障法，以刑罰恫嚇數據爬取的做法不僅損害刑法本身的謙抑性，更促成寡頭企業的數據壟斷。如何實現對數據爬取行為的合理規制，成為刑法理論亟待回應的問題。

一、數據爬取行為刑法規制的過度化

自首例通過數據爬取技術入侵計算機信息系統的“上海晟品公司案”后，與爬取行為相關的刑事案件逐漸增多，刑法幾乎介入數據爬取的全流程，數據爬取行為在司法實踐中呈過度入罪化的趨勢。

1.數據爬取行為的實踐發展

我國法院對數據爬取行為的態度，經歷了由肯定到逐漸否定的演變過程。在百度在線網絡技術（北京）有限公司與北京奇虎科技有限公司不正當競爭糾紛案中，法院認為Robots協議不能毫無理由地禁止任何數據抓取，百度在線利用Robots協議限制360搜索引擎對其相關網頁爬取的做法，與協議的初衷背道而馳。若任由這種行為發展，可能導致同行業經營者的效仿，使原本遵循互聯、互通、共享、開放精神的互聯網變成信息相互隔絕且無法自由流動的信息“孤島”，這會阻礙互聯網功能的正常發揮，破壞互聯網行業的競爭秩序，從而有損社會公共利益[1]。在認定數據爬取行為是否屬于不正當競爭的過程中，法院強調數據的公共性特征，提出對數據控制的保護要綜合考量市場效率、社會利益、行業競爭秩序的影響[2]。但是，越來越多的法院機械地支持Robots協議對數據爬取行為的禁止效力，甚至不少學者直接以Robots協議認定侵犯公民個人信息罪中“非法獲取”的“非法”。他們認為該協議被各個國家的互聯網參與者所遵守，是普遍的商業倫理和行業習慣，而違背Robots協議進行爬取的行為就屬于非法獲取，具有形式違法性[3]。

部分司法工作人員主張，Robots協議代表被害人的授權意志，可以通過查明Robots協議的內容證明爬取行為是否在授權的范圍內[4]。部分法院則要求被爬網站采取反爬蟲措施，以證明數據爬取行為對其網站系統運營的影響。例如，在小熊美家公司訴江蘇斑馬公司不正當競爭糾紛案中，法院判決“未有證據顯示小熊美家公司采取了反爬蟲機制等技術措施，或江蘇斑馬公司采取了繞開或破壞小熊美家公司技術保護措施的方式抓取文章，故難以認定江蘇斑馬公司的行為破壞或妨礙了小熊美家公司熊貓系統的正常運行。江蘇斑馬公司并未使用其所抓取的文章，亦未利用該文章攫取用戶關注及流量，也未因此破壞小熊美家公司的文章展示規則，故難以認定江蘇斑馬公司存在食人而肥、不勞而獲等攫取小熊美家公司競爭優勢、為自身獲取競爭利益的行為”[5]。同時也有部分法院認為，行為人在未承擔影視節目經營成本的前提下，擅自使用數據爬取技術抓取被害人的視頻資源并設置鏈接的行為屬于不正當的競爭行為[6]。例如，在深圳谷米公司訴武漢元光公司不正當競爭糾紛案中，法院認為元光公司利用數據爬取技術大量獲取并且無償使用谷米公司“酷米客”軟件的實時公交信息數據的行為，擾亂了公平的市場競爭秩序，構成不正當競爭[7]。

2.數據爬取行為的過度入罪

數據爬取行為在刑事司法實踐中呈現鮮明的擴張態勢，越來越多的數據爬取行為被認定具備刑事違法性并被作為犯罪來處理。

一方面，深度鏈接服務被認為可能涉及侵犯著作權罪。深度鏈接指的是一種直接鏈接到第三方網站所存儲的特定文件的鏈接方式[8]。用戶在點擊該網站的鏈接后，可以在不脫離設鏈網站的情況下，瀏覽或者下載第三方網站所存儲的內容。就數據共享的意義而言，該作品借助數據爬取技術獲得了更廣泛的傳播，理應得到司法上的允許，但司法實踐卻將這種爬取行為解釋為“發行”[9]，使這種常見的數據爬取行為成為犯罪。另一方面，具有合法權限的行為人使用數據爬取工具時可能被認定為非法獲取。最為典型的例子是單位內部工作人員利用爬取技術批量下載員工數據，被認為可能涉及非法獲取計算機信息系統數據罪。行為人本身具有獲取信息的權限，只不過使用數據爬取工具提高搜索效率，本來合法的行為由于數據爬取工具的介入而有可能成立犯罪，表明了司法機關對數據爬取行為的扼殺姿態[10]。

除了實務界出現入罪擴張化，理論界還通過適用其他罪名以實現對數據爬取行為的全面規制。筆者在北大法寶、裁判文書網中分別以“爬蟲”“爬取”“抓取”“spider”為關鍵詞進行全文搜索，過濾掉無效案件后共獲得有效刑事案例119個。分析上述刑事案件可知，數據爬取行為主要涉及侵犯公民個人信息罪（44個）、非法獲取計算機信息系統數據罪（22個）和侵犯著作權罪（13個），行為人多因獲取數據而被認定為犯罪。對此，有學者認為現有罪名難以滿足實踐要求，那些已經入罪的案件，其刑法評價不充分，將數據爬取行為的法益侵害限定為個人信息自決權或者計算機信息網絡安全過于狹隘，沒有實現法益侵害的完全評價。在該學者的設想中，數據爬取行為導致被害人的計算機信息系統不能運行，實際破壞的是生產經營活動，應當以破壞生產經營罪論處[1]。在筆者統計的案例中，并未發現以破壞生產經營罪處罰數據爬取行為的案例，但這或許是對這一不斷被擴容以至于形成“口袋罪”的古老罪名的尊重。事實上，上述案例涉及的罪名并非完全專屬于數據爬取行為，還包括詐騙罪、傳播淫穢物品牟利罪、盜竊罪、開設賭場罪、宣揚恐怖主義罪、非法經營罪以及組織、領導傳銷活動罪等，上述罪名只不過是傳統犯罪在網絡空間中的體現而已。數據爬取行為的獨特風險主要有以下幾點：一是單純地破壞或者避開享有著作權或者相關權利的主體為保護其權利而設置的技術措施，是否屬于侵犯著作權的行為，即《中華人民共和國刑法》第217條侵犯著作權罪第6項應該如何適用于數據爬取行為；二是盡管違背了權利主體的Robots協議和有關的授權使用范圍，或者突破了反爬蟲措施，是否就表明侵入行為具有違法性，對數據的保護能否與保護個人信息相提并論；三是當爬取的僅是個人信息時，是否因為沒有再次獲得權利主體的授權而屬于非法獲取，即能否認為刑法中個人信息保護的知情同意原則需要重復、多次授權。

3.數據共享在出罪中被忽視

數據共享的巨大便利被風險社會的夸大表述所掩蓋。當前，世界各國都朝著積極刑法前進，除罪化或者刑法的謙抑性僅僅停留在古典主義刑法的美好想象中。我們活在媒體的統治之下，世界并非由我們親眼所見，而是通過媒體的想象建構，而“媒體也在傳遞犯罪無處不在的觀念”[2]。民眾對危險的恐慌、緊張心理也被媒體所利用。媒體中出現大量對數據爬取行為不勞而獲、掠奪資源、增加成本、竊取信息的描述，使網絡爬蟲“成為網絡世界人人喊打的‘害蟲”[3]。但數據爬取行為帶來的實踐便利卻被忽視，促進數據流動、信息共享的數據爬取行為和網絡犯罪之間的界限被模糊。

數據共享在數據爬取行為的出罪研究中未受到足夠重視。除了來自媒體的對爬蟲的污名化，數據爬取行為出罪的困境還在于理論研究視野的局限性：理論界關注的是個別罪名而非數據爬取行為的整體刑事風險，以及爬取數據的一方因獲得數據而具有的可譴責性，而未關注被爬取數據的一方利用協議、技術、法律形成的數據壟斷。盡管也有學者從侵犯公民個人信息罪出發，論述數據爬取行為的法律屬性，但無論是論述還是討論被爬取的信息是否為具有可識別性的個人信息、爬取方式是否在權限之內[4]，這些都是傳統侵犯公民個人信息罪的內容，如果不在傳統犯罪成立條件之外增加新的認定要素，試圖限制數據爬取行為入罪的理想就不可能實現。此種思路之所以會失敗，原因在于數據爬取行為本就是信息搜集復制的行為，使用爬取技術訪問特定網站獲取信息和人工手動獲取信息之間并不存在本質的區別。關鍵的差異在于，爬蟲搜集數據的速度更快、獲取數據的數量更多，并且在批量抓取的過程之中無法向個人信息的權利人發出同意與否的申請。因此，有必要重新思考個人信息中的“知情同意規則”是否需要每次都進行授權，或者說對特定機構的授權是否能夠具有允許其他相同或者相類似機構利用的效力[1]。更為直接的表達是，刑法有無必要對個人信息的保護達到個別授權的程度，盡管明知多數場合下個人信息收集者不愿被爬取不是擔心個人信息的泄露，而是出于壟斷的需要，對這種對抗數據共享的壟斷有無在刑法上予以保護的必要性應當予以慎重考量。

二、共享視角下數據爬取行為刑法規制的理念重塑

面對數據共享在司法實踐中被忽視的問題，2022年12月19日，中央全面深化改革委員會第二十六次會議審議通過的《中共中央國務院關于構建數據基礎制度更好發揮數據要素作用的意見》提出“堅持共享共用，釋放價值紅利。合理降低市場主體獲取數據的門檻，增強數據要素共享性、普惠性，激勵創新創業創造，強化反壟斷和反不正當競爭，形成依法規范、共同參與、各取所需、共享紅利的發展模式”[2]。因此，有必要基于數據共享的視角對數據爬取行為的刑法規制理念予以重塑。

1.共享視角下刑法對數據保護的位階應弱于財物

當前，對數據爬取行為的打擊呈現打擊早期化、法益抽象化的特點[3]，還出現了數據保護財物化（即絕對化）的錯誤傾向。

一方面，就刑法規范而言，數據在刑法體系中的價值劣于財物。有形財產的法價值位階高于無形財產，這就意味著對數據的保護應當至多等同于有形財產，“任何刑法典所禁止的行為都可以按照距離刑法要預防的最終危害的遠近進行層級排序”[4]。在刑法的價值體系中，存在優先保護和劣后保護的順位，利益越重要保護時點就越早。以知識產權為例，第一，刑法對所有的有形財產都予以保護，無論其是否屬于合法財產，例如個人非法持有的槍支、彈藥、毒品，都是侵犯財產犯罪的保護對象；但是對于非法無形財產則不予刑事保護，如“淫穢作品”等。第二，刑法禁止各種侵犯有形財產的行為，無論轉移占有、毀壞效用還是妨害返還（掩飾隱瞞犯罪所得、犯罪所得收益罪）都作為犯罪處罰。但實際上，對永久刪除他人作品這樣嚴重侵犯知識產權的行為，刑法亦不過問。第三，刑法對有形財產的入罪額度要求較低，盜竊、詐騙等傳統財產犯罪的入罪金額不過數千，而侵犯著作權罪的成立則要求行為人非法獲利達到數萬。這種對比實體財產在保護位階上更低的知識產權等數據利益給予更加優先保護的做法，并不符合法律規范的價值構造。

另一方面，從規范保護目的而言，財物的保護目的完全在于所有權人獨享激勵生產，但是數據的一大作用在于通過共享實現信息流通。限制個人財產以促進公共利益必須滿足嚴格的要求，因為財產的本質在于獨享而不在于共享。有人認為，數據爬取行為并未增加數據量，反而消耗了能源，僅僅是數據從一個網站轉移到其他網站，沒有產生實質性貢獻。但是，相同的數據在不同的環境下能夠產生不同的作用，隨著數據量的增加，固定的單一數據也會變得更有價值，而且并非所有人都使用同一信息獲取渠道，例如，在微博中可以獲得微信公眾號的熱點文章，在百度中也可以獲得騰訊視頻的影視作品。以目前熱議的生成式人工智能為例，當前公開的模型數據量最高已達1.085萬億個參數[5]，且生成式人工智能的數據并非憑空產生，而是通過不斷地使用網絡爬蟲爬取公共數據獲得的[1]。一旦禁止數據爬取行為，控制大量數據的經營者將通過數據控制手段來限制其他企業的創新，再通過自己的數據優勢擠占新興企業的市場份額[2]。目前，各種網站或企業設置爬蟲協議拒絕數據爬取的動機不在于對自身網站信息的合理安排，而是利益博弈，他們關注的是自身競爭利益的損失和訪問流量的流失，消費者成為考量爬取行為允許與否中的“棄嬰”。嚴格的爬蟲協議如果得到刑事司法的承認，數據保護將會異化為數據政策中的“閉關鎖國”，消費者個人篩選、獲取信息的難度也將急劇增加[3]。

2.共享視角下對數據保護的罪量要求應適當提升

爬蟲爬取數據的速度和數量是驚人的，有已決案件中爬取數據的速度達每秒183次，所有案件中獲取信息的數量都以萬為單位，最少的將近1萬條，甚至有獲取量超過2億條的案件[4]。隨著數據爬取技術的飛速發展，爬取數據的速度會越來越快，獲得的數據量也越來越大，因此必須因時制宜地制定罪量標準。反觀我國刑法中關于規制數據爬取行為的罪名，其成立條件往往只需要滿足極低的罪量要求[5]，這導致數據爬取行為基本上成為只需定性而無需定量的犯罪行為。

現實情況是，過低的犯罪門檻也并未被司法實踐完全接受，對罪量的過低要求沒有帶來司法實踐的盲目服從，反而可能導致司法工作人員的集體抵制。根據最高人民法院、最高人民檢察院發布的《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第五條之規定，即便非法獲取的是最普通的公民個人信息，只要達到50000條以上的，法定刑原則上都在三年以上七年以下有期徒刑的區間。但在侵犯公民個人信息罪的司法案件中，法院并未遵從上述司法解釋，而是一致地降低了量刑標準[6]。即便存在部分案件涉及上億條個人信息拉高平均數量的現象，但個案中法院違反司法解釋進行輕判的現象也印證了樣本統計結論的真實性。例如，李某使用爬蟲獲取80萬條個人信息，只被判處1年半有期徒刑；周某獲取個人信息超過4萬條只被判處罰金3萬元；等等[7]。司法不是機械的而是能動的，任何司法工作人員都具有自我的價值判斷，當法律規范過于偏離其個人價值標準時，表面合法實質規避的變相抵抗，就屬于司法審判人員正義直觀的司法映射。對于翻閱司法解釋的當事人而言，“僥幸”獲得的從寬處罰將導致其對法律規范的蔑視；對普通民眾而言，“有法不依”也將降低法律規范的權威。

“沒有了來自機構體系底層和頂層的同步支持，包括一線人員和州一級的官員，任何改革的努力注定都要走向失敗?！盵8]刑法條文或司法解釋不會因為其被制定于冰冷的書面或者在政府系統之中公開便獲得生命力，數據爬取行為的規制現狀便生動體現了法官對于過低犯罪門檻和過高處罰手段的抵制；對于大規模獲取信息的數據爬取行為而言，罪量幾乎失去了限制犯罪成立的作用，使此類行為具有了先天的入罪基因[1]。而違法所得和經濟損失的過低要求在當代社會中極易達到，數據爬取行為的出罪只能依賴于行為的違法性認定，而非罪量認定[2]。因此，除了呼吁司法解釋提高罪量設置，還應通過數據共享排除數據爬取行為的刑事違法性。

三、數據共享視角下數據爬取行為的刑法規制路徑

無論如何解釋，嚴重侵犯他人合法權益的數據爬取行為不可能全部無罪，但應合理解釋數據法益的實質內涵[3]，厘清刑法規制的界限，防止刑法的觸角過度延伸從而妨害數據共享。

1.基于數據法益實質內涵厘清刑法規制的界限

數據屬于刑法保護的對象，但是數據并非獨立的法益，其法益的實質內涵來源于數據所體現的其他價值。因此，首先，利用刑法加以保護的數據必須具有保護價值，能夠直接或者間接地保護其他利益；其次，數據蘊含的利益必須受到犯罪行為的侵犯進而導致法益的實質減損。

其一，數據無法作為獨立的保護法益，刑法保護的數據需要內涵實在的利益。技術措施也屬于數據，但其本身只有在保護著作權時才有意義，對規避、破壞沒有保護著作權的技術措施的行為不應進行刑法規制。有學者認為，我國刑法應當對數據安全加以獨立保護，以彌補處罰漏洞[4]。這種觀點過高地評估了數據本身的價值，數據不過是傳統法益的表征，是犯罪對象而不是保護法益，如同故意殺人罪的行為對象是人的身體，法益卻是人的生命一般。刑法規制數據爬取行為必須闡明數據所隱含的法益內容?！吨腥A人民共和國刑法修正案（十一）》將“通過信息網絡傳播”的行為列入侵犯著作權罪的罪狀之中，并增設了“未經權利人許可，故意避開或者破壞技術保護措施”的犯罪類型，以實現對知識創新的鼓勵。誠然，不同的權益類型具有不同的保護方式和侵害方式，對實體物的侵害也不依賴于直接對物產生影響?！昂虾跄康牡厥褂美娴目赡苄?，不是只能通過對它進行實體性改變才能遭遇減損?！绻J為對于法益的持有者而言，法益的價值減損只能以實體性改變的方式得以體現，那就可能理解得過于膚淺了?！盵5]但是，形式地解釋該項無異于將侵犯著作權罪由實害犯變為抽象危險犯，因為，僅僅繞開或者破壞權利人的技術措施并不一定能夠獲取他人作品，更不用說給權利人帶來直接損失了，其反而可能促進作品的傳播從而符合權利人的利益。事實上，這是將技術措施看作數據，并通過侵犯著作權罪對其加以保護。通說認為，我國侵犯著作權罪的保護法益是著作權人的著作權，與著作權有關的權利以及國家的著作權管理制度，并且著作權是作者對其作品所享有的占有、使用、收益、處分的專有權利[6]。按照這種理解，知識產權是接近于物權的絕對權、對世權，任何可能對著作權或者有關權利的行使產生妨害的行為都有法律干涉的必要。但是，這種理解忽視了知識產權作為無形財產的特性，其根本不存在事實上的占有，作者不是依賴對作品的物理掌控從而實現對權利的控制，而是通過是否允許他人使用來實現權利效果。換言之，保護著作權的技術措施如果無關著作權的許可使用制度，則不具有刑法保護的意義，相關行為便不應受到刑法規制。

其二，數據所保護的其他利益必須受到實際侵害。數據共享理念要求減少不必要的信息授權，當數據爬取行為沒有超過權利主體同意的預期范圍時，則視其為存在擬制的同意；在個人信息二次授權欠缺時，同樣可以借助場景理論排除數據爬取行為的違法性?！胺ㄒ婵腕w不是因其存在本身而受到保護，而是為了保護法益主體所享有的對法益客體之內容進行處分、按照自己的偏好與價值觀進行使用的利益?！盵1]在當代社會，我們不存在不受信息規范制約的生活領域，不存在完全自由的信息領域，判斷信息是否為隱私不是通過其是公開還是私下進行，而是要借助場景進行認定[2]。大數據時代，對海量數據的二次獲取要求個別同意的做法并不現實，類似的場景下應推定權利主體會做出同意從而阻卻行為的違法性。

同時，應當衡量爬取個人信息帶來的損害與數據共享形成的便利之間的關系，當數據共享的利益大于爬取行為帶來的個人信息保護的風險時，應否定爬取行為的實質違法性。個人自決權僅在首次授權時作為判斷標準，不能單純以個人自決權作為認定爬取個人信息違法性的依據?！胺汕矣绕涫翘厥獾姆?，是服務于特殊的社會目標的?！盵3]不能因為《中華人民共和國個人信息保護法》的目的是保護公民對個人信息的自我決定權，就在刑法中予以照搬。刑法處罰的是最嚴重的惡行，因此即使數據爬取行為侵犯了自決權，但其促進數據共享的好處也可以減輕甚至排除其違法性[4]。事實上，過度的權利人同意已經導致權利主體陷入同意疲勞，這在未成年人的個人信息保護之中已有所顯現，有些場景下監護人可以主動幫助未成年人造假以回避驗證程序[5]。在使用爬取技術的企業和被爬取數據的企業屬于相同或者相近行業時，個人信息因為被爬取而增加的風險微乎其微，因為該類個人信息的用途是相同的，個人信息存在的風險在用戶首次承諾時就已明確。根據場景理論中最重要的信息適當性規范，相同行業之間的信息共享沒有超出授權中的特定情境，公民個人不存在被期待的保密愿望；同時，也不能以數據控制企業的單方面禁止來認定爬取行為的違法性。我國司法實踐傾向于肯定平臺授權的積極意義，例如，在“新浪訴脈脈不正當競爭案”的判決中便確立了使用新浪微博OpenAPI獲取用戶信息時，必須堅守“用戶授權+平臺授權+用戶授權”的三重授權原則[6]。此種嚴苛的授權制度只會帶來三種結局：其一，用戶在第一次授權之時就進行“一刀切”的普遍授權；其二，多次授權導致其他企業事實上不可能獲得授權，從而使數據爬取行為一直處在灰色地帶；其三，數據控制者獲得第一次授權后籠統地制定禁止數據爬取的協議，將用戶的個人信息視為私產。作為第一次個人信息授權，權利主體的自我決定是首要的考量內容，此種自決權不需要額外的正當化依據。但授權的效力范圍不應局限于個別場景，而應權衡爬取行為增加的風險與數據共享的可能利益并予以拓展，對非敏感信息的二次爬取無須再次獲得權利主體的同意。

2.形式判斷與實質判斷相結合來規避技術爭議

犯罪的認定需要堅守形式與實質的雙重側面，只有同時符合形式判斷和實質判斷的要求才能成立犯罪。

其一，形式判斷要求入罪不能突破文義解釋的范圍。Robots協議或者數據控制者的明確拒絕不是法律，違反也不代表著非法；且相關協議和壟斷行為妨害數據共享、違背公序良俗，不能作為形式違法性的來源。數據是公共產品，是否允許他人獲得相關數據不能由數據控制者獨攬大權。數據寡頭傾向于通過Robots協議限定特定競爭對手的數據爬取行為，僅對合作者開放相關數據，實施非典型的聯合抵制交易行為。數據優勢經營者通過任意選擇數據共享對象或者拒絕共享對象，變相進行歧視性交易或拒絕交易[1]，再借由非法獲取計算機信息系統數據罪、侵犯公民個人信息罪等實現對數據的壟斷?；蛟S有人認為Robots協議是格式條款，然而格式條款同樣不得違背效力性強制規范，不得違背公序良俗，為維護壟斷地位而禁止他人獲取數據的行為違背了公序良俗，因此無效?！叭藗儾粦敯炎约旱难芯烤窒抻趪业姆ㄔ汉头ü?，而應當注意考慮所有解決紛爭的實際方法?！盵2]在HIQ訴LinkedIn案中，法院認為不能禁止其他公司抓取可以在互聯網上公開訪問的數據，否則將導致數據壟斷[3]。美國法院認為，未經授權或者超越授權進入計算機系統以獲取信息的規定[《計算機欺詐和濫用法》（CFAA）第1030條]，不是禁止任何沒有獲得同意的訪問，當訪問的信息本身不需要獲得普遍性的事前授權時，便不屬于CFAA禁止的行為[4]。因此，僅僅憑借Robots協議無法確定數據爬取行為的形式違法性。

其二，形式判斷要求凡是具有合法依據的行為不能構成犯罪。合法的數據獲取行為不符合刑法對“非法獲取”的形式要求，即使其導致嚴重后果也無法進行刑法規制?！吧鐣粌H是懲罰權的來源，同時是所有權利、法律及犯罪性的直接根源，法律只不過是社會將主要利益進行法典化的方式?！盵5]基于數據共享理念，數據爬取行為常常具有社會相當性，是法所允許的風險，由此導致的結果不能由行為人負責。凡是公開信息，其目的在于傳播而使公眾知曉，應當完全否定對政府公開數據的數據爬取行為的違法性。在一起案件中，行為人開發了一款爬蟲軟件，能夠與深圳市的居住證網站鏈接，可以在深圳市居住證網站上查詢到房產地址、房屋編碼等對應的資料。2018年5月2日，該軟件在2個小時內通過深圳市居住證系統查詢并儲存信息1510140條。法院認為，行為人的爬取行為在該時段內造成深圳市居住證系統無法正常運作，極大地影響了該居住證系統使用方深圳市公安局人口管理處的日常工作，成立破壞計算機信息系統罪[6]。然而，我國國務院頒布的《促進大數據發展行動綱要》《政府信息公開條例》以及中央網信辦、國家發展改革委、工業和信息化部于2018年聯合印發的《公共信息資源開放試點工作方案》等，都要求推進政府數據公開，強調沒有政府數據共享就沒有透明的行政工作[7]。相關部門應該意識到，公眾需要借助非政府網站查閱公開數據，說明政府平臺查閱存在缺陷，和市場提供的查閱服務相比效率較低?？尚械淖龇☉歉倪M數據的公開途徑，提高政府數據開放平臺的計算能力。政府數據開放是一種公共服務，公民接受公共服務的同時卻要受到刑罰制裁的威脅，這極易導致威權主義。行為人承擔責任的前提是其實施了符合刑法分則構成要件的實行行為，合法行為即使導致了嚴重后果亦無法對其進行歸責。因此，政府數據應當允許任何人獲取，數據爬取不符合“非法獲取”的形式要求，不能認定為犯罪。

其三，符合形式判斷前提后應進行實質判斷，將沒有實質侵犯法益的行為予以出罪。使用“反反爬蟲”等措施只符合形式判斷的要求，不滿足對法益侵害的實質判斷，還須審查數據爬取行為是否產生了實質替代作用[1]。以侵犯著作權罪為例，使用爬蟲爬取了他人的作品，雖然可能使用了“反反爬蟲”措施，但這僅僅滿足了形式判斷，只要其并未實現對被爬取網站的實質替代，便不應當認定為侵犯著作權罪。部分判決也支持只有當搜索引擎替代第三方網站而直接向用戶提供內容時，才能認為數據爬取行為已經侵犯了他人的著作權的立場[2]。事實上，爬取他人作品并鏈接到自己網站上的爬取行為也有部分未被認定為犯罪，而僅承擔民事責任[3]。數據爬取行為侵犯著作權存在三種類型：第一種類型是相關權利主體設定了只有特定用戶才能訪問，例如只能付費觀看，或者只能充值會員觀看等。此種類型下只要突破技術鏈接讓無權限者也能觀看，即構成侵犯著作權。第二種類型是相關作品是對所有用戶開放的，但是用戶閱讀或者觀看作品時會接受其他主體的廣告，權利主體以此營利。這種類型下，由于廣告收入實際上相當于用戶的變相付費，使用爬蟲爬取作品屏蔽廣告的行為也成立侵犯著作權罪。這可以解釋為，被爬取數據的網站獲得了著作權權利人的授權許可，代為行使其許可權利，如果被許可人無法通過廣告獲得利益就不會購買權利人的許可。第三種類型是相關權利主體向用戶免費開放其作品，爬蟲軟件僅僅爬取了網頁，但是并未采取廣告屏蔽措施，則此種情形下數據爬取行為反而促進了被爬網站的信息傳播，不能成立犯罪。在數據共享理念下，未發生替代作用的數據爬取行為不應入罪，“未經許可”的解釋應借助數據共享進行限縮，被爬取網站單純禁止爬取的意思表示不能作為違法性認定的來源。有的技術保護措施僅僅代表了對作品使用場域的限制，屬于對競爭利益的保護，不等同于對著作權的保護，應通過實質判斷來認定繞開、破壞技術措施的數據爬取行為的刑事責任。

四、結語

“法律要規范的并非技術原理，而是技術運用所造成的當事人間的利益分配格局?！盵4]本文通過對刑事案例的分析發現，在司法實踐中對數據爬取行為存在過度入罪化的傾向，刑法逐漸成為對數據爬取行為的主要規制手段。據此，本文提出限制入罪的兩大路徑：其一，堅持數據共享建構數據保護的刑法位階；其二，堅持升維打擊，應數據共享的要求提升相關犯罪的罪量要求[5]。數據爬取行為的規制除了要保護計算機信息系統安全以及其他主體的著作權、個人信息權，更要照顧數據共享這一公共利益并兼顧數據爬取行為的特性，當爬取行為存在較低的個人信息受侵害風險時，數據共享可以消除其違法性?！叭藗儾粦獙⒎ㄒ嫦胂鬄槿缤惲泄裰斜９艿牟┪镳^展品一般的靜止狀態?！盵6]從這一角度講，曾經入罪的行為并不具有永恒的違法性，數據爬取行為的持續入罪恰恰是對社會生活缺乏觀察、反思的表現。作為日常工具，數據爬取技術的刑法規制應秉持謙抑性。

〔責任編輯：玉水〕

[1]劉艷紅、楊志瓊：《網絡爬蟲的入罪標準與路徑研究》，《人民檢察》2020第15期。

[2]趙國生、王?。骸禤ython網絡爬蟲技術與實戰》，機械工業出版社2021年版，第75—83頁。

[3]潘曉英、陳柳、余慧敏等：《主題爬蟲技術研究綜述》，《計算機應用研究》2020年第4期。

[4]崔慶才：《Python3網絡爬蟲開發實戰》，中國工信出版社、人民郵電出版社2018年版，第93頁。

[1]謝瑋、宋杰：《“爬蟲”怎么成了“害蟲”？》，《中國經濟周刊》2019年第20期；韓軼、聶晶：《加強規范，不讓網絡爬蟲變“害蟲”》，《光明日報》2021年3月20日。

[2]曹陽：《我國對違反“爬蟲協議”行為的法律規制研究》，《江蘇社會科學》2019年第3期。

[3]莎拉·拉姆丹：《“付費墻”：被壟斷的數據》，黃尹旭、趙精武譯，上海人民出版社2023年版，第7頁。

[4]孫麗君、尉宇航：《數據壟斷的法律規制》，《重慶郵電大學學報（社會科學版）》2023年第4期。

[5][6]埃里克·希爾根多夫：《德國刑法學：從傳統到現代》，江溯、黃笑巖等譯，北京大學出版社2015年版，第357頁，第222頁。

[1]北京市高級人民法院民事判決書（2017）京民終487號。

[2]浙江省杭州市濱江區人民法院民事判決書（2019）浙0108民初5049號。

[3][10]劉艷紅：《網絡爬蟲行為的刑事規制研究——以侵犯公民個人信息犯罪為視角》，《政治與法律》2019年第11期。

[4]游濤、計莉卉：《使用網絡爬蟲獲取數據行為的刑事責任認定——以“晟品公司”非法獲取計算機信息系統數據罪為視角》，《法律適用》2019年第10期。

[5]北京市海淀區人民法院民事判決書（2019）京0108民初33822號。

[6]北京知識產權法院民事判決書（2016）京73民終143號；北京知識產權法院民事判決書（2017）京73民終1922號。

[7]祝建軍：《利用爬蟲技術盜用他人數據構成不正當競爭》，《人民法院報》2019年5月23日。

[8]張少東：《深度鏈接行為的刑事審視》，《山西師大學報（社會科學版）》2014年第S5期。

[9]上海市徐匯區人民檢察院刑事判決書（2017）滬0104刑初325號。

[1]陳毅堅、曾憲哲：《網絡爬蟲刑法規制研究》，《廣東社會科學》2022年第5期。

[2]勞倫斯·弗里德曼：《碰撞——法律如何影響人的行為》，邱遙堃譯，中國民主法制出版社2021年版，第13頁。

[3]高富平、冉高苒：《數據生產理論下爬蟲技術的法律規制路徑》，《江淮論壇》2022年第5期。

[4]宋行?。骸稙E用網絡爬蟲技術收集個人信息的刑法規制》，《湖南科技大學學報（社會科學版）》2021年第4期。

[1]劉艷紅：《公共空間運用大規模監控的法理邏輯及限度——基于個人信息有序共享之視角》，《法學論壇》2020年第2期。

[2]《中共中央國務院印發關于構建數據基礎制度更好發揮數據要素作用的意見》，2022年12月19日，https：//www. gov.cn/zhengce/2022-12/19/content_5732695.htm。

[3]夏偉：《法益概念解釋功能的教義學形塑》，《蘇州大學學報（法學版）》2023年第2期。

[4]赫伯特·L.帕克：《刑事制裁的界限》，梁根林等譯，法律出版社2023年版，第274頁。

[5]徐月梅、胡玲、趙佳藝等：《大語言模型的技術應用前景與風險挑戰》，《計算機應用》2023年10月16日（網絡首發）。

[1]陳兵：《通用人工智能創新發展帶來的風險挑戰及其法治應對》，《知識產權》2023年第8期。

[2]翟巍、劉一諾：《反不正當競爭法視角下公開數據爬取行為的合法性邊界》，《價格理論與實踐》2021年第8期。

[3]寧立志、王德夫：《“爬蟲協議”的定性及其競爭法分析》，《江西社會科學》2016年第1期。

[4]廣東省深圳市南山區人民法院刑事判決書（2019）粵0305刑初193號；杭州市余杭區人民法院刑事判決書（2014）杭余刑初字第1231號；北京市第一中級人民法院刑事判決書（2021）京01刑終542號。

[5]《最高人民法院、最高人民檢察院關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》（法釋〔2011〕19號）第1條對非法獲取計算機信息系統數據罪的罪量要求作出了規定，即獲取有關網絡金融服務的身份認證信息十組以上的、其他身份認證信息五百組以上的、違法所得五千元或者造成經濟損失一萬元以上的可以成立犯罪。

[6]在筆者統計的44個因使用數據爬取技術而被認定為侵犯公民個人信息罪的案件中，法院判決書中列明行為人獲取公民個人信息數量的有32個，涉及94位自然人，獲取的個人信息數量總計約為70406萬條，人均749萬條信息。按照司法解釋，這94名被告人人均被判處的自由刑應當在三年以上，但現實情況是統計樣本的自由刑累計只有一百九十年零一個月，平均每人2.02年，明顯低于預期。

[7]北京市通州區人民法院刑事判決書（2019）京0112刑初62號；浙江省溫嶺市人民法院刑事判決書（2018）浙1081刑初1339號。

[8]格雷格·伯曼、奧布里·?？怂梗骸妒⑹句洝淌滤痉ǜ母锏拿绹适隆?，何挺譯，北京大學出版社2017年版，第124頁。

[1]楊志瓊：《數據時代網絡爬蟲的刑法規制》，《比較法研究》2020年第4期。

[2]石經海、蘇桑妮：《爬取公開數據行為的刑法規制誤區與匡正——從全國首例“爬蟲”入刑案切入》，《北京理工大學學報（社會科學版）》2021年第4期。

[3]劉雙陽：《數據法益的類型化及其刑法保護體系建構》，《中國刑事法雜志》2022年第6期。

[4]王惠敏：《網絡數據安全獨立性之提倡及其刑法展開》，《法治研究》2023年第3期。

[5]烏爾斯·金德霍伊澤爾：《刑法總論教科書》（第六版），蔡桂生譯，北京大學出版社2015年版，第5頁。

[6]楊萬明：《〈刑法修正案（十一）〉條文及配套〈罪名補充規定（七）〉理解與適用》，人民法院出版社2021年版，第197頁。

[1]英格博格·普珀：《德國刑法總論：以判例為鑒》（第四版），徐凌波、喻浩東譯，北京大學出版社2023年版，第177頁。

[2]H. Nissenbaum， "Privacy as Contextual Integrity"， Washington Law Review， 2004（5）， pp.119-129.

[3]詹姆斯·E.赫格特：《當代德語法哲學》，宋旭光譯，中國政法大學出版社2019年版，第110頁。

[4]阮晨欣：《大數據時代賬號注銷權的保護實踐——以〈個人信息保護法〉“刪除”處理為視角》，《東南法學》2021年第2期。

[5]王苑：《中國未成年人網絡個人信息保護的立法進路——對“監護人或家長同意”機制的反思》，《西安交通大學學報（社會科學版）》2019年第6期。

[6]北京知識產權法院民事判決書（2016）京73民終588號。

[1]孫麗君、尉宇航：《數據壟斷的法律規制》，《重慶郵電大學學報（社會科學版）》2023年第4期。

[2]茨威格特、克茨：《比較法總論》上，潘漢典等譯，中國法制出版社2017年版，第8頁。

[3]夏夢妍：《反壟斷法視角下的反用戶公開數據抓取行為——以美國hiQ訴LinkedIn案為出發點》，《中南法律評論》2021年第2期。

[4]See HIQ Labs， Inc. v. LinkedIn Corp.， 938 F.3d 985（A.Cir.2019）.

[5]周光權：《刑法學的向度——行為無價值論的深層追問》（第3版），中國人民大學出版社2023年年版，第165頁。

[6]廣東省深圳市南山區人民法院刑事判決書（2019）粵0305刑初193號。

[7]周佑勇：《中國行政基本法典的精神氣質》，《政法論壇》2022年第3期。

[1]蘇宇：《網絡爬蟲的行政法規制》，《政法論壇》2021年第6期。

[2]北京市海淀區人民法院刑事判決書（2013）海刑初字第2725號。

[3]北京知識產權法院民事判決書（2021）京73民終3475號。

[4]劉文杰：《信息網絡傳播行為的認定》，《法學研究》2016年第3期。

[5]劉艷紅：《Web3.0時代網絡犯罪的代際特征及刑法應對》，《環球法律評論》2020年第5期。

[6]烏韋·穆爾曼：《德國刑法基礎課》（第7版），周子實譯，北京大學出版社2023年版，第30頁。