大成刑辩精讲巡回论坛第九期：数据安全刑事风险与合规——以数据爬虫为示例

　　2023年3月17日14时，大成刑事专业委员会、北京总所刑事专业组主办，大成网络犯罪研究中心协办的大成刑辩巡回论坛第九期如期开讲。本次讲座采用大成直播APP线上模式进行。

　　本期讲座由北京大成律师事务所高级合伙人、大成刑委会副主任何慕律师主持。主持人简要介绍了大成刑委会刑辩宣讲系列讲座的情况，以及本期授课嘉宾和要点内容。

　　本期讲座主题为“数据安全刑事风险与合规：以数据爬虫为示例”。主讲嘉宾是北京大成律师事务所数字业务中心主任、大成网络犯罪研究中心顾问、北京师范大学法学院博士生导师吴沈括律师。与谈嘉宾是北京大成律师事务所高级顾问、大成网络犯罪研究中心主任、浙江工商大学法学院教授、博士生导师楼伯坤律师。

　　本期讲座以数据爬虫相关场景应用与典型案例为逻辑起点，系统分析展示当下数据安全刑事风险与合规的整体态势与应对方法，重点涵盖数据爬虫的概念及法律属性、涉数据爬虫的刑事司法逻辑、我国现行数据治理规范体系以及涉数据爬虫的刑事风险防控等焦点问题，在政策战略、法律法规以及其他规范等多个维度透视与数据要素流转利用相关的刑事风险类型以及监管合规的实务要点。

　　吴律师首先以案例为切入点介绍到数据爬虫的概念及法律属性。随着数字经济的发展，数据爬虫凭借高效、可定制化、适用性等优点，已经成为应用最为广泛的技术方式之一，相关的各种热点事件层出不穷。数据爬虫乃至企业涉数据法律合规风控体系的建设，应当以刑事责任阻断为目标，对爬虫等数据技术的机理特质、应用场景、伴随情形等要素进行类型化梳理，在建立企业 数据治理框架的基础上，追踪司法裁判案例、比对数据爬虫的业务场景与司法判例的定性，研判可能侵害的法益内容以及相应的法律风险类型，找寻、遵从现行法律规范提供的合法性依据，进而设计和引入与自身业务诉求相匹配的刑事风控措施。

　　紧接着吴律师以多个案件为例简明扼要介绍了涉数据爬虫的刑事司法逻辑。刑事司法实物性的主要裁判思路分为：(1)数据访问权限的合法根据，是数据爬虫违法性的起点判断;(2)数据爬虫应用的伴生情景，可能构成破坏计算机系统罪等;(3)数据爬虫获取的数据内容。

　　吴律师围绕我国现行数据治理规范体系从有关数据治理的政策战略、有关数据治理的法律规范、有关数据治理的其他规定三方面展开了说明。

　　最后，关于数据爬虫的合法性框架及刑事风险防控，吴律师谈到数据爬虫往往涵盖数据访问权限、数据性质、计算机信息系统安全等不同的安全要素，也导致其行为后果将产生不同的法律意义。但数据爬虫又兼具中立化程序的色彩，在未来的一段时期内，其依然将被广泛的应用。数据爬虫所引发的问题势必继续将被互联网企业、 用户、网络安全机构、政府监管等不同利益主体关注。

　　梳理现行法律，我国目前只有2019《数据安全管理办法》(征求意见稿)第十六条直接对数据爬虫进行概括性规定。而部分法律规范从保护计算机信息系统安全的角度，从原则上间接的对类似于数据爬虫的中立化技术行为进行规范，如《治安管理处罚法》、《刑法》中相关条款可以理解为对数据爬虫访问权限行为的违法性评价。

　　本次讲座历时两小时。讲座的最后由本期与谈嘉宾大成网络犯罪研究中心主任楼伯坤律师进行与谈发言，他根据“爬虫”这种能够按照一定规则自动抓取互联网上信息的程序的特点，结合本次讲座的主题，就“数据爬虫”的风险防控，谈了三个方面的内容：

　　第一，要充分重视“爬虫行为”的复杂性，对之进行专业处置。“爬虫”是一个行为链接体，从程序(软件)制作、提供、买卖、使用(制作者与接受者均会发生)的每一个行为，或者前后连接的共同行为，非常复杂。需要由具有专业识别力与专业处置技能的人员来解决。

　　第二，“爬虫行为”每个环节涉及的刑事风险都很大，这是由刑法对罪名设定的选择要素决定的。从目前《刑法》(包括刑法修正案)立法所涉及的罪名来看，大致分为三大类：(1)把计算机、网络、信息、数据作为对象的犯罪。这里的“数据”也包括两个方面：一是作为信息载体的数据;二是作为计算机程序、软件内容的数据;(2)把计算机、网络作为手段的犯罪。这里也包括两个方面：一方面是传统犯罪凭借了网络技术;另一方面是计算机网络特有手段的犯罪，比如，非法控制计算机信息系统罪的“控制程序”;(3)把信息、数据作为内容的犯罪。比如，央行发行的数字货币。

　　楼律师特别强调了数据在“计算机信息系统”中的不同位阶对刑事风险的影响。他提出要区分“提供侵入、非法控制计算机信息系统程序、工具罪”中的“计算机信息系统”与“非法控制计算机信息系统罪”中的“计算机信息系统”，它们的内涵是不完全相同的。根据“计算机信息系统”的原理，其结构是分层的。第一层是核心层，即操作系统;第二层是操作系统外围的应用程序，它是该产品特有的、具有知识产权的应用系统;第三层是随时可以下载、删除的应用系统(APP)。作为“控制”对象的“计算机信息系统”是指第一层的操作系统。

　　第三，避免“爬虫行为”刑事风险的方法，需要根据“部署爬虫”、“使用场景”等不同风险环节进行。

　　针对与“爬虫”所涉编写爬虫程序软件并将程序软件提供、出售给他人，或者利用爬虫软件进行非法活动所涉罪名的情况，楼律师运用裁判文书网上的实例，归纳了几种需要重点防范的行为类型：(1)行为人利用“爬虫”软件从网络购物平台非法获取公民的个人信息、从快递网络平台获取公民快递信息，将信息出售给他人非法获利;(2)行为人利用“爬虫”软件非法获取其他网站上的著作权客体内容(如小说、漫画、影像作品等)，搬运、转化或链接为自己网站的内容;(3)行为人利用“爬虫”软件侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统，或侵入其他系统获取数据;(4)行为人利用“爬虫”软件获取其他网站的服务器数据、信息内容用于自己网站的创建、经营;(5)行为人编写“爬虫”软件提供、出售给他人;(6)行为人利用“爬虫”软件访问特定网站查询信息，访问量过大，干扰对象系统功能，导致系统无法正常运作;(7)行为人利用“爬虫”软件获取、传播淫秽视频进行牟利。