文/新浪財(cái)經(jīng)意見領(lǐng)袖專欄作家 周浩

　　一年多前，杭州、上海多家數(shù)據(jù)科技公司接連被查。日前，首批被查的杭州魔蝎數(shù)據(jù)科技有限公司（以下簡稱“魔蝎科技”）案件，迎來兩審判決，以侵犯公民個(gè)人信息罪落下帷幕。

　　判決顯示，魔蝎科技犯侵犯公民個(gè)人信息罪，判處罰金三千萬元。公司法人周某某被判有期徒刑三年，緩刑四年；技術(shù)總監(jiān)袁某被判有期徒刑三年，緩刑三年。

　　1

　　魔蝎獲刑：信息非法留存

　　法院查明，魔蝎科技會(huì)將開發(fā)的前端插件嵌入網(wǎng)貸平臺App中，網(wǎng)貸平臺用戶使用網(wǎng)貸平臺的App借款時(shí)，需要在魔蝎科技提供的前端插件上輸入其通訊運(yùn)營商、社保、公積金、淘寶、京東、學(xué)信網(wǎng)、征信中心等網(wǎng)站的賬號、密碼。

　　經(jīng)過用戶授權(quán)后，魔蝎科技的爬蟲程序即代替用戶進(jìn)入其個(gè)人賬戶，利用各類爬蟲技術(shù)，爬?。◤?fù)制）上述企、事業(yè)單位網(wǎng)站上貸款用戶本人賬戶內(nèi)的通話記錄、社保、公積金等各類數(shù)據(jù)，并按與用戶的約定提供給網(wǎng)貸平臺用于判斷用戶的資信情況，并從網(wǎng)貸平臺獲取每筆0.1元至0.3元不等的費(fèi)用。

　　期間，魔蝎科技在和個(gè)人貸款用戶簽訂的《數(shù)據(jù)采集服務(wù)協(xié)議》明確告知貸款用戶，“不會(huì)保存用戶賬號密碼，僅在用戶每次單獨(dú)授權(quán)的情況下采集信息”，但未經(jīng)用戶許可仍采用技術(shù)手段長期保存用戶各類賬號和密碼在自己租用的服務(wù)器上。截至2019年9月案發(fā)時(shí)，以明文形式非法保存的個(gè)人貸款用戶各類賬號和密碼條數(shù)多達(dá)21241504條。

　　法院認(rèn)為，魔蝎科技明確告知不會(huì)保存用戶各類賬號密碼，還是未經(jīng)許可非法留存用戶信息，是以其他方法非法獲取公民個(gè)人信息，構(gòu)成侵犯公民個(gè)人信息罪。（參見（2020）浙0106刑初437號魔蝎侵犯公民個(gè)人信息案）

　　透過此案可以發(fā)現(xiàn)，用戶在京東、淘寶等賬號內(nèi)的信息，雖存儲在第三方平臺賬戶內(nèi)，但經(jīng)過用戶單方授權(quán)許可，法院并未以此認(rèn)定魔蝎科技還需經(jīng)過用戶和第三方平臺雙重授權(quán)才能獲取數(shù)據(jù)。這說明杭州市西湖區(qū)法院傾向于認(rèn)同，用戶存儲在第三方平臺賬戶內(nèi)的信息，憑借用戶單方授權(quán)即可，無需平臺再次授權(quán)。

　　就認(rèn)定邏輯來看，魔蝎科技獲刑，是因魔蝎科技雖經(jīng)用戶許可獲取信息，但是卻在未經(jīng)用戶授權(quán)許可的情況下，超越使用目的，擅自以技術(shù)手段非法留存用戶個(gè)人信息。

　　因此，魔蝎科技獲取用戶單方授權(quán)，運(yùn)用爬蟲技術(shù)獲取相關(guān)數(shù)據(jù)，是在獲得授權(quán)的基礎(chǔ)上開展爬蟲（復(fù)制）數(shù)據(jù)，所以在數(shù)據(jù)獲取方面不是本案裁判關(guān)注的內(nèi)容。

　　獲取相關(guān)數(shù)據(jù)后，魔蝎科技未能遵從相互之間的約定，沒有做到“用后即焚”，相反在未經(jīng)用戶授權(quán)的情況下將賬號密碼非法留存，是法院最終認(rèn)定魔蝎科技以其他方法非法獲取公民個(gè)人信息的落腳之處。

　　《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》第一條規(guī)定，“公民個(gè)人信息”，是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動(dòng)情況的各種信息，包括賬號密碼、財(cái)產(chǎn)狀況、行蹤軌跡。

　　因此，魔蝎科技侵犯公民個(gè)人信息一案，在明確告知用戶不會(huì)保存?zhèn)€人信息的情況下，還將用戶信息留存在自己租用的服務(wù)器上，即數(shù)據(jù)獲取后的沉淀行為，是本案值得關(guān)注的方面。

　　2

　　網(wǎng)絡(luò)爬蟲：刑事邊界

　　如上所述，魔蝎科技獲刑，本質(zhì)上是信息處理方面存在問題，而非在信息獲取方面。因此，認(rèn)定此案，實(shí)際上與網(wǎng)絡(luò)爬蟲技術(shù)的運(yùn)用不存在關(guān)聯(lián)。

　　網(wǎng)絡(luò)爬蟲，可以歸為獲取數(shù)據(jù)的一種方式，在當(dāng)下互聯(lián)網(wǎng)時(shí)代，大行其道，應(yīng)用場景非常廣泛。

　　但要注意的是，不是說運(yùn)用爬蟲技術(shù)獲取數(shù)據(jù)，就必然存在違法犯罪問題，應(yīng)當(dāng)給予區(qū)分對待。

　　利用網(wǎng)絡(luò)爬蟲獲取數(shù)據(jù)，容易觸及的罪名，主要是侵犯公民個(gè)人信息罪和非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪。

　　網(wǎng)絡(luò)爬蟲，作為技術(shù)來講，本身不存在任何色彩問題，關(guān)鍵還是要看獲取數(shù)據(jù)的主體是否有權(quán)限，獲取的數(shù)據(jù)是否被采取保護(hù)措施，獲取的數(shù)據(jù)性質(zhì)是不是符合可識別性的公民個(gè)人信息。

　　第一，獲取數(shù)據(jù)的權(quán)限

　　作為最高人民檢察院指導(dǎo)性案例的衛(wèi)某某、龔某某、薛某某非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)案，對獲取數(shù)據(jù)的權(quán)限問題有過明確說明，即沒有授權(quán)、超越授權(quán)，均是獲取數(shù)據(jù)的非法方法。

　　龔某某因工作需要，擁有登錄某大型網(wǎng)絡(luò)公司內(nèi)部管理開發(fā)系統(tǒng)的賬號、密碼、Token令牌（計(jì)算機(jī)身份認(rèn)證令牌），具有查看工作范圍內(nèi)相關(guān)數(shù)據(jù)信息的權(quán)限。龔某某、衛(wèi)某某經(jīng)事先合謀，龔某某向衛(wèi)某某提供自己所掌握的公司內(nèi)部管理開發(fā)系統(tǒng)賬號、密碼、Token令牌。衛(wèi)某某利用龔某某提供的賬號、密碼、Token令牌，違反規(guī)定多次在異地登錄該公司內(nèi)部管理開發(fā)系統(tǒng)，查詢、下載該計(jì)算機(jī)信息系統(tǒng)中儲存的電子數(shù)據(jù)。（參見檢例第36號衛(wèi)某某、龔某某、薛某某非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)案）

　　第36號指導(dǎo)性案例的發(fā)布，是非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪的分水嶺。該案表明，沒有授權(quán)、超越授權(quán)，即便未采用技術(shù)手段獲取數(shù)據(jù)，但仍然可以被歸入為“侵入”計(jì)算機(jī)信息系統(tǒng)，標(biāo)志著行為人若是超出授權(quán)范圍，獲取無權(quán)取得的數(shù)據(jù)，可以構(gòu)成非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪。

　　要指出的是，行為人在權(quán)限許可范圍內(nèi)獲取數(shù)據(jù)，由于沒有突破許可權(quán)限，即便采用網(wǎng)絡(luò)爬蟲的方式獲取數(shù)據(jù)，也不會(huì)構(gòu)成非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪。因?yàn)槿〉脵?quán)限的情況下，沒有突破權(quán)限范圍，網(wǎng)絡(luò)爬蟲模擬人工點(diǎn)擊，批量獲取數(shù)據(jù)，只是相對人工而言，提高了獲取數(shù)據(jù)的效率。

　　北京市海淀區(qū)人民檢察院不予批捕的一起案件，就是如此。檢方不批捕的理由可以概括為，“于某某為公司正式員工，根據(jù)公司授權(quán)登陸聊天工具后能夠即時(shí)瀏覽到本案中的全部員工數(shù)據(jù)，該信息屬于其職權(quán)范圍內(nèi)可以知曉的內(nèi)容，而其使用數(shù)據(jù)爬取策略，僅僅系提高了查閱的效率，而非本質(zhì)上的越權(quán)獲取或者竊取等非法手段”。（參見北京市海淀區(qū)檢察院于某某非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)案）

　　第二，獲取數(shù)據(jù)的性質(zhì)

　　采用爬蟲技術(shù)，獲取不同性質(zhì)的數(shù)據(jù)，比如，獲取公開數(shù)據(jù)，是否夠罪，往往是網(wǎng)絡(luò)爬蟲獲取數(shù)據(jù)面臨的爭議問題。同案不同判的情形，并不少見，有判決以公開的公民信息已經(jīng)不再具備隱私要求，不認(rèn)為是犯罪，有的判決則恰恰相反。

　　例如，南京市中級人民法院辦理的一起侵犯公民個(gè)人信息案件，被告人利用工作便利，下載企業(yè)稅務(wù)登記信息，獲取包括企業(yè)法定代表人或聯(lián)系人姓名、居民身份證號碼、手機(jī)號碼等稅務(wù)登記信息。其后將該信息銷售給他人，用于撥打電話作廣告推銷。

　　被告人稱這些信息是可以在網(wǎng)上查詢到的公開信息。法院最終認(rèn)為，“識別性是公民個(gè)人信息的根本屬性，不要求具有個(gè)人隱私的特征。即便是已經(jīng)公開的公民個(gè)人信息，也屬于刑法所保護(hù)的公民個(gè)人信息”（參見（2017）蘇01刑終870號刑事判決書）

　　北京市海淀區(qū)人民法院審理的一起非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)案，同樣存在數(shù)據(jù)性質(zhì)是否公開的問題。

　　行為人通過破解防范抓取措施，在數(shù)據(jù)抓取的過程中使用偽造device_id繞過服務(wù)器的身份校驗(yàn)，使用偽造UA及IP繞過服務(wù)器的訪問頻率限制，獲取服務(wù)器內(nèi)數(shù)據(jù)。問題是，本案視頻信息在APP用戶范圍內(nèi)是公開的，是否意味著本案的數(shù)據(jù)是公開的。

　　法院認(rèn)為，被害單位允許用戶緩存觀看視頻，但未允許用戶下載數(shù)據(jù)，信息雖然是可供觀看的，但信息背后的數(shù)據(jù)未喪失保護(hù)措施。信息的有限公開，不代表視頻數(shù)據(jù)可以為公眾所共享，更不可以認(rèn)為數(shù)據(jù)失去了安全保護(hù)的必要性。本案中，被告單位未經(jīng)被害單位授權(quán)，使用網(wǎng)絡(luò)爬蟲程序繞過App用戶認(rèn)證系統(tǒng)，獲取被害單位網(wǎng)站服務(wù)器內(nèi)的視頻數(shù)據(jù)的行為，構(gòu)成非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪。（參見（2017）京0108刑初2384號刑事判決書）

　　就此來看，網(wǎng)絡(luò)爬蟲是否構(gòu)成非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪，終歸是要回到權(quán)限問題上來，是否具備權(quán)限，有無超越權(quán)限，這是檢例第36號案確定的標(biāo)準(zhǔn)。是否構(gòu)成侵犯公民個(gè)人信息罪，一方面是要看權(quán)限問題，一方面則要判斷所獲取的信息是否具備公民個(gè)人信息要求的識別性。

　　3

　　數(shù)據(jù)問題：合規(guī)審查

　　魔蝎科技侵犯公民個(gè)人信息，給大數(shù)據(jù)行業(yè)帶來很多變數(shù)。一時(shí)之間，談“數(shù)據(jù)”色變。

　　圍繞數(shù)據(jù)涉刑核心問題，關(guān)鍵在于數(shù)據(jù)獲取、數(shù)據(jù)交易、數(shù)據(jù)處理，較為容易觸犯的罪名集中于非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪和侵犯公民個(gè)人信息罪。

　　第一，數(shù)據(jù)交易方面

　　數(shù)據(jù)交易，是大數(shù)據(jù)行業(yè)的核心環(huán)節(jié)。經(jīng)營數(shù)據(jù)，目的在于通過分析和挖掘，找到有需求的一方，從而進(jìn)行數(shù)據(jù)交易。

　　進(jìn)行數(shù)據(jù)交易，未做到嚴(yán)格審查，最后禍及公司的不在少數(shù)，或是被認(rèn)定為單位犯罪或是關(guān)閉整條業(yè)務(wù)線。“數(shù)據(jù)堂”相關(guān)人員侵犯公民個(gè)人信息案件，是個(gè)典型案例。

　　該案業(yè)務(wù)模式是，先向合作企業(yè)購進(jìn)數(shù)據(jù)，再對數(shù)據(jù)進(jìn)行整理、存儲，并根據(jù)用戶的興趣、愛好不同加工，分別打上不同的標(biāo)簽后，放入公司集群。最后，再按照客戶需求提取符合條件的數(shù)據(jù)，將數(shù)據(jù)發(fā)送給客戶。（臨沂市中級人民法院（2018）魯13刑終549號刑事判決書）

　　此模式之下，數(shù)據(jù)交易常常會(huì)觸犯侵犯公民個(gè)人信息罪，理由有兩點(diǎn)：一是，通過購買的方式獲取包含能夠識別特定自然人身份的信息，符合以購買、收受、交換等方式獲取公民個(gè)人信息；二是，未對獲取的數(shù)據(jù)脫敏化處理，可以識別到個(gè)人的，以出售方式向他人非法提供公民信息。

　　這是數(shù)據(jù)交易通常存在的問題，沒有對信息進(jìn)行分類管理，更沒有審核哪些信息需經(jīng)過脫敏化處理，哪些信息需做到匿名化處理。因此，在未進(jìn)到合規(guī)審核的情況下，交易的數(shù)據(jù)或是單獨(dú)或是與其他信息相結(jié)合能夠關(guān)聯(lián)到特定自然人或是可以反映出特定自然人活動(dòng)，多會(huì)觸及侵犯公民個(gè)人信息罪。

　　第二，數(shù)據(jù)獲取方面

　　數(shù)據(jù)行業(yè)容易出問題的環(huán)節(jié)，較多的發(fā)生在數(shù)據(jù)獲取方面。魔蝎獲刑，雖然與數(shù)據(jù)獲取方式關(guān)系不大，但違反約定，未經(jīng)過用戶同意自行儲存?zhèn)溆茫瑯优c數(shù)據(jù)獲取有一定關(guān)聯(lián)，應(yīng)當(dāng)引起重視。

　　《網(wǎng)絡(luò)安全法》第四十一條規(guī)定，“網(wǎng)絡(luò)運(yùn)營者不得收集與其提供的服務(wù)無關(guān)的個(gè)人信息，不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用個(gè)人信息，并應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和與用戶的約定，處理其保存的個(gè)人信息”。

　　當(dāng)前非法獲取數(shù)據(jù)的行為，主要不再是買賣的方式，而是更多的如上述規(guī)定的內(nèi)容，超越使用目的或收集與服務(wù)無關(guān)的信息，再或是沒有按照約定收集、使用數(shù)據(jù)。正如魔蝎科技獲取數(shù)據(jù)后的沉淀行為以及超越服務(wù)目的廣泛收集數(shù)據(jù)的行為。

　　為確保數(shù)據(jù)獲取合乎規(guī)范，通常來說，可以就以下六點(diǎn)進(jìn)行審查：

　　一是，利用爬蟲技術(shù)獲取數(shù)據(jù)，應(yīng)當(dāng)以授權(quán)+同意為前提，避免在未授權(quán)或超越授權(quán)的情況下獲取數(shù)據(jù)；

　　二是，通過技術(shù)手段獲取數(shù)據(jù)，要避免對系統(tǒng)形成破壞或是干擾，以及是否繞開、規(guī)避、突破系統(tǒng)的防抓取措施；

　　三是，未經(jīng)過用戶同意，要避免獲取單獨(dú)或相互結(jié)合能夠識別到特定自然人的公民個(gè)人信息；

　　四是，要審核合作方獲取數(shù)據(jù)的方式以及獲取的數(shù)據(jù)內(nèi)容是否可識別；

　　五是，獲取數(shù)據(jù)，要符合用途或服務(wù)目的。其中對獲取的數(shù)據(jù)，要分門別類，區(qū)別管理，去除標(biāo)識，涉及到公民個(gè)人信息，還要做到以最少的保存期限完成收集目的；

　　六是，競爭過程中，不得以技術(shù)手段侵入或攻擊計(jì)算機(jī)系統(tǒng)，竊取相對方的競品數(shù)據(jù)。

　　4

　　結(jié)語

　　數(shù)據(jù)刑事問題，是擺在數(shù)據(jù)行業(yè)面前的頭等問題。為防范因數(shù)據(jù)處理不當(dāng)導(dǎo)致刑事犯罪，應(yīng)以最嚴(yán)格的要求對待，把問題集中于數(shù)據(jù)收集、存儲、加工、使用、交易環(huán)節(jié)。

　　收集數(shù)據(jù)，以爬蟲為例，是否取得用戶同意和授權(quán)，是否遵守網(wǎng)站、App協(xié)議，是否具有正當(dāng)性，是否繞過系統(tǒng)安全措施，是否爬取公民個(gè)人信息是重點(diǎn)關(guān)注的方面。

　　未授權(quán)的情況下，是否存在侵入或以其他技術(shù)手段獲取數(shù)據(jù)，如通過反向編譯、模擬請求、突破、繞開防范措施等解析源代碼，從源代碼中推導(dǎo)算法，或建構(gòu)IP池，破解對方反爬蟲措施，實(shí)現(xiàn)與對方系統(tǒng)交互，請求獲取數(shù)據(jù)。

　　獲取數(shù)據(jù)之后，還要注意審查所獲取數(shù)據(jù)的內(nèi)容，是否包含特別種類的信息，如公民信息、商業(yè)秘密。數(shù)據(jù)加工、使用和交易環(huán)節(jié)同樣如此，避免出現(xiàn)不必要的刑事風(fēng)險(xiǎn)。

　　(本文作者介紹：執(zhí)業(yè)于北京市煒衡律師事務(wù)所，聚焦于互聯(lián)網(wǎng)金融方面的刑事風(fēng)險(xiǎn)。)