2022年度十大典型案例之四：全国首例短视频平台领域网络“爬虫”案

2022年度十大典型案例之四：全国首例短视频平台领域网络“爬虫”案本站　　刷个短视频，个人信息和需求竟被人知道得一清二楚？不久后，私人信箱中还会收到仿佛“量身定制”的推销信息，这都源于一款神奇的“爬虫”软件

　　刷个短视频，个人信息和需求竟被人知道得一清二楚？不久后，私人信箱中还会收到仿佛“量身定制”的推销信息，这都源于一款神奇的“爬虫”软件。

　　2022年5月10日，江苏省无锡市梁溪区人民法院以提供侵入计算机信息系统程序罪判处被告人丁某有期徒刑一年六个月，缓刑两年，并处罚金三万元。据悉，该案系全国首例短视频平台领域网络“爬虫”案件。

　　2022年6月，江苏省无锡市梁溪区人民法院审结了一起提供侵入计算机信息系统程序罪案件，该案系全国首例短视频平台领域网络“爬虫”案。图为庭审现场 供图 江苏省无锡市梁溪区人民法院

　　2021年9月，某信息公司员工吴先生在网上巡查时发现有人在兜售一款名为“汇易获客”的软件，遂通过对方官网及电话购买了该款软件。使用后，吴先生惊讶地发现该软件居然可以“爬取”自己公司后台数据和直播间用户的相关信息，吴先生随即报警。经侦查，公安机关发现售卖该软件的某信息咨询公司老板丁某及销售人员有重大作案嫌疑。

　　经查，2019年，丁某成立该信息咨询公司，后公司因经营不善处于停业状态。2021年，丁某从丁某某（另案处理）处以9800元的价格购进“汇易获客”软件并成为代理商。利用该软件，使用者可以入侵某些短视频平台的服务器，通过关键词搜索快速抓取包括用户名、UID、签名及评论等在内的平台信息，再通过软件将UID转换成二维码，以精准定位客户。丁某对该软件进行了重新包装，“改头换面”后对外销售，违法所得共计2.4万余元。

　　据介绍，“爬虫”是一种用于抓取网络资源的程序，能将其搜索到的各种链接、信息等“带”回来，交给施放“爬虫”的人。使用者以电商公司、培训机构和传媒公司为主，他们在非法获取用户数据后，为自己的产品、服务进行推广引流，其中不乏生产销售假冒伪劣商品的不良商家，风险隐患极大。

　　“‘网络爬虫’作为一项技术手段本身并不违法，但由于本案的软件采取了避开或突破计算机信息系统的安全保护措施，未经许可进入被害单位的计算机系统，即属于‘侵入’行为。”无锡市梁溪区人民检察院检察官林虹介绍。

　　本案承办法官、梁溪法院刑庭副庭长黎鹏表示，侵入计算机信息系统程序罪是《中华人民共和国刑法修正案（七）》新增的一个罪名，主要针对向他人提供专门用于侵入或非法控制计算机信息系统工具或程序，或是明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的行为处以刑罚。该案中涉及的“爬虫”软件是利用技术手段突破短视频平台的“反爬”措施，非法获取后台服务器内指定的数据文件。互联网行业的从业人员，要高度重视信息系统安全，严格落实相关法律法规要求，合法合规开展自身业务。

　　数据“爬虫”，是一种可以进行自动化访问并收集目标计算机信息系统数据的程序，设计初衷是为编纂网络搜索引擎，通过数据“爬虫”更新自身的网站内容或对其他网站进行索引。目前，根据部署环境，数据“爬虫”可分为“服务器爬虫”“客户端爬虫”等多种类型。随着数字经济的快速发展与网络信息技术的普及应用，数据“爬虫”凭借着高效、可定制化、适用性等特点，已经成为当下运用最为广泛的技术方式之一，与此相关的各种热点事件层出不穷，反映了数字时代与数据流转利用和数据治理生态相关的诸多深层次问题。

　　一方面，“爬虫”技术在运用中可能对数据的流转利用带来以下三种系统性风险：其一，“爬虫”技术往往会消耗目标计算机信息系统的带宽和计算资源，导致计算机信息系统响应缓慢甚至瘫痪。其二，作为自动访问收集数据的技术应用，“爬虫”一旦僭越数据访问和获取相关的权限，便会侵害相关方的合法权益。其三，“爬虫”在自动获取数据过程中可能触及受到法律特别保护的数据类型，如个人信息、商业秘密乃至国家秘密等。

　　另一方面，随着《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保》等新一代数字立法的颁布施行，我国与数据治理生态相关的规则设计日益丰富，在数据安全保障、个人信息保护及数据竞争利益等各个方面形成规范体系。而近年有关数据“爬虫”的刑事司法与民事司法坚持以数据开发利用和产业发展促进数据安全，以数据安全保障数据开发利用和产业发展，持续为“爬虫”等数据技术的规范使用提供了更为具体的规则指引。

　　该案作为全国首例短视频平台领域网络“爬虫”案，为判断数据“爬虫”的刑事风险提供了清晰的评价思路，也为各类数据技术运用划定了明确的刑事合规红线：一是数据“爬虫”访问和收集数据的方法手段和相关权限必须遵循刑法与其他法律的规定要求；二是数据“爬虫”访问和收集的信息内容与数据使用不得侵害法律特别保护的各类法益；三是数据“爬虫”应用中产生的客观后果不得对目标计算机信息系统及相关主体造成损害性影响。

　　进一步而言，该案的更深层启示意义在于，数据“爬虫”乃至企业涉数据刑事合规风控的建立和完善，应当以刑事责任预防为目标，对“爬虫”等数据技术的机理特质、应用场景、伴随情形等要素进行类型化分析，在全面建立企业数据治理框架的基础上，追踪司法裁判案例、比对数据“爬虫”的业务场景与司法判例的定性，研判可能侵害的法益内容及相应的法律风险类型，找寻并遵从现行法律规范提供的合法性依据，进而设计和引入与自身业务生态相匹配的刑事合规举措。