李謙

(南京師范大學(xué) 中國法治現(xiàn)代化研究院,江蘇 南京 210097)

大數(shù)據(jù)時代，隨著互聯(lián)網(wǎng)技術(shù)的持續(xù)推動，數(shù)據(jù)越來越成為社會資源中璀璨的明珠。中共中央、國務(wù)院印發(fā)的《關(guān)于新時代加快完善社會主義市場經(jīng)濟體制的意見》指出，“加快培育發(fā)展數(shù)據(jù)要素市場，建立數(shù)據(jù)資源清單管理機制，完善數(shù)據(jù)權(quán)屬界定、開放共享、交易流通等標準和措施，發(fā)揮社會數(shù)據(jù)資源價值”[1]?！蹲罡呷嗣穹ㄔ?國家發(fā)展和改革委員會關(guān)于為新時代加快完善社會主義市場經(jīng)濟體制提供司法服務(wù)和保障的意見》也提出“加強數(shù)據(jù)權(quán)利和個人信息安全保護”[2]。上述兩份國家層面的文件對數(shù)據(jù)要素和數(shù)據(jù)權(quán)利的明確表述，足以彰顯數(shù)據(jù)在經(jīng)濟發(fā)展過程中的重大價值。為實現(xiàn)數(shù)據(jù)價值最大化，很多企業(yè)通過收集和采集數(shù)據(jù)，對其進行分析和利用。

特別是在商業(yè)環(huán)境中，很多企業(yè)通過網(wǎng)絡(luò)爬蟲技術(shù)不斷抓取它們需要的數(shù)據(jù)，以增強其核心競爭力，這逐漸演變?yōu)橐粓鰣觥皵?shù)據(jù)爭奪賽”。在這一現(xiàn)象的背后，有關(guān)數(shù)據(jù)爬取法律責(zé)任的討論一直沒停止。在此期間，我國出現(xiàn)了一系列涉及數(shù)據(jù)爬取刑事責(zé)任認定的案例，如“運滿滿”訴“貨車幫”侵犯個人信息案、“酷米客”訴“車來了”非法獲取數(shù)據(jù)案、晟名公司非法抓取視頻數(shù)據(jù)案等都因數(shù)據(jù)爬取而被起訴或定罪量刑[3]。這些案例的共性在于，犯罪嫌疑人或因?qū)嵤?shù)據(jù)爬取而面臨刑事追責(zé)。數(shù)據(jù)爬取的關(guān)鍵技術(shù)是網(wǎng)絡(luò)爬蟲(web crawler)技術(shù)，它存在諸多不同的應(yīng)用場景，在各種應(yīng)用場景下，網(wǎng)絡(luò)爬蟲技術(shù)所處的具體情形也不盡相同，因而導(dǎo)致數(shù)據(jù)爬取刑事責(zé)任認定也無法一概而論。

在我國，數(shù)據(jù)爬取刑事責(zé)任認定存在一系列法律難題，如何看待這一系列法律難題成為人們必須高度關(guān)注的時代議題。就此而言，我國法學(xué)界主要在解釋論視角下為數(shù)據(jù)爬取刑事責(zé)任認定難題出謀劃策，可以說，解釋論視角下的研究路徑具有較強的針對性。不過在當(dāng)前數(shù)據(jù)爬取法律規(guī)范尚屬欠缺的背景下，解釋論視角還不能圓滿解決數(shù)據(jù)爬取刑事責(zé)任認定的現(xiàn)實難題。特別在沒有充分厘清網(wǎng)絡(luò)爬蟲技術(shù)原理的情形下，數(shù)據(jù)爬取刑事責(zé)任認定的現(xiàn)實難題依然沒有得到充分解決。有鑒于此，本文首先將簡析網(wǎng)絡(luò)爬蟲技術(shù)原理，其次將梳理數(shù)據(jù)爬取面臨的刑事安全風(fēng)險，再次擬考察美國完善數(shù)據(jù)爬取刑事責(zé)任認定的立法經(jīng)驗，最后從規(guī)范完善的角度，探討數(shù)據(jù)爬取刑事責(zé)任認定難題的解決方案。

一、網(wǎng)絡(luò)爬蟲技術(shù)原理簡析

網(wǎng)絡(luò)爬蟲是指利用“機器人”“網(wǎng)絡(luò)瀏覽器”“蜘蛛”等程序從網(wǎng)站頁面、手機移動客戶端等互聯(lián)網(wǎng)絡(luò)檢索、分析和獲取數(shù)據(jù)的行為[4]。按照實現(xiàn)爬蟲的技術(shù)差異，網(wǎng)絡(luò)爬蟲可分為通用網(wǎng)絡(luò)爬蟲、聚焦網(wǎng)絡(luò)爬蟲、增量式網(wǎng)絡(luò)爬蟲、深層網(wǎng)絡(luò)爬蟲等類型。在現(xiàn)實生活中，通常是這幾類爬蟲的綜合應(yīng)用[5]。以聚焦網(wǎng)絡(luò)爬蟲為例，它是按照預(yù)設(shè)好的主題，有選擇性地檢索、分析和獲取網(wǎng)頁內(nèi)容的一種爬蟲?；玖鞒虨椋号佬衅魍ㄟ^大量URL地址形成的頁面庫開始爬行，之后以設(shè)定的分析算法提取頁面主題，再通過分類器將相似度高的頁面提取和擴展更新庫，并重復(fù)這個過程[6]。簡言之，聚焦網(wǎng)絡(luò)爬蟲就是根據(jù)一定的分析算法對當(dāng)前網(wǎng)頁中的URL進行評估，過濾與爬取主題無關(guān)的URL，只保留有用的URL供后續(xù)的爬取過程使用[7]。這大致就是聚焦網(wǎng)絡(luò)爬蟲的運行原理。

在現(xiàn)實生活中，可能帶來負面影響甚至可能造成侵害風(fēng)險的技術(shù)是：采取偽裝手段或繞開訪問權(quán)限手段，無視協(xié)議約束和技術(shù)設(shè)置等要求恣意爬取目標內(nèi)容。從技術(shù)角度看，如果訪問對應(yīng)網(wǎng)頁的網(wǎng)站已有明確的robots協(xié)議或已利用技術(shù)設(shè)置反爬蟲機制，那么行為人在實施數(shù)據(jù)爬取行為中，采取高相似度的瀏覽器偽裝技術(shù)等手段違反robots協(xié)議或突破反爬蟲機制，就屬于惡意利用聚焦爬蟲技術(shù)。惡意利用聚焦爬蟲技術(shù)的侵害風(fēng)險有所差別，需根據(jù)爬取網(wǎng)頁信息內(nèi)容、爬取對分析和使用網(wǎng)頁信息內(nèi)容的影響等因素而定。

總體來說，網(wǎng)絡(luò)爬蟲的技術(shù)原理可以視為一種技術(shù)中立的自動化復(fù)刻工具。利用這種技術(shù)中立的自動化復(fù)刻工具實施數(shù)據(jù)爬取，如果其真實表現(xiàn)了“爬取意思”并嚴格遵守了網(wǎng)站服務(wù)條款與訪問權(quán)限設(shè)定等事實要求，那么基于網(wǎng)絡(luò)爬蟲的數(shù)據(jù)爬取行為很難被認為“非法”。如果不滿足這些限定性條件，即使利用這種技術(shù)中立的自動化復(fù)刻工具，那么仍可能面臨各種違法犯罪風(fēng)險。

二、數(shù)據(jù)爬取刑事安全風(fēng)險的類型化考察

考察數(shù)據(jù)爬取犯罪的刑事司法實踐大致能略窺一斑：數(shù)據(jù)爬取犯罪的司法裁判已包括非法侵入計算機信息系統(tǒng)罪、非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪、破壞計算機信息系統(tǒng)罪、侵犯著作權(quán)罪、侵犯公民個人信息罪等。適用這些罪名強化了刑法應(yīng)對數(shù)據(jù)爬取犯罪的現(xiàn)實管控力，但同時也帶來了數(shù)據(jù)爬取刑事安全風(fēng)險，具體表現(xiàn)在：

第一，單純違反網(wǎng)站robots 協(xié)議等合約授權(quán)的意思表示，可能因數(shù)據(jù)內(nèi)容的重要性而成立非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪、侵犯公民個人信息罪等。網(wǎng)站沒有設(shè)置相應(yīng)技術(shù)措施，如沒有采取爬蟲身份識別與攔截措施，只是在網(wǎng)站服務(wù)條款、使用說明、權(quán)責(zé)聲明等約定中明確禁止爬取的內(nèi)容和范圍。就此而言，行為人若違反這些事實要求，將面臨非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪、侵犯公民個人信息罪等刑事安全風(fēng)險。

第二，惡意將“爬蟲”程序植入計算機信息系統(tǒng)，導(dǎo)致其存儲的數(shù)據(jù)內(nèi)容被刪除或修改，可能面臨破壞計算機信息系統(tǒng)罪的刑事安全風(fēng)險。如王某將“爬蟲”程序植入組委會計算機信息系統(tǒng)中，導(dǎo)致該系統(tǒng)存儲的運動員個人身份數(shù)據(jù)、行程數(shù)據(jù)等被大量刪除，后果嚴重。此案以破壞計算機信息系統(tǒng)罪定罪處罰(1)參見天津市第一中級人民法院(2018)津01刑終300號刑事裁定書。?？梢?，如果在數(shù)據(jù)爬取過程中使用了惡意“爬蟲”程序或者腳本代碼，突破存儲數(shù)據(jù)技術(shù)防范措施并造成了嚴重后果，那么可能觸發(fā)相應(yīng)刑事安全風(fēng)險[8]。

第三，利用網(wǎng)絡(luò)爬蟲技術(shù)對他人作品進行數(shù)據(jù)爬取，并給公眾提供鏈接或地址，方便公眾下載使用，非法獲取利益的，可能面臨侵犯著作權(quán)罪的刑事安全風(fēng)險(2)認定成立侵犯著作權(quán)罪，除需符合客觀行為的構(gòu)成要件要素，還需符合以營利為目的、違法所得數(shù)額較大或者有其他嚴重情節(jié)等構(gòu)成要件要素。。特別是在《中華人民共和國刑法修正案(十一)》施行后，行為人爬取他人網(wǎng)站上的作品，如果未經(jīng)著作權(quán)人許可，通過信息網(wǎng)絡(luò)向公眾傳播作品的，將面臨侵犯著作權(quán)罪的刑事風(fēng)險。退一步講，即使沒有通過信息網(wǎng)絡(luò)向公眾傳播作品，只要未經(jīng)著作權(quán)人或者與著作權(quán)有關(guān)的權(quán)利人許可，故意避開或者破壞為著作權(quán)設(shè)置的技術(shù)措施的，也有可能成立侵犯著作權(quán)罪。

第四，未將利用網(wǎng)絡(luò)爬蟲算法自動化重復(fù)獲取或獲取不真實的個人信息予以排除，將提高數(shù)據(jù)爬取者面臨的刑事安全風(fēng)險。網(wǎng)絡(luò)爬蟲算法自身具有瑕疵或缺陷往往在所難免，若惡意利用這種網(wǎng)絡(luò)爬蟲算法爬取個人信息，其瑕疵或缺陷將進一步被放大：若網(wǎng)絡(luò)爬蟲算法重復(fù)計算個人信息或者因網(wǎng)絡(luò)爬蟲算法精準度發(fā)生偏差而計入了不真實的個人信息，未能發(fā)現(xiàn)并及時改進這些瑕疵或缺陷，無疑會加重數(shù)據(jù)爬取犯罪的刑事安全風(fēng)險。技術(shù)層面很難判斷個人信息的全部真實性[9]，網(wǎng)絡(luò)爬取個人信息數(shù)量被“虛增”的事實幾乎不可避免，這也是我國司法解釋設(shè)計個人信息計算的例外規(guī)定之現(xiàn)實原因(3) 《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第11條第3款規(guī)定，對批量公民個人信息的條數(shù)，根據(jù)查獲的數(shù)量直接認定，但是有證據(jù)證明信息不真實或者重復(fù)的除外。據(jù)此，信息不真實或者重復(fù)是個人信息計算的例外因素。。

三、數(shù)據(jù)爬取刑事責(zé)任認定的現(xiàn)實難題

數(shù)據(jù)爬取刑事責(zé)任認定的現(xiàn)實難題主要有三個。

(一)利益考察難以精準

在我國，數(shù)據(jù)爬取可能觸及的罪名包括侵犯公民個人信息罪、非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪、侵犯著作權(quán)罪、侵犯商業(yè)秘密罪等。若要構(gòu)成這些罪名，數(shù)據(jù)爬取則必須具備相應(yīng)罪名的不法要件和責(zé)任要件，即數(shù)據(jù)爬取者要為其不法行為承擔(dān)責(zé)任。在數(shù)據(jù)爬取刑事責(zé)任認定中，不可或缺的一個環(huán)節(jié)便是數(shù)據(jù)爬取的利益考察。數(shù)據(jù)爬取利益考察大致涉及兩方面。

一方面，考察數(shù)據(jù)權(quán)利。數(shù)據(jù)爬取可能侵害的數(shù)據(jù)權(quán)利包括知情權(quán)、訪問權(quán)、被遺忘權(quán)、可攜帶權(quán)等。這些數(shù)據(jù)權(quán)利的類型十分豐富，而我國法學(xué)界還沒有對數(shù)據(jù)權(quán)利的類型展開系統(tǒng)分析，這在很大程度上加大了考察數(shù)據(jù)權(quán)利的難度。

另一方面，考察數(shù)據(jù)利用與隱私保護。當(dāng)數(shù)據(jù)爬取是科學(xué)活動的必要步驟時，考察數(shù)據(jù)利用與隱私保護就成為數(shù)據(jù)爬取刑事責(zé)任認定的利器。至于如何考察數(shù)據(jù)利用與隱私保護，有學(xué)者曾明確指出，“我們需要建立更為明確的強制性規(guī)則，來審查科研人員對特定種類數(shù)據(jù)的抓取”[10]。此觀點旨在保障科研活動有序推進的同時，審慎對待特定種類數(shù)據(jù)，從而最大限度予以隱私保護。鑒于上述兩方面，可以看到，利益考察難以精準已成為數(shù)據(jù)爬取刑事責(zé)任認定的難題之一。

(二)行為性質(zhì)難辨

在我國刑事司法中，數(shù)據(jù)爬取的行為性質(zhì)難辨體現(xiàn)在兩方面。

一方面，對于非法訪問的認定。如果數(shù)據(jù)爬取被認定為非法訪問，那么數(shù)據(jù)爬取者必然違反了相應(yīng)授權(quán)事項。筆者認為，對特定情形中授權(quán)事項存在理解上的偏差，是認定非法訪問的根本障礙。從技術(shù)角度看，未經(jīng)授權(quán)的訪問主要包括如下兩種情形：一是違背數(shù)據(jù)主體網(wǎng)站的授權(quán)意愿，如違反爬蟲協(xié)議、服務(wù)協(xié)議、點擊生效協(xié)議、瀏覽生效協(xié)議等；二是故意避開或強行突破數(shù)據(jù)主體網(wǎng)站的安全防御措施，如對數(shù)據(jù)進行解碼、解密或者用其他方法避開、去除或毀損等方式[11]。主流理論觀點認為，“未經(jīng)授權(quán)的訪問應(yīng)以破解加密算法或者安全防御措施為標準，而不應(yīng)以違反非強制性的使用協(xié)議為標準”[12]。避開或突破安全防御措施的難度，與刑事責(zé)任認定的可能性成正相關(guān)[13]。也就是說，如果數(shù)據(jù)爬取者幾乎未用技術(shù)手段避開或突破安全防御措施(避開或突破難度小)，那么其訪問行為承擔(dān)刑事責(zé)任的可能性就小。但現(xiàn)實卻是，我國刑事司法并未合理區(qū)分上述情形，也未厘清非法訪問的內(nèi)涵，不當(dāng)擴大了數(shù)據(jù)爬取的入罪范圍。

另一方面，對于非法獲取的認定。在我國刑事司法中，非法獲取數(shù)據(jù)有三種情形：一是獲取可以訪問與使用的數(shù)據(jù)，這些數(shù)據(jù)通常處于網(wǎng)絡(luò)公開領(lǐng)域。二是獲取可以訪問但限制使用的數(shù)據(jù)。訪問這些數(shù)據(jù)通常需要登陸網(wǎng)站賬號及密碼，但這些數(shù)據(jù)通常會限制相關(guān)利益者開展特定活動。典型例子如商業(yè)競爭者訪問某企業(yè)的特定數(shù)據(jù)后，非法獲取這些數(shù)據(jù)，并用于不正當(dāng)競爭活動。三是獲取明令禁止獲取的數(shù)據(jù)。這些數(shù)據(jù)主要涉及國家安全、商業(yè)秘密以及未經(jīng)主體授權(quán)或未遵守相應(yīng)規(guī)范獲取的敏感個人數(shù)據(jù)(如個人生物識別數(shù)據(jù))等。獲取的數(shù)據(jù)的排他性高低與刑事責(zé)任認定的可能性亦呈正相關(guān)關(guān)系，也就是說，如果數(shù)據(jù)幾乎沒有排他性，那么獲取這些數(shù)據(jù)承擔(dān)刑事責(zé)任的可能性就很小。當(dāng)前，我國刑事司法并未辨明上述非法獲取的行為性質(zhì)，導(dǎo)致沒有可罰性的行為被過度認定為犯罪，擴張了數(shù)據(jù)爬取的刑事責(zé)任。

(三)損害結(jié)果定位模糊

損害結(jié)果是判斷數(shù)據(jù)爬取帶來不利影響的重要依據(jù)。我國刑事司法主要通過刑法有關(guān)罪名“不法結(jié)果”的構(gòu)成要件，來具體解釋損害結(jié)果的含義。非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪、侵犯公民個人信息罪、侵犯著作權(quán)罪、侵犯商業(yè)秘密罪的“不法結(jié)果”有三種情形：一是數(shù)量型，如獲取身份認證信息達到一定數(shù)量即可入罪；二是數(shù)額型，如違法所得或經(jīng)濟損失達到一定數(shù)量即可入罪；三是情節(jié)型，如有其他嚴重情節(jié)也可入罪。三種情形的共性問題是對損害結(jié)果的定位模糊，這使得以網(wǎng)絡(luò)爬蟲技術(shù)為支撐的數(shù)據(jù)爬取極易入罪。

試舉一例，在晟名公司非法抓取視頻數(shù)據(jù)案中，被告人借助網(wǎng)絡(luò)爬蟲程序，非法獲取被害人的視頻數(shù)據(jù)，致使被害人付出技術(shù)服務(wù)費用2萬元。法院最終認定，被告人行為符合“情節(jié)嚴重”，因而被認定成立非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪(4)參見北京市海淀區(qū)人民法院(2017)京0108刑初2384號刑事判決書。。筆者認為，法院對于此案中損害結(jié)果的定位較為模糊。在該案判決書中，法院一方面沒有交代被害人付出技術(shù)服務(wù)費用2萬元就是經(jīng)濟損失2萬元，也就沒有援引《最高人民法院、最高人民檢察院關(guān)于辦理危害計算機信息系統(tǒng)安全刑事案件應(yīng)用法律若干問題的解釋》第1條中“造成經(jīng)濟損失一萬元以上”；另一方面亦沒有說明被告人行為是否屬于“其他嚴重情節(jié)”[14]。綜合這兩方面，法院對于被告人行為屬于何種“情節(jié)嚴重”語焉不詳，致使損害結(jié)果定位模糊。

四、美國完善數(shù)據(jù)爬取刑事責(zé)任認定的立法經(jīng)驗

美國完善數(shù)據(jù)爬取刑事責(zé)任認定的立法經(jīng)驗包括確立場景化模式與將場景化模式應(yīng)用于《計算機欺詐和濫用法》和相關(guān)行政法規(guī)的立法修正。下文將對此展開考察。

(一)場景化模式的確立

美國解決數(shù)據(jù)爬取刑事責(zé)任認定難題的第一步，是確立了場景化模式。通常來說，場景化模式主要源自美國隱私保護理論與實踐(5)應(yīng)予說明，歐盟《數(shù)據(jù)保護通用條例》部分條文也體現(xiàn)場景化模式的理念。如在其第6條第4段中強調(diào)“個人數(shù)據(jù)收集時的場景，特別是數(shù)據(jù)主體與控制者之間的關(guān)系”。從整體上看，場景化模式在歐盟《數(shù)據(jù)保護通用條例》中規(guī)定得較為籠統(tǒng)，沒有得到進一步展開。。在理論層面，美國學(xué)者Solove[15]較早提出“定義隱私，不應(yīng)追求一個抽象的隱私概念，相反，應(yīng)在特定場景下理解隱私”。此外，美國學(xué)者Nissenbaum[16]提出“場景脈絡(luò)完整性”(contextual integrity)理論，進一步闡明了場景化模式的內(nèi)涵：它旨在使信息收集和傳播適合特定場景，并遵循特定場景中的分布規(guī)則。該理論包含兩類(信息)規(guī)范，一是適合性規(guī)范(norms of appropriateness)，二是流動或者分布規(guī)范(norms of flow or distribution)。在實踐層面，一方面，在判斷搜查行為是否違反美國憲法第四修正案關(guān)于搜查的規(guī)定時，美國法院注重評估搜查行為對被搜查者合理隱私期待的影響(6)關(guān)于美國憲法第四修正案對隱私保護的影響，參見KERR O S.Applying the fourth amendment to the internet:a general approach.Stanford Law Review,2010 (4):1050;SELBST A D.Contextual expectations of privacy.Cardozo Law Review,2013 (2):687.；另一方面，正式生效的《加利福尼亞州消費者隱私法案》凸顯了場景化模式的細致規(guī)定(7)參見California Consumer Privacy Act of 2018,1798.105.(d)(1)“… or reasonably anticipated within the context of a business’s ongoing business relationship with the consumer…”;1798.105.(d)(9)“in a lawful manner that is compatible with the context in which the consumer provided the information”；1798.140.(d)“that is compatible with the context in which the personal information was collected”。。

自場景化模式被提出并確立后，其在數(shù)據(jù)爬取司法規(guī)制中得以應(yīng)用[17]。在Craigslist Inc.v.3Taps Inc案中，Craigslist經(jīng)營的網(wǎng)站允許用戶提交和瀏覽分類廣告。被告人3Taps通過復(fù)制Craigslist的網(wǎng)站內(nèi)容，聚合并再版其廣告。Craigslist實施兩個補救措施來阻止該行為：一個補救措施是給3Taps發(fā)送停止和終止令(cease and desist letter)，告知其行為未經(jīng)授權(quán)；另一個則是設(shè)立相應(yīng)配置，阻止從IP地址的不正常訪問(8)Craigslist Inc.v.3Taps Inc.,964 F.Supp.2d 1178,1178 (N.D.Cal.2013).。此案爭議點在于，3Taps的行為是否屬于“未經(jīng)授權(quán)”。法院根據(jù)Craigslist發(fā)送停止和終止令，以及設(shè)立IP地址阻攔的場景，認為其已真實有效地撤回授權(quán)。此時，3Taps繼續(xù)從Craigslist網(wǎng)站上抓取數(shù)據(jù)，該行為就是“未經(jīng)授權(quán)”(9)同上，1184.?？梢?，通過場景化模式考察用戶賬戶、IP地址和MAC地址過濾等法律意義，有助于判斷網(wǎng)站所有者是否使用技術(shù)控制來表示撤銷訪問，以及用戶是否理解此撤回(10)同上，1186.。場景化模式除了應(yīng)用于數(shù)據(jù)爬取司法規(guī)制，還被應(yīng)用于立法修正中。

(二)《計算機欺詐和濫用法》和相關(guān)行政法規(guī)的立法修正

美國解決數(shù)據(jù)爬取刑事責(zé)任認定難題的第二步，主要是將場景化模式應(yīng)用于《計算機欺詐和濫用法》和相關(guān)行政法規(guī)的立法修正。概括而言，這些立法修正聚焦于兩類規(guī)范的調(diào)整：“授權(quán)”規(guī)范和“損壞/損害”規(guī)范?！笆跈?quán)”規(guī)范禁止未經(jīng)同意訪問或者超越同意范圍訪問特定網(wǎng)絡(luò)空間。美國司法實務(wù)界通過個案研判，將言論自由與知情同意、公開訪問與技術(shù)保障等價值，逐步融入“授權(quán)”規(guī)范?！皳p壞/損害”規(guī)范禁止以特定方式、在特定時間、對特定數(shù)量的信息、數(shù)據(jù)或者程序等施以不利影響。對于何為“損壞/損害”，美國司法實務(wù)界仍通過個案歸納，把分享激勵與安全保障、社會需求與個人期待等價值，不斷納入“損壞/損害”規(guī)范。下文以這兩類規(guī)范為考察對象，分別討論在《計算機欺詐和濫用法》和相關(guān)行政法規(guī)中這兩類規(guī)范如何進行調(diào)整。

1.針對“授權(quán)”規(guī)范的立法修正

在《計算機欺詐和濫用法》中，立法者雖然已經(jīng)定義了“超出授權(quán)訪問”，但沒有從正面交代“授權(quán)”和“訪問”兩個用語的含義。數(shù)據(jù)爬取的現(xiàn)實情形無奇不有，加之網(wǎng)絡(luò)技術(shù)的機理日益復(fù)雜，即使場景化模式已在司法領(lǐng)域中得以應(yīng)用，美國數(shù)據(jù)爬取刑事責(zé)任認定的研究也并未就此止步。場景化模式在其立法修正中同樣得到重視。

第一，為確定“授權(quán)”范圍及效力等事項，把屬于合理使用的范疇、明顯無需特別授權(quán)的情形加以特別規(guī)定，是修正《計算機欺詐和濫用法》的著力點。如在立法中增加類似規(guī)定：“當(dāng)數(shù)據(jù)爬取者同時符合如下四個條件，即應(yīng)免除其刑事責(zé)任：(1)數(shù)據(jù)爬取者在網(wǎng)絡(luò)上是良善公民，并且沒有給目標網(wǎng)站帶來多余負擔(dān)；(2)抓取的數(shù)據(jù)可公開獲取，并且不存在密碼認證；(3)抓取的數(shù)據(jù)主要反映事實性內(nèi)容，并且抓取行為不侵權(quán)(包括不侵犯版權(quán))；(4)抓取的數(shù)據(jù)用于創(chuàng)建變型產(chǎn)品，并且沒有通過引誘用戶或者創(chuàng)建基本相似產(chǎn)品，來從目標網(wǎng)站竊取市場份額?！盵18]以上第(2)～(4)項分別從數(shù)據(jù)來源、數(shù)據(jù)內(nèi)容以及數(shù)據(jù)商業(yè)用途等情形，明確數(shù)據(jù)爬取免于刑事責(zé)任認定的情況，在立法修正中運用了場景化模式。

第二，制定行政法規(guī)以澄清“授權(quán)”規(guī)范，也至關(guān)重要。考察美國立法史可以發(fā)現(xiàn)，國會已授權(quán)行政機構(gòu)在其立法中增加相應(yīng)刑事規(guī)定。如美國證券交易委員會在其行政法規(guī)中增加關(guān)于金融犯罪的規(guī)定。對于“授權(quán)”規(guī)范，應(yīng)在行政法規(guī)中區(qū)分這樣兩種場景：一是僅查看數(shù)據(jù)而沒有獲取或者使用數(shù)據(jù)，將構(gòu)成某個懲罰量級；二是突破計算機系統(tǒng)的特定區(qū)域，查看數(shù)據(jù)并獲得或者使用數(shù)據(jù)而無任何阻卻事由的，將構(gòu)成某高懲罰量級。這樣一種場景化區(qū)分，既能有效辨識數(shù)據(jù)爬取的民事責(zé)任、行政責(zé)任和刑事責(zé)任，也能為不同法律性質(zhì)的行為架設(shè)寬嚴有別的懲罰梯度[19]。

2.針對“損壞/損害”規(guī)范的立法修正

第一，在《計算機欺詐和濫用法》中，立法者已采用“定性+定量”的立法模式。定量的立法模式表現(xiàn)在“經(jīng)濟利益”之后增加“所獲信息的公平市場價值超過5 000美元”。這意味著，倘若數(shù)據(jù)爬取導(dǎo)致的結(jié)果符合“損壞/損害”的定性條件，但未達到該定量條件，那么此數(shù)據(jù)爬取仍因不滿足“損壞/損害”規(guī)范而無法被追究刑事責(zé)任。此外，整體上修訂《計算機欺詐和濫用法》，應(yīng)有限擴容“損壞/損害”規(guī)范。例如，考慮將計算機時間損失和信賴損失納入立法[20]。

第二，細節(jié)上完善“損壞/損害”規(guī)范，還會借助行政法規(guī)。應(yīng)用場景化模式是將特定用語與一般用語相結(jié)合，明確列舉不同程度的損壞或者損害情形。其中，特定用語主要闡明數(shù)據(jù)爬取的時長、頻率和后果(如抓取數(shù)據(jù)被大量泄露)等。一般用語主要揭示隨著技術(shù)發(fā)展，什么情形下的損壞或者損害應(yīng)包含在這些規(guī)定中。在未來，損壞或者損害的場景將發(fā)生巨大變化，這就要及時調(diào)整現(xiàn)有行政立法。例如，通過設(shè)置針對特定數(shù)據(jù)的云鏈接，并實施數(shù)據(jù)爬取導(dǎo)致權(quán)利人受損，這是否構(gòu)成《計算機欺詐和濫用法》中“損壞/損害”？對此問題，宜立足于制定行政法規(guī)加以解答。

五、數(shù)據(jù)爬取刑事責(zé)任認定難題的解決方案

當(dāng)前解決數(shù)據(jù)爬取刑事責(zé)任認定難題的基本思路主要從刑法解釋論出發(fā)，把數(shù)據(jù)爬取的行為過程分解為“非法訪問”“非法獲取”，并在不法與有責(zé)為支架的犯罪論體系下，結(jié)合實質(zhì)解釋論等理論，具體細致地研討數(shù)據(jù)爬取的刑事責(zé)任問題?？梢哉f，刑法解釋論在面對數(shù)據(jù)爬取刑事責(zé)任問題時具有的基礎(chǔ)性與價值性等意義，值得肯定。不過，刑法解釋論中一部分主張嚴密數(shù)據(jù)爬取刑事適用的觀點，值得人們反思。

筆者認為，刑事司法規(guī)制數(shù)據(jù)爬取理應(yīng)保持必要的謙抑性，相當(dāng)多僅具有一般違法的數(shù)據(jù)爬取行為不應(yīng)付諸刑罰。首先，從構(gòu)成要件上分析，如果不符合刑法罪名中涉及的行為性質(zhì)與結(jié)果數(shù)量的具體要求，數(shù)據(jù)爬取即使帶來了相應(yīng)“惡果”，也不應(yīng)進行定罪處罰。其次，從價值衡量上分析，數(shù)據(jù)爬取給網(wǎng)絡(luò)用戶或者數(shù)字企業(yè)帶來的數(shù)據(jù)資源與利用價值，可能遠超其所產(chǎn)生的負面效應(yīng)。如果數(shù)據(jù)爬取沒有直接針對特定數(shù)據(jù)類型或者計算機信息系統(tǒng)，也沒有制造或者沒有導(dǎo)致網(wǎng)絡(luò)數(shù)據(jù)嚴重安全風(fēng)險，那么追究其刑事責(zé)任恐無充分理論依據(jù)。再次，從規(guī)制效果上分析，如果技術(shù)方案、市場機制或者前置法等舉措能夠有效預(yù)防或者及時遏制數(shù)據(jù)爬取引發(fā)的安全風(fēng)險，發(fā)動刑罰宜特別謹慎。

總而言之，從解釋論視角破解數(shù)據(jù)爬取刑事責(zé)任的認定難題，并系統(tǒng)構(gòu)建其入罪標準及其限度，是當(dāng)前學(xué)術(shù)研究的主要著眼點。筆者認為，解釋論視域下數(shù)據(jù)爬取刑事責(zé)任認定的利益考察等難題，有時難以通過解釋論予以闡明。從某種意義上說，這需要在規(guī)范完善視域下，多方論證其利益考察，并使之作為數(shù)據(jù)爬取刑事責(zé)任認定的價值性理由?；诖?，規(guī)范完善構(gòu)成了解決數(shù)據(jù)爬取刑事責(zé)任的認定難題之另一視域，這一視域在目前學(xué)術(shù)研究中還較為少見。

下文將上述場景化模式應(yīng)用于數(shù)據(jù)爬取刑事責(zé)任認定的規(guī)范完善中，從立法與司法解釋兩個方面，討論如何解決數(shù)據(jù)爬取刑事責(zé)任的認定難題。

(一)在刑法中完善“非法訪問”“非法獲取”的規(guī)定

就完善“非法訪問”的規(guī)定而言，其旨在體現(xiàn)授權(quán)事項的出罪效果。授權(quán)事項的出罪效果體現(xiàn)在，如果獲取的是公開發(fā)布或者經(jīng)對方同意或者授權(quán)的個人數(shù)據(jù)，那么應(yīng)當(dāng)予以出罪[21]。為彰顯這一出罪效果，立法者可以特別規(guī)定合理使用、無需明顯特別授權(quán)的情形，由此在刑法中就需要明確一些具體的免責(zé)事由。

就完善“非法獲取”的規(guī)定而言，其旨在增強對數(shù)據(jù)的刑法保護。身處大數(shù)據(jù)時代，在刑法中完善“非法獲取”的規(guī)定是為了增強對數(shù)據(jù)的刑法保護[22]，而不僅僅是為了呈現(xiàn)非法獲取與非法侵入在不法屬性上的差異。修改“非法獲取”的規(guī)定，大致包括兩種模式：一是在《刑法》原來條款中增加相應(yīng)法律要件(統(tǒng)一模式)；二是在《刑法》中增加新條款(雙重模式)[23]。

對于統(tǒng)一模式，完善“非法獲取”的規(guī)定相對簡單。一般來說，與非法獲取數(shù)據(jù)相類似的不法行為也可以添加到原條款。雖然非法獲取數(shù)據(jù)是數(shù)據(jù)爬取的主要不法行為，但仍無法排除數(shù)據(jù)爬取還可能涉及其他不法行為。事實上，美國主要立法經(jīng)驗表明，在網(wǎng)絡(luò)空間下由技術(shù)支持的特殊危害行為都有可能被理解為數(shù)據(jù)爬取，如借助網(wǎng)絡(luò)爬蟲技術(shù)的持有數(shù)據(jù)、復(fù)制數(shù)據(jù)或竊取數(shù)據(jù)。不難想象，這些行為可能影響數(shù)據(jù)安全的保密性，且不當(dāng)干預(yù)數(shù)據(jù)使用的有限空間。應(yīng)當(dāng)注意，選擇統(tǒng)一模式修改“非法獲取”的規(guī)定，必須遵循這樣一條原則，即在法益侵害上，新增不法行為與現(xiàn)有不法行為類型(非法獲取)不抵牾。據(jù)此，以非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪為例，添加到其條款中的不法行為仍局限于破壞計算機信息系統(tǒng)安全，卻沒有觸及數(shù)據(jù)安全的內(nèi)核。由此可見，通過統(tǒng)一模式修改“非法獲取”規(guī)范，存在一定局限。

對于雙重模式，其應(yīng)用于原來條款不能完全涵蓋的新條款的法益保護。仍以非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪為例，雖然其規(guī)定了數(shù)據(jù)爬取的主要不法行為(非法獲取)，但為強化數(shù)據(jù)法益的特別保護，立法者會在條件成熟時選擇雙重模式，以提供明確且充分的立法規(guī)定。筆者認為，雙重模式在大數(shù)據(jù)時代更具優(yōu)勢：一方面，有助于嚴密數(shù)據(jù)爬取的刑事法網(wǎng)。通過增加新條款，明晰非法獲取數(shù)據(jù)的不法屬性，并結(jié)合不同場景因素，劃分數(shù)據(jù)爬取可能存在的風(fēng)險層級，由此嚴密數(shù)據(jù)爬取的刑事法網(wǎng)。這與場景化模式的觀點相吻合，說明差別性對待數(shù)據(jù)爬取不可或缺，要重視不同場景因素組合下的風(fēng)險層級。如通過雙重模式增加新條款，對數(shù)據(jù)爬取的行為方式予以類型化，并結(jié)合不同場景因素確定具體的刑事罰則。另一方面，有助于合理界分數(shù)據(jù)爬取的行政不法與刑事不法。為彰顯這一優(yōu)勢，立法者選擇雙重模式，關(guān)注刑事不法所必備的特定要件，并可規(guī)定相應(yīng)的處罰阻卻事由。由此帶來的體系上的積極功能是：有助于合理區(qū)分數(shù)據(jù)爬取的行政不法與刑事不法，也有助于正確評價其罪與非罪問題。

鑒于雙重模式上述兩方面優(yōu)勢，筆者認為，可增加如下新條款：“行為人采取竊取、持有或者其他手段獲取數(shù)據(jù)，情節(jié)嚴重的，判處三年以下有期徒刑或者拘役，單處或者并處罰金。行為人獲取數(shù)據(jù)未給數(shù)據(jù)安全造成損害的，行為人自愿接受行政處罰，并具結(jié)悔過的，可以不予追究刑事責(zé)任；但行為人獲取數(shù)據(jù)被處罰后又獲取數(shù)據(jù)或者獲取數(shù)據(jù)給數(shù)據(jù)安全造成損害或者具有高度損害風(fēng)險的除外”。

(二)在行政法中體現(xiàn)網(wǎng)絡(luò)爬蟲技術(shù)特征

數(shù)據(jù)爬取的主要技術(shù)是網(wǎng)絡(luò)爬蟲技術(shù)。在行政法中體現(xiàn)網(wǎng)絡(luò)爬蟲技術(shù)特征，有助于從技術(shù)支撐視角理解“非法訪問”“非法獲取”的語義內(nèi)涵。通過行政法進行完善，我國有學(xué)者提出建議：“立法者也可通過必要的立法技術(shù)，適時在互聯(lián)網(wǎng)專條中增設(shè)相關(guān)規(guī)定，明確其行為構(gòu)成諸要件及責(zé)任追究等內(nèi)容”[24]。在此之前，美國學(xué)者Simmons[19]1714就明確指出，“現(xiàn)在是通過行政法規(guī)制計算機犯罪的時候了，這是因為《計算機欺詐和濫用法》未能明確‘計算機濫用’的構(gòu)成要素。”網(wǎng)絡(luò)爬蟲技術(shù)影響“非法獲取”不法行為的判斷，由此應(yīng)通過行政法體現(xiàn)其特征，原因如下：

一方面，這有助于規(guī)定具有專業(yè)性的例示條款。行政法中專業(yè)性的例示條款越多，越能及時有效應(yīng)對數(shù)據(jù)爬取。例如，在判斷抓取云存儲中的數(shù)據(jù)是否為個人信息類數(shù)據(jù)時，會涉及使用加密、匿名和假名等技術(shù)手段，這對個人信息類數(shù)據(jù)的定義將產(chǎn)生實質(zhì)影響(11)在云存儲中，借助場景因素與風(fēng)險層級，定義個人信息類數(shù)據(jù)并加強保護，通?？煞譃閮刹剑旱谝?，考慮合理的技術(shù)和組織措施來減少識別風(fēng)險。只要導(dǎo)致的風(fēng)險仍十分高，抓取數(shù)據(jù)就應(yīng)被視為個人信息類數(shù)據(jù)，且引發(fā)數(shù)據(jù)保護義務(wù)。第二，應(yīng)評估損害風(fēng)險和其可能的嚴重性，并對個人信息類數(shù)據(jù)采取合理保護措施，這一保護義務(wù)要與風(fēng)險相匹配。相關(guān)內(nèi)容,參見Hon W K,MILLARD C &WALDEN I,What is regulated as personal data in clouds,in MILLARD C ed.,Cloud computing law,Oxford University Press,2013,p.189.。此外，抓取數(shù)據(jù)的類型往往是個人數(shù)據(jù)、企業(yè)數(shù)據(jù)、政府?dāng)?shù)據(jù)的相互雜糅和轉(zhuǎn)化，因此，數(shù)據(jù)爬取的正當(dāng)性問題就要逐一進行判斷[25]，這需要在行政法中體現(xiàn)網(wǎng)絡(luò)爬蟲技術(shù)特征加以提示。

另一方面，這有助于數(shù)據(jù)爬取刑事不法判斷的準確性。在行政法中細分獲取數(shù)據(jù)的手段，并為各手段分配相應(yīng)行政處罰。這為數(shù)據(jù)爬取刑事不法判斷提供了充足的前置法規(guī)范，其準確性也隨之提高。

以獲取個人信息類數(shù)據(jù)為例，獲取敏感個人數(shù)據(jù)比獲取個人隱私數(shù)據(jù)更具處罰必要性，獲取個人隱私數(shù)據(jù)又比獲取個人普通數(shù)據(jù)更具處罰必要性。據(jù)此，對獲取不同敏感度的個人信息類數(shù)據(jù)，可分別規(guī)定行政處罰，并增加提示刑事罰則的條款，以明確獲取數(shù)據(jù)的刑事不法。至于如何體現(xiàn)網(wǎng)絡(luò)爬蟲技術(shù)特征，筆者認為，以“例示條款+提示刑事罰則條款”方式較為妥當(dāng)。其中，例示條款旨在從獲取數(shù)據(jù)的手段、類型、條件等內(nèi)容出發(fā)，列舉可能出現(xiàn)的行政不法情形。提示刑事罰則條款旨在將這些行政不法情形，涵攝到刑法中，為其刑事不法判斷提供立法根據(jù)。

(三)在司法解釋中明確損害結(jié)果的罪量評價

明確損害結(jié)果的罪量評價，決定數(shù)據(jù)爬取最終能否入罪。我國刑法規(guī)定了數(shù)據(jù)爬取損害結(jié)果的罪量評價，但在司法實踐中其未被認真對待的現(xiàn)象時有發(fā)生。在此背景下，我國司法解釋制定的目標之一便是明確數(shù)據(jù)爬取損害結(jié)果的罪量評價。通過司法解釋加以明確，有助于準確判斷網(wǎng)絡(luò)爬蟲技術(shù)背后承載的社會責(zé)任、法律責(zé)任和真實使用意圖[26]。

至于如何在司法解釋中明確損害結(jié)果的罪量評價，以下三點內(nèi)容值得進一步關(guān)注。

第一，細分損害結(jié)果的罪量評價之個別化情形。司法解釋對于數(shù)據(jù)爬取損害結(jié)果的罪量評價，應(yīng)避免不區(qū)分特定情形地籠統(tǒng)表述。只有區(qū)分數(shù)據(jù)爬取損害結(jié)果的特定情形，才能有針對性地明確其罪量評價。司法解釋應(yīng)在數(shù)額型、數(shù)量型與情節(jié)型罪量評價之下，結(jié)合數(shù)據(jù)爬取的類型劃分與階段特征，進一步細分損害結(jié)果的罪量評價之個別化情形。

第二，以“例示條款+兜底條款”方式明確損害結(jié)果的罪量評價。就我國未來司法解釋制定而言，應(yīng)將數(shù)據(jù)爬取損害結(jié)果的罪量評價進一步明確化：(1)規(guī)避技術(shù)措施、妨害監(jiān)管機制以及攻擊空間架構(gòu)等影響網(wǎng)絡(luò)正常運行的不法侵害行為；(2)非法獲取數(shù)據(jù)的時長、數(shù)量、類型、狀態(tài)及價值；(3)對下游數(shù)據(jù)違法犯罪的負面影響；(4)被害人采取必要補救措施的成本及成效；(5)其他應(yīng)當(dāng)被理解為數(shù)據(jù)爬取損害結(jié)果的罪量評價。

第三，列明損害結(jié)果的罪量評價之免責(zé)事由。當(dāng)數(shù)據(jù)爬取損害結(jié)果的罪量評價顯著輕微，沒有危害的，司法解釋應(yīng)列明其可以不作為犯罪處理或者不起訴。在司法解釋中列明免責(zé)事由，既要注意免責(zé)事由的語言表述，又要強調(diào)免責(zé)事由的體系構(gòu)建。例如，司法解釋應(yīng)列明數(shù)據(jù)爬取損害結(jié)果在何種情形下，符合何種要件就具備了免責(zé)事由。同時，司法解釋不同條文中的免責(zé)事由必須邏輯連貫，各免責(zé)事由應(yīng)保持內(nèi)在體系協(xié)調(diào)。

綜合以上這三點，可以得知，在司法解釋中明確損害結(jié)果的罪量評價，能夠有效應(yīng)對數(shù)據(jù)爬取損害結(jié)果定位模糊的難題。

六、結(jié) 論

數(shù)據(jù)爬取刑事責(zé)任認定逐步成為我國法學(xué)理論界與實務(wù)界的關(guān)注焦點。本文首先交代了數(shù)據(jù)爬取的類型劃分與階段特征，其次分析了當(dāng)前數(shù)據(jù)爬取刑事責(zé)任認定的現(xiàn)實難題，然后考察了美國完善數(shù)據(jù)爬取刑事責(zé)任認定的立法經(jīng)驗，最后從規(guī)范完善角度，提供了數(shù)據(jù)爬取刑事責(zé)任認定的解決方案。

身處大數(shù)據(jù)時代，破解數(shù)據(jù)爬取刑事責(zé)任認定帶來的現(xiàn)實難題，一方面要細化解釋論視角下法學(xué)研究的深邃要義與體系規(guī)則，另一方面更要目光長遠，認清當(dāng)前我國規(guī)制數(shù)據(jù)爬取法律規(guī)范的基本狀況，適時從規(guī)范完善角度認真對待數(shù)據(jù)爬取刑事責(zé)任認定的時代議題。此外，借鑒美國完善數(shù)據(jù)爬取刑事責(zé)任認定的立法經(jīng)驗，必須時刻關(guān)注理論話語體系的有效性與轉(zhuǎn)化性問題，結(jié)合中國法治實踐面臨的新情況、新問題與新動向，科學(xué)打造自身理論話語體系，為有效破解數(shù)據(jù)爬取刑事責(zé)任認定難題提供可能的理論方案。