​计算机犯罪研究系列（一）网络爬虫技术的刑事风险

什么是网络爬虫？所谓网络爬虫也称为爬虫（Crawler），本质上是一种程序，该程序运行的逻辑流程包括：数据请求、数据处理、数据存储等三个环节，运行该程序的目的在于使用人通过该程序的运行自动收集并保存网络上符合特定要求的信息。

可以说，在目前的大数据风控行业，一切的产品开发均与该项技术存在或多或少的联系，为了更为清晰地理解爬虫技术的概念，本律师首先对该技术的逻辑流程绘制了一个清晰的图表：

从上图可以看出，爬虫的运行本质上是获取数据。整个流程类似于个人利用浏览器搜索信息的过程。爬虫的数据收集过程虽然与个人的上网行为类似但又有不同。爬虫的“上网”过程类似于从虚拟浏览器发送请求(获取网页代码)->提取有用的数据->存放于数据库或文件中。

爬虫技术存在的刑事风险就是存在于上面的数据获取和保存的过程中。本律师结合自己的实务经验针对爬虫技术包含的刑事风险予以总结，具体如下：

利用爬虫技术获取数据的行为可能涉嫌非法获取计算机信息系统数据罪

爬虫技术的使用过程中，如果所爬取的是公开的网络信息，利用爬虫技术获得的该部分数据行为则不存在违法犯罪的刑事风险。但是如果爬取的数据是经过他人“加密”或者需要“授权”的数据时则存在涉嫌构成非法获取计算机信息系统数据罪的刑事风险。

该种行为的风险在于爬虫技术使用了“侵入”的方法进入他人的计算机信息系统来获取数据。这种行为表现为破解或绕开了他人的“反爬虫技术”，因为正常的数据抓取行为是无法抓取到他人采取了“反爬虫技术”措施予以防御的数据的。以（2017）京0108刑初2384号《刑事判决书》为例，在该案中被告人宋健、侯明强等人正是利用爬虫“tt_spider”技术来对被害单位的数据库中的视频数据进行抓取。在该《一审判决书》的“本院查明”部分法院明确指出了被告人爬虫技术的“侵入”行为的具体表现：“在数据抓取的过程中使用伪造device_id绕过服务器的身份校验，使用伪造UA及IP绕过服务器的访问频率限制。”该部分内容表明了视频数据的获取需要经过被害人所设置的身份校验和频率限制等技术，该部分技术就是所谓的“反爬虫技术”，也是被害人对所拥有的数据所采取的技术防御手段。案件中的被告人则不顾该类技术保护措施，采用技术手段来破解或避开进而获取他人服务器中保存的视频数据，属于比较典型的侵入他人计算机信息系统获取数据的行为。

在这类刑事风险中，常见的是涉案人员或公司利用爬虫技术超越客户授权范围收集公民个人信息后转卖或提供给他人的行为。该类行为涉嫌构成侵犯公民个人信息罪，而且在不超越用户权限的情形下所获得的公民个人信息的转卖和提供行为同样也存在构成侵犯公民个人信息罪的刑事风险。

在超越用户权限获取信息的情形中，以主要用于网络贷款平台的“同业爬虫”为例，只要提供一个用户在现金贷平台的用户名和密码，“同业爬虫”就可以爬取到用户的基本信息、银行卡信息、职业、联系人、贷款记录、理财信息等与公民个人密切相关的数据。

以上爬取公民个人信息的行为，往往是超越了用户的授权范围，一般而言用户所授权的信息仅仅是个人所提供的账户和密码，而非更进一步的信息，但是这种超越用户授权的行为并非只能认定具有刑事风险。

超越用户权限收集公民个人信息的行为首先面临的责任并非刑事责任，其首先面对的是“治安管理处罚”层面的责任或民事责任。在以上行为中，如果爬虫使用者是在提供网络服务的业务活动中收集、使用公民个人信息，那么应该遵守的原则是全国人大常委会《关于加强网络信息保护的决定》的规定中规定的“合法、正当、必要的原则”，而且在获取“授权”范围的时候，一定要对收集、使用信息的“目的、方式、范围”予以明确。避免出现超越权限收集公民个人信息的情形和因为是否超越权限而引发的纠纷。

什么情形下会产生刑事风险呢？按照我国《刑法》第二百五十三条之一中关于侵犯公民个人信息罪的规定：“违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。”也就是说在用爬虫技术获取公民个人信息后出售或提供给他人使用的行为才可能涉嫌构成侵犯公民个人信息罪。

综上，利用爬虫技术所获得的数据如果超越了用户的授权，那么首先承担的是“治安管理处罚”层面的责任，但是如果将该类数据（不论超越权限与否）出售或提供给他人的行为则可能涉嫌侵犯公民个人信息。

这个类型的刑事风险主要源于一些大数据风控公司所开发的“运营商爬虫”产品。该种爬虫运行所获得的数据主要是跟用户手机业务有关的数据，即可以抓取一些手机卡过往使用情况的信息，包括使用时长、常用联系人、套餐信息等，以此验证机主的真实性来做风控，主要用于网络贷款平台中的反欺诈。按道理这部分业务属于风控业务，只要获得用户授权本不存在刑事风险，但是如果将该类数据提供或出售给他人使用则会产生风险。

在“套路贷”的犯罪团伙中，采取强收“斩头息”、虚增借款金额、制造虚假银行流水、转单平帐、罚息或强收违约金等所谓“行规”套路，非法占有被害人房产等。在债务人陷入“套路贷”骗局后如果无力“还款”，如何保证“债务”的催收，就成了整个套路贷犯罪中的关键一环。那么如果债务人失去联系更换电话号码，寻找到债务人的需求就产生了利用爬虫技术的空间和土壤。

在实务中，大数据风控公司与套路贷的人员产生联系的方式主要有两种：

第一种，作为技术转让方，将爬虫技术转让给网贷平台，由网贷平台利用该爬虫技术自行获得债务人的常用联系人信息进行“爆通讯录”“电话滋扰”等方式的催收。

第二种，作为技术合作方，直接利用爬虫技术提供“查询”服务。

无论是第一种还是第二种方式，存在的刑事风险在于，如果爬虫技术转让方或者合作方均“明知”网贷平台会将该技术用于“套路贷”等犯罪活动，则依照《关于办理“套路贷”刑事案件若干问题的意见》的规定有被按照“套路贷”相关犯罪的共同犯罪的可能（与本文相关的罪名主要是诈骗罪、敲诈勒索罪）。

但是值得注意的是，并非所有的爬虫技术转让方和合作方（以下统称爬虫技术方）均会被认定构成“套路贷”犯罪的共同犯罪。提出这一观点原因在于，一但在“套路贷”案件中认定爬虫技术方“明知”，那么爬虫技术方更为常见的是被认定为诈骗罪的共同犯罪。考虑到“套路贷”犯罪中的诈骗金额往往数额特别巨大，如果按照诈骗罪的量刑规定，爬虫技术方所面临的量刑幅度往往是“十年以上有期徒刑”。这一结果对于只是技术提供者而并未实际参与诈骗活动的爬虫技术方而言，所承担的责任过于严苛。事实上，只要爬虫技术方提供技术的行为，被认定为不明知他人利用该部分爬虫技术实施“套路贷”犯罪，那么该爬虫技术者的行为有很大可能被认定为帮助信息网络犯罪活动罪。而能否实现这一罪名的转变与“明知”与否能否被认定至关重要。

因此，在实务中辩护律师如何综合在案证据结合爬虫技术方的“认知能力”“既往经历”“行为次数”“手段”“与同案人”“被害人的关系”“获利情况”“是否主观规避查处”等主客观要素综合评估爬虫技术方的“主观”方面是否“明知”是决定案件定性的关键。