剛和朋友聊天提起某款商品，打開購物App後，首頁随即出現同類産品的推送廣告；家人商量打算去某地旅遊後，某旅遊App馬上“奉上”該地最佳旅遊攻略……

如今，很多人都有類似這樣的經曆，這種“聊啥來啥”的現象讓人們在接受“貼心”服務的同時也越發感到疑惑：“難道App在‘偷聽’我們聊天？”近幾年，在侵犯公民個人信息犯罪案件的辦理中，網絡爬蟲技術逐步走進大衆視野。

網絡爬蟲技術爬取個人信息是否合法？在大數據時代，爬蟲技術應用的法律紅線在哪裡？在《中華人民共和國個人信息保護法》正式實施之際，記者就此采訪了有關專家。

公民個人信息是如何被爬走的

個人信息是互聯網企業輸出用戶畫像、制定營銷策略以及識别風險的重要依據。随着數據産業的不斷發展，個人信息已成為高價值的數據資源，對其的争奪日趨激烈。據統計，目前，除了直接通過用戶采集數據，另一個主要的數據來源就是使用網絡爬蟲技術采集公開信息。

所謂網絡爬蟲，也稱網絡機器人或網絡蜘蛛，是通過模拟人（網絡用戶）的行為，自動、高效地浏覽互聯網并抓取所需數據的計算機程序。上海市檢察院第二分院第三檢察部副主任吳菊萍告訴記者，無論是個人數據還是企業數據，公開信息還是個人隐私或商業機密，爬蟲技術都可以實現數據爬取。吳菊萍向記者介紹了爬蟲技術如何實現對公民個人信息的侵犯。“在購物、社交、通訊等類型App中，用戶可以上傳自身信息後設置訪問限制，或者使用加密功能隻有自己可以訪問，這類信息屬于用戶的個人隐私。如果爬蟲控制者繞開上述限制，在未經授權的情況下進行訪問，并抓取用戶的個人信息，又或者在抓取後公開傳播甚至買賣這些信息，造成對用戶的損害後果的，可能侵犯相關用戶的隐私權。”

筆者梳理了目前存在的5種利用爬蟲技術非法爬取公民個人信息形式，包括制作爬蟲軟件出售給他人使用以牟利；制作爬蟲軟件供自己爬取公民個人信息；購買爬蟲軟件使用權供自己爬取公民個人信息；購買爬蟲軟件使用權爬取公民個人信息出售牟利；任職于使用爬蟲軟件獲取用戶信息的平台公司，利用職務便利獲取用戶個人信息并出售牟利。

“技術是中立的，但技術應用永遠不是中立的。”華東政法大學教授張勇在接受記者采訪時表示，爬蟲技術作為一種數據搜集的手段，本身并沒有合法與非法之分，但面對互聯網上衆多的數據，如果不加以限定，任由爬蟲随意爬取，勢必會對互聯網生态造成影響。

首先，無限制的爬蟲程序可能對網站服務器造成壓力。比如，2018年春運期間，12306（中國鐵路網）最高峰時段頁面浏覽量達813.4億次，1小時最高點擊量59.3億次，平均每秒164.8萬次，其中惡意爬蟲訪問占據了近90%的流量，給12306的運維造成了很大的負擔，極大擠占了普通用戶的資源和權益。此外，爬蟲程序的更大危害在于，目前不少打着“大數據”旗号的公司，用爬蟲程序抓取未公開、未授權的個人敏感信息，甚至違規留存、使用、買賣這些隐私數據，嚴重擾亂市場經濟秩序。

如何界定爬取個人信息行為的合法性

今年，浙江省杭州市西湖區檢察院辦理了網絡爬蟲侵犯公民個人信息第一案。杭州魔蠍數據科技有限公司在與用戶的協議中明确告知，公司不會保存用戶的賬号密碼等信息，但該公司仍未經用戶許可，利用爬蟲代碼這一技術手段長期保存用戶的各類賬号和密碼2000餘萬條在自己租用的服務器上，并通過二次加工将産品提供給網絡貸款公司作為“風控”使用，并從網貸平台收取每筆0.1元至0.3元不等的費用。

“盡管魔蠍公司和用戶之間存在信息使用協議，但是魔蠍公司保留用戶數據的行為屬于對合法用戶的越權訪問下獲取信息，最終，該案以侵犯公民個人信息罪定罪。”杭州市檢察院檢委會專職委員兼第一檢察部主任桑濤介紹。

在辦理該案後，杭州市檢察院針對爬蟲技術撰寫了一份案件分析報告。桑濤介紹，不合法的爬蟲行為可分為非法侵入和合法用戶的越權。非法侵入就是爬蟲完全沒有獲得被爬取方的許可，私自侵入爬取對方存儲的個人信息數據，甚至突破他人設置的技術保護措施的行為；而合法用戶的越權行為類似于魔蠍公司的行為，盡管魔蠍公司和用戶之間簽訂了信息使用範圍的協議，但是爬蟲方越權獲取用戶個人信息。以上非法的爬蟲行為，或涉嫌三宗罪：非法獲取計算機信息系統數據罪、破壞計算機信息系統罪、侵犯公民個人信息罪。

如何界定爬蟲技術獲取公民個人信息的合法性？華東政法大學教授高富平認為，可從數據爬取的手段和目的兩個方面來看。根據數據爬取的手段來劃分，爬取方在雙方約定的訪問協議範圍内進行的數據爬取行為，可被認定為是合法獲取信息的行為；而爬蟲無視網站訪問控制，或者假扮合法訪問者的行為，可被認定為不合法。從目的來看，數據爬取一方是否對被爬取一方提供的部分産品或服務進行“實質性替代”，如果是，那麼它的目的就是不合法的。

在大數據時代，爬蟲技術應用的法律邊界在哪兒？吳菊萍介紹，實際每家網站都設定了哪些數據、哪些頁面能被抓取，哪些不能被抓取的協議文件，即國際互聯網界通行的Robots協議。互聯網業界提出該協議來限制網絡爬取數據的行為。被爬取數據方将寫有可爬取信息範圍的Robots協議文件放到該網站後，就表示允許數據爬取方可在協議範圍内爬取數據。

“Robots協議允許的範圍，尤其是不能越界爬取底層機讀數據，這就是‘線’。”高富平同時強調，Robots協議隻是互聯網界通行的道德規範，這條紅線還需要法律明确。

如何平衡個人隐私保護和鼓勵技術創新

11月1日，個人信息保護法正式實施，對合理處理個人信息作出明确規定。個人信息保護法和民法典兩部法律設計和構建了比較完整的個人信息權益相關保護制度，專家在受訪時也表示，對于司法實踐中遇到的新問題，仍需要從法律層面作出進一步規定和限制。

張勇指出，我國目前對數據權益的法律保護仍屬于靜态的、偏重于對計算機信息系統安全的保護，對個人信息權益的法律保護仍存在不足。現有法律以“計算機信息系統安全”為中心，通過擴大解釋其涵攝範圍，強化對數據犯罪的刑法規制，這種立法模式在觀念和規範層面仍顯得較為滞後。例如，侵犯公民個人信息罪對侵害“個人信息”的行為方式隻包括了非法獲取、出售和提供，對于非法修改、删除個人重要信息的行為無法适用侵犯公民個人信息罪處理，最後隻能認定為破壞型數據犯罪。

對于日益更新的數據和技術領域，在不斷完善法律法規建設層面，打擊非法獲取用戶信息行為的同時，還要關注行業的發展。高富平認為，單純打擊爬蟲技術應用并不能扼制這項技術的濫用。需要給數據需求者提供合法獲取底層數據的渠道，允許數據控制者許可需求者以有償或有序方式使用其數據。

專家認為，一方面産業界要恪守法律底線，另一方面也要大力鼓勵技術創新。如何平衡個人信息權益保護和信息數據産業發展、技術創新之間的關系，是數據經濟時代的重要命題。

對此，張勇認為，保護個人隐私與鼓勵産業發展、技術創新之間不是非此即彼的利益衡量問題，而是如何共生共存的利益協調問題。基于安全與發展相統一的系統思維，應當以個人信息保護法、數據安全法、網絡安全法的實施為契機，進一步完善爬蟲技術應用所需的各類規則體系，優化數據市場法治環境，懲治濫用爬蟲技術、侵犯個人信息權益的違法犯罪行為。

案例鍊接

上海浦東：

公司非法爬取個人信息出售牟利案

劉某等12人都是上海某信息科技公司員工，該公司在沒有取得國家有關部門的批準下，開發了一個征信網站，有償為客戶公司提供個人信息查詢服務。據劉某等人供述，該公司的個人信息數據來源主要有兩種，一是從上遊公司購買；二是利用公司開發的爬蟲技術爬取各類網站、社保、公積金、手機App等網絡上的個人數據信息。而客戶使用該網站也十分便捷，根據需要查詢的内容，輸入相應的身份證号碼、姓名、手機号碼、手機驗證碼後進行查詢，後台通過爬蟲技術獲取相應的信息之後給出反饋。在使用該網站查詢信息時，會彈出一份授權協議讓被查詢人點擊“确定”表示同意。

經查，該公司通過簽訂合作協議等方式和3000餘家上下遊公司達成合作框架，用自行開發的爬蟲技術在互聯網上爬取身份證、社保、公積金、出行、社交、消費能力、通信記錄、電商消費記錄等各類公民個人信息共計308萬餘條，通過有償提供查詢服務違法所得共計1750餘萬元。經上海市浦東新區檢察院提起公訴，法院以侵犯公民個人信息罪判處被告人劉某、黃某等8人有期徒刑三年，緩刑三年至有期徒刑一年，緩刑一年不等，各并處罰金3萬元至1萬元不等。該團夥中的戴某等其餘4人還在審理中。

北京朝陽：

員工通過“暗網”出售客戶信息案

2020年，北京市公安局朝陽分局接某知名互聯網金融平台工作人員報案稱：有人于2020年5月在“暗網”上發帖出售公司客戶個人信息，經公司内部排查，發現公司互聯網平台存在數據被人非法獲取的情況。警方經排查關聯賬号，鎖定犯罪嫌疑人陳某某、吳某某。經進一步查證，2020年4月至5月，陳某某、吳某某利用爬蟲程序抓取等方式非法獲取公民個人信息共計9萬餘條，并在“暗網”上向他人出售。北京市公安局朝陽分局以陳某某、吳某某涉嫌侵犯公民個人信息罪向朝陽區檢察院移送審查起訴。

來源：檢察日報正義網

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!