第三章 恶意爬取数据行为的刑法规制与评价思路

随着网络黑灰产业链的形成与危害性递增，数据爬取很大程度上成为“网络黑产”的源头，无论是作为非法交易的对象，还是作为数据爬取伴随犯罪的侵犯公民个人信息罪等犯罪对象，数据爬取同时成为业界、学界、司法实务界以及行政监管共同关注的话题。网络爬虫技术的普及和优化大大降低了普通人参与数据犯罪的难度，提高了数据获取的效率，以数据窃取为基础的黑色产业链也随之成熟，逐步转向“技术密集型”，展现出规模化、链条化的趋势。在数据互联互通的时代，各种非法网络爬虫除了依附于主流的数据产业中扮演“搅局者”的角色之外，还有可能直接参与网络犯罪，成为网络黑灰产业链的“帮凶”，甚至作用越来越关键。对此，刑法在规制网络黑色产业链的过程中，应当全面打击包括非法爬虫行为在内上下游犯罪，阻断数据非法流通的源头。

企业利用网络爬虫所实施的数据爬取行为是否违法，还存在一定的模糊性。“数据泄露通知规则”“数据保护官制度”“隐私风险影响评估义务”“从设计保护安全理念”等原则和要求正成为数据企业需要承担的新型数据保护义务，大幅度增加了数据企业的法律责任。同时，前置规范对网络爬虫问题的规范性不足，也造成网络爬虫获取数据的行为违法性判断的困惑。大多数案件的办理往往回避犯罪行为所爬取的数据类型、数量、价值等，将关注重点放在造成的经济损失或违法所得上。换言之，这并非基于数据本身的价值，而是围绕数据产生的其他方面的损失来定罪量刑。为此，有必要对数据本身进行精细的研究，从而使我们能够将法益保护的重点重新切换到数据本身。对于不同的数据的法益类型，对于不同场景、不同行业、不同类型的数据，尤其对于非个人数据（non-PII）和个人数据（PII）、公开数据和非公开数据，进行分类、分级保护。

从刑法规制的角度看，数据爬取行为在某种程度上体现了网络犯罪的共性趋势，即网络犯罪已经改变了传统犯罪的单一法益侵害模式，由集中侵害某种、某类法益的犯罪转向“横跨”刑法分则各章节的犯罪，同时侵害多类法益类型，仅仅依靠单一罪名对于犯罪行为的刑法评价开始变得困难。犯罪的“链条化”“集群化”使得作为犯罪链源头的数据爬取行为，社会危害性呈现出倍增式增长。同时，恶意数据爬取行为，游走在数据爬取行业“惯例”与非法获取数据的违法犯罪之间，罪与非罪的边界界定更加模糊。对此需要明确，在权利属性上，个人信息同时具有人格权属性、财产属性、数据属性、信息安全属性、公共属性等“信息复合属性”；在权利外延上，个人信息同时涵盖信息决定、信息保密、信息查询、信息更正、信息删除、信息可携、信息被遗忘等权利类型。因此，刑法对个人信息的保护，应当将数据属性、信息安全属性等剥离出个人信息之外，在个人利益与公共利益平衡的基础上，确立侵犯公民个人信息犯罪的豁免事由，实现个人信息合法应用与保护的刑法兼顾。同时，数字经济的发展更对数据共享、数据开放提出了极大的需求，个人信息的多元数据属性不断增强，有必要系统地审查刑法“法域”内的个人信息属性，将不值得刑法保护的信息属性剥离出刑法之外，同时以教义学解释原理为依托，将侵犯公民个人信息的“正当化行为”予以明确化，明确相关的豁免事由，在行民分界、行刑分界的基础上，发挥民法、行政法等前位法的法律功能，兼而实现刑法对个人信息的精准保护。对此，数据爬取行为的入刑需要从三个层面进行明确：（1）把握恶意爬取数据行为中“恶意”的明确；（2）爬取行为的类型化明确；（3）爬取数据对象的类型化明确，通过类型化、差异化的方式明确数据爬取行为的入刑的判断路径。