为什么学爬虫容易坐牢(滥用爬虫技术的刑事风险与刑法应对详解)

seoxin 05-05 16:01 65次浏览

内容摘要:当前爬虫技术已经异化,出现大量非法收集个人信息、窃取商业秘密、窃取数据等违法犯罪现象。从现实案例来看,爬虫技术的使用存在多个方面的社会风险,比如个人信息遭受泄露、计算机信息系统数据被非法收集、公共利益受到损害以及危及国家安全。现行刑法对滥用爬虫技术的规制体现在责任形式上主要是故意犯罪,过失犯罪只能通过其他罪名来间接体现,且效用非常有限。立法机关应当高度关注滥用计算机技术的过失犯罪问题,对于产生严重后果的行为应立法确认过失犯罪。面对网络空间主权的出现,刑法对危害国家安全、公共安全的罪名应当作出适当调整。与此同时,在人工智能时代应体现刑法的积极应对,为顺应现代科技发展,也需要对个人信息保护范围进行适当扩充。

关键词:爬虫技术滥用行为 个人信息 刑法规制 人工智能

曾轰动一时的“史上最大规模数据窃取案”早已进入审判程序。据权威媒体披露,从多年前开始,涉案公司以市场化方式先后与多家运营企业签订广告服务合同,为有关企业开展信息系统的开发维护工作,以此获得运营商服务器的远程登录权限。涉案公司为实现从源头获取大量信息的便利,自主设计、编辑大量筛选软件私下放置于服务器中,当信息流经服务器时则该软件自动收集信息、清洗信息,涉案公司隐瞒私下获取公民个人信息的情况,将收集的信息储存于境内外多个服务器。该案涉及30亿条用户信息,堪称“史上最大规模的数据窃取案”。

爬虫技术的滥用,已经成为互联网行业面临最大的问题之一。以2018年上半年为例,Web应用攻击总数环比增长了97.82%,平均每秒就发生31起攻击;而恶意爬虫攻击数量环比增长了55.79%,网络安全平台共监测并拦截了25.86亿次有针对性的爬虫攻击事件。超过91.9%的爬虫攻击更偏向于模拟人的正常访问方式获取网站数据,以躲避各类访问频率控制、验证码等反爬措施,达到攻击目的。信息技术的更新迭代,使得计算机犯罪活动的手段不断创新,爬虫技术滥用逐渐从商业领域的不正当竞争行为向犯罪行为过渡,尤其是在人工智能背景下,越来越“聪明”的网络爬虫可能实现超过程序编辑者所设计的目的与范围,爬取信息的性质、数量、范围等触及刑法红线。有鉴于此,笔者拟对刑法如何应对滥用爬虫技术所带来的刑事风险展开具体的分析与讨论,对有关犯罪行为提出刑法规制的合理化建议。

一、滥用爬虫技术的法律规制现状

网络爬虫(又称为网页蜘蛛,网络机器人,在FOAF社区中间,更经常的称为网页追逐者),是一种按照一定的规则,自动地抓取万维网信息的程序或者脚本。另外一些不常使用的名字还有蚂蚁、自动索引、模拟程序或者蠕虫。网络扫描是爬虫的底层技术,扫描已经成为网络流量中的主力军,通过对重要行业网站的扫描流量与攻击流量进行比较分析,发现扫描流量占比远高于攻击流量,占总流量的71%,为我国重要行业网站带来巨大的压力。互联网技术的发展使个人信息的获取、加工、使用更加容易,且代价更小,这极大提高了社会主体、政府部门及其他组织利用个人信息的质量和效率,网络客观地记录下了所有人的数字化信息。

为了规范爬虫技术使用,早期的互联网从业者们经过讨论制定了行业规范“Robots协议”,并逐步形成约定俗成的行业共识,即通过爬虫技术只能够收集网站运营者允许收集的内容(Allow),对于被标记为不被允许的内容(Disallow)则不能收集。爬虫协议属于互联网行业习惯,并不具有法律意义上的约束力,仅能在权利人的合法利益遭受侵犯时,按照侵权法的规定予以法律适用。在eBay,Inc.v.Bidder’sEdge,Inc.一案中法官明确表示被告的抓取行为违反了eBay设置的Robots协议,对eBay的公司运营产生了实质性伤害,构成侵权。2012年360搜索涉嫌违反Robots协议大量抓取百度旗下多个网站信息,一度引起激烈争论。

目前,民事法律、行政法律对爬虫技术的规制,主要体现在通过爬虫技术对个人信息、商业秘密、知识产权等数据收集的规制,比如《中华人民共和国民法总则》(以下简称民法总则)《中华人民共和国反不正当竞争法》(以下简称反不正当竞争法)《中华人民共和国著作权法》(以下简称著作权法)《中华人民共和国网络安全法》(以下简称网络安全法)等法律规定网络抓取行为的法律边界。我国现行刑法对滥用爬虫技术的规制,主要体现在对侵犯著作权、非法获取个人信息、非法侵入计算机信息系统、非法获取计算机数据等犯罪行为的有关规定,北京市海淀区人民法院审结全国首例利用“爬虫”技术侵入计算机信息系统抓取数据案后,滥用爬虫技术的刑法规制引起社会的广泛关注。由于对滥用爬虫技术的认识不足,刑法制裁的空间非常有限,从司法机关追究刑事责任的案例来看,数量仍然较少,以非法获取计算机信息系统数据罪定罪量刑的案例仅有两例,对有关人员没有形成强有力的威慑。

二、滥用爬虫技术的刑事风险

(一)滥用爬虫技术侵犯个人信息权利

个人数据被非法收集、买卖的行为在互联网行业已经成为公开的秘密,各类数据被非法收集、买卖的情形触目惊心。从技术的角度来说,一般爬虫程序会按照设计者的思路和指令来执行,呈现非自主性和纯技术性的特征。网络爬虫会在触发条件实现时,实施自动化数据抓取,再由技术人员通过一定的方式处理收集到的数据。

比如上文绍兴检察机关公布的涉案公司在提供正常商业服务的过程中,以合法手段获取登录权限,又恶意植入有关窃取信息的程序,在知道违法违规的情况下,清洗互联网用户留存于电信服务提供商服务器中的信息,私下获得大量有价值的公民个人信息,并违法存储于境内外服务器中。此种以网络爬虫程序筛选公民个人信息的过程,不可能提醒网络用户所留的Cookie会被人收集并使用,更不可能得到用户的许可,也就不可能满足用户知情与同意的法律规定。我国目前企业的应用软件隐私政策的文本,虽然很多已经按照法律法规进行了相应调整,但是在诸多方面仍然存在问题,比如数据共享、广告推送、数据期限、数据存储等。

(二)滥用爬虫技术污染商业环境

在上文绍兴检察机关披露的案情中,从涉案公司的商业模式的运行来说,其行为目的就是为了非法获取存储于运营商服务器内的Cookie中的登录凭证、浏览痕迹、关键词、个人信息等各类计算机信息系统数据,利用被控制的社交账户添加粉丝、关注公众号、访问推广网页等,从中赚取大量推广费、网络营销费等。同时,互联网用户在上网过程中,留存在运营商服务器上的数据,包括社交媒体的账户密码、个人信息、浏览痕迹、搜索关键词等,又被加工处理成各种数据产品,被涉案公司非法利用并谋取暴利。

涉案公司在与互联网运营商开展正常的商业合作,获得运营商的商业服务合同及其服务器远程登录权限,但运营商所给予涉案公司的登录权限目的不在于让涉案公司以不法手段非法获取数以亿计的用户数据,而仅仅是按照商业合同提供数据处理、网络营销等互联网商业服务,更不用谈及涉案公司在运营商毫不知情的情况下,私下将自编的数据采集爬虫程序放置于运营商服务器上。涉案公司超越授权的数据收集行为,不仅违反了与运营商的合同约定,还严重污染商业环境、破坏商业道德,社会危害性极大,涉嫌犯罪。

(三)电子数据非法流转危及国家安全、公共安全

在信息时代,国家不仅仅是信息治理者,也是重要的个人信息获取、加工、利用者。新修订国家安全法首次明确了“网络空间主权”的概念,与以往的传统国家安全概念不同,网络信息安全属于非传统国家安全,国家安全法中的主权概念也正是传统国家主权概念的派生。

在上文绍兴检察机关披露的案情中,涉案公司在日常经营中,没有顾及国家安全、公共安全,以为数据的收集、存储、处理、利用等是纯粹的商业行为,甚至将非法获取的部分数据放置于境外服务器上,给国家安全、社会安定造成了巨大隐患。从单个用户来看,数据泄露不一定能够危及国家安全,但是如果数据规模积累到一定程度,比如上文案例中的30亿个人数据,如果被敌对势力、犯罪集团等利用实施有关犯罪活动,那么则有可能危及国家安全、公共安全。2018年Facebook信息泄露事件,使得全世界都认识到了个人信息和重要数据泄露所带来的巨大危险,这不仅仅是个人信息泄露问题,更是国家安全、公共安全的问题。我国发生的多次网络用户信息泄露事件,就是违法者利用大数据等技术手段,将不同的数据来源比较研究,形成了大量的对某些用户的多维度精准画像,令社会公众惶恐不安。

三、滥用爬虫技术的相关主体行为的刑法规制

(一)行为人故意利用爬虫技术实施犯罪行为

在北京易查公司侵犯著作权一案中,自2012年开始被告单位开发爬虫软件从互联网发现小说链接,把小说内容以“缓存”方式下载到服务器,并形成目录索引,用程序将电脑版小说内容转码为手机版后供客户免费阅读。易查公司通过小说界面植入广告,获得广告收益分成。易查公司的直接主管人员于某辩称其不清楚技术的具体实现方式,不存在主观故意,法院并未采纳其意见,最终认定易查公司及于某犯侵犯著作权罪。再比如,前文绍兴检察机关公布的案情中,涉案公司从一开始就研发具有特定功能的恶意软件,目的就在于通过植入爬虫程序,获取互联网用户各类有价值的信息,再利用这些信息谋取非法利益。笔者认为,从司法机关的角度来看,此类犯罪是刑法中典型的故意犯罪,行为人的目的就是为了实施犯罪,积极准备犯罪工具,着手实施犯罪,其犯罪活动产生了极大的社会危害性,严重侵犯了刑法所保护的法益,侵犯公民个人信息权利、扰乱社会公共秩序,甚至危害国家安全。

从行为人的主观意图上说,为谋取不正当利益,犯罪分子故意利用爬虫程序的特殊功能,比如具有强大的数据收集能力、数据存储能力、数据处理能力、数据传输能力。即使行为人研发爬虫程序的动机并非为了犯罪目的,而是为了收集特定的公开信息,用以获得不当利益,情节严重的,也有可能触犯刑法。比如,在段某某侵犯著作权一案中,被告人段某某从2013年开始,在互联网设立“窝窝电影网”,未经相关权利人许可,非法使用爬虫技术,对多家大型视频网站的影视作品进行非法链接,自己设计目录、索引等,吸引互联网用户点击浏览。案发后,段某某以对爬虫技术一无所知为由提出抗辩,主观上不存在犯罪的故意,其辩护人也认为段某某仅仅向互联网用户提供链接,方便网民观看有关影片,其并未将他人电影复制,客观行为上来看,并不属于侵犯著作权罪中“复制发行”。法院未采纳被告人及其辩护人的意见,以侵犯著作权罪定罪量刑。从行为人获取信息的手段来说,如果行为人研发的爬虫程序遵循Robots协议,对政府机构、企业单位、个人等自愿开放的信息和数据进行收集,只要遵守行业道德,不妨碍被收集网站、服务器等的正常工作,并不会触犯刑法。在2019年5月,国家互联网信息办公室公布的《数据管理办法(征求意见稿)》中第16条规定“网络运营者采取自动化手段访问收集网站数据,不得妨碍网站正常运行;此类行为严重影响网站运行,如自动化访问收集流量超过网站日均流量三分之一,网站要求停止自动化访问收集时,应当停止。”爬虫技术的使用尤其是广泛、高频、深度的访问活动,会对被收集主体服务器产生极大的负荷,甚至拖慢其他主体的访问速度或者导致服务器崩溃等,故意实施爬虫攻击行为,情节严重的,还可能触犯破坏计算机信息系统罪。比如在王某、吴某破坏计算机信息系统案中,被告人吴某通过网上购买软件,模拟多人同时进入太原市政府网站,造成网络拥堵达三小时。法院认为,被告人对国家机关计算机信息系统进行妨碍的行为使得计算机信息系统运行异常,后果严重,其行为构成破坏计算机信息系统罪。

(二)滥用爬虫技术的行为人的过失责任

人工智能时代“爬虫”变得越来越“聪明”,爬虫技术的发展从当初最简单地从网络下载页面的WebCrawler、Google Crawler等,到越来越智能的分布式的模块化的爬虫Mercator、WebFountain等,再到现在诸多智能的开源机器人爬虫软件。回顾爬虫技术发展的历史,不难看出,从最初的爬取前端网络数据开始,爬虫技术逐步迭代更新,爬取的范围、频率、深度发生了重大变化。在人工智能时代,计算机形成了具有初步自我决策能力的强人工智能,强人工智能突破原有设计人员的预计,能在设计和编制的程序范围外实施有限行为。有关程序编辑人员疏忽大意或者过于自信导致使用的爬虫技术超过设计的预期,这种情况是不可避免的,因为计算机程序不可能完全执行人的意志,这也就是在软件开发中要“试错”的原因,甚至软件“升级”也是为了克服不完美的设计缺陷。存在设计缺陷或者经人工智能优化的网络爬虫,超越程序设计目的和活动范围实施的违法行为,行为人如何承担责任,这在法律上存在讨论的空间。

从犯罪构成要件来看,刑法中有责性的要求是故意、过失、责任能力(含法定年龄)以及司法实践中要考虑的违法性认识的可能性与期待可能性。从法律条文来看,在侵犯知识产权犯罪、扰乱公共秩序犯罪中的涉计算机信息系统犯罪中,犯罪行为的主观要件必须是故意(包含直接故意和间接故意),过失并不能构成有关犯罪。只有确定“因为疏忽大意而没有预见”或者“轻信能够避免”为表面的责任要素,才能够堵住既非故意犯罪又非过失犯罪的刑法漏洞。也就是说,“当案件事实表明行为人至少有过失,但又不能证明行为人具有故意时,当然只能以过失犯论处。”

在涉及爬虫犯罪的案件中,既然完全可能出现行为人由于疏忽大意或者轻信能够避免,导致所编辑的程序出现超出原有设计目的而产生社会危害性的情形,虽然不能主观臆测程序设计者或者项目决策者故意放任爬虫程序非法肆意获取信息,但是作为项目主管人员或者程序人员都是计算机编程的专业人士,应当能够预料到可能造成的后果,却由于疏忽大意或者轻信能够避免,致使严重危害后果发生。与现行刑法中其他过失犯罪不同,行为人在过失情况下使用爬虫技术造成严重危害结果,无法根据现行刑法定罪量刑,原因在于涉及计算机信息系统犯罪的数个罪名,均系故意犯罪,过失尚不能认定为犯罪。所以,行为人在过失情况下,使用爬虫技术严重危害公共安全的,只能按照网络安全法、《中华人民共和国密码法》(以下简称密码法)等法律或者行政法规,予以行政处罚。

在特殊情况下也有例外情形。刑法对破坏交通设施、电力设备、广播电视设施、公用电信设施等,均设置了故意犯罪罪名和过失犯罪罪名。如果爬虫程序的滥用,致使交通设施、电力设备、广播电视设施、公用电信设施等遭受严重损害的,仍然可以构成过失犯罪。比如《最高人民法院关于审理破坏公用电信设施刑事案件具体应用法律若干问题的解释》就明确规定“删除、修改、增加电信网计算机信息系统中存储、处理或者传输的数据和应用程序等手段,故意破坏正在使用的公用电信设施”,以破坏公用电信设施罪定罪量刑,而刑法第124条设置了过失损坏公用电信设施罪,也就是说行为人在主观过失情况下,使用爬虫技术爬取数据时,由于超过电信设施服务器负载致公用电信设施损坏,仍然可以构成过失犯罪,追究行为人的刑事责任。

四、规制爬虫技术滥用的刑法路径

当前滥用爬虫技术的刑法规制面临三个问题:其一是对于严重的过失犯罪,不能直接认定为涉计算机信息系统犯罪,而只能寻求行政替代措施或者其他犯罪类型,这样造成的结果是刑法无法对具有严重社会危害性的行为做出评价;其二是在中央政策明确数据安全涉及国家安全,网络主权涉及国家主权,但是相关刑事立法没有更新,立法理念依然陈旧;其三是在人工智能时代,对新技术的刑法规制没有较好体现,立法上尚未明确制定前瞻性的刑法规范,对人工智能犯罪预估不足。

(一)明确涉计算机信息系统的过失犯罪

我国现行刑法的过失犯罪集中在严重危害国家安全、公共安全、公民人身权利和损害国家文物等犯罪,侵害的法益是国家安全、国防利益、不特定或多数人的生命、身体的安全以及公众生活的平稳安宁、公民个人身体、健康和国有文物财产权、文物管理秩序等,且只有造成一定结果,才能构成犯罪。

与传统意义上的犯罪不同,涉计算机信息系统犯罪也是近些年才突然引起人们的关注,我国在2009年刑法修正案(七)增设刑法第285条第2款(非法获取计算机信息系统数据、非法控制计算机信息系统罪)、第3款(提供侵入、非法控制计算机信息系统的程序、工具罪),2015年刑法修正案(九)又增设了第286条第1款(拒不履行信息网络安全管理义务罪)、第287条第1款(非法利用信息网络罪)、第287条第2款(帮助信息网络犯罪活动罪)。我国近年来频繁出台涉计算机信息系统犯罪,这些罪名责任形式毫无例外均为故意。所以在过失情况下,尽管行为人可能符合涉计算机信息系统罪名中的客观行为要件,但主观上不符合故意的责任形式,不能直接适用刑法扰乱公共秩序罪一节中涉计算机信息系统犯罪的规定。

目前,过失使用爬虫技术导致严重后果,只能在刑法分则过失犯罪的罪名中找到相应的条款,进行法律适用。立法机关的意图很明确,涉计算机信息系统的犯罪还不足以危及国家安全、公共安全、公民人身安全等,即使产生了严重后果,也不必对过失行为予以刑事制裁。然而这并非是一成不变的“铁律”,技术的发展日新月异,计算机技术从未像今天这样如此深刻的影响国家、社会、个人,立法机关的这种考虑是否存在可以斟酌的余地,值得商榷。笔者认为计算机技术带来社会安全风险早已凸显,从近年来国内持续发酵的电信网络诈骗、网贷平台爆仓、勒索软件入侵等恶性事件,甚至在国与国之间看不见的领域,网络攻击、网络情报窃取等已然成为国家之间角力的手段。

根据罪刑法定原则,行为人在过失情况下尚不能构成涉计算机信息系统犯罪。虽然《刑法》中存在其他过失犯罪的罪名以间接规制计算机技术滥用,在一定程度上缓和了非故意使用爬虫技术但严重损害社会公众利益的情形,但不能面面俱到,作用极其有限。笔者认为,立法上必须重视滥用爬虫技术的过失犯罪问题,建议在相应罪名下另设一款过失犯罪罚则,规制无法查明是否系故意犯罪但造成相当社会危害结果的行为,避免在故意犯罪与无罪之间出现法律漏洞。

(二)增设危害国家安全、公共安全的相应罪名

2015年12月习近平总书记在第二届世界互联网大会上提出了全球互联网治理体系变革的“四项原则”、构建网络空间命运共同体的“五点主张”,明确将网络空间主权、网络安全提高到了国家主权和人类命运共同体的高度。2015年国家安全法确认网络信息技术、数据安全等与国家主权、安全和发展利益密切相关,并予以立法规定。2016年网络安全法第1条立法目的即是对网络安全、网络空间主权、国家安全、社会利益等进行保护。2019年密码法第12条规定:“任何组织或者个人不得窃取他人加密保护的信息或者非法侵入他人的密码保障系统。任何组织或者个人不得利用密码从事危害国家安全、社会公共利益、他人合法权益等违法犯罪活动。”

相关法律与行政法规跟随时代发展更新立法,将中央层面的政策转换为法律,及时反映当前技术发展的现状并促进网络技术进步,同时充分注意到网络技术带来的社会风险并加强行政监管。我国在刑事立法方面仍然滞后,涉计算机信息系统犯罪(刑法第285条至第287条)置于第六章“妨害社会管理秩序罪”中“扰乱公共秩序罪”中一节,立法者将计算机网络犯罪认为是与打砸抢等类似的扰乱公共秩序犯罪,而没有在第一章“危害国家安全罪”、第二章“危害公共安全罪”中有所体现相关罪名。2019年10月发布的《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》也仅仅细化原有法律规定,司法机关不可能越权完成立法任务,刑事立法理念仍需紧跟社会经济发展和群众需要,及时反映科学技术的发展趋势。

毫无疑问,网络数据的安全可控关系国家安全和社会安定,如上文绍兴检察机关提起公诉的案件中,涉案公司以合法形式、非法利用爬虫技术故意实施犯罪活动,数以亿计的公民个人数据被非法存储在海外服务器,这种行为绝非仅仅是商业不当行为,而是严重危害国家安全、影响社会安定的行为,但刑法对此并无规定。对于此类严重危害国家安全、社会安定的行为,立法机关应参照国家安全法、网络安全法等立法精神,及时对我国现行刑法作出修改,在刑法分则第一章“危害国家安全罪”下增设“危害国家网络主权罪”、第二章“危害公共安全罪”中增设“非法买卖、传输、存储电子数据罪”,以弥补刑法第285条“非法获取计算机信息系统数据罪”中仅对“非法获取”行为进行规制之不足,弥补刑法第253条第1款“侵犯公民个人信息罪”中犯罪对象仅限于“个人信息”而无其他电子数据之不足。

(三)对“人工智能+爬虫”作出前瞻性立法

人工智能的学界概念很多,但一般都认为是获取、加工和适应来自现实世界的数据的算法。人工智能时代,网络爬虫只会越来越智能,因为设计者总是按照一定的抓取策略来执行程序,比如当前比较普遍的几种爬虫类型,通用网络爬虫(General Purpose Web Crawler)、聚焦网络爬虫(Focused Web Crawler)、增量式网络爬虫(Incremental Web Crawler)、深层网络爬虫(Deep Web Crawler),几乎都有将算法引入网络爬虫,以提高爬取内容的质量和效率。网络爬虫的使用需要相当带宽高度并行地工作,这将耗费大量网络资源,当爬虫对特定服务器访问频率过高时,会造成服务器超载,设计或者使用不当的爬虫技术可能导致服务器或者路由器瘫痪。对数据收集者者来说,“人工智能+爬虫”自然能更好实现其目的,但是对互联网运营商的日常经营、社会公众的信息安全都将产生新的挑战。

一方面,如今为保障数据安全,运营商也运用人工智能等新手段,防范数据被过度收集。在异常流量检测方面,人工智能为加密流量分析提供新方案。比如思科已将AI驱动的加密流量分析应用于交换机等产品,基于初始数据包特征以及后续数据包长度与时序等,通过机器学习算法识别异常流量,提供加密流量检测能力。在敏感数据保护方面,人工智能助力数据识别和保护能力提升。比如亚马逊推出Amazon Macie Analytics 服务,可通过机器学习技术自动识别重要数据访问、复制、移动等可疑行为,并实施准实时的修复措施,防范重要数据暴露及共享业务中的数据安全风险。

另一方面,尽管当前技术层面,很多企业已经开发出面向网页应用、业务层面的主动防御和高效识别冒充正常访问行为的各类自动化工具的软件,但是人工智能时代,进攻与防御总是动态变化的。在攻防的变化中也不可能完全依赖企业被动的自我保护,还需要在规范层面对不恰当的网络行为进行调整,数据的使用也需要从多方面、多角度进行规范构建。防止爬虫技术等计算机技术滥用。当前刑事法律规制尚不完备的情况下只能暂时通过民事、行政法律进行规制,让滥用爬虫技术的企业或者个人付出经济上的成本,但终究威慑力不足。

算法的逻辑与数据的保护既相辅相成又冲突矛盾,这表明科学技术与制度规范是在互相作用。算法的改进会导致某些社会危险,使得权利保护困难重重,所以需要加强对数据控制主体的责任分担,以加强个人权利保护。有学者提出人工智能背景下刑事立法应当对人工智能犯罪制定“人工智能罪”,从源头进行防控,杜绝滥用人工智能技术的行为。此观点有一定道理。笔者进一步认为鉴于人工智能是一种技术工具,实际上就是算法与大数据的结合体,所以设定的“人工智能罪”不应当是一个具体罪名,而应该是规制滥用人工智能一类犯罪的类罪名,具体到使用人工智能的爬虫技术滥用行为,应当作出充分的前瞻性立法,具体罪名、罪状、法定刑应当进一步细化,以规制使用“人工智能+爬虫”非法收集社会公众电子数据的行为。

(四)刑事立法中扩大“个人信息”的保护范围

个人信息包含不同类型,按照重要程度的不同保护程度自然不同,信息时代的数据技术发展给个人信息保护产生很大的影响。网络安全法规定的个人信息仅指可识别个人身份的各种信息类型,也仅系个人信息中的一小部分,一般个人信息如购物记录、搜索关键词、广告点击的电子数据等,有人称之为“数位足迹”,并没有在网络安全法中规定。随着科学技术和社会经济的发展,社会公众除个人信息之外的其他数据类型还会增加,会有更多数据呈现高度的重要性,法律也有必要予以保护。2018年5月欧盟颁布执行《通用数据保护条例》(GDPR)对多种自然人个人数据提供保护,涵盖个人信息方方面面,对一些特殊的数据,如生物识别数据、基因数据等个人敏感数据原则上禁止网络运营商擅自处理。相较于欧盟标准,我国网络安全法对个人信息的界定比较狭窄,一方面因为欧洲一贯有最为严格的隐私保护立法传统,另一方面我国立法机关对个人信息采“概况+列举”的立法模式,核心在于能够“识别自然人个人身份”。所以,在我国对于合法取得的无敏感性的个人数据,一般被认为是互联网运营企业的数据财产,立法机关不会单独在个人信息保护制度中予以规定,有学者也认为大数据的内容可以做匿名化处理,匿名化后的数据同样具有商业价值,与原有的个人数据已然不同。

2013年《最高人民法院、最高人民检察院、公安部关于依法惩处侵害公民个人信息犯罪活动的通知》中关于“公民个人信息”规定,与2017年《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中关于“公民个人信息”规定,很明显比网络安全法中定义的范围大很多,包含了一般、重要和关键信息,原因是刑事法律与民事、行政法律对相同概念的解释并非完全相同,比如刑法第266条规定了诈骗罪的犯罪对象是“财物”,此“财物”包含了财产性利益,民事、行政法律对“财物”的解释则未必能够将“财产性利益”涵盖在内。刑事司法中,非常有必要将“个人信息”适当扩大,比如经过处理后不具有敏感性的信息虽然不属于网络安全法规定的个人信息,但是如果在大数据的效应下,犯罪分子通过大量数据分析仍能将公民身份确定,此类行为仍应认定为侵犯公民个人信息的犯罪行为。对于涉及技术的犯罪行为,立法要保持高度的开放性,科学技术发展迅速而立法又相对滞后,在立法时留足空间更有利于保护公民个人信息权利,便于司法机关适用法律。

结语

我国应实现从“信息保护”到“信息治理”的立法理念的转变,对个人信息进行多方共治,实现个人信息保护、数字经济发展与国家数据安全利益保护的三重目标。笔者认为,尽管目前爬虫技术滥用所带来的刑事风险还未完全危及“信息治理”这一理想目标,但仍然需要刑法积极应对,未来对产生严重社会危害结果的滥用行为设置过失犯罪,增设危害国家安全与社会安全的罪名,规制人工智能下爬虫技术的滥用行为,适当扩大个人信息的保护范围等,均是顺应现代技术发展的刑法规制路径。本文所做探索也仅只是抛砖引玉,希冀对之后的研究者有所裨益。

  • 暂无推荐