AD
一、问题的提出
随着现代社会信息化程度的不断提高,数据的价值逐渐凸显,而因此所引发的法律纠纷也随之不断涌现。其中,因数据抓取行为引发的争议颇具典型意义。所谓数据抓取,主要是指通过使用网络爬虫等软件程序,对目标对象在用户输出端(user output)反馈的数据进行大规模复制的行为。在实践中,此类技术应用十分广泛,特别是在网络信息严重过载的大环境下,通过数据抓取技术对网上的各类信息进行批量归集,并对其进行有效的筛选和检索,对于提高信息的传播效率确有帮助,搜索引擎服务即属典型。然而,当行为人抓取的对象指向那些构成被抓取方核心竞争力的数据资源时,法律纠纷就可能随之产生。
由于此类法律纠纷多发生于存在竞争关系的市场主体之间,因此在我国司法实践中,争讼双方大多选择通过提起反不正当竞争之诉来解决争议,如新浪微博诉脉脉案、大众点评诉百度案、淘宝诉安徽景信案等均属典型。然而近日,北京市海淀区人民法院对上海晟品网络科技有限公司、侯明强等非法获取计算机信息系统数据罪一案(以下简称“晟品科技案”)作出判决,认定被告人使用技术手段绕过服务器身份校验等系统保护措施,获取服务器中数据的行为构成《刑法》第285条第2款规定之非法获取计算机信息系统数据罪。该判决的作出,在相当程度上提升了数据抓取行为的法律风险,并可能对数据抓取技术的使用环境产生直接影响。
我们认为,当数据抓取行为涉及其他主体的切身利益时,固然有必要透过法律手段对其进行必要规制,但对于非法获取计算机信息系统数据罪(以下简称“本罪”)的适用,却应保持必要的谨慎态度,始终坚持刑法的谦抑性原则和罪刑法定原则,谨防该罪名在司法实践中出现“口袋化”倾向。
二、问题的核心:绕过反爬措施抓取数据是否构成不法侵入计算机信息系统
(一)司法实践中构成本罪的关键:不法侵入计算机信息系统
本罪系《刑法修正案七》新设罪名,立法者将本罪与非法侵入计算机信息系统罪纳入同一条款即已表明,这两个罪名均涉及对同一法益的保护,即计算机信息系统的安全。但与非法侵入计算机信息系统罪不同,本罪涵盖的计算机信息系统范围明显扩大,几乎覆盖了所有计算机信息系统。为避免刑事打击范围扩大化,立法者规定只有当行为人不法侵入计算机信息系统后,获取了该计算机信息系统中存储、处理或者传输的数据,且情节严重时,才构成犯罪。因此在理论上,行为人需要同时具备“手段不法”(不法侵入计算机信息系统)和“结果不法”(获取数据且情节严重)两个要件方可能构成本罪。
然而值得注意的是,根据两高《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第1条之规定,对于“结果不法”共有两种认定标准:一是获取特定类型的数据(如身份认证信息)达到一定数量;二是造成一定数额的经济后果。其中,第二种认定标准的确立,在相当程度上降低了“结果不法”的构成门槛,只要行为人获得违法所得或造成经济损失达到法定数额,那么无论其获取的是何种类型的数据,都将符合“结果不法”的构成要件,而该标准的达成往往较易证明。这直接导致了在司法实践中,行为人是否构成对计算机信息系统的不法侵入,往往成为了本罪成立与否的最关键因素。
(二)数据抓取行为的特殊性对于不法侵入认定标准的影响
所谓对于计算机信息系统的不法侵入,主要是指未经计算机信息系统控制者(以下简称“控制者”)授权,擅自访问计算机信息系统的行为。在司法实践中,法官大多会根据控制者以技术手段设置的安全保护措施为,对计算机信息系统的访问权限进行认定,并将突破此等安全措施的访问行为视为对计算机信息系统的不法侵入。
那么,在数据抓取纠纷中,控制者为了防止他人抓取数据而采取的IP地址屏蔽、访问频次等一系列措施(以下简称“反爬措施”),是否属于此种安全保护措施,从而使得绕过此等措施抓取数据的行为,将构成对计算机信息系统的侵入呢?
笔者认为答案是否定的。主要理由如下:
第一,结合《刑法》第285条第1款非法侵入计算机信息系统罪的立法背景可知,立法者在确立该罪名之时,主要针对的是以黑客攻击等手段,突破控制者设立的安全保护措施的不法行为。换言之,控制者采取的安全保障措施,应具有使计算机信息系统的访问权限仅向特定主体(如本单位员工)开放,而对其他主体默认关闭的功能。此种立法目的在设立本罪时并未发生改变,这从司法实践中,本罪主要适用于那些通过侵入计算机信息系统获取非公开数据的行为中,即可得到证明。
然而在数据抓取纠纷中,行为人抓取的是处于公开可访问状态的数据(public available data),换言之,存储这些数据的计算机信息系统的访问权限是默认开放的,包括数据抓取方在内的不特定网络用户均可对其进行访问并从中获取数据。更为重要的是,反爬措施在技术层面上,也并不具有排除特定主体访问计算机信息系统的效果,而只是对某种特定的访问方式进行了限制。
在此种情况下,将反爬措施与其他传统意义上的安全保护措施相提并论,恐与立法者本意不符。
进言之,与作为有体物的房屋是通过门窗、墙壁等物理手段界定权利边界不同,计算机信息系统作为无体物,只能通过控制者设置的访问权限来确定其权利边界,这意味着,计算机信息系统权利边界的划定具有相当程度的主观色彩。鉴于此种边界一经确立,就将构成对他人行为自由的严格限制,因此,也不宜将所有对系统访问具有限制效果的技术措施,一概认定为控制者对于信息系统访问权限的设置,并将违反这些措施的行为直接视为对信息系统的不法侵入,特别是当控制者选择将计算机信息系统联入互联网时,如果使访问行为动辄则咎,将可能严重整个互联网的开放程度。
第二,从保障数据顺畅流通,提高数据资源利用效率的角度出发,也不宜将绕过反爬措施抓取数据行为,一概视为对计算机信息系统的不法侵入。具体来说,信息天然具有的非竞争性和非排他性特征,使其不会因为没有明确确权而引发公地悲剧;与此同时,信息中往往蕴含着十分多元化的价值,不同主体在面对同一信息时,可能会发掘出其潜藏的不同价值,而这点在大数据技术日渐普及后表现的更为明显。此外,信息的自由、高效流通对于整个社会运转效率的提升也具有十分重要的意义。基于上述理由,我们认为,一旦信息进入公开领域,原则上就将属于公共产品,除非存在十分充分的理由,否则不宜在法律规范层面赋予私人主体对于信息支配力,使其有权控制信息的传播范围并独占其蕴含的各项价值。
然而,如果将绕过反爬措施获取数据的行为,一概视为对于计算机信息系统的不法侵入,那么无异于使计算机信息系统控制者在实质上获得了对于公开信息传播范围进行任意限制的能力,其可以通过较为简单的技术设置,在法律层面上实现对特定主体访问计算机信息系统自由的限制,从而使后者无法有效获取系统中存储的公开信息。这一方面,有悖于公开信息作为公共产品的社会属性,可能造成数据孤岛现象,阻碍信息的自由、高效流通;另一方面,由于在市场竞争过程中,受网络效应(network effect)的影响,数据往往会向某一家或几家头部企业大量聚集,因此,如果头部企业能够通过反爬措施对数据的传播范围进行实质性控制,将可能引发数据垄断现象,从而不利于维护一个公平、开放的市场竞争环境。需要说明的是,如果爬取行为造成被爬取方的计算机信息系统因过载而访问速度下降或宕机,被爬取方应有权基于侵权责任法追求爬取方的民事赔偿责任。
三、代结论:数据抓取行为的规制思路
基于反爬措施与传统意义上用于设置计算机信息系统访问权限的安全措施之间,在技术层面和社会影响层面上的巨大差异,我们认为,不宜对绕过反爬措施访问抓取数据行为直接适用非法侵入计算机信息系统罪,此种做法既不符合罪刑法定的要求,也有违刑事司法的谦抑性原则,还可能从制度层面对数据产业的发展造成深层次的不利影响。同时,诚如前文所述,为了促进信息的自由流动,并使信息中蕴含的多元价值得到充分利用,在以信息为客体设置民法上的支配性权利时也应十分谨慎。
但不容否认的是,数据抓取技术的滥用确实会在某些情形下使被抓取方的合法权益遭受损失。特别是当被抓取方为了收集或整理特定类型的数据而投入大量资源时,如不对其投入所应获得的回报予以保护,将可能极大削弱市场主体继续实施此等行为的动力。例如,在大众点评诉百度案中,百度公司将其从大众点评网上抓取的商户点评信息直接用于其地图软件上的作法,确实会在实质上起到替代效果,从而造成大众点评网用户的流失。
有鉴于此,结合目前国内外司法实践经验,笔者认为,以反不正当竞争规则为基础对数据抓取行为的合法性进行判断,是目前作为合适的制度选择。这主要是因为,以竞争关系为前提对抓取数据行为的合法性进行判断,可以使数据价值的保护范围更加精确,在确保数据收集者的投入回报不因他人“搭便车”行为遭受损失的同时,避免造成数据其他价值的过度垄断,为其他主体对于数据价值的多维开发留下制度空间。同时,相较于基于法定权利的侵权之诉,反不正当竞争规则也赋予了裁判者更多裁量自由,使其可以综合考量社会、技术、文化以及产业政策等多方面因素,对各方主体的利益进行更为有效的平衡。
当然,为了提高反不正当竞争规则在处理数据抓取纠纷时的确定性,笔者认为可在结合司法和市场实践经验,设置更为标准化的考量要素,具体包括以下几个方面:
