網(wǎng)絡(luò)爬蟲的刑法應對

網(wǎng)絡(luò)爬蟲的刑法應對作者：付強李濤來源：《中國檢察官?經(jīng)典案例》2020年第09期摘要：網(wǎng)絡(luò)爬蟲作為一種新型的數(shù)據(jù)處理技術(shù)，使用價值與刑事風險兼具。對于網(wǎng)絡(luò)爬蟲的刑事法律應對，應當以網(wǎng)絡(luò)爬蟲附隨要素指向的法益為核心，關(guān)注網(wǎng)絡(luò)爬蟲的訪問權(quán)限和獲取數(shù)據(jù)的性質(zhì)，同時兼顧考察行為人在使用技術(shù)過程中的合理注意義務(wù)，從而綜合判斷行為是否涉嫌犯罪以及罪名的適用。關(guān)鍵詞：網(wǎng)絡(luò)爬蟲授權(quán)非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪破壞計算機信息系統(tǒng)罪侵犯公民個人信息罪一、問題的提出2019年，隨著多家大數(shù)據(jù)公司因為利用網(wǎng)絡(luò)爬蟲技術(shù)非法獲取數(shù)據(jù)被公安機關(guān)立案調(diào)查，網(wǎng)絡(luò)爬蟲的犯罪邊界問題成為互聯(lián)網(wǎng)業(yè)界、法學界關(guān)注的熱點。在嚴厲打擊網(wǎng)絡(luò)犯罪的高壓態(tài)勢之下，可以預見到，將會有更多的類似案例出現(xiàn)，以往已經(jīng)被互聯(lián)網(wǎng)業(yè)界習以為常的技術(shù)行為可能需要重新接受道德、社會規(guī)范乃至刑事法律的檢驗。司法機關(guān)在辦理此類案件過程中，不僅需要破除跨專業(yè)學科造成的知識鴻溝，準確理解技術(shù)行為的特征，更需要全面審視技術(shù)行為的內(nèi)在價值與必要性，綜合判斷行為的社會危害性，堅守罪刑法定原則，秉持刑法的謙抑性，慎用刑事制裁手段。結(jié)合一起實際案例，筆者擬通過通過數(shù)據(jù)訪問權(quán)限、數(shù)據(jù)性質(zhì)、合理使用義務(wù)三個不同的角度理清網(wǎng)絡(luò)爬蟲的犯罪邊界。（一）基本案情2016年7月至2017年5月期間，行為人史某在某市家中，通過自行研發(fā)的計算機程序訪問某市交通管理局車輛管理所（以下簡稱“車管所”）網(wǎng)上選號系統(tǒng)，批量查詢某市車輛號碼牌照資源使用情況，同時自建數(shù)據(jù)庫系統(tǒng)對號碼牌照資源使用情況予以記錄、更新。現(xiàn)有證據(jù)可以證實，僅2017年以來，行為人史某利用上述程序共計訪問車管所網(wǎng)上選號系統(tǒng)24659793次，獲取某市車牌號碼數(shù)量200多萬個，通過在淘寶上出售相關(guān)數(shù)據(jù)庫查詢權(quán)限，獲利人民幣4萬余元。經(jīng)查，行為人實施的具體行為：史某通過對網(wǎng)上選號系統(tǒng)進行研究，按照該系統(tǒng)的驗證邏輯編寫對應的網(wǎng)絡(luò)爬蟲程序，并將其部署在境外服務(wù)器上，在設(shè)定的時間段內(nèi)（一般是晚上）訪問網(wǎng)上選號系統(tǒng)，批量獲取車牌號碼使用情況數(shù)據(jù)。其工作原理如下：第一，自動生成符合車管所網(wǎng)上選號系統(tǒng)校驗規(guī)則的信息，如身份證號碼、姓名等。第二，使用'打碼”平臺自動應對選號系統(tǒng)的驗證碼功能。第三，訪問車管所選號系統(tǒng)，按照正常選號流程進行號牌預選操作，通過邏輯條件判斷號碼資源是否被占用，并將相關(guān)信息更新至數(shù)據(jù)庫。（二）分歧意見在案件辦理過程中，司法機關(guān)主要產(chǎn)生了兩種不同的分歧意見。第一種意見認為，史某在網(wǎng)絡(luò)爬蟲程序中附加使用“打碼”技術(shù)，屬于未經(jīng)授權(quán)進行訪問，構(gòu)成非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪。第二種意見認為，在否定第一種意見的基礎(chǔ)上，應重點考察史某是否存在濫用網(wǎng)絡(luò)爬蟲的情況，其行為涉嫌破壞計算機信息系統(tǒng)罪，但因證據(jù)不足，應對其作存疑不起訴處理。筆者贊同第二種意見，理由在于：對于網(wǎng)絡(luò)爬蟲犯罪邊界的合理區(qū)分，應當以網(wǎng)絡(luò)爬蟲附隨要素與法益為框架，關(guān)注網(wǎng)絡(luò)爬蟲的訪問權(quán)限和數(shù)據(jù)性質(zhì)，兼顧考察行為人的合理注意義務(wù)。為明確觀點，筆者有必要對網(wǎng)絡(luò)爬蟲的概念、附隨要素及其法律屬性進行簡要的介紹。二、網(wǎng)絡(luò)爬蟲的概念及法律屬性（一）網(wǎng)絡(luò)爬蟲的概念網(wǎng)絡(luò)爬蟲（英語:webcrawler），也叫網(wǎng)絡(luò)蜘蛛（spider），是一種可以自動化訪問并收集目標計算機信息系統(tǒng)數(shù)據(jù)的程序，設(shè)計初衷是通過計算機技術(shù)手段自動為網(wǎng)站編纂索引，并不斷更新信息。因為網(wǎng)絡(luò)爬蟲可以高效地實現(xiàn)信息的讀取、儲存等工作，在搜索引擎應用之外，也往往被用于訪問特定網(wǎng)站，依照開發(fā)者設(shè)計的規(guī)則讀取、保存特定信息。網(wǎng)絡(luò)爬蟲種類繁多，一般來說，我們可以以部署環(huán)境、使用場景對爬蟲進行分類。從部署環(huán)境來看，一般將網(wǎng)絡(luò)爬蟲分為服務(wù)器爬蟲和客戶端爬蟲兩個類型。兩者的區(qū)別好比制式相同卻采用不同口徑彈藥的自動步槍，實際功能基本一致，但是服務(wù)器爬蟲可以通過借助服務(wù)器端更具優(yōu)勢的計算機信息系統(tǒng)資一一多線程和更大的帶寬，在同一時間內(nèi)訪問更多的信息資源。從使用場景來看，一般將網(wǎng)絡(luò)爬蟲分為通用爬蟲、聚焦爬蟲兩種類型。通用網(wǎng)絡(luò)爬蟲，又稱為全站爬蟲，它的主要功能是從互聯(lián)網(wǎng)中搜集網(wǎng)頁、采集信息，并下載到本地，形成一個互聯(lián)網(wǎng)資源的備份鏡像。這些備份金竟像可以用于為搜索引擎建立索引提供支持，而備份鏡像文件的數(shù)據(jù)量決定著整個引擎系統(tǒng)的可用性，包括信息更新是否及時、涵蓋內(nèi)容是否豐富等，而這正是搜索引擎系統(tǒng)（Baidu、Google、Bing等）的基礎(chǔ)。（二）網(wǎng)絡(luò)爬蟲的附隨要素我國法理學家張文顯曾論述，如果精確地解釋和確定法律概念的意義，就能夠精確地描述法律現(xiàn)象，正確地進行法律推理。［1］網(wǎng)絡(luò)爬蟲通常來說有三種基本功能，分別是：訪問、下載、解析。訪問，是指網(wǎng)絡(luò)爬蟲依據(jù)代碼設(shè)定的邏輯，向計算機信息系統(tǒng)發(fā)送訪問請求，以期訪問數(shù)據(jù);下載，是指將目標計算機信息系統(tǒng)儲存的數(shù)據(jù)傳輸、儲存到本地或指定的計算機信息系統(tǒng)中;解析，是指對計算機信息系統(tǒng)數(shù)據(jù)的內(nèi)容進行分析、篩選。一般而言，這三種基礎(chǔ)性的功能本身并不會對計算機信息系統(tǒng)數(shù)據(jù)進行增加、刪除、修改操作。如果我們將網(wǎng)絡(luò)爬蟲放置于使用場景下進行考察，網(wǎng)絡(luò)爬蟲在共同的基本功能之上同時也受到一些共同的要素影響，我們可以將這些要素理解為網(wǎng)絡(luò)爬蟲的附隨要素，具體包括以下內(nèi)容：網(wǎng)絡(luò)爬蟲是否具有訪問數(shù)據(jù)的權(quán)限網(wǎng)絡(luò)爬蟲程序運行的前提是必須具有明確的訪問目標，而訪問權(quán)限也是網(wǎng)絡(luò)爬蟲面對的第一個門檻。對網(wǎng)絡(luò)爬蟲是否具有訪問數(shù)據(jù)權(quán)限的判斷等同于危害計算機信息系統(tǒng)及數(shù)據(jù)安全刑事案件中的違法性判斷的核心要素一“未經(jīng)授權(quán)或者超越授權(quán)”。網(wǎng)絡(luò)爬蟲獲取數(shù)據(jù)的性質(zhì)與范圍網(wǎng)絡(luò)爬蟲可以按照編寫者的設(shè)計，獲取特定或不特定的數(shù)據(jù)。這其中不僅包括了人類可以感知的、具有信息意義的數(shù)據(jù)資源（如圖片、文字、視頻等），也可能包括本身應交由計算機信息系統(tǒng)進行解讀的非可視性的數(shù)據(jù)內(nèi)容⑵（如CSS數(shù)據(jù)、網(wǎng)站根目錄、數(shù)據(jù)庫文件等）。網(wǎng)站控制者可能會基于計算機信息系統(tǒng)安全、原創(chuàng)性設(shè)計、隱私等考慮，拒絕他人獲取上述數(shù)據(jù)。網(wǎng)絡(luò)爬蟲對計算機信息系統(tǒng)流量帶寬和計算資源造成的影響網(wǎng)絡(luò)爬蟲作為一種高效、自動化的計算機信息系統(tǒng)程序，對目標網(wǎng)站的訪問頻次遠遠高于一般正常的人類用戶，在運行的過程中往往容易對目標網(wǎng)站計算機信息系統(tǒng)資源（一般是指服務(wù)器流量帶寬和計算資源）造成大量消耗，導致目標網(wǎng)站因缺乏足夠的帶寬和計算機資源以至于無法響應其他用戶的訪問請求。（三）網(wǎng)絡(luò)爬蟲的法律屬性出于對網(wǎng)絡(luò)爬蟲所引發(fā)的網(wǎng)絡(luò)安全與隱私的考慮，1994年，由荷蘭工程師MartijnKoster提出了一份行業(yè)技術(shù)規(guī)范，并在此基礎(chǔ)之上，逐漸發(fā)展出了一套完整的網(wǎng)絡(luò)爬蟲使用技術(shù)規(guī)范-Robots.txt協(xié)議［3］。Robots協(xié)議，英文全稱RobotsExclusionProtocol，其被設(shè)計者儲存于網(wǎng)站根目錄下的ASCII編碼的文本文件，網(wǎng)站站長可以通過代碼注明以下信息：該網(wǎng)站是否允許網(wǎng)絡(luò)爬蟲抓取某一類特定的數(shù)據(jù)。近25年以來“Robots協(xié)議由于簡單、高效，成為國內(nèi)外互聯(lián)網(wǎng)行業(yè)內(nèi)普遍通行、普遍遵守的技術(shù)規(guī)范”［4］。但Robots協(xié)議本身并不具備任何的約束力。至今，在Robots官網(wǎng)上最顯著的位置，依然有這樣一份聲明，其強調(diào)了Robots協(xié)議并非官方標準，不具備任何強制執(zhí)行力。在我國，第一個對Robots協(xié)議的法律性質(zhì)作為較為完整論述的見于百度公司VS.奇虎360案，在該案件判決中，法院就Robots協(xié)議的法律屬性進行了討論，并做出如下認定:Robots協(xié)議是技術(shù)規(guī)范，并非法律意義上的協(xié)議;Robots協(xié)議系網(wǎng)站服務(wù)商或所有者在自行編寫，屬于單方宣示;但其同時承認，Robots協(xié)議在互聯(lián)網(wǎng)領(lǐng)域具有通用性，是一份可行的技術(shù)標準。［5］筆者認為，在互聯(lián)網(wǎng)語境之下，存在著大量類似的技術(shù)行為，它們作為企業(yè)或用于挖掘商業(yè)價值、或用于維護自身權(quán)益的工具，已經(jīng)成為了一種業(yè)界通行的商業(yè)慣例，進而成為一種特定的社畬規(guī)范。這種新型的社會規(guī)范所伴隨的法益“對傳統(tǒng)刑法學具有釜底抽薪的效應?！保?］對于新型網(wǎng)絡(luò)犯罪而言，司法者如果刻意忽視這種社會規(guī)范，甚至以個人價值覆蓋社會規(guī)范，無疑會與實踐產(chǎn)生極大的分歧。因此，網(wǎng)絡(luò)爬蟲法律屬性的確定，必須需要回到計算機技術(shù)領(lǐng)域的視角下回答。訪問屬性訪問數(shù)據(jù)就是網(wǎng)絡(luò)爬蟲的本質(zhì)屬性，也是其行為的起點，而因為訪問權(quán)限的設(shè)立，致使網(wǎng)絡(luò)爬蟲存在未經(jīng)授權(quán)或者超越授權(quán)訪問數(shù)據(jù)的可能性，在實踐中，對'授權(quán)”的設(shè)計具體可能表現(xiàn)為：訪問權(quán)限控制存在多種不同的機制。在傳統(tǒng)計算機信息傳統(tǒng)安全框架下，用戶身份認證信息是最經(jīng)典也是最關(guān)鍵的權(quán)限控制方式。同時，也存在其他依附于該機制所構(gòu)建的補充機制，如對訪問請求的IP地址范圍進行授權(quán)控制;又比如利用機器人協(xié)議和驗證碼機制對訪問對象進行授權(quán)限制。在網(wǎng)絡(luò)爬蟲的場景下，業(yè)內(nèi)一般將用戶身份認證信息之外的措施稱之為反爬機制。在實踐中，有司法人士在案件論證中將反爬機制引入作為'未經(jīng)收入或者超越授權(quán)”論理的立足點，認為：“被告單位正是偽造了device_id繞過了服務(wù)器的身份校驗，并使用偽造UA及IP繞過服務(wù)器的訪問頻率限制才實行了對被害單位服務(wù)器數(shù)據(jù)庫的訪問。被告單位繞過APP客戶端與被害單位網(wǎng)站服務(wù)器端的身份驗證系統(tǒng)，行為性質(zhì)實際就已經(jīng)屬于非法侵入被害單位的計算機信息系統(tǒng)了”。［7］對此，筆者不能贊同。這種論證的本質(zhì)偏差在于將反爬機制與前述的用戶身份認證信息作等同性理解，這種理解不僅導致刑事規(guī)制的不適當擴大，也反應了司法實踐人員對技術(shù)知識的誤解。我國刑法第285條非法侵入計算機信息系統(tǒng)罪的立法之初，主要針對的是以黑客攻擊等手段，突破控制者設(shè)立的安全保護措施的不法行為。喻海松法官認為'與計算機信息系統(tǒng)安全相關(guān)的數(shù)據(jù)中最為重要的是用于認證用戶身份的身份認證信息（如口令、證書等），此類數(shù)據(jù)通常是網(wǎng)絡(luò)安全的第一道防線，也是網(wǎng)絡(luò)盜竊的最主要對象'。［8］這種結(jié)論并非是人為構(gòu)造概念或者法益，而是對于計算機信息系統(tǒng)安全保護的深刻洞察、總結(jié)。我們反觀互聯(lián)網(wǎng)發(fā)展的歷史，身份認證信息系統(tǒng)無疑是用來保護計算機信息系統(tǒng)和數(shù)據(jù)安全的最佳形式，它同時兼?zhèn)淞讼蛴脩簦ㄈ祟悾┖陀嬎銠C信息系統(tǒng)同時進行“授權(quán)”聲明的特質(zhì)，不僅符合實際安全需要，而且符合社會規(guī)范的形式。正如國外著名的網(wǎng)絡(luò)法學者OrinS.Kerr論述：“借助用戶身份認證系統(tǒng)，網(wǎng)站主體可以在互聯(lián)網(wǎng)中劃分出明確的兩個區(qū)域，開放空間和非開放空間?！保?］而針對網(wǎng)絡(luò)爬蟲的反爬機制與用戶身份認證信息機制在規(guī)制對象上是不同的，這是為了保護不同的法益而發(fā)展出的兩種完全不同的技術(shù)措施。反爬機制的構(gòu)建并不需要以用戶身份認證信息為必備條件，其技術(shù)原理是通過對用戶的訪問IP\UA'訪問頻率等數(shù)據(jù)進行條件篩選進而屏蔽訪問請求。因此不難看出，其技術(shù)本身也暗含著一種“授權(quán)”，司法人員對這種授權(quán)理解為：“不是通過真實的UA和IP進行的訪問，均是無權(quán)限的非法訪問”。這種理解具有一定違和之處：當一名真實的用戶通過VPN訪問該網(wǎng)站時，因為使用的不是真實IP，所以形成了無權(quán)限的非法訪問。甚至于可以得出一種結(jié)論，司法人員試圖用刑法保護網(wǎng)站對于用戶行為的選擇權(quán)，任何用戶一旦違反網(wǎng)站的要求，就會有涉嫌觸犯刑法的可能性。這個結(jié)論無疑是荒謬的，也難以讓人接受。這也正是對刑法285條內(nèi)涵“授權(quán)”理解的過度解讀帶來的消極結(jié)果。而由于司法人員對反爬機制的錯誤理解，導致其在論證的過程中并未意識到與反爬機制密切相關(guān)的法益侵害問題。中性化的程序、工具屬性我國刑法第285條第3款規(guī)定了“專門用于侵入、非法控制計算機信息系統(tǒng)的程序、工具”，這實質(zhì)上是對某類特定技術(shù)行為直接予以否定性評價。筆者認為，可以從該條款入手，探討網(wǎng)絡(luò)爬蟲本身的價值與法律屬性。從罪狀來看，“專門”是界定一項技術(shù)是否被納入285條第3款予以規(guī)制的核心要素。刑法語意下的“專門”，是指“行為人所提供的程序、工具只能用于實施非法侵入、非法控制計算機信息系統(tǒng)的用途”。［10］立法者在設(shè)計該罪名構(gòu)成要件時，顯然考慮認識到涉計算機信息系統(tǒng)類犯罪的客觀行為完全可以由中性程序予以實施。通過“專門”二字對行為人研發(fā)程序、工具的主觀目的進行限定，從而避免了中性程序因為被用于犯罪而被刑事司法全面否定的情況，為中性程序、工具預留出罪路徑，兼顧了打擊犯罪和保障技術(shù)發(fā)展的需求。網(wǎng)絡(luò)爬蟲對計算機信息系統(tǒng)流量帶寬和計算資源造成的影響網(wǎng)絡(luò)爬蟲作為一種高效、自動化的計算機信息系統(tǒng)程序，對目標網(wǎng)站的訪問頻次遠遠高于一般正常的人類用戶，在運行的過程中往往容易對目標網(wǎng)站計算機信息系統(tǒng)資源（一般是指服務(wù)器流量帶寬和計算資源）造成大量消耗，導致目標網(wǎng)站因缺乏足夠的帶寬和計算機資源以至于無法響應其他用戶的訪問請求。（三）網(wǎng)絡(luò)爬蟲的法律屬性出于對網(wǎng)絡(luò)爬蟲所引發(fā)的網(wǎng)絡(luò)安全與隱私的考慮，1994年，由荷蘭工程師MartijnKoster提出了一份行業(yè)技術(shù)規(guī)范，并在此基礎(chǔ)之上，逐漸發(fā)展出了一套完整的網(wǎng)絡(luò)爬蟲使用技術(shù)規(guī)范-Robots.txt協(xié)議［3］。Robots協(xié)議，英文全稱RobotsExclusionProtocol，其被設(shè)計者儲存于網(wǎng)站根目錄下的ASCII編碼的文本文件，網(wǎng)站站長可以通過代碼注明以下信息：該網(wǎng)站是否允許網(wǎng)絡(luò)爬蟲抓取某一類特定的數(shù)據(jù)。近25年以來“Robots協(xié)議由于簡單、高效，成為國內(nèi)外互聯(lián)網(wǎng)行業(yè)內(nèi)普遍通行、普遍遵守的技術(shù)規(guī)范”［4］。但Robots協(xié)議本身并不具備任何的約束力。至今，在Robots官網(wǎng)上最顯著的位置，依然有這樣一份聲明，其強調(diào)了Robots協(xié)議并非官方標準，不具備任何強制執(zhí)行力。在我國，第一個對Robots協(xié)議的法律性質(zhì)作為較為完整論述的見于百度公司VS.奇虎360案，在該案件判決中，法院就Robots協(xié)議的法律屬性進行了討論，并做出如下認定:Robots協(xié)議是技術(shù)規(guī)范，并非法律意義上的協(xié)議;Robots協(xié)議系網(wǎng)站服務(wù)商或所有者在自行編寫，屬于單方宣示;但其同時承認，Robots協(xié)議在互聯(lián)網(wǎng)領(lǐng)域具有通用性，是一份可行的技術(shù)標準。［5］筆者認為，在互聯(lián)網(wǎng)語境之下，存在著大量類似的技術(shù)行為，它們作為企業(yè)或用于挖掘商業(yè)價值、或用于維護自身權(quán)益的工具，已經(jīng)成為了一種業(yè)界通行的商業(yè)慣例，進而成為一種特定的社會規(guī)范。這種新型的社會規(guī)范所伴隨的法益“對傳統(tǒng)刑法學具有釜底抽薪的效應?！保?］對于新型網(wǎng)絡(luò)犯罪而言，司法者如果刻意忽視這種社會規(guī)范，甚至以個人價值覆蓋社會規(guī)范，無疑會與實踐產(chǎn)生極大的分歧。因此，網(wǎng)絡(luò)爬蟲法律屬性的確定，必須需要回到計算機技術(shù)領(lǐng)域的視角下回答。訪問屬性訪問數(shù)據(jù)就是網(wǎng)絡(luò)爬蟲的本質(zhì)屬性，也是其行為的起點，而因為訪問權(quán)限的設(shè)立，致使網(wǎng)絡(luò)爬蟲存在未經(jīng)授權(quán)或者超越授權(quán)訪問數(shù)據(jù)的可能性，在實踐中，對'授權(quán)”的設(shè)計具體可能表現(xiàn)舄：訪問權(quán)限控制存在多種不同的機制。在傳統(tǒng)計算機信息傳統(tǒng)安全框架下，用戶身份認證信息是最經(jīng)典也是最關(guān)鍵的權(quán)限控制方式。同時，也存在其他依附于該機制所構(gòu)建的補充機制，如對訪問請求的IP地址范圍進行授權(quán)控制;又比如利用機器人協(xié)議和驗證碼機制對訪問對象進行授權(quán)限制。在網(wǎng)絡(luò)爬蟲的場景下，業(yè)內(nèi)一般將用戶身份認證信息之外的措施稱之為反爬機制。在實踐中，有司法人士在案件論證中將反爬機制引入作為'未經(jīng)收入或者超越授權(quán)”論理的立足點，認為：“被告單位正是偽造了device_id繞過了服務(wù)器的身份校驗，并使用偽造UA及IP繞過服務(wù)器的訪問頻率限制才實行了對被害單位服務(wù)器數(shù)據(jù)庫的訪問。被告單位繞過APP客戶端與被害單位網(wǎng)站服務(wù)器端的身份驗證系統(tǒng)，行為性質(zhì)實際就已經(jīng)屬于非法侵入被害單位的計算機信息系統(tǒng)了”。［7］對此，筆者不能贊同。這種論證的本質(zhì)偏差在于將反爬機制與前述的用戶身份認證信息作等同性理解，這種理解不僅導致刑事規(guī)制的不適當擴大，也反應了司法實踐人員對技術(shù)知識的誤解。我國刑法第285條非法侵入計算機信息系統(tǒng)罪的立法之初，主要針對的是以黑客攻擊等手段，突破控制者設(shè)立的安全保護措施的不法行為。喻海松法官認為'與計算機信息系統(tǒng)安全相關(guān)的數(shù)據(jù)中最為重要的是用于認證用戶身份的身份認證信息（如口令、證書等），此類數(shù)據(jù)通常是網(wǎng)絡(luò)安全的第一道防線，也是網(wǎng)絡(luò)盜竊的最主要對象'。［8］這種結(jié)論并非是人為構(gòu)造概念或者法益，而是對于計算機信息系統(tǒng)安全保護的深刻洞察、總結(jié)。我們反觀互聯(lián)網(wǎng)發(fā)展的歷史，身份認證信息系統(tǒng)無疑是用來保護計算機信息系統(tǒng)和數(shù)據(jù)安全的最佳形式，它同時兼?zhèn)淞讼蛴脩簦ㄈ祟悾┖陀嬎銠C信息系統(tǒng)同時進行“授權(quán)”聲明的特質(zhì)，不僅符合實際安全需要，而且符合社會規(guī)范的形式。正如國外著名的網(wǎng)絡(luò)法學者OrinS.Kerr論述：“借助用戶身份認證系統(tǒng)，網(wǎng)站主體可以在互聯(lián)網(wǎng)中劃分出明確的兩個區(qū)域，開放空間和非開放空間?！保?］而針對網(wǎng)絡(luò)爬蟲的反爬機制與用戶身份認證信息機制在規(guī)制對象上是不同的，這是為了保護不同的法益而發(fā)展出的兩種完全不同的技術(shù)措施。反爬機制的構(gòu)建并不需要以用戶身份認證信息為必備條件，其技術(shù)原理是通過對用戶的訪問IP\UA'訪問頻率等數(shù)據(jù)進行條件篩選進而屏蔽訪問請求。因此不難看出，其技術(shù)本身也暗含著一種“授權(quán)”，司法人員對這種授權(quán)理解為：“不是通過真實的UA和IP進行的訪問，均是無權(quán)限的非法訪問”。這種理解具有一定違和之處：當一名真實的用戶通過VPN訪問該網(wǎng)站時，因為使用的不是真實IP,所以形成了無權(quán)限的非法訪問。甚至于可以得出一種結(jié)論，司法人員試圖用刑法保護網(wǎng)站對于用戶行為的選擇權(quán)，任何用戶一旦違反網(wǎng)站的要求，就會有涉嫌觸犯刑法的可能性。這個結(jié)論無疑是荒謬的，也難以讓人接受。這也正是對刑法285條內(nèi)涵“授權(quán)”理解的過度解讀帶來的消極結(jié)果。而由于司法人員對反爬機制的錯誤理解，導致其在論證的過程中并未意識到與反爬機制密切相關(guān)的法益侵害問題。中性化的程序、工具屬性我國刑法第285條第3款規(guī)定了“專門用于侵入、非法控制計算機信息系統(tǒng)的程序、工具”，這實質(zhì)上是對某類特定技術(shù)行為直接予以否定性評價。筆者認為，可以從該條款入手，探討網(wǎng)絡(luò)爬蟲本身的價值與法律屬性。從罪狀來看，“專門”是界定一項技術(shù)是否被納入285條第3款予以規(guī)制的核心要素。刑法語意下的“專門”，是指“行為人所提供的程序、工具只能用于實施非法侵入、非法控制計算機信息系統(tǒng)的用途”。［10］立法者在設(shè)計該罪名構(gòu)成要件時，顯然考慮認識到涉計算機信息系統(tǒng)類犯罪的客觀行為完全可以由中性程序予以實施。通過“專門”二字對行為人研發(fā)程序、工具的主觀目的進行限定，從而避免了中性程序因為被用于犯罪而被刑事司法全面否定的情況，為中性程序、工具預留出罪路徑，兼顧了打擊犯罪和保障技術(shù)發(fā)展的需求。網(wǎng)絡(luò)爬矗對計算機信息系統(tǒng)流量帶寬和計算資源造成的影響網(wǎng)絡(luò)爬蟲作為一種高效、自動化的計算機信息系統(tǒng)程序，對目標網(wǎng)站的訪問頻次遠遠高于一般正常的人類用戶，在運行的過程中往往容易對目標網(wǎng)站計算機信息系統(tǒng)資源（一般是指服務(wù)器流量帶寬和計算資源）造成大量消耗，導致目標網(wǎng)站因缺乏足夠的帶寬和計算機資源以至于無法響應其他用戶的訪問請求。（三）網(wǎng)絡(luò)爬蟲的法律屬性出于對網(wǎng)絡(luò)爬蟲所引發(fā)的網(wǎng)絡(luò)安全與隱私的考慮，1994年，由荷蘭工程師MartijnKoster提出了一份行業(yè)技術(shù)規(guī)范，并在此基礎(chǔ)之上，逐漸發(fā)展出了一套完整的網(wǎng)絡(luò)爬蟲使用技術(shù)規(guī)范-Robots.txt協(xié)議［3］。Robots協(xié)議，英文全稱RobotsExclusionProtocol,其被設(shè)計者儲存于網(wǎng)站根目錄下的ASCII編碼的文本文件，網(wǎng)站站長可以通過代碼注明以下信息：該網(wǎng)站是否允許網(wǎng)絡(luò)爬蟲抓取某一類特定的數(shù)據(jù)。近25年以來“Robots協(xié)議由于簡單、高效，成為國內(nèi)外互聯(lián)網(wǎng)行業(yè)內(nèi)普遍通行、普遍遵守的技術(shù)規(guī)范”［4］。但Robots協(xié)議本身并不具備任何的約束力。至今，在Robots官網(wǎng)上最顯著的位置，依然有這樣一份聲明，其強調(diào)了Robots協(xié)議并非官方標準，不具備任何強制執(zhí)行力。在我國，第一個對Robots協(xié)議的法律性質(zhì)作為較為完整論述的見于百度公司VS.奇虎360案，在該案件判決中，法院就Robots協(xié)議的法律屬性進行了討論，并做出如下認定:Robots協(xié)議是技術(shù)規(guī)范，并非法律意義上的協(xié)議;Robots協(xié)議系網(wǎng)站服務(wù)商或所有者在自行編寫，屬于單方宣示;但其同時承認，Robots協(xié)議在互聯(lián)網(wǎng)領(lǐng)域具有通用性，是一份可行的技術(shù)標準。［5］筆者認為，在互聯(lián)網(wǎng)語境之下，存在著大量類似的技術(shù)行為，它們作為企業(yè)或用于挖掘商業(yè)價值、或用于維護自身權(quán)益的工具，已經(jīng)成為了一種業(yè)界通行的商業(yè)慣例，進而成為一種特定的社會規(guī)范。這種新型的社會規(guī)范所伴隨的法益“對傳統(tǒng)刑法學具有釜底抽薪的效應。”［6］對于新型網(wǎng)絡(luò)犯罪而言，司法者如果刻意忽視這種社會規(guī)范，甚至以個人價值覆蓋社會規(guī)范，無疑會與實踐產(chǎn)生極大的分歧。因此，網(wǎng)絡(luò)爬蟲法律屬性的確定，必須需要回到計算機技術(shù)領(lǐng)域的視角下回答。1.訪問屬性訪問數(shù)據(jù)就是網(wǎng)絡(luò)爬蟲的本質(zhì)屬性，也是其行為的起點，而因為訪問權(quán)限的設(shè)立，致使網(wǎng)絡(luò)爬蟲存在未經(jīng)授權(quán)或者超越授權(quán)訪問數(shù)據(jù)的可能性，在實踐中，對'授權(quán)”的設(shè)計具體可能表現(xiàn)為：訪問權(quán)限控制存在多種不同的機制。在傳統(tǒng)計算機信息傳統(tǒng)安全框架下，用戶身份認證信息是最經(jīng)典也是最關(guān)鍵的權(quán)限控制方式。同時，也存在其他依附于該機制所構(gòu)建的補充機制，如對訪問請求的IP地址范圍進行授權(quán)控制;又比如利用機器人協(xié)議和驗證碼機制對訪問對象進行授權(quán)限制。在網(wǎng)絡(luò)爬蟲的場景下，業(yè)內(nèi)一般將用戶身份認證信息之外的措施稱之為反爬機制。在實踐中，有司法人士在案件論證中將反爬機制引入作為'未經(jīng)收入或者超越授權(quán)”論理的立足點，認為：“被告單位正是偽造了device_id繞過了服務(wù)器的身份校驗，并使用偽造UA及IP繞過服務(wù)器的訪問頻率限制才實行了對被害單位服務(wù)器數(shù)據(jù)庫的訪問。被告單位繞過APP客戶端與被害單位網(wǎng)站服務(wù)器端的身份驗證系統(tǒng)，行為性質(zhì)實際就已經(jīng)屬于非法侵入被害單位的計算機信息系統(tǒng)了”。［7］對此，筆者不能贊同。這種論證的本質(zhì)偏差在于將反爬機制與前述的用戶身份認證信息作等同性理解，這種理解不僅導致刑事規(guī)制的不適當擴大，也反應了司法實踐人員對技術(shù)知識的誤解。我國刑法第285條非法侵入計算機信息系統(tǒng)罪的立法之初，主要針對的是以黑客攻擊等手段，突破控制者設(shè)立的安全保護措施的不法行為。喻海松法官認為'與計算機信息系統(tǒng)安全相關(guān)的數(shù)據(jù)中最為重要的是用于認證用戶身份的身份認證信息（如口令、證書等），此類數(shù)據(jù)通常是網(wǎng)絡(luò)