通过魔蝎爬⾍案，本⽂将讨论以下问题

1.爬⾍的技术原理与使用场景 

2.法律如何规制利用爬⾍技术侵犯个⼈信息的⾏为 

3.在我国利用爬⾍技术搜集个⼈信息的合法性界限

4.从技术与法律关系之视角看个⼈信息保护 

爬⾍的技术原理与使用场景

“爬⾍”程序，又称“⽹络蠕⾍”、“蜘蛛”，这⽣动又贴切地形容了它的⼯作⽅式。该程序完成⽹页的寻找主要是依靠⽹页链接地址实现的[2]，由某个⽹站起，对⽹页相关内容进⾏爬取与分析，从中获取相关的链接地址，随后利用获取的链接地址便能够找到其他的⽹页，在这个循环过程中，能够将所需的⽹页都实现抓取。若整个互联⽹视为⽹站，则⽹络爬⾍抓取⽹页能够基于原理实现[3]。爬⾍采取标准的http协议对万维⽹信息空间的搜索，其主要依靠超链接与Web⽂档进⾏检索的办法来实现。若是需要利用爬⾍进⾏指定的检索，主要还是需要依靠⼀定的算法，主要有：宽度优先搜索算法[4]、深度优先搜索算法以及聚焦搜索策略。这些算法策略各有优缺点，由于本⽂重点不在于讲述具体原理，故不作赘述。但必须提出，算法的好坏直接影响到能否成功地利用爬⾍获取自⼰需要的数据，故把握算法的法律尺度是爬⾍技术使用者应当重视的问题。

爬⾍的应用场景⼗分⼴泛，在教育、⼯业、医疗、新媒体等领域均得到了⼤规模使用。本⽂所探讨的爬⾍技术只限于“数据抓取”这⼀类⾏为，利用爬⾍绘图、制作软件等⾏为不属于本⽂探讨的⾏为。数据抓取的相关案例⼀般分为三类，第⼀类是数据抓取⽅与平台签署了正式的合作协议或API协议进⾏数据共享抓取（如脉脉案）；第⼆类是数据抓取⽅通过平台的Robots协议自⾏抓取公开数据（如车来了案）；第三类是数据抓取⽅通过非法⼿段抓取平台的非公开数据（如酷米客案）。魔蝎爬⾍案属于第三类⾏为，魔蝎公司在未经用户同意的情况下，私自存储用户之信息，⼆次使用这些信息登陆平台账号抓取数据，侵害了用户的个⼈信息。

法律如何规制利用爬⾍技术侵犯个⼈信息的⾏为 

近年来，个⼈隐私保护及数据合规⼀直是法学界的热门议题。Facebook被罚50亿美元案件[5]曝光了企业在个⼈隐私保护⽅面的巨⼤漏洞，众多国家及地区开始意识到问题的严峻，也引发了不少立法思考，应当如何规制这些侵犯个⼈信息的⾏为？ 

其中最有代表性的法律规范便是欧盟的《通用数据保护条例》（GDPR，General Data Protection Regulation，以下简称“条例”），规定了企业如何收集，使用和处理欧盟公民的个⼈数据。条例的第⼆章专章设立关于数据保护的原则，对个⼈数据处理、处理的合法性、同意的条件、⼉童同意的条件、特殊类型个⼈数据处理、涉及犯罪的数据处理以及不需要识别的处理作出了原则性规定，规定的内容较为具体。例如，对⼉童与特殊类型个⼈的数据处理原则作了特别规定。更值得注意的是，条例还考虑到欧盟各成员国的差异问题，对⼉童年龄作出了16岁与13岁的区分，⽽非以⼀概之。在数据获取⽅面，条例详细规定了收集数据主体个⼈数据时应当提供哪些信息，同样地，亦规定了在未获得数据主体个⼈数据的情形下，应当提供哪些信息。可以看出，条例对于信息保护的规定是具体且可操作的。在魔蝎爬⾍案中，魔蝎公司将用户数据⼀直保存于服务器内，这种⾏为的合法性在条例中得到了回应，根据条例第5（1）条e点：“对于能够识别数据主体的个⼈数据，其储存时间不得超过实现其处理目的所必需的时间；”可以得出，如果魔蝎案适用GDPR的话，这种⾏为是不合法的。魔蝎公司搜集个⼈数据是出于用户贷款的资信审查目的，审查完毕后应当即刻删除，⽽其长期存储用户数据的⾏为不具有正当性，超出了GDPR中“所必须的时间”,违反了数据保护的基本原则。 

此外，还有美国的《国家安全与个⼈数据保护法提案》（NSPDPA，National Security and Personal Data Protection Act of 2019）、美国加州地区的《加利福尼亚州的消费者隐私法案》（CCPA，California Consumer Privacy Act）以及日本的《个⼈信息保护法》（APPI，Amended Act on the Protection of Personal Information）等对个⼈信息保护作出了较为细致的规定，⼀般来说，非法利用技术收集用户数据都是被禁⽌的，且可能面临⾼额的处罚。 

我国刑法第⼆百⼋⼗五条⾄第⼆百⼋⼗七条对⽹络犯罪进⾏了规制，分别是非法侵⼊计算机信息系统罪、破坏计算机信息系统罪、拒不履⾏信息⽹络安全管理义务罪、非法利用信息⽹络罪与帮助信息⽹络活动罪。在我国，不法利用爬⾍技术可能涉及到非法侵⼊计算机信息系统罪与破坏计算机信息系统罪。但在⼀定程度上来说，刑法对于⽹络爬⾍的⼊罪边界不清，具体表现在⽹络爬⾍抓取的数据类型划分不清晰以及爬⾍技术的特征类型划分不清晰[6]。上述利用爬⾍技术的宽泛情形，若是利用爬⾍技术侵犯用户个⼈信息，则可能涉及其他罪名。《刑法》修正案（九）对刑法第⼆百五⼗三条进⾏了修订，明确规定违反国家有关规定，向他⼈出售或者提供公民个⼈信息，情节严重的，构成犯罪；在未经用户许可的情况下，非法获取用户的个⼈信息，情节严重的也将构成“侵犯公民个⼈信息罪”。⽽根据《最⾼⼈民法院 最⾼⼈民检察院关于办理侵犯公民个⼈信息刑事案件适用法律若⼲问题的解释》第五条对“情节严重”进⾏了解释[7]。 

《⽹络安全法》第四⼗四条规定，任何个⼈和组织不得窃取或者以其他非法⽅式获取个⼈信息。因此，如果爬⾍在未经用户同意的情况下⼤量抓取用户的个⼈信息，则有可能构成非法收集个⼈信息的违法⾏为。这⼀条款，被业界称为⼤数据条款，但有学者认为，条⽂中的“非法”应当进⾏解释学分析，且“非法”情形对应的“合法”情形亦在规则上表达不明晰[8]。 

就民事责任⽽⾔，根据《民法典》第⼀千零三⼗⼋条第⼀款之规定，信息处理者不得泄露或者篡改其收集、存储的个⼈信息；未经自然⼈同意，不得向他⼈非法提供其个⼈信息，但是经过加⼯⽆法识别特定个⼈且不能复原的除外。又根据《民法典》第⼀千零三⼗五条对个⼈信息处理的界定，个⼈信息的处理包括个⼈信息的收集、存储、使用、加⼯、传输、提供、公开等。对于利用爬⾍技术侵犯个⼈信息的情形，可能还涉及⼈格利益侵权问题。个⼈信息涉及公民个⼈隐私，附着在信息上可能包含⽣活安宁、⼈格尊严等⼈格利益。但是在实务中，公民以用户数据泄露导致精神受到伤害为由请求精神损害赔偿很难得到法院的支持[9]，主要原因在于，用户难以证明⽽这的因果关系以及数据的“唯⼀性”，这也从侧面反映出，目前我国司法审判实践对于个⼈信息保护⼒度的不⾜。目前我国《数据安全法(草案)》及《个⼈信息保护法(草案)》已经公布，相信不久之后便会正式公布实施。 

在我国利用爬⾍技术搜集个⼈信息的合法性界限 

世界上最⼤的代码托管平台Github上发布了⼀个有意思的项目，这个项目总结了在中国利用爬⾍技术从事违法⾏为的案例，旨在提醒程序员哪些⾏为是法律红线。类似于魔蝎公司爬⾍案，巧达科技公司在智联、猎聘等各⼤招聘⽹站上，创建了上千个企业账户，利用企业账户可以查看简历的特性，每天使用爬⾍机器⼈爬取这些招聘⽹站数百万次，获取⼤量简历数据后不断清洗分析数据，形成用户画像。这些案例⼀⽅面说明了程序设计者法律意识淡薄，另⼀面也说明了我国在爬⾍技术监管与规制⽅面的不⾜[10]。 

但对于爬⾍技术的使用，也⼤可不必诚惶诚恐，需要正确界定好使用它的合法性界限，不去触碰自律规范或法律红线，让自⼰的爬⾍“有礼貌”地⾏⾛在⽹络空间之中。 本⽂从两个维度讲我国爬⾍技术的安全使用即合法性界限问题，⼀个是⾏业的数据使用规范，另⼀个是法律的强制性规定。

百度、阿里巴巴、腾讯等⼤型互联⽹公司都有着企业自⼰内部的数据管理规范，对于员⼯如何获取使用数据都有着翔实的规定，也会成立专业的数据合规部门来规范涉及用户数据的操作⾏为。《数据安全法（草案）》第4章第25条⾄第33条亦构建了平台数据安全保障义务制度框架。上海财经⼤学副教授胡凌认为，倘若这些公司⽆视对用户信息的敬畏，依赖于“知情同意原则”⼤批量地搜集用户个⼈信息，这会使得用户被迫成为数据产业链的⽣产者[11]。对于规模较小的公司，可以参照⾏业标准或自律公约，对自身数据操作⾏为进⾏规范。例如，在支付卡⾏业，腾讯安全联合艾特赛克发布《基于PCI DSS 的云用户数据安全合规白皮书》[12]，这⼀标准能够清晰且⾼效地协助⾏业规范数据安全标准要求，对于⾏业成员，可以参照这⼀标准形成自身的内部控制体系。 

我国个⼈信息保护相关的法律如上⽂所述，法律体系尚不健全，许多法律虽已纳⼊立法规划，但尚未公布实施[13]。《数据安全法(草案)》及《个⼈信息保护法(草案)》较为清晰地明确了数据信息保护的权利义务关系，但对于有些问题亦未做具体规定。例如《数据安全法(草案)》除了在第10条作出了⼀个原则性规定外，并未具体规定数据跨境问题应当如何具体落地[14]。根据《刑法》、《民法典》、《⽹络安全法》、《最⾼⼈民法院 最⾼⼈民检察院关于办理侵犯公民个⼈信息刑事案件适用法律若⼲问题的解释》等法律之规定，可以从个⼈信息数据的流⼊、内部使用、流出这三个环节看待合法性界限问题。对于个⼈信息数据的流⼊，应当重点关注数据获取途径的合法性、数据敏感程度、数据获取的各个上游是否合法等等做合规审查。对于个⼈信息数据的内部使用，应当严格按照公司规章制度使用数据，不抱侥幸⼼理，常持敬畏之⼼。对于个⼈信息数据的流出，应当谨慎核查数据需求⽅的用途、合同权利义务关系设计的合理性、事后审查机制完善等。 

正如程啸教授提到的，⼤体量的用户数据若是不慎被泄露亦或是被非法利用，这些数据会成为许多违法犯罪⾏为的⼯具[15]。我们应当也必须理性地看待技术所带来的危害，进⼀步明晰自身⾏为的法律风险，以防出现因法律意识淡薄⽽出现的违法犯罪⾏为。

从技术与法律关系之视角看个⼈信息保护 

技术与法律的发展相互促进，也彼此制衡。本⽂提到的爬⾍技术与法律的关系正是如此，技术从业者是否深谙技术背后所涉及的法律问题，法律从业者又是否意识到技术对于新经济时代的重要性？我们应当如何对本就中立的技术在法律上予以规制，这在⾼速发展的⽹络时代具有重要意义[16]。 

在法学领域，谈及技术中立原则，便不得不提美国联邦最⾼法院1984年判决的索尼案，通过这⼀案件确定了 “索尼规则”，其含义为：如果被告提供的某种商品同时具有合法和非法用途，可以免除其侵权责任[17]。对于技术中立原则的应用，我们可以关注版权法的相关规定，⼀般认为版权法是较为符合技术中立原则的法律[18]。目前，技术与商业模式的边界愈加模糊，这似乎也在催促立法作出价值选择。著名的快播案的辩护⼈也以技术中立原则作为抗辩理由，最后并未辩护成功，在⼀定程度上说明技术中立似乎不能很好地为违法⾏为开脱[19]。技术本身是没有价值倾向的，这很⼤程度上受到技术使用价值倾向的影响，故⽽有学者认为，技术中立本身可能意味着非中立，因为若是想使用技术中立抗辩从⽽免除责任，这要求技术的设计者与使用者在使用技术的过程中没有对技术本身施加⼀定的影响，这⼀般是很难做到的。 

法律是⼀门社会科学，它调整社会关系中的各种权利义务关系。科技助⼈求真，提⾼效率，增进自由，法律则引⼈向善，弘扬正义，维护秩序，⼆者必须不断实现新的价值整合[20]。不置可否地，法律会有其自身的价值倾向，是否扩张某种权利的适用范围，是否对⼀种⾏为作限缩解释[21]？这些考量都蕴藏了其更倾向保护哪种法律价值。在信息泛滥的⼤数据时代，个⼈信息保护问题关乎每个⼈自身的权利。技术因其固有的技术中立特性，恶意使用它会造成对法律所保护的价值的侵害的严重的后果，应予以规制。 

参考⽂献： 

[1]参见南⽅都市报：《非法存储公民账号密码2000万余条！魔蝎数据爬⾍案判了》，https://www.163.com/dy/article/G7KTUEK505129QAF.html，访问日期：2021年4月19日访问。 

[2]See Andreas C. Müller, Sarah Guido, Introduction to Machine Learning with Python: A Guide for Data Scientists, O’Reilly Media, 2016, p. 5. 

[3]参见赵茉莉：《⽹络爬⾍系统的研究与实现》，电⼦科技⼤学2013硕⼠毕业论⽂。 

[4]See Pham T D . Recognition of trademarks with spatial statistics and neural learning. Artificial Intelligence Systems, 2002. (ICAIS 2002). 2002 IEEE International Conference on. IEEE, 2002. 

[5]See Federal Trade Commission. FTC Imposes $5 Billion Penalty and Sweeping New Privacy Restrictions on Facebook. https://www.ftc.gov/news-events/press-releases/2019/07/ftc-imposes-5-billion-penalty-sweeping-new-privacy￾restrictions. April 19, 2021. 

[6]刘艳红、杨志琼：《⽹络爬⾍的⼊罪标准与路径研究》，载《⼈民检察》2020年第15期。 

[7]参见《最⾼⼈民法院、最⾼⼈民检察院关于办理侵犯公民个⼈信息刑事案件适用法律若⼲问题的解释》第五条：非法获取、出售或者提供公民个⼈信息，具有下列情形之⼀的，应当认定为刑法第⼆百五⼗三条之⼀规定的“情节严重”：（⼀）出售或者提供⾏踪轨迹信息，被他⼈用于犯罪的；（⼆）知道或者应当知道他⼈利用公民个⼈信息实施犯罪，向其出售或者提供的；（三）非法获取、出售或者提供⾏踪轨迹信息、通信内容、征信信息、财产信息五⼗条以上的……（⼗）其他情节严重的情形。实施前款规定的⾏为，具有下列情形之⼀的，应当认定为刑法第⼆百五⼗三条之⼀第⼀款规定的“情节特别严重”：（⼀）造成被害⼈死亡、重伤、精神失常或者被绑架等严重后果的……（四）其他情节特别严重的情形。

[8]参见吴才毓：《⼤数据公共安全治理的法治化路径：算法伦理、数据隐私及⼤数据证据规则》，载《政法学刊》2020年第5期。 

[9]参见叶名怡：《个⼈信息的侵权法保护》，载《法学研究》2018年第4期，第89页。 

[10]参见杨建军：《司法数据公开及其程序规制》，载《⼴东社会科学》2019年第6期。 

[11]参见胡凌：《论赛博空间的架构及其法律意蕴》，载《东⽅法学》2018年第3期。 

[12]参见中国日报⽹：《腾讯发布PCI DSS合规白皮书，填补数据安全合规标准空白》，https://baijiahao.baidu.com/

s?id=1640992771136519525&wfr=spider&for=pc，2021年4月19日访问。 

[13]参见蔡⼀博：《《民法典》实施下个⼈信息的条款理解与司法应对》，载《法律适用》2021年第3期。 

[14]参见黄道丽、胡⽂华：《中国数据安全立法形势、困境与对策--兼评《数据安全法(草案)》》，载《北京航空航天⼤学学报（社会科学版）》2020年第6期。 

[15]参见程啸：《民法典编纂视野下的个⼈信息保护》，载《中国法学》，2019年第4期。 

[16]参见刘艳红：《⽹络爬⾍⾏为的刑事规制研究--以侵犯公民个⼈信息犯罪为视角》，载《政治与法律》2019年第11期。 

[17]See Peter S. Menel＆David Nimmer, Legal Realism in Action: Indirect Copyright Liability's Continuing Tort Framework and Sony's De Facto Demise, 55 UCLA L. Rev. 1 (2007)． 

[18]参见张今：《版权法上“技术中立”的反思与评析》，《知识产权》2008年第1期。 

[19]参见陈兴良：《快播案⼀审判决的刑法教义学评判》，载《中外法学》2017年第1期。 

[20]参见侯纯：《科技与法律的价值整合》，载《科技与法律》2004年第1期。 

[21]参见谢晖：《诠释法律的主观性及其原因》，载《法学》2002年第8期。 

文章来源：德恒律师事务所