數據爬取犯罪治理需處理好規范與價值、思路與方法、體系與問題等多對關系,以刑法懲治數據爬取犯罪僅為數據爬取犯罪治理中的一部分。筆者認為,討論數據爬取其他治理路徑前,先要厘清兩方面內容:一是數據爬取犯罪的刑事風險類型;二是數據爬取犯罪治理的法理基礎。
數據爬取犯罪的刑事風險類型
違反網站Robots協議等合約授權。網站Robots協議等合約授權一般會涉及允許數據爬取的性質、內容與范圍,也會明確禁止“爬取”的數據。如,許多企業會在平臺網站服務條款、使用說明或權責聲明中,將上述內容加以列明,但未使用相應技術措施,如設置網絡爬蟲身份識別與攔截機制。這種情況下,數據爬取者一旦違反Robots協議等合約授權,就可能面臨相應刑事風險。
植入惡意“爬蟲”程序或者腳本代碼使得存儲數據被不當修改或增刪。“爬蟲”程序或腳本代碼的本質是一種自動化復刻工具。使用該工具必須遵守法律底線,如果使用惡意“爬蟲”程序或者腳本代碼,突破存儲數據技術防范措施并造成嚴重后果的,那么有可能面臨相應刑事風險。
不當使用網絡爬蟲技術,未經許可,故意避開或者破壞他人為其作品設置的技術措施。《中華人民共和國刑法修正案(十一)》實施后,無論是否通過信息網絡向公眾傳播作品,只要數據爬取者不當使用網絡爬蟲技術,未經著作權人或者與著作權有關的權利人的許可,故意避開或者破壞為著作權(包含鄰接權)專門設置的技術措施,都有可能成立侵犯著作權罪。
網絡爬蟲算法的設計缺陷使得批量獲取數據出現重復甚至無效的情形。比如,網絡爬蟲算法在測試階段的定位是自動獲取真實的數據信息,但在實際運行階段,由于受到不同因素干擾,其精準度發生偏差,在算法研發者沒有及時作出調整時,網絡爬蟲算法就會抓取許多不真實的數據信息。如此一來,爬取數據信息的數量與真實性會發生變化,會提高數據爬取者面臨的刑事風險。
數據爬取犯罪治理的四個維度
建構數據爬取犯罪一體化治理體系。在發展數字經濟背景下,需要科學建構數據爬取犯罪一體化治理體系,努力形成法律法規、司法解釋、部門規章、規范性文件、政策文件、信息技術標準等規范體系。這些規范可以不同方式預防數據爬取犯罪的刑事風險。如《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《中華人民共和國民法典》《中華人民共和國刑法》《中華人民共和國反不正當競爭法》等法律旨在確立禁止不當數據爬取的總體要求、基本原則與部分細節內容;《互聯網信息服務管理辦法》等明確了爬取特定內容的信息的違法性;《網絡安全審查辦法》等部門規章規定了公開收集使用數據的規則,要求爬取數據必須符合公開收集使用數據的目的、規模、方式、范圍、類型、期限等。在未來規范完善中,還應當制定反網絡爬蟲的信息技術標準,合理分配強制性信息技術標準與推薦性信息技術標準,不斷凝聚國家標準與地方標準的優勢力量,推動建構數據爬取犯罪一體化治理體系。
發揮網絡爬蟲行為準則的治理效能。互聯網企業應當及時發布明確有效的Robots協議,告知數據爬取者哪些頁面或者數據可以爬取,哪些不可以爬取。此外,在Robots協議中還需要細化授權范圍,以及無權爬取或者超越授權爬取后,網站管理員發出通知的途徑與方法。這些內容對法官把握數據爬取引發的刑事風險大小具有重要作用。針對不同場景下的數據爬取,各種Robots協議具有不同強度的約束性:針對部分網頁的小型數據爬取,Robots協議的約束強度往往較低;針對較多網站或者數據庫的中型數據爬取,當涉及企業商業利益時,Robots協議的約束強度通常較高;針對全網絡或者使用搜索引擎的大型數據爬取,Robots協議的約束強度往往最高。通過區分Robots協議約束強度的高低,有助于我們審視數據爬取者在未遵守Robots協議時的可罰性問題。
釋放數字市場運行機制的治理效應。數字市場運行機制強調以自身運行規律和相應監管舉措來防控數據爬取犯罪的刑事風險。刑法一方面要提升防控數據爬取犯罪的刑事風險之精準性,另一方面又要保持必要限度,為數據合理使用與充分共享留下特定空間。為此,如果數字市場運行機制以及強有力的監管舉措已能有效防控數據爬取犯罪的刑事風險,那么刑法宜保持必要克制,不主動懲治特定數據爬取情形。
提升代碼和算法對數據爬取犯罪的治理功效。借助入網訪問控制、網絡權限控制、目錄級控制與屬性控制等各種技術手段,不斷改進網站訪問控制技術,這些訪問控制技術雖然在信息技術原理上有所差別,但共性是都以代碼為核心。針對網絡爬蟲偽裝為其他爬蟲或者瀏覽器去大量爬取網站內容,我們應當優化被爬取網站監測的算法設計,即在算法模型中加強對網絡爬蟲的身份識別設計,通過嵌入具有敏捷性的身份識別機制,提示網站管理員網絡爬蟲的真實身份,及時發現并追蹤數據爬取的后續過程。提升以代碼為核心的訪問控制技術和以算法為基礎的身份識別機制,有助于從技術層面有效防控數據爬取犯罪的刑事風險。
(作者:□李謙 作者單位:南京師范大學中國法治現代化研究院)