首页 > 要闻 >

玩爬虫可能触犯的三宗罪

2019-10-12 17:43:59 阅读：1376 作者：责任编辑NO。郑子龙0371

导师：冉晋 | 收拾：一本学院

最近网上撒播一个顺口溜：爬虫玩得好，监狱进得早。数据玩得溜，牢饭吃个够。

自2019年9月以来，多家闻名公司相关人员被抓或被查询，这些安排均触及大数据风控业务和爬虫技能的运用。由此，大数据业务的合规合法问题、爬虫技能的合理运用问题，引起了大数据和金融科技职业的特别注重。

爬虫技能违规吗？开展业务究竟存在哪些危险点？

近来，在一本学院的风控与助贷业务课堂上，上海瀛东律师业务所的高档合伙人及处理委员会成员冉晋律师，特别就大数据职业的合规合法问题进行了深化解读。以下为部分内容收拾。

01“爬虫”本中立，数据应维护

一、公民个人信息不行侵略

现在国家对数据职业和数据相关业务的整理十分严峻。

最近有这样一个事例：X公司是某快递公司的分包服务商，可以登录该快递公司的后台查询快递信息。X公司的一名职工自行开发了一个爬虫软件，运用这家快递公司给的权限暗码登录后台体系，抓取了后台25万条用户信息。

这个案子被发现后，开发爬虫软件的职工被定为主犯抓捕，公司法人被定为从犯一同抓捕。公司法人没有参加这件事，不是榜首职责人，但仍然是职责联络方。从判刑上来看，主犯是3-7年量刑，从犯是1-2年量刑。可见，数据安全的问题是触及全职业的，不只限于金融科技范畴。

二、爬虫技能仅仅中立的东西

最近被查的大数据风控安排，都触及爬虫技能。一时间，网络爬虫技能被推到了风口浪尖。

在大数据职业界被广泛运用的网络爬虫技能，究竟是什么呢？其实，网络爬虫，是互联网年代被遍及运用的一项网络信息搜集技能。该项技能最早运用于搜索引擎范畴，是搜索引擎获取数据来历的支撑性技能之一。简略来说，它包含三个过程：搜集信息、数据存储和信息提取。“爬虫”作为一种计算机技能，理论上来说具有技能中立性，在法令上也从未被明令制止。它不像计算机病毒，计算机病毒自身便是负面的、损坏性的，而爬虫是中立的。

那么运用爬虫技能有什么危险呢？如果在获取数据的过程中，无法鉴别哪些数据可以爬取，哪些数据制止爬取，甚至为爬取数据而破解被爬服务器的防护办法，或许损坏被爬服务器的信息体系，就会触及监管红线。

02数据爬虫首要触及的三类罪名

对爬虫技能运用不妥的企业，或许触及的罪名有三个：

一、侵略公民个人信息罪

1.爬取的数据信息归于公民个人信息范畴

公民个人信息，是指以电子或许其他办法记载的，可以独自或许与其他信息结合辨认特定自然人身份，或许反映特定自然人活动情况的各种信息，包含名字、身份证件号码、通讯通讯联络办法、住址、账号暗码、产业情况、行迹轨道等。

2.运用爬虫技能获取的公民个人信息为不合法获取的

运用爬虫技能搜集公民个人信息数据，应当取得被搜集人的赞同，尤其是在数据中包含身份证号、信誉信息等敏感数据的情况下，还需要取得明示赞同。一起，运用网络缝隙不合法下载、不合法购买等行为，都归于“不合法获取”公民个人信息。

3.不合法获取公民个人信息到达“情节严重”以上的标准

不合法获取、出售或许供给行迹轨道信息、通讯内容、征信信息、产业信息五十条以上，不合法获取、出售或许供给住宿信息、通讯记载、健康生理信息、买卖信息等其他或许影响人身、产业安全的公民个人信息五百条以上，不合法获取、出售或许供给上述规则以外的公民个人信息五千条以上，都归于“情节严重”。

4.相关法令根据：《刑法》第253条

【侵略公民个人信息罪】违背国家有关规则，向别人出售或许供给公民个人信息，情节严重的，处三年以下有期徒刑或许拘役，并处或许单处分金；情节特别严重的，处三年以上七年以下有期徒刑，并处分金。

违背国家有关规则，将在履行职责或许供给服务过程中取得的公民个人信息，出售或许供给给别人的，按照前款的规则从重处分。

盗取或许以其他办法不合法获取公民个人信息的，按照榜首款的规则处分。

单位犯前三款罪的，对单位判处分金，并对其直接担任的主管人员和其他直接职责人员，按照该款的规则处分。

合规主张：

运用爬虫技能获取公民个人信息的，应该严厉遵守相关法令、行政法规、部门规章的规则，不然极易落入“不合法获取”公民个人信息的法令危险范畴。

此外，关于在公民个人信息已合法揭露的情况下，运用爬虫技能对其进行抓取是否构成不合法获取这一问题，暂时没有清晰答案，但《民法典人格权编》（草案三次审议稿）第816条写到：行为人搜集、处理自然人自行揭露的或许其他现已合法揭露的信息不承当民事职责，可是该自然人清晰回绝或许处理该信息损害其严重利益的在外。从立法走向上来判别，搜集已合法揭露的个人信息应不归于违法，但在立法尚不完善的阶段，仍主张慎重运用爬虫技能抓取揭露的个人信息。

二、构成不合法获取计算机信息体系数据罪

1．运用爬虫技能侵入计算机信息体系获取数据，或选用其他技能手段获取计算机信息体系数据

任何安排或个人不得损害计算机信息体系安全；不得损坏计算机及其相关的配套的设备、设备（含网络）安全，损坏其运转环境安全、信息安全，影响其功用正常发挥。因而企业若在爬取数据时，存在损害计算机信息体系安全的行为，包含破解被爬企业的防抓取办法、加密算法、技能维护办法等，则很有或许被确定为“侵入或以其他技能手段获取计算机信息体系数据”。

2．不合法获取计算机信息体系数据到达“情节严重”以上的标准

获取付出结算、证券买卖、期货买卖等网络金融服务的身份认证信息十组以上，或获取其他的身份认证信息五百组以上的，均归于“情节严重”。

3. 相关法令根据：《刑法》第285条

【不合法侵入计算机信息体系罪】违背国家规则，侵入国家业务、国防建设、尖端科学技能范畴的计算机信息体系的，处三年以下有期徒刑或许拘役。

【不合法获取计算机信息体系数据、不合法操控计算机信息体系罪】违背国家规则，侵入前款规则以外的计算机信息体系或许选用其他技能手段，获取该计算机信息体系中存储、处理或许传输的数据，或许对该计算机信息体系施行不合法操控，情节严重的，处三年以下有期徒刑或许拘役，并处或许单处分金；情节特别严重的，处三年以上七年以下有期徒刑，并处分金。

【供给侵入、不合法操控计算机信息体系程序、东西罪】供给专门用于侵入、不合法操控计算机信息体系的程序、东西，或许明知别人施行侵入、不合法操控计算机信息体系的违法犯罪行为，而为其供给程序、东西，情节严重的，按照前款的规则处分。

单位犯前三款罪的，对单位判处分金，并对其直接担任的主管人员和其他直接职责人员，按照该款的规则处分。

合规主张：

严厉制止经过技能手段绕过服务器的拜访约束，或破解被爬网站为维护数据而采纳的加密算法及技能维护办法，从而对被爬网站受维护的计算机信息体系中的数据进行爬取。

若被爬网站设定了获取数据信息的办法（包含实名认证、账号暗码、内部权限等），爬虫企业应避免经过假造实名认证或盗取账号暗码、内部权限的方法获取数据。

避免或慎重抓取身份认证信息（网络金融服务的身份信息10组/其他身份认证信息500组）。

三、不合法侵入计算机信息体系罪

1.供给数据信息的网站为国家业务、国防建设、尖端科学技能范畴的计算机信息体系；

高频运用的网站，如“国家企业信誉信息公示体系”“我国裁判文书网”“我国履行信息揭露网”以及各地政府网站等，都归于“国家业务”网站的法令范畴内。

2．对计算机信息体系具有侵入行为

（1）只需有侵入行为，而不管侵入行为的成果。

（2）现在司法解说未对“侵入”进行详细的界说，但一般法院在确定上首要有两种办法：1）以不合法手段登录网站，获取本来不应有权限获取的数据信息；2）将歹意程序、不合法文件等发送至网站，对网站的正常运转发生影响。

（3）在爬取此类网站的揭露数据时，不存在“侵入”计算机信息体系的景象。但当批量爬取数据信息时，需特别重视是否会对网站的正常运转发生影响，切不行跨越红线。

本年曾有报导称，裁判文书网数据被爬取后标价售卖。因为裁判文书网被许多技能公司经过爬虫体系无约束并发拜访获取数据，形成网站负荷过大，正常用户无法拜访。最高人民法院发文称，为了对立爬虫技能，更好地保证正常用户拜访功用，相关方面已采纳多种办法，包含验证码技能等，避免爬虫功用。

合规主张：

对大数据公司，特别是大数据风控企业来说，获取“裁判文书网”“履行信息揭露网”的数据十分遍及且重要，但爬取这类国家业务网站的信息时应当尤为审慎，特别是在网站已采纳相关“反爬办法”的情况下，仍强行歹意打破防护办法爬取数据，对网站运转形成影响的，均或许构本钱罪。

除上述法令危险以外，运用爬虫技能手段还或许发生构成不正当竞争、侵略信息网络传达权等法令危险。