要目

一、问题的说明

二、爬取特定企业经营数据行为的现行解决路径

三、爬取特定企业经营数据行为的入罪标准分析

四、爬取特定企业经营数据行为的罪名适用

结语

我国对网络爬虫爬取特定企业经营数据行为的司法规制逐渐由不正当竞争领域转向刑事领域，但目前对网络爬虫行为的刑法规制仍然是研究的薄弱环节，需要进一步探索。如何实现反不正当竞争法和刑法的衔接，在何种情况下可能入罪，在何种情况下构成此罪，在何种情况下构成彼罪，这些都是目前刑法规制中有待解决的问题，有必要从罪与非罪的界定标准、各个罪名的具体适用标准出发，试图完善爬取特定企业经营数据行为的刑法规制路径。

随着互联网的迅速发展，数据已然成为一种重要的资产，在企业的发展过程中扮演着不可或缺的角色，而企业经营数据作为企业的重要资产和关键资源，理应被纳入法律的保护范畴之中。我国早期针对爬取数据行为的研究大都集中于反不正当竞争领域，但近年来，网络爬虫恶意爬取企业经营数据的现象频发，司法实践中网络爬虫行为引发的刑事案件不断增多，法律风险也逐渐由不正当竞争领域逐渐向刑事犯罪领域过渡，且大有愈演愈烈之情势，这就要求我们将相关法律风险的研究聚焦于爬虫行为可能造成的犯罪情况，对爬取特定企业经营数据行为入罪的具体应用进行分析，对罪与非罪、此罪与彼罪这两个问题进行深入探索。

一、问题的说明

网络爬虫行为简介

网络爬虫，又名网络蜘蛛、网络机器人、蠕虫等，是依据特定的规则抓取万维网页信息的程序或者脚本，该技术通常被用来收集数据。网络爬虫行为则是行为人利用网络爬虫技术从网络信息平台检索、收集和获取数据的行为。技术中立诚然是大家耳熟能详的说辞，但刑法的评价对象从来都是行为而非技术本身，纵然技术具备中立性，基于网络爬虫技术所产生的数据爬取行为却掺杂了行为人主观方面的因素，有可能侵犯他人的合法权益，因而需要我们对其进行法律评价。通常来说，网络爬虫行为可以被区分为善意爬虫行为和恶意爬虫行为。

1.善意爬虫行为

关于善意爬虫行为，美国学者依据三项标准赖以界定。三项标准分别为：①爬取对象是公开且未受到代码保护的数据；②爬取行为的目的是整合数据，进而使得用户能够更加高效地进行数据访问；③爬取行为本身并不侵犯数据主体的权利。我国学者则认为，善意爬虫行为是遵守Robots协议爬取网页信息或公开接口或购买接口授权进行数据抓取的爬虫行为。善意爬虫行为既能够帮助用户高效地检索、收集和获取数据，又不会侵犯数据主体的合法权益，对于数据的流动具有重要作用，在大数据时代具备存在和发展的土壤，不在法律的惩罚范围之内。

2.恶意爬虫行为

与善意爬虫行为不同，恶意爬虫行为会对他人、企业乃至社会的合法权益造成损害，因而应当被纳入法律的规制领域之内。关于恶意爬虫行为，我国部分学者认为，恶意爬虫行为是违背了Robots协议，分析并自行构造参数对非公开接口进行爬取，获取对方不愿被大量获取的数据，并存在给对方服务器造成损害风险的行为，此处通常存在爬虫与反爬虫的激烈交锋。相关研究报告显示，互联网上大约有37.2%的流量是由网络爬虫产生的，而其中约24.1%的流量来自恶意爬虫，可见恶意爬虫行为在数据时代并不少见。目前，我国关于恶意爬虫行为的研究多集中于反不正当竞争法领域，涉及刑法领域的研究较少，但恶意爬虫行为实质上可能涉及非法获取计算机信息系统数据罪、破坏计算机信息系统罪、侵犯商业秘密罪、侵犯著作权罪等多项罪名。因此，加强关于恶意爬虫犯罪的研究，进而对恶意爬虫行为进行有效的规制，才是符合现实需求的选择。

企业经营数据的界定

在大数据时代，数据可谓是增强企业竞争力的重要资产和关键性资源，因此，经营数据的安全与否对于企业能否健康发展具有举足轻重的作用。数据存在多种分类：根据公开状态，数据可以被分为公开数据和非公开数据；根据来源，数据可以被分为原始数据和衍生数据；根据持有主体，数据可以被分为个人数据、企业数据和政府数据……而本文所探讨的企业经营数据，显然是基于持有主体的分类来讨论的。企业数据既包括反映企业基本状况的数据，主要是指企业财务数据、运营数据（研发、采购、生产、销售等）以及人力资源数据，也包括企业通过合同授权直接或间接采集的个人数据集合。关于企业直接或间接采集的个人数据集合，如果个人数据已经经过匿名化处理从而去除了可识别性，则企业对此类数据享有所有权。如果个人数据未经过充分的匿名化处理，仍然存在可识别性，则数据权益仍属于个人而非企业。爬取未经过充分匿名化处理的个人数据所主要涉及的罪名为侵犯公民个人信息罪，该罪的犯罪客体系公民的个人信息权，本文对此不做深入探讨。本文所探讨的企业经营数据主要是指反映企业基本状况的数据以及企业直接或间接采集的已经过匿名化处理的个人数据集合，这些数据与企业的生产经营状况息息相关，是使得特定企业具备市场竞争优势的重要因素，作为数据主体，企业也对该类数据享有所有权。此外，需要注意的一点是，个人数据、企业数据和政府数据在一定的条件下可能会实现转化，当被爬取的数据涉及不同的数据类型之时，切记不可一概而论，需要一一作出权衡。

二、爬取特定企业经营数据行为的现行解决路径

通过反不正当竞争法进行规制

1.以反不正当竞争法第2条为依据

在某浪微博诉脉某不正当竞争案中，原告某浪微博和被告脉脉于2013年9月签订了《开发者协议》，允许脉某获取某浪微博上包括用户名称、性别、头像、标签等相关用户普通信息，某浪微博强调用户数据系其商业秘密，在双方停止合作之后，脉某应当立即停止使用并立即删除从新浪微博平台上获取的用户数据。2014年8月15日，新浪微博认为脉脉违反了二者之间签订的《开发者协议》，非法抓取新浪微博用户的教育、职业、手机号等高级信息，遂与脉脉终止合作，后向法院以不正当竞争为由提起诉讼。在本案中，二审法院认为脉脉爬取新浪微博用户信息的行为违反了反不正当竞争法的一般条款，构成了不正当竞争，最终依据反不正当竞争法第2条作出了判决。

2.以反不正当竞争法第9条为依据

反不正当竞争法第9条规定了商业秘密的范围，而本文关于企业经营数据的界定，与商业秘密的范围很可能存在交叉之处，即网络爬虫所爬取的企业经营数据很可能构成商业秘密，进而被纳入反不正当竞争法第9条所保护的范围之内。事实上，企业对其收集或生产的数据多主张商业秘密保护，如某浪微博《开发者协议》就约定了用户数据是微博的商业秘密。但需要注意的是，企业经营数据需要满足秘密性、价值性和保密性这三个要件，才能构成商业秘密。

3.以反不正当竞争法第12条第2款第4项为依据

在某酷诉万某某不正当竞争案中，万某某公司经营了一款叫做“电视控”的软件，能够将手机视频投放到电视观看，同时屏蔽原视频片头的广告，而且普通用户也可以直接观看某酷VIP视频资源，某酷公司以不正当竞争为由将万凯达公司诉至法院。北京市海淀区人民法院认为，被告万某某公司的行为系通过绕过或破坏原告技术措施的方式，影响用户选择，妨碍、破坏原告合法提供网络产品和服务，法院依据反不正当竞争法第12条第2款第4项认定该行为构成不正当竞争。如果被侵害企业采取了一定的反爬虫措施，但爬虫的控制者基于经营目的，强行突破反爬虫措施，客观上妨碍、破坏了被侵害企业的网络产品或者服务正常运行，则很可能会被认为构成不正当竞争。

通过刑法进行规制

1.构成计算机领域内的犯罪

（1）非法获取计算机信息系统数据罪

通过刑法来规制恶意爬虫行为，晟某公司非法获取计算机信息系统数据案可谓是开辟先河的第一案。在本案中，北京市海淀区人民法院认为，2016-2017年间，被告单位晟某公司的5位员工采用了爬虫技术“tt-spider文件”强行突破了被害单位字某跳动公司的反爬措施，抓取了被害单位所有的今日头条服务器中的视频数据，给被害单位造成了共计2万元的损失，构成了非法获取计算机信息系统数据罪。本案需要重点关注的是，被告单位在未获得授权的前提下获取了被害单位的数据，这是构成该罪的关键因素。

（2）破坏计算机信息系统罪

在录某破坏计算机信息系统案中，被告人录某于2021年6月18日因工作不符合要求从公司离职，离职当日，录某将自己编写的爬虫程序植入公司电脑系统，造成原先存档在该平台上的优惠券、预算系统和补贴规则等代码被删除，给公司造成损失共计3万元。在本案中，录某违反国家规定，删除了计算机信息系统中存储的数据，后果严重，构成了破坏计算机信息系统罪。

同时，该罪也有可能存在另外的表现形式，网络爬虫的使用会带来大规模的机器化访问，这虽然能够更加高效地提取数据，但也会给网络服务提供者带来一定程度上的运营负担，一旦大规模的机器化访问超过了网络服务器的承载能力，网站将会崩溃，无法正常运行，该行为可能会构成本罪。

2.构成计算机领域外的犯罪

（1）侵犯商业秘密罪

由于网络爬虫所爬取的企业经营数据有可能属于商业秘密，所以理论上爬取企业经营数据的行为有可能被认定为构成侵犯商业秘密罪。虽然在我国迄今为止的司法实践中，尚无将此类行为认定为侵犯商业秘密罪的先例，但在美国，将被爬取的海量数据作为商业秘密进行保护属于较为常规的路径之一。将企业经营数据作为商业秘密来保护具备适用规则明确、保护力度较大的优势，不失为一条可行的保护路径，需要注意的是，被爬取的数据需要满足商业秘密的保护条件。

（2）侵犯著作权罪

在鼎某公司侵犯著作权案中，被告单位鼎某公司自2018年起，未经受害公司许可，利用网络爬虫技术爬取正版电子图书后，在自己运营的app中展示，其通过广告收入和用户付费阅读牟利。法院认为，被告单位及被告员工未经著作权人许可复制发行他人享有著作权的文字作品，情节特别严重，其行为已构成侵犯著作权罪。在本案中需要注意的是，只有所爬取的企业经营数据构成作品，爬取企业经营数据的行为才有可能构成侵犯著作权罪。

三、爬取特定企业经营数据行为的入罪标准分析

根据数据的开放程度界定罪与非罪的边界

被爬取的数据是否属于开放数据，这是判断爬取行为是否合法的重要因素，如果行为人通过网络爬虫爬取了非开放数据，则该行为可能会涉及违法乃至犯罪。此处需要注意的是，我们在数据的分类中常用到公开数据和非公开数据这一对概念，但开放数据和公开数据并不全然等同，存在一定的差异。

公开数据是指任何人都有权利访问，但只能在一定的条件下获取并使用的数据。举例而言，关于最新的国家人口普查数据，任何人都有权利访问，但只有付费的人才能获取数据，且对所获取数据的使用需要遵守统计局的版权规定。相比而言，开放数据在允许任何人访问的同时，确保访问人能够免费地、无限制地使用所访问的数据资源，即开放数据破除掉了使用主体和使用限制这两个方面的禁锢，数据提供方授权所有人能够自由地去获取数据和使用数据。如果说公开数据仅仅是方便了人们的访问，开放数据则实现了更进一步的跨越，鼓励更多的人去使用数据，进而为社会创造更多的价值。有学者将数据是否公开作为罪与非罪的界限，如吴卫认为，通过网络爬虫爬取公开数据的行为原则上不应被认定为犯罪行为。因为所谓的公开数据本身就面向不特定的对象公开，是所有人都可以获取的，故而原则上就允许网络爬虫获取。但在我国司法实践中，武汉元某公司和上海晟某公司利用爬虫采集公开数据的行为构成了非法获取计算机信息系统数据罪，这就可以印证是否爬取公开数据并非罪与非罪的界限。开放数据允许任何人免费使用且不规定使用限制，采用机器可读格式。因此，通过网络爬虫爬取开放数据当然是正当行为，并不涉及违法或者犯罪，但爬取非开放数据则可能会触发相应的犯罪。高富平教授就认为，“数据是否公开不是合法性判断的标准，是否为开放数据才是判断爬虫合法性边界的考虑因素之一。杨浦区人民检察院法律政策研究室主任邵旻也支持这一观点。

笔者也认为，被爬取的数据是否属于开放数据，是判断爬取行为是否合法的重要因素，如在晟某公司一案中，被爬取数据的所有权归被害单位所有，被害单位并未就该数据进行授权，则该数据属于非开放数据，而被告最终也被判处构成非法获取计算机信息系统数据罪。但在近期新发的“北京律某信息技术有限公司、北京法某某科技有限公司爬取律师个人信息”一事中，两公司运营了一个提供付费法律咨询服务的微信小程序，上面提供了大量律师的信息，信息系通过爬虫技术从全国律师执业诚信信息公示平台、裁判文书网、华律网等网站中爬取而来。笔者认为，两网站的行为并不能以非法获取计算机信息系统数据罪予以追诉，因为其所爬取的信息属于开放数据。

根据对侵入的判断界定罪与非罪的边界

1.由控制性标准转向技术性标准

所谓的控制性标准是指，被爬取方拥有对被爬取数据的控制权，非法获取计算机信息系统数据罪中的数据又是被我国法律所保护的，在我国刑法尚无直接规制突破反爬措施爬取数据这一行为的罪名时，被爬取的数据被解释为计算机信息系统数据，该行为被认为构成非法获取计算机信息系统数据罪。所谓的技术性标准则更加看重计算机信息系统的安全在事实上是否受到了威胁，该标准认为爬虫技术实际上是在客户端进行数据获取操作的，而计算机信息系统数据所指的则是服务器端的数据，具有开放性的客户端和强调私密性并且在安全性上具有极高要求的服务器端，系同一位阶下完全对立的范畴，故而，将突破反爬措施爬取数据的行为解释为侵入计算机信息系统，不免招来司法犯罪化的质疑。将对侵入的判断由控制性标准转向技术性标准，能够限缩非法获取计算机信息系统数据罪的行为范畴，降低网络爬虫行为的入罪可能性。目前司法实践部门更愿意采取控制性标准，本质上是对犯罪客体的理解存在偏差，非法获取计算机信息系统数据罪的犯罪客体是计算机信息系统的安全，如果爬取行为是在客户端完成，从未进入到受害公司的服务器系统，则该类爬取行为不能认定为侵入计算机信息系统，也根本不会对计算机信息系统造成损害，不应被认定为犯罪。

2.未经授权或超越授权爬取数据应担责

未经授权或超越授权的访问可以视为侵入计算机信息系统，是界定罪与非罪的重要考虑因素。未经授权或者超越授权均是获取数据的非法方式，反之，如果行为人在权限许可范围内获取了数据，即便其是采用爬虫的方式获取的，也不会构成非法获取计算机信息系统数据罪。例如，北京市海淀区检察院对于某某非法获取计算机信息系统数据案做出不予批捕的决定，理由如下：于某某使用爬虫所爬取的数据是其职权范围内可以知晓的内容，爬虫仅仅挺高了其查阅效率，本质上并非越权获取或者窃取等非法手段，因而不构成犯罪。而在上文所述的晟某公司一案中，被告单位晟某公司在并未获得授权的前提下爬取被害单位的视频数据是法院判断其构成犯罪的关键因素。通过两相对比可知，是否具备获取数据的权限是判断爬虫行为合法与否的重要因素。

Robots协议下爬取数据的出罪事由

如果Robotos协议本身不合理，那么违反Robots协议爬取数据的行为不应视为未经授权或超越授权，此类Robots协议本身也不适合作为确立刑事责任的依据。简单来说，Robots协议是网络内容服务商用来告知网络爬虫可以抓取哪些内容和不可以抓取哪些内容的协议，但其并不是网站所有人和用户之间达成的协议，只是网站所有人单方面采取的一种排除爬虫访问的标准，该协议既不是命令，也不是防火墙，并不构成任何技术上的阻碍，无法阻止恶意闯入者，司法实践中只是据此来判断网络爬虫行为是否得到了网站的授权。如果Robots协议存在不合理歧视或者毫无理由排除爬虫行为的内容，那么该协议有可能违背商业道德和诚实信用原则，具备构建数据壁垒和数据垄断的嫌疑，破坏了同行间的基本信赖关系，该类协议的存在是不合理的，自然也难以成为未经授权或者超越授权的判断因素，无法成为确立刑事责任的有效依据。恰如百度网讯公司、百度在线公司诉奇虎公司不正当竞争案中，百度通过Robots协议限制360搜索引擎抓取网页内容的行为被法院认为构成不正当竞争，是违法行为，因为以设置Robots协议的方式限制通用搜索引擎的抓取应当具备合理、正当的理由，如出于保护受访网站的内部信息或敏感信息的需要、出于维护受访网站正常运行的需要、出于保护社会公共利益的需要等，但在本案中百度公司设置Robots协议缺乏合理正当的理由，构成了不正当竞争，奇虎公司违反Robots协议爬取数据的行为自然也就不会构成犯罪。

恪守刑法的谦抑性原则，厘清反不正当竞争法和刑法的关系

数据爬取行为可能涉及民事和刑事两方面的处罚，由于民法典仅对数据做出了宣示性规定，所以民事方面关于数据爬取行为的规制一般会求助于反不正当竞争法，将爬取数据的行为认定为不正当竞争行为。刑事方面则会根据爬取数据的性质和方式将数据爬取行为分别界定为非法获取计算机信息系统数据罪、破坏计算机信息系统罪、侵犯商业秘密罪和侵犯著作权罪等罪名。近年来，我国对网络爬虫的司法规制日渐严格，逐步从民事领域转向刑事领域，对爬虫行为的司法评价逐步由不正当竞争行为转向犯罪行为。这种趋势给蓬勃发展的数据产业造成了一定程度的阻碍。刑事处罚具备严厉性和不可逆转性，我们在认定爬取行为是否构成犯罪时，应当恪守刑法的谦抑性原则，建构“前置法——刑法”的规制体系。对于妨碍网络正常运行、抓取数据使得被抓取方的商业利益受损等仅具有一般违法性的情况，适宜通过反不正当竞争法来解决。对于恶意爬虫行为产生了严重的社会危害，除了刑法规制别无惩治效果的情况，再对行为进行入罪，即针对爬虫行为，我们要提高入罪标准，通过前置法来规制社会危害性轻微的爬虫行为。

四、爬取特定企业经营数据行为的罪名适用

非法获取计算机信息系统数据罪的具体适用标准

刑法第285条的内容中，有几个关键词值得注意并需要加以解释。①对侵入的理解。所谓侵入，即指在违背被害人意愿的前提下，非法进入计算机信息系统的行为，而无论是通过技术手段破坏防护措施进入系统，抑或是未获授权、超越授权擅自进入系统，都属于该行为的表现方式。②对其他技术手段的理解。其他技术手段可谓是对“侵入”的补充性规定，根据文理解释来看，其他技术手段并未明示合法与否，中立、合法、非法的技术手段都可囊括在内。基于企业经营数据对于企业发展的战略性地位，有必要通过相关的立法或司法解释进一步明确“其他技术手段”的具体内涵。③对数据的理解。在本文中，爬取特定企业经营数据的行为，侵犯了企业的经营权，本质上来说，侵犯了特定企业对数据的排他性占有权，如果爬虫行为未侵犯企业的数据独占权，即便给企业造成了损失，也不应认定为犯罪。比如，爬取裁判文书网的数据进行售卖的行为，尽管给网站服务器带来了冲击，造成访问速度缓慢甚至用户无法打开页面的情况，但由于裁判文书网的数据属于开放资源，网站主体并不享有数据独占权，因而无法构成本罪。④对情节严重的理解。此处的情节严重为本罪的构成要件，并非法定刑升格条件，非法获取的数据数量以及情节要素可以作为情节严重的重要认定标准。

破坏计算机信息系统罪的具体适用标准

本罪所侵犯的客体是计算机信息系统安全，行为表现方式主要表现为两类：第一类为恶意大量访问行为，因为服务器都是存在一定的承载限度的，爬虫频繁地无限制访问会增加服务器的工作负荷，可能导致网站崩溃，进而干扰计算机信息系统的正常运行，构成本罪；第二类为任意删除、修改计算机信息系统数据的行为，行为人利用爬虫恶意删除计算机信息系统中的数据，造成严重后果导致计算机信息系统无法正常运行的，也构成本罪。

侵犯商业秘密罪的具体适用标准

目前，我国暂时没有将爬取数据行为界定为侵犯商业秘密罪的先例，但这并不能否认侵犯商业秘密罪在数据保护方面的价值，同汇编作品保护和反不正当竞争法一般条款保护两种途径相比，商业秘密保护更加全面、保护力度更强，适用规则也更加明确。根据刑法第219条可知，侵犯商业秘密罪具有多种表现形式。若想认定爬取数据行为构成侵犯商业秘密罪，绕不开的话题就是判断所爬取的数据是否属于商业秘密，而只有具备秘密性、保密性和价值性三个特性，才可能构成商业秘密。

所谓秘密性指商业信息不是其所属领域的相关人员普遍知悉或容易获得的信息，海量数据所形成的大数据会导致相关领域人员获知和获取的难度提升，其秘密性根植于自身所具备的数据规模特性，因而爬虫所爬取的海量数据能够满足秘密性的要求。所谓保密性是指为了防止信息泄密权利人采取了与其价值相匹配的保密措施。在大数据时代，我们应当注重数字环境的特殊性，信息互通是大势所趋，也有助于企业和行业的健康发展，因此针对互联网数据信息设置较强且成本高昂的保密措施是违背经济理性和道德理想的，故而我们对保密措施的严格程度不能过于苛求。笔者认为，如果企业针对数据设置了相应程度的反爬虫措施，即可认定为符合保密性要求，如晟某公司破解了被害单位的反爬虫技术措施而爬取数据，被法院认定为构成非法获取计算机信息系统数据罪，此处就应该认为，这些反爬虫措施属于合理的保密措施。所谓价值性是指商业信息具备商业价值从而能够为权利人带来竞争优势。在互联网时代，企业的经营数据对企业发展和竞争所具备的商业价值是不言而喻的，此处就无需再赘述企业的经营数据具备价值性。恶意爬取商业秘密的行为显然也属于以电子侵入方式获取权利人商业秘密的行为，如果恶意爬取的企业经营数据属于商业秘密，那么该行为可能会构成侵犯商业秘密罪。

侵犯著作权罪的具体适用标准

企业经营中涉及作品的地方不可谓不多，设计公司、影视公司等类型的公司将作品作为公司的产品进行经营，普通公司的产品设计、产品包装、宣传广告等都有可能构成作品，企业以网络作为窗口来对外宣传，网络中对作品的使用也给企业带来了一定的风险，企业和著作权可谓是息息相关。根据刑法第217条的规定可知，侵犯著作权罪有多种表现形式。首先，利用网络爬虫技术，以营利为目的，通过信息网络向公众传播他人作品，侵犯他人著作权，违法所得数额较大或者有其他严重情节的，应当认定为构成侵犯著作权罪。其次，未经著作权人或者与著作权有关的权利人许可，故意避开或者破坏权利人为其作品、录音录像制品等采取的保护著作权或者与著作权有关的权利的技术措施的，也有可能构成侵犯著作权罪。因此，如果企业针对自身享有著作权的作品设置了反爬虫措施，而行为人故意避开或者破坏了反爬虫措施，以营利为目的爬取作品，则也有可能构成侵犯著作权罪。

结语

网络爬虫的合理使用可以促进数据流通，推动企业以及社会经济的发展，网络爬虫的不当使用则会侵害企业的数据权益，诱发违法犯罪行为，对爬取特定企业经营数据行为的刑法规制进行研究可谓是势在必行，解决刑法在企业经营数据安全保护方面存在的问题有助于完善以数据安全保障为核心的法律体系。针对罪与非罪的界定问题，被爬取数据的开放程度、爬取行为是否属于侵入、Robots协议本身是否合理合法、刑法的谦抑性原则、反不正当竞争法与刑法之间的关系都可以被列为考虑因素。针对不同罪名的具体适用问题，非法获取计算机信息系统数据罪、破坏计算机信息系统罪、侵犯商业秘密罪、侵犯著作权罪的具体应用标准以及各个罪名的司法难点都是需要考虑的问题。

霍东静