数字经济时代数据成为重要生产要素，网络爬虫技术在数据采集领域广泛应用，滥用该技术非法抓取数据对企业数据安全与市场竞争秩序造成严重冲击。可公开获取的企业数据是否受刑法保护、利用爬虫技术抓取公开的企业数据是否应入罪，是刑法理论与司法实务中的争议问题。北京市海淀区人民法院审理的非法获取计算机信息系统数据案（（2017）京0108刑初2384号）是全国首例网络爬虫入刑案件，为同类案件裁判提供了参考，也有助于从理论上探索数据安全的独立刑法保护。

　　【案情简介】

　　被告单位某公司张某禹、宋某、侯某强共谋，采用技术手段抓取被害单位服务器中存储的公开视频数据。侯某强指使郭某破解被害单位的防抓取措施，通过伪造device_id绕过服务器身份校验，伪造UA及IP绕过服务器访问频率限制，使用专用“tt_spider”文件实施数据抓取，非法获取今日头条平台的公开视频数据，造成被害单位技术服务费损失2万元。北京市海淀区人民法院审理认为，被告单位及四被告人违反国家规定，采用技术手段获取计算机信息系统中存储的数据，情节严重，其行为构成非法获取计算机信息系统数据罪。

　　【案件评析】

　　可公开获取的企业数据受刑法保护

　　在涉网络爬虫的案件中，被告方常提出的抗辩理由是，被抓取的数据属于向公众开放的数据，不具有秘密性，不是侵犯计算机信息系统数据罪的犯罪对象。有学者认为，以上数据不应受刑法保护，否则会抑制数据竞争，提出应当“将抓取可公开获取企业数据的行为适时予以出罪”。

　　我们认为，公开企业数据只使其承载的信息内容不具有保密性，而没有放弃计算机信息系统及其数据安全的刑法保护。以网络电视平台或资讯平台上的新闻信息、视频数据为例，不因其成为公开数据就可以任由他人随意抓取，平台对数据的存储、传输、访问设置了技术管理措施，平台系统及其中数据的完整性、可用性和保密性（如存储和传输的保密性）仍受刑法保护。平台企业在收集、整理、存储这些数据时，投入了巨大的算力、带宽与运营成本，这些数据集合具有重要经济价值。《刑法》第285条第二款保护的是计算机信息系统安全，只要平台经营者为数据设置了访问控制措施，包括限制数据访问的权限、频次或方式，就意味着该系统及其中数据的安全受到保护。平台系统中公开的新闻、视频数据是面向普通用户的经营性展示，并非允许他人通过技术手段无限制、破坏性抓取，平台系统及数据的安全仍受刑法保护。即使普通公众可以不受限制地申请获取数据的权限，或者行为人被授予数据获取权限，但限制获取数据的频率或方式（如利用机器批量获取），其利用网络爬虫技术破解、避绕上述访问控制措施获取这类公开的企业数据，仍然侵犯计算机信息系统及其数据安全，可能成立非法侵入计算机信息系统罪或非法获取计算机信息系统数据罪，本案判决正是采取了这一立场。

　　技术访问控制措施与机器人协议的法律性质

　　在认定非法数据抓取行为时，要区别违反行业惯例的民事违约行为与侵犯计算机信息系统安全犯罪行为。网络爬虫行为的性质，往往取决于平台采取的防护措施类型与网络爬虫行为规避该措施的具体手段。

　　如果平台仅在网站根目录下设置了机器人协议，而未设置实质性的访问控制措施，如身份验证、频率限制、验证码拦截等，则产生不同的法律效果。机器人协议要求访问者遵守访问数据的方式约定，但是，客观上未设置保护数据安全的措施，并开放数据的获取，表明平台对获取数据本身是同意的，意味着平台放弃对数据保密性的保护。在这种情况下，由于平台实质上同意他人获取数据，网络爬虫行为不构成“非法获取计算机信息系统数据”，不侵犯计算机信息系统及其数据安全，不构成非法获取计算机信息系统数据罪。以上行为违反平台要求遵守的机器人协议，属于违约行为或不正当竞争行为，应依法追究民事或行政法律责任。

　　对“采用其他技术手段”的适当解释

　　《刑法》第285条第二款规定的非法获取计算机信息系统数据罪是“违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据”。对于“采用其他技术手段”这一兜底规定的适用应遵守同类解释原则。兜底条款的设置旨在弥补立法列举的局限性，以应对技术手段的不断迭代，其射程绝非漫无边际。按照同类解释原则，“其他技术手段”在行为性质与法益侵害程度上，必须与列举的“侵入”行为具有相当性。“侵入”一词在计算机科学语境下，核心特征是违背权利人意愿，突破或绕开计算机信息系统的安全保护措施，未经授权获取系统资源包括数据，“其他技术手段”应当具备“突破安全保护措施”与“非授权性”的技术特征。

　　本案中的抓取行为并非仅违反机器人协议，还实施了具有技术对抗性的规避与破解行为。在本案中，被害单位通过身份校验与频率限制等技术控制措施，使系统数据处于受保护状态。被告人抓取数据过程中，使用伪造的device_id绕过服务器的身份校验，还使用伪造的UA及IP地址绕过服务器的访问频率限制，以上行为是利用技术手段突破前述安全保护措施，非法获取系统数据。这种主动的技术规避与破解，在法益侵害的性质与严重程度上，与直接“侵入”系统行为相当，满足该罪的“采用其他技术手段”的实质要求。

　　数据安全应获得独立刑法保护

　　《数据安全法》第13条规定，国家统筹发展和安全，以数据安全保障数据开发利用和产业发展。数据安全是数据产业繁荣的前提，片面强调数据自由利用而忽视安全保护，会导致企业数据权益受损、技术创新动力不足，最终破坏数据市场的良性竞争秩序，反之，过度保护数据安全也会阻碍数据产业的发展。

　　当前我国《刑法》对数据安全的保护具有附属性、有限性和不完全性，本案中的视频数据是作为“计算机信息系统中的数据”，依附于“计算机信息系统安全”受到刑法保护。但是，《数据安全法》确立了数据安全法益的独立性，数据安全应当获得独立的刑法保护。《数据安全法》规定，数据安全是指“数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力”，其内涵是数据本身的安全（数据的保密性、完整性、可用性）以及数据安全管理秩序，是独立于财产法益、人格法益和计算机系统安全的新型集体法益。

　　数据安全是国家总体安全的重要组成部分，应当构建二元、立体的数据犯罪立法，实现与《数据安全法》的良好衔接，为国家数据安全与数字经济的行稳致远提供独立、全面、体系化的刑法保护。数据犯罪应当是扰乱公共秩序罪，包括侵犯数据本身安全的犯罪和破坏数据安全管理秩序犯罪，前者应当包括非法获取数据入口控制权罪、非法拦截非公开传输的数据罪、干扰数据罪等，后者应当包括妨害国家核心数据管理秩序罪、拒不履行数据安全保护义务罪等。

　　（作者系同济大学法学院教授）