引言：

在大数据时代，数据成为企业最具竞争力和商业价值的资产之一，不少互联网巨头手中持有大量的数据，但实际利用效率往往并不高。爬虫技术则大大提升了数据利用效率，打破了“数据孤岛”，使得数据能够得到最大化的效用，因而得到广泛使用。

可是，爬虫技术一旦被不当使用，用于任何违法目的，将触犯刑事红线，企业自身及主要负责人均有可能面临“牢狱之灾”。

在浙江省高院于2022年7月4日公布的《侵犯公民个人信息犯罪十大典型案例》中，就提到一起因爬虫行为而被认定构成侵犯公民个人信息罪的案例：孙某某通过编写程序软件，伪造用户ID的方式，从“格格家购物平台”爬取了65877条公民个人信息，包括姓名、电话、住址等。最后法院以其行为构成 “以非法侵入他人计算机信息系统的方式获取公民个人信息”的行为，以“侵犯公民个人信息罪”定罪量刑。

然而，刑事合规不起诉制度的施行，给了爬虫企业“从头再来”的机会。在国内首例爬虫合规不起诉案例中，涉案企业通过爬虫技术非法获取某外卖平台数据，造成外卖平台方直接经济损失4万余元。后经该公司申请，普陀区检察院对该案启动合规整改制度，该公司围绕管理、技术、制度进行自查整改，并聘请法律顾问团队制定数据合规整改计划，严格按照合规承诺扎实推进。最后，普陀区检察院对涉案企业及人员作出不起诉决定。

可见，借助ISO37301等合规认证工具实现刑事合规，对于打算或已经使用甚至已经利用爬虫技术打造大数据产品的企业而言，重要性不言自明。那么，爬虫企业所面临刑事风险究竟有哪些？一旦触碰刑事红线，爬虫企业是否都能有从头来过的机会？本文将一一揭晓答案。

一、“入狱指南”——爬虫技术刑事责任风险

爬虫的好处大家都清楚：可以自动批量化地获取海量数据。但爬虫技术虽好，稍不留神，便可能直接从“爬虫入门”到“因爬虫入狱”。

爬虫究竟会涉及哪些刑事风险？请见下图“入狱指南”：

由上图可知，爬虫技术主要面临以下刑事责任风险：

（一）制作爬虫工具自己使用

1.突破技术防护措施但未抓取数据

【非法侵入计算机信息系统罪/非法获取计算机信息系统数据罪】：为了限制或阻碍爬虫企业的数据爬取行为，被爬方往往会设置封网络地址、封网络账号、参数加密等种种反爬虫技术措施；而一旦企业突破前述反爬机制，则该行为本身将有可能构成计算机犯罪意义上的“侵入”行为，基于所侵入计算机系统的不同类别，构成“非法侵入计算机信息系统罪”或“非法获取计算机信息系统数据罪”，企业自身及其主要负责人均将受到对应刑事责任。

如在晟某公司等非法获取计算机信息系统数据罪一案[1]中，晟某公司利用技术手段抓取字某跳动公司服务器中存储的视频数据，并破解字某跳动公司的防抓取措施，使用“tt_spider”文件实施视频数据抓取行为。其在抓取过程中使用伪造device_id绕过服务器的身份校验，使用伪造UA及IP绕过服务器的访问频率限制，最终被法院以“非法获取计算机信息系统数据罪”定罪量刑。

2.突破技术防护措施并抓取数据

当企业利用爬虫技术突破被爬方设定的技术防护措施，且成功抓取到被爬方数据的，则根据抓取数据的不同，可能构成以下三项犯罪：

（1）【侵犯公民个人信息罪】：爬虫行为很有可能落入到“以其他方法非法获取公民个人信息”的行为，爬虫企业及其主要负责人员均将面临相应刑事责任。

（2）【侵犯商业秘密罪】：根据《刑法》规定，以电子侵入或者其他不正当手段获取权利人的商业秘密，造成损失达30万元或者获利达30万元的，即构成“侵犯商业秘密罪”。

“商业秘密”，是指不为公众所知悉，能为权利人带来经济利益，具有实用性并经权利人采取保密措施的技术信息和经营信息。在如今大数据时代，数据对于被爬方而言无疑是最为重要的资产之一。而参照《最高人民法院关于审理侵犯商业秘密民事案件适用法律若干问题的规定》的规定，与技术有关的算法、数据、计算机程序及其有关文档等信息也已被纳入商业秘密中的“技术信息”，若爬虫企业爬取的数据属于被爬方的商业秘密的，将落入本罪。

（3）【侵犯著作权罪】：在《刑法修正案（十一）》出台之前，爬取受著作权保护的作品数据，主要规制的是后续的传播行为（如非法复制、非法通过信息网络传播等）；但《刑法修正案（十一）》规定了一种新的侵犯著作权方式，即“未经著作权人或者与著作权有关的权利人许可，故意避开或者破坏权利人为其作品、录音录像制品等采取的保护著作权或者与著作权有关的权利的技术措施的”，这意味着如果在爬取公开数据时避开或者破坏了保护著作权的技术措施，则依然可能因违反前置性保护要求而构成本罪。

特别地，对于采取侵入计算机系统的行为抓取数据，同时触犯上述罪名的，一般从一重罪论处，不数罪并罚。

3.利用爬虫技术破坏性访问

【破坏计算机信息系统罪】：企业在使用爬虫技术时，很容易基于大批量、高频率的自动化访问手段，对被爬网站的正常运行造成阻碍，导致被爬方服务器出现阻塞、宕机等情形，将很有可能构成《刑法》所规定的“破坏计算机信息系统”的行为，同样将面临“双罚制”的处罚；如果利用爬虫技术恶意删除计算机系统中的数据，甚至删除信息系统功能，后果严重或造成系统不能正常运行的，亦构成破坏计算机信息系统罪。

如在杨某某、张某某破坏计算机信息系统一案[2]中，行为人利用网络爬虫以每秒183次的速率向深圳市居住证网站请求数据，导致深圳市居住证系统服务器阻塞，无法正常运行，最终被法院以“破坏计算机信息系统罪”定罪处罚。

（二）提供爬虫工具给他人使用

【提供侵入、非法控制计算机信息系统程序、工具罪】如果企业打造出爬虫工具后，自己不爬数据，给别人爬，是否就能全身而退？

大错特错！

根据《刑法》的规定，提供专门用于侵入、非法控制计算机信息系统的程序、工具，情节严重的，将构成“提供侵入、非法控制计算机信息系统程序、工具罪”，同样面临双罚制的刑事风险。

如在陈某提供侵入、非法控制计算机信息系统程序、工具一案[3]中，陈某编写“爬虫”软件用于“大麦网”平台抢票并向他人出售，非法获利12万余元。该“爬虫”软件具有以非常规方式构造和发送网络请求，模拟用户在平台手动下单和购买商品的功能；具有以非常规手段模拟用户识别和输入图形验证码的功能，该功能可绕过人机识别验证机制，以非常规方式访问平台资源。最终法院以“提供侵入、非法控制计算机信息系统程序、工具罪”对行为人定罪量刑。

二、“脱罪利器”——ISO37301认证工具

爬虫的刑事责任风险如此之高，是否意味着一旦触碰红线，便绝无生机？

也不尽然。文章开头提到的爬虫刑事合规不起诉的案例就是一个很好的例子。其实早在2016年便曾有检察院在数据合规领域尝试运用“合规不起诉”。如在江苏某建筑公司侵犯公民个人信息一案中，该公司因其项目承包方未向其提供足够的劳务人员个人信息，导致其发放劳务费后需要支出较多税款。于是，该公司董事长印某某与某大学学生工作处职工陈某某联系，索要该校学生个人信息；后陈某某违反规定，从学校学生管理系统下载九千余名在校学生个人信息发送给印某某。当日，印某某将该信息名单转发给其公司财务人员，由其陆续使用其中部分学生信息冒充该公司员工，向税务机关进行虚假纳税申报。案发后，基于该公司主动配合税务机关删除了被冒用个人信息的纳税申报记录，并已补缴了相关税款，同时依法依规开展企业合规工作（并附有企业合规专项工作监督报告），最终检察院依此作出了不起诉的决定。

然而，合规不起诉并不适用所有涉刑企业，也并非是绝对的“免死金牌”。首先，它一般只适用于轻罪，涉刑企业、人员均系初犯、偶犯；其次，如果启动合规整改后结果不合格，还是存在依法被起诉的可能性。

因此，与其抱有侥幸心理、期盼事后被动整改，不如事前主动合规：

（1）有利于证明企业对违法犯罪行为不具有“单位意志”：若企业已经将合规治理理念及配套规章制度落实到企业日常经营过程之中，而其中的某位员工违背该合规治理体系而从事违法犯罪行为，则该行为不会穿透牵连至企业本身。由此，通过在事前建立起合规治理体系，能够为企业在单位犯罪和自然人犯罪中建立起一道有形的防火墙，有利于证明企业对于违法犯罪行为不具有“单位意志”，从而“脱罪”。

（2）有效证明企业自主合规意愿：相较于事前合规建设空白的企业，建立事前刑事合规体系的企业，明显具有更为强烈的主观合规意愿。即便其事前合规体系构建与运营中存在疏漏导致面临刑事犯罪处罚的风险，亦能一定程度上通过该事前举措在事后向检察机关证明其对刑事合规的重视以及进行合规整改的决心。

（3）有利于企业高效执行合规计划：由于合规考察期时间有限，已采取事前合规举措的涉案企业，具有高效执行合规计划的基础条件，可基于其事前刑事合规体系，快速“查漏补缺”，大大提升合规建设的效率与质量，更容易满足涉案企业合规评估要求，通过合规审查。

而事前刑事合规体系的构建，离不开标准认证，建议将标准认证作为工具或手段，结合标准认证的具体要求为企业武装上合规的盔甲。

以国际标准化组织（International Organization for Standardization, ISO）发布的ISO 37301：2021《合规管理体系要求及使用指南》为例，其采用Plan（计划）-Do（执行）-Check（检查）-Act（改进）（“PDCA”）理念，为企业建立与运行合规管理体系提供了整套解决方案，其与涉案企业合规整改存在很大程度上的对应关系，将有利于企业事前构建合规计划（详见本团队撰写的研究文章《“合规不起诉”实施细则——图解<涉案企业合规建设、评估和审查办法>》）。

三、结语

诚然，刑事“合规不起诉”制度为爬虫企业在刑事案件中预留了一个缓冲地带，给了爬虫企业第二次机会，但并不意味着爬虫企业就可以抱有侥幸心理，完全依赖于“事后的被动整改合规”而为所欲为。

因此，爬虫企业应当树立正确的“合规观”，充分发挥事前合规的价值，利用ISO37301等为代表的标准认证工具，建立刑事合规体系，一方面能够有效预防与降低自身刑事犯罪风险，证明企业对违法犯罪行为不具有“单位意志”；另一方面，一旦“失足”，亦能证明主观合规意愿，并为事后合规整改打下基础，降低通过合规审查的难度。

文中备注

[1] (2017)京0108刑初2384号

[2]（2019）粤0305刑初193号

[3](2021)粤0115刑初5号

本文作者：

高亚平，德恒上海办公室合伙人；深耕新经济领域法律服务，涵盖数据合规、流量合规、个人信息保护、各新业态业务合规相关细分领域。担任多家头部新经济平台法律顾问，擅长综合数据处理中各利益相关方商业诉求构建平台合规模型。

纪倩，德恒上海办公室律师，专注于新经济平台合规体系构建、风险控制、个人信息保护、数据爬取合规、税务筹划、境内外上市业务合规、并购重组等领域。

声明：

本文由德恒律师事务所律师原创，仅代表作者本人观点，不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容，请注明出处。