提供非法爬虫软件行为的刑法规制

最高人民法院四级调研员

黎鹏

江苏省无锡市

梁溪区人民法院

2009年刑法修正案（七）增设提供侵入、非法控制计算机信息系统程序、工具罪，进一步严密保护计算机信息系统和数据安全的刑事法网。实践中，关于“专门用于侵入、非法控制计算机信息系统的程序、工具”的审查判定仍是实务难点，特别是在新型程序、工具日趋替代木马程序成为主流的背景下。人民法院案例库入库参考案例《丁某提供侵入计算机信息系统程序案（入库编号：2024-18-1-253-001）》裁判要旨明确：“具有避开或者突破网络平台等计算机信息系统安全保护措施，使他人未经授权非法获取访问受限的数据的软件，属于刑法第二百八十五条第三款规定的‘专门用于侵入计算机信息系统的程序’。行为人提供上述软件，情节严重的，依法以提供侵入计算机信息系统程序罪定罪处罚。”该裁判要旨为类案提供了审查判断的规则指引。以此为参照，对刑法第二百八十五条第三款规定的“专门用于侵入、非法控制计算机信息系统的程序、工具”的认定，应当注意把握以下几点：

第一，是否具有避开或者突破计算机信息系统安全保护措施的功能。传统的避开或者突破上述措施通常表现在系统安全层面，如逃避杀毒程序的查杀、防火墙的控制等。但在提供非法爬虫软件的情形中则更为复杂，应当结合具体情况对软件是否具有规避安全防护措施的功能进行实质性审查。（1）作为基础，应当审查相关软件是否避开或者突破计算机信息系统验证措施。计算机信息系统控制者通常会采取设置密码防护、身份认证、数据加密等措施保护数据安全，他人未经授权一般难以轻易进入系统。非法爬虫软件可以通过破解加密算法、规避身份校验、利用系统漏洞、盗窃账号密码等手段，避开、绕开或突破计算机信息系统的验证措施，违背计算机信息系统控制者的意愿，强行或隐蔽地“侵入”他人计算机信息系统。（2）在前述基础上，应当进一步审查相关软件是否避开或者突破反爬措施。设置反爬措施均是为规范、限制网络爬虫技术不当使用的技术手段，这在实践中应当成为判定是否具有规避安全防护措施的功能的重要内容。

第二，是否可以突破访问权限获取网络用户数据。获取计算机信息系统数据应在授权范围内进行，而不应未经授权或超越授权范围进行。网络用户在注册或使用相关软件时，不可避免地生成专属个人的相关数据。而相关用户数据的获取与使用，需要在数据主体知情并同意、网络平台许可并授权，遵守合理合法使用、保密使用、最低限度使用、限制扩散等规则的前提下，有限制、有边界地合法使用。未经相关授权或超越授权范围获取数据，既违背了用户的意愿，也损害了网络平台的利益。关于授权与否，可通过是否具有版权声明、授权白名单等明示方式，是否设置安全防护措施、数据加密等默示方式加以判断。此外，需要注意的是，同一类型的网络用户数据可能在不同网络平台设置有差别的访问权限要求。以用户UID信息为例，有的网络平台允许查看任何用户UID信息，有的网络平台则仅允许查看用户自己的UID信息，对此，实践中需要加以准确判断。

第三，是否专门用于侵入、非法控制计算机信息系统。“专门”是对程序、工具本身的用途非法性的限定，即某款程序、工具在功能设计上就只能用来违法实施控制、获取数据的行为，没有其他合法用途。正是基于此，刑法第二百八十五条第三款规定提供专门用于侵入、非法控制计算机信息系统的程序、工具即具有刑事违法性，无需再查实是否为他人违法犯罪提供帮助。与传统的“专门”程序、工具中存在“中性程序”一样，对于爬虫程序，也应注重甄别是否只可用于非法用途。实际上，爬虫技术本身对于互联网的发展和应用至关重要，如各大搜索引擎都是依靠爬取网页信息才能提供服务，大量网站也接受数据爬取行为，从而增加访问流量，这些搜索引擎的爬虫程序显然不具有专门用于非法用途的性质。

依据上述判断标准，本案例中案涉“客多多精准获客”软件属于刑法第二百八十五条第三款规定的“专门用于侵入、非法控制计算机信息系统的程序、工具”。具体而言：（1）短视频平台服务器采用以X－Gorgon加密算法进行签名校验的安全保护措施，“客多多精准获客”软件系通过非法方式解析X－Gorgon等参数值，进而完成验证，发送GET请求获取短视频平台服务器数据，突破了计算机信息系统验证措施的功能，无疑具有“避开或者突破计算机信息系统安全保护措施”功能。（2）“客多多精准获客”软件获取的UID、sec_uid等数据只限用户登录自行查看，用户本人以外的人员无法通过正常访问渠道获得，该软件的获取行为显然具有未经授权的性质。（3）“客多多精准获客”软件除非法获取短视频平台用户昵称、UID、sec_uid、留言、评论等访问受限的数据并无其他合法用途，属于典型的非法爬虫程序。综上，对被告人丁某依法以提供侵入计算机信息系统程序罪定罪处罚。

原标题：《入库案例选介｜提供非法爬虫软件行为的刑法规制》