我國目前并未出臺(tái)專門針對(duì)網(wǎng)絡(luò)爬蟲技術(shù)的法律規(guī)范，但在司法實(shí)踐中，相關(guān)判決已屢見不鮮，K 哥特設(shè)了“K哥爬蟲普法”專欄，本欄目通過對(duì)真實(shí)案例的分析，旨在提高廣大爬蟲工程師的法律意識(shí)，知曉如何合法合規(guī)利用爬蟲技術(shù)，警鐘長鳴，做一個(gè)守法、護(hù)法、有原則的技術(shù)人員。

案情介紹

2018年1月至7月期間，咼某興通過SQL注入漏洞以及編寫爬蟲腳本的方式，侵入計(jì)算機(jī)信息系統(tǒng)，獲取計(jì)算機(jī)系統(tǒng)內(nèi)存儲(chǔ)的大量數(shù)據(jù)，其中涉及到個(gè)人信息的數(shù)量約為1500萬余條，該將其獲取的個(gè)人信息通過QQ銷售給“Versace”、“同花順”、“FF”、“糖果”等人，從中獲利約54萬余元。

公訴機(jī)關(guān)認(rèn)為，咼某興違反國家規(guī)定，侵入計(jì)算機(jī)信息系統(tǒng)，獲取該計(jì)算機(jī)系統(tǒng)中存儲(chǔ)的數(shù)據(jù)，情節(jié)特別嚴(yán)重，其行為觸犯了《中華人民共和國刑法》第二百八十五條第二款，應(yīng)當(dāng)以非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪追究其刑事責(zé)任。

咼某興對(duì)被指控的罪名無異議，但辯稱起訴書指控的數(shù)量有異議，其只用了20多萬條信息；對(duì)指控的入侵方式有異議，SQL技術(shù)不是入侵技術(shù)，爬蟲技術(shù)只能獲取網(wǎng)站頁面的信息不能入侵系統(tǒng)或獲取數(shù)據(jù)。

供述情況

被告人咼某興的辯護(hù)人的主要辯護(hù)意見：

1.被告人獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)使用的SQL注入漏洞是常見的黑客技術(shù)，被告人所獲取的信息多為網(wǎng)站上公開的信息，只是將SQL方式作為一種收集手段、采用爬蟲腳本具備合法性；

2.對(duì)起訴書指控涉及個(gè)人信息數(shù)量1500萬余條有異議。獲取的計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)有部分無效數(shù)據(jù)、涉案信息數(shù)據(jù)存在重復(fù)性、非法獲利與涉案信息數(shù)量不對(duì)應(yīng)；

3.對(duì)指控被告人獲利54萬元有異議，被告人通過爬蟲腳本獲得信息銷售所得利益應(yīng)屬合法收益，應(yīng)予以扣除；

4.被告人主動(dòng)交代犯罪事實(shí)，認(rèn)罪悔罪態(tài)度好，犯罪情節(jié)較輕，愿意繳納罰金，建議對(duì)其適用緩刑。

法院認(rèn)為，被告人咼某興違反國家規(guī)定，侵入計(jì)算機(jī)信息系統(tǒng)，獲取該計(jì)算機(jī)系統(tǒng)中存儲(chǔ)的數(shù)據(jù)，情節(jié)特別嚴(yán)重，其行為已構(gòu)成非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪，公訴機(jī)關(guān)指控成立。

關(guān)于被告人及其辯護(hù)人所提對(duì)起訴書指控涉及個(gè)人信息數(shù)量1500萬余條有異議，部分計(jì)算機(jī)信息系統(tǒng)系數(shù)據(jù)系無效數(shù)據(jù)且存在重復(fù)計(jì)算問題的辯解和辯護(hù)意見，本院認(rèn)為，公訴機(jī)關(guān)對(duì)被告人獲取的信息進(jìn)行重新梳理，合理推斷出1500萬余條個(gè)人信息，能夠識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情況，故對(duì)該項(xiàng)辯解及辯護(hù)意見，本院不予采納。

關(guān)于被告人及其辯護(hù)人所提獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)使用的SQL注入漏洞只是一種收集手段、采用爬蟲腳本具備合法性，獲取的信息多為網(wǎng)站上公開的信息的辯解和辯護(hù)意見，本院認(rèn)為，被告人使用SQL注入漏洞以及編寫爬蟲腳本的方式侵入計(jì)算機(jī)信息系統(tǒng)，獲取計(jì)算機(jī)系統(tǒng)內(nèi)存儲(chǔ)的大量數(shù)據(jù)，其中涉及到個(gè)人信息的數(shù)量達(dá)到約1500萬余條，并非網(wǎng)站頁面信息，故對(duì)該項(xiàng)辯解及辯護(hù)意見，本院不予采納。

關(guān)于辯護(hù)人所提對(duì)指控被告人獲利54萬元有異議，應(yīng)扣除被告人通過爬蟲腳本獲得的合法信息收入的辯護(hù)意見，本院認(rèn)為，被告人通過編寫爬蟲腳本的方式非法入侵計(jì)算機(jī)信息系統(tǒng)，獲取計(jì)算機(jī)系統(tǒng)內(nèi)儲(chǔ)存的信息并出售所得系違法收入，應(yīng)計(jì)入違法所得，故對(duì)該項(xiàng)辯護(hù)意見，本院不予采納。

關(guān)于辯護(hù)人所提被告人主動(dòng)交代自己的犯罪事實(shí)，認(rèn)罪悔罪態(tài)度好的辯護(hù)意見，本院認(rèn)為，被告人辯稱其使用SQL注入漏洞以及編寫爬蟲腳本的方式均未入侵到計(jì)算機(jī)系統(tǒng)，獲取的只是網(wǎng)站頁面信息，不屬于如實(shí)供述自己的罪行，故對(duì)該項(xiàng)辯護(hù)意見，本院不予采納。

判決情況

被告人咼某興犯非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪，判處有期徒刑五年，并處罰金人民幣二萬元。對(duì)被告人咼某興違法所得人民幣54萬元依法予以追繳或責(zé)令退賠。

判決文書全文：

https://wenshu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html?docId=JfzQF7Z4/9e1lWn1usoF7Iqj7B9Z57edExldSpEjnzIAIFtb8Dxqsp/dgBYosE2gc2cTGVpSTHaQan7hFsr1Z3QhUB9pTwx7alMunkuJwH71nc0rzmfld8ZkrIqaAiag

反思總結(jié)

法院以咼某興未經(jīng)網(wǎng)站授權(quán)，利用特定網(wǎng)站的漏洞，使用 SQL 注入漏洞以及編寫爬蟲腳本的方式侵入計(jì)算機(jī)信息系統(tǒng)，獲取計(jì)算機(jī)系統(tǒng)內(nèi)存儲(chǔ)的大量數(shù)據(jù)，其中涉及到個(gè)人信息的數(shù)量達(dá)到約1500萬余條，且并非網(wǎng)站頁面信息為由認(rèn)定了該行為的非法性，我們先來了解下 SQL 注入和網(wǎng)絡(luò)爬蟲的基本原理：

• SQL 注入：當(dāng)我們?cè)L問動(dòng)態(tài)網(wǎng)頁時(shí), Web 服務(wù)器會(huì)向數(shù)據(jù)訪問層發(fā)起 SQL 查詢請(qǐng)求，如果權(quán)限驗(yàn)證通過就會(huì)執(zhí)行 SQL 語句。這種網(wǎng)站內(nèi)部直接發(fā)送的 SQL 請(qǐng)求一般不會(huì)有危險(xiǎn)，但實(shí)際情況是很多時(shí)候需要結(jié)合用戶的輸入數(shù)據(jù)動(dòng)態(tài)構(gòu)造 SQL 語句，如果用戶輸入的數(shù)據(jù)被構(gòu)造成惡意 SQL 代碼，Web 應(yīng)用又未對(duì)動(dòng)態(tài)構(gòu)造的 SQL 語句使用的參數(shù)進(jìn)行審查，導(dǎo)致其傳入的“數(shù)據(jù)”拼接到 SQL 語句中后，被當(dāng)作 SQL 語句的一部分執(zhí)行，可能會(huì)導(dǎo)致數(shù)據(jù)庫受損（被脫庫、被刪除、甚至整個(gè)服務(wù)器權(quán)限陷）。
• 網(wǎng)絡(luò)爬蟲：網(wǎng)絡(luò)爬蟲又稱網(wǎng)絡(luò)蜘蛛、網(wǎng)絡(luò)機(jī)器人，它是一種按照一定的規(guī)則自動(dòng)瀏覽、檢索網(wǎng)頁信息的程序或者腳本，網(wǎng)絡(luò)爬蟲能夠自動(dòng)請(qǐng)求網(wǎng)頁，并將所需要的數(shù)據(jù)抓取下來，通過對(duì)抓取的數(shù)據(jù)進(jìn)行處理，從而提取出有價(jià)值的信息，高水準(zhǔn)者可 ”所見即所得“，意為只要是能看的內(nèi)容就能爬取到，重點(diǎn)在于采集的都是正常用戶能瀏覽到的內(nèi)容。

所以侵入計(jì)算機(jī)信息系統(tǒng)并不是爬蟲所能做到的事，數(shù)據(jù)庫層面的滲透亦或是攻擊應(yīng)當(dāng)是通過 SQL 注入實(shí)施的，而法院將編寫爬蟲腳本列為咼某興侵入計(jì)算機(jī)信息系統(tǒng)的方式之一，是因?yàn)榉欠ǐ@取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪與侵犯公民個(gè)人信息罪是法條競(jìng)合的關(guān)系，指一個(gè)犯罪行為同時(shí)觸犯數(shù)個(gè)具有包容關(guān)系的具體犯罪條文，依法只適用其中一個(gè)法條定罪量刑的情況。不論是如咼某興辯護(hù)中所述其利用爬蟲技術(shù)采集的是某些網(wǎng)站上公開的個(gè)人信息，亦或是利于 SQL 注入技術(shù)滲透進(jìn)數(shù)據(jù)庫，再利用爬蟲批量采集個(gè)人信息，這都是觸犯了法律的 “紅線” 的，理論上看，爬蟲作為一項(xiàng)網(wǎng)絡(luò)信息搜索技術(shù)，具有技術(shù)中立性，并未被我國現(xiàn)行法律所明令禁止，但是在司法實(shí)務(wù)中，“技術(shù)中立原則” 的適用是有邊界的，如果使用技術(shù)的人用以危害社會(huì)，利用技術(shù)手段實(shí)施犯罪行為，則不因 “技術(shù)中立原則” 而免除刑事責(zé)任，如果涉及的是公民個(gè)人信息，基于特別法條優(yōu)先于普通法條的原則，咼某興的行為，適用于侵犯公民個(gè)人信息罪，對(duì)于公民個(gè)人信息數(shù)據(jù)一定要慎之又慎！

需要注意的是，一些網(wǎng)站會(huì)采取反爬措施，包括封 IP、封賬號(hào)、JS 參數(shù)加密、代碼混淆、瀏覽器指紋、TLS 指紋、驗(yàn)證等，以增加爬蟲程序資源的成本，更有企業(yè)積極開發(fā)反爬蟲技術(shù)以限制網(wǎng)絡(luò)爬蟲的訪問權(quán)限，繞過網(wǎng)站反爬蟲措施獲取數(shù)據(jù)屬于違背權(quán)利人意愿讀取、收集數(shù)據(jù)，將有較大可能被認(rèn)定為對(duì)計(jì)算機(jī)信息系統(tǒng)的 “侵入”，進(jìn)而以非法獲取計(jì)算機(jī)系統(tǒng)數(shù)據(jù)罪定罪處罰。對(duì)于 “侵入” 的理解：在以往判例中，司法機(jī)關(guān)主要基于以下兩種路徑判定對(duì)計(jì)算機(jī)信息系統(tǒng)的 “侵入”：一是無用戶身份的侵入，即通過盜取、破解密碼等方式進(jìn)入系統(tǒng)；二是超權(quán)限訪問的侵入，即具有合法用戶身份，但超越自身授權(quán)范圍訪問信息資源。

信息公開不等同于數(shù)據(jù)公開，對(duì)于爬蟲工程師來說，并不需要去厘清概念背后的區(qū)別與聯(lián)系，只是在業(yè)務(wù)開展中需要樹立風(fēng)險(xiǎn)防范意識(shí)，貿(mào)然爬取公開可見的信息仍會(huì)存有一定刑事風(fēng)險(xiǎn)，仔細(xì)甄別所要爬取的數(shù)據(jù)類型，謹(jǐn)慎處理包含公民個(gè)人信息、商業(yè)秘密等內(nèi)容的信息，希望大家凡事三思而后行，老話長談，謹(jǐn)記一點(diǎn)，公司是老板的，自由是自己的，法律是不容觸犯的！