爬取APP数据并绕过APP私信接口发送私信牟利的行为如何定性
文/张帅杰
江苏省常州市天宁区人民检察院
一、基本案情
某网络科技公司负责人陈某某组织公司技术人员开发一款AI智能互动平台。该平台主要由前端网站、爬虫程序、私信程序及后台数据库等组成。该平台在未经某社区电商平台APP授权的情况下,通过计算Shield加密值绕过该APP与后端服务器之间的加密算法,伪造请求获取该APP内用户昵称、userID、noteID、笔记等数据,所获取数据的位置亦不在该APP内Robots协议允许的目录及文件范围内。在获取数据后,某网络科技公司再通过技术手段破解某社区电商平台APP私信(APP注册用户之间发送消息)接口,使平台付费商户绕过该APP私信系统直接向APP用户发送私信,以实现为付费商户精准引流、投放广告的目的。2019年6月至2021年12月,某网络科技公司通过上述方式获利共计650余万元。
二、分歧意见
在本案办理中,围绕某网络科技公司及其相关责任人员的行为如何定性,存在以下三种不同意见:
第一种意见:不构成犯罪。理由是:爬虫技术作为一种网络抓取数据的手段,具有中立性质,不属于刑法上的危害行为,且非法获取的数据也是公开的数据,不具有实质危害性,因此不构成非法获取计算机信息系统数据罪。行为人爬取某社区电商平台APP数据后再向用户发送私信未达到控制该APP的程度,因此也不构成非法控制计算机信息系统罪;
第二种意见:构成提供侵入、非法控制计算机信息系统程序、工具罪。理由是:在AI智能互动平台运行过程中,商户需要在平台上充值才能使用。商户自行输入关键词后,平台即可自动执行客户指令爬取数据。虽然某网络科技公司未直接将该平台出售给商户,但在具体使用过程中系由商户自行操作,因此属于提供侵入、非法控制计算机信息系统程序、工具的行为;
第三种意见:构成非法获取计算机信息系统数据、非法控制计算机信息系统罪。理由是:一方面,AI智能互动平台内嵌入的爬虫程序破解了某社区电商平台APP数据传输的加密算法,未经许可进入该APP服务器抓取限制访问的计算机信息系统数据,已经突破“爬虫”技术的中立性,构成非法获取计算机信息系统数据罪;另一方面,AI智能互动平台在爬取数据后再绕过该APP客户端程序直接向服务器发送指令,属于一种“控制”行为,又构成非法控制计算机信息系统罪。
三、评析意见
笔者同意上述第三种意见。本案中,某网络科技公司及其相关责任人员爬取数据并绕过私信接口发送私信牟利的行为构成非法获取计算机信息系统数据、非法控制计算机信息系统罪。具体理由如下:
(一)网络爬虫技术虽然具有中立性,但并非所有使用爬虫技术的行为都是合法行为,是否构成犯罪具体要看是否属于刑法意义上的“危害行为”
网络爬虫又叫网络蜘蛛、网络机器人,一般可以理解为“一个在互联网上自动提取网页信息并进行解析抓取的程序”。爬虫技术在海量数据背景下显著提升了抓取数据的效率而被广泛应用。因此,有观点认为爬虫技术系模拟人工搜集信息,属于中立技术,不具有刑事上的违法性。笔者认为并非所有使用爬虫技术获取数据的行为均系合法行为,是否构成犯罪要看其是否属于刑法上的危害行为。
根据全国人大常委会法工委刑法室编著的《〈中华人民共和国刑法〉释解与适用》,非法获取计算机信息系统数据罪中的“侵入”是指未经授权或者他人同意,通过技术手段进入计算机信息系统的行为。“侵入”的实质是违背他人意愿,进入他人计算机信息系统。因此,关键要看爬取数据的行为是否违背了被爬取的计算机信息系统的意志。本案中,所使用的爬虫不在某社区电商平台APP内Robots协议授权范围中,行为人通过计算shield加密值绕过该APP与后端服务器之间的加密算法,伪造请求向该APP服务器获取数据,不是通过被允许的身份验证机制获得授权访问,是无权限的非法访问,属于爬虫技术的过界使用、非法使用。
(二)某网络科技公司组织人员实施了“侵入”某社区电商平台服务器后获取数据行为
由于爬虫技术必然会挤占正常用户的需求,甚至会严重降低正常用户的访问效率,因此,大型互联网公司通常会采取“反爬”措施来防止被爬取数据。本案所涉AI智能互动平台在实际运行过程中,通过破解加密算法、频繁切换IP地址等方式突破某社区电商平台APP安全防护措施,属于在未经授权的情况下获取数据,应当认定为计算机信息系统犯罪中的“侵入”行为。
在办案过程中,有观点认为某网络科技公司所爬取的是公开信息,即普通APP用户也可以正常浏览看到的信息,因而认为该爬取行为不具有刑事违法性。笔者认为,判断获取数据是否合法的关键不在于所获取的信息是否具有公开性,而在于其获取数据的手段是否合法。本案中,某网络科技公司所获取的信息并非都是公开性信息,比如用户userID、noteID等就属于非公开性数据,普通用户在客户端无法直接查看得到。这更加说明某网络科技公司的行为具有严重的社会危害性。
(三)某网络科技公司绕过某社区电商平台APP客户端向其用户发送私信的行为属于非法控制计算机信息系统的行为
所谓“非法控制”,全国人大常委会法工委刑法室认为是指行为人通过各种技术手段,使得他人计算机信息系统处于其掌控之中,能够接受其发出的指令,完成相应的操作活动。非法控制,包括对他人计算机实现完全控制,也包括只实现对他人计算机信息系统的部分控制,不论实际控制的程度如何,本质上只要能够使他人计算机信息系统执行其发出的指令即可。
本案中,AI智能互动平台付费商户使用该平台的最终目的是掌握某社区电商平台APP用户的个人信息、喜好,继而精准引流、打广告。某网络科技公司为了实现平台的付费商户与某社区电商平台APP用户联系的功能,在开发AI智能互动平台时,编写代码模拟某社区电商平台前端APP与后台服务器之间数据传输的加密算法,从而绕过某社区电商平台前端APP向服务器私信接口发送指令,伪造前端APP用户与用户之间交流的假象,从而实现付费商户向某社区电商平台APP用户发送私信的功能。因此,该行为属于通过技术手段,操作他人计算机信息系统接受并完成其发出的指令,应当认定为“非法控制”计算机信息系统。某网络科技公司也正是基于付费商户发私信消耗积分的方式来最终实现获利的,非法控制手段发私信是其非法获利的关键环节。
(四)不宜认定构成提供侵入、非法控制计算机信息系统程序、工具罪
通说认为提供侵入、非法控制计算机信息系统程序、工具罪的行为,本质上是为计算机犯罪提供作案工具的帮助行为。而本案中,某网络科技公司所非法获取的数据直接保存在该公司服务器上,并经筛选后再呈现在付费商户面前。非法获取某社区电商平台APP数据的行为主要由AI平台完成,商户对行为人获取数据的方式并不知情。加之也无证据证明该平台系专门用于侵入计算机信息系统的程序,因此,某网络科技公司不构成提供侵入、非法控制计算机信息系统程序、工具罪。
综上,某网络科技公司违反国家规定,利用爬虫技术侵入某社区电商平台APP服务器,获取数据并非法控制该APP私信程序牟利的行为,构成非法获取计算机信息系统数据、非法控制计算机信息系统罪。虽然,某网络科技公司实施了非法侵入和非法控制前后两个行为,两行为之间亦不具有竞合关系,本应认定为两罪,但笔者认同张明楷教授所著《刑法学》(第六版)观点,非法获取计算机信息系统数据、非法控制计算机信息系统罪系选择性罪名,因此不再数罪并罚,而是按非法获取计算机信息系统数据、非法控制计算机信息系统罪一罪处理。
最终,审判机关采纳上述意见,以非法获取计算机信息系统数据、非法控制计算机信息系统罪判处某网络科技公司罚金二十万元,判处公司负责人陈某某等人有期徒刑三年,缓刑五年至四年,并处二十万元至十万元不等罚金。一审判决后,某网络科技公司及陈某某等人均未上诉。
原文链接:https://www.jsjc.gov.cn/qingfengyuan/202405/t20240514_1624206.shtml
[免责声明] 本文来源于网络转载,仅供学习交流使用,不构成商业目的。版权归原作者所有,如涉及作品内容、版权和其它问题,请在30日内与本网联系,我们将在第一时间处理。