深度解读爬虫获刑第一案，数据公司如何合法获取个人信息

深度解读爬虫获刑第一案，数据公司如何合法获取个人信息

耀时跨境数据合规研究院(IXCDC)

一、案件基本概况

01

案件背景

魔蝎公司主要与各网络贷款公司、小型银行合作，为其提供需要贷款的用户的个人信息及多维度信用数据。方式是魔蝎公司将其开发的插件嵌入上述网贷平台，在用户使用网贷平台的APP借款时，用户需要在插件上输入其通讯运营商、社保、公积金、淘宝、京东、学信网、征信中心等网站的账号、密码，经过贷款用户授权后，魔蝎公司的爬虫程序代替贷款用户登录上述网站，进入其个人账户，利用各类爬虫技术，爬取（复制）上述企、事业单位网站上贷款用户本人账户内的通话记录、社保、公积金等各类数据，并按与用户的约定提供给网贷平台用于判断用户的资信情况，并从网贷平台获取每笔0.1元至0.3元不等的费用。期间，魔蝎公司在和个人贷款用户签订的《数据采集服务协议》中明确告知贷款用户“不会保存用户账号密码，仅在用户每次单独授权的情况下采集信息”，但未经用户许可仍采用技术手段长期保存用户各类账号和密码在自己租用的阿里云服务器上。

02

争议焦点

魔蝎公司及其负责人是否构成侵犯个人信息罪？

03

法律分析

《中华人民共和国刑法》（以下简称“《刑法》”）第二百五十三条之一第三款规定，对违反国家规定向他人出售或者提供公民个人信息情节严重的行为判处刑罚。何以构成“情节严重”是判定魔蝎公司行为是否违法的关键标准。该标准在2017年颁布并施行的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称“《解释》”）第五条中进行了详细阐明。经查明，本案中魔蝎公司至2019年9月案发时，在租用的阿里云服务器中发现以明文形式非法保存的个人贷款用户各类账号和密码条数多达21241504条，违法所得人民币3000万元。已构成《解释》第五条中“（三）非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的；（四）非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的；（五）非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的；（七）违法所得五千元以上的；（八）将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人，数量或者数额达到第三项至第七项规定标准一半以上”规定的“情节严重”情形，并构成“数量或者数额达到前款第三项至第八项规定标准十倍以上”规定的“情节特别严重”情形。根据《刑法》第二百五十三条应对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，处三年以上七年以下有期徒刑，并处罚金。

04

裁判结果

法院结合被告人周某（魔蝎公司法定代表人、总经理）、袁某（公司技术总监，系技术负责人）在自侦查阶段如实供述主要犯罪事实，自愿认罪认罚、悔罪的表现以及没有再犯罪的危险，酌情予以从宽处罚，最终判处周某有期徒刑三年，缓刑四年，并处罚金人民币五十万元；袁某判处有期徒刑三年，缓刑三年，并处罚金人民币三十万元；魔蝎公司扣押于公安机关的作案工具电脑等予以没收，退缴至本院的违法所得款人民币三千万元予以没收，并上缴国库。

二、案件主要特点

随着近年来大数据产业的兴起，爬虫开始被许多数据公司作为服务项目提供给信贷平台用以评估贷款人信用度，防范风险。与此同时，由于缺少监管，信息保护问题成为巨大的产业黑洞，部分信贷公司进一步利用收集到的个人信息进行高利贷、暴力催收等违法活动。2017年互联网金融风险专项整治、P2P网贷风险专项整治工作领导小组开始专项整治后，一批数据圈公司频频受查，除魔蝎公司以外，同盾科技、九象、天机、有盾、聚信立均陷入法律或停业风波，此类案件一般有以下几个共同特点。

01

违规爬取数据

数据违规获取是整个违法行为的起始。根据分析此类案件，违规爬虫行为大多始于未经授权进行爬取，以及前端APP过度收集个人信息、对个人信息保护不当三种情况。

例如在魔蝎案中，魔蝎公司与贷款人签订的《数据采集服务协议》中明确告知不会保存用户的账号和密码，但在实际操作中却将协议抛之脑后，即属于未经授权。其次，由于个人信息的范围和类型难以穷尽列举，前端APP的信息采集协议中往往使用“等个人信息”进行模糊处理，实践中就会造成模糊授权，有过度收集个人信息的隐患，当前端APP再无对用户信息进行保护的意识时，下家爬虫坐取渔翁之利。在魔蝎案中，网贷平台除收集与资信相关的征信中心账户信息外，还收集了淘宝、京东、学信网，甚至通话记录、邮箱等个人信息，明显超出了必要限度，最终所有数据通过魔蝎的插件进入了魔蝎的云服务器数据库，并且部分账号密码被魔蝎公司进行了二次使用。

02

技术成本不高，爬取信息量大

爬虫技术成本不高是导致该行业前期乱象频生的一大原因。随着互联网和大数据的发展，近一两年市面上涌现出大量的Python网络爬虫课程、免费爬虫软件、淘宝爬虫代做、Github爬虫代码模板，可见其技术门槛并不高。在爬虫技术还不为大家普遍所知时，早期发现商机的人利用爬虫技术获取数据，动辄上万条信息数据，再根据信息价值以几角至几元不等的价格出售，通过“薄利多销”赚取巨大收益。

03

不明使用信息

不少网络爬虫公司在获取信息数据后，除了自用外，还会利用倒卖获取二次收益，其中公民个人隐私数据更是贩卖重灾区。在陈锦图、吴天宇侵犯公民个人信息罪一案[1]中，被告陈锦图出售的个人信息中即包括一个名为“脉脉爬取数据9万7千人原版(1).x1sx”的文件，内含约9万7千余条公民个人通讯录信息，以人民币6088元售出。

04

认罪认罚换取从轻量刑

在无讼案例中输入“搜索词：爬虫”、“案件类型：刑事”、“关键词：公民个人信息”所出现的17个案例中，经法院审理判定“情节特别严重”的案件共有16起。根据《刑法》第二百五十三条之一第三款规定，构成侵犯公民个人信息罪情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。在17起案件中，最终被判处有期徒刑四年以上五年以下的仅有两人，且多数案件中适用了缓刑。

三、什么样的爬虫行为合法

首先我们应该明确，爬虫技术是一个工具，其本身是没有对错的。该话题的讨论实质上是对技术使用者如何在法律框架允许的范围内使用该技术进行的讨论。

01

遵守Robots协议

Robots协议（全称“网络爬虫排除标准”，Robots Exclusion Protocol）是Web站点设置的规范爬虫范围的文件。当爬虫访问某个站点时，应该首先检查并遵守该站点根目录下的Robots.txt，该文件指定了搜素引擎（不）允许获取哪些信息，这是国际互联网通行的道德规范。但是Robots协议的风险在于该协议不具有强制性，如果爬虫不遵守协议，Web管理员也无法阻止爬虫对某些内容的获取。一般情况下，严格按照Robots协议爬取网站信息，不会出现法律风险。

02

不得干扰被访问网站的正常运营

《中华人民共和国网络安全法》第二十七条规定，任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动。2019年5月28日国家互联网信息办公室发布的《数据安全管理办法（征求意见稿）》第十六条规定：“网络运营者采取自动化手段访问收集网站数据，不得妨碍网站正常运行；此类行为严重影响网站运行，如自动化访问收集流量超过网站日均流量三分之一，网站要求停止自动化访问收集时，应当停止。”拟通过行政法规的形式，对判定是否干扰网络正常运行的标准进行细化，以对爬虫的使用进行限制。

03

不可过度爬取，不可爬取受法律保护的

特定类型数据或信息

《网络信息安全法》第四十一条规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息。使用爬虫技术同样需要遵循必要原则，不可过度爬取。同时，爬虫只可以从公开的网络爬取公开的信息，不可爬取受法律保护的特定类型数据或信息。由于爬虫设计者可能会为规避反爬虫而采取伪装措施，在这种情况下爬虫可能会访问和抓取到一般用户无法接触到的内容，例如商业秘密、个人隐私、受著作权保护的作品、属于反不正当竞争保护的数据等。因此，及时审查所抓取的内容是十分必要的，如发现涉密信息应及时停止与删除。

04

爬取的信息禁止出售、转播、转用

《网络信息安全法》第四十四条规定，任何个人和组织不得非法出售或者非法向他人提供个人信息。在湖南九象信息集团有限公司侵犯公民个人信息罪一案[2]中，湖南九象信息集团有限公司开发了名为“黑爬虫”的网站，通过爬虫软件，非法获取数十家贷款公司贷款人的个人信息，然后再向其他贷款平台提供付费查询公民个人借贷信息以及身份照片服务，并对外经营。截至2018年7月17日，该网站公民个人借贷信息、身份证照片信息累计查询量达84万余次，九象公司分得赃款约人民币50余万元。最终九象公司及其负责人被判处侵犯公民个人信息罪，判处九象集团罚金一百万，公司负责人有期徒刑一年至四年不等，罚金六万至八十万不等。

05

不能非法获利

根据《解释》第五条规定，违反国家规定向他人出售或者提供公民个人信息违法所得五千元以上即构成情节严重，触犯侵犯个人信息安全罪。

除此以外，使用爬虫非法获利亦有构成不正当竞争的风险。在深圳市谷米科技有限公司与武汉元光科技有限公司、陈昴等不正当竞争纠纷案[3]中，元光科技公司为了提高其开发的智能公交APP“车来了”在中国市场的用户量及信息查询的准确度，利用网络爬虫软件获取包括谷米公司在内的竞争对手公司服务器里的公交车行驶信息、到站时间等实时数据日均300万至400万条，造成谷米公司因被非法侵入计算机信息系统所造成的直接经济损失24.43万元人民币。最终被告公司负责人陈昴等人被判处非法获取计算机信息系统数据罪，元光科技有限公司构成不正当竞争，赔偿谷米科技有限公司经济损失及合理维权费用50万元。

四、爬虫行为所涉其他违法事由案例

01

上海晟品网络科技有限公司、侯明强等

非法获取计算机信息系统数据罪案 [4]

基本案情：被告人张洪禹（公司法定代表人兼CEO，负责公司整体运行）、宋健（公司联席CEO，系产品负责人）、侯明强（公司CTO，系技术负责人）经共谋，于2016年至2017年间采用技术手段抓取被害单位北京字节跳动网络技术有限公司服务器中存储的视频数据，并由侯明强指使被告人郭辉破解北京字节跳动网络技术有限公司的防抓取措施，使用“tt_spider”文件实施视频数据抓取行为，造成被害单位北京字节跳动网络技术有限公司损失技术服务费人民币2万元。

裁判结果：单位上海晟品网络科技有限公司及其主要负责人犯非法获取计算机信息系统数据罪，判处单位罚金人民币二十万元；主要负责人有期徒刑九个月至一年不等，并处罚金三万至四万元不等。

02

北京瑞智华胜科技股份有限公司

非法获取计算机信息系统数据、

非法控制计算机信息系统罪案[5]

基本案情：瑞智公司通过邢某成立的其他关联公司与运营商签订精准广告营销协议，获取运营商服务器登录许可，并通过部署SD程序，从运营商服务器抓取采集网络用户的登录×××数据，并将上述数据保存在运营商redis数据库中，利用研发的爬虫软件、加粉软件，远程访问redis数据库中的数据，非法登录网络用户的淘宝、微博等账号，进行强制加粉、订单爬取等行为，从中牟利。2018年4月17日至18日期间，瑞智公司爬取被害人1在内的淘宝订单共计220552条（浙江淘宝网络有限公司实际输出10000条），瑞智公司向指定加粉淘宝账号恶意加淘好友共计137093个（浙江淘宝网络有限公司实际输出20000个）。

裁判结果：单位北京瑞智华胜科技股份有限公司及其主要负责人犯非法获取计算机信息系统数据罪，判处单位罚金人民币一千万元；主要负责人有期徒刑两年至三年六个月不等，并处罚金六万至十万元不等。

03

王博一文、黄业兴破坏计算机信息系统案[6]

基本案情：2017年7月间，被告人王博一文曾受第十三届全运会组委）工作人员委托对全运会接待服务管理系统进行美工改善。王博一文为获得该系统的安全维护业务，指使黄业兴对系统漏洞进行攻击。同年8月8日，黄业兴将其使用Python编写的“爬虫”程序植入全运会组委会接待服务管理系统，导致该系统内存储的4000余条参赛运动员及技术官员来津抵离信息、酒店住宿信息、人员身份信息被删除。

裁判结果：被告人王博一文、黄业兴均构成破坏计算机信息系统罪，王博一文被判处有期徒刑二年六个月；黄业兴被判处有期徒刑二年六个月；电脑、手机等作案工具予以没收。

注脚【向下滑动】

[1] （2020）粤04刑终297号刑事二审裁定书，https://wenshu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html?docId=179a824d18f14fb3813faca300cc96fc，2021年5月6日访问。

[2] （2018）苏0803刑初643号刑事判决书，https://www.itslaw.com/detail?initialization=%7B%22category%22%3A%22CASE%22%2C%22id%22%3A%221da72156-16a9-4c09-bbee-94083ed9df82%22%2C%22anchor%22%3Anull%2C%22detailKeyWords%22%3A%5B%22%E7%88%AC%E8%99%AB%22%5D%7D#content_null，2021年5月6日访问。

[3] （2017）粤03民初822号一审民事判决书，https://www.iphouse.cn/cases/detail/85q93xnvrk4el1ym89el0dp2m7y1wzog.html，2021年5月6日访问。

[4] （2017）京0108刑初2384号刑事判决书，https://www.itslaw.com/detail?initialization=%7B%22category%22%3A%22CASE%22%2C%22id%22%3A%2241ecc634-4872-45c0-860c-ce334896dc3d%22%2C%22anchor%22%3Anull%2C%22detailKeyWords%22%3A%5B%22%E4%B8%8A%E6%B5%B7%E6%99%9F%E5%93%81%E7%BD%91%E7%BB%9C%E7%A7%91%E6%8A%80%E6%9C%89%E9%99%90%E5%85%AC%E5%8F%B8%22%5D%7D#content_null，2021年5月6日访问。

[5] （2019）浙0602刑初636号刑事一审判决书，https://www.itslaw.com/detail?initialization=%7B%22category%22%3A%22CASE%22%2C%22id%22%3A%22e34bcc2d-d89d-4222-8519-d1c6a859528a%22%2C%22anchor%22%3Anull%2C%22detailKeyWords%22%3A%5B%22%E7%88%AC%E8%99%AB%22%5D%7D#content_null，2021年5月6日访问。

[6] （2018）津01刑终300号二审刑事裁定书，https://www.itslaw.com/detail?initialization=%7B%22category%22%3A%22CASE%22%2C%22id%22%3A%2266eb7264-6475-48cb-a0b0-b16e07c953b0%22%2C%22anchor%22%3Anull%2C%22detailKeyWords%22%3A%5B%22%E7%88%AC%E8%99%AB%22%5D%7D#content_null，2021年5月6日访问。