信息时代有很多大家虽耳熟却并不能详的概念,比如对非专业技术人员来说的“爬虫”。爬虫似乎手眼通天、充满邪恶,稍加不注意就会变成无孔不入的侵害者。而网贷领域的爬虫更容易被认作侵害个人隐私和其他人身权益的罪魁祸首。监管方对网贷数据爬虫的监管力度也日渐收紧,并在2019年下半年达到高潮,魔蝎科技、公信宝、聚信立等第三方风控行业头部公司相继被调查或被波及,整个行业如履薄冰,主要爬虫服务出于避险考虑基本暂停。网友纷纷调侃为“爬虫爬的好,牢房进的早;数据玩的溜,牢饭吃个够”。
在化解“互联网金融风险”的目标下,网贷公司由于合规与监管困难而被逐渐清退,而很多讨论认为不当使用“爬虫”构成其中一个重要风险。网贷公司如果涉及暴力催收、设定不合理利率侵犯金融消费者合法权益而被追究民事、行政乃至刑事责任理所应当。但是令人疑惑的是,作为技术手段的爬虫如何成为风口浪尖的打击对象?现有的各种网络报道51信用卡事件时,大量提及“非法爬虫”,却未明确到底什么是非法爬虫,非法之处又体现在何处,让爬虫从业者手足无措。
本文将以51信用卡为例,试图揭开大众频频提及、却似懂非懂的爬虫在网贷领域的神秘面纱。下面讨论将分两步走:第一部分是在明确爬虫概念的基础上,澄清爬虫背负的莫须有的三大类刑法罪名;第二部分是在我国法律体系下来探讨,形式合规的爬虫自身切实带来的法律问题。
二、本为无罪虫:洗脱爬虫含冤背负的罪名
(一)网贷爬虫的工作原理
1.爬虫在网贷领域的具体应用
爬虫是一个技术概念,简单来说是一个自动提取信息和网页的程序,由一系列的代码构成。一个代码初级学者经过简单训练就可以写成一段基础爬虫代码。一个基本的爬虫由五个步骤组成:制定目标、全面检索、信息传输、信息分析和信息存储。基于基础的爬虫,又有一些具体的数据爬虫分类,其爬取逻辑、爬取对象不同,也具有不同的特点,应用于不同用途。
图1一段爬虫代码
3.爬虫对公开信息的获取
(二)成为脱离本意的背锅侠
1.暴力催收不是非法爬虫之罪
综上可知,警方通报的51信用卡涉及暴力催收寻衅滋事罪,与爬虫自身关联不大。
2.非法侵入系统并非爬虫之罪
在恶意访问计算机系统时,爬虫可能扮演两种手段。
第二是在利用其他黑客手段攻入计算机系统后,利用爬虫获取内部数据。本文认为,如果采取其他措施侵入计算机系统,而侵入后用爬虫进行数据获取,核心是网络安全问题。在《刑法》第二百八十五条规定的各类犯罪中,重要的行为要件为“侵入”。爬虫在这一情况下扮演的并非侵入角色,而是侵入后的第二行为——获取信息等,因此单独的爬虫并非是构成侵入计算机系统的罪魁祸首。
3.对信息的不当利用并非爬虫之罪
三、也非无辜者:爬虫涉及的法律问题
通过上述讨论可得,暴力催收、非法侵入计算机系统与获取信息后的不当利用,并非爬虫是“一虫之力”可造成的网贷领域乱象,各种风险的产生源于其他因素的加入。因此在上述问题中法律不可仅仅着眼于爬虫本身,而应对构成要件进行逐一审查。
(一)可能构成帮助信息网络犯罪活动罪
虽然除自身作为入侵计算机系统的手段外,单独的网贷爬虫行为不会构成上述第二部分的罪名,但是在现行《刑法》中,其可能因实施网络犯罪的帮助行为,独立构成帮助信息网络犯罪活动罪。
1.罪名与要件规定
2.爬虫方的违法风险
通过对要件分析后可得,如果实施爬虫的个人或公司,有或被推定明知他人有利用信息网络实施犯罪的故意,且为犯罪提供技术支持,并符合司法解释中关于情节严重的要求,可构成帮助信息网络犯罪活动罪。
不过需要说明的是,这一罪名仍然是在我国刑法帮助犯体系下的。根据法律和司法解释规定,即使对正犯的主体和犯罪程度无需查实也可定罪,但也必须有正犯行为的存在且其具有社会危害性。其次,在帮助者层面必须有明知的要件才能定罪,即必须对其服务对象系利用信息网络实施犯罪这一事实,有充分证据显示其明知或推定明知,行为才有可能被评价为犯罪。如果爬虫在提供技术支持时主观上不明知其技术支持、帮助的行为被犯罪活动所利用,则不能构成帮助信息网络犯罪活动罪。因此司法实践中不可随意扩张对此罪名的范围,第三方爬虫公司在为客户提供服务时做好调查工作,即会大大避免法律风险。
(三)多主体关系下的法律问题
1.合同角度下的违约责任
图3爬虫多方法律关系图
2.侵权角度下的权益侵犯
四、结语
其他类似爬虫的技术,它们是新时代的利器,其利其弊取决于持器之人的运用统筹。对利器理应更妥善保管。不过是将利器完全收藏封印,还是用制度和手段保护可能受到侵害的群体,是不同的存管思路。对问题要具体分析,有的放矢地进行保护。同时,新事物的分析也不能脱离既有的基本法律关系,不可迷信和稀泥式的“法律创新”与脱离体系的“伦理分析”。这样新事物发展与弱势权益保护并存,就不是无法调和的悖论。
注释
[2]参见宁立志、王德夫:《“爬虫协议”的定性及其竞争法分析》,载《江西社会科学》2016(1)。
[3]如果违反协议,可能构成侵权法上的侵权行为(侵犯隐私权和财产权),seeAlexCato,Robot.txtandLinkingtheInternet,24Austl.L.Libr.37(2016),也可能构成违反信义的行为或不正当竞争法上的问题,参见何颖:《数据共享背景下的金融隐私保护》,载《东南大学学报(哲学社会科学版)》,2017(1)。
[5]全国信息安全标准化技术委员会2017年12月29日发布的国家标准GB/T35273-2017《信息安全技术个人信息安全规范》于2018年5月1日实施。2019年6月24日由全国信息安全标准化技术委员会公开征求意见,这里说的是10月24日发布的《信息安全技术个人信息安全规范(最新版征求意见稿)》。
[7]第二十七条:网络运营者向他人提供个人信息前,应当评估可能带来的安全风险,并征得个人信息主体同意。下列情况除外:(一)从合法公开渠道收集且不明显违背个人信息主体意愿;(二)个人信息主体主动公开;(三)经过匿名化处理;(四)执法机关依法履行职责所必需;(五)维护国家安全、社会公共利益、个人信息主体生命安全所必需。
[8]中国银行业监督管理委员会、工业和信息化部、公安部和国家互联网信息办公室发布。
[10]第六条第二款:为强行索要因非法放贷而产生的债务,实施故意杀人、故意伤害、非法拘禁、故意毁坏财物、寻衅滋事等行为,构成犯罪的,应当数罪并罚。
[11](2018)川初字第169号刑事判决书。
[16]2019年4月、2019年11月、2019年12月、2020年1月与2020年2月有至少一份协议的更新。
[17]AleeciaM.McDonald&LorrieFaithCranor,TheCostofReadingPrivacyPolicies.4ISJLP560(2008).
[18]《合同法》第三十九条:采用格式条款订立合同的,提供格式条款的一方应当遵循公平原则确定当事人之间的权利和义务,并采取合理的方式提请对方注意免除或者限制其责任的条款,按照对方的要求,对该条款予以说明。格式条款是当事人为了重复使用而预先拟定,并在订立合同时未与对方协商的条款。
[19]《合同法》第四十条:格式条款具有本法第五十二条和第五十三条规定情形的,或者提供格式条款一方免除其责任、加重对方责任、排除对方主要权利的,该条款无效。
[20]贺栩栩:《<合同法>第40条后段(格式条款效力审查)评注》,载《法学家》2018(6)。
[21]胡建淼主编:《中国现行行政法律制度》,24页,中国法制出版社出版,2011。
[25]目前,我国在个人金融信息保护问题上的监管框架包含若干个规范性文件,可归纳为“一法三办法”,分别为:《网络安全法》,《数据安全管理办法(征求意见稿)》、《信息安全技术个人信息安全规范(征求意见稿)》、《信息安全技术数据出境安全评估指南(征求意见稿)》和《个人金融信息(数据)保护试行办法(征求意见稿)》、《中国人民银行金融消费者权益保护实施办法(征求意见稿》。2020年2月13日央行发布了新的金融行业标准——《个人金融信息保护技术规范》,从技术标准角度对上述框架进一步支撑和完善。
[28]刘宪权、陈罗兰:《我国P2P网贷平台法律规制中的刑民分界问题》,载《法学杂志》2017(6)。