2024年1月23日发(作者：)

非法获取计算机信息系统数据罪的理解与适用

entalWebCrawler），即实时监测网站数据更新，从而爬取网站中最新更新出来的数据。此类场景事实上也是为了完成特定的信息收集，属于特定信息收集场景的延伸。

从上述爬虫应用场景来看，爬虫的核心目的是为了方便互联网信息的浏览和收集，爬虫本身并不具有违法性。正如所有的技术手段都具有两面性一样，爬虫程序也存在被滥用的情况，甚至被用于违法乃至犯罪行为。

这就需要对爬虫涉及的刑法罪名进行深度解析，从而在遏制犯罪的同时，防止刑法适用的扩大，从而影响技术手段的正常应用，降低社会经济效率。

二、爬虫行为所涉罪名

由于爬虫行为的目的是获取有关信息，因此，爬虫行为首先要访问一定的信息系统，然后获取信息系统记录的信息，获取的信息可能是公民个人信息也可能是其他信息。据此，从访问结果的角度看，如果获取的是公民个人信息，且获取过程具有非法性，则可能涉及到侵犯公民个人信息罪；而如果从获取过程的角度看，如果关注的是访问行为本身的合法与否，则会涉及非法获取计算机信息系统数据罪。当然，如果明知爬虫程序用于非法目的而提供，则可能构成提供侵入、非法控制计算机信息系统的程序、工具罪。

本文所引用案例中，涉及的罪名为非法获取计算机信息系统数据罪。由于本文主要聚焦于爬虫行为技术措施的法律认定，且爬虫行为在适用非法获取计算机信息系统数据罪方面极易产生理解的偏差，故对于爬虫行为可能涉及的其他刑法罪名不做表述。

1、非法获取计算机信息系统数据罪客观方面的界定

我国《刑法》第二百八十五条关于非法获取计算机信息系统数据罪的客观方面的具体表述为违反国家规定，侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，情节严重的。

该条规定中，对于什么是侵入或采用其他技术手段？并没有做出界定。这是该罪名在适用时面临的一个难题。

而在《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》中，对于非法获取计算机信息系统数据罪客观方面中侵入的特征，也未予以明确。但该司法解释第二条对提供侵入、非法控制计算机信息系统程序、工具罪中用于侵入的程序、工具的表述为具有避开或者突破计算机信息系统安全保护措施，未经授权或者超越授权获取计算机信息系统数据的功能的。参考该条款，可以认为非法获取计算机信息系统数据罪客观方面中的侵入应当具备的特征包括避开或者突破计算机信息系统安全保护措施，未经授权访问或访问危害了计算机信息系统的安全。但该司法解释对于什么是其他技术手段，同样并没有做出界定。

2、非法获取计算机信息系统数据罪的法益分析

该罪名在《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》中，被列入危害计算机信息系统安全犯罪。由此可见，该罪名设置的目的主要是维护国家对于计算机信息系统安全的管理秩序，保护的法益是信息系统的安全。

对于特定计算机信息系统的控制者而言，第三方访问信息系统，并获取信息系统所承载信息，存在民事法律利益的判断和刑事法益的判断。如果访问方法不危害信息系统安全，则只涉及民事法律利益，即民事的财产权利或竞争法的权益。而访问方法危害信息系统安全，则可能涉及刑事法的法益。与民事法律关注信息系统内容物不同的是，刑事法律关注的主要是信息系统的安全。爬虫行为是否影响了信息系统安全，应成为判断爬虫刑事违法性的基础。

然而，什么样的访问行为会危害计算机信息系统的安全，《刑法》与《计算机信息系统安全司法解释》并未给出清晰的界定。

三、计算机信息系统安全的内涵

从《司法解释》的立法本意来看，其目的是保护计算机信息系统的安全。因此，对于信息系统安全的内涵进行解析，将是认定非法获取计算机信息系统数据罪的前提。什么是安全？什么样的行为会被认定为危害了计算机信息系统的安全？

《刑法》第二百八十五条对于罪名的表述包含两个路径，其一是侵入+获取数据；其二是其他技术手段+获取数据。罪名表述中，对于侵入并无明确界定。但参考《司法解释》第二条对提供侵入、非法控

制计算机信息系统程序、工具罪中用于侵入的程序、工具做了表述。考虑到这些程序和工具的目的是实施侵入，因此，司法解释关于第二条的表述可作为侵入行为的参考认定标准。该条款对于工具的表述为：具有避开或者突破计算机信息系统安全保护措施，未经授权或者超越授权获取计算机信息系统数据的功能的。

据此，侵入行为可以概括为避开或突破计算机信息系统安全保护措施，而其他技术手段，也应具有避开或突破计算机信息系统安全的功能，或与侵入具有同等的危害程度。综上，信息系统安全的界定，成为罪名认定的关键。

笔者认为，计算机信息系统安全，是具有特定含义的，不能将计算机信息系统安全的概念扩大和泛化。关于安全的定义，当前并无专门的法律法规及技术规范予以界定。但是，从一些规则的内容可以间接推导出安全的内涵。

1、《网络安全法》对于安全的定义

《网络安全法》并无安全的直接定义，但是，该法第二十一条间接对安全做了描述。该条款规定，国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

基于此，可以看出，安全包括：不被被干扰和被破坏、不允许未经授权的访问、不发生网络数据泄露或被窃取及篡改。

2、《信息安全等级保护管理办法》的界定

《信息安全等级保护管理办法》没有直接定义安全，而是采用了信息系统遭受破坏后造成的损失，来定义安全等级。系统破坏对公民、法人、社会利益、国家利益造成的损失越大，其信息系统安全等级保护的要求越高。而在公安部2021年6月27日发布的《网络安全等级保护条例》中，则将该条款中的损失进行了具体化的界定，以信息系统遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后造成的损失来定义安全等级。

3、安全的几个要素

基于上述法律、规章及法规征求意见稿的归纳，笔者认为，计算机信息系统安全的几项重要内涵如下：

其一、自主访问控制

即信息系统的控制者，能够决定访问控制策略，让合法许可的用户访问系统，而将非授权用户挡在系统访问之外。

其二、身份鉴别机制

对于经过授权的特定用户，能够通过用户身份与登陆密码等控制措施进行有效的身份鉴别。

其三、数据的安全完整

信息系统安全的核心是数据安全，通过自主访问控制策略与身份鉴别机制，保护系统数据的安全及完整，不被篡改、窃取、泄露。

综上，从立法的本意看，突破了系统控制者的自主访问控制策略，并破坏了以用户名加密码方式构建的身份识别体系，进入计算机信息系统，方能被认为属于危害计算机信息系统安全的行为，或者被视为

侵入。具体而言，可能包括利用相关工具破解特定用户的登陆密码，或者利用系统漏洞，进入了未开放的系统。

四、常见的反爬虫措施

很多网站为了防范非正常用户获取数据，一般或采取如下措施实施反爬虫。

1、IP校验

由于网页或APP页面信息具有公开性，无法通过自主访问控制策略和用户名加密码的身份识别机制识别正常用户和竞争对手，很多网站经营者通过行为模式对访问者进行识别。其中IP校验就是一种识别方法，通过该种方法识别非正常访问者，并通过技术措施封杀该IP的访问。爬虫程序通过多服务器或者采用虚拟服务器，即可绕过该种措施的识别。

2、UA校验

UA的中文表述为用户代理，它是发起访问方的识别标识之一，通常表现为一个特殊字符串头，使得被访问方服务器能够识别客户使用的操作系统及版本、CPU类型、浏览器及版本、浏览器渲染引擎、浏览器语言、浏览器插件等。通过UA的校验，可以识别出来访IP属于正常用户还是机器。因此，通过程序仿造UA是爬虫程序绕过反爬虫措施的常用方法。

3、验证码校验

如果时正常用户，识别图形验证码非常容易，而如果是机器用户，识别图形验证码将比较困难，采用这种方式，也可以起到反爬虫的作

用。但随着技术发展，验证码机制的作用也在下降。

从以上措施可以看出，反爬虫措施的核心不在于允许哪些特定用户访问。而在于，面对不特定用户均可自由访问的情况下，识别出正常用户和非正常的商业用户。反爬虫程序的针对目标是竞争对手，保护的是竞争利益，而不是刑法保护的网络安全的法益。

五、绕过反爬虫措施的刑法意义

如上一部分所述，只有突破了特定用户身份鉴别机制的未授权访问才应该被视为危害信息系统的侵入行为。那么，网站通常采用的一些反爬虫措施，是否属于信息系统安全措施范围呢？抑或只应被界定为民事范畴的防范竞争者侵权的措施？笔者认为，反爬虫措施的界定，与爬虫程序的信息爬取方式有关。

1、破解系统登陆密码或利用系统安全漏洞的爬虫行为

此种情况下，无论是破解登陆密码还是利用安全漏洞进入非开放系统，本质都是违反了系统控制者的自主访问控制策略和身份鉴别机制。系统控制者的本意是允许特定注册用户在权限内访问非开放系统，而破解行为和利用漏洞访问的行为，都超越了系统控制者的访问控制策略。该种爬虫行为具有刑法上的违法性，应按照非法获取计算机信息系统数据罪予以处理。

2、绕过反爬虫措施的行为

如本文所列举的案例中，法院认定，被告单位主要采取了绕过反爬虫措施实施数据爬取。法院所认定的违法行为包括：在数据抓取的过程中使用伪造device_id绕过服务器的身份校验，使用伪造UA及

IP绕过服务器的访问频率限制。

笔者认为，device_id只是设备的识别号，并不具有用户名加密码的识别意义。因此，伪造device_id如果是为了让反爬虫措施无法识别，本身并不具有刑法上的违法性。由于该判决书对于如何伪造device_id并未进一步论述，被告是否通过冒用用户ID并破解密码等方式进行未经授权的访问，从判决书并无法得知。如果仅仅是设备ID的变换，并不具有特定的刑法意义。

而伪造UA及IP绕过服务器的访问频率限制，由于其保护的目标不是信息系统安全，而是防范不正当竞争的权益，因此属于竞争法范畴的不当措施，并不具有刑法上的违法性。

综上，笔者认为，爬虫程序本身具备技术中立性。一般情况下，公开的网页或APP页面，如果仅仅采用了UA校验、IP校验等方式实施反爬虫，那么爬虫程序对于页面公开内容的访问和数据获取，本身不具有刑事违法性。但是，如果爬虫程序在实施访问时，采用破解用户密码或利用系统安全漏洞，访问了非公开的系统，则应按照非法获取计算机信息系统数据罪论处。如果侵入系统后，获取的是公民个人信息，则涉及与侵犯公民个人信息罪的竞合问题。当然，由于本文主要针对非法获取计算机信息系统数据罪，对于侵犯公民个人信息罪不做展开论述。

非法获取计算机信息系统数据罪的理解与适用

行为人使用小果平台，小果苹果有相应的技术手段，可以通过批量识别、接收验证码等方式，帮助行为人批量修改自己拥有的QQ号

码的密码、批量或解绑绑定手机号码。办案机关指控的罪名是非法获取计算机信息系统数据罪。

到底行为人是否构成非法获取计算机信息系统数据罪？手机验证码、用户对自己拥有的QQ的密码到底是否属于该罪规制的数据呢？该罪规制的数据的范围包括哪些？不包括哪些呢？是否指所有的数据，还是指一些值得刑法进行保护的有重大法益的数据？

一、该罪中数据的内涵和本质

1、从立法背景资料可以看出，数据指账号、密码等信息，而该罪是为了防止行为人窃取不属于自己的、属于他人的账号、密码等信息。

立法背景资源显示，我国《刑法》颁布后，有部分提出一些不法分子利用技术手段非法侵入我国《刑法》第285条以外的计算机信息系统，窃取他人账号、密码等信息，对这类严重违法行为应当予以犯罪化。①可见，该罪主要是保护信息系统中的账号、密码等信息安全。

同时，参与我国《刑法》制定的工作人员发表的文献指出，该罪中的获取包括从他人计算机信息系统中窃取，如直接侵入他人计算机信息系统，秘密复制其中的信息，也包括骗取，如设立假冒网站，骗取用户输入账号、密码等信息。②

2、从司法解释的规定来看，数据主要指跟网络金融服务有关的身份认证信息以及其他身份认证信息。

《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第十一条第二款：本解释所

称身份认证信息，是指用于确认用户在计算机信息系统上操作权限的数据，包括账号、口令、密码、数字证书等。

《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第一条：非法获取计算机信息系统数据或者非法控制计算机信息系统，具有下列情形之一的，应当认定为刑法第二百八十五条第二款规定的情节严重：获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的；获取第项以外的身份认证信息五百组以上的；非法控制计算机信息系统二十台以上的；违法所得五千元以上或者造成经济损失一万元以上的；其他情节严重的情形。

3、从数据的法律属性来分析，只有具有法益保护价值、且重要性跟身份认证信息相当的数据才能认定为该罪的数据。

以上司法解释第一条第一款第一项规定的支付结算、证券交易、期货交易等网络金融服务的身份认证信息不仅直接关系到他人的财产方面的隐私权益，而且危险到财产安全。特别是如果这种信息被财产犯罪分子掌握，后果更是不言自明。因此，这些信息具有重大的法益保护价值，达到了需要刑法来保护的程度。

以上司法解释第一条第一款第二项规定的其他身份认证信息或关系到财产或虚拟财产等财产性权益，或关系到他人的个人信息安全，具有重大的值得刑法保护的法益。同时这些信息的重要程度和可能造成的损失小于网络金融服务的身份认证信息，所以两者在够罪标准上对数据的数量要求是不一样的。

从法律属性来分析，如果要适用以上司法解释第一条第一款第五项规定的其他情节严重的情形，认定身份认证信息以外的信息为该罪的数据，那么该信息本身应当是有价值的，而且其重要性达到了需要刑法保护的程度，跟以上身份认证信息的重要性相当。

但在司法实践中，数据法律属性的判断则需深入考察法益实质，较难操作而被实务部门束之高阁，其结果是部分非法获取网络数据的行为在缺乏应有的法益判断后直接被评价为非法获取计算机信息系统数据罪

4、该罪保护的是数据安全，其内涵包括数据的保密性、完整性、可用性，排除行为人侵犯他人的数据。

2021年出台的我国《网络安全法》第10条的表述是维护网络数据的完整性、保密性和可用性。

数据的保密性，即免受未授权人获悉；数据的完整性，即免受无权篡改；数据的可用性，即权利人可随时无障碍的利用。③

5、从法益侵害、常情常理及立法目的的角度来看，数据必然是他人自己的数据或他人无权获取的数据，而不可能是行为人自己的数据或行为人有权获取的数据。

行为人获取并利用属于自己的数据或自己有权获取的数据，这是属于行为人的权利，这是行为人在行使自己的权利，这无疑是受到法律保护的。这样的行为也没有损害社会或他人的合法权益，这样的行为只会促进社会经济生活的开展。因此，这样的行为不可能是犯罪行为，因为没有任何社会危害性。

如果权利人都无权获取或使用自己有权利获取的数据，那么不仅不合常理，会影响正常的社交或经济生活，而且这些数据会失去存在的意义和必要。

而非法获取计算机信息系统数据中的立法目的就是为了防止行为人获取不属于自己而属于他人的重要数据。

6、数据本身不会因为行为人使用利用平台的技术手段批量获取而非法，利用平台的技术手段批量获取本身也不一定是非法。

如果行为人利用平台的技术手段批量获取属于自己的或自己有权利获取的数据，没有从实质上损害其他任何主体的利益过国家的利益，那么说明这种行为没有对他人或社会产生社会危害性。没有社会危害性的行为不可能是犯罪行为。

同时，没有相关的国家规定去限制公民通过技术手段批量获取属于自己的数据。因为这种行为不会影响或损害其他主体的利益，国家也没有出台规定去限制的必要。

二、不属于该罪规制的数据的范围

1、客观上没有价值的信息

如果该信息的有无不会影响权利人的任何利益，那么该信息不可能成为国家动用刑法去保护的信息。因为其社会危害性达不到刑罚处罚的程度。

2、通过公共渠道可以获知的信息。

如果该信息是通过公共渠道可以获知的信息，那么说明该信息是公开的信息，是不专属于他人的信息，因此，不需要也无必要动用刑

法去保护。

3、行为人自己的信息。

如前所述，不再赘述。

4、重要性达不到需要刑法保护的信息

只有具有法益保护价值、且重要性跟身份认证信息相当的数据才能认定为该罪的数据。

周翊嫀律师写于2021年4月10日

①参见高铭暄：《中华人民共和国刑法的孕育诞生与发展完善》，北京大学出版社2021年版，第513页。

②参见郎胜主编《中华人民共和国刑法释义》，法律出版社2021年版，第490页。

③参见徐育安：《资讯风险与刑事立法》，载《台北大学法学论刊》2021年第91期。