数字化转型是全球经济增长的重要引擎，在数字化进程不断推进的今天，数字资源已经成为企业的争夺地，而数据的获取则是数据流通、使用的起点。

相较于行业头部企业已经在初期完成了数据积累，许多中小信息网络企业只能寄求于爬虫技术来获取数据以获得生存和发展的机会。网络爬虫，又称为网页蜘蛛，是一种按照一定的规则，自动地抓取万维网信息的程序或脚本。简单来说，网络爬虫是一种数据收集技术，其可在短时间内检索并抓取目标网页的大量数据，并且这种收集行为可以绕过或突破数据的拥有者。爬虫技术本身是中立性质的，但使用网络爬虫获取数据的行为则因侵入对象、数据性质等因素而可能产生刑事风险，本文正是对此进行探讨。

一、因侵入手段、对象特征而引起的刑事风险类型

网络爬虫的本质在于获取数据，获取数据则依托于对计算机信息系统的侵入，如因侵入的对象、手段具有可罚性，则侵入行为可能构成犯罪。

（一）非法侵入计算机信息系统罪

运用网络爬虫技术获取数据的必要前提是对计算机信息系统的侵入行为，如果侵入的对象为“国家事务、国防建设、尖端科学技术领域的计算机信息系统”，则因损害了国家对相关数据的保护法益，侵入行为可能构成非法侵入计算机信息系统罪。在这种情况下，即使侵入行为并未导致对应计算机信息系统的破坏，也未导致数据的泄露，但仍会因行为对象的特殊性而构成犯罪。

（二）提供侵入、非法控制计算机信息系统程序、工具罪

当行为人明知他人意图侵入、非法控制计算机信息系统实施犯罪行为，仍为其犯罪行为提供网络爬虫技术服务，如果提供数量、违法所得及造成损失数额等达到情节严重标准时，则构成该罪。本罪名与帮信罪类似，具有一定的兜底性质。换言之，如果提供专门性工具行为的作用较大，行为人参与程度较深，也完全有可能与下游犯罪构成共同犯罪。

（三）破坏计算机信息系统罪

网络爬虫技术的运用并不代表对爬取对象的破坏，但如果获取数据的方式依靠于破坏性访问，使用爬虫侵入计算机信息系统后恶意删除数据、删除系统功能，导致计算机信息系统瘫痪、崩溃等不能运行状态，则行为可能构成破坏计算机信息系统罪。当然，绝大多数网络爬虫技术并不能达到破坏目标对象的程度，而且技术精湛的行为人也完全可以在不对数据网站造成破坏的情况下即达到爬取数据的目的，因此本罪在使用爬虫技术行为上的适用并不普遍。

二、因被爬取数据的性质而引起的刑事风险

如上所述，网络爬虫技术属于中立，其本身不具有任何违法性。并且，在刑法典尚未对网络爬虫行为类型进行明确规范的情况下，单纯使用爬虫技术违反爬虫协议，突破、绕过他人设置的防护措施获取数据的行为并不当然具有刑事违法性。换言之，数据的保密性并非刑法所保护的法益，而只有当数据本身代表了所有/占有者的财产性利益或者其他受刑法保护的法益时，爬取数据行为才可能构成相应犯罪。

（一）侵犯公民个人信息罪

由于数据在很多时候都以个人信息的形式呈现，因此数据犯罪大多与侵犯公民个人信息罪产生关联。关于公民个人信息的定义及范围，《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第1条的规定进行了明确：“‘公民个人信息’，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”

问题的关键在于如何界定清楚合法处理公民个人信息的边界。根据《个人信息保护法》，“知情同意”规则是他人实施收集、存储、使用、加工、传输、提供、公开、删除等处理活动的合法性基础，除非特殊情况，否则绕开这一规则获取公民个人信息的行为都系非法。

例如，在北京智借网络科技公司、贤某某侵犯公民个人信息罪一案中，被告单位在从事业务过程中收集被害人姓名、身份证号、手机号等个人信息，后未取得被害人授权的情况下，向下游多家公司出售上述信息，行为已构成侵犯公民个人信息罪。

再如，在吴某、刘某侵犯公民个人信息罪一案中，三被告人使用爬虫程序爬取深圳市某薇科技有限公司电商小程序中的客户资料，包括客户姓名、电话、收件地址等交易订单信息在内的客户信息共计1107925条，并通过暗网火币网用虚拟货币USTD等交易方式变卖获利，判决认定行为人的行为已构成侵犯公民个人信息罪。

从上述两个案例可以看出，只有在数据提供者即公民本人知情且同意的情况下，处理此类信息才系合法，使用网络爬虫技术获取此类信息，不仅需要被爬取数据的企业同意，更需征得数据提供者的“二次同意”。

此外，还需探讨的一个问题是，爬取已公开的个人信息是否存在刑事风险。从定义上来说，公民个人信息并不以隐私性作为特征，因此即使相关信息已经公开，但仍可能因为能够识别特定自然人这一特征而被归于“公民个人信息”，例如按照相关规定公开的企业公示信息，如行为人将其中的个人信息使用爬虫技术收集后出售，就可能构成侵犯公民个人信息罪。但由于此类数据已公开，故单纯对此进行收集、整理并自用的行为并不会构成犯罪，否则将违背数据流通的基本原则，实践中也没有类似案例。

（二）侵犯著作权罪

数字化进程直接的体现就在于越来越多的作品以网络数据的形式呈现在公众面前，如电子书、视频资源等。如未经著作权人许可，使用爬虫技术采集复制他人作品并通过信息网络传播，则行为可能构成侵犯著作权罪。例如，2019年最高检保护知识产权典型案例之十三——安徽许某、王某侵犯著作权案中，被告人租用服务器，采用爬虫软件，未经著作权人授权，采集复制他人文字作品上传至其个人运营的网站供读者免费阅读以增加读者点击量，并通过收取广告联盟的广告费非法获利，行为被判决认定构成侵犯著作权罪。

除文字作品外，视频资源也同理认定。如王某杰利用爬虫技术即通过解析网站的网页源代码，编写对应的程序，将未经著作权人授权许可的电影、电视剧、综艺、动漫等各类视频资源以及淫秽主播视频表演等视频链接到“酷奇XX视频”网站内吸引网上观众浏览观看，该行为被法院判决认定构成侵犯著作权罪。

当然，并非只要爬取到著作权信息就构成犯罪，必须考虑是否侵犯他人著作权法益，如果仅是通过爬虫技术复制他人作品而并未发行、出版、出售，仅供自用，则自然不构成该罪。

（三）侵犯商业秘密罪

企业数据通常无法表现为商业秘密，但如果企业数据兼具《反不正当竞争法》第9条规定的价值性、保密性、秘密性等特征，则爬取该类数据的行为就面临着刑事入罪风险。《刑法修正案（十一）》在侵犯商业秘密罪的行为模式中新增“电子侵入”，网络爬虫技术的使用正是形式之一。

需要注意的是，侵犯商业秘密罪的实行行为并非获取，而是披露、使用或允许他人使用，并给权利人造成了重大损失，因此，仅爬取他人商业秘密而未予使用，或者未造成损失，则不构成该罪。

（四）非法获取计算机信息系统数据罪

根据《刑法》第285条第2款的规定，违反国家规定，侵入除国家事务、国防建设、尖端科学技术领域的计算机信息系统以外的计算机信息系统，获取数据的，构成非法获取计算机信息系统数据罪。本罪是涉数据犯罪中的多发罪名，从司法实践来看，纵观本罪案例，均具有同一特征，即涉案被爬取数据无法评价为企业财物、知识产权或商业秘密等。首先，该类数据虽具有一定的商业经济价值，但这些数据主要服务于企业的生产经营或者提高企业的市场竞争力，而非用于价值交换，并且其并不具有与货币、黄金等类似的在价值上的直接性、确定性，因此其无法评价为刑法意义上的“财产”。此外，该类数据也无法适用商业秘密的保护条款，因为企业数据大多来源于民众或者政府公开，企业只是收集整理者，而非创造者，故该类数据不具有商业秘密所要求的秘密性。

本罪最早设立于《刑法修正案（七）》，其立法动机在于规制非法获取他人虚拟财产如Q币、游戏币等计算机信息系统数据的行为，因该些数据并不符合刑法中“财物”定义，适用盗窃罪评价并不准确，故增设该罪以适用该情形。从立法目的即可看出，本罪具有一定的兜底性质，在具体适用上，也正如有学者提出：“只有非法获取数据的行为侵害了传统法益或具有侵害传统法益的危险，又无法依据侵犯著作权等传统罪名进行保护时，才可依据非法获取计算机信息系统数据罪定罪处罚。”换言之，尽管企业数据可能不具有上文提到的识别性、财产性及秘密性特征，但通常却具有一定的商业价值，该罪名也可以兜底适用，因此利用爬虫技术获取此类数据仍具有刑事入罪风险。

根据《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》的规定，非法获取数据的行为造成的损害达到1万元或者获利5000元，就可达到非法获取计算机信息系统罪的入罪标准。例如，在林某平等非法获取计算机信息系统数据一案中，被告单位使用破解验证码、绕开挑战登录等方式破解某公司的反爬取措施，使用爬虫技术非法获取“某”网站的房源数据，并将非法获取的房产数据存放在自己的服务器中供自设APP调用，并向该APP用户收取会员费盈利。自2019年10月至案发，被告单位的上述行为给某公司造成直接损失共计人民币10万余元。后被告单位及实际控制人、工程师等均被判决认定构成非法获取计算机信息系统数据罪。

综上所述，“强化数据资源全生命周期安全保护”是数字转型、发展的重要保障，所谓全生命周期主要包括数据的供给、流通和使用三个环节。数据获取是开发、使用以及交易数据的起点，因此作为信息网络公司，必须重视获取数据的刑事合法性，避免在源头上污染整条数据生命线。