我國目前並未出台專門針對網路爬蟲技術的法律規範,但在司法實踐中,相關判決已屢見不鮮,K 哥特設了“K哥爬蟲普法”專欄,本欄目通過對真實案例的分析,旨在提高廣大爬蟲工程師的法律意識,知曉如何合法合規利用爬蟲技術,警鐘長鳴,做一個守法、護法、有原則的技術人員。 案情介紹 2018年1月至7月期間,咼某興 ...
我國目前並未出台專門針對網路爬蟲技術的法律規範,但在司法實踐中,相關判決已屢見不鮮,K 哥特設了“K哥爬蟲普法”專欄,本欄目通過對真實案例的分析,旨在提高廣大爬蟲工程師的法律意識,知曉如何合法合規利用爬蟲技術,警鐘長鳴,做一個守法、護法、有原則的技術人員。
案情介紹
2018年1月至7月期間,咼某興通過SQL註入漏洞以及編寫爬蟲腳本的方式,侵入電腦信息系統,獲取電腦系統記憶體儲的大量數據,其中涉及到個人信息的數量約為1500萬餘條,該將其獲取的個人信息通過QQ銷售給“Versace”、“同花順”、“FF”、“糖果”等人,從中獲利約54萬餘元。
公訴機關認為,咼某興違反國家規定,侵入電腦信息系統,獲取該電腦系統中存儲的數據,情節特別嚴重,其行為觸犯了《中華人民共和國刑法》第二百八十五條第二款,應當以非法獲取電腦信息系統數據罪追究其刑事責任。
咼某興對被指控的罪名無異議,但辯稱起訴書指控的數量有異議,其只用了20多萬條信息;對指控的入侵方式有異議,SQL技術不是入侵技術,爬蟲技術只能獲取網站頁面的信息不能入侵系統或獲取數據。
供述情況
被告人咼某興的辯護人的主要辯護意見:
1.被告人獲取電腦信息系統數據使用的SQL註入漏洞是常見的黑客技術,被告人所獲取的信息多為網站上公開的信息,只是將SQL方式作為一種收集手段、採用爬蟲腳本具備合法性;
2.對起訴書指控涉及個人信息數量1500萬餘條有異議。獲取的電腦信息系統數據有部分無效數據、涉案信息數據存在重覆性、非法獲利與涉案信息數量不對應;
3.對指控被告人獲利54萬元有異議,被告人通過爬蟲腳本獲得信息銷售所得利益應屬合法收益,應予以扣除;
4.被告人主動交代犯罪事實,認罪悔罪態度好,犯罪情節較輕,願意繳納罰金,建議對其適用緩刑。
法院認為,被告人咼某興違反國家規定,侵入電腦信息系統,獲取該電腦系統中存儲的數據,情節特別嚴重,其行為已構成非法獲取電腦信息系統數據罪,公訴機關指控成立。
關於被告人及其辯護人所提對起訴書指控涉及個人信息數量1500萬餘條有異議,部分電腦信息系統繫數據系無效數據且存在重覆計算問題的辯解和辯護意見,本院認為,公訴機關對被告人獲取的信息進行重新梳理,合理推斷出1500萬餘條個人信息,能夠識別特定自然人身份或者反映特定自然人活動情況,故對該項辯解及辯護意見,本院不予採納。
關於被告人及其辯護人所提獲取電腦信息系統數據使用的SQL註入漏洞只是一種收集手段、採用爬蟲腳本具備合法性,獲取的信息多為網站上公開的信息的辯解和辯護意見,本院認為,被告人使用SQL註入漏洞以及編寫爬蟲腳本的方式侵入電腦信息系統,獲取電腦系統記憶體儲的大量數據,其中涉及到個人信息的數量達到約1500萬餘條,並非網站頁面信息,故對該項辯解及辯護意見,本院不予採納。
關於辯護人所提對指控被告人獲利54萬元有異議,應扣除被告人通過爬蟲腳本獲得的合法信息收入的辯護意見,本院認為,被告人通過編寫爬蟲腳本的方式非法入侵電腦信息系統,獲取電腦系統內儲存的信息並出售所得系違法收入,應計入違法所得,故對該項辯護意見,本院不予採納。
關於辯護人所提被告人主動交代自己的犯罪事實,認罪悔罪態度好的辯護意見,本院認為,被告人辯稱其使用SQL註入漏洞以及編寫爬蟲腳本的方式均未入侵到電腦系統,獲取的只是網站頁面信息,不屬於如實供述自己的罪行,故對該項辯護意見,本院不予採納。
判決情況
被告人咼某興犯非法獲取電腦信息系統數據罪,判處有期徒刑五年,並處罰金人民幣二萬元。對被告人咼某興違法所得人民幣54萬元依法予以追繳或責令退賠。
判決文書全文:
反思總結
法院以咼某興未經網站授權,利用特定網站的漏洞,使用 SQL 註入漏洞以及編寫爬蟲腳本的方式侵入電腦信息系統,獲取電腦系統記憶體儲的大量數據,其中涉及到個人信息的數量達到約1500萬餘條,且並非網站頁面信息為由認定了該行為的非法性,我們先來瞭解下 SQL 註入和網路爬蟲的基本原理:
- SQL 註入:當我們訪問動態網頁時, Web 伺服器會向數據訪問層發起 SQL 查詢請求,如果許可權驗證通過就會執行 SQL 語句。這種網站內部直接發送的 SQL 請求一般不會有危險,但實際情況是很多時候需要結合用戶的輸入數據動態構造 SQL 語句,如果用戶輸入的數據被構造成惡意 SQL 代碼,Web 應用又未對動態構造的 SQL 語句使用的參數進行審查,導致其傳入的“數據”拼接到 SQL 語句中後,被當作 SQL 語句的一部分執行,可能會導致資料庫受損(被脫庫、被刪除、甚至整個伺服器許可權陷)。
- 網路爬蟲:網路爬蟲又稱網路蜘蛛、網路機器人,它是一種按照一定的規則自動瀏覽、檢索網頁信息的程式或者腳本,網路爬蟲能夠自動請求網頁,並將所需要的數據抓取下來,通過對抓取的數據進行處理,從而提取出有價值的信息,高水準者可 ”所見即所得“,意為只要是能看的內容就能爬取到,重點在於採集的都是正常用戶能瀏覽到的內容。
所以侵入電腦信息系統並不是爬蟲所能做到的事,資料庫層面的滲透亦或是攻擊應當是通過 SQL 註入實施的,而法院將編寫爬蟲腳本列為咼某興侵入電腦信息系統的方式之一,是因為非法獲取電腦信息系統數據罪與侵犯公民個人信息罪是法條競合的關係,指一個犯罪行為同時觸犯數個具有包容關係的具體犯罪條文,依法只適用其中一個法條定罪量刑的情況。不論是如咼某興辯護中所述其利用爬蟲技術採集的是某些網站上公開的個人信息,亦或是利於 SQL 註入技術滲透進資料庫,再利用爬蟲批量採集個人信息,這都是觸犯了法律的 “紅線” 的,理論上看,爬蟲作為一項網路信息搜索技術,具有技術中立性,並未被我國現行法律所明令禁止,但是在司法實務中,“技術中立原則” 的適用是有邊界的,如果使用技術的人用以危害社會,利用技術手段實施犯罪行為,則不因 “技術中立原則” 而免除刑事責任,如果涉及的是公民個人信息,基於特別法條優先於普通法條的原則,咼某興的行為,適用於侵犯公民個人信息罪,對於公民個人信息數據一定要慎之又慎!
需要註意的是,一些網站會採取反爬措施,包括封 IP、封賬號、JS 參數加密、代碼混淆、瀏覽器指紋、TLS 指紋、驗證等,以增加爬蟲程式資源的成本,更有企業積極開發反爬蟲技術以限制網路爬蟲的訪問許可權,繞過網站反爬蟲措施獲取數據屬於違背權利人意願讀取、收集數據,將有較大可能被認定為對電腦信息系統的 “侵入”,進而以非法獲取電腦系統數據罪定罪處罰。對於 “侵入” 的理解:在以往判例中,司法機關主要基於以下兩種路徑判定對電腦信息系統的 “侵入”:一是無用戶身份的侵入,即通過盜取、破解密碼等方式進入系統;二是超許可權訪問的侵入,即具有合法用戶身份,但超越自身授權範圍訪問信息資源。
信息公開不等同於數據公開,對於爬蟲工程師來說,並不需要去釐清概念背後的區別與聯繫,只是在業務開展中需要樹立風險防範意識,貿然爬取公開可見的信息仍會存有一定刑事風險,仔細甄別所要爬取的數據類型,謹慎處理包含公民個人信息、商業秘密等內容的信息,希望大家凡事三思而後行,老話長談,謹記一點,公司是老闆的,自由是自己的,法律是不容觸犯的!
