我國目前並未出台專門針對網路爬蟲技術的法律規範,但在司法實踐中,相關判決已屢見不鮮,K 哥特設了“K哥爬蟲普法”專欄,本欄目通過對真實案例的分析,旨在提高廣大爬蟲工程師的法律意識,知曉如何合法合規利用爬蟲技術,警鐘長鳴,做一個守法、護法、有原則的技術人員。 案情介紹 據魔蝎科技官網(現已無法打開)介 ...
我國目前並未出台專門針對網路爬蟲技術的法律規範,但在司法實踐中,相關判決已屢見不鮮,K 哥特設了“K哥爬蟲普法”專欄,本欄目通過對真實案例的分析,旨在提高廣大爬蟲工程師的法律意識,知曉如何合法合規利用爬蟲技術,警鐘長鳴,做一個守法、護法、有原則的技術人員。
案情介紹
據魔蝎科技官網(現已無法打開)介紹,魔蝎科技成立於2016年,是國內領先的大數據智能風控服務供應商,其將人工智慧、大數據、區塊鏈、雲計算等前沿技術,深度應用於反欺詐、智能決策、信用分析等多個金融風險管理服務領域,對外提供風險分析、反欺詐、多維度用戶畫像、授信評分等多維度風險管理服務。曾為上千家金融機構、網貸平臺等提供大數據風控服務,曾系金融科技行業頭部企業。
2019年之前,魔蝎公司等大數據風控公司一度野蠻生長,其運營模式通常為通過網路爬蟲技術獲取數據信息,而後對數據進行分析使用,用於為下游提供大數據風控服務。
2019年9月6日,據爆料,杭州西湖分局集結200餘名警力,對涉嫌侵犯公民個人信息的魔蝎科技進行統一抓捕。抓獲涉案人員120餘名,凍結資金2300餘萬元,勘驗固定伺服器1000餘台,扣押電腦100多台,手機200餘部。
從事金融科技行業多年的資深人士透露,被查原因很可能與違規使用爬蟲數據以及暴力催收有關。
網路爬蟲原本是指平臺按照一定規則,自動從互聯網上提取網路信息的程式或腳本。但近年來,由於一些爬蟲技術被應用於“套路貸”的暴力催收上,而被推向風口浪尖。
據金融科技領域人士稱,彼時現金貸行業流行一個“風控奇招”——用一款被稱為"同業爬蟲"的產品,直接將其他現金貸平臺的放款額和風控數據扒出來,相當於別家代為做了風控。
比如魔蝎科技員工介紹,只需提供其他現金貸平臺的用戶名和密碼,"同業爬蟲"就可以爬取用戶的基本信息、銀行卡信息、職業、聯繫人、貸款記錄、理財信息等,成功率在85%以上。
曾有大數據公司的相關負責人表示,“我們本身不生產數據,也不買賣數據。所有的數據都是由客戶授權,我們收的只是技術服務費用。”
但在徵信行業從業者看來,用戶授權並非就為爬蟲業務披上了合法的外衣,過度爬取和不明使用信息的現象仍十分普遍。一些第三方數據公司會把爬取的信息存儲或緩存下來,再對外提供數據服務,就已經違法了;如果涉及到買賣數據,更是觸犯刑法。
法院審理查明,魔蝎科技會將其開發的前端插件嵌入網貸平臺APP中。網貸平臺用戶使用網貸平臺的App借款時,需要在魔蝎科技提供的前端插件上輸入其通訊運營商、社保、公積金、淘寶京東、學信網、徵信中心等網站的賬號、密碼。
經過用戶授權後,魔蝎科技的爬蟲程式即代替用戶進入其個人賬戶,利用各類爬蟲技術,爬取(複製)上述企、事業單位網站上貸款用戶本人賬戶內的通話記錄、社保、公積金等各類數據,並按與用戶的約定提供給網貸平臺用於判斷用戶的資信情況,並從網貸平臺獲取每筆0.1元至0.3元不等的費用。
儘管魔蝎科技在和個人貸款用戶簽訂的《數據採集服務協議》中明確告知,“不會保存用戶賬號密碼,僅在用戶每次單獨授權的情況下採集信息”,但其仍在伺服器上採用技術手段長期保存用戶各類賬號和密碼。截至2019年9月案發時,以明文形式非法保存的個人貸款用戶各類賬號和密碼條數多達2000萬餘條。
根據兩高《關於辦理侵犯公民個人信息刑事案件適用法律若幹問題的解釋》,非法獲取、出售或者提供行蹤軌跡信息、通信內容、徵信信息、財產信息50條以上即可入罪。
判決情況
- 魔蝎科技以其他方法非法獲取公民個人信息,情節特別嚴重,其行為已構成侵犯公民個人信息罪,判處罰金人民幣三千萬元;
- 被告人周某某犯侵犯公民個人信息罪,判處有期徒刑三年,緩刑四年,並處罰金人民幣50萬元;
- 被告人袁某犯侵犯公民個人信息罪,判處有期徒刑三年,緩刑三年,並處罰金人民幣30萬元;
- 扣押於公安機關的作案工具電腦等予以沒收,被告單位杭州魔蝎數據科技有限公司退繳至本院的違法所得款人民幣三千萬元予以沒收,並上繳國庫。
案例分析
魔蝎科技的入罪原因,是在數據收集環節未經社保、公積金、運營商等平臺授權爬取個人信息,同時未經用戶授權的情況下非法長期保存用戶各類賬號和密碼在自己租用的阿裡雲伺服器上,還為套路貸系統平臺提供風險控制及催收支撐服務,還將非法獲取的公民個人信息出售給其他多個套路貸犯罪團夥,為其提供風控服務和催收支持,非法牟利,爬蟲本無罪,罪在用途。
魔蝎科技依據《數據採集服務協議》獲取貸款用戶的賬號密碼,在未經被爬取方同意的情況下,利用爬蟲技術手段,採取“模擬登陸”方式,獲取伺服器中所存儲貸款用戶數據的行為,可能構成未經授權進入被爬取方的電腦信息系統,從而觸犯"非法獲取電腦信息系統罪"或"侵犯公民個人信息罪",不過在本案中法院對此未做出否定性評價。
近年來魔蝎科技、新顏科技、公信寶、聚信立、天翼徵信、同盾科技等多家頭部大數據風控公司,相繼被查,均因涉嫌侵犯公民個人信息罪被刑事立案,相關公司高管被採取刑事強制措施,多家知名公司都已經主動或被動地停止了相關爬蟲業務,前車之鑒,企業應當審視自身爬蟲相關業務的商業模式存在的違法可能,關係到用戶個人敏感信息,一旦被盜取或濫用,很可能流入非法金融借貸團夥手中,極易引發黑灰產風險。
對於侵犯公民個人信息罪的罰金數額,《最高人民法院、最高人民檢察院關於辦理侵犯公民個人信息刑事案件適用法律若幹問題的解釋》第十二條明確規定,“一般在違法所得的一倍以上五倍以下” ,從上述判決情況中可以看到,魔蝎科技被追繳的違法所得為三千萬元,同時還被判處同等數額的罰金,這意味著,公司一旦觸犯此罪名,所退賠的違法所得和罰金的總額,至少為違法產品營業收入的兩倍,上述多家互聯網公司、大數據公司,由於對自身數據處理的商業模式違法性認識錯誤,觸犯法律紅線而最終無法經營,與公民個人信息相關,一定要做好合法性及風險評估,切忌抱有僥幸心理!
