“网络爬虫”引发的数据合规治理路径探索
作者:赵化律师 访问次数:298 时间:2022/06/26
近年来,大数据凭借其强大的算法与算力正在悄然改变我们的世界,与此同时,数字化转型背景下所衍生出的数据侵权、网络犯罪问题也日益显见。本文,笔者将结合上海首例由“网络爬虫”引发的数据合规案件,与读者共同探讨数据合规治理的方法与路径。涉案A企业是一家为本地生活商户提供数字化转型服务的互联网大数据公司,该公司涵盖在线开店、市场营销等多项业务,拥有10余项计算机软件著作权,还曾被评为高新技术企业。2019年至2020年,为运营需要,在未经授权许可的情况下,该公司首席技术官陈某和多名技术人员通过‘外爬’‘内爬’等技术手段,非法获取某外卖平台数据,A公司和陈某等人均构成非法获取计算机信息系统数据罪。2021年8月,检察机关向A公司制发合规检察建议。10月,第三方监督评估正式启动。鉴于本案涉及“网络爬虫”等数据合规专业领域,故检察机关商请第三方监督评估机制管委会从专类名录库中抽取了由网信办、某知名互联网安全企业和产业促进社会组织人员组成的第三方组织,全程监督 A公司数据合规工作,督促构建有效整改体系。2022年初,A公司经第三方监督评估合格。4月28日,在上海疫情防控最关键的时候,检察机关以远程方式对本案召开公开听证会,最高检亦邀请全国人大代表参与旁听。结合听证情况,检察机关于5月10日对A公司开展不起诉“云宣告”。网络爬虫,又称“网络蜘蛛”(Web Crawler),是一种按照一定的规则自动抓取万维网信息的程序或者脚本。互联网时代,网络爬虫最大的意义在于高效地获取数据,并对数据进行解析、存储。那些老老实实抓取数据的爬虫被认为是“好爬虫”,而无视规则任意抓取数据的爬虫则被视作“坏爬虫”。当然,所谓一物降一物,随着爬虫技术的兴起,反爬虫技术也随之应运而生。诞生于1994年的“网络爬虫排除标准”(Robots Exclusion Protocol),又称Robots协议(“爬虫协议”)是现今国际互联网界通行的道德规范。其遵循的原则在于搜索技术应服务于人类,同时尊重信息提供者的意愿,并维护其隐私权;而网站有义务保护其使用者的个人信息和隐私不被侵犯。作为网络爬虫访问网站时要查看的第一个文件,网站通过Roberts协议告知搜索引擎哪些页面可以抓取,哪些页面不能抓取。好比说Robots协议就是主人在房间门口悬挂的“请勿打扰”或“欢迎进入”的提示牌,告诉来访的搜索引擎哪些房间可以进入和参观,哪些房间因为存放贵重物品或可能涉及住户隐私而不对搜索引擎开放。但需要指出的是,Robots协议本身不具有强制性,换言之,Robots协议“防君子却难防小人”。当行为人实施恶意爬虫不当访问、干扰网站正常运营、非法获取数据等行为造成严重危害结果的,应当承担相应的法律责任。目前,我国司法实践中,对于网络爬虫的法律规制主要集中在《刑法》、《反不正当竞争法》和《网络安全法》中。其中,刑事法律规制主要体现在对计算机信息系统、公民个人信息、著作权等条文中,且主要评价数据的爬取行为和爬取数据的使用行为。第一,明知没有授权而故意避开或强行突破网站或APP的反爬虫技术设置进行的爬取行为,属于“未经授权”访问或获取数据。根据我国《刑法》规定,突破技术屏障入侵他人计算机系统、获取系统内的数据,可能涉及的罪名包括非法侵入计算机信息系统罪、非法获取计算机信息系统数据罪、破坏计算机信息系统罪、拒不履行信息网络安全管理义务罪。此外,根据爬取对象的特殊性,我国《刑法》形成了一套以数据信息法益保护为核心的罪名体系。如果爬取的对象涉及国家安全、国防利益,则有可能构成非法获取国家秘密、情报罪以及非法获取军事秘密罪等;如果利用爬虫技术非法获取公民个人信息,还可能触犯侵犯公民个人信息罪。第二,对于使用爬取的数据实施的犯罪行为,《刑法》也予以特别规制。如对获取的信息数据加以传播、利用或改造,有可能涉及非法传播淫秽物品罪、侵犯商业秘密罪、侵犯著作权罪等。司法实践中使用行为多种多样,需要结合具体案情综合认定。本案中,检察机关一方面引导公安机关固定、鉴定公司“爬虫”程序及云服务器数据,明确“爬虫”运行模式、被爬取数据属性等关键事实;另一方面,深入调查核实被害企业数据防护措施、直接经济损失认定等问题,补充完善证据锁链。最终,认定A公司、陈某某等人构成非法获取计算机信息系统数据罪。我国《刑法》第285条第2款规定,行为人违反国家规定,侵入除国家事务、国防建设、尖端科学技术领域以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,达到情节严重标准的,构成非法获取计算机信息系统数据罪,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。经调查,检察机关认为A公司爬取的数据未涉及身份认证信息,没有二次兜售牟利等行为,犯罪情节较轻,主观恶性较小。同时,鉴于A公司属于成长型科创企业,陈某等人均认罪认罚,积极赔偿被害公司经济损失并取得谅解,最终,检察机关认定其具备依法启动涉案企业合规考察的条件。2021年6月3日,最高人民检察院联合司法部、国家市场监督管理总局、全国工商联等九部委研究制定了《关于建立涉案企业合规第三方监督评估机制的指导意见(试行)》(以下简称“《指导意见》”)。根据该《指导意见》,同时符合下列条件的涉企犯罪案件的,可以视情况适用涉案企业合规第三方监督评估机制,具体而言:一是涉案企业、个人认罪认罚;二是涉案企业能够正常生产经营,承诺建立或者完善企业合规制度,具备启动第三方机制的基本条件;三是涉案企业自愿适用第三方机制。2022年4月19日,全国工商联、最高人民检察院等九部委联合发布《涉案企业合规建设、评估和审查办法(试行)》(以下简称“《办法》”),进一步明确了涉案企业合规的操作方法。具体包括三方面:第一,涉案企业合规建设,是指涉案企业针对与涉嫌犯罪有密切联系的合规风险,制定专项合规整改计划,完善企业治理结构,健全内部规章制度,形成有效合规管理体系的活动;第二,涉案企业合规评估,是指第三方监督评估组织(以下简称第三方组织)对涉案企业专项合规整改计划和相关合规管理体系有效性进行了解、评价、监督和考察的活动;第三,涉案企业合规审查,是指负责办理案件的人民检察院对第三方组织的评估过程和结论进行审核。如果说涉案企业合规建设是合规活动的基础,那么涉案企业合规评估无疑是检验合规建设成效的试金石,而专项合规整改计划和相关合规管理体系的“有效性”才是评估的重点,也为如何开展合规建设指明了方向,具体包括:一是对涉案合规风险的有效识别、控制;二是对违规违法行为的及时处置;三是合规管理机构或者管理人员的合理配置;四是合规管理制度机制建立以及人力物力的充分保障;五是监测、举报、调查、处理机制及合规绩效评价机制的正常运行;六是持续整改机制和合规文化已经基本形成。对于涉案企业合规建设经评估符合有效性标准的,人民检察院可以参考评估结论依法作出不批准逮捕、变更强制措施、不起诉的决定,提出从宽处罚的量刑建议,或者向有关主管机关提出从宽处罚、处分的检察意见。笔者认为,当涉案企业自愿认罪认罚且具备开展合规建设的条件时,应当尽最大努力来争取适用涉案企业合规第三方监督评估机制。如果涉案企业经过有效的合规建设最终能通过合规考察的,检察机关则有望对其作出不起诉决定,这对涉案企业和个人而言均大受裨益。回顾本案,不难发现,在涉案企业的合规治理中,刑事律师具有天然的竞争优势及作为空间。第一,如果在案件侦查或审查阶段即担任涉案企业辩护人,则应当引导企业做好认罪认罚、退赃或赔偿被害人(单位)损失,并向检察机关积极争取适用涉案企业合规第三方监督评估机制,一旦进入该机制,律师的身份将由“辩护人”无缝衔接为“合规顾问”,在帮助涉案企业进行合规建设的同时,亦能站在企业的立场维护企业的合法权益。第二,如果得知检察机关向涉案企业制发合规检察建议,并决定启动第三方监督机制,则律师可寻求机会以“合规顾问”的身份介入其中,其优势在于刑事律师具备较丰富的刑事专业知识与经验,能迅速切入涉案刑事犯罪,并引导涉案企业积极配合检察机关及第三方评估机构完成合规评估与审查,提供全流程法律服务,最终层层过关完成“合规之旅”。 针对科创型企业的数据合规治理,律师在担任“合规顾问”时,首先,要代表涉案企业向检察机关提交合规考察启动申请书,签署《认罪认罚意向书》、《自愿开展刑事合规工作承诺书》;第二,帮助企业以切实的行动停止犯罪行为,例如:彻底销毁相关“爬虫”程序及源代码,对非法获取的涉案数据进行无害化处理;第三,分析公司现有治理结构与商业模式、引发犯罪的内外部原因,形成《合规自查报告》;第四,帮助企业制定专项的《数据合规整改计划》,并严格按照合规承诺推进执行,例如:帮助公司解决数据来源合法化问题,通过与相关平台签订数据交互协议,使公司与平台之间API数据接口完成直连,实现从“爬取数据”到“以合法方式购买数据”的转变;第五,帮助企业加强数据安全和合规文化建设,建立数据合规长效机制,复制、移植和平台之间的合作模式,有条件的还可以与大型互联网企业达成数据合作协议。此外,在合规考察期间,合规顾问要尽全力协助合规监管人和检察机关的监管工作,针对其提出的要求,逐一给出针对性的整改反馈。合规考察结束后,要配合检察机关对合规效果进行验收评估,期间,合规顾问还要提交一份企业合规不起诉的辩护意见,对企业完成合规整改的有效性予以充分论证,已经做到去犯罪化,并形成依法依规的商业模式,亦可适当列举企业经过整改其规模及营收增长情况。最后,在公开听证环节做好充分准备,针对合规监管委员会的提问做到有效回应,最终为企业赢得不起诉决定。结语:未来,涉案企业合规治理将是推动刑事立法轻刑化的重要举措。而伴随大数据时代的到来,越来越多的数据安全问题也将浮出水面,对此,律师服务要结合数据合规专业特性,做好辩护人的同时胜任合规顾问一职,从而保障企业发展,护航数字经济。
