論數(shù)據(jù)抓取法律風(fēng)險(xiǎn)的流程化管理

饒傳平

內(nèi)容摘要：網(wǎng)絡(luò)爬蟲能夠高效抓取數(shù)據(jù)，是釋放數(shù)據(jù)價(jià)值的重要手段?，F(xiàn)行立法過于碎片化，難以有效規(guī)制不法爬蟲、引導(dǎo)正當(dāng)爬蟲的使用；司法對(duì)網(wǎng)絡(luò)爬蟲侵入性的認(rèn)定具有擴(kuò)大化傾向，阻礙了數(shù)據(jù)的正常流通與合理使用。就法律而言，網(wǎng)絡(luò)爬蟲是一種能夠自動(dòng)化收集并存儲(chǔ)數(shù)據(jù)的技術(shù)?！盎陲L(fēng)險(xiǎn)的方法”在網(wǎng)絡(luò)數(shù)據(jù)治理中得到廣泛應(yīng)用，利用該方法規(guī)制數(shù)據(jù)抓取技術(shù)具有正當(dāng)性與可行性。通過既有案例歸納數(shù)據(jù)抓取場景中不同爬蟲的行為樣態(tài)，并依據(jù)影響對(duì)象和影響程度為其匹配不同風(fēng)險(xiǎn)等級(jí)， 構(gòu)建爬蟲抓取數(shù)據(jù)法律風(fēng)險(xiǎn)的流程化管理框架，形成基于風(fēng)險(xiǎn)的合規(guī)和基于風(fēng)險(xiǎn)的監(jiān)管，為數(shù)據(jù)處理者和監(jiān)管者提供一個(gè)具體的風(fēng)險(xiǎn)管理指南。

關(guān)鍵詞：網(wǎng)絡(luò)爬蟲數(shù)據(jù)抓取風(fēng)險(xiǎn)管理自動(dòng)化數(shù)據(jù)治理合規(guī)

中圖分類號(hào)：DF41 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1674-4039-（2023）06-0028-42

網(wǎng)絡(luò)爬蟲能夠高效收集所需數(shù)據(jù)，是釋放數(shù)據(jù)價(jià)值的重要技術(shù)手段，在各行業(yè)不同場景中得到廣泛應(yīng)用。與此同時(shí)，由于缺少對(duì)正當(dāng)爬蟲的引導(dǎo)與對(duì)不法爬蟲的規(guī)制，惡意使用爬蟲侵害他人合法權(quán)益或公共利益的行為屢見不鮮。在既往研究中，對(duì)于爬蟲法律層面的分析停留在競爭法和刑法的框架下。比如，基于反不正當(dāng)競爭的角度將“競爭關(guān)系”和“行為正當(dāng)性”作為爬蟲抓取數(shù)據(jù)行為違法性的核心判斷因素，〔1"〕或基于刑法的角度，通過認(rèn)定行為的“非法性”與行為對(duì)象的“層次性”來劃定爬蟲抓取數(shù)據(jù)的刑事犯罪邊界。〔2"〕但在實(shí)踐中，競爭法與刑法難以全面有效規(guī)制網(wǎng)絡(luò)爬蟲并維持?jǐn)?shù)據(jù)保護(hù)與數(shù)據(jù)流通之間的平衡。近年來，為加快提升數(shù)據(jù)安全和個(gè)人信息保護(hù)，網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法和個(gè)人信息保護(hù)法以及一系列行政法規(guī)相繼出臺(tái)。這些立法的共同之處是均強(qiáng)調(diào)須對(duì)數(shù)據(jù)進(jìn)行“風(fēng)險(xiǎn)管理”，這也是歐盟相關(guān)立法中所提到的“基于風(fēng)險(xiǎn)的方法”的思想。然而，由于風(fēng)險(xiǎn)管理的立法依然具有非結(jié)構(gòu)化、非流程化、非標(biāo)準(zhǔn)化的缺陷，難以為數(shù)據(jù)處理者與監(jiān)管者提供一個(gè)風(fēng)險(xiǎn)識(shí)別與管理的有效工具?；诖?，本文試圖從爬蟲抓取數(shù)據(jù)的技術(shù)原理出發(fā)，識(shí)別不同場景下不同爬蟲行為樣態(tài)中的法律風(fēng)險(xiǎn)，構(gòu)建爬蟲技術(shù)使用全階段法律風(fēng)險(xiǎn)管理的框架，使“基于風(fēng)險(xiǎn)的方法”真正成為可用于實(shí)踐的數(shù)據(jù)保護(hù)工具。

一、規(guī)制爬蟲抓取數(shù)據(jù)的法律困境

目前，對(duì)爬蟲抓取數(shù)據(jù)的立法規(guī)制呈現(xiàn)部門化、碎片化傾向，無法應(yīng)對(duì)不法爬蟲更新快、具有不確定性和復(fù)雜性等技術(shù)特點(diǎn)，由此導(dǎo)致司法實(shí)踐中只能生搬硬套地將相關(guān)法律適用范圍延伸至網(wǎng)絡(luò)治理領(lǐng)域，難以起到良好的治理效果。

（一）立法困境：部門化、碎片化的法律規(guī)范難以有效規(guī)制爬蟲

在早期，反不正當(dāng)競爭法、民法中有關(guān)網(wǎng)絡(luò)空間行為的法律規(guī)定較為籠統(tǒng)，幾乎沒有適用于數(shù)據(jù)抓取爭議案件的具體條款。刑法也無法明確具體地劃出網(wǎng)絡(luò)爬蟲的合法邊界?！?"〕作為不斷革新的數(shù)據(jù)收集技術(shù)手段，網(wǎng)絡(luò)爬蟲具有技術(shù)的發(fā)展性和法律關(guān)系的復(fù)雜性，傳統(tǒng)單一立法難以完全覆蓋。因此，部門化、碎片化的立法對(duì)各類不法爬蟲行為并不能作出全面有效規(guī)制。司法實(shí)踐便不得不將相關(guān)法律條款適用范圍延伸至網(wǎng)絡(luò)治理領(lǐng)域，這不僅違反了技術(shù)中立原則，而且可能造成規(guī)范的重疊與缺漏，最終導(dǎo)致規(guī)則缺乏可行性?！?"〕網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法和個(gè)人信息保護(hù)法等一系列立法相繼引入行政管理理念，〔5"〕這對(duì)維持互聯(lián)網(wǎng)行業(yè)競爭秩序、維護(hù)網(wǎng)絡(luò)數(shù)據(jù)安全和個(gè)人信息安全起到了重要作用，不僅有利于充分發(fā)揮行政機(jī)關(guān)化解矛盾糾紛的“分流閥”作用，同時(shí)為規(guī)制爬蟲抓取行為提供了新的規(guī)范依據(jù)和規(guī)制思路。有學(xué)者認(rèn)為，行政規(guī)制對(duì)網(wǎng)絡(luò)爬蟲的不法行為覆蓋面更廣，能夠?qū)Σ划?dāng)?shù)呐老x行為進(jìn)行有效規(guī)制，亦能引導(dǎo)合法的網(wǎng)絡(luò)爬蟲，達(dá)成“立體化”的規(guī)制效果?！?"〕但本文認(rèn)為，上述立法依然無法有針對(duì)性地有效解決爬蟲亂象。一是，這些立法直接針對(duì)爬蟲行為合法性的界定較少，只是通過行為規(guī)制的方式進(jìn)行引導(dǎo)管理，因此并不能闡明“合法”與“非法”的明確邊界，數(shù)據(jù)處理者缺乏合規(guī)的具體指引；二是，行政規(guī)制難以與刑法規(guī)制相銜接，如果動(dòng)輒適用刑法懲治不法爬蟲行為，則有違刑法的謙抑性要求?！?"〕

考察我國有關(guān)爬蟲規(guī)制的既有立法，可以發(fā)現(xiàn)，其具有明顯的滯后性與被動(dòng)性，對(duì)行為合法與否的認(rèn)定標(biāo)準(zhǔn)依然模糊，難以發(fā)揮法律的指引作用，導(dǎo)致數(shù)據(jù)處理者和監(jiān)管者依然無法可依，這一定程度上阻礙了數(shù)據(jù)的流通與利用。

（二）司法困境：司法擴(kuò)張爬蟲含義阻礙其正當(dāng)使用

在司法實(shí)踐中，爬蟲的含義相較于技術(shù)領(lǐng)域被擴(kuò)大化，其侵入性與“惡性”進(jìn)一步凸顯。尤其是進(jìn)入刑事領(lǐng)域后，數(shù)據(jù)抓取行為違法程度的提高使“網(wǎng)絡(luò)爬蟲技術(shù)”和“爬蟲的侵入性”不斷脫離中立的技術(shù)定義，向更寬泛的概念演進(jìn)，具有從“客觀侵入”到“主觀惡意”轉(zhuǎn)變的趨勢。有學(xué)者將技術(shù)與法律針對(duì)此概念的不對(duì)稱性稱之為爬蟲的“異變”，〔8"〕也有學(xué)者認(rèn)為這體現(xiàn)了技術(shù)層面與法律層面關(guān)于“技術(shù)性標(biāo)準(zhǔn)”和“控制性標(biāo)準(zhǔn)”的差異?！?"〕出于對(duì)法益保護(hù)的目的，司法實(shí)踐更強(qiáng)調(diào)保護(hù)數(shù)據(jù)被抓取方對(duì)數(shù)據(jù)的控制意志，因而違背被抓取方意志抓取數(shù)據(jù)被認(rèn)為具有非法性。而被抓取方的意志在技術(shù)層面體現(xiàn)在為數(shù)據(jù)設(shè)置robots協(xié)議以及反抓取技術(shù)上，在這樣的場景中，突破兩者措施的數(shù)據(jù)抓取行為即可能被法院認(rèn)定為手段不正當(dāng)甚至是對(duì)計(jì)算機(jī)系統(tǒng)的“侵入”。在“全國首例爬蟲入刑”案中，〔10"〕法官將突破用戶身份認(rèn)證與反爬蟲抓取措施相關(guān)聯(lián)，將其認(rèn)定為構(gòu)成對(duì)計(jì)算機(jī)信息系統(tǒng)的“侵入”?！?1"〕從法益保護(hù)而言，侵入類犯罪所保護(hù)的法益是計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)的“機(jī)密性”。有學(xué)者認(rèn)為該案爬蟲抓取的對(duì)象是公開數(shù)據(jù)，難以滿足保護(hù)法益“機(jī)密性”的要求，〔12"〕因?yàn)閱渭兊呐老x技術(shù)只能抓取由后臺(tái)傳輸至前端的數(shù)據(jù)，并不具有侵害計(jì)算機(jī)系統(tǒng)的可能性。但是，該案并非簡單的爬蟲，而是與破解技術(shù)結(jié)合后形成的新的“變異體”?！?3"〕在這種情形下，爬蟲成為其他不法技術(shù)或行為的“背鍋俠”，整個(gè)技術(shù)集合被定義成“惡意爬蟲”，成為一個(gè)新的被法律所否定評(píng)價(jià)的廣義概念。在刑法的擴(kuò)張解釋下，廣義網(wǎng)絡(luò)爬蟲的使用被認(rèn)定為“未經(jīng)授權(quán)”違背被抓取方的意志獲取數(shù)據(jù)，數(shù)據(jù)處理者對(duì)用戶自由訪問的允許并不等同于對(duì)網(wǎng)絡(luò)爬蟲訪問該數(shù)據(jù)的允許，使得對(duì)真實(shí)用戶而言的“公開數(shù)據(jù)”對(duì)爬蟲來說具有了“機(jī)密性”。是否有必要通過刑法保護(hù)該種只對(duì)爬蟲才具有機(jī)密性的數(shù)據(jù)？本文認(rèn)為，該種“公開數(shù)據(jù)”并無刑法需要保護(hù)的“機(jī)密性”法益，但該數(shù)據(jù)有可能涉及數(shù)據(jù)處理者的競爭利益。就技術(shù)而言，突破反抓取技術(shù)手段的風(fēng)險(xiǎn)也與“侵入”計(jì)算機(jī)系統(tǒng)的風(fēng)險(xiǎn)不相當(dāng)。因此，基于刑法的謙抑性精神， 司法實(shí)踐未能充分考慮爬蟲技術(shù)的本質(zhì)特征———模仿真實(shí)用戶的收集數(shù)據(jù)的自動(dòng)化工具，對(duì)爬蟲“侵入性”的擴(kuò)張性認(rèn)定會(huì)放大數(shù)據(jù)處理者的主觀意圖，使技術(shù)層面的使用價(jià)值被壓制，不利于數(shù)據(jù)價(jià)值的挖掘與開發(fā)。

由于爬蟲抓取數(shù)據(jù)的行為難以從反不正當(dāng)競爭法的具體條款中尋求依據(jù)， 因此大部分判決依據(jù)一般條款對(duì)爬蟲抓取后數(shù)據(jù)不當(dāng)使用行為進(jìn)行規(guī)制。典型案例如“酷米客”訴“車來了”案〔14"〕和微博頭條數(shù)據(jù)抓取糾紛案〔15"〕均依據(jù)反不正當(dāng)競爭法第2條認(rèn)定違反robots協(xié)議抓取數(shù)據(jù)具有不正當(dāng)性。問題在于：第一，robots協(xié)議目前僅能構(gòu)成搜索引擎行業(yè)的行業(yè)準(zhǔn)則，并不能解決抓取后數(shù)據(jù)的使用問題。即使遵守robots協(xié)議抓取數(shù)據(jù)，也不意味著抓取方可以對(duì)抓取所得數(shù)據(jù)任意使用。與此同時(shí)，robots協(xié)議的設(shè)置本身也難以具有商業(yè)道德的正當(dāng)性，因?yàn)閞obots協(xié)議并無標(biāo)準(zhǔn)，不能僅因一方的數(shù)據(jù)防抓取意向即認(rèn)定具有正當(dāng)性，否則會(huì)造成抓取方與被抓取方利益失衡，違背反不正當(dāng)競爭法鼓勵(lì)并保護(hù)公平競爭的目的。第二，行業(yè)慣例并不能夠等同于商業(yè)道德。行業(yè)慣例合法性并未確定，行業(yè)慣例也可能是陋習(xí)，即行業(yè)“潛規(guī)則”，〔16"〕良好的行業(yè)慣例應(yīng)以能夠協(xié)調(diào)各方利益的平衡為根據(jù)，而非以遵從者的數(shù)量來確定。〔17"〕因此，訴諸直覺的不正當(dāng)競爭判斷標(biāo)準(zhǔn)并不合理，司法實(shí)踐中應(yīng)盡量避免以道德標(biāo)準(zhǔn)作為判決依據(jù)，應(yīng)關(guān)注行為對(duì)競爭秩序的客觀影響?！?8"〕

二、從技術(shù)到法律：數(shù)據(jù)抓取/反抓取技術(shù)的法律性質(zhì)

要明確網(wǎng)絡(luò)爬蟲的內(nèi)涵和外延，首先要厘清數(shù)據(jù)“爬取（Crawl）”與數(shù)據(jù)“抓?。⊿crap）”的技術(shù)概念及其差異，由此才能進(jìn)一步界定數(shù)據(jù)抓取與反抓取技術(shù)的法律性質(zhì)。

（一）“爬取”與“抓取”概念之辨

就法律而言，數(shù)據(jù)“抓取”與“爬取”在司法文書中均有使用，但并未形成統(tǒng)一用語，“抓取”的使用次數(shù)明顯多于“爬取”。有學(xué)者從行為性質(zhì)的角度對(duì)兩者進(jìn)行區(qū)分， 網(wǎng)頁爬取者是經(jīng)過許可且遵守robots協(xié)議的“善意爬蟲”，網(wǎng)頁抓取者是指能夠破解技術(shù)防范措施的“惡意爬蟲”；〔19（〕亦有學(xué)者從抓取范圍的角度出發(fā)，認(rèn)為數(shù)據(jù)抓取的含義大于數(shù)據(jù)爬取，數(shù)據(jù)抓取不僅包括通過網(wǎng)絡(luò)爬蟲獲取數(shù)據(jù)的技術(shù)手段，還包括應(yīng)用編程接口（API）———一種企業(yè)間數(shù)據(jù)獲取的授權(quán)行為?！?0（〕本文認(rèn)為前者對(duì)網(wǎng)頁抓取者的概念界定得過于狹隘，而后者又?jǐn)U大了數(shù)據(jù)抓取的界限。在API的應(yīng)用情形中，數(shù)據(jù)處理者的數(shù)據(jù)共享行為往往是知情且同意的，由此引起的糾紛通過民法典合同編即可解決，因此API已實(shí)際超出了抓取本身的含義，同時(shí)API技術(shù)與爬蟲技術(shù)的原理完全不同，并非本文的研究對(duì)象。

就詞源而言，網(wǎng)絡(luò)爬蟲基于技術(shù)框架不同有網(wǎng)頁爬取者和網(wǎng)頁抓取者之分。爬取的特點(diǎn)是支持多種數(shù)據(jù)庫，能夠高效抓取網(wǎng)頁；而Scrapy框架較為成熟，能夠提取Web頁面中的結(jié)構(gòu)化數(shù)據(jù)?！?1（〕隨著網(wǎng)絡(luò)爬蟲技術(shù)的不斷完善，兩者之間的差異也越來越小，乃至在技術(shù)領(lǐng)域可以相互替代。就技術(shù)而言，爬取與抓取的工作流程有所不同，“爬取”首先要從一個(gè)初始種子URL開始，通過該網(wǎng)頁存在的URL形成新的URL合集，從而遍歷整個(gè)網(wǎng)絡(luò)；〔22（〕而“抓取”的第一步是請(qǐng)求目標(biāo)網(wǎng)站提供特定URL的內(nèi)容接著對(duì)網(wǎng)頁內(nèi)容進(jìn)行解析和提取，最后一步是下載數(shù)據(jù)并將其保存。由此可以認(rèn)為，“爬取”主要以網(wǎng)頁為目標(biāo)，其目的是聚合大量、全面的信息，因而常常用于搜索引擎中；而“抓取”的工作過程更具有針對(duì)性，主要用于提取特定的數(shù)據(jù)，可以自動(dòng)捕捉到抓取者想要的數(shù)據(jù)信息?！?3（〕爬取與抓取的區(qū)別總結(jié)如下表所示：

由于數(shù)據(jù)資源的爆炸式增長，為了更好滿足網(wǎng)絡(luò)爬蟲使用者的需要，聚焦式網(wǎng)絡(luò)爬蟲由通用網(wǎng)絡(luò)爬蟲演化發(fā)展而生，〔24（〕而在司法領(lǐng)域中更多的糾紛源自非搜索引擎的使用場景。綜上所述，本文的研究將聚焦于“抓取”而非“爬取”。

（二）抓取方：網(wǎng)絡(luò)爬蟲的法律釋義

有學(xué)者認(rèn)為，爬蟲按照指定的規(guī)則循環(huán)遍歷網(wǎng)頁中的內(nèi)容并下載所需數(shù)據(jù)到本地，其本質(zhì)是一套高效的下載系統(tǒng)?！?5（〕從技術(shù)角度而言，該定義與現(xiàn)行法律術(shù)語存在不一致，極易帶來司法適用上的混亂。為使技術(shù)分析與法律術(shù)語相統(tǒng)一，本文認(rèn)為，應(yīng)將網(wǎng)絡(luò)爬蟲定義為一種能夠自動(dòng)化收集并存儲(chǔ)數(shù)據(jù)的技術(shù)。

“自動(dòng)化”體現(xiàn)在：地址解析的循環(huán)性；請(qǐng)求發(fā)送的自動(dòng)性；數(shù)據(jù)獲取的高效性。網(wǎng)絡(luò)爬蟲通過循環(huán)解析URL（Uniform（resource（locator，同一資源定位符）來獲取數(shù)據(jù)，而URL是完全開放的，實(shí)際是在模仿普通用戶正常發(fā)送數(shù)據(jù)請(qǐng)求，〔26（〕隨后等待服務(wù)器向其傳輸數(shù)據(jù)并在客戶端抓取數(shù)據(jù)。網(wǎng)絡(luò)爬蟲可以自動(dòng)地不斷發(fā)送數(shù)據(jù)請(qǐng)求，因此比普通用戶從網(wǎng)頁上直接獲取信息的效率高得多。但也基于此，部分網(wǎng)絡(luò)爬蟲可以被數(shù)據(jù)被抓取方識(shí)別出來。

“收集存儲(chǔ)”體現(xiàn)在：使用網(wǎng)絡(luò)爬蟲的目的是下載所需數(shù)據(jù)到本地。有學(xué)者認(rèn)為爬蟲是網(wǎng)站的主要數(shù)據(jù)“采集”方式，然而數(shù)據(jù)采集的客體不僅包含網(wǎng)絡(luò)數(shù)據(jù)，還包括從傳感器和其他待測設(shè)備等模擬和數(shù)字被測單元中自動(dòng)采集的數(shù)據(jù)?！?7#〕顯然網(wǎng)絡(luò)爬蟲的抓取對(duì)象并非來自傳感器或真實(shí)世界的數(shù)據(jù)，數(shù)據(jù)僅經(jīng)歷了設(shè)備之間的“復(fù)制性”轉(zhuǎn)移，若使用“采集”一詞則會(huì)造成抓取客體范圍的擴(kuò)大化。網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法和個(gè)人信息保護(hù)法關(guān)于數(shù)據(jù)的獲取均使用“收集”一詞，考慮到法律條例及其適用的語義一致性，本文認(rèn)為“收集”比“采集”更為恰當(dāng)。同時(shí)，網(wǎng)絡(luò)爬蟲在循環(huán)遍歷網(wǎng)絡(luò)數(shù)據(jù)時(shí)會(huì)將所需數(shù)據(jù)下載到本地，該下載行為即可定義為“存儲(chǔ)”。

（三）反抓取方：robots協(xié)議與反抓取技術(shù)措施的法律性質(zhì)

從網(wǎng)站來講，網(wǎng)絡(luò)爬蟲的惡意使用不僅增加了服務(wù)器數(shù)據(jù)泄露的風(fēng)險(xiǎn)，也增加了網(wǎng)站運(yùn)營成本，因此越來越多的網(wǎng)站采取反爬蟲手段來遏制網(wǎng)絡(luò)爬蟲的濫用。數(shù)據(jù)被抓取方對(duì)網(wǎng)絡(luò)爬蟲的應(yīng)對(duì)與防范即反抓取手段，主要包括robots協(xié)議和反抓取技術(shù)措施。

robots協(xié)議是規(guī)范網(wǎng)絡(luò)爬蟲抓取行為的非強(qiáng)制性“君子協(xié)議”，其存在或生效與否，不影響網(wǎng)站數(shù)據(jù)的公開狀態(tài)，也不會(huì)對(duì)執(zhí)意抓取的爬蟲帶來技術(shù)上的障礙。有學(xué)者認(rèn)為爬蟲逐漸表現(xiàn)出其手段的競爭性特征，由于越來越多的數(shù)據(jù)抓取方以不勞而獲、“搭便車”的態(tài)度利用網(wǎng)絡(luò)爬蟲收集數(shù)據(jù)，因此被抓取者往往將其視為商業(yè)競爭工具?！?8#〕

目前，我國法律并沒有明確規(guī)定robots協(xié)議的法律屬性，僅旨在提高搜索引擎服務(wù)行業(yè)水平的《互聯(lián)網(wǎng)搜索引擎服務(wù)自律公約》第7條規(guī)定，互聯(lián)網(wǎng)平臺(tái)應(yīng)遵守robots協(xié)議，第8條規(guī)定互聯(lián)網(wǎng)站所有者設(shè)置限制性機(jī)器人協(xié)議時(shí)應(yīng)有正當(dāng)合理的理由。在司法實(shí)踐中，有關(guān)robots協(xié)議的爭議主要體現(xiàn)為三種場景，一是被抓取方未設(shè)置robots協(xié)議，二是被抓取方不正當(dāng)設(shè)置robots協(xié)議，三是抓取方違反robots協(xié)議。在浙江泛亞公司訴百度一案中，〔29#〕法院將泛亞公司未設(shè)置robots協(xié)議的行為視作允許被搜索引擎抓取的“默示許可”。同樣，在美國Field訴Google一案中，〔30#〕法院認(rèn)為Field并未設(shè)置爬蟲協(xié)議來告知Google一方不得抓取數(shù)據(jù)，即推定為對(duì)Google網(wǎng)頁快照行為的默示許可。在奇虎360訴百度不正當(dāng)競爭案件中， 〔317〕法院認(rèn)為百度通過設(shè)置robots協(xié)議白名單的形式來限制360進(jìn)行抓取的行為具有不正當(dāng)性，不僅損害了360一方的利益，也損害了消費(fèi)者的利益，同時(shí)百度一方未能就其限制行為提供合理正當(dāng)?shù)睦碛?，不符合自律公約的相關(guān)約定，違反了誠實(shí)信用原則和互聯(lián)網(wǎng)搜索行業(yè)公認(rèn)的商業(yè)道德。從抓取方的角度來說， 法院在大眾點(diǎn)評(píng)訴百度案中認(rèn)為，robots協(xié)議不能解決數(shù)據(jù)使用行為的合法性判定問題。〔32#〕總而言之，目前司法實(shí)踐中將“未設(shè)置robots協(xié)議”的行為認(rèn)定為被抓取的默示許可，且認(rèn)定“設(shè)置robots協(xié)議”時(shí)應(yīng)當(dāng)有合理、正當(dāng)理由，但并未直接將“違反robots協(xié)議”的行為等同于違反商業(yè)道德或行業(yè)準(zhǔn)則。

反爬蟲技術(shù)措施是指通過區(qū)分爬蟲訪問和真實(shí)用戶訪問，排除非真實(shí)用戶訪問的技術(shù)手段。〔33#〕IP訪問量限制、Session#訪問量限制、User-Agent7限制以及設(shè)置登錄驗(yàn)證碼都屬于常見的反爬措施?！?47〕與robots協(xié)議相比，反爬蟲技術(shù)更具強(qiáng)制性，后者更體現(xiàn)了數(shù)據(jù)提供者的“強(qiáng)保護(hù)意愿”。〔357〕司法實(shí)務(wù)中將突破反爬蟲技術(shù)措施抓取數(shù)據(jù)的行為認(rèn)定為具有“侵入”性，如在首例爬蟲入刑案中，法院將繞過身份驗(yàn)證的行為定義為具有侵入性，抓取方構(gòu)成非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪。〔36#〕

三、網(wǎng)絡(luò)爬蟲行為規(guī)制的路徑選擇：基于風(fēng)險(xiǎn)的流程化管理

本文認(rèn)為，規(guī)制不法爬蟲技術(shù)的有效途徑是引入“基于風(fēng)險(xiǎn)的方法”。該方法的本質(zhì)是對(duì)技術(shù)復(fù)雜性和風(fēng)險(xiǎn)多樣性的規(guī)制，并在實(shí)質(zhì)上為爬蟲的合法性劃定一條新邊界，要求數(shù)據(jù)處理者基于風(fēng)險(xiǎn)的方法形成有效的自我合規(guī)模式，監(jiān)管者則應(yīng)基于風(fēng)險(xiǎn)的方法制定標(biāo)準(zhǔn)和監(jiān)管體系。

（一）數(shù)據(jù)抓取適用“基于風(fēng)險(xiǎn)的方法”的正當(dāng)性

首先，數(shù)據(jù)抓取技術(shù)的固有特征滿足基于風(fēng)險(xiǎn)方法的適用前提。爬蟲技術(shù)不斷更新迭代具有復(fù)雜性、多樣性，新技術(shù)可能造成的損害不能被證明是必然發(fā)生的，這是適用基于風(fēng)險(xiǎn)的方法的前提。因此，基于風(fēng)險(xiǎn)的方法可以有針對(duì)地對(duì)傳統(tǒng)規(guī)范難以評(píng)價(jià)的新技術(shù)進(jìn)行管理與規(guī)制，即基于風(fēng)險(xiǎn)的數(shù)據(jù)保護(hù)理念對(duì)風(fēng)險(xiǎn)的防范預(yù)設(shè)了更有效和情境化的數(shù)據(jù)保護(hù)， 而不僅僅是基于合規(guī)的規(guī)定性框架?！?7#〕換言之，基于風(fēng)險(xiǎn)的方法將使數(shù)據(jù)保護(hù)從形式保護(hù)轉(zhuǎn)變?yōu)閷?shí)質(zhì)保護(hù)，依據(jù)不同等級(jí)的風(fēng)險(xiǎn)課以數(shù)據(jù)處理者相應(yīng)的義務(wù)，從而得以在二者之間進(jìn)行相應(yīng)的風(fēng)險(xiǎn)分配。

其次，基于風(fēng)險(xiǎn)的方法能夠體現(xiàn)場景完整性理論的一般原理。Helen#Nissenbaum提出了著名的場景完整性理論?！?8#〕基于風(fēng)險(xiǎn)的方法同樣要求考慮不同場景下的技術(shù)使用目的、方式和對(duì)象，考慮數(shù)據(jù)處理的性質(zhì)、范圍、場景與目的，和數(shù)據(jù)處理對(duì)人權(quán)自由的影響概率和風(fēng)險(xiǎn)程度，數(shù)據(jù)處理者應(yīng)采用合理的技術(shù)措施，保證數(shù)據(jù)處理行為符合條例的規(guī)定。在“告知-同意”原則流于勾畫復(fù)選框的現(xiàn)狀之下，從數(shù)據(jù)流動(dòng)能否促進(jìn)重要價(jià)值或目的實(shí)現(xiàn)的角度，在數(shù)據(jù)保護(hù)的實(shí)踐中劃出一條實(shí)質(zhì)性的界線；在利用爬蟲抓取數(shù)據(jù)的場景之下，應(yīng)考慮抓取方收集數(shù)據(jù)的目的、性質(zhì)和范圍等因素判斷正當(dāng)性，從而應(yīng)對(duì)被抓取方robots協(xié)議形同虛設(shè)的現(xiàn)狀。

最后，基于風(fēng)險(xiǎn)的方法的本質(zhì)是對(duì)技術(shù)風(fēng)險(xiǎn)的規(guī)制，具有目的同一性。數(shù)據(jù)保護(hù)是對(duì)多樣復(fù)雜的技術(shù)可能引發(fā)的風(fēng)險(xiǎn)的控制，基于風(fēng)險(xiǎn)的方法是在既有的數(shù)據(jù)權(quán)利保護(hù)方案之上的拓展。技術(shù)的發(fā)展不僅擴(kuò)大了計(jì)算機(jī)系統(tǒng)安全的潛在威脅，更使人權(quán)尤其是隱私權(quán)置于風(fēng)險(xiǎn)之中。但與此同時(shí)，不應(yīng)將對(duì)隱私權(quán)的保護(hù)和數(shù)據(jù)保護(hù)混為一談?！?9#〕數(shù)據(jù)保護(hù)的目的是防止包括隱私權(quán)在內(nèi)的各項(xiàng)權(quán)利被侵害，也是有效防止新技術(shù)所引發(fā)的各項(xiàng)風(fēng)險(xiǎn)。Mayer8Sch觟nberger證實(shí)了這一假設(shè)，他認(rèn)為數(shù)據(jù)保護(hù)在其成立時(shí)是一種風(fēng)險(xiǎn)監(jiān)管制度，數(shù)據(jù)保護(hù)的治理規(guī)范則是針對(duì)特定技術(shù)的立法。因此，制定了大量復(fù)雜的程序來控制和規(guī)范技術(shù)的使用，旨在不同階段有效控制數(shù)據(jù)處理潛在的風(fēng)險(xiǎn)?！?08〕爬蟲屬于數(shù)據(jù)自動(dòng)收集的技術(shù)手段，僅僅從技術(shù)形式進(jìn)行合法性判斷易產(chǎn)生更多規(guī)避手段，這也是我國刑事領(lǐng)域爬蟲的侵入性含義擴(kuò)張化的原因之一，基于風(fēng)險(xiǎn)的方法可以極大程度上避免該種技術(shù)規(guī)避行為。

（二）數(shù)據(jù)抓取適用“基于風(fēng)險(xiǎn)的方法”的可行性

首先，基于風(fēng)險(xiǎn)的方法能夠彌補(bǔ)現(xiàn)行法律規(guī)制爬蟲的滯后性。以形式合法的方式劃定數(shù)據(jù)處理技術(shù)的合法性邊界，難以有效遏制爬蟲造成的損害后果，且不利于爬蟲的正當(dāng)使用。不少學(xué)者已經(jīng)意識(shí)到此種局限性，蘇宇認(rèn)為可以利用行政規(guī)制的立體化治理能力引導(dǎo)爬蟲技術(shù)的合理利用；〔41#〕孫禹認(rèn)為可以引入形式合規(guī)的理念，確保合法的爬蟲技術(shù)不受形式規(guī)制的干擾；〔42#〕朱崢認(rèn)為應(yīng)以內(nèi)部管理型機(jī)制為基點(diǎn)，通過橫向和縱向的體系化構(gòu)建對(duì)爬蟲失范行為進(jìn)行規(guī)制?！?3#〕這表明，學(xué)界已經(jīng)認(rèn)識(shí)到事后救濟(jì)模式在數(shù)據(jù)與技術(shù)治理上的不足，視角逐漸擴(kuò)展到社會(huì)控制、行政規(guī)制、內(nèi)部規(guī)制等治理模式。采取傳統(tǒng)權(quán)利的保護(hù)路徑難以實(shí)現(xiàn)促進(jìn)數(shù)據(jù)流通與共享的目標(biāo)，而公法規(guī)制專注于治理造成嚴(yán)重后果的不法爬蟲，不能作為常態(tài)化的治理手段。相比之下，基于風(fēng)險(xiǎn)的方法要求數(shù)據(jù)處理者對(duì)數(shù)據(jù)處理行為的風(fēng)險(xiǎn)進(jìn)行動(dòng)態(tài)評(píng)估，側(cè)重預(yù)防數(shù)據(jù)處理過程中產(chǎn)生的數(shù)據(jù)安全風(fēng)險(xiǎn)，基于不同風(fēng)險(xiǎn)等級(jí)配置相應(yīng)的合規(guī)措施并科學(xué)配置監(jiān)管資源，因而塑造了數(shù)據(jù)處理者與監(jiān)管者之間的義務(wù)與責(zé)任關(guān)系，將規(guī)制重心從數(shù)據(jù)處理完成后轉(zhuǎn)移至數(shù)據(jù)處理過程當(dāng)中，同時(shí)場景化的風(fēng)險(xiǎn)劃分方式能夠有效應(yīng)對(duì)未來技術(shù)發(fā)展的靈活性?！?4#〕

其次，基于風(fēng)險(xiǎn)的方法能夠針對(duì)不法爬蟲行為隱蔽性的特征，更加公平合理地分配數(shù)據(jù)處理風(fēng)險(xiǎn)。第一，爬蟲使用者是技術(shù)的控制者，也是數(shù)據(jù)的控制者，有更多的技術(shù)能力對(duì)該數(shù)據(jù)處理行為進(jìn)行風(fēng)險(xiǎn)控制；第二，數(shù)據(jù)安全風(fēng)險(xiǎn)來自爬蟲行為，且爬蟲使用者從該數(shù)據(jù)處理活動(dòng)中獲得利益，理應(yīng)承擔(dān)數(shù)據(jù)安全風(fēng)險(xiǎn)；第三，可以倒逼被爬取方完善數(shù)據(jù)合規(guī)行為，建立更加完備的數(shù)據(jù)安全合規(guī)體系。那么，將更多的合規(guī)義務(wù)賦予爬蟲使用者是否會(huì)阻礙數(shù)據(jù)流通的效率？ 當(dāng)爬蟲使用者面臨不確定、不明晰的爬蟲法律規(guī)范時(shí)，意味著數(shù)據(jù)處理行為風(fēng)險(xiǎn)的不確定性，正如懸在程序員頭上的達(dá)摩克利斯之劍，基于風(fēng)險(xiǎn)的方法貫穿整個(gè)數(shù)據(jù)生命周期，從數(shù)據(jù)處理行為全流程的角度將風(fēng)險(xiǎn)情景化、具體化，這使得爬蟲使用者要以最大程度和最高效率設(shè)計(jì)爬蟲程序，規(guī)范數(shù)據(jù)使用活動(dòng)。

再次，基于風(fēng)險(xiǎn)的方法能夠?qū)⑴老x可能造成的不確定的損害轉(zhuǎn)化為確定性的合規(guī)行為，將損害的無形性、不可控性、隱蔽性轉(zhuǎn)化為合規(guī)行為的可操作性。在一般侵權(quán)損害中，損害事實(shí)應(yīng)具有客觀性，既指損害已客觀發(fā)生，又指依照社會(huì)一般認(rèn)識(shí)損害必然發(fā)生?！?5#〕當(dāng)數(shù)據(jù)抓取方的技術(shù)已然造成損害時(shí)，一般侵權(quán)損害的構(gòu)成要件很容易證明，可當(dāng)數(shù)據(jù)抓取尚未造成現(xiàn)實(shí)損害，而是增加了數(shù)據(jù)安全的風(fēng)險(xiǎn)，則難以構(gòu)成侵權(quán)損害客觀性的認(rèn)定，此時(shí)被抓取方無計(jì)可施。田野認(rèn)為，在個(gè)人信息侵權(quán)領(lǐng)域應(yīng)當(dāng)將實(shí)質(zhì)性風(fēng)險(xiǎn)作為未來損害的確定性標(biāo)準(zhǔn)，這是解決風(fēng)險(xiǎn)的不確定性與損害的客觀性之間矛盾的有效出路?！?6#〕然而實(shí)質(zhì)性的風(fēng)險(xiǎn)標(biāo)準(zhǔn)亦不具有確定性，唯有依賴基于風(fēng)險(xiǎn)的方法，在場景中將實(shí)質(zhì)性的風(fēng)險(xiǎn)標(biāo)準(zhǔn)轉(zhuǎn)化為數(shù)據(jù)處理者的合規(guī)義務(wù)與監(jiān)管者的監(jiān)管義務(wù)，才能夠解決爬蟲風(fēng)險(xiǎn)性損害的認(rèn)定問題，緩解了爬蟲治理中技術(shù)認(rèn)定模糊的困境。

（三）“基于風(fēng)險(xiǎn)的方法”的流程化實(shí)現(xiàn)

考察近年來的數(shù)據(jù)立法趨勢，“風(fēng)險(xiǎn)管理” 逐漸成為保障數(shù)據(jù)處理和數(shù)據(jù)安全的工具。Spina指出，歐盟的數(shù)據(jù)保護(hù)立法正在經(jīng)歷一場漸進(jìn)的“風(fēng)險(xiǎn)化（riskification）”治理，他將其定義為“從數(shù)據(jù)處理的形式合法性和對(duì)公司行使權(quán)利的有限邊界”向“在不確定的情況下管理技術(shù)創(chuàng)新的‘強(qiáng)制自律’模式”的轉(zhuǎn)變?！?7#〕實(shí)際上，風(fēng)險(xiǎn)已成為數(shù)據(jù)保護(hù)領(lǐng)域的一個(gè)新邊界，也是決定在特定情況下是否需要額外的法律和程序保障的一個(gè)關(guān)鍵指標(biāo)，以保護(hù)數(shù)據(jù)主體免受特定數(shù)據(jù)處理活動(dòng)產(chǎn)生的潛在負(fù)面影響?！?8#〕在我國，“風(fēng)險(xiǎn)”一詞在網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法、個(gè)人信息保護(hù)法和網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見稿）中共出現(xiàn)了51次。然而，這些法律規(guī)范雖然新增了風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)管理機(jī)制，但“基于風(fēng)險(xiǎn)的方法”卻仍然沒有為數(shù)據(jù)處理者和行政監(jiān)管提供有效范式。

現(xiàn)有立法在宏觀上構(gòu)建了風(fēng)險(xiǎn)管理的大方向，亟須在實(shí)踐中構(gòu)建“將問題、事件和損害描述為風(fēng)險(xiǎn)”的步驟。實(shí)質(zhì)性風(fēng)險(xiǎn)的認(rèn)定標(biāo)準(zhǔn)只能從個(gè)例出發(fā)進(jìn)行判斷，本文即試圖通過總結(jié)既有數(shù)據(jù)抓取司法案例，識(shí)別網(wǎng)絡(luò)爬蟲抓取數(shù)據(jù)過程中的典型場景及其法律風(fēng)險(xiǎn)，并基于風(fēng)險(xiǎn)的方法對(duì)可預(yù)期的法律風(fēng)險(xiǎn)進(jìn)行動(dòng)態(tài)控制與防范，以便為數(shù)據(jù)處理者提供數(shù)據(jù)抓取領(lǐng)域風(fēng)險(xiǎn)控制的合規(guī)重點(diǎn)，同時(shí)為監(jiān)管機(jī)構(gòu)提供風(fēng)險(xiǎn)評(píng)估指南，進(jìn)一步選擇需要優(yōu)先評(píng)估和重點(diǎn)監(jiān)管的高風(fēng)險(xiǎn)數(shù)據(jù)處理行為。

四、網(wǎng)絡(luò)爬蟲抓取數(shù)據(jù)的法律風(fēng)險(xiǎn)管理框架

本文以爬蟲的法律含義———“數(shù)據(jù)收集”為中心，將爬蟲抓取數(shù)據(jù)的過程分為數(shù)據(jù)收集前、數(shù)據(jù)收集中和數(shù)據(jù)收集后三個(gè)階段，以此構(gòu)建爬蟲法律風(fēng)險(xiǎn)管理框架。

（一）數(shù)據(jù)收集前：數(shù)據(jù)分類分級(jí)下的風(fēng)險(xiǎn)管理

數(shù)據(jù)安全法第22條要求建立“數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估機(jī)制”，這不僅要求數(shù)據(jù)處理者有效應(yīng)對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)，更要求監(jiān)管者協(xié)調(diào)有關(guān)部門加強(qiáng)重要數(shù)據(jù)的保護(hù)。本文參考《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南———網(wǎng)絡(luò)數(shù)據(jù)分類分級(jí)指引》（簡稱《指南》）對(duì)數(shù)據(jù)進(jìn)行分類分級(jí)，并在此基礎(chǔ)上基于風(fēng)險(xiǎn)的方法評(píng)估不同數(shù)據(jù)可能涉及的風(fēng)險(xiǎn)等級(jí)。

從數(shù)據(jù)分類的視角出發(fā)，由于數(shù)據(jù)抓取場景下被抓取一方往往是企業(yè)的網(wǎng)站數(shù)據(jù)，根據(jù)《指南》中對(duì)組織經(jīng)營數(shù)據(jù)的分類，將數(shù)據(jù)分類為用戶數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、經(jīng)營管理數(shù)據(jù)和系統(tǒng)運(yùn)行與安全數(shù)據(jù)。

《指南》將用戶數(shù)據(jù)定義為企業(yè)在開展業(yè)務(wù)過程中從個(gè)人用戶收集的數(shù)據(jù)或在服務(wù)過程中歸屬于用戶的數(shù)據(jù)，其中包括個(gè)人信息。當(dāng)抓取對(duì)象為個(gè)人信息時(shí)，應(yīng)考慮到個(gè)人信息保護(hù)法第13條第2款規(guī)定的個(gè)人信息收集的“知情-同意”原則，若數(shù)據(jù)抓取者并未清晰地告知用戶并經(jīng)用戶明確同意便利用爬蟲抓取其個(gè)人信息，則違反個(gè)保法中有關(guān)個(gè)人信息收集的相關(guān)規(guī)定，構(gòu)成違法行為，情節(jié)嚴(yán)重時(shí)構(gòu)成“侵犯公民個(gè)人信息罪”。典型如馬某編寫爬蟲程序竊取App網(wǎng)站用戶包括姓名、聯(lián)系方式等個(gè)人信息約20萬條，非法獲利2.4萬元，最終法院認(rèn)定該情形下構(gòu)成侵犯公民個(gè)人信息罪?！?9.〕

業(yè)務(wù)數(shù)據(jù)是指在業(yè)務(wù)生產(chǎn)過程中收集和產(chǎn)生的非用戶類數(shù)據(jù)，被抓取對(duì)象包括具有競爭權(quán)益的業(yè)務(wù)數(shù)據(jù)以及涉著作權(quán)數(shù)據(jù)。當(dāng)抓取對(duì)象為涉著作權(quán)數(shù)據(jù)時(shí)，抓取方可能構(gòu)成侵犯著作權(quán)，情節(jié)嚴(yán)重者同樣將落入刑法的規(guī)制框架。有兩類典型不法爬蟲行為樣態(tài)：一是數(shù)據(jù)抓取者以網(wǎng)絡(luò)傳播為目的，利用爬蟲抓取公開的涉著作權(quán)內(nèi)容并直接將其“復(fù)制”公開提供；二是通過深度鏈接的技術(shù)手段提供內(nèi)容，并使得用戶無法區(qū)分內(nèi)容的真實(shí)網(wǎng)站來源。在刑法和著作權(quán)法的交叉領(lǐng)域，關(guān)于后者是否構(gòu)成信息網(wǎng)絡(luò)傳播行為，司法中存在不同標(biāo)準(zhǔn)。在段某侵犯著作權(quán)案中，〔50.〕被告人利用爬蟲技術(shù)收集大量影視資源并上架個(gè)人網(wǎng)站，該網(wǎng)站則起到聚合、鏈接作品內(nèi)容的作用。該案中，法院將該行為視為發(fā)行，因而構(gòu)成侵犯著作權(quán)罪；但在另一案件中，〔51.〕法院認(rèn)為信息網(wǎng)絡(luò)傳播應(yīng)采用“服務(wù)器標(biāo)準(zhǔn)”，即深層鏈接行為不該被認(rèn)定為信息網(wǎng)絡(luò)傳播行為。因此，在刑法和著作權(quán)法領(lǐng)域，存在技術(shù)標(biāo)準(zhǔn)認(rèn)定沖突問題。具有競爭權(quán)益的業(yè)務(wù)數(shù)據(jù)是指在商業(yè)中可以構(gòu)成企業(yè)競爭優(yōu)勢的數(shù)據(jù)。例如，在大眾點(diǎn)評(píng)案、〔52#〕微博訴脈脈案中，〔53#〕法院均認(rèn)定被告作為數(shù)據(jù)處理者未經(jīng)網(wǎng)站許可抓取并使用原告網(wǎng)站數(shù)據(jù)的行為，違背誠實(shí)信用原則，損害了原告既有的競爭優(yōu)勢，構(gòu)成不正當(dāng)競爭行為。針對(duì)具有競爭權(quán)益的業(yè)務(wù)數(shù)據(jù)， 司法實(shí)踐中往往通過反不正當(dāng)競爭法中的一般原則條款對(duì)不當(dāng)數(shù)據(jù)使用行為加以規(guī)制。丁曉東認(rèn)為對(duì)于惡意抓取企業(yè)公開數(shù)據(jù)并搭便車的行為，反不正當(dāng)競爭法的一般原則條款可以場景化地判定數(shù)據(jù)使用爭議，因而優(yōu)于其他傳統(tǒng)私法路徑；〔54#〕而劉琳更強(qiáng)調(diào)反不正當(dāng)競爭法第2條的不穩(wěn)定性與滯后性的弊端， 為了防止對(duì)一般原則條款的濫用， 應(yīng)在第二章對(duì)商業(yè)數(shù)據(jù)“搭便車”的行為進(jìn)行單獨(dú)列舉，明確禁止利用爬蟲等技術(shù)手段抓取企業(yè)商業(yè)數(shù)據(jù)并破壞他人的競爭利益?！?5#〕

經(jīng)營管理數(shù)據(jù)是指機(jī)構(gòu)經(jīng)營管理過程中收集和產(chǎn)生的數(shù)據(jù)，如經(jīng)營戰(zhàn)略、財(cái)務(wù)數(shù)據(jù)等，若屬于不為公眾所知悉、能為權(quán)利人帶來經(jīng)濟(jì)利益的數(shù)據(jù)則屬于商業(yè)秘密。抓取對(duì)象為商業(yè)秘密時(shí)，往往存在內(nèi)部職務(wù)越權(quán)的情形，因?yàn)樯虡I(yè)秘密顯然不可能以公開數(shù)據(jù)的方式存在，一般依賴破壞性技術(shù)手段或“越權(quán)登錄+抓取”的方式實(shí)現(xiàn)，因此只有通過技術(shù)的“侵入性”才能實(shí)現(xiàn)對(duì)數(shù)據(jù)處理者權(quán)益的侵害，即具備“對(duì)象不法”和“技術(shù)不法”的雙重違法性。根據(jù)《反不正當(dāng)競爭法》第9條，爬蟲應(yīng)當(dāng)屬于獲取他人商業(yè)秘密的不正當(dāng)手段之一，即已經(jīng)構(gòu)成侵犯商業(yè)秘密，后續(xù)是否對(duì)該商業(yè)秘密公開、泄露、使用都不影響侵犯商業(yè)秘密行為已然構(gòu)成的事實(shí)。如果數(shù)據(jù)處理者使用侵入式或破壞性的爬蟲，獲取到不為公眾知悉且具有商業(yè)價(jià)值的數(shù)據(jù)，則涉及侵犯商業(yè)秘密的風(fēng)險(xiǎn)。

系統(tǒng)運(yùn)行和安全數(shù)據(jù)主要存在于計(jì)算機(jī)系統(tǒng)內(nèi)部，僅能通過侵入型爬蟲技術(shù)進(jìn)行抓取，因此該部分法律風(fēng)險(xiǎn)實(shí)質(zhì)上是由技術(shù)的侵入性引起的，下文將展開論述。

當(dāng)然，待抓取對(duì)象為上述具有特殊法益需要保護(hù)的數(shù)據(jù)時(shí)，并不必然構(gòu)成違法犯罪行為。例如，上文提到的迅雷訴豌豆莢一案，豌豆莢作為全網(wǎng)搜索視頻軟件，法律不應(yīng)苛責(zé)其審查義務(wù)，因而豌豆莢不構(gòu)成侵犯信息網(wǎng)絡(luò)傳播權(quán)。以涉著作權(quán)數(shù)據(jù)作為待抓取對(duì)象時(shí)，可以將爬蟲技術(shù)〔56#〕拆解為瀏覽階段、下載階段和使用階段進(jìn)行分析。在爬蟲瀏覽或稱之為遍歷網(wǎng)頁階段，爬蟲實(shí)質(zhì)上在模擬真實(shí)用戶瀏覽網(wǎng)頁，就技術(shù)而言，該過程相當(dāng)于爬蟲與網(wǎng)頁數(shù)據(jù)的“接觸”，在我國著作法保護(hù)“接觸控制行為”的正當(dāng)性存在極大爭議，也不存在所謂的“接觸權(quán)”，〔57#〕因此該階段并不涉及侵害著作權(quán)的風(fēng)險(xiǎn)。在爬蟲下載數(shù)據(jù)階段，實(shí)質(zhì)上是作品的復(fù)制過程，但該過程與“緩存”所對(duì)應(yīng)的“臨時(shí)復(fù)制”有所不同，爬蟲使用者復(fù)制作品的意圖明確為“主動(dòng)復(fù)制”，因而受到著作權(quán)法中關(guān)于復(fù)制權(quán)的約束與規(guī)制。在使用階段，應(yīng)當(dāng)充分考慮著作權(quán)法中關(guān)于“合理使用”的規(guī)定以防止對(duì)著作權(quán)的過度保護(hù)，這主要包括私人復(fù)制、公務(wù)復(fù)制和社會(huì)復(fù)制等合理使用類型，〔58#〕合理使用以外的情形，作品的傳播行為應(yīng)受到侵犯信息網(wǎng)絡(luò)傳播權(quán)的規(guī)制。以公民個(gè)人信息為抓取對(duì)象時(shí)，若屬于用戶自愿公開的一般個(gè)人數(shù)據(jù)，且未設(shè)置防抓取技術(shù)措施的前提下，首先應(yīng)當(dāng)允許被爬蟲抓取，其次在權(quán)限范圍內(nèi)以提高效率為目的利用爬蟲收集個(gè)人信息的行為也不應(yīng)認(rèn)定其違法性，即在實(shí)質(zhì)上數(shù)據(jù)抓取行為對(duì)法益的侵害或威脅并未達(dá)到實(shí)質(zhì)違法犯罪的程度。〔59#〕

在此基礎(chǔ)上，考慮影響對(duì)象、影響程度兩個(gè)要素進(jìn)行分級(jí)風(fēng)險(xiǎn)評(píng)估，可以將數(shù)據(jù)劃分為核心數(shù)據(jù)、重要數(shù)據(jù)和一般數(shù)據(jù)三個(gè)等級(jí)。在流程方面，數(shù)據(jù)處理者應(yīng)首先考慮是否為核心數(shù)據(jù)、重要數(shù)據(jù)，再依據(jù)一般數(shù)據(jù)的不同細(xì)分等級(jí)制定不同的風(fēng)險(xiǎn)合規(guī)措施，針對(duì)核心數(shù)據(jù)要嚴(yán)格管理，針對(duì)重要數(shù)據(jù)要重點(diǎn)保護(hù)，一般數(shù)據(jù)則采用全流程的分級(jí)保護(hù)措施。

核心數(shù)據(jù)和重要數(shù)據(jù)均指對(duì)國家安全或公共安全可能造成相應(yīng)危害的數(shù)據(jù)，只是危害程度上有所差異，前者具有較高的風(fēng)險(xiǎn)等級(jí)，故應(yīng)采用最完善的合規(guī)措施和最嚴(yán)格的監(jiān)管控制。《指南》認(rèn)為，基于海量個(gè)人信息形成的統(tǒng)計(jì)數(shù)據(jù)、衍生數(shù)據(jù)也有可能屬于重要數(shù)據(jù)。當(dāng)數(shù)據(jù)涉及大量個(gè)人信息時(shí)，也具有侵害國家安全的風(fēng)險(xiǎn)。例如，2022年7月21日，國家互聯(lián)網(wǎng)信息辦公室公布對(duì)滴滴公司依法作出網(wǎng)絡(luò)安全行政處罰的決定，認(rèn)為滴滴公司在經(jīng)營過程中存在過度收集個(gè)人信息和精準(zhǔn)位置信息等情形，且存在嚴(yán)重影響國家安全的數(shù)據(jù)處理活動(dòng)?！?0<〕根據(jù)司法解釋，對(duì)“公民個(gè)人信息”的概念界定并未要求具有隱秘性，因此公民個(gè)人信息可以以公開數(shù)據(jù)的形式存在，在刑事規(guī)制的視角下，侵犯公民個(gè)人信息罪中的“公民個(gè)人信息”包含公開信息?！?1<〕當(dāng)爬蟲的抓取目標(biāo)是個(gè)人信息時(shí)，首先應(yīng)明確數(shù)據(jù)處理者無論是否利用爬蟲手段收集個(gè)人信息均需在個(gè)人信息保護(hù)法的框架下進(jìn)行。因此當(dāng)企業(yè)需要利用爬蟲抓取公開的個(gè)人信息時(shí)，首先應(yīng)考量是否為公民自愿公開的個(gè)人信息即是否落實(shí)“告知-同意”的要求，尤其是若待抓取對(duì)象為敏感數(shù)據(jù)，更要征得被收集人的明示同意。合法收集的個(gè)人信息是爬蟲合規(guī)的前提，在此基礎(chǔ)上，大量抓取個(gè)人信息應(yīng)當(dāng)是具有一定的數(shù)據(jù)保護(hù)能力。

一般數(shù)據(jù)是指對(duì)國家安全和公共安全無危害， 但可能損害個(gè)人或組織合法權(quán)益的數(shù)據(jù)，《指南》指出應(yīng)采用全流程的分級(jí)保護(hù)措施保護(hù)，因此一般數(shù)據(jù)可能引起的法律風(fēng)險(xiǎn)，應(yīng)當(dāng)綜合考慮行為性質(zhì)進(jìn)行風(fēng)險(xiǎn)評(píng)估。以大眾點(diǎn)評(píng)訴百度地圖不正當(dāng)競爭案為例，法院從主體關(guān)系、行為性質(zhì)和因果關(guān)系三個(gè)方面來判定百度地圖是否構(gòu)成不正當(dāng)競爭。〔62<〕法院在認(rèn)定百度公司的行為性質(zhì)時(shí)，重點(diǎn)評(píng)述了以下幾個(gè)事實(shí)：一是大眾點(diǎn)評(píng)被抓取的數(shù)據(jù)屬于其核心競爭資源，二是百度使用爬蟲的行為違背了商業(yè)道德，三是百度的行為對(duì)大眾點(diǎn)評(píng)的經(jīng)營業(yè)務(wù)足以形成實(shí)質(zhì)性替代。因此，該行為不僅破壞了商業(yè)市場的競爭環(huán)境，亦損害了消費(fèi)者的福祉，該爬蟲抓取數(shù)據(jù)的行為構(gòu)成不正當(dāng)競爭行為。本文認(rèn)為，數(shù)據(jù)使用行為具有不正當(dāng)性是爬蟲不法的必要條件，即不能“一刀切”地禁止對(duì)公開經(jīng)營數(shù)據(jù)的抓取，應(yīng)當(dāng)考慮到雙方主體的競爭關(guān)系、主體體量、數(shù)據(jù)性質(zhì)和數(shù)量、使用目的等情景綜合判斷，法律應(yīng)當(dāng)對(duì)具有強(qiáng)大經(jīng)濟(jì)實(shí)力的企業(yè)的有害行為進(jìn)行行政監(jiān)管來保護(hù)競爭過程，而不是禁止特定類型的行為?！?3<〕若爬蟲抓取非競爭關(guān)系企業(yè)的經(jīng)營數(shù)據(jù)，利用抓取到的數(shù)據(jù)進(jìn)行創(chuàng)造性使用，則數(shù)據(jù)使用行為沒有侵害被抓取企業(yè)的利益，也沒有侵害消費(fèi)者和公共利益，應(yīng)當(dāng)認(rèn)定為爬蟲的合理使用。〔64<〕

（二）數(shù)據(jù)收集中：對(duì)于爬蟲抓取技術(shù)的風(fēng)險(xiǎn)管理

由抓取技術(shù)引起的法律風(fēng)險(xiǎn)主要是指由于技術(shù)的不當(dāng)使用或幫助不當(dāng)使用的行為所帶來的風(fēng)險(xiǎn)，以及侵害被抓取方的計(jì)算機(jī)系統(tǒng)或帶來安全風(fēng)險(xiǎn)，具體可以將該行為細(xì)分為爬蟲技術(shù)的侵入與防侵入行為、破壞行為和提供行為。

1.爬蟲的侵入與防侵入行為

侵入與防侵入行為主要包括三種行為樣態(tài)：違反robots協(xié)議的抓取與防抓取行為、突破反爬蟲技術(shù)措施的侵入與防侵入行為、利用授權(quán)登錄系統(tǒng)后的數(shù)據(jù)抓取行為。

首先，違反robots協(xié)議數(shù)據(jù)抓取行為是指未經(jīng)被抓取方授權(quán)，或抓取方違反robots協(xié)議的公示可抓取范圍而抓取數(shù)據(jù)的行為。該情景下，爬蟲技術(shù)違反《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》第17條第2款的規(guī)定，屬于“違反行業(yè)自律公約利用自動(dòng)化工具訪問、收集數(shù)據(jù)”的行為。同時(shí)，該行為也受反不正當(dāng)競爭法第2條的約束，即認(rèn)定為構(gòu)成“違反誠實(shí)信用原則和商業(yè)道德”的技術(shù)手段，如在騰訊訴字節(jié)跳動(dòng)案中，〔65A〕字節(jié)跳動(dòng)公司通過規(guī)避robots而抓取大量數(shù)據(jù)信息，法院認(rèn)為字節(jié)跳動(dòng)的爬蟲行為即違反了上述規(guī)范， 是不正當(dāng)競爭的違法行為。辯證地看， 僅僅突破robots協(xié)議的手段并不當(dāng)然具有不正當(dāng)性。robots協(xié)議的強(qiáng)制力在不同的行業(yè)領(lǐng)域中也有所區(qū)分。在搜索引擎領(lǐng)域，被抓取一方無正當(dāng)理由利用robots協(xié)議設(shè)置數(shù)據(jù)抓取白名單進(jìn)而排除其他搜索引擎抓取的行為在競爭法領(lǐng)域具有不正當(dāng)性。在搜索引擎以外的行業(yè)中，該行為并不能說明robots協(xié)議違反商業(yè)道德。在360訴百度一案中，〔66A〕百度設(shè)置robots白名單限制360使用爬蟲抓取數(shù)據(jù)，法院認(rèn)為針對(duì)百度所設(shè)置白名單將360排除在外的行為缺乏合理、正當(dāng)?shù)睦碛?，違反搜索引擎領(lǐng)域中的商業(yè)道德，構(gòu)成不正當(dāng)競爭；而在另一起不正當(dāng)競爭案中，〔67A〕微博將頭條設(shè)置為robots黑名單阻礙其使用爬蟲抓取數(shù)據(jù)，法院則認(rèn)為設(shè)置robots協(xié)議黑名單的行為沒有違反商業(yè)道德，而是經(jīng)營自決權(quán)的體現(xiàn)。因此，同樣是利用robots協(xié)議限制爬蟲的數(shù)據(jù)抓取行為卻有不同的法律后果，這是因?yàn)閞obots協(xié)議并非各個(gè)行業(yè)的商業(yè)道德，僅在搜索引擎領(lǐng)域具有較強(qiáng)的行業(yè)準(zhǔn)則效力。〔68A〕因此，在判斷數(shù)據(jù)處理者設(shè)置robots協(xié)議的正當(dāng)性時(shí)，應(yīng)結(jié)合具體場景進(jìn)行綜合判斷， 例如雙方主體的經(jīng)營領(lǐng)域和商業(yè)地位、robots協(xié)議限制的技術(shù)方式、robots協(xié)議的限制對(duì)商業(yè)環(huán)境和消費(fèi)者福利的影響等?！?9A〕

其次，突破反爬蟲技術(shù)相較于違反robots協(xié)議則更具有侵入性，強(qiáng)行突破網(wǎng)站設(shè)置反爬蟲技術(shù)措施，情節(jié)嚴(yán)重的行為可能落入刑法的規(guī)制框架。刑法第285條規(guī)定不得采用其他技術(shù)手段獲取計(jì)算機(jī)信息系統(tǒng)中存儲(chǔ)的數(shù)據(jù)。如果網(wǎng)站運(yùn)營者已經(jīng)采取了一定的反爬蟲措施，而爬蟲強(qiáng)行突破網(wǎng)站運(yùn)營者采取的反爬蟲技術(shù)措施，并客觀影響到被抓取網(wǎng)站的正常運(yùn)行，則可能構(gòu)成上述規(guī)定所規(guī)制的犯罪行為。那么，所有突破反爬蟲技術(shù)措施的手段都被認(rèn)為具有不正當(dāng)性嗎？ 本文認(rèn)為是否定的，常見的反爬蟲技術(shù)有加密算法、驗(yàn)證程序、IP訪問限制、驗(yàn)證碼措施等?！?0A〕在“車來了”一案中，〔71A〕法院認(rèn)定突破加密算法的爬蟲具有不正當(dāng)性；在“極致了”網(wǎng)站抓取“微信公眾號(hào)平臺(tái)”文章一案中，〔72A〕法院認(rèn)為突破IP訪問限制的手段具有不正當(dāng)性；在智聯(lián)招聘訴51Job案中，法院認(rèn)為通過設(shè)置程序讀取驗(yàn)證碼不屬于破解技術(shù)措施?！?3A〕因此，有些網(wǎng)站通過JS腳本如設(shè)置驗(yàn)證碼、滑動(dòng)解鎖等方式限制爬蟲的抓取，但該類措施是爬蟲限制性措施而非禁止性措施，主觀上更多是為了降低爬蟲對(duì)網(wǎng)站運(yùn)營帶來的負(fù)擔(dān)，且網(wǎng)站經(jīng)營者對(duì)該技術(shù)較易突破的現(xiàn)狀應(yīng)當(dāng)有一定的認(rèn)知，因此被抓取方主觀上對(duì)數(shù)據(jù)的保護(hù)意志并非很強(qiáng)。從客觀技術(shù)層面而言，突破驗(yàn)證碼抓取數(shù)據(jù)的方式并未侵入被抓取方服務(wù)器中，依然是模仿真實(shí)用戶進(jìn)行抓取的行為，并不產(chǎn)生對(duì)被抓取方的系統(tǒng)安全造成影響的風(fēng)險(xiǎn)。此外，若網(wǎng)絡(luò)爬蟲技術(shù)僅違反robots協(xié)議但并沒有突破反爬蟲技術(shù)措施的抓取行為是否具有違法性？關(guān)于爬蟲協(xié)議的性質(zhì)，大致有行業(yè)慣例說（或稱為商業(yè)道德說）、技術(shù)標(biāo)準(zhǔn)說和單方意思表示說三大類。〔74A〕本文認(rèn)為，robots協(xié)議難以作為爬蟲違法性標(biāo)準(zhǔn)，盡管在司法實(shí)踐中，搜索引擎行業(yè)中繞過被訪問網(wǎng)站的爬蟲協(xié)議獲取數(shù)據(jù)的行為可能因違反反不正當(dāng)競爭法第2條一般條款而構(gòu)成不正當(dāng)競爭， 但其實(shí)質(zhì)是由于數(shù)據(jù)抓取方對(duì)數(shù)據(jù)的不當(dāng)使用造成的，并非由抓取行為違反robots協(xié)議導(dǎo)致，則難以認(rèn)定該行為的不法性。若賦予robots協(xié)議法律效力，則相當(dāng)于給予大型互聯(lián)網(wǎng)平臺(tái)絕對(duì)權(quán)力，易形成行業(yè)壟斷，會(huì)阻礙數(shù)據(jù)的流通與共享。因此，僅違反robots協(xié)議的爬蟲不能當(dāng)然認(rèn)定其具有違法性，應(yīng)當(dāng)結(jié)合robots協(xié)議本身的正當(dāng)性、數(shù)據(jù)的使用目的等因素綜合判斷爬蟲行為的風(fēng)險(xiǎn)。

再次，抓取方利用授權(quán)登錄系統(tǒng)后的數(shù)據(jù)抓取行為，是指數(shù)據(jù)抓取者在擁有單位提供的賬號(hào)、密碼的情況下，合法登錄之后使用網(wǎng)絡(luò)爬蟲收集由單位所保存的非公開的數(shù)據(jù)。法院認(rèn)為該行為屬于違背他人意愿對(duì)計(jì)算機(jī)信息系統(tǒng)的侵入，如在馬某等非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)案中，〔75/〕馬某在未經(jīng)用戶同意且無網(wǎng)站授權(quán)的前提下， 擅自利用云盤搜索爬蟲抓取百度網(wǎng)盤的分享鏈接和提取碼，并將其置于自己的網(wǎng)站上公開提供給其他用戶進(jìn)行牟利活動(dòng)，法院認(rèn)定該爬蟲行為屬于“其他技術(shù)手段”獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)的行為，且由于爬蟲抓取數(shù)據(jù)量巨大，情節(jié)嚴(yán)重，認(rèn)定其構(gòu)成非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪。

2.破壞行為

破壞行為是指非法對(duì)計(jì)算機(jī)信息系統(tǒng)功能的破壞或?qū)ζ渲写鎯?chǔ)的數(shù)據(jù)和應(yīng)用程序的破壞。由于不加控制地利用網(wǎng)絡(luò)爬蟲技術(shù)，導(dǎo)致頻繁的大規(guī)模訪問超過了服務(wù)器的承載限度造成網(wǎng)站崩潰的行為，該行為可能違反《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》第17條關(guān)于數(shù)據(jù)處理者使用自動(dòng)化工具收集數(shù)據(jù)的規(guī)定，和網(wǎng)絡(luò)安全法第27條“干擾他人網(wǎng)絡(luò)正常功能”的規(guī)定。當(dāng)該行為達(dá)到能影響公共秩序的程度，〔76/〕則可能違反刑法第286條“破壞計(jì)算機(jī)信息系統(tǒng)罪”的有關(guān)規(guī)定?！?7/〕

由于具有“侵入性”與“破壞性”的爬蟲使用者主觀惡性十分明顯且后果嚴(yán)重，因而無論抓取者是何目的，也無論其是否抓取到數(shù)據(jù)，均會(huì)落入刑事管制范圍內(nèi)。例如，只要爬蟲使用者未經(jīng)授權(quán)擅自進(jìn)入或侵入特定的計(jì)算機(jī)信息系統(tǒng)中，即使尚未利用爬蟲抓取該系統(tǒng)的數(shù)據(jù)，也已然構(gòu)成犯罪行為。若侵入非特定保護(hù)的計(jì)算機(jī)信息系統(tǒng)當(dāng)中，破壞性爬蟲干擾服務(wù)器正常運(yùn)行造成嚴(yán)重后果，也可能構(gòu)成破壞計(jì)算機(jī)信息系統(tǒng)罪。

3.提供行為

提供行為是指提供爬蟲技術(shù)或提供突破反爬蟲措施技術(shù)的行為，該行為涉及《網(wǎng)絡(luò)安全法》第27條關(guān)于提供侵入網(wǎng)絡(luò)程序、工具的規(guī)定，以及刑法規(guī)定的“提供侵入計(jì)算機(jī)信息系統(tǒng)程序、工具罪”。典型案例如“快啊答題”販賣驗(yàn)證碼識(shí)別服務(wù)案，〔78/〕李某與楊某創(chuàng)建“快啊答題”平臺(tái)，有償提供批量圖文驗(yàn)證碼識(shí)別服務(wù)。該技術(shù)可以快速、批量實(shí)現(xiàn)對(duì)騰訊公司服務(wù)器下發(fā)圖文驗(yàn)證碼的識(shí)別，以完成騰訊QQ密碼的驗(yàn)證。后眾多軟件用戶以向“快啊答題”平臺(tái)充值的形式有償使用上述程序，并侵入騰訊公司服務(wù)器。法院認(rèn)為，被告雖然不清楚這些原始數(shù)據(jù)的來源和用途，但會(huì)意識(shí)到正常情況下不會(huì)有那么多原始數(shù)據(jù)需要識(shí)別，即存在犯罪故意，因此被認(rèn)定為提供侵入計(jì)算機(jī)信息系統(tǒng)程序、工具罪。爬蟲技術(shù)提供行為的風(fēng)險(xiǎn)主要依附于真正使用者對(duì)爬蟲技術(shù)的使用是否合法，明知是違法組織或活動(dòng)而為其提供爬蟲技術(shù)的行為應(yīng)當(dāng)被列為禁止行為。

（三）數(shù)據(jù)收集后：數(shù)據(jù)使用目的的風(fēng)險(xiǎn)管理

數(shù)據(jù)使用目的是對(duì)數(shù)據(jù)抓取的實(shí)質(zhì)正當(dāng)性要求，可以通過對(duì)數(shù)據(jù)使用目的正當(dāng)性的判定不斷調(diào)控?cái)?shù)據(jù)安全與數(shù)據(jù)流通的利益平衡。數(shù)據(jù)使用目的看似已脫離爬蟲技術(shù)可能引起法律風(fēng)險(xiǎn)的范圍，但爬蟲使用者利用爬蟲的目的正是為了實(shí)現(xiàn)數(shù)據(jù)使用的目的，因此對(duì)數(shù)據(jù)使用目的正當(dāng)性的要求也可表達(dá)為對(duì)爬蟲技術(shù)使用的正當(dāng)性要求。

“正當(dāng)使用”的概念最先應(yīng)用于商標(biāo)法領(lǐng)域。商標(biāo)法“正當(dāng)使用”制度的立法目的是以保護(hù)公眾的正當(dāng)使用為本位，防止商標(biāo)權(quán)人濫用權(quán)利導(dǎo)致公眾不能自由地使用公共信息資源?！?9/〕與之類似，著作權(quán)法領(lǐng)域也存在“合理使用”制度，該制度保障公眾對(duì)作品的合理接近，從根本上反映出對(duì)公眾利益的關(guān)注?！?0#〕在個(gè)人信息保護(hù)領(lǐng)域同樣規(guī)定了“合理使用”制度，旨在基于公共利益的角度對(duì)人格權(quán)益進(jìn)行一定的限制。個(gè)人信息保護(hù)法第13條規(guī)定了個(gè)人信息合理使用的五種情形，程嘯教授將其總結(jié)為三項(xiàng)：一是為維護(hù)公共利益，二是為保護(hù)個(gè)人合法權(quán)益，三是處理已經(jīng)合法公開的個(gè)人信息。〔81#〕商標(biāo)權(quán)、著作權(quán)和個(gè)人信息權(quán)益都采用“強(qiáng)保護(hù)”的制度設(shè)計(jì)對(duì)該部分信息進(jìn)行專門的法律保護(hù)，即以保護(hù)為前提兼顧信息數(shù)據(jù)的分享。而對(duì)于不具有特殊權(quán)益內(nèi)容需要保護(hù)的數(shù)據(jù)而言，法律的保護(hù)強(qiáng)度應(yīng)弱于類型化保護(hù)的數(shù)據(jù)，即應(yīng)以信息數(shù)據(jù)的分享為前提兼顧利益保護(hù)?？梢哉f，“合理使用”制度或“正當(dāng)使用”制度在此語境下并不等同于“使用具有正當(dāng)性”，前者是指為了公共利益對(duì)個(gè)人權(quán)益作出的犧牲，而后者是在并無法定權(quán)益需要保護(hù)的前提下，所作出的對(duì)公共利益和個(gè)人（或組織）利益的平衡。因而，在明晰一般公開數(shù)據(jù)的“合理使用”標(biāo)準(zhǔn)時(shí)，應(yīng)以禁止性規(guī)定為底線，界定數(shù)據(jù)“不合理使用”的情形，底線以上均可稱之為合理使用。因此數(shù)據(jù)使用目的的正當(dāng)性體現(xiàn)為兩個(gè)方面：一是不損害國家安全、公共利益；二是不損害公民、組織合法權(quán)益。

綜上所述，本文構(gòu)建爬蟲法律風(fēng)險(xiǎn)管理框架可總結(jié)如表2。

（四）風(fēng)險(xiǎn)管理的主體：數(shù)據(jù)處理者與監(jiān)管者的協(xié)同

基于風(fēng)險(xiǎn)的方法對(duì)數(shù)據(jù)處理者和監(jiān)管者兩方主體都將起到指導(dǎo)作用。Macenaite認(rèn)為“風(fēng)險(xiǎn)管理”概念在歐盟數(shù)據(jù)治理中的重要性正急劇增長，并帶來了兩個(gè)轉(zhuǎn)變，一是在實(shí)踐層面上轉(zhuǎn)向基于風(fēng)險(xiǎn)的數(shù)據(jù)保護(hù)的實(shí)施與合規(guī)，二是在更廣泛的監(jiān)管層面上轉(zhuǎn)向風(fēng)險(xiǎn)監(jiān)管?！?2#〕簡言之，基于風(fēng)險(xiǎn)的方法需要數(shù)據(jù)處理者和監(jiān)管者雙主體的協(xié)同參與。原因在于，基于算法的不透明性和技術(shù)的專業(yè)性、復(fù)雜性，數(shù)據(jù)監(jiān)管者單方作為規(guī)制主體的監(jiān)管成本過高，數(shù)據(jù)處理者作為享受數(shù)據(jù)收益權(quán)的主體承擔(dān)與之匹配的社會(huì)義務(wù)具有正當(dāng)性；同時(shí)，數(shù)據(jù)處理者所承擔(dān)的數(shù)據(jù)安全義務(wù)、技術(shù)安全注意義務(wù)應(yīng)當(dāng)具有一定的范圍，過重的合規(guī)成本會(huì)阻礙數(shù)據(jù)的流通利用，政府或第三方機(jī)構(gòu)應(yīng)作為該種“強(qiáng)制自律”模式的監(jiān)管者和督促者，并合理分配主體之間的風(fēng)險(xiǎn)承擔(dān)。

以數(shù)據(jù)處理者和監(jiān)管者雙主體為坐標(biāo)，可以將“基于風(fēng)險(xiǎn)的方法”細(xì)分為“基于風(fēng)險(xiǎn)的監(jiān)管”和“基于風(fēng)險(xiǎn)的合規(guī)”。兩者的相互協(xié)同是采用基于風(fēng)險(xiǎn)的方法的內(nèi)在應(yīng)有之義。

一是基于風(fēng)險(xiǎn)的監(jiān)管。將風(fēng)險(xiǎn)作為監(jiān)管工具使用，標(biāo)志著“對(duì)風(fēng)險(xiǎn)的監(jiān)管”向“通過風(fēng)險(xiǎn)監(jiān)管”的轉(zhuǎn)變?！?3#〕這是一種有針對(duì)性的監(jiān)管模式，即依據(jù)風(fēng)險(xiǎn)評(píng)估賦予與數(shù)據(jù)處理者相對(duì)稱的義務(wù)，或依據(jù)風(fēng)險(xiǎn)等級(jí)采用不同的監(jiān)管方式。〔84#〕簡言之，它允許根據(jù)相關(guān)風(fēng)險(xiǎn)的嚴(yán)重程度優(yōu)先考慮監(jiān)管執(zhí)行或標(biāo)準(zhǔn)制定?！?5#〕風(fēng)險(xiǎn)為監(jiān)管者提供了監(jiān)管對(duì)象，并且成為監(jiān)管活動(dòng)正當(dāng)化的依據(jù)。例如，歐洲議會(huì)全體會(huì)議于2023年6月14日表決通過的人工智能法案采用基于風(fēng)險(xiǎn)的監(jiān)管的方法， 將人工智能分為禁止型人工智能、高風(fēng)險(xiǎn)型人工智能、有限風(fēng)險(xiǎn)人工智能和無或低風(fēng)險(xiǎn)人工智能，其中對(duì)高風(fēng)險(xiǎn)型人工智能的參與者賦予更嚴(yán)格的全生命周期合規(guī)義務(wù)， 規(guī)定了專門針對(duì)高風(fēng)險(xiǎn)型人工智能的風(fēng)險(xiǎn)管理系統(tǒng)條款?！?6#〕基于風(fēng)險(xiǎn)的監(jiān)管允許監(jiān)管機(jī)構(gòu)根據(jù)對(duì)受監(jiān)管者存在的風(fēng)險(xiǎn)進(jìn)行評(píng)估，確定優(yōu)先事項(xiàng)并明確解釋其選擇性決策。〔87+〕在基于風(fēng)險(xiǎn)的監(jiān)管之下，監(jiān)管者將其監(jiān)管資源和監(jiān)管成本集中在風(fēng)險(xiǎn)最大和最有害的活動(dòng)上，從而能夠解決更廣泛的合法性和問責(zé)問題。

二是基于風(fēng)險(xiǎn)的合規(guī)。政府作為監(jiān)管者受到信息不對(duì)稱的影響需要付出較高的監(jiān)管成本，需要將監(jiān)管責(zé)任一部分轉(zhuǎn)移至數(shù)據(jù)處理者，使之承擔(dān)相應(yīng)的合規(guī)義務(wù)。如歐盟《通用數(shù)據(jù)保護(hù)條例》所采用的基于風(fēng)險(xiǎn)的方法主要依賴于私人實(shí)體，即數(shù)據(jù)處理者，并在很大程度上委托他們對(duì)與其數(shù)據(jù)處理活動(dòng)相關(guān)的社會(huì)風(fēng)險(xiǎn)進(jìn)行詳細(xì)的定義、評(píng)估和管理，體現(xiàn)一定的自律性?！?8#〕有學(xué)者指出，在對(duì)監(jiān)管的深入理解下，可以將數(shù)據(jù)處理者本身視為從事基于風(fēng)險(xiǎn)的監(jiān)管機(jī)構(gòu)?！?9#〕數(shù)據(jù)安全法第四章明確規(guī)定了數(shù)據(jù)處理者的數(shù)據(jù)安全保護(hù)義務(wù)，這即是基于風(fēng)險(xiǎn)的合規(guī)，如第27條規(guī)定，開展數(shù)據(jù)處理活動(dòng)應(yīng)當(dāng)依照法律、法規(guī)的規(guī)定，建立健全全流程數(shù)據(jù)安全管理制度，組織開展數(shù)據(jù)安全教育培訓(xùn)，采取相應(yīng)的技術(shù)措施和其他必要措施，保障數(shù)據(jù)安全。同時(shí)，本條第2款規(guī)定，要求重要數(shù)據(jù)處理者明確數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)，落實(shí)數(shù)據(jù)安全保護(hù)責(zé)任。

本文認(rèn)為，基于風(fēng)險(xiǎn)的方法的目標(biāo)并非禁止所有具有風(fēng)險(xiǎn)損害行為或消除所有損害風(fēng)險(xiǎn)，而是從概率和成本的角度出發(fā)，數(shù)據(jù)處理者對(duì)風(fēng)險(xiǎn)不同的技術(shù)措施予以不同的關(guān)注和合規(guī)措施，監(jiān)管者同樣應(yīng)基于數(shù)據(jù)處理行為風(fēng)險(xiǎn)的高低予以不同的監(jiān)管力度。在上述四個(gè)爬蟲風(fēng)險(xiǎn)場景下，數(shù)據(jù)處理者和監(jiān)管者應(yīng)當(dāng)實(shí)施動(dòng)態(tài)的合規(guī)制度和監(jiān)管措施。以數(shù)據(jù)處理者為例，首先，企業(yè)應(yīng)嚴(yán)格遵守爬蟲紅線，禁止任何確認(rèn)違法的爬蟲行為。其次，除了一般的合規(guī)義務(wù)外，數(shù)據(jù)處理者進(jìn)行高風(fēng)險(xiǎn)的數(shù)據(jù)抓取行為還要求構(gòu)建完善的事前合規(guī)評(píng)估、重大事件報(bào)告機(jī)制，建立詳細(xì)的風(fēng)險(xiǎn)管理流程機(jī)制，嚴(yán)格實(shí)施人員權(quán)限管理，對(duì)重要數(shù)據(jù)和核心數(shù)據(jù)的處理活動(dòng)進(jìn)行嚴(yán)格管理并留存記錄，不得以任何理由、任何方式對(duì)銷毀的核心數(shù)據(jù)和重要數(shù)據(jù)進(jìn)行恢復(fù)；通過間接途徑獲取重要數(shù)據(jù)和核心數(shù)據(jù)的，應(yīng)當(dāng)與數(shù)據(jù)提供方以簽署相關(guān)協(xié)議、承諾書等方式，明確雙方法律責(zé)任。再次，針對(duì)中風(fēng)險(xiǎn)的數(shù)據(jù)抓取行為，應(yīng)當(dāng)具有數(shù)據(jù)質(zhì)量控制義務(wù)、數(shù)據(jù)安全保護(hù)義務(wù)，同時(shí)具備爬蟲技術(shù)控制能力。

結(jié)論

網(wǎng)絡(luò)爬蟲抓取數(shù)據(jù)引發(fā)的爭議愈演愈烈，可以歸結(jié)為兩大原因：一是立法方面，傳統(tǒng)部門法具有一定的滯后性與被動(dòng)性，行政法規(guī)制路徑存在邊界不清晰、難以和傳統(tǒng)部門法有效銜接等問題；二是司法方面，主要以傳統(tǒng)部門法為依據(jù)，導(dǎo)致刑事領(lǐng)域?qū)ε老x概念的認(rèn)定較技術(shù)領(lǐng)域有所擴(kuò)張，競爭法領(lǐng)域則存在過于依賴原則性條款，商業(yè)道德的標(biāo)準(zhǔn)認(rèn)定不明晰。面對(duì)以上立法與司法困境，本文認(rèn)為應(yīng)以“基于風(fēng)險(xiǎn)的方法”作為爬蟲規(guī)制的路徑，形成基于風(fēng)險(xiǎn)的合規(guī)和基于風(fēng)險(xiǎn)的監(jiān)管。進(jìn)而，通過歸納既有司法判例，并對(duì)不同數(shù)據(jù)抓取行為構(gòu)建流程化的風(fēng)險(xiǎn)場景識(shí)別框架，將其劃分為禁止行為、高風(fēng)險(xiǎn)、中風(fēng)險(xiǎn)、低風(fēng)險(xiǎn)或無風(fēng)險(xiǎn)四個(gè)風(fēng)險(xiǎn)等級(jí)，數(shù)據(jù)處理者對(duì)風(fēng)險(xiǎn)不同的技術(shù)措施予以不同的關(guān)注和合規(guī)措施，監(jiān)管者同樣應(yīng)基于數(shù)據(jù)處理行為風(fēng)險(xiǎn)的高低予以不同的監(jiān)管力度。該種“基于風(fēng)險(xiǎn)的方法”與我國數(shù)據(jù)安全法第29條規(guī)定開展數(shù)據(jù)處理活動(dòng)應(yīng)當(dāng)加強(qiáng)風(fēng)險(xiǎn)監(jiān)測的方法相吻合，可以為數(shù)據(jù)處理者和監(jiān)管者提供一個(gè)具體的風(fēng)險(xiǎn)管理指南，不僅為企業(yè)提供具有引導(dǎo)性、可操作性的數(shù)據(jù)抓取規(guī)則和合規(guī)目標(biāo)，對(duì)可預(yù)期的法律風(fēng)險(xiǎn)進(jìn)行動(dòng)態(tài)的防范與控制，也使行政機(jī)關(guān)能夠?qū)︼L(fēng)險(xiǎn)較大的抓取行為進(jìn)行全階段的有針對(duì)性監(jiān)管，以提高行政效能。