刑事審判參考(2026.4第149輯)
節(jié)選裁判說理部分,僅為個(gè)人學(xué)習(xí)、研究和說明問題,如有侵權(quán),立即刪除。
[第1732號(hào)]上海某數(shù)信息公司、羅某等侵犯公民個(gè)人信息案-利用爬蟲技術(shù)實(shí)施侵犯公民個(gè)人信息犯罪的認(rèn)定
二、主要問題
(1) 利用爬蟲技術(shù)爬取在運(yùn)營(yíng)商、電商平臺(tái)處登記的手機(jī)號(hào)碼等個(gè)人信息的行為,應(yīng)如何認(rèn)定?
(2)將獲取的公民個(gè)人信息分析生成征信產(chǎn)品予以銷售的行為,應(yīng)如何認(rèn)定?
三、裁判理由
網(wǎng)絡(luò)爬蟲是一種自動(dòng)化瀏覽網(wǎng)絡(luò)、抓取網(wǎng)頁(yè)信息的程序或腳本,通過模擬人工登錄、訪問互聯(lián)網(wǎng),讀取內(nèi)容,并按照一定的規(guī)則批量提取符合需求的數(shù)據(jù),具有智能高效、精準(zhǔn)抓取、覆蓋面廣等特點(diǎn)。爬蟲技術(shù)自廣泛應(yīng)用以來,已成為促進(jìn)數(shù)據(jù)共享與侵犯信息安全的“雙刃劍”, 使用失當(dāng)可能引發(fā)法律風(fēng)險(xiǎn)。被告單位等未經(jīng)公民授權(quán),利用爬蟲技術(shù)突破反爬數(shù)據(jù)保護(hù)機(jī)制,爬取信息后生成蜜蜂報(bào)告進(jìn)行銷售,構(gòu)成侵犯公民個(gè)人信息罪。被告單位將經(jīng)授權(quán)獲取的信息進(jìn)行無法復(fù)原的匿名化處理,生成蜜罐報(bào)告并銷售,屬于違法經(jīng)營(yíng)個(gè)人征信業(yè)務(wù),不屬于刑事規(guī)制的范圍。
(一)通過插件或爬蟲技術(shù)獲取和提供個(gè)人信息,是否侵犯公民個(gè)人信息,應(yīng)結(jié)合是否違反國(guó)家有關(guān)規(guī)定,是否得到公民授權(quán)予以認(rèn)定
被告單位未經(jīng)公民授權(quán)并突破反爬數(shù)據(jù)保護(hù)機(jī)制,利用爬蟲技術(shù)模擬人工登錄爬取包括第三人手機(jī)號(hào)碼等個(gè)人信息,生成蜜蜂報(bào)告予以銷售,其行為構(gòu)成侵犯公民個(gè)人信息罪。
第一,被爬取的包括運(yùn)營(yíng)商、電商平臺(tái)等在內(nèi)的第三人手機(jī)號(hào)碼屬于公民個(gè)人信息。《網(wǎng)絡(luò)安全法》(2016年11月7日公布)第七十六條①第五項(xiàng)規(guī)定的個(gè)人信息,是指以電子或者其他方式記錄的能夠單獨(dú)或者 與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信息,包括但不限于自然人 的姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、電話號(hào) 碼等。根據(jù)《電話用戶真實(shí)身份信息登記規(guī)定》(2013年7月16日公布) 的規(guī)定,自2013年9月起對(duì)全國(guó)范圍內(nèi)電話用戶進(jìn)行實(shí)名登記。實(shí)名登 記的手機(jī)號(hào)碼對(duì)應(yīng)真實(shí)有效的機(jī)主,指向注冊(cè)登記該手機(jī)號(hào)碼的特定自 然人。手機(jī)號(hào)碼用于注冊(cè)郵箱、微信等網(wǎng)絡(luò)社交賬號(hào),涉及公民的通信、 金融、醫(yī)療、教育、社交等領(lǐng)域,具有移動(dòng)支付、實(shí)時(shí)定位、金融結(jié)算 等功能,具備專屬性、隱私性、財(cái)產(chǎn)性,普遍應(yīng)用于公民工作生活,與 公民的人身安全、財(cái)產(chǎn)安全密切相關(guān)。實(shí)名登記的手機(jī)號(hào)碼集通信社交、 支付結(jié)算、實(shí)時(shí)定位等功能于一體,通過手機(jī)號(hào)碼不僅能夠分析第三人 的社交狀況、經(jīng)濟(jì)活動(dòng)、行為軌跡等,亦能夠判定第三人與借款人的緊 密程度及特定關(guān)系。因此,手機(jī)號(hào)碼能夠單獨(dú)或者與其他信息結(jié)合識(shí)別 特定自然人身份、隱私活動(dòng)、財(cái)產(chǎn)狀況等,屬于法律保護(hù)的公民個(gè)人信息。
第二,網(wǎng)絡(luò)爬蟲突破相關(guān)網(wǎng)站、 App設(shè)置的反爬數(shù)據(jù)保護(hù)措施爬取公民個(gè)人信息,違反了國(guó)家有關(guān)規(guī)定?!度珖?guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān) 于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》(2012年12月28日公布)、《網(wǎng)絡(luò)安全法》 均明確規(guī)定了保護(hù)公民個(gè)人信息安全。被告單位為滿足商業(yè)利益,利用爬蟲技術(shù)模擬人工登錄,循環(huán)批量爬取運(yùn)營(yíng)商、電商等網(wǎng)站及App內(nèi)包含手機(jī)號(hào)碼的第三人信息,危害了網(wǎng)站、App的正常運(yùn)轉(zhuǎn)、數(shù)據(jù)安全及 信息產(chǎn)權(quán)。被爬取的網(wǎng)站、App根據(jù)國(guó)家有關(guān)規(guī)定,設(shè)置“網(wǎng)絡(luò)爬蟲排除標(biāo)準(zhǔn)”“身份驗(yàn)證”“封鎖IP”等反爬協(xié)議或技術(shù)壁壘,表明其數(shù)據(jù)保護(hù)意愿,防止網(wǎng)絡(luò)爬蟲未經(jīng)許可非法爬取數(shù)據(jù)。被告單位為保證爬蟲技術(shù)能夠順暢運(yùn)行,通過購(gòu)買“虛擬IP”“ 規(guī)避身份驗(yàn)證”等方式破解反爬數(shù)據(jù)保護(hù)措施,侵害了網(wǎng)站、App合法保護(hù)數(shù)據(jù)的意愿,違反了國(guó)家有關(guān)保護(hù)公民個(gè)人信息的規(guī)定。
第三,對(duì)被告單位獲取、提供個(gè)人信息的行為需進(jìn)行具體分析。(1)通過插件獲取相關(guān)賬戶、密碼信息得到公民授權(quán),且不違背雙方真實(shí)意愿的,不屬于非法獲取行為。公民對(duì)其通過手機(jī)號(hào)碼或有效身份信息在運(yùn)營(yíng)商、電商平臺(tái)等注冊(cè)、持有的賬戶、密碼,具有使用、出借、提供等支配權(quán)。被告單位通過嵌入網(wǎng)絡(luò)插件向公民提供登錄界面,將簽訂授權(quán)協(xié)議作為申請(qǐng)借款的附屬條件之一,提示公民點(diǎn)擊并閱覽后簽訂授權(quán)協(xié)議。該授權(quán)協(xié)議明確告知公民需要其提供運(yùn)營(yíng)商、電商平臺(tái)等的賬戶、 密碼及提供的目的。公民清楚知悉被告單位獲取信息的意思表示。該授權(quán)協(xié)議符合知情同意原則,不違反雙方真實(shí)意思表示,協(xié)議內(nèi)容真實(shí)有效。公民基于該授權(quán)協(xié)議同意向被告單位提供其持有的登錄賬戶、密碼,未違背公民對(duì)其個(gè)人信息的自決權(quán)。被告單位獲取并保存賬戶、密碼的 行為未侵害公民信息安全。(2)未經(jīng)公民授權(quán)或同意,利用爬蟲技術(shù)爬取個(gè)人信息,屬于侵犯公民個(gè)人信息罪規(guī)定的非法獲取個(gè)人信息的行為。被告單位利用爬蟲技術(shù)通過前期網(wǎng)絡(luò)插件獲取賬戶、密碼后,以模擬人工登錄的方式,按照需求自動(dòng)批量采集目標(biāo)數(shù)據(jù),并將數(shù)據(jù)匯總至被告單位的數(shù)據(jù)庫(kù)予以保存,用于深度分析、整合生成征信產(chǎn)品進(jìn)行銷售。 被告單位與公民簽訂的授權(quán)協(xié)議未明確告知公民其利用爬蟲技術(shù)爬取個(gè)人信息,亦未明確告知公民其收集信息的事項(xiàng)、范圍和目的。雖然后期該授權(quán)協(xié)議根據(jù)《網(wǎng)絡(luò)安全法》進(jìn)行了修正,但仍未明確告知公民其信息獲取的方式及信息范圍包括與借款人相關(guān)聯(lián)的含有手機(jī)號(hào)碼在內(nèi)的特定第三人的信息,亦未告知公民其收集信息的目的是銷售牟利。第三人 對(duì)其個(gè)人信息被收集、整合、銷售均不知情,違背了其意愿。被告單位 在此種情形下爬取公民個(gè)人信息具有非法性。(3)違反國(guó)家有關(guān)規(guī)定, 未經(jīng)公民同意,向他人提供所獲取的公民個(gè)人信息,屬于侵犯公民個(gè)人信息罪規(guī)定的非法提供個(gè)人信息的行為。將授權(quán)獲取或利用爬蟲技術(shù)爬取的公民個(gè)人信息經(jīng)過整理、加工、制作成征信產(chǎn)品后,違反國(guó)家有關(guān)規(guī)定,未經(jīng)公民同意予以銷售,損害了公民對(duì)其個(gè)人信息的自決權(quán)。蜜蜂報(bào)告的數(shù)據(jù)除部分來自授權(quán)獲取外,其余包含第三人手機(jī)號(hào)碼等信息均由網(wǎng)絡(luò)爬蟲爬取,第三人對(duì)其信息被收集、銷售均不知情。購(gòu)買者通過蜜蜂報(bào)告能夠單獨(dú)或與其他信息結(jié)合識(shí)別特定自然人身份、活動(dòng)軌跡、隱私生活、財(cái)產(chǎn)情況等,具有侵?jǐn)_他人工作生活安寧、損害公民的人身安全及財(cái)產(chǎn)安全的風(fēng)險(xiǎn)。被告單位將獲取的包含第三人的信息數(shù)據(jù)生成蜜蜂報(bào)告予以銷售,違反國(guó)家有關(guān)個(gè)人信息保護(hù)的規(guī)定,未征得公民同意,侵犯了公民個(gè)人信息。
(二)將獲取的公民個(gè)人信息生成征信產(chǎn)品并進(jìn)行銷售,是否侵犯公民個(gè)人信息,應(yīng)結(jié)合行為性質(zhì)、信息屬性及信息識(shí)別度等因素予以認(rèn)定
被告單位將經(jīng)授權(quán)獲取的個(gè)人信息,生成經(jīng)匿名化處理且不能復(fù)原的蜜罐報(bào)告,即使未經(jīng)公民同意進(jìn)行銷售,也不屬于刑事認(rèn)定范圍。
第一,公民基于授權(quán)自愿提供個(gè)人信息,用于對(duì)其借款進(jìn)行資信審查,該獲取方式不具有非法性。蜜罐報(bào)告與蜜蜂報(bào)告的本質(zhì)區(qū)別在于數(shù) 據(jù)來源不同。公民簽訂被告單位提供的授權(quán)協(xié)議,在獲悉信息獲取的范 圍和用途后,同意提供其姓名、身份證號(hào)碼、手機(jī)號(hào)碼,該三要素成為 蜜罐報(bào)告的核心數(shù)據(jù)。被告單位將上述三要素與利用爬蟲技術(shù)爬取的公民個(gè)人信息形成的數(shù)據(jù)庫(kù)內(nèi)的信息進(jìn)行碰撞,判斷該公民的借款資信, 后與金融機(jī)構(gòu)公布的借款人黑名單及人民法院公開的失信被執(zhí)行人名單等進(jìn)行比對(duì),形成以數(shù)字分值為載體的蜜罐報(bào)告,以評(píng)價(jià)公民的信用等 級(jí)。蜜罐報(bào)告的基礎(chǔ)數(shù)據(jù)不涉及未經(jīng)公民授權(quán)或第三人的信息,亦明確載明網(wǎng)絡(luò)爬蟲爬取的信息及相關(guān)機(jī)構(gòu)向社會(huì)公開的信息。蜜罐報(bào)告應(yīng)用于金融領(lǐng)域的貸前風(fēng)控,不具備貸后催收的功能。被告單位生成蜜罐報(bào) 告屬于未經(jīng)征信業(yè)監(jiān)管機(jī)構(gòu)批準(zhǔn),違法從事個(gè)人征信業(yè)務(wù),違反了《征信業(yè)管理?xiàng)l例》(2013年1月21日公布)的規(guī)定,不屬于刑事認(rèn)定范圍。
第二,將合法收集的個(gè)人信息進(jìn)行無法復(fù)原的匿名技術(shù)處理,即使未經(jīng)公民同意予以提供,也不構(gòu)成侵犯公民個(gè)人信息罪?!蹲罡呷嗣穹ㄔ?、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干 問題的解釋》(法釋〔2017〕10號(hào))第三條、《網(wǎng)絡(luò)安全法》第四十二 條第一款均規(guī)定,未經(jīng)被收集者同意,不得將合法收集的公民個(gè)人信息向他人提供,但經(jīng)過處理無法識(shí)別特定個(gè)人且不能復(fù)原的除外。公民個(gè)人信息的關(guān)鍵屬性是與特定自然人關(guān)聯(lián),經(jīng)過匿名化處理,無法識(shí)別特定個(gè)人且不能復(fù)原的信息,不具有侵害公民信息安全的風(fēng)險(xiǎn)。被告單位銷售蜜罐報(bào)告雖未得到公民明確授權(quán)或同意,但蜜罐報(bào)告載明的信息僅包含剔除個(gè)人關(guān)聯(lián)、通過技術(shù)不能復(fù)原的數(shù)字分值,無法識(shí)別公民特定的活動(dòng)情況,無法進(jìn)行二次利用,更不具有貸后催收的作用。綜上所述, 蜜罐報(bào)告所涉信息不屬于侵犯公民個(gè)人信息罪中公民個(gè)人信息的類型。
(撰稿:江蘇省泰州市中級(jí)人民法院 蔡 萍 江蘇省泰州市姜堰區(qū)人民法院 沈井春
審編:最高人民法院刑事審判第三庭 汪 斌 王肅之)

