利用爬虫技术侵犯企业数据知识产权法益的司法解释

许 娟

(南京信息工程大学 法政学院，江苏 南京 210044)

伴随着企业数据商业化利用产生的不法利用行为，致使其他数据企业遭受经济损失，需要刑法规制。早在刑法修正案七和刑法修正案九中，刑事立法者已密布了法网，以应对网络爬虫行为导致的犯罪行为。2015年起，武汉元光公司为提升自家“车来了”App软件的数据精度和使用人数，恶意爬取深圳谷米公司的“酷米客”App软件所收集保管的公交数据，用于自家软件运营。由于元光公司占有市场份额没有达到深圳谷米公司难以承受的限度，使得商业化利用的不法行为得以被容忍。直到2018年，武汉元光公司程序员邵某等五人被深圳市南山区人民法院判决认定，构成非法获取计算机信息系统数据罪。(1)参见广东省深圳市南山区人民法院(2017)0305刑初153号刑事判决书。该案成为商业化利用虫爬取企业数据的刑法适用的第一案。“车来了”程序员恶意使用网络爬虫技术入罪，引发刑法对网络爬虫行为规制的热烈讨论。[1]上海晟品网络科技有限公司的主管人员原来是字节跳动的员工从字节跳动跳槽后，“使用了伪造 UA及 IP 绕过服务器的访问频率限制等规避或突破计算机系统保护措施的手段获取数据”，法院以非法获取计算机信息系统数据罪对被告人予以定罪判刑。(2)参见北京市海淀区人民法院( 2017)京0108刑初2384号刑事判决书。此类案件值得关注的问题是，数据企业产权日益成为国际贸易乃至数据之争中的焦点。

从技术层面来看，网络爬虫行为的核心技术是网络爬虫(Web Crawler)，或者在一些文献中称为“机器人”(Robot)，网络爬虫技术作为互联网基础性技术，被数据企业广泛运用于互联网场景下抓取网页数据，实现数据商业价值。各网站通过Robots协议即“网络爬虫排除标准”(Robots Exclusion Protocol)告知网络爬虫程序的编写者，搜索引擎哪些页面可以抓取，哪些页面不可以抓取。但是由于Robots协议从技术上无法阻止程序越过协定爬取协议中不允许爬取的数据，所以爬虫的批量访问会给网站带来巨大的压力和负担，甚至导致网站服务器过载或崩溃，造成网站经营者的损失，其他网站经营者会采取技术手段，以阻止爬虫批量获取自己网站信息，Robots协议就是网站之间达成的君子协议。[2]此外，现实中大多数网站不能通过常规搜索引擎和Web浏览器访问，这部分网络被称为暗网，暗网是可搜索到网络的约400至500倍，暗网是设计一个深度的反搜索爬虫程序，从而规避正常的访问和执法机构的监管。[3]根据网络爬虫行为的后果分为两类：一类为获得同意、符合必要性限度和具有公共利益的合法行为；另一类是违反同意设定、超过必要性限度和破坏网络秩序的非法行为。司法应当对此进行具体化解释：对不法利用爬虫技术侵犯刑法所保护的企业数据知识产权法益的，应当认定为知识产权类罪，以区别与违反服务器标准的黑客犯罪行为。这不仅符合中美贸易协定的趋势和规范，而且应当在国内法及其司法实践中获得回应，本文正是在数据企业知识产权保护法益困境中寻求一种司法解释路径，通过司法解释确定商业秘密的市场份额标准和举证责任倒置，以使得知识产权保护成为优化营商环境的核心要素之一。

一、爬虫类案刑事立法规制模式与刑事司法知识产权保护法益解释的二元分离

目前国内学者包括法官仍然致力于通过民事侵权责任保护网络爬虫不法爬取企业数据行为，但是单单通过民事手段等已经无法遏制网络爬虫侵权违法行为的愈演愈烈，刑法作为保障大数据行业发展的最根本的最后一道防线，也并未对网络爬虫行为做出明确单独的规范，直到《刑法修正案(九)》其中的许多新增罪名规制网络爬虫不法行使的犯罪行为，才形成了以《刑法修正案(九)》为轴心的保护体系。在新增妨害社会管理秩序罪中扰乱公共秩序罪的网络类犯罪的基础上，形成了破坏社会主义市场经济秩序罪中的知识产权类犯罪、侵犯公民人身权利、财产权利罪中个人信息类犯罪以及《刑法》第287条的提示性条款，“7+7+1+N”全方面规制网络爬虫不法行为的刑法模式。

(一)扰乱社会管理秩序等七类罪的规定

互联网从“联”到“互”的转变提出了现实性与紧迫性的网络犯罪立法的完善要求。通过《刑法修正案(七)》和《刑法修正案(九)》的立法完善，计算机网络犯罪立法规制从技术性犯罪和传统犯罪网络化格局，向对象性网络犯罪、工具型网络犯罪和其他所有形式的利用计算机、网络实施的犯罪按照传统犯罪来处理的“两点一面”[4]格局，再向对象型、工具型、空间型网络犯罪多方面规制格局完善。在具体法律规定方面，网络爬虫行为受到刑法规定七种破坏社会管理秩序类的罪名的约束：(1)非法入侵计算机信息系统罪(第285条第1款)；(2)非法获取计算机系统数据(第285条第2款)；(3)提供侵入、非法控制计算机信息系统的程序、工具罪(第285条第3款)；(4)破坏计算机信息系统罪(第286条)；(5)拒不履行信息网络安全管理义务罪(第286条之一)；(6)非法利用信息网络罪(第287条之一)；(7)帮助信息网络犯罪活动罪(第287条之二)。“车来了”程序员恶意使用网络爬虫技术入罪案，法官判决适用《刑法》第285条第2款，即认定其行为属于侵入计算机信息系统采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，构成非法获取计算机系统数据罪。

(二)侵犯知识产权等七类罪的规定

现代社会经济模式从传统经济向知识经济过渡，对知识产权的保护越发重要，我国对知识产权的保护呈现起步晚发展快的特征，已制定了《民法总则》《商标法》《专利法》《著作权法》等一系列法律，1997年《刑法》修正后，知识产权刑事保护制度也已初步建立。互联网发展背景下，网络知识产权侵权行为和犯罪行为更为猖獗，在刑事立法上，侵犯知识产权犯罪的刑事责任的承担以短期自由刑为核心，同时罚金刑的优势极为明显。[5]七种网络爬虫行为知识产权类的罪名包括：(1)假冒注册商标罪(第213条)；(2)销售假冒注册商标的商品罪(第214条)；(3)非法制造、销售非法制造的注册商标标识罪(第215条)；(4)假冒专利罪(第216条)；(5)侵犯著作权罪(第217条)； (6)销售侵权复制品罪(第218条)；(7)侵犯商业秘密罪(第219条)。 “车来了”程序员恶意使用网络爬虫技术入罪案，不当网络爬虫行为同样触犯《刑法》第219条，即程序员利用网络爬虫技术破解“酷米客”加密系统后获取的商业数据属于商业秘密，其不正当获取受害人的商业秘密并使用，构成侵犯商业秘密罪。但因商业秘密证据不充分，市场占有份额难以确定，法官最终选择以破坏公共秩序犯罪和不正当竞争的民事判决结合认定行为，使得知识产权类罪及其民事侵权认定落空。

(三)侵犯公民个人信息罪的类罪规定

进入互联网信息时代以来，公民个人信息泄露的情况屡见不鲜，甚至已经产生贩卖个人隐私的地下黑色产业链，这对公民的人身、财产安全构成严重威胁，具有较为严重的社会危害性。对此情况，立法机关于2009年出台《刑法修正案(七)》将这种行为规定为非法获取公民个人信息罪，追究行为人的刑事责任。2015年《刑法修正案(九)将非法获取公民个人信息罪变更为侵犯公民个人信息罪。最高人民法院也于2017出台相关司法解释以预防和遏制此类型犯罪行为的发生。

网络爬虫行为侵犯人身权利类的侵犯公民个人信息罪(第253条)在“车来了”案件中不适用。在“车来了”案件中，法院最终是以非法获取计算机信息系统数据罪进行定罪量刑；在民事判决中是以不正当竞争行为进行民事损害赔偿。虽然数据本身与个人信息有交叉之处，但是企业数据与个人信息又是不尽相同的。首先，就概念内涵而言，企业数据是信息资源用以表达其性状或功能并可以复制传递给市场的增值数据信息，而个人资料或个人信息是载有个人人格生命信息，表现为生物体或其组成成分(身份、隐私)的人格体，二者是人格性状表达方式与知识载体的关系。其次，就使用目的而言，对企业数据或者说个人资料信息的使用，是为了满足公共数据库和数据新产品开发的需要，而对个人资料的使用，在于一般的生产和消费需要，如对数据加工、数据复制来获取数据信息等。最后，就价值而言，不是所有的个人资料加工都是企业数据，只有具有增值收益功能价值的个人资料，可识别、可利用才是企业数据。企业数据具有稀缺性，其蕴含巨大的商业价值和管理价值，使得转让企业数据的价格远远高于转让个人资料、个人数据的价格。司法实践中，“车来了”案件所涉场景的复杂性不适宜运用个人信息类罪进行归类罪名，应当运用企业数据知识产权法益保护分场景规制，然而在司法实践中，较难甚至并不会选择适用商业秘密侵权和犯罪。

(四)提示性条款关于网络犯罪的规定

随着网络犯罪形式的日益多样化，立法机关于2015年推出《刑法修正案(九)》，其中“N”类提示性条款(第287条)明确规定：利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的，依本法有关规定定罪处罚。提示性条款制定的目的是为了规制将网络当作实施其他犯罪的工具。网络爬虫行为并不是发挥着如同运用枪、刀类工具的帮助犯罪，网络爬虫行为作为犯罪行为核心不是只发挥其工具性价值，而是发挥着扰乱网络市场秩序并谋取经济利益的两种类型的犯罪，在这种条件下，规制网络爬虫犯罪就不能使用提示性条款。“车来了”案件以非法获取计算机信息系统数据罪认定程序员侵害行为，尽管本文并不赞同该罪名适用的唯一性，但是在规制模式的排除取向上是与法官一致的，没必要适用N模式下的提示性条款。

二、难以将企业数据知识产权的法益解释从反不正当竞争一般条款解释中独立出来

在“车来了”案件中，法官在三选一中选择适用反不正当竞争条款进行民事司法，选择非法获取计算机系统数据罪进行刑事司法。一方面法官不仅需要面对实践事务的内部困境，还需要面对理论性总结归纳的外部困境；另一方面对于司法制度以及实践判决的社会性与效率性要求的考虑，迫使法官不得不避开知识产权的本质特征，在民事上避开了商业秘密的侵权保护，在刑事上避开了侵犯商业秘密罪。现有的商业秘密认定门槛高，难以适用商业秘密，即使法院重新创设新“知识产权”，仍需考虑知识产权的本质特征、内部制约和外部制约等司法适用困境问题。法官难以包容审慎地提出一整套的解决问题方案，其具体困境如下：

(一)企业数据难以归类侵犯商业财产性利益的司法困境

1.企业数据难以归类财产性利益的困境

企业数据本身是否可以归类为财产一直是一个尚未解决的问题，且就数据这一更大范围的概念而言是否可将其认定为财产也是一个更为复杂的问题。数据的客体与财产的关系与民法的财产性与客体性关系相似，都是既有区别又彼此紧密联系。总的来看客体方面的问题一直是比较清晰的，其本身就是一个较为严格的民法建构性质的概念，与此相反的是财产性的问题则较为复杂 与麻烦。因为根据现有财产的三个概念属性而言，其要么是将财产直接认为是物权法上的物的概念，要么是将其认为是民法中的财产权，即除人身权以外的所有财产权就是财产，又或者是将其认为是与经济利益相关的更为抽象的一种经济法律关系概念，这种情况反而使得财产更加难以 把握。[6]杨立新教授在解释《民法总则》第111条的时候，认为个人信息是个法益；[7]杨立新教授还认为衍生数据是个财产性利益，[8]杨立新教授的观点是能够与刑法的财产性保护法益形成一束一致的概念群，对于企业数据保护是有效的。因而可以看出第三种对于财产属性的理解在我们的企业数据财产性认定上更具有适用性，即认为只有与经济相关联的数据才能够被定性为财产。现 代社会虚拟财产这一概念早已经被广泛使用， 即使数据本身的客体性问题与财产性问题尚未被解决，因为其所具有对于现代大数据时代的积极意义，将涉及经济利益的数据问题纠纷通过财产法来予以解决不失为一种除建立企业数据法律法条体系解决之外的一种高效的解决方式。虽然到底是使用物权法、侵权法还是债权法等具体的 法律能否予以高效解决尚是未知数，但是程啸教授倾向于认为运用物权法绝对权保护效益最 大化；[9]冯晓青、李扬等教授认为运用行为法益规制更符合知识产权法定主义特征；(3)参见冯晓青：《〈民法总则〉“知识产权条款”的评析与展望》，载《法学评论》2017年第4期；李扬、李晓宇：《大数据时代企业数据权益的性质界定及其保护模式建构》，载《学海》2019年第4期。郑成思、刘春田、吴汉东、易继明等教授倾向于认为运用知识 产权保护更能够满足企业数据保护特征；(4)参见刘春田：《知识财产权解析》，载《中国社会科学》2003年第7期；吴汉东：《知识产权的私权与人权属性——以〈知识产权协议〉与〈世界人权公约〉为对象》，载《法学研究》2003年第3期；易继明：《知识产权法定主义及其缓和——兼对〈民法总则〉第123条条文的分析》，载《知识产权》2017年第5期。周林彬教授较折中的观点认为采取物权与知识产权结合保护。[10]在比较法意义上，欧盟并不将数据作为财产进行保护[11],美国正在立法将数据当作财产对待。鉴于此，企业虚拟数据在大数据时代一直是一种重要的商业资源，企业数据以互联网的方式进行使用模式与适用类型等创新，已经成为现代社会商业资本创新利用的方式，因而未来将企业数据真正界定为一种财产已具备合理性与必要性。

日本刑法在研究财产犯罪时往往将其行为对象进行两类区分，即财物和财产性利益。这其中对于后者财产性利益的犯罪的规定往往被规定在相应条文的第2款，而该条文的第1款则规定以财物作为犯罪行为对象的情形。[12]当然我国并没有在刑法中明文规定财产性利益，现在刑法学界的主流观点还是主张将财物进行扩大解释，认为其应包括财产性利益，且仅限于财产本身，张明楷教授就极力推崇以上的观点。[13]但是刑法学界其他人持有不同的观点，如陈烨博士就认为如果将财产性利益解释成为财物的话并不是扩大解释反而是类推解释，这样就违反了罪刑法定原则与禁止类推解释原则。[14]当然还有一部分学者进行折中性的解释，如王骏教授认为不需要将财产单纯与财产性利益单一相关，反而将财产性利益以及财物都作为财产的低层次概念，在财产犯罪立法中尽量不使用广义的财物，直接使用财物、财产，将其做相同意义理解，财产性利益等作为其下位概念。基于财产性权益和财产在刑法上具有差异，因此，应当根据爬取企业数据的所属客体性质进行判定。[15]鉴此，企业数据应当被规定为财产性利益而非财产。在概念上，2016年出台的《关于办理贪污贿赂刑事案件适用法律若干问题的解释》中[16]，将财产性利益解释为可以折算为货币的物质利益以及需要支付货币的其他利益。概言之，企业数据财产性利益表现为：(1)在表现形式上属于承载于数据上的无形物；(2)具有经济利益；(3)可以被控制转移。

2.企业数据难以归类某一具体财产属性的困境

权利、安全和秩序作为三种法益形态，在众多被企业数据侵害的法益中是最为重要的三种，权利主要包括人身权利与财产权利，安全主要是指国家安全与公共安全，而秩序是指经济秩序与社会秩序。[17]财产权利中的知识产权法益侵害相对于秩序和安全法益更为具体化，其认定标准是财产属性。一般来说，进行财产犯罪与人身犯罪是侵权中最为普遍的类型，而在这些犯罪中刑法所要保护的数据犯罪中的财产属性就是企业数据刑事财产性法益。民事法律所保护的财产属性，就是民事财产性法益。而数据民事财产属性是以数据模型作为媒介来实现自我呈现的属于民法规制的财产属性。企业数据财产性法益作为保护法益的一种新类型，其所能被保护的范围与保护的目的任务都是不确定的，在我国各部门法中并没有予以明确的规定。

我们从具体案例入手，分析其所涉及的法律问题，进而掌握企业数据的财产属性。邵凌霜，陈昂为了提高元光公司开发的智能公交App“车来了”在中国市场的用户量及信息查询的准确度，保证公司更好地经营，指示公司员工刘江红、刘坤朋、张翔等人利用网络爬虫软件获取包括谷米公司在内的竞争对手公司服务器的公交车行驶信息、到站时间等实时数据。法院最后判决邵凌霜、陈昂、刘江红等人违反国家规定，利用技术手段方式，对于存储在计算机系统中的数据进行获取，情节特别严重，直接构成非法获取计算机信息系统数据罪。从该案例中我们不难看出现行法官对于爬虫行为侵权及数据保护基本上还是以刑法的七类社会秩序犯罪模式来保护，但是本案中虽然该公司貌似是用爬虫行为去侵入对方计算机软件，但实际上其目的并非在于侵入本身，而在于最后“索财”的行为，即是为了通过侵入系统来获取数据进而来实现对方数据利益的损失与我方数据利益的增加，而数据财产属性，也不仅仅体现在刑事方面，更多的是体现于民事方面。法律对于数据刑事财产属性的保护主要是通过定罪入刑予以间接的保护，通过国家的公权力强权，对该种非法的网络爬虫行为进行规制，进而达到了保护数据利益的目的。对于民事财产属性的保护，基于私权平权性保护的特征，对于数据民事权益主要通过损害赔偿与恢复原状等方式，进行直接性保护。数据利益被侵害后最直接的后果就是经济损失，而公司侵入计算机爬取数据的目的也是为了获得数据背后的利益，因而直接通过民事损害赔偿方式予以保护是现行司法中最可行的方式。但是数据民事财产属性与数据刑事财产属性在一个案件中又是交叉结合的，而其交叉性也是网络爬虫行为法律规制所需要解决的难点，现行司法中法官只能通过刑事附带民事来予以解决，但是对于一个基本问题网络爬虫行为所侵犯的法益到底是刑事法益还是民事法益并没有予以界定，并且究竟是刑事财产属性还是民事财产属性也没有做出区分。

理论界难以明确企业数据的法律属性。既然难以正面定义企业数据权属，那么通过侵害法益反向定义数据权属，就成为一种退而求其次的选择。企业数据确实是以财产形式的存在， 是具有财产价值的数据形式。除此以外， 企业数据还具有公共数据和个人数据的人机混同数据的特性，我们基于企业求财的法律保护目的，排除了人机混同数据这一事实上的问题。因而将数据这一事物纳入刑法的规制调整范围是保护现行虚拟网络秩序的治理方式之一，只有在这种意义上才能进一步谈对于网络空间的保护，而对于数据的民事财产性属性与刑事财产属性的分立与组合，难以做出明确性的界定。

3.企业数据难以归类客体的困境

经过多年的努力，中国刑法学界已经用法益概念替换了犯罪客体概念。法益概念分为自由主义的法益和实定的法益概念两种。自由主义法益是指以国家的整体任务作为犯罪行为判定的核心要素所要求的法益，而实定法益是指以保护国家公民自身的自由作为其基础观点的法益概念，后者是前置与刑事立法者的，而前者是后者的前提。[18]企业数据知识产权保护法益有明确公共管理秩序内容、排除他人适用的私法只能和影响产权变动的功能，此即它们的“知识产权法意义”。企业数据知识产权保护法益是指尽管不确定企业数据是否可以作为知识产权的一种客体进行保护，但是企业数据利用行为可以用知识产权保护法益进行保护。企业数据虽然没有完全被知识产权类型法定化，但是可以在司法解释上解释为知识产权上的设权行为。同时，知识产权上专属设定的行政管理措施，有利于企业数据的商业利用的法律监管，类似于知识产权上的技术转让合同。企业数据被侵害的知识产权法益包括侵害企业数据知识产权人对企业数据的资产占有权、支配权、处分权和收益权。

(二)难以在刑法扩张保护机能与罪刑法定之间平衡的司法困境

网络安全成为国家治理现代化的重要组成部分，在网络空间中通过爬虫行为，恶意侵害权益，妨碍自由经营权利，耗费大量流量资源，在促进互联网产业发展的同时，也对国家治理现代化构成了挑战。有数据显示：有一半以上的爬虫爬取企业数据的技术行为是恶意行为。[19]扎克伯格在《华盛顿邮报》上的发言并非危言耸听：恶意的含量还在不断地增加，恶意技术正在不断击破市场的防线，甚至击穿了人类民主秩序的基石。恶意人工智能数据可以借此来侵吞资源削弱对手公司的实力。恶意爬虫行为往往被滥用于从一个站点取得数据内容，然后将该站点的数据内容发给其他站点，不显示数据源或者备注链接。网络不法爬虫手段将会帮助一些虚假网站的非法建立，并有可能带来欺诈风险场景，进而也有可能会被认定为对于知识产权与商业秘密的窃取行为。基于以上种种不良的网络爬取行为已经侵犯到企业数据权利，网络爬虫规制的目标必须在数据资源开放共享与互联网平台经营自由、网站安全之间取得平衡。遵循技术中立性原则，网络爬虫刑法规制应当基于客观归责，即是否妨碍网站的正常运行，或者是否对他人合法权益造成严重危害，作为罪与非罪的标准。从刑事判决上看，元光公司五名程序员利用网络爬虫技术非法爬取“酷米客”谷米公司的公交数据，经南山区人民法院一审判决五人构成非法获取计算机信息系统数据罪，择一重罪处断。法官选择了七种行政犯类罪处罚，选取违反社会管理秩序的行政违法性之上的刑事政策立场。在刑事附带民事部分，谷米公司诉武汉元光公司不正当竞争纠纷一案，法院最终支持“车来了”元米不正当竞争行为成立，由于该种不正当竞争行为难以归类到知识产权类罪和知识产权侵权行为，法官也不能不顾及知识产权法定主义的要求，在没有经过司法解释的前提下，作出侵犯商业秘密的判决。

风险刑法扩张保护的机能逐渐突破了罪刑法定的界限，弥散到了口袋罪名的适用中，在成为互联网治理利器的同时，也极大地破坏了罪刑法定原则的刑法适用。为了弥合刑法与刑事政策的裂隙，为了维护刑法罪刑法定原则的底线，罗克辛教授认为刑法与刑事政策应当相互融合，这被称为罗可辛贯通。[20]罗克辛所谓刑事政策司法解释化需要强大的司法政策机能的支撑，否则司法将难以经受历史的检验。在网络爬虫的形式法律规制的立法模式与司法保护法益的二元解释下，“车来了”案件中五名程序员被认定为非法获取计算机系统数据罪，在适用法律上并没有问题。但网络爬虫技术自身的中立属性，以及网络爬虫行为作为互联网交流的基础数据行为，司法理当促进互联网产业发展，适应网络刑法的轻刑化政策。五名程序员根据共犯分工的不同，在量刑上考量不同，法官从对爬虫行为犯罪的惩戒的罪刑相当原则出发，按照非法获取计算机信息系统数据罪，处以三年以下有期徒刑范围内并处以缓刑。从降低商业秘密市场占有份额的功能主义解释角度来看，网络爬虫行为可以被归类为商业秘密知识产权保护法益之中，以司法解释商业秘密市场占有份额，并运用司法解释将举证责任倒置，使得法官能够将爬虫类案解释为侵犯商业秘密，达到一定市场占有份额，构成犯罪的，还有认定为侵犯商业秘密罪。

(三) 难以确定犯罪动机定罪的司法困境

在“车来了”一案中，广东省深圳市中级人民法院首先认定深圳谷米公司与武汉元光公司在提供实时公交信息查询服务领域存在竞争关系，继而认定武汉元光公司利用网络爬虫技术大量获取并无偿使用“酷米客”App 实时公交信息数据的行为，是对他人劳动成果的窃取，破坏他人的市场竞争优势，违反了《反不正当竞争法》第2条规定的诚实信用原则，扰乱了市场竞争秩序，应当认定为不正当竞争行为，但法院忽略了元光公司侵权行为的主要犯罪目的且过分夸大了该侵权行为对社会秩序的影响。

1.网络爬虫行为和黑客行为的犯罪动机差异的解释困境

网络爬虫行为是指利用计算机技术从事互联网活动，包括数据收集、存储、处理、共享、利用以及销毁等行为。黑客行为包括破坏性行为和非破坏性行为，黑客行为中一般的非破坏性行为主要是通过对系统使用上进行干扰，如通过阻止使用或者信息炸弹等方式并不是一般意义上的窃取数据的行为；而黑客行为中最为严重的破坏性攻击是指直接对于形成中的信息数据进行盗窃或者直接破坏系统数据使其丢失，或者侵入保密系统偷取保密信息的行为。黑客是扰乱秩序，爬虫是求财的工具，爬虫工具本身不是犯罪手段，爬虫只是一个犯罪工具。计算机技术滥用行为最初，一是窥探，二是开玩笑，三是炫耀“力量”，这类黑客行为构成犯罪被归类为破坏社会管理秩序罪；但是随着云计算、大数据发技术发展，从谋取政治利益或破坏社会管理秩序行为发展到追逐数据利益行为。网络爬虫行为与黑客行为的区别在于保护客体的转向。国家管理需要网络服务协议必须符合国家信息化管理规定，国家赋予国家机关越来越多的监管权力和监管手段对信息进行监控，国家试图通过给信息利用者增加更多义务的方式实现法益平衡。

网络爬虫行为对法律的反制是指信息利用者通过技术控制优势和算法变化，不但使法律制度失效，而且利用技术算法与法律算法的不对称事实，反客为主地把义务转化成了权利或者特权。网络爬虫行为侵犯的客体——网络虚拟财产，因其财产属性被不法爬取后受刑法保护。如巧达科技非法获取计算机信息系统数据案[21]，该公司非法利用爬虫行为，将正规的招聘网站上的用户简历近两亿条爬取出来，之后再通过手段改造成为自己的产品投放市场，非法获取上亿元利益。

2.社会法与财产法差异的解释困境

用“反不正当竞争法+扰乱社会秩序”中的计算机犯罪(七类之一类)是将数据看成社会职务数据，而不是商业数据，将不法侵害行为认定为扰乱社会秩序，而不是侵犯商业秘密，其背后的理念源于对社会法与财产法的区分。知识产权法是将特定种类的信息拟制为“物”，通过赋予类似所有权性质的绝对排他性权利保护。窃取商业秘密是指未经同意进入他人的数据系统中窃取他人数据，获取财产利益的不法行为，一旦占领达到一定的市场份额和一定财产性法益损害的时候，就构成了侵犯知识产权类罪。爬虫行为不法侵害的是财产性法益，侵犯了创造性知识(智慧)产权，进而破坏市场占有份额，构成了侵犯知识产权财产性法益，进而侵犯了破坏市场占有份额的社会秩序法益。网络知识产权的解释困境在于，法官难以认定为侵犯知识产权法益保护的侵权行为乃至犯罪行为。这时面临着三种选择：民事权利被侵害，反不正当竞争法一般条款和侵犯商业秘密知识产权，法官的最优策略是选择反不正当竞争条款一般条款。

德沃金法官创设原则作为法体系的一个基本前提是，原则只能一次适用，而不能多次适用，即便是要适用原则判案，也要在适用该原则的同时创立一个新的规则，以消解原则的模糊性，增强法律的确定性，也就是说确立了禁止向一般条款逃逸的原则。[22]我们可以从后续的爬虫类案审判实践中看，爬虫类案的法官无一例外地选择了反不正当竞争一般条款(5)较为知名的案件有“百度公司诉北京奇虎公司违反爬虫协议不正当竞争案”，北京市东城区人民法院(2013)东民初字第08310号民事判决书；“北京淘友天下技术公司采用爬虫行为大量抓取、使用新浪微博用户职业信息、教育信息不正当竞争案”，北京市海淀区人民法院(2015)海民(知)初字第12602号民事判决书；“国家图书馆出版社与北京百度网讯科技有限公司侵害作品信息网络传播权纠纷案”，北京市海淀区人民法院(2017)京0108民初18684号民事判决书。这些案件都转向了援引反不正当竞争法一般条款来规制爬虫行为。对新浪诉脉脉案的反不正当竞争一般条款适用的批判，参见许娟：《互联网疑难案件中的风险决策树模型》，载《南京社会科学》2019年第3期。，这看似整齐划一的类案类判背后，却违背了“禁止向一般条款逃逸”的法理原则。司法实践中，我国侵犯商业秘密门槛较高，举证责任困难，流程长、事实认定复杂，选择商业秘密会造成法官适用法律的错误，招致错案追究的风险。在违背法理和适用法律错误之间，法官二选一，适用反不正当竞争条款不失为一种退而求其次的选择。

三、企业数据知识产权的行为法益保护的原则与规则

(一)侵犯知识产权保护法益的法律原则

从法的社会规范作用来看，保护知识产权法益有利于保护智力劳动成果，鼓励创新，维护竞争秩序。[23]在过去的30年里，中国已经建立了一个相对完整的知识产权保护法律体系。在这段时间，中国的知识产权法律法规越来越有利于创新，其知识产权制度的许多方面目前与国际标准大体一致。进入信息化与全球化的时代，知识产权的客体越来越具有多样性、复杂性，知识产权保护所承担的任务越来越重，保护客体的外延越来越宽。因此，我们在考虑保护知识产权法益时，应考虑下列原则：

1.穷尽知识产权法保护法益原则

对于无形智力成果的保护，应当首先考虑知识产权保护，正确适用反不正当竞争法的兜底作用。反不正当竞争法和知识产权在历史上演变为两个独立的法律体系，这两种法律制度的目标有相当多的重叠，因为它们都旨在促进创新和经济增长。然而，由于每个系统为促进这些目标所使用的手段不同，也存在着潜在的冲突。知识产权法一般规定了一种专有使用权和开采权，以奖励创新者，激励其他创新者，并将原本可能属于商业机密的创新信息带入公共领域。反不正当竞争法管制垄断、合并和违反商业道德的行为，目的是 维持市场上的有效竞争。对于两种法规竞合的 处理，世界上的通行做法是根据特别法优于普通法的法律适用原则，即穷尽知识产权法而后考虑不正当竞争法。[24]我国现行《反不正当竞争法》 也对商业性标记、商业秘密上的不正当竞争行为作出了明确规范，应当明确它们的交叉点准确适用。

2.企业数据市场份额因素原则

知识产权法在本质上是垄断性的，它们保证了作为人类智力创造的作品的创造者和拥有者的专有权，同时，它们也阻止了他人对创新的商业利用。这种合法的垄断可能会导致市场力量，甚至是反不正当竞争法所定义的垄断，这取决于相关市场上有没有替代品。各大数据交易中心及垄断行业中“独角兽”企业的服务提供商手握大量最有价值的服务数据资源，例如滴滴出行，他们有最广的用户群和最全面的行业用户行为记录，用户行为痕迹数据被他们当作重要的商业秘密。这种数据主体和数据拥有者的自我保护行为会严重妨碍数据的产生和流通，造成数据资源的浪费。所以应当警惕数据占有者的数据市场份额因素，将数据市场份额因素纳入司法考量标准。

3.贯彻刑事立法罪刑法定原则

在知识产权刑事立法活动中，既要贯彻罪刑法定原则，也要考虑加强知识产权刑法保护力 度。知识产权这个主题涉及许多经济活动，并且各个主体之间复杂烦琐的社会关系使得很难区分合法与非法，正义与非正义。从科学合理性原则出发，理应优先考虑非犯罪性的法律去调控，如经济、民事、行政和道德规范协调等方法进行干预。[25]但进入了“知识付费”的时代，高附加值的智力成果所牵涉的经济利益更大，因此也需要扩大知识产权的保护范围，提高知识产权的入罪门槛、量刑门槛，并设置一些资格刑来增加犯罪成本等。

(二)企业数据知识产权行为法益保护的规则

学界对于知识产权法与反不正当竞争法相互补充保护说有两种不同观点：一种补充保护说是有限保护说，该学说认为反不正当竞争法应当在不抵触知识产权法立法政策的前提下进行扩展保护 ，这种延长线理论来自日本的侵权行为法延长线学说。另一种补充保护说是兜底保护说，该学说认为知识产权法与反不正当竞争法是冰川与海水的关系。[26]知识产权法定主义认为知识产权类行为是一组权利，但泾渭分明[27]；知识产权放松主义认为知识产权类行为是一组法益，可以随着产权的权利化得到类型化。[28]孔祥俊认为反不正当竞争法属于民法大类，应当限缩反不正当竞争法兜底条款的适用。[29]综合以上学说，在大数据时代的爬虫行为的刑法规制上必须更新传统知识产权保护的封闭性和僵硬化，用“商业秘密+加重处罚”规则，保护侵犯知识产权商业秘密的行为。

四、及时作出爬虫不法侵害企业数据知识产权法益的司法解释

2019年11月25日，中共中央办公厅、国务院办公厅印发的《关于强化知识产权保护的意见》指出，应当加强知识产权刑事司法保护，推进刑事法律和司法解释的修订完善。[30]在“两办”规定指引下，对于爬虫不法侵害企业数据知识产权法益所适用的法律制度应当根据受侵害的数据类型进行区分，在此基础上，综合归纳侵犯企业数据知识产权的入罪标准。首先，无论个人信息数据是自愿提供还是以其他方式提供，我们都需要严格的监管和法律机制来管理信息的使用方式。立法者通过为保护我们的隐私的法律框架奠定基础，既要求商业化利用促进技术驱动的个人便利，也要符合商业道德。其次，包含个人隐私数据的企业数据的权属问题是目前司法领域一直争议未决的热点，探讨企业数据保护旨在寻求个人数据保护与企业数据利用二者之间的平衡。最后，划出具有公共属性的公共数据，推动社会整体数据资源整合和共享开放，提升面向民生、面向经济、面向社会治理的公共数据应用水平。

(一)各种爬虫爬取数据类型的界别

第一种数据类型是个人数据。根据《通用数据保护条例》(GDPR)定义[31]，个人数据是指已识别到的或可被识别的自然人(“数据主体”)的所有信息。“个人可识别信息”一词并不要求该数据集必须有自然人的姓名和详细信息，而是是否可以整体上使用这些数据来建立合理的可识别性。如果没有其他“补充”信息(例如解密密钥)的数据导致具体用户的身份识别，那么它就是非个人数据。因此，“车来了”案件中的数据概念显然不属于个人数据。

第二种数据类型是企业数据。企业数据泛指所有与企业经营相关的信息、资料，包括公司概况、产品信息、经营数据、研究成果等，其中不乏涉及商业机密[32]，也包括企业经过用户的授权采集到与个人相关的数据。这部分与用户个人信息相关的数据有利于企业向用户提供定制化、个性化的服务，但企业可能滥用这些数据，也易导致个人隐私数据的大批量泄露，埋下侵权事件发生的隐患。“车来了”案件中并不构成对个人数据的隐私侵权，而是企业数据商业化利用中的数据产权之争，由于深圳元光公司享有数据事实上的在先权利，其创造性劳动可以被确认为受保护的法益，应当受到商业秘密的保护。

第三种数据类型是公共数据。公共数据是指各级行政机关以及履行公共管理和服务职能的事业单位在依法履行政府职能的过程中，采集和产生的各类数据资源，也包括与民生息息相关的医疗数据、交通数据及电力数据等，与经济相关的交易数据。公共数据中会有一部分涉及公民的隐私、企业的商业机密和涉及国家安全的机密，数据被共享前需严格脱敏处理，且相对人应当拥有对这部分数据的知情权与简单授权。对于公共数据的所有权归属，梅夏英教授认为公共数据就是一种公共物，公共物是可以交易的也可以免费共享；[33]王利明教授提出公共数据是要共享的，可以用按照公法的模式来规制的；[34]欧盟的《通用数据保护条例》(GDPR)则认为公共数据是政府数据的一种，同时也是企业数据的一种。[31]“车来了”案件中的数据并不属于共享的公共数据，相反是具有独占专有保护的商业秘密属性，应当受到商业秘密的保护。

(二)爬虫爬取的数据种类决定着适用的法律类型

1.爬取个人数据：按照保护个人隐私相关法律约束

广义的个人数据可以定义为涵盖帮助自然人识别数据主体的任何信息。对于个人数据的保护，各国宪法均未明确规定数据或信息隐私权，但欧盟已经颁布了全面的《通用数据保护条例》(GDPR)，该法规保障了欧盟公民和居民对自己数据所有权的权利，并要求其通过许可选择加入用于商业或其他用途，并对故意或过失使用，甚至爬虫盗窃个人数据的行为处以高额罚款。此外，作为数据权利主体的个人可以选择将自己对数据的部分权利让渡给企业，使企业能够利用这些被个人让渡的数据权利为数据主体提供更加个性化、优质化的服务。

2.爬取企业数据：根据技术合同约束

企业数据的价值在于企业自身对于数据的利用和数据的交易。[34]爬取企业收集数据应当与数据占有者通过签订技术合同等达成一致。互联网蓬勃发展，随着手机和笔记本电脑越来越先进，几乎每个应用程序都要求获得GPS使用、收集个人数据的许可。云计算大数据服务的普及使得安全服务提供商增加了数据收集量，数据流的迅速增加使实体能够以前所未有的方式进行分析，例如帮助他们预测用户行为习惯与偏好。我们通过接受企业的格式条款而将有关个人信息的数据进行了授权，企业利用计算机技术，将经授权采集的个人数据进行严格脱敏处理，并进行创新性编排或者其他处理方式而得到的数据产品的产权应当归属于企业。[35]这些数据成果也可以作为企业的商品，在不侵害用户个人权利基础上与爬取数据方拟定技术合同进行交易。由此产生的侵权问题受该技术合同约束。

3.爬取公共数据：按照公共利益理论

公交公司需要将数据提供给交管部门以便于实时公交监控公共数据的建构，但“车来了”案件所涉之诉并不涉及公共数据。公共数据作为一种公共财产的属性，应当属于全民所有或者说是国家所有，并由政府代替全民的意志进行管理和使用。“车来了”案件判决所涉罪名侵害的法益并不是对公共数据的破坏，从公共数据的解释上看， 按照第一个七类的罪名判决司法认知的对象错误。公共数据具备共享开放的属性，能够通过政府的汇聚处理、资源整合、共享开放、有效应用等方式使社会公众和企业享受到更加优质的公共服务，例如“车来了”一案中交通监管部门就享有了这种公共数据管理职权。由政府作为管理者的角色通过税收来保证公共数据的免费共享和使用，从而更好地提升数据资源的最优配置。[36]但“车来了”判决并不认为供应公共数据的数据公司之间可以开放共享，数据提供者之间仍然要遵循竞争准则。

(三) 增加商业秘密概念、内容、认定标准的司法解释条款

1.制定明确侵犯企业数据侵权赔偿标准的司法解释

企业数据的侵权大多采取爬取数据库的形式，再利用数据库内容获取经济收益。由于数据泄露而造成的物质和非物质损失可能是金钱的或无形的，如企业竞争优势等。对于数据信息很难估值问题，司法解释可以参考《著作权法》的赔偿规定，具体数额可以依据数据的用途、使用者的预期收益、数据的重要性等因素协商确定。[37]对于较为严重的企业侵权行为的行政处罚可参考欧盟的《通用数据保护条例》(GDPR)中的规定，它将其对企业数据侵权行为的行政罚款分为两个主要类别，其中第一类罚款最高可达1 000万欧元，或者承担的数额最高为其上一财政年度全球年营业额的2%，以较高者为准。

2.制定明确设置商业秘密中举证责任倒置，落实侵犯商业秘密条款的司法解释

尽管最高人民法院曾有意将商业秘密举证责任倒置明确在司法解释之中，但是最终在审判委员会讨论稿中被删除。在立法上，商业秘密侵权与著作权有显著不同，侵权人以一定方式获取相关信息，但并不都被视为侵权。商业秘密侵权的事实认定的可能性远远低于著作权侵权，在司法实践中，被侵权人胜诉率仅仅占案件总数的9.27%(6)相关数据来自中国裁判文书网的筛选、统计。，甚至更少，司法证明自身持有的商业秘密被侵犯是一件非常困难的事情。如果不及时作出司法解释，规定举证责任倒置，不仅使得商业秘密条款形同虚设，而且也不能满足中美贸易协定的要求。尤其是在2019年4月《反不正当竞争法》第32条修改后，根据“拥有商业秘密+已采取报复措施+合理证据表明侵权+接触-合法来源/不实质相同”标准[38]，更需要及时作出侵犯商业秘密举证责任倒置的司法解释。

五、结语

推演案例所涉跨部门法的法律概念导致不同的审判部门对法律概念的看法不同，但司法者适用的法律概念必须在司法解释中加以统一。从整体上来说，我们能够总结出来的“7+7+1+N”模式已经足够处理网络违法犯罪行为，但是具体到案件推演过程中，法官从违反社会秩序模式认定反不正当竞争行为或者非法破坏计算机信息系统数据罪，是对于爬取的企业数据性质难以做出一般性界定的必然选择。按照企业数据性质分配数据产权，在数据产权中提取财产性法益，并具体化为知识产权保护法益，进行层层递进的分析推演，我们发现按照知识产权保护法益解释爬虫爬取企业数据的不法侵害行为，更具有说服力，形成“7+7+1+N”网络爬虫“刑事法律规制立法模式+司法具体化”的解释进路。

首先，设定商业数据、商业秘密概念的司法解释规范。企业数据分为商业公开数据和商业秘密数据。商业数据就是在大数据信息的基础上通过网络爬取等收集行为获取各种数据，并对其进行再编辑及转让的占有使用等，其具有财产价值的可用于交易转让占有的财产；而知识产权中的商业秘密指不为公众所知悉、能为权利人带来经济利益、具有实用性并经权利人采取保密措施的技术信息和经营信息。这是两个完全不同的概念。但是在其所产生的背景及遭到侵犯时被侵害的权利又是相似的，都是侵犯了企业的财产性利益，而对于这种新型的数据性权利法律没有作出新规定时，就现有的知识产权法益保护来进行救济，辅以司法解释进行前期的概念区分，是现实司法实践最有效也是最适当的方式。

其次，设定侵犯财产性利益数额认定的司法解释规范。为了救济网络爬虫行为犯罪中对于商业数据非法获取所造成的企业经济上的损失，在刑事法律规制的基础上，规定侵权损害赔偿的民法救济问题。司法解释可以参考《著作权法》的侵权赔偿规定，具体数额可以依据数据的用途、使用者的收益、数据的重要性等因素进行财产性利益损失的认定。

最后，设定侵犯商业秘密罪的缓和结果加重犯的法定量刑情节。张明楷教授提出：“缓和的结果归属具有两个特点：一是结果归属的条件缓和，即尽管不符合通常的结果归属条件，但仍然将结果归属于行为人的行为；二是结果归属后的刑事责任追究比较缓和。”[39]缓和结果加重犯有利于风险刑法中的罪刑法定、罪刑相适应的具体场景化应用。在以“车来了”为例证解释中，侵犯商业秘密罪较破坏计算机信息系统罪是轻罪，根据缓和的结果加重犯可以得出想象竞合犯的从一重处断的同样效果，可以达到对侵犯商业秘密罪的加重刑事政策与法律机能的双重实现。