因爬虫滥用，CTO和程序员被刑拘

数据行业乱象丛生并不是新鲜事，从大规模数据窃取到“流量劫持”，从App超范围信息收集到“大数据杀熟”，数据行业的乱象不止对网络安全和公民个人隐私带来威胁，更是促进了“数据黑产”的发展，“数据黑产”中的主要生产工具就是爬虫程序。作为一个历史悠久的技术，爬虫可以有效地提升信息收集效率，但是近年来，出现了多起因爬虫技术而被判刑的案例。在我国目前的法律法规中，对爬虫技术并没有准确定性，即便有这些判罚案例，大多数人还是摸不着头脑。有些看似罪大恶极却无事发生，有些看似平常无奇却得到了重罚，爬虫的使用尺度到底怎么判断？如何使用爬虫才不会违法呢？

2018年8月，由于爬虫失控，对居住证、派出所等系统造成重大影响，KG公司的CTO、程序员被捕。KG公司的主营业务是“助贷”，也就是为按揭贷款购房的客户提供赎楼及债务置换贷款等服务。由于手动查询效率低下，公司产品组选择使用爬虫软件自动查询。CTO安排新入职的程序员负责这个项目，他提供给程序员一个抓取数据的程序源代码，要求程序员修改并用其查询、下载网上的数据。

2018年4月，居住证系统的承建单位发现系统出现宕机现象，追踪到请求应用服务器端口编号，但因日志缺失而无法定位IP来源，当时怀疑是人为攻击。同年5月，系统再次遭遇攻击，这次管理人员成功地截取了IP地址并报案。

案发时，某市居住证服务平台的注册用户超过530万。居住证系统受攻击瘫痪期间：软件对某市居住证系统查询访问量为每秒183次，共计查询信息约151万条次，窃取大量建筑物编码数据，造成政府信息泄漏；所有居住证办理、居住登记申报、信息查询、对外服务功能均无法正常工作，影响面极广；市民无法办理居住证和居住登记，相关生产生活秩序受到严重影响。除了此次攻击，还有一些派出所出具证明证实5月期间经常出现系统无法登陆，录入过程频繁出现掉线、系统数据异常等情况。居住证系统无法正常使用、出现异常情况的时间长达一个多月。

最终，法院认为，二人违反国家规定，对计算机信息系统进行干扰，造成为5万以上用户提供服务的计算机信息系统不能正常运行累计1小时以上，属于后果特别严重，应以破坏计算机信息系统罪追究其刑事责任。CTO，负责并授权程序员开发涉案爬虫软件，系主犯，判处有期徒刑三年；程序员受指派开发爬虫软件，在共同犯罪中起次要作用，系从犯，判处有期徒刑一年六个月。

另一起案件也反映了滥用爬虫的危害，2019年，某公司发现服务器连续几天压力倍增，导致公司内部系统崩溃不能访问。技术人员调查后发现，公司的客户信息被抓取，并且某个接口访问量巨大，在经过更细致的调查后，最终发现其源头竟然是一家知名的互联网公司——巧达数据集团，该公司的主营业务是出售简历数据库，其高管多半出身于百度，在2017年净赚1.86亿元。2019年，巧达数据集团的200多位员工无差别送进看守所，最终36人被捕，其中多数是程序员，设计爬虫的工程师至今仍在等待审判。

有趣的是，这两起案件中，无论是KG公司的CTO及程序员，还是巧达公司的爬虫工程师，最初都不认为自己使用爬虫是违法行为，巧达的工程师也因此失去了“取保候审”的机会。当然，巧达集团涉及的不仅是爬虫滥用，还包括窃取个人隐私及非法买卖数据等，但是，KG公司的两位员工只是遵守上级的要求，没有爬取个人信息，也没有对数据进行买卖，为什么单单只是他们两位受到处罚呢？这就涉及到单位犯罪和个人犯罪。

除了自然人犯罪，还有单位犯罪，是指公司、企业、事业单位、机关、团体为单位谋取利益，经单位决策机构或者负责人决定实施的，法律规定应当负刑事责任的危害社会的行为。我国刑法对单位犯罪原则上采取双罚制度，即单位犯罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员判处刑罚。相关司法解释规定，在审理单位故意犯罪案件时，对其直接负责的主管人员和其他直接责任人员，可不区分主犯、从犯，按照其在单位犯罪中所起的作用判处刑罚。因此，公司犯罪有可能会牵连员工，尤其是该案件中对非法获取数据有直接责任的CTO和程序员。

很多时候，身为执行层的程序员在公司人微言轻，对于上级安排的工作不得不服从。即便如此，真正涉及到违法犯罪时，程序员也会作为主犯受到法律的制裁。并且，无论是CTO还是程序员，都很清楚的知道，爬虫软件如果超过服务器承载能力肯定会引起系统卡顿或瘫痪，因此并不是他们不清楚爬虫软件滥用的后果，只不过是心存侥幸，疏于管理，最终自食恶果。

所以，可以从两个方面判断爬虫软件是否有害，一个是数据类型，这其中包括是否涉及到个人隐私以及同类公司的公开数据，个人隐私受到《个人信息保护法》的保护，未经本人授权是无权处理相关数据；同类公司的公开数据则可能涉及到《反不正当竞争法》，主要业务高度相似的两家企业在处理相关数据更需要谨慎。另一方面就是是否会造成重大影响，据刑法286条“破坏计算机信息系统罪”显示，违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。该罪的主观要件必须出于故意，过失不能构成本罪，对于KG公司的两位，即便主观上并不是攻击行为，但是他们在清楚失控的后果，因此也是主管犯罪；该罪的客观要件是表现为违反国家规定，并造成严重后果。因此，无论公司决策还是居住证系统承载是否有客观责任，作为主观开发并使用的二人一定会承担相应的法律惩罚。

“法律总是滞后的”，虽然目前尚无生效法律法规对爬虫程序进行规范，但是，随着爬虫技术的发展，其所能带来的商业利益和损害将会越来越大，国家也势必将祭出更多的立法资源对爬虫进行治理，未来几年的立法资源也势必向这一领域倾斜。或许在未来三五年内，随着《数据安全管理办法》的出台，必将有专门规制及监管“以自动化手段访问收集网站数据”（爬虫程序）的法规出现，以明确爬虫程序中的合规界限。

或许有人会说技术中立，可是基于我国互联网行业现状，大部分头部企业的网站均设置了反爬虫措施，并且在服务器端也部署了防抓取措施，他人只能经授权，通过API端口获取数据，而不能随意爬取网站服务器上的数据。如果爬虫程序通过伪装等方式，绕过或破解反爬虫措施，接入API端口，从而实现访问网站服务器并读取数据的目的。爬虫技术中立，但是爬虫程序所负载的“外挂”早已失去了中立的地位，无论理由多么冠冕堂皇，欺骗、绕过、破解永远都是违法犯罪的切实罪证。

或许还会有人说要低调行事，只要不对着政府等相关机构使用爬虫，就不会受到关注和制约。小心驶得万年船永远没错，但是这个小心不是只筛选对象，而是要正视爬虫技术，robots协议不是用来脱罪的理由，一种约定俗成的告示并没有任何法律效力，正确的使用才是救赎之道。

我国相关法律法规正在逐渐完善，以前可能处于灰色阶段的行业，现在几乎都不能做了。技术本来是无罪的，爬虫技术的主要目的还是为了减少人工成本，提高工作效率，但是用在了错误的地方，就会造成错误的后果。对于程序员而言，首先要对相关的法律法规保持敬畏，尤其是近年来更新频率逐渐提升，一定要全面了解，不能含糊其辞。另一方面，在企业中一定要建立下通上达的沟通渠道，把相关的风险告知给决策层，敢于对有较大风险的工作内容提出质疑和拒绝，毕竟看起来是“集体决策”的决策最后往往并不是集体买单，避免因心存侥幸受牢狱之灾。

齐心抗疫 与你同在 

点【在看】的人最好看