打开网易新闻 查看精彩图片

上海高院|来源

当下,很多AI能快速生成攻略、文稿、总结报告,离不开网络爬虫技术抓取整合全网信息。可这项技术一旦被不当利用,也极易对个人信息、知识产权及公民财产产生威胁,进而滋生各类违法犯罪问题。

近日,上海市黄浦区人民法院(以下简称黄浦区人民法院)便审结了这样一起利用网络爬虫技术窃取财产的犯罪案件。

01

案情回顾

G网站是一个免费的开源社区,许多人会在上面上传分享自己编写的软件代码。2024年2月,周某某在浏览该网站期间发现,有公司开发人员在分享代码时,会因疏漏上传一些涉及公司不应对外公开的信息。

发现这一“漏洞”后,周某某便利用爬虫技术,在G网站使用关键字搜索他人上传的代码,并得到了R公司对公支付账户的ID、密钥等信息。

随后,周某某利用支付平台的提现功能,将R公司支付账户内的2.7万元划转归个人使用。

打开网易新闻 查看精彩图片

图片源自网络

事发不久,R公司发现其公司账户遭他人攻击,损失人民币2.7万元,便向公安机关报案。经公安机关侦查,该公司账户资金进入到周某某控制的账户,同年3月,公安机关在周某某住处将其抓获归案。

公诉机关认为,被告人周某某以非法占有为目的,盗窃他人财物,数额较大,其行为构成盗窃罪。

02

法院裁判

黄浦区人民法院经审理认为,G网站系开源社区,R公司将其对公支付账户的信息分享至G网站后,该账户ID和密钥信息即属于公开数据,公司也随之丧失了对该部分数据的专属控制和使用权。因此一般情况下利用爬虫技术抓取此类公开信息,并不构成刑事犯罪。

但是,周某某在得到相关数据信息后,又通过技术手段进入R公司支付账户,在该公司不知情的情况下,私自划转账户内2.7万元至个人名下,相关行为属于秘密窃取R公司财产,已构成盗窃罪。

鉴于其坦白、认罪认罚、退出违法所得、取得谅解等情节,最终,人民法院依法判处周某某有期徒刑一年,缓刑一年,并处罚金五千元,现该案判决已生效。

03

法官说法

黄浦区人民法院刑事审判庭法官 郑莹认为,本案是大数据时代利用爬虫技术获取数据、继而窃取他人财产的典型案例。虽然在开源社区内抓取已公开数据的行为并未被法律所禁止,可如果后续处置利用不当,侵害了他人个人财产、知识产权、商业秘密等合法权益,或利用爬虫技术获取限制访问的非公开数据,则可能触犯刑事法律底线。

一、厘清边界:爬取公开数据的行为定性

公开数据,即任何人在任何时间、地点均可不加限制访问的数据。单纯抓取此类公开数据通常不违反法律禁止性规定,案件审理中,司法评判的重点主要在于是否违反网站协议(如robots协议、频率限制)或破坏技术防护措施等。

本案中,G网站是对所有人开放的开源社区,网站没有设置技术障碍限制爬虫技术,周某某使用爬虫采集数据不存在非法侵入、破坏系统的情形。加之R公司上传的代码中包含了公司的对公支付账户的完整信息,等同于其自行将相关数据对外公开,因此,仅就周某某爬取公开信息这一行为而言,并不构成刑事犯罪。

二、划定红线:公开数据取用应当依法依规

数据公开不等于使用没有边界。法律对数据行为的评价,不仅看“如何获取”,更要看“如何利用”。数据的公开性,仅仅意味着数据权利主体放弃了对该信息的排他性访问控制,并不意味着其放弃了基于该数据所承载的一切合法权益,更不意味着他人可以对该数据作任何形式的肆意使用。换言之,“取之有道”的同时,更应“用之有法”。

本案中,周某某在取得R公司支付账户信息后并未就此止步,而是通过技术手段利用该信息进入R公司支付账户,以直接占有为目的私自划转公司资金,显然这一行为已经远超出正常获取公开数据的范畴,形成了对他人财产所有权的侵害,因而最终被认定为构成盗窃罪。

打开网易新闻 查看精彩图片

图片源自网络

三、以案示警:敏感信息莫疏忽公开

大数据时代,一串账号、一组密钥都可能成为不法分子侵害个人财产与隐私的突破口,容不得半点侥幸。本案的发生,根源在于相关公司开发人员不慎将支付账号、密钥等敏感信息上传至公开的开源社区,这也为个人与企业数据安全防护敲响警钟。

对公民个人而言,切勿将任何账号密码、支付密钥、身份证号、银行卡号等敏感信息,保存或发布在可公开访问的网络空间,如个人社交平台、公开代码仓库、云文档、网络社群及开放式留言平台等,日常也可使用密码管理工具对敏感信息进行加密存储,定期修改关键账户密码,有效防范个人信息泄露风险。

对企业而言,应建立严格的数据安全管理制度,严禁员工将生产环境的密钥、数据库连接串等敏感配置上传至开源社区、公共代码库或云协作平台,同时应把安全审核贯穿软件开发全过程,常态化开展风险自查,堵住数据泄露漏洞,守住企业数据与财产安全。

04

法条链接

中华人民共和国刑法》

第二百六十四条 盗窃公私财物,数额较大的,或者多次盗窃、入户盗窃、携带凶器盗窃、扒窃的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金;数额巨大或者有其他严重情节的,处三年以上十年以下有期徒刑,并处罚金;数额特别巨大或者有其他特别严重情节的,处十年以上有期徒刑或者无期徒刑,并处罚金或者没收财产。

第二百八十五条 违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。

违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。

第二百八十六条 违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。

违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。

╱ 往期精选 ╱

1.团队典型案例

2.原创合集

3.苹果税中国反垄断第一案