华洲资讯
您所在的位置:华洲资讯>科技>玩“爬虫”可能触犯的三宗罪
玩“爬虫”可能触犯的三宗罪
更新时间:2019-11-18 08:30:54   浏览次数:3792
[摘要] 风向是在2018年突变的。2个月前,美国会员经济的成功范本仓储超市costco闯入中国上海闵行区,1个多月时间,299元的会员年卡卖出去超过10万张,且由于人流量过大,开业当天5小时costco即宣布

照片来源@未播放

文|冉金,校勘|大学

最近,有一个短语在网上流传:爬行动物玩得很好,监狱提前进入。数据很容易播放,监狱的食物也足够了。

自2019年9月以来,已逮捕或调查了几家知名公司的相关人员。这些组织都参与了大数据风控制业务和爬虫技术的应用。因此,大数据业务的合规性和合法性以及爬虫技术的合理应用引起了大数据和金融技术行业的特别关注。

履带式技术违反规定了吗?开展业务的风险点是什么?

近日,在一所高校的风控与贷款援助课上,上海英东律师事务所高级合伙人、管理委员会委员冉金律师特别对大数据行业的合规性和合法性进行了深入解读。以下是一些内容。

I .公民个人信息的不可侵犯性

目前,国家对整顿数据产业和数据相关业务非常严格。

最近,有一个案例,X公司是一家快递公司的分包商,可以登录快递公司的后台查询快递信息。x公司的一名员工自行开发了一款爬虫软件,用快递公司给出的许可密码登录后台系统,在后台捕获了25万条用户信息。

案件被发现后,开发爬虫软件的员工被认定为主犯,公司法人被认定为从犯。公司法人没有参与此事。它不是第一责任人,但它仍然是责任方。从判决来看,主犯被判3-7年,从犯被判1-2年。显然,数据安全问题涉及整个行业,并不局限于金融科技领域。

其次,爬虫技术只是一个中立的工具

最近检查的大数据风控制组织都涉及爬虫技术。当时,网络爬虫技术被推到了前沿。

大数据行业中广泛使用的网络爬虫技术是什么?

事实上,网络爬虫是互联网时代广泛使用的网络信息收集技术。这项技术首次应用于搜索引擎领域,是搜索引擎获取数据源的支持技术之一。简而言之,它包括三个步骤:收集信息、存储数据和提取信息。

作为一种计算机技术,“爬虫”在技术上是中性的,从未被法律明确禁止。与计算机病毒不同,计算机病毒本身是负面和破坏性的,而爬行动物是中性的。

那么使用爬虫技术有什么风险呢?

如果在获取数据的过程中,无法识别哪些数据可以被爬网,哪些数据被禁止被爬网,甚至无法破解被爬网服务器对爬网数据的保护措施,或者破坏被爬网服务器的信息系统,将会触动监管红线。

对不当使用爬虫技术的企业有三种可能的指控:

一、侵犯公民个人信息罪

1.爬行的数据信息属于公民个人信息的范畴

公民个人信息(Personal information of citizens)是指通过电子或其他方式记录的各种信息,可以单独或结合其他信息识别特定自然人的身份,或者反映特定自然人的活动,包括姓名、识别号码、通讯联系方式、地址、账号、财产状况、行踪等。

2.通过爬虫技术获取的公民个人信息是非法获取的

使用爬虫技术收集公民的个人信息数据应当征得被收集人的同意,特别是当数据包含身份证号码和信用信息等敏感数据时,还需要获得明示同意。同时,利用网络漏洞非法下载和购买都属于“非法获取”公民个人信息。

3 .非法获取公民个人信息达到“严重”以上标准的

非法获取、出售或提供50条以上可能影响个人和财产安全的轨道信息、通信内容、信用信息和财产信息,非法获取、出售或提供500条以上可能影响个人和财产安全的住宿信息、通信记录、健康和生理信息、交易信息和其他个人信息,以及非法获取、出售或提供5000条以上上述规定以外的公民个人信息,均属“情节严重”。

4.相关法律依据:《刑法》第253条

[侵犯公民个人信息罪]违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。

违反国家有关规定,出售或者提供公民在履行职责或者为他人提供服务过程中获得的个人信息的,依照前款的规定从重处罚。

盗窃或者以其他方式非法获取公民个人信息的,依照第一款的规定处罚。

单位犯前三款罪的,对单位判处罚金,并对直接负责的主管人员和其他直接责任人员,依照本款的规定处罚。

合规建议:

利用爬虫技术获取公民个人信息应严格遵守相关法律、行政法规和部门规章的规定,否则很容易属于“非法获取”公民个人信息的法律风险范畴。

此外,在公民个人信息已经合法披露的情况下,利用爬虫技术获取公民个人信息是否构成非法获取,目前还没有明确的答案。然而,《人格权法》(草案三审查草案)第816条规定,行为人不应对收集和处理自然人自己披露的信息或其他已经合法披露的信息承担民事责任,除非自然人明确拒绝或处理这些信息以侵犯其主要利益。

从立法趋势来看,收集合法披露的个人信息不应该是违法的,但在立法不完善的阶段,仍建议谨慎使用爬虫技术(crawler technology)来捕捉公众个人信息。

二、构成非法获取计算机信息系统数据罪

1.利用爬虫技术入侵计算机信息系统获取数据,或者利用其他技术手段获取计算机信息系统数据

任何组织和个人不得危害计算机信息系统的安全;不准损害计算机及其相关配套设备和设施(包括网络)的安全,损害其操作环境和信息的安全,影响其正常功能。

因此,如果企业在爬行数据时有任何危及计算机信息系统安全的行为,包括破解爬行防范措施、加密算法、技术保护措施等。,很可能被认定为“通过其他技术手段入侵或获取计算机信息系统数据”

2 .非法获取计算机信息系统数据达到“严重”以上标准

获得支付结算、证券交易、期货交易等网上金融服务身份认证信息十套以上,或者其他身份认证信息五百套以上的,均属“情节严重”。

3.相关法律依据:《刑法》第285条

[非法侵入计算机信息系统罪]违反国家规定,侵入国家事务、国防建设和尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。

[非法获取计算机信息系统数据和非法控制计算机信息系统罪]违反国家规定,侵入前款规定以外的计算机信息系统或者使用其他技术手段获取计算机信息系统中存储、处理或者传输的数据,或者非法控制计算机信息系统,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。

[为入侵或者非法控制计算机信息系统提供程序和工具罪]专门为入侵或者非法控制计算机信息系统提供程序和工具,或者明知他人有入侵或者非法控制计算机信息系统的违法犯罪行为而提供程序和工具,情节严重的,依照前款的规定处罚。

单位犯前三款罪的,对单位判处罚金,并对直接负责的主管人员和其他直接责任人员,依照本款的规定处罚。

合规建议:

严禁通过技术手段绕过服务器的访问限制或破解被爬网网站为保护数据而采用的加密算法和技术保护措施,从而对被爬网网站的受保护计算机信息系统中的数据进行爬网。

如果被爬网网站设置了获取数据信息的措施(包括实名认证、帐户密码、内部权限等)。),爬虫企业应避免通过伪造实名认证或窃取账户密码和内部权限来获取数据。

避免或小心获取身份认证信息(10套网络金融服务身份信息/500套其他身份认证信息)。

三、非法入侵计算机信息系统罪

1.提供数据和信息的网站是国家事务、国防建设和尖端科学技术领域的计算机信息系统;

常用的网站,如“国有企业信用信息公开系统”、“中国司法文献网”、“中国行政信息公开网”和地方政府网站,都属于“国家事务”网站的法律范围。

2.入侵计算机信息系统

(1)只要有入侵,不管入侵的结果如何。

(2)目前,司法解释中对“入侵”没有具体的定义,但法院主要有两种识别方式:1)以非法手段登录网站获取原本无权获取的数据和信息;2)发送恶意程序、非法文件等。会影响网站的正常运行。

(3)从计算机信息系统中抓取公共数据时,不存在“入侵”计算机信息系统的情况。但是,批量抓取数据和信息时,应特别注意是否会影响网站的正常运行,不得越过红线。

今年,有报道称裁判的文件被抓取并定价出售。由于许多技术公司通过无限制的爬虫系统和并发访问来访问裁判的文档网络以获取数据,网站超载,普通用户无法访问。最高人民法院发布文件称,为了打击爬虫技术,更好地保证正常的用户访问性能,相关方采取了包括验证码技术在内的各种方法来阻止爬虫功能。

合规建议:

大数据公司,尤其是大数据风控公司,从“裁判文件网”和“高管信息披露网”获取数据是非常普遍和重要的。但是,在从这类国家事务网站抓取信息时,特别是当网站已经采取相关的"反抓取措施",并且仍然强行突破保护措施抓取数据时,必须特别谨慎,这可能会影响网站的运行,从而构成这一犯罪。

除了上述法律风险之外,使用爬虫技术也可能产生法律风险,如不公平竞争和侵犯在互联网上传播信息的权利。

相关法律依据:

《最高人民法院、最高人民检察院关于办理涉及公民个人信息刑事案件适用法律若干问题的解释》第一条

2.《网络安全法》第41和42条

3.《最高人民法院、最高人民检察院关于办理涉及公民个人信息刑事案件适用法律若干问题的解释》第一条、第三条、第四条、第五条

4.《信息安全技术个人信息安全规范》第3.6、5.1、5.3和5.5条

5.《刑法》第253条

6.《刑法》第285条

7.《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件适用法律若干问题的解释》第一条

8.《计算机信息系统安全保护条例》第三条和第七条

欲了解更多精彩内容,请关注钛媒体微信号(id: taimeiti)或下载钛媒体应用。

北京快乐8 山东十一选五开奖结果 山西快乐十分开奖结果 快乐8投注

上一篇:患上前列腺炎该怎么做
下一篇:河北政法职业学院

相关