9 月 6 日下午，多位業內人士稱，杭州知名大數據服務公司杭州魔蝎數據科技有限公司，疑似被相關執法人員控制，其中一位周姓核心高管人員被警方帶走。

[[276809]] 

圖片來自 pexels

以上是前幾天技術圈傳播的一則新聞，又一家數據公司被調查，很多數據從業者、爬蟲開發者發出了“感嘆” —— 「爬蟲用得好，XX 進得早;數據玩得溜，XX 吃個夠」。

[[276810]] 

知情人士現場拍攝

魔蝎科技作為一家數據服務公司，曾在 2017 年一篇『爬蟲兇猛：爬支付寶、爬微信、竊取現金貸放貸數據』的文章中，被指出存在開發使用惡意爬蟲的行為。

 

目前魔蝎科技官網、后臺均無法打開

當然關于魔蝎科技為什么被查，這個等待執法部門的調查結果即可，咱們不在這里無端猜測。

我今天要說的是關于爬蟲的合法性，我希望通過一些案例來探討：怎樣做一個不觸碰紅線的爬蟲開發者。

[[276811]] 

爬蟲作為一種計算機技術，具有技術中立性，爬蟲技術在法律上從來沒有被禁止。

爬蟲的發展歷史可以追溯到 20 年前，搜索引擎、聚合導航、數據分析、人工智能等業務，都需要基于爬蟲技術。

但是爬蟲作為獲取數據的技術手段之一，由于部分數據存在敏感性，如果不能甄別哪些數據是可以爬取，哪些會觸及紅線，可能下一位上新聞的主角就是你。

如何界定爬蟲的合法性，目前沒有明文規定，但我通過翻閱大量文章、事件、分享、司法案例，我總結出界定的三個關鍵點：

• 數據的采集途徑
• 數據的采集行為
• 數據的使用目的

數據的采集途徑

通過什么途徑爬取數據，這個是最需要重視的一點。總體來說，未公開、未經許可、且帶有敏感信息的數據，不管是通過什么渠道獲得，都是一種不合法的行為。

所以在采集這類比較敏感的數據時，最好先查詢下相關法律法規，特別是用戶個人信息、其他商業平臺的信息等這類信息，尋找一條合適的途徑。

個人數據

采集和分析個人信息數據，應該是當下所有互聯網都會做的一件事，但是大部分個人數據都是非公開的。

想獲得必須通過合法途徑，可參見『網絡安全法』第四十一條：

網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規則，明示收集、使用信息的目的、方式和范圍，并經被收集者同意...

也就是必須在提前告知收集的方式、范圍、目的，并經過用戶授權或同意后，才能采集使用，也就是我們常見的各種網站與 App 的用戶協議中關于信息收集的部分。

相關反面案例：

8 月 20 日，澎湃新聞從紹興市越城區公安分局獲悉，該局日前偵破一起特大流量劫持案，涉案的新三板掛牌公司北京瑞智華勝科技股份有限公司，涉嫌非法竊取用戶個人信息 30 億條，涉及百度、騰訊、阿里、京東等全國 96 家互聯網公司產品，目前警方已從該公司及其關聯公司抓獲 6 名犯罪嫌疑人。

......

北京瑞智華勝公司及其關聯公司在與正規運營商合作中，會加入一些非法軟件用于清洗流量、獲取用戶的 Cookie。

節選自澎湃新聞：『新三板掛牌公司涉竊取 30 億條個人信息，非法牟利超千萬元』[1]。

公開數據

從合法公開渠道，并且不明顯違背個人信息主體意愿，都沒有什么問題。但如果通過破解、侵入等“黑客”手段來獲取數據，那也有相關法律等著你：

刑法第二百八十五條第三款規定的“專門用于侵入、非法控制計算機信息系統的程序、工具”：

(一)具有避開或者突破計算機信息系統安全保護措施，未經授權或者超越授權獲取計算機信息系統數據的功能的;

......

違反 Robots 協議

雖然 Robots 協議沒有法規強制遵守，但 Robots 協議作為行業約定，在遵循之下會給你帶來合法支持。

因為 Robots 協議具有指導意義，如果注明 Disallow 就說明是平臺明顯要保護的頁面數據，想爬取之前應該仔細考慮一下。

數據的采集行為

使用技術手段應該懂得克制，一些容易對服務器和業務造成干擾甚至破壞的行為，應當充分衡量其承受能力，畢竟不是每家都是 BAT 級。

高并發壓力

做技術經常專注于優化，爬蟲開發也是如此，想盡各種辦法增加并發數、請求效率，但高并發帶來的近乎 DDOS 的請求，如果對對方服務器造成壓力，影響了對方正常業務，那就應該警惕了。

如果一旦導致嚴重后果，后果參見：

《刑法》第二百八十六條還規定，違反國家規定，對計算機信息系統功能進行刪除、修改、增加、干擾，造成計算機信息系統不能正常運行，后果嚴重的，構成犯罪。

所以請爬取的時候，即使沒有反爬限制，也不要肆無忌憚地開啟高并發，掂量一下對方服務器的實力。

影響正常業務

除了高并發請求，還有一些影響業務的情況，常見的比如搶單，會影響正常用戶的體驗。

數據的使用目的

數據使用目的同樣是一大關鍵，就算你通過合法途徑采集的數據，如果對數據沒有正確的使用，同樣會存在不合法的行為。

超出約定的使用

一種情況是公開收集的數據，但沒有遵循之前告知的使用目的，比如用戶協議上說只是分析用戶行為，幫助提高產品體驗，結果變成了出售用戶畫像數據。

還有一種情況，是有知識產權、著作權的作品，可能會允許你下載或引用，但明顯標注了使用范圍。

比如不能轉載、不能用于商業行為等，更不能去盜用，這些都是有法律明文保護，所以要注意使用。其他情況就不列舉了。

出售個人信息

關于出售個人信息，千萬不要做，是法律特別指出禁止的，參見：

根據《最高人民法院最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第五條規定，對“情節嚴重”的解釋：

(1)非法獲取、出售或者提供行蹤軌跡信息、通信內容、征信信息、財產信息五十條以上的。

(2)非法獲取、出售或者提供住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產安全的公民個人信息五百條以上的。

(3)非法獲取、出售或者提供第三項、第四項規定以外的公民個人信息五千條以上的便構成“侵犯公民個人信息罪”所要求的“情節嚴重”。

此外，未經被收集者同意，即使是將合法收集的公民個人信息向他人提供的，也屬于刑法第二百五十三條之一規定的“提供公民個人信息”，可能構成犯罪。

不正當商業行為

如果將競品公司的數據，服務自己公司的商業目的，這就可能存在構成不正當商業競爭，或者是違反知識產權保護。

這種情況在目前涉及爬蟲的商業訴訟案中比較常見，兩年前比較知名的案件，“車來了” App 抓取其競品 “酷米客” 的公交車數據，并展示在自己的產品上：

雖然公交車作為公共交通工具，其實時運行路線、運行時間等信息僅系客觀事實，但當此類信息經過人工收集、分析、編輯、整合并配合 GPS 精確定位，作為公交信息查詢軟件的后臺數據后，此類信息便具有了實用性并能夠為權利人帶來現實或潛在、當下或將來的經濟利益，已經具備無形財產的屬性。

元光公司利用網絡爬蟲技術大量獲取并且無償使用谷米公司“酷米客”軟件的實時公交信息數據的行為，實為一種“不勞而獲”、“食人而肥”的行為，構成不正當競爭。

節選自『深圳市中級人民法院(2017)粵03民初822號民事判決書』。

[[276812]] 

“爬蟲法”即將出臺

好消息是，相關辦法已經在路上了。

5 月 28 日零點，國家互聯網信息辦公室發布了《數據安全管理辦法》征求意見稿。

我也查閱了這份意見稿，里面對數據的獲取、存儲、傳輸、使用等都做了一些規定，包括關于爬蟲行為的若干規定(還在征求階段，因此后續可能會有變化)。

比如，第二章第十六條：

網絡運營者采取自動化手段訪問收集網站數據，不得妨礙網站正常運行;此類行為嚴重影響網站運行，如自動化訪問收集流量超過網站日均流量三分之一，網站要求停止自動化訪問收集時，應當停止。

第三章第二十七條：

網絡運營者向他人提供個人信息前，應當評估可能帶來的安全風險，并征得個人信息主體同意。

下列情況除外：

(一)從合法公開渠道收集且不明顯違背個人信息主體意愿。

(二)個人信息主體主動公開。

(三)經過匿名化處理。

(四)執法機關依法履行職責所必需。

(五)維護國家安全、社會公共利益、個人信息主體生命安全所必需。

節選自『數據安全管理辦法(征求意見稿)』[2]

結語

在此聲明：以上所有內容僅是個人分析，可能存在錯誤之處，不能作為任何依據，具體以相關法律法規為準。

希望能給各位爬蟲開發者，也包括其他開發者一些啟示：技術雖中立，使用有善惡，一定要合理合規、嚴格謹慎地使用技術。

參考鏈接：

• 新三板掛牌公司涉竊取30億條個人信息

https://www.thepaper.cn/newsDetail_forward_2362227

• 數據安全管理辦法(征求意見稿)

http://www.moj.gov.cn/news/content/2019-05/28/zlk_235861.html