来自 科技 2021-09-08 16:00 的文章

张远杨洋 大数据时代,玩“爬虫”可能触犯的三宗罪

欢迎关注“创事记”微信订阅号:sinachuangshiji

文/冉晋   整理/一本学院

来源:一本财经(ID:yibencaijing)

最近网上流传一个顺口溜:爬虫玩得好,监狱进得早。数据玩得溜,牢饭吃个够。

自2019年9月以来,多家知名公司相关人员被抓或被调查,这些机构均涉及大数据风控业务和爬虫技术的应用。由此,大数据业务的合规合法问题、爬虫技术的合理应用问题,引起了大数据和金融科技行业的特别重视。

爬虫技术违规吗?开展业务到底存在哪些风险点?

近日,在一本学院的风控与助贷业务课堂上,上海瀛东律师事务所的高级合伙人及管理委员会成员冉晋律师,特别就大数据行业的合规合法问题进行了深入解读。以下为部分内容整理。

01 “爬虫”本中立,数据应保护

一、公民个人信息不可侵犯

现在国家对数据行业和数据相关业务的整顿非常严厉。

最近有这样一个案例:X公司是某快递公司的分包服务商,可以登录该快递公司的后台查询快递信息。X公司的一名员工自行开发了一个爬虫软件,利用这家快递公司给的权限密码登录后台系统,抓取了后台25万条用户信息。

这个案件被发现后,开发爬虫软件的员工被定为主犯抓捕,公司法人被定为从犯一起抓捕。公司法人没有参与这件事,不是第一责任人,但仍然是责任关系方。从判刑上来看,主犯是3-7年量刑,从犯是1-2年量刑。可见,数据安全的问题是涉及全行业的,不仅限于金融科技领域。

二、爬虫技术只是中立的工具

最近被查的大数据风控机构,都涉及爬虫技术。一时间,网络爬虫技术被推到了风口浪尖。

在大数据行业内被广泛使用的网络爬虫技术,到底是什么呢?其实,网络爬虫,是互联网时代被普遍运用的一项网络信息搜集技术。该项技术最早应用于搜索引擎领域,是搜索引擎获取数据来源的支撑性技术之一。简单来说,它包含三个步骤:采集信息、数据存储和信息提取。“爬虫”作为一种计算机技术,理论上来说具有技术中立性,在法律上也从未被明令禁止。它不像计算机病毒,计算机病毒本身就是负面的、破坏性的,而爬虫是中立的。

那么使用爬虫技术有什么风险呢?如果在获取数据的过程中,无法甄别哪些数据可以爬取,哪些数据禁止爬取,甚至为爬取数据而破解被爬服务器的防护措施,或者破坏被爬服务器的信息系统,就会触及监管红线。

02 数据爬虫主要涉及的三类罪名

对爬虫技术应用不当的企业,可能涉及的罪名有三个:

一、侵犯公民个人信息罪

1.爬取的数据信息属于公民个人信息范畴

公民个人信息,是指以电子或者其他方式记录的,能够单独或者与其他信息结合识别特定自然人身份,或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。

2.利用爬虫技术获取的公民个人信息为非法获取的

利用爬虫技术收集公民个人信息数据,应当获得被收集人的同意,尤其是在数据中包含身份证号、信用信息等敏感数据的情况下,还需要获得明示同意。同时,利用网络漏洞非法下载、非法购买等行为,都属于“非法获取”公民个人信息。

3.非法获取公民个人信息达到“情节严重”以上的标准

非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上,非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上,非法获取、出售或者提供上述规定以外的公民个人信息五千条以上,都属于“情节严重”。

4.相关法律依据:《刑法》第253条

【侵犯公民个人信息罪】违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。

违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。

窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。

单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照该款的规定处罚。

合规建议:

})();