您当前的位置:信息内容
肖飒:如何理解互联网企业新规中的“拒不履行信息网络安全管理义务”
2019/11/12摘自:

为应对金融信息技术安全风险,提高互联网从业者的法律意识,10月31日,北京市互联网金融行业协会联合协会会员机构举办了金融信息技术安全论坛,并邀请大成律师事务所合伙人肖飒作为演讲嘉宾,站在专业的角度,向大家讲解了爬虫获取企业网站信息的法律风险。同时对最高人民法院、最高人民检察院联合下发的最新文件《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》进行解读,分析了作为互联网企业和技术人员需要关注或者规避的一些从业规范及操作。



一、爬虫获取企业网站信息的法律风险


当前,如何鉴别爬虫获取数据的行为是否合法是大家比较关注的问题。肖飒律师以近期遇到的一起案件为例,从行为方、被爬取方和法官角度逐一分析后,认为判断行为合法性的关键在于是否有robots协议。


【案例】


某网络科技有限公司、侯某某等非法获取计算机信息系统数据案(2017)京0108刑初2384号。


• 基本案情

被告人张某、宋某、侯某共谋用技术手段(爬虫)在某网站抓取视频,放入自己所在公司网站上,造成被害公司人民币2万元的经济损失。2017年9月提起公诉,后三人被判非法获取计算机信息系统数据罪。


robots协议是一种存放于网站根目录下的ASCII编码的文本文件,可以理解为互联网搜索引擎与网页持有者之间达成的“行业规范” ,在该协议中,网站会明确告知网络搜索引擎的漫游器哪些内容不应被获取,等于设置了“访问政策”“访问权限”。


在这里,肖飒律师提醒:若行为人明知网站设置了robots协议,仍然突破访问权限爬取数据,违背被害公司的意志,那么其行为主观恶性明显,有可能违法。当然,网站不想被爬取信息,只需要植入robots协议,表明自己的态度“我不愿意被爬取和收录”就行。


同时,对于上述案件,她还提出两点看法:


一是行为人爬取了网页,可能只是知道了一些计算机信息,但实际获取的信息很有限,就如同“树上的桃子”桃子与树枝连接处的支撑技术“一样,被告人只是拿走了“树上的桃子”,两者造成的损失不可同日而语。


二是案件的关键是被害网站到底有没有明示自己不愿意被爬取的意愿。如果没有,那么完全可以通过其他法律进行救济,挽回损失。


肖律师认为,《刑法》第二百八十五条非法获取计算机信息系统数据、非法控制计算机信息系统罪,这个罪名真正保护的法益是“社会公共秩序”,而不是某一家或者某一类市场主体的商业利益。而且,刑法有独立的价值,我们应该反对“法律工具化”,应当尊重刑法的谦抑性,反对刑法重锤成为解决民事纠纷、行政监管缺位的首位选择。



二、解读《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》


10月25日,最高人民法院、最高人民检察院发布《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》(法释〔2019〕15号)。《解释》对于拒不履行信息网络安全管理义务罪的前提要件和入罪标准等多种情形作出了明确规定,《解释》不仅界定了“网络服务提供者”的范围,还提到“网络平台‘泄露行踪轨迹信息、通信内容、征信信息、财产信息五百条以上的’可入罪。”


肖飒律师认为,《解释》的犯罪主体基本囊括全部触网企事业单位,适用对象几乎覆盖任何一家互联网企业,这些企业及均有刑法上的义务,即信息网络安全管理义务。



(一)网络接入、域名注册解析等信息网络接入、计算、存储、传输服务。 

(二)信息发布、搜索引擎、即时通讯、网络支付、网络预约、网络购物、网络游戏、网络直播、网站建设、安全防护、广告推广、应用商店等信息网络应用服务。 

(三)利用信息网络提供的电子政务、通信、能源、交通、水利、金融、教育、医疗等公共服务。


值得注意的是,《解释》第三条指出,拒不履行信息网络安全管理义务,符合情形的应当认定为“致使违法信息大量传播”。当前,公民个人信息泄漏事件报道很多,原因复杂,且与公民自身安全保护意识有关,但网络平台不履行信息网络安全管理义务,仍是相关问题屡禁不止的重要原因。


但是,相关人士对于“拒不履行义务”的认识或者理解并不到位。肖飒律师认为,只要行为人已经认识到了自己有网络安全管理义务,而且达到了“拒不履行”的程度,且认识到这是违法信息,即便违法信息的传播结果并不是一开始能预料到的,比如一条违法信息一直没有处理,突然某天大量传播,仍然要被定罪处罚。也就是说,认定“致使违法信息大量传播”并不要求对违法信息大量传播的结果有认识,相关互联网业务人员肯定觉得很冤枉,这违法信息一开始没有被大量传播,为什么我要受刑事处罚。但这并不冤枉,因为从因果关系角度来看,没有拒不履行义务的行为,就不会有违法信息的大量传播,即使这种传播超出了当时的预料,根源也是因为在于拒不履行义务。总的而言,只要从事互联网相关业务,就默认从业人员知道这个义务。从2019年11月1日《信息网络解释》正式实施开始,只要你知道或者应当知道,并不以你实际上知道不知道为准。


因此,各企业乃至活跃网络的所有人应清醒地认识到,互联网从来不是“法外之地”。不要过于放松,管好自己的嘴,否则可能陷入麻烦,甚至承担法律责任。近期,由于因数据抓取问题涉案的IT技术人员基本学历较高,且绝大多数是偶犯,作为网络基础设施的直接参与者、建设者,技术人员务必要提高法律意识,注意防范风险。



附:程序员可能涉及的刑法风险


一般而言, 公安机关找到下列证据就能证明该行为人明知犯罪还提供支持和帮助:

(一)经监管部门告知后仍然实施有关行为的。

(二)接到举报后不履行法定管理职责的。(客服、投诉处理等部门务必重视举报等事件)

(三)交易价格或者方式明显异常的。

(四)提供专门用于违法犯罪的程序、工具或其他技术支持、帮助的。(在真实案例中,一位高校教师因为专门制作某类大宗商品交易平台,差点被公安机关带走) 

(五)频繁采用隐蔽上网、加密通信、销毁数据等措施或使用虚假身份,逃避监管或者规避调查的。(区块链的风险存在)

(六)为他人逃避监管或规避调查提供技术支持、帮助的。(这里有讨论的余地,“逃避监管”不应等于“构成犯罪” ,这两者之间应该还有行政法规等法律缓冲地带进行规制)

(七)其他足以认定行为人明知的情形。(例如在微信上各种沟通、留言等内容)




协会微信二维码
首页|走进协会|网站地图|联系我们
协会电话: 010-57537130 金融消费者投诉、法律咨询服务:400-661-9609
技术支持:北京市互联网金融行业协会
备案/许可证号:京ICP备15003447号 京公网安备 11010102001829号
访问次数:22168532
首都金融安全微信二维码