我國目前并未出臺專門針對網(wǎng)絡爬蟲技術的法律規(guī)范，但在司法實踐中，相關判決已屢見不鮮，K 哥特設了“K哥爬蟲普法”專欄，本欄目通過對真實案例的分析，旨在提高廣大爬蟲工程師的法律意識，知曉如何合法合規(guī)利用爬蟲技術，警鐘長鳴，做一個守法、護法、有原則的技術人員。

案情介紹

2014 年 5 月初，被告人翁秀豪發(fā)現(xiàn)淘寶店鋪源碼存在漏洞，利用該漏洞可以在店鋪源碼中植入一個 url，執(zhí)行該 url 指向的 javascript，以獲取訪問被植入 url 的淘寶店鋪的所有淘寶用戶的 cookie（淘寶用戶登錄時產(chǎn)生的一組認證信息，利用 cookie 可以執(zhí)行對應帳號權限內的所有操作，無需帳號、密碼），并利用其中的賣家 cookie 將 url 再次植入賣家淘寶店鋪源碼，實現(xiàn)自動循環(huán)，獲取更多的淘寶用戶 cookie。

被告人翁秀豪向被告人黃后榮報告該情況，經(jīng)黃后榮的授意，以非法獲取 cookie 數(shù)據(jù)為目的，編寫了用于獲取 cookie 的 javascript，存儲在其租用的阿里云服務器中。自同年 5 月 15 日開始，通過上述方法非法獲取淘寶用戶 cookie 達 2600 萬余組，并將獲取的 cookie 存放在虛擬隊列中。被告人黃后榮利用被告人翁秀豪事先編寫的網(wǎng)絡爬蟲程序讀取虛擬隊列中的 cookie 并獲取淘寶用戶的交易訂單數(shù)據(jù)（內容包含用戶昵稱、姓名、商品價格、交易創(chuàng)建時間、收貨人姓名、收貨人電話、收貨地址等）達 1 億余條。

浙江淘寶網(wǎng)絡有限公司技術人員王某稱，浙江淘寶網(wǎng)絡有限公司在例行檢查中發(fā)現(xiàn)淘寶賣家訂單詳情頁面被大批量訪問，且均使用賣家登錄時瀏覽器創(chuàng)建的用戶 cookie 即登陸身份認證信息進行登陸，說明用戶的 cookie 被人盜用，對賣家店鋪的源代碼進行分析后發(fā)現(xiàn)源代碼里有一段獲取用戶 cookie 的 javascript 程序，獲取的 cookie 數(shù)據(jù)會發(fā)送到一個域名為 http://log.tbstat.cn 的站點，該域名輪巡解析到 8 臺阿里云服務器，之后通過反向連接將獲取的 cookie 數(shù)據(jù)傳輸?shù)桨⒗镌苾染W(wǎng)一阿里云服務器，該阿里云服務器的外網(wǎng) ip 地址是 112.124.59.209，服務器上有一域名為 http://tml.damaibao.cn、首頁提供給“淘名錄”客戶端軟件的站點，首頁還注明該站點擁有 500 萬細分行業(yè)買家數(shù)據(jù)和 5 億買家實時在線交易數(shù)據(jù)，該阿里云服務器又通過反向連接將 cookie 數(shù)據(jù)傳輸?shù)揭慌_ ip 地址為 110.87.189.5、歸屬在福建省福州市的服務器中。

經(jīng)查詢，上述 9 臺服務器均是被告人黃后榮注冊的，被告人黃后榮另外還注冊了兩臺阿里云服務器做“云派券”業(yè)務，以及通過訂單詳情頁面可以知道交易雙方的淘寶帳號、昵稱、聯(lián)系方式、交易創(chuàng)建時間、商品價格、數(shù)量、收貨地址、收貨人姓名和聯(lián)系電話等，正常情況下需要使用淘寶賬號和密碼登陸后才能訪問訂單頁面，使用用戶 cookie 相當于繞開了賬號和密碼的驗證過程，據(jù)統(tǒng)計，2014 年 5 月 21 日當天就有 330 萬個 cookie 被獲取。

供述情況

被告人黃后榮辯稱：

1、其是為了回傳客戶（使用云派券軟件、授權其公司操作店鋪裝修等權限）的 cookie，解決云派券斷線問題才編寫相應的程序；

2、cookie 是用戶登錄淘寶時產(chǎn)生的臨時認證信息，用戶在瀏覽每一網(wǎng)站頁面時即會產(chǎn)生瀏覽日志，同一 cookie 用戶在瀏覽多個網(wǎng)站頁面時會產(chǎn)生多個瀏覽日志，公訴機關指控的 2600 萬余組是瀏覽日志數(shù)，而非獲取的淘寶用戶 cookie 數(shù)，上述 2600 萬余組瀏覽日志中包含的用戶 cookie 存在重復，且部分 cookie 在回傳時已經(jīng)失效；

3、其等人只使用了符合云派券業(yè)務需要的賣家 cookie，回傳的買家 cookie 是過濾掉的，其他部分賣家 cookie 也未使用；

4、非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪的主觀要素是直接故意，由被告人翁秀豪編寫 js 程序的目的是獲取有效的賣家 cookie，故應以獲取的有效的賣家 cookie 數(shù)作為定案依據(jù)。

被告人翁秀豪辯稱：

1、爬蟲程序是被告人黃后榮編寫的，系在老板黃后榮的指示下實施，雖不宜區(qū)分主從犯，但在量刑時應與被告人黃后榮有所區(qū)別；

2、犯罪動機是為了解決公司業(yè)務開展過程中的技術問題，并非擾亂淘寶網(wǎng)絡的秩序、侵害淘寶用戶的利益，且 cookie 具有時效性、權限的限制性，與一般的客戶身份認證信息不同，沒有造成淘寶公司或者淘寶用戶的直接經(jīng)濟損失。

法院觀點

被告人黃后榮、翁秀豪違反國家規(guī)定，侵入計算機信息系統(tǒng)，獲取該計算機信息系統(tǒng)中存儲、處理、傳輸?shù)臄?shù)據(jù)，情節(jié)特別嚴重，其行為均已構成非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪。被告人對通過 javascript 獲取的全部 cookie 均具有概括的故意，且獲取的均為有效的 cookie，之后 cookie 是否失效，是否被實際使用，指向的是否為同一淘寶用戶等均不影響其非法獲取計算機信息系統(tǒng)數(shù)據(jù)這一事實的認定，也不影響對二被告人的定罪量刑，上述辯解及辯護意見，均不予采納。

本案被告人主要違反了以下法律法規(guī)：

1、《中華人民共和國刑法》第二百八十五條第二款：此條款規(guī)定了非法獲取計算機信息系統(tǒng)數(shù)據(jù)、非法控制計算機信息系統(tǒng)功能、非法獲取計算機數(shù)據(jù)、非法控制計算機信息系統(tǒng)等行為，情節(jié)嚴重的可處三年以下有期徒刑或拘役；

2、《中華人民共和國刑法》第二十五條第一款：該條款規(guī)定了單位犯罪的情形，單位犯罪的單位刑事責任由單位負刑事責任的主管人員承擔；

3、《中華人民共和國刑法》第六十七條第三款：此款規(guī)定了數(shù)據(jù)、資料在計算機信息系統(tǒng)中破壞或者刪除，情節(jié)嚴重的可處三年以下有期徒刑、拘役或者管制；

4、《中華人民共和國刑法》第五十二條：該條規(guī)定了非法利用信息網(wǎng)絡罪，對非法為他人提供入侵、非法控制計算機信息系統(tǒng)工具的，情節(jié)嚴重的可處三年以下有期徒刑或拘役，并處罰金；

5、《中華人民共和國刑法》第五十三條：此條規(guī)定了非法侵入計算機信息系統(tǒng)罪，對非法侵入計算機信息系統(tǒng)的，情節(jié)嚴重的可處三年以下有期徒刑、拘役或者管制，并處罰金；

6、《最高人民法院、最高人民檢察院關于辦理危害計算機信息系統(tǒng)安全刑事案件應用法律若干問題的解釋》第一條第一款第（二）項、第二款第（一）項、第十一條：這些解釋是為了指導在危害計算機信息系統(tǒng)安全的刑事案件中的適用法律。其中第一條第一款第（二）項是指在情節(jié)較輕的情況下，對被告人實施刑事拘留；第二款第（一）項是對涉及計算機病毒、木馬等破壞性程序的行為，以刑事拘留或者逮捕對被告人實施限制自由；

7、《最高人民法院關于適用財產(chǎn)刑若干問題的規(guī)定》第一條、第二條第一款：這些規(guī)定主要是為了規(guī)范在刑事案件中適用財產(chǎn)刑的情形。財產(chǎn)刑是指對犯罪分子的財產(chǎn)進行處罰。第一條規(guī)定了在適用罰金時應當考慮犯罪分子的財產(chǎn)狀況；第二條第一款規(guī)定了適用沒收財產(chǎn)刑時應當依法進行財產(chǎn)評估。

判決情況

一、被告人黃后榮犯非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪，判處有期徒刑六年，并處罰金人民幣六萬元（刑期自判決執(zhí)行之日起計算。判決執(zhí)行前先行羈押的，羈押一日折抵刑期一日。即自 2014 年 5 月 28 日起至 2020 年 5 月 27 日止。罰金限判決生效后十日內繳納）；

二、被告人翁秀豪犯非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪，判處有期徒刑五年八個月，并處罰金人民幣五萬五千元（刑期自判決執(zhí)行之日起計算。判決執(zhí)行前先行羈押的，羈押一日折抵刑期一日。即自 2014 年 5 月 28 日起至 2020 年 1 月 27 日止。罰金限判決生效后十日內繳納）。

判決文書

（2014）杭余刑初字第1231號

案例分析

cookie 的作用有很多，本案中提到的 cookie，主要作用為會話管理，也就是在用戶與網(wǎng)站進行交互時跟蹤會話，通過在用戶訪問網(wǎng)站時設置一個會話 cookie，網(wǎng)站可以在用戶瀏覽網(wǎng)頁時識別用戶，并在整個會話期間保持登錄狀態(tài)。

舉個例子，第一次進入某個網(wǎng)站時，會要求登錄賬號，首次登錄之后，一段時間內，再次訪問該網(wǎng)站，就不用再次登錄了。而過段時間可能需要重新登錄，這就是因為之前的 cookie 過了有效期，失效了。

cookie 也是有一些缺陷的，比如數(shù)據(jù)安全保障能力不足，存在被跨站點腳本攻擊（XSS）的可能。

交易訂單數(shù)據(jù)只有賣家能看到，本案被告人通過一定的方法（非爬蟲技術）獲取了大量的賣家登錄態(tài)的 cookie，搭建 cookie 池，從而對買家的用戶昵稱、商品價格、交易創(chuàng)建時間、收貨人姓名、收貨人電話、收貨地址等數(shù)據(jù)進行爬取，收貨人姓名、收貨人電話、收貨地址這些都屬于隱私數(shù)據(jù)，這些數(shù)據(jù)是正常用戶無法看到的，這是違背爬蟲原則的行為，侵害了公民的個人隱私信息，觸犯了法律法規(guī)！

技術本身是無罪的，但謹記不要利用技術來實施可能違法犯罪的行為，法律的重錘降到頭頂?shù)哪且豢淘俸蠡诰褪裁炊纪砹?。即便是公司的需求，也要仔細權衡后再?zhí)行，不然一旦違法，不僅不會保你，還有可能成為上層脫罪的說辭（參考本案）。

近年來公民的個人隱私數(shù)據(jù)頻繁泄露，所有人都該敲響警鐘，網(wǎng)絡安全的維護刻不容緩，望各位都能成為鑄盾的斗士！