网络爬虫是一种自动化的程序脚本，利用一定的算法规则，能够在短时间内自动获取大量互联网网页中的图片或文本等信息，然后把爬取的信息存储到自己的计算机上。并且网络爬虫还能根据某些关键词，对想要获取的结果实现精准搜集。网络爬虫在如今的信息时代得到了广泛的应用，其中包括利用网络爬虫爬取个人信息。例如，企业可以利用网络爬虫爬取到“新浪微博”APP中的用户地址、浏览记录等信息，通过大数据分析后企业能够进行更为精准的用户画像，精准把握用户需求的同时提升用户体验。随着科技手段的不断发展，网络爬虫获取一条个人信息的速度已达毫秒级，如果行为人利用爬虫进行违法犯罪活动，与传统的个人信息获取方法相比具有更大的危害性，这也要求刑法特别关注个人信息爬取行为，防止对公民个人利益造成巨大损失。但实务中对网络爬虫的打击存在矫枉过正的情况，通过否定爬取行为正当性以及限制爬取行为出罪事由的方式而导致了“过罪化”的趋势，这反而阻碍了信息的流通与利用。例如，在“周某侵犯公民个人信息案”中，周某从事贷款业务，为了评估贷款用户的资产信用情况，周某会经贷款用户授权后代替贷款用户登录淘宝、学信网等网站，利用爬虫技术爬取贷款用户本人账户内的通话记录、社保、公积金记录等个人信息。法院最终认定周某的行为属于非法获取他人个人信息，成立侵犯公民个人信息罪。该案中，周某利用爬虫爬取个人信息的行为已经获得了个人同意，依然被认定为犯罪。理论上也有学者指出，目前对网络爬虫爬取个人信息行为的入罪边界依然不够清晰，例如，将违反合同授权的信息爬取行为一概认定为犯罪，模糊了民事不法与刑事不法的界限，导致对信息爬取行为的刑事打击日趋严厉，不符合如今数据流通和再利用的时代背景。数据流通对社会发展具有重要意义。据统计，2022年网络爬虫机器人的活动使用了30.2%的全球互联网流量，爬虫技术已经在网络中得到了大量的应用，在信息流通过程中具有重要的作用。并且，社会为网络爬虫的应用投入了大量资金，如果动用刑法过度打击网络爬虫将不利于大数据时代背景下的社会发展。美国仅2020年就有约800亿美元用以研究如何开发网络爬虫以优化搜索引擎（Search Engine Optimization），进而提高信息获取效率。欧洲采取严格的信息流通管制措施，已经导致欧盟范围内的风险交易数量下降了17.6%，并且每笔交易的金额下降了39.6%，致使平均每个欧盟成员国因此遭受了1390万美元的损失。因此，我国对于信息流通的刑事打击需要维持在合理范围内，不能因盲目的刑事打击而阻碍信息产业的良好发展。本文拟通过对188个样本案例进行研究，分析网络爬虫爬取个人信息过罪化的原因，并结合信息开放流通的时代背景进行分析，以期能够划清网络爬虫犯罪的刑事边界，统一司法实务对这一问题的认识，在惩罚犯罪与合理利用信息之间寻求平衡。

一、个人信息爬取行为“过罪化”的实务现状

　　通过对样本案例进行梳理发现，实务上对利用网络爬虫进行的个人信息爬取行为入罪呈现扩张化的趋势，一定程度上阻碍了信息流通，其表现形式如下。

（一）将个人授权的爬取行为入罪

　　得到个人授权的爬取行为，基于被害人承诺应当具有出罪的效力。2021年《个人信息保护法》第13条第1款第1项规定，取得个人的同意后，个人信息处理者就可以处理个人信息。根据这一规定，个人既然授权行为人爬取自己的个人信息，那么行为人爬取经授权的个人信息就具有合法性，不应当认定为侵犯公民个人信息罪。但是，部分样本案例将经个人授权的爬取行为认定为侵犯公民个人信息罪，忽略了公民个人的同意权。

　　首先，样本案例中有11%的案例将公民授权他人从自己的电子设备中爬取个人信息的行为也认定为侵犯公民个人信息罪。例如，行车记录仪、车载摄像头等电子设备已经广泛普及，可以利用内置的智能传感器捕捉并储存大量的车辆轨迹信息。据统计，2023年我国传感器市场规模达3644.7亿元，三年复合增长率达13.6%，高于全球平均水平。以传感器为核心的行车记录仪和车载摄像头既然是公民个人的电子设备，公民就应当对其中的个人信息具有处置权。如果公民明确同意他人从自己的手机中获取个人信息，也就表示公民愿意将自己的信息透露给他人，对此刑法不应当强行干涉。但是部分案例认为，即使是经过公民授权同意，从公民行车记录仪中爬取个人信息的行为也依然构成侵犯公民个人信息罪。例如，在“石某侵犯公民个人信息案”中，石某开发了一款爬虫程序，可以用来爬取车辆行车记录仪中的车辆轨迹信息。石某利用这款爬虫程序开展“找车”业务。客户需要贷款买车时，石某便与公民签订融资租赁合同。石某会在客户同意的情况下，在车辆行车记录仪中植入该爬虫程序。后续如果客户没能及时还款，则石某就利用爬虫程序爬取车辆的轨迹信息，从而定位该车的位置，将车拖走。法院认为，个人信息与公民的人身财产紧密相关，即使石某的爬取行为得到了公民的同意，依然成立侵犯公民个人信息罪。理论上也有学者提出反对意见，认为客户授权石某爬取信息的行为属于被害人同意，本应具有出罪的效力。

　　其次，公民授权他人从第三方网站中爬取个人信息的行为，也被认定为侵犯公民个人信息罪。公民个人信息会部分存储在如微信、淘宝等第三方网站中。与储存在公民个人设备中的个人信息不同，第三方网站往往设置有反爬虫措施来防止他人爬取网站中的个人信息。例如，阿里巴巴在其旗下的淘宝、支付宝等软件中都设置有“阿里云盾反爬虫”程序（Anti-Bot），用以防止他人利用爬虫爬取软件内的用户信息。因此行为人未经第三方网站授权，绕过反爬虫措施爬取个人信息的行为，似乎因为未得到网站授权而成立侵犯公民个人信息罪。但是网站设立个人信息反爬虫措施的初衷在于，保护网站用户的个人信息免受外界的非法获取。个人虽然将个人信息授权给第三方网站使用，但由于个人信息的授权不具有排他性，第三方网站的权利不应对抗个人的其他授权。行为人既然对于个人信息的获取已经获得了个人授权，那么使用爬虫技术只是提高了信息的获取效率，不应当成立侵犯公民个人信息罪。

　　但是，部分样本案例依然认为，只要越过了反爬虫限制，即使爬取行为得到了个人授权，也成立侵犯公民个人信息罪。例如，在“王某某侵犯公民个人信息案”中，王某某从事放贷业务，经过授权之后，王某某利用爬虫技术绕过淘宝、支付宝等第三方平台的反爬虫措施，爬取个人的淘宝交易记录、花呗记录、芝麻分记录等个人信息。公诉机关以诈骗罪提起诉讼，法院认为，放贷业务员明确告知且没有隐瞒与贷款相关的事实真相，也没有使借款人产生错误认识，其放贷行为不符合诈骗罪的构成要件。但爬取公民个人信息的行为属于以非法方式获取个人信息，最终认定成立侵犯公民个人信息罪。该案中，法院没有认定成立诈骗罪，说明法院认为公民个人没有对贷款的相关事宜陷入错误认识，那么其授权就应当是有效的。但是法院认定王某某成立侵犯公民个人信息罪，对该授权的有效性进行否定，这显然是矛盾的判断。

（二）将爬取已公开个人信息的行为入罪

　　根据个人信息对于社会公众的公开程度不同，可以将个人信息分为已公开个人信息与一般个人信息。个人信息既然予以公开，就说明公民允许社会公众获知该信息，因而已公开个人信息的需保护性相比一般个人信息更低。但是，实践中对于已公开个人信息的爬取行为是否成立侵犯公民个人信息罪，同案异判的现象较为严重。具体而言，有62%的样本案例都忽视了爬取对象的公开性，认为即使行为人爬取的是公开个人信息，也应当认定为侵犯公民个人信息罪。仅有37%的样本案例认为爬取已公开个人信息对公民个人权益的危害程度不大，法院最终做出无罪判决。

　　部分样本案例认为，利用爬虫爬取已公开个人信息的行为成立侵犯公民个人信息罪。这类案例在论证行为人利用爬虫爬取的行为是否具有合法性时，往往忽视个人信息本身的公开性，直接以使用爬虫为由认定行为人构成侵犯公民个人信息罪。例如，在“彭某某侵犯公民个人信息案”中，彭某某利用爬虫技术爬取网上公开的个人信息，并将其整理出售给他人以牟取利益。辩护人提出由于被爬取的信息属于已公开个人信息，彭某某的爬取行为本身并不构成犯罪，彭某某仅就其后续的出售行为承担刑事责任。但是法院认为，彭某某利用爬虫爬取已公开个人信息的行为属于“非法获取公民个人信息”，认定彭某某构成侵犯公民个人信息罪。又如，在“莫某某侵犯公民个人信息案”中，莫某某为了开展微商业务，购买某爬虫软件并利用爬虫爬取网络上已经公开的公民电话号码和淘宝账号信息用于推销产品。法院在判断莫某某的行为性质时认为，莫某某通过付款购买取得爬虫软件的使用权限，然后用该软件获取个人信息，其本质上是通过购买的途径获取公民个人信息，应认定为“非法获取公民个人信息”，成立侵犯公民个人信息罪。该案中，法院将购买软件并用于爬取个人信息的行为等同于购买个人信息，没有考虑信息的公开属性，进而将爬取行为认定为侵犯公民个人信息罪。

　　也有部分样本案例认为，利用爬虫爬取已公开个人信息的行为不成立侵犯公民个人信息罪，爬取已公开个人信息并不具有严重的社会危害性。例如，在“徐某侵犯公民个人信息案”中，徐某通过制作爬虫软件从“企查查”“天眼查”等网站上获取企业法人的联系方式等个人信息，将获得的个人信息出售给他人牟利。法院认为，徐某爬取已公开个人信息的行为属于“合法收集公民个人信息”，没有将徐某爬取个人信息的行为认定为犯罪，仅将后续的出售行为认定为侵犯公民个人信息罪。其理由在于，已公开的个人信息爬取行为没有侵犯到个人的利益，在实质上并未违反法律规定，爬取行为具有合法性。并且法院没有因为后续的非法出售行为，就反推前面的爬取行为属于“非法获取行为”，而是一分为二地看待。

（三）将违反企业内部治理规则的信息爬取行为入罪

　　依照我国《刑法》第253条之一的规定，只有“违反国家有关规定”的行为，才能成立侵犯公民个人信息罪。2017年最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第2条规定，“违反国家有关规定”是指违反法律、行政法规、部门规章中有关公民个人信息保护的规定。如果违反的规定效力低于部门规章的，就不应当属于“违反国家有关规定”，也就无法成立侵犯公民个人信息罪。但是部分样本案例将仅仅违反企业内部治理规定的信息爬取行为认定为侵犯公民个人信息罪，不当扩张了刑法的处罚范围。

　　部分样本案例认为，只要利用爬虫技术的信息获取行为违反了行为人所在的企业的内部规定，就成立侵犯公民个人信息罪。例如，在“张某某侵犯公民个人信息案”中，张某某是上海某教培机构的课程顾问，为了向学生家长推销课程，张某利用爬虫技术进入企业内部数据库，爬取学生家长的姓名、联系方式等个人信息2万余条。法院认为，张某某利用爬虫技术私自进入企业数据库爬取个人信息的行为侵害了学生家长对自己的信息被他人了解、收集、使用的合法权益，成立侵犯公民个人信息罪。学生家长为了了解课程信息把自己的个人信息提供给教育机构，那么，工作人员利用这些个人信息来开展课程宣传就是完全正当的业务，这一行为不会侵害到学生家长的合法权益。张某某利用爬虫软件私自进入数据库调取信息，本质上是违反了企业关于获取客户信息的规定，却被法院认定为“违反国家有关规定”的侵犯公民个人信息罪，导致刑法打击范围被不当扩大。

　　也有部分样本案例认为，数据爬取行为如果只是违反了企业内部治理规则而没有违反国家规定，不构成侵犯公民个人信息罪。例如，在“李某侵犯公民个人信息罪”中，李某是北京某资产管理企业的内部员工，该企业明确规定了不允许员工以任何方式下载泄露客户信息，李某作为业务员有查看的权限而没有下载的权限。但是为了能与更多的客户沟通以提升自己的工作业绩，李某利用爬虫技术爬取企业系统中对内部员工公开的客户信息94614条。辩护人认为李某通过爬虫下载的9万余条公民个人信息属于企业内部公开的客户信息，其收集客户信息的目的是开展正当的企业业务，虽然爬取行为违反了企业规定，但是未违反国家有关规定，李某的行为不成立侵犯公民个人信息罪。法院采纳了该意见。该案中，客户已经授权将个人信息提供给企业，只要企业对这些信息的使用行为不违反授权的约定，那么就不属于“违反国家有关规定”。至于企业内部如何管理、使用这些个人信息，刑法不应过分干涉。李某作为企业的员工只是违反了企业的内部规定，对客户信息的使用依然在客户授权的范围内。

二、个人信息爬取行为“过罪化”是对信息流通的忽视

　　实务中，对个人信息爬取行为的刑事打击力度过大，未能充分考虑到信息时代信息流通的核心价值。在信息时代，公民理应有权依据自身意愿自由交换和流通信息，这一行为对创造社会价值具有重要意义。然而，在过度依赖刑法制裁的同时，我们却忽略了其他法律救济手段在保护公民个人信息方面的重要作用。

（一）未重视信息流通主体的本人意愿

　　信息流通主体个人愿意将个人信息提供给他人，是个人信息得以流通的基础。在信息时代，公民个人能够更加方便快捷地表达自己的个人信息流通意愿，公民个人意愿应当得到重视。本人意愿在信息流通过程中起重要作用，刑法应当尊重公民本人意愿以维护信息流通。在信息技术尚未高度发展时，信息的价值没有得到充分的认识和发掘，公民个人也没有动力去主动提供自己的个人信息，不会积极表达参与个人信息流通的意愿。但随着科技的发展，个人信息的拥有者可以很便捷地将自己的个人信息投入流通环节以达成自己的目的。例如，“领英”（linkedIn）是一家职业社交网站，用户为了谋求更好的工作机会，在“领英”平台上展示自己的联系方式、工作经历等个人信息以换取面试求职的机会。截至2024年6月，“领英”在全球200多个国家和地区拥有超过10亿的会员，并且以每秒超过两位新会员的速度不断增长，说明越来越多的用户愿意将自己的个人信息投入市场流通中去。有学者专门挑选了平均年龄为24.3岁的294名志愿者并进行问卷调查，询问他们在激烈的市场竞争中是否愿意披露自己的个人信息。结果显示，超过半数的志愿者都认为，在现代市场中为了进行竞争愿意披露自己的个人信息给第三方。这也说明了在如今竞争激烈的市场环境下，公民主动提供个人信息换取竞争优势的意愿更加强烈。又如，据统计，为了换取更加优质的服务，90%的中国消费者实际上愿意分享一些个人信息给品牌方，如电子邮箱地址、购物记录和消费喜好。如今公民具有将自己的个人信息提供给他人的意愿，刑法就不应当对此进行过度干预而对信息流通设置障碍。

　　忽视公民个人的风险识别能力，以个人缺乏信息保护意识为由否定个人意愿，是侵犯公民个人信息罪过度扩张的一个重要原因。该类型案例的判决认为，如今的公民个人还不能认识到个人信息的流通风险，刑法应当予以特殊保护，即使个人授权行为人进行信息爬取行为，也不能否定侵犯公民个人信息罪的成立。例如，在“汤某某等侵犯公民个人信息案”中，汤某某等人从事高利贷业务。汤某某在获取借款人的授权之后，利用爬虫软件获取借款人手机内的姓名、联系方式等个人信息。如果借款人到期未还款，汤某某等人会利用该个人信息进行软暴力催收。法院认为，虽然这些信息是经过授权后爬取的，但这是由于公民的个人信息保护意识不强，无法构成有效授权，汤某某等人的行为依然成立侵犯公民个人信息罪。随着社会对个人信息保护意识的不断发展，我国民众的个人信息保护意识已经得到增强。据统计，2018年认真阅读完应用权限和用户协议或隐私政策文字说明的网络用户仅占26.7%。但是截至2023年，已经有62.82%的受访者表示，会认真阅读企业提供的个人信息收集和处理规则。公民对于个人信息收集规则的认知提升，说明了公民在提供个人信息时能够清晰地认识到个人信息保护的重要性。随着公民对个人信息的重要性、安全性、流通性认识变化的背景下，在公民能够认真对待自己的个人信息的情况下，刑法应当充分尊重公民的个人意愿。如果公民自愿将个人信息交付给他人进行使用，那么就不需要刑法多加干涉，也就不应当被认定为侵犯公民个人信息罪。反之，只有在公民个人没有风险识别能力时，才能否认个人意愿，将相关行为认定为侵犯公民个人信息罪。例如，老年人缺乏信息风险识别能力，据统计，我国仅有7.2%的老年人能够清晰甄别网上可能产生的电信诈骗、个人信息泄露等网络风险。老年人属于数字弱势群体，难以准确评估同意他人爬取自己的个人信息所产生的风险后果，对于这类人群应当加以特殊保护。

（二）未评估信息流通过程中创造的社会价值

　　个人信息是如今的重要资源，个人信息的流通在社会价值的创造方面发挥了重要的作用。网络爬虫的使用极大地提高了个人信息的收集效率，充分发挥了个人信息的社会价值。在如今的信息时代，个人信息的社会价值越发凸显，社会需要允许而不是全面禁止信息流通，需要更加完善的法律制度在合理保障信息安全的前提下促进信息流通，而非只将刑法作为保护公民个人信息的主要甚至唯一手段。信息时代下的信息流通带来了巨大的经济利益。据统计，早在2014年全球信息流动直接创造的价值就高达2.8万亿美元，预计到2025年，信息流动对全球GDP的贡献价值将达到11万亿美元。在广泛的信息流通过程中，个人信息作为信息的主要类型之一，其流通价值不容忽视。许多行业利用个人信息流通创造了巨大的商业价值。例如，人脸识别技术的发展使得以公民面部信息流通为基础的面部识别市场快速发展。据统计，截至2024年年底，我国的面部识别市场总额高达79亿美元。这表明人脸识别技术在大数据时代具有巨大的发展潜力。如果禁止他人获取公民的面部识别信息，则必将损害人脸识别市场的发展。在信息流通方面设置过于严苛的门槛，所导致的数据流通不畅已经严重损害我国的社会发展。根据国际治理创新中心的统计，信息流动壁垒已经使中国的GDP下降了0.55%，造成消费者福利损失达630亿美元，每位数据工作者的平均月工资也降低了13%。

　　信息流通价值提升的时代背景下，爬虫能够极大提升工作效率，充分满足信息流通需求，法律不应当完全禁止利用爬虫进行的信息流通。在应用层面，利用爬虫技术能够极大提高工作效率。例如，在校对文稿的工作中，运用传统的人工校对审查方式对一个术语的正确性进行审校，平均用时为30秒，但是应用审校辅助爬虫程序后，完成一个术语的审校仅需要约5秒，工作效率得以大幅提升。在提升工作效率的同时，爬虫技术也为经济发展带来了巨大的活力。例如，零售巨头沃尔玛公司的研究人员利用爬虫爬取大量的用户订单信息并进行信息挖掘，发现四成左右的年轻爸爸在购买婴儿尿布时会顺手买点啤酒犒劳自己，便对这两种商品进行了捆绑销售，结果销售量双双增加。据统计，如果零售商能够利用爬虫等技术充分进行数据挖掘，其营运利润率就会有年均60%的增长空间，生产效率将会实现年均0.5%至1%的增长幅度。

　　部分样本案例扩张了侵犯公民个人信息罪的适用范围，使得以信息流通为基础的经济活动事实上难以或无法开展。例如，部分案例中，行为人为了开展借贷业务，利用爬虫爬取借款人姓名、电话号码等个人信息，被认定为侵犯公民个人信息罪。但是，收集个人信息以便未来进行催收工作，就贷款业务而言本就是十分有必要的。2021年国家互联网信息办公室等四部门联合发布的《常见类型移动互联网应用程序必要个人信息范围规定》第5条第12项规定：“网络借贷类APP的必要个人信息包括：注册用户移动电话号码、借款人姓名、证件类型和号码、证件有效期限、银行卡号码。”这说明在前置法律规范看来，在借贷过程中收集部分个人信息被认为是十分必要的。在前置法已经认可的情况下，如果刑法再继续不允许网贷平台收集借款人的姓名与电话号码等个人信息，网贷平台就无法在借款人未按期还款时进行及时催收，网贷业务就无法可持续地运营下去。根据中国人民银行发布的2024年三季度小额贷款企业统计数据报告，截至2024年9月末，全国共有5385家小额贷款企业，与2015年的8910家企业相比明显减少。贷款余额也下降至7514亿元，仅三季度一季就减少167亿元。在国家小额贷款业务开展艰难的情况下，刑法如果还过度打击贷款经营活动中必要的信息收集活动，从业者就更加不敢进入小额贷款行业，将导致小额贷款行业的进一步萎缩。

（三）未考察信息流通对个人利益的危害程度

　　在个人信息保护的法律体系中，刑法应当居于最后地位，只有严重侵害公民个人利益的个人信息爬取行为才能被认定为犯罪。2009年施行的《刑法修正案（七）》第7条就已经增设了出售或非法提供公民个人信息罪和非法获取公民个人信息罪，用以打击侵犯公民个人信息的行为。直到2021年，系统的《个人信息保护法》才正式出台。在个人信息保护初期缺乏前置法的规定，刑法不得不扩张适用范围来保护公民个人信息。而《个人信息保护法》规定了行政责任与民事责任并存的二元实施机制，在个人信息保护的前置法律规范已经日渐完善的情况下，如果在处理个人信息违法问题时还优先进行刑事打击，就突破了刑法谦抑性的限制，也导致公民个人信息的保护在民事、行政领域流于形式。

　　以行为违反行为人所在企业的内部规定为由，将利用爬虫爬取个人信息的行为认定为侵犯公民个人信息罪，这一做法就是没有充分考虑信息流通对个人利益的危害程度。公司出于自身利益考量，在制定内部规定时往往会对内部员工做出比法律规定更加严格的限制。有论者查询了2010年至2019年沪深A股上市的3468家公司的公司章程，并统计了这些公司的违规数据，结果发现公司章程的严格程度与公司的违规频率呈现负相关。这说明了公司章程规定得越严格，企业的违规风险越小，越符合企业长期发展利益。但是比法律更加严格的企业章程也意味着，即使员工违反了企业章程，也未必就会违反法律规定。如果员工违反了公司内部规定爬取个人信息，虽然会违背公司的利益需求，但是只要没有违背法律的规定，其爬取行为的影响范围也就仅限于公司内部，而不会严重影响公民本人的个人利益，不应认定为侵犯公民个人信息罪。但部分样本案例怠于考察爬取行为对公民个人利益的侵害程度，一律认定为侵犯公民个人信息罪，过度扩张了刑法的适用范围。例如，在“孟某侵犯公民个人信息案”中，孟某是某企业的一名员工，该企业禁止员工获取企业内部信息。孟某违反企业规定，获取企业内部的员工信息并储存在自己的电脑中。法院认为，孟某的行为成立侵犯公民个人信息罪。但是，孟某作为企业的员工，本身能够浏览到员工的个人信息，对于孟某而言，这些个人信息属于在企业内部公开的信息。并且，没有证据表明孟某在获取这些个人信息后提供给他人，个人信息并未从企业内部泄露出去，不会对员工的利益产生严重威胁。孟某的行为仅仅是违反了企业的内部规定，而没有实质上违背关于个人信息保护的相关规定。孟某的行为应当依照企业内部规定进行处理，而无需上升到刑法处罚的高度。

三、信息流通背景下个人信息爬取行为入罪限度的理论分析

　　既然个人信息爬取行为在实务中的过罪化问题源自对信息流通的忽视，那么就应当结合个人信息流通的特点来为个人信息爬取行为的入罪范围划定界限。个人信息流通的基础是个人主观上的知情同意，在行为人利用爬虫爬取个人信息时，个人主观上的不同态度决定了爬取行为是否需要予以刑事处罚。具体而言，个人授权给行为人爬取个人信息时，由于行为人获取了个人同意，不应作为犯罪处罚。如果公民个人公开了自己的个人信息，并且行为人在合理范围内爬取并使用个人信息，这种行为也不应成立侵犯公民个人信息罪。而当个人没有授权或公开自己的个人信息时，原则上爬取行为具有非法性，但还需要结合刑法谦抑性的要求划定刑法的打击范围。

（一）知情同意是个人信息爬取行为的核心出罪事由

　　行为人直接从个人手中爬取个人信息时，如果获取到了知情同意，行为人的爬取行为就不具有刑事违法性。2021年出台的《个人信息保护法》作为侵犯公民个人信息罪最重要的前置法规范，构建了以“告知－同意”为核心的个人信息处理规则，也说明了知情同意是个人信息获取行为合法化的核心依据。在《个人信息保护法》将知情同意作为个人信息获取的正当化事由时，刑法就更应当将知情同意作为侵犯公民个人信息罪核心的出罪事由。个人为了达成某种交易目的，可能同意行为人从自己的手机、电脑等电子设备中爬取个人信息。此时如果行为人具有一定的同意能力，并且对于同意的后果具有预见可能性，那么这种同意就应当具备出罪的效力，在个人同意下的个人信息爬取行为就不能成立侵犯公民个人信息罪。

　　首先，知情同意的前提是公民具有一定的同意能力，能够认识到自己同意他人爬取个人信息的意义以及潜在的风险。如果公民无法认识到自己对爬取行为的同意意味着什么，这种同意也就无法产生同意的效果。例如，未成年人不具有较好的信息风险识别能力，其不能独立进行信息授权。据统计，我国当前未成年网民达1.91亿人，未成年人互联网普及率高达96.8%。但同时，未成年人遭遇过网络安全事件的比例达25.5%，未成年人个人信息泄露问题有上升趋势。未成年人个人信息泄露的原因在于未成年人对个人信息的保护意识不足。据《青少年蓝皮书：中国未成年人互联网运用报告（2024）》统计，有超过30%的未成年人会将自己的性别、年龄等个人信息主动展示在社交媒体上。未成年人由于还没有完全进入社会，对于个人信息的社会意义认识不足，容易轻率地将自己的个人信息提供给他人。不能认为未成年人具有同意能力，即使其授权他人爬取个人信息，也不能成为违法性阻却事由。

　　世界上部分信息流通大国已经开始重视将个人同意能力纳入信息同意效力的考察范围。根据对市场规模的统计，2021年世界排名前三的信息流通大国是：美国、欧盟和中国。从信息流通的角度，同为信息流通大国，我国可以结合美欧的个人信息立法与司法实践，对我国个人信息爬取行为的知情同意内容提供借鉴。例如，欧盟《通用数据保护条例》（GDPR）第8条第1款规定，收集不满16周岁的儿童信息，需要对儿童具有父母监护责任的主体同意或授权。美国《儿童在线隐私保护法》（COPPA）第4条第1款规定，儿童个人信息的收集者有义务在收集信息之前获得儿童父母的同意。

　　其次，知情同意要求公民对行为人的信息处理目的表示同意。域外部分国家也将个人信息处理目的纳入个人同意内容。例如，美国《加州隐私权法》（CCPA）第4条第1款规定，收集消费者的个人信息之前，需要告知消费者“拟收集的个人信息类别和收集或使用该信息的目的”。欧盟《通用数据保护条例》（GDPR）第6条第1款第1项也规定，“个人已同意出于一个或多个特定目的处理其个人信息”，行为人的信息获取行为就是合法的。域外部分国家也强调了公民个人对于信息处理目的需要给出同意。有学者认为，即使信息处理目的通常具有非法性，但只要行为人的信息处理目的获得了个人同意，那么该个人信息处理目的就天然具有合理性。我国个人信息保护的前置法律规范虽然不同于美欧的法律实践，没有直接说明收集个人信息需要告知收集目的，但是我国前置法律规范也从侧面说明了信息处理目的是个人同意的必备要素。《个人信息保护法》第14条第2款规定，如果个人信息的处理目的发生变更的，信息处理者应当重新取得个人同意。这说明个人信息的处理目的是个人同意发生效力的核心内容。因此，如果行为人利用网络爬虫爬取个人信息时，个人同意了行为人的信息处理目的，那么就应当否定侵犯公民个人信息罪的成立。

（二）对已公开个人信息的爬取行为应通过利益衡量判断正当性

　　如果行为人从公开的网络平台中爬取个人信息，那么应当综合考量公民个人、平台的利益来判断爬取行为的正当性。据统计，国家机关、商业机构等组织从公开网络平台的开源信息中获取的信息约占信息总量的90%。例如，决策部门可以利用爬虫爬取网上的公开信息来判断公众对某一事件的舆论走向，金融机构利用爬虫可以获取企业的公开信息来评估企业的融资信用。这说明从公开的网络平台中爬取个人信息已经成为常见的信息获取方式。在这种信息获取方式中，信息的所有者将自己的个人信息放在公开的网络平台上，而不是直接将信息提供给行为人，行为人无法获取个人明确知情同意。但是既然公民将个人信息公布在网络上，说明其至少不排斥他人获知自己的个人信息，如果爬取公开平台信息的行为一律被认定为犯罪，可能违背个人公布信息的初衷。认定爬取公开网络平台上个人信息的行为是否构成侵犯公民个人信息罪，需要综合考量各方利益。

　　首先，要考虑信息处理目的是否符合公民个人利益。如果利用爬虫爬取个人信息的目的在于促进个人福利，那么这种行为不在侵犯公民个人信息罪的打击目标之中。侵犯公民个人信息罪的立法理由在于，获取个人信息已经成为诸如敲诈勒索、电信诈骗等犯罪的手段行为，刑法将非法获取个人信息的行为独立成罪，来打击侵犯公民个人、财产犯罪的手段行为。据统计，仅2021年，因个人信息泄露造成的网民总体损失就达到805亿元。这说明个人信息泄露给公民的财产安全带来巨大的危害，也体现出侵犯公民个人信息罪的适用必要性。侵犯公民个人信息罪设立的初衷既然是通过保护公民的个人信息来提前维护公民的合法权益，那么，如果行为人爬取信息的目的本身即符合个人的利益，也就没有侵害公民人身、财产权利的可能性，因此无须动用刑法予以打击。例如，企业的法定代表人信息被公开在企业网站上，本意是扩大宣传，获得潜在的商业机会。如果行为人将企业公开的法定代表人信息进行收集并传播，这种行为有助于法定代表人信息进一步宣传，符合企业利益，不应当被认定为侵犯公民个人信息罪。在“吴某侵犯公民个人信息案”中，吴某本是一家企业的业务员，在“天眼查”“企查查”等网站下载公开的各地企业工商登记信息，梳理分类后加以出售，共售出1.8万余条，获利1万余元。检察机关认为，企业的法定代表人信息的公开，本就是为了让企业获取更大的商业利益。如果限制该信息的流转、使用，反而与该信息公开的目的相违背，对吴某作不起诉处理。

　　符合公民个人利益的信息爬取行为属于经济法上的正当行为，那么这种行为就更不应当认定为刑法上的犯罪。例如，在“前锦诉逸橙不正当竞争纠纷案”中，前锦公司创建了“前程无忧”网站，用户可以将自己的简历投递在该网站上进行求职。逸橙公司创建了名为“e成”的网站，该网站利用网络爬虫技术爬取了“前程无忧”等其他招聘类网站中的求职者简历。然后“e成”网站设计了一个简历的管理系统，在这个系统里求职者可以更方便地对自己的简历进行修改。前锦公司认为，逸橙公司利用网络爬虫爬取数据的行为损害了市场竞争秩序，成立不正当竞争。但是法院认为，“e成”网站的一键式管理服务极大提高了用户的效率，尚未达到需要通过反不正当竞争法进行救济的必要。逸橙公司利用网络爬虫爬取数据的行为没有损害市场竞争秩序，不构成不正当竞争，更不构成犯罪。该案中，法院认定逸橙公司不构成不正当竞争的关键理由在于，用户在招聘网站上投放简历的目的就是为了方便求职，逸橙公司爬取用户简历中的个人信息用于创建一键式简历管理系统，实质上帮助用户提升了效率，完全符合公民本身的利益。逸橙公司利用爬虫爬取个人信息的行为完全具有正当性，不需要《反不正当竞争法》的规制，也就更不需要刑法来打击这种个人信息的爬取行为。

　　其次，要考虑信息爬取行为是否实际侵害信息所在的平台的利益，不能仅以爬取行为违反Robots协议为由认为爬取行为具有刑事违法性。Robots协议也称爬虫协议、爬虫规则等，是指网站可以建立一个Robots.txt文件来告诉搜索引擎哪些页面可以抓取，哪些页面不能抓取，搜索引擎则通过读取Robots.txt文件来识别这个页面是否允许被抓取。但是，Robots协议是企业在平台上进行的有关限制或禁止他人爬取平台数据的声明，该协议并不是具有法律效力的规范性文件，只是平台企业单方做出的声明。这种声明与刑事意义上的“合法”或“违法”判断并无必然的联系，不能依据Robots协议来判断爬虫爬取个人信息的行为具有非法性。并且Robots协议可能被平台企业滥用，从而阻碍社会正常发展。例如，学者可以通过网络爬虫爬取新闻下方的评论，来评估大众对于某一种犯罪的看法。《Nature》杂志曾经采访全球4000名博士后有关智能化程序对科研生活的影响，结果发现有31%的受访者都会利用诸如ChatGPT等智能化程序来帮助自己进行修改文字、搜集数据、整理相关领域的文献等工作。爬虫程序在帮助科学家推进科研的过程中，如果采取过于严格的信息保护措施，就会阻碍研究的进行。据统计，全球已知有408家知名新闻机构采取措施阻止他人利用爬虫从新闻网站中爬取信息，其中《纽约时报》《华盛顿邮报》《卫报》等知名新闻网站都采用了Robots协议屏蔽了人工智能网络爬虫。利用网络爬虫开展的科学研究工作不会侵害到新闻平台的利益，但由于Robots协议而事实上无法开展，反倒有碍社会发展。Robots协议创始人Martijn Koster也曾明确指出，如果Robots协议被当成市场竞争工具，爬虫不需要采纳，所有现在和未来的爬虫机器人不必遵从Robots协议。

　　利用爬虫违反Robots协议的信息爬取行为，部分案例认为在民事上不具有违法性，在刑法上就更不能作为犯罪处理。例如，在“百度诉360不正当竞争纠纷案”中，“360搜索引擎”利用网络爬虫爬取百度公司的网站信息，然后将信息放在“360搜索引擎”的词条中，用户利用“360搜索引擎”就能搜索到百度公司的相关内容。百度公司于是设立了Robots协议禁止“360搜索引擎”爬取信息，但是“360搜索引擎”依旧违背了Robots协议，利用爬虫直接爬取百度公司网站中的信息。百度诉称“360搜索引擎”的行为属于不正当竞争，但法院认为，Robots协议的初衷并不是限制搜索引擎的爬虫爬取信息、阻碍互联网信息流动，而是通过善意的指引使搜索引擎的网络机器人能够更有效地爬取对网络用户有用的信息，从而更好地促进信息共享。百度公司的网站是一个对公众开放的网站，“360搜索引擎”对其进行信息爬取不会损害百度公司的利益，反而有利于其推广宣传，能够为百度带来更多的网页浏览量以及潜在用户。百度公司利用Robots协议限制“360搜索引擎”爬取信息的行为不利于信息的合理流通，显然有悖于Robots协议的初衷。最终，法院认定“360搜索引擎”违反Robots协议进行信息爬取的行为不构成不正当竞争。在民法和经济法上都认可的信息爬取行为，刑法就更不能仅因Robots协议就将爬取行为认定为犯罪。同时，随着民法、经济法在信息保护、纠纷的解决方面的作用日趋完善，即使违反了民法、经济法的信息爬取行为，也应该限制入罪的范围。

（三）对私密的个人信息的爬取行为应先充分利用前置规范管理

　　对未经个人授权或者公开的私密个人信息的爬取行为具有非法性，但也应当结合具体情境，充分利用前置规范加以规制，不能动辄利用刑法加以处罚。个人信息的获取和使用既然以个人知情同意作为原则，那么在个人没有授权或公开自己个人信息的情况下，行为人利用爬虫爬取个人信息的行为具有非法性，法律应当予以规制。但是刑法应当打击那些侵害公民个人权益最为严重的行为，而对轻微违反规定爬取个人信息的行为，应优先考虑利用前置规范加以管理。具体而言，对于企业内部员工违反企业管理规定爬取私密个人信息的行为，以及企业违反行业规定过度收集公民个人信息的行为，应当优先使用民法、行政法等前置规范加以管理，无须直接适用刑法。

　　首先，员工违反所在企业的内部规定，爬取企业储存的私密个人信息用于提升个人业绩的行为，应当优先适用企业内部规定、民法或者行政法等前置规范进行规制。企业收集到用户的个人信息后，往往会建立信息库来储存个人信息，并且出台规定给予部分员工访问权限。但是，可能存在员工为了获取个人信息提升业绩，超越访问权限利用爬虫私自爬取数据库中的个人信息的情况。由于员工并没有得到个人的具体授权，企业数据库中的个人信息也并未对民众公开，员工的爬取行为具有非法性。但是，员工的非法爬取行为没有实际侵害到个人权益。公民将自己的个人信息交付给企业进行管理使用，虽然没有具体授权给某个员工使用个人信息的权限，但是只要自己的个人信息没有流出企业，让企业员工获得自己的个人信息来提升企业业绩，也在个人可预见范围内，没有严重侵害所有者的信息权益，无须利用刑法加以严厉打击。并且，如果员工能够利用企业内部存储的个人信息来提升业绩，对于企业的长足发展也有好处。对于仅违反企业内部规定的个人信息爬取行为，运用企业的处罚规定进行处罚即可。

　　域外部分案例也认为，对于违反企业内部规定爬取个人信息的行为，无须进行刑法规制。美国的“United States v. Nosal”案中，Nosal曾是某猎头公司的员工。为了更多获取用户信息，Nosal违反了公司规定，利用网络爬虫从公司的机密数据库中获取用户姓名和联系方式等个人信息。美国政府认为，依据《计算机欺诈与滥用法》（以下简称CFAA）第1030（a）（5）（A）（2008）条的规定，如果任何人在未经授权的情况下访问并获取计算机中的信息，应当被处以五年以下的监禁或罚金，Nosal违反公司规定爬取信息的行为应当作为犯罪处理。美国加利福尼亚州北区联邦地区法院经审理后认为，CFAA的规定主要是为了打击外部黑客对于计算机内部信息的获取，第1030（a）（5）（A）（2008）条的规定无法适用于公司内部员工。该案中，Nosal本身是公司员工而不是黑客，其爬取个人信息后也并没有将信息外泄给他人，其行为的危害性十分轻微，不应当作为犯罪处理。法院还认为，雇主和雇员的关系传统上受侵权法和合同法管辖，如果动辄以刑法来打击违反公司规定的行为，就会导致刑法无限扩张且随着公司规定任意变动，从而破坏刑法的谦抑性与稳定性。最终，法院判定Nosal非法爬取个人信息的行为不构成犯罪。该案中，Nosal的爬取行为虽然未经授权具有非法性，但法院认为这一行为并未严重侵害到个人权益，利用民法进行规制即可，这样更加有利于信息的流通与价值实现。

　　其次，企业违反行业规定，在经营过程中过度爬取私密个人信息并使用的行为，应当优先适用民法、行政法的规定加以处理。企业在收集用户个人信息的过程中，可能存在过度收集个人信息的情况，将个人手机内未经授权的信息也一并进行爬取。过度爬取个人信息的行为没有经过用户的明确授权，必然具有违法性，但是需要结合企业的使用目的来判断是否需要刑法加以规制。如果企业只是将这些个人信息用于提升用户体验，并没有将这些信息外泄，那么就不会严重侵害到用户的个人权益，同时还能促进企业发展，那么用民法、行政法进行规制就足够。例如，网络平台会利用爬虫爬取用户的个人信息，并根据这些个人信息为用户进行个性化推荐。有学者统计了445位用户对于微信个性化推荐服务的体验，结果发现微信个性化推荐服务的增设与用户使用意愿的增强呈现正相关关系，这说明个性化推荐服务能够显著提升用户的使用体验。刑法所打击的犯罪行为，应当是具有严重社会危害性的行为。企业收集个人信息既然能够极大地有利于个人，那么这种个人信息爬取行为即使属于过度收集，也无需利用刑法加以打击。

　　企业过度收集私密个人信息，往往是出于商业利益考量，希望通过收集信息来完善自己的产品，从而提升用户的使用体验。这一行为并不会导致用户的利益遭受损失，无需利用刑法进行打击，利用民法、行政法加以规制即可。例如，在“凌某诉抖音侵权案”中，抖音用户凌某在使用抖音时发现，抖音会根据自己的账号信息向自己推荐“可能认识的人”。抖音在没有得到授权的情况下，利用网络爬虫爬取了用户手机通讯录的相关联系人信息，然后在抖音页面为用户推荐“可能认识的人”。用户凌某发现后请求法院认定抖音侵犯用户的个人信息。法院审理后认为，虽然抖音在未经用户授权的情况下爬取用户手机通讯录中的电话号码等个人信息，但其目的是让用户尽快在抖音中建立社交关系，这种爬取行为不会对凌某产生打扰，通常亦不会不合理地损害其利益。抖音爬取个人信息的行为还可以满足其他有社交需求用户的利益和行业发展的需要，属于对个人信息的合理使用。但是，抖音在为用户推荐“可能认识的人”之后，应当及时删除通讯录中的个人信息，抖音由于没有履行删除义务，属于个人信息侵权行为。该案中，法院将抖音未经授权爬取个人信息的行为进行了拆分：对于抖音获取个人信息的行为，法院认为这一行为没有极大损害用户利益的情况下有助于企业发展，无须禁止抖音的爬取行为。而对于抖音获取信息后未删除的行为，法院认为超出了合理使用的范围，应当认定为侵权行为加以规制。通过对爬取行为的拆分，法院既维护了用户的利益，也为企业后续爬取个人信息的行为提供了规范。如果该案要用刑法强加处理，将未经授权的爬取行为也一律作为犯罪处理，就会打破企业发展与用户保护之间的平衡，既不利于行业规范的完善，也不利于用户利益的保护。

四、信息流通背景下个人信息爬取行为入罪限度的具体认定

　　在认定个人信息爬取行为的入罪限度时，需要区分授权个人信息、已公开个人信息以及私密个人信息，划定不同的入罪范围。实务上在进行具体认定时，也应当依照这一划分标准来认定爬取行为是否应认定为侵犯公民个人信息罪。

（一）经主体授权的爬取行为不构成侵犯公民个人信息罪

　　个人信息的获取和使用以知情同意作为原则，只要爬取个人信息的行为得到了个人授权，就不应当再成立侵犯公民个人信息罪。同时，个人授权以主体具有授权能力作为前提，如果个人欠缺授权能力，应当得到其监护人的授权之后，才能爬取公民个人信息。

　　公民与行为人签订个人信息许可使用的合同条款，授权行为人进行信息爬取的行为不构成侵犯公民个人信息罪。个人信息许可使用的合同条款是公民表达知情同意的重要途径。2019年中央网信办、工业和信息化部、公安部、国家市场监督管理总局《关于开展App违法违规收集使用个人信息专项治理的公告》第1条第1款规定，不允许App在收集个人信息时“没有隐私政策，或者隐私政策中没有收集使用个人信息规则”。隐私政策是指App提供者向用户公布的关于个人信息采集、储存、使用等内容的文本，其意义就是帮助用户明确个人信息将会被App获取并利用。用户既然已经签订了隐私政策，就表明其同意行为人获取自己的个人信息，那么行为人基于同意做出的个人信息爬取行为就不应当作为犯罪处理。实务中部分案例认为，在个人同意隐私政策后依然认为个人信息爬取行为成立侵犯公民个人信息罪，这种观点应予纠正。例如，在“魔蝎科技公司侵犯公民个人信息案”中，魔蝎科技公司是一家网络贷款公司。魔蝎科技公司的网贷App在登录注册时会发送隐私政策给用户，列明App在运营过程中会收集的个人信息。经过贷款用户授权后，通过爬虫程序爬取用户的通信运营商、社保、公积金等个人信息，用于评估用户的贷款资质。在爬取用户个人信息后，魔蝎科技公司并没有及时删除，而是依然将信息保留在自己的数据库中。法院认为，魔蝎科技公司爬取后并未及时删除这些信息，依然属于“非法获取个人信息”，成立侵犯公民个人信息罪。在本案中，魔蝎科技公司是在用户授权同意的前提下爬取个人信息，并且在获取到个人信息后按照约定的使用用途，利用个人信息为用户审核贷款资质，魔蝎科技公司的个人信息爬取行为并未给用户带来人身财产损害。魔蝎科技公司只是没有及时删除数据库中的个人信息，属于“非法持有个人信息”，但是这种行为没有被刑法规定为犯罪。侵犯公民个人信息罪打击的是个人信息流动过程中的个人信息获取行为，而不是静止的个人信息持有行为，以非法持有个人信息的行为去反推行为人非法获取了个人信息，就会突破罪刑法定原则的限制。

（二）基于合理用途对已公开个人信息的爬取不构成侵犯公民个人信息罪

　　对于已公开个人信息的爬取，如果行为人能够在合理范围内使用这些个人信息，那么就不应当以侵犯公民个人信息罪论处。判断已公开个人信息的爬取和使用是否在合理范围内，应当综合个人以及企业利益进行判断。具体而言，以合法经营为目的的爬取行为，以及公民可预见的以出售为目的的爬取行为，都不应成立侵犯公民个人信息罪。

　　首先，以合法经营为目的的公开个人信息爬取行为不构成侵犯公民个人信息罪。从利益衡量的角度看，行为人爬取公开个人信息用于合法经营，能够促进经营业务提升。例如，某美妆品牌与阿里巴巴旗下的“天猫”购物平台展开推广合作，购物平台可以获取到公开的消费者信息，从而帮助该美妆品牌分析出消费者的购物偏好，再根据偏好设置产品的宣传策略。据统计，利用这一方法该品牌一天就新增370万的用户资产，增长幅度高达669%。在公开个人信息爬取行为能够带来巨大经济利益的前提下，由于公民已经将个人信息暴露在网络空间之中，对已公开的个人信息进行抓取，本身不会额外提升个人权益受损风险。因此，以合法经营为目的的公开个人信息爬取行为对于经济发展具有极大的好处，同时又不会严重危害公民的人身财产权益。部分实务案例的观点应予纠正。例如，在“吴某某侵犯公民个人信息案”中，吴某某是某网络科技公司的业务推销员，为了开拓市场，吴某某获取了企业已经公开的法定代表人姓名、电话等个人信息，并且利用这些个人信息来开展公司业务。辩护人认为，吴某某为合法经营而获取公开个人信息，不应当以犯罪论处。但法院最终没有采纳辩护人的意见，认为个人信息的公开性与合法经营的目的都不具有出罪效力，只要行为人在没有得到公民明确同意的情况下获取个人信息，就成立侵犯公民个人信息罪。该案中，吴某某获取公开的个人信息能够帮助吴某某提升业绩，对于公司开展业务具有正向作用。同时，吴某某将获取的公开个人信息用于合法经营，而不是用于违法犯罪活动，个人利益并不会因为吴某的行为遭受损失。从利益衡量的角度看，允许吴某某获取已公开个人信息利大于弊，不应当用刑法加以打击。

　　其次，未超出个人预期，以出售为目的的公开信息爬取行为不构成侵犯公民个人信息罪。以出售为目的爬取已公开个人信息，会导致公开的个人信息进一步被传播，增加信息被滥用的风险。此时，判断爬取行为是否需要作为犯罪处理，需要分析出售已公开的个人信息是否超出了个人预期。例如，公民在求职网站上向特定人公开自己的个人信息是为了获取潜在的工作机会，在婚恋网站上向特定人公开自己的个人信息则是为了征婚、求偶。如果行为人获取个人信息的目的违背了征婚、求偶之目的，也就超出了个人合理预期范围。在判断以出售为目的的对公开信息爬取行为是否入罪时，只要个人能够预见到自己的个人信息公开后可能被进一步传播，那么爬取并出售已公开个人信息的行为就不会损害到公民个人信息权益，也就无须利用刑法加以处理。部分实务案例将公开信息爬取行为一律认定为侵犯公民个人信息罪，这种观点应予纠正。例如，在“赵某出售、非法提供公民个人信息案”中，赵某将公开的法定代表人的姓名、联系方式等个人信息批量出售给他人进行牟利。辩护人提出，出售公开的个人信息不应当构成犯罪，但法院认为，公开个人信息应当受刑法的绝对保护，认定赵某成立侵犯公民个人信息罪。但是，法定代表人向不特定的人公开信息，本身说明其希望自己的信息能够被他人知晓和利用以获取商业机会。该案中赵某将公开法定代表人信息收集利用的行为能够帮助公民进一步传播个人信息，并不会严重侵害到法定代表人的利益，不应当认定为侵犯公民个人信息罪。

（三）仅违反公司章程的信息爬取行为不构成侵犯公民个人信息罪

　　对于未经授权和公开的个人信息而言，如果爬取行为仅仅违反了内部章程而没有违反国家有关规定，那么这种爬取行为没有严重侵害个人利益，也不应当以犯罪论处。从效力等级来看，公司章程要低于国家规定，仅违反企业章程不属于“违反国家有关规定”的犯罪行为。而从实质内容来看，公司章程对于个人信息管理的规定属于公司自治的范畴，如果没有违反法律的强制性规定，那么就应当以章程规定的纠纷解决机制进行处理，而无需动用刑法。部分实务案例的观点应予纠正。例如，在“余某侵犯公民个人信息案”中，余某是淘宝公司的员工，根据淘宝公司的内部规定，未经公司授权的员工不得获取公司存储的个人信息，并且在离职时需要归还装有个人信息的硬盘、光盘等载体。余某违反上述规定，私自使用爬虫软件爬取淘宝公司内部员工的个人信息共计2万余条，并且在余某离职时，将上述信息存储于电脑硬盘带走。法院认为余某成立侵犯公民个人信息罪。该案中，员工的个人信息本身就是公司内部公开可浏览的，并且也没有证据表明余某要将爬取到的个人信息提供给他人，个人权益并未因余某的爬取行为而遭受损害，无须动用刑法进行打击。当然，如果内部员工将获得的个人信息用于出售，就不仅违反了公司章程，而且违反国家有关规定，成立侵犯公民个人信息罪。例如，在“刘某某侵犯公民个人信息案”中，刘某某是某贸易公司的员工，其利用职务之便爬取大量公司内部订单信息（内含用户个人信息），并将这些信息打包出售给他人牟取利益。法院最终认定刘某某的行为成立侵犯公民个人信息罪。该案中，虽然刘某某也是内部员工，但是其将公司内部的个人信息外泄，已经侵犯了用户的个人信息权益，应当成立侵犯公民个人信息罪。

五、结语

　　以信息流动为基础的数字经济正在广泛而深刻地影响社会发展，刑法也需要在打击犯罪与促进信息合理流动之间寻求平衡。在过去个人信息保护前置法律规范匮乏的情况下，刑法不得不扩大打击范围以维护公民的个人信息权益。而在信息流动频繁、个人信息保护逐步规范的当下，网络爬虫作为新兴的技术手段，如果运用得当能够提高信息流动效率，更好地服务社会主义市场经济，刑法不应过度干涉。那些没有严重侵犯个人权益，又能显著提升工作效率的个人信息爬取行为不应再作为侵犯公民个人信息罪加以打击。同时，应积极运用前置规范管理个人信息流动，最大程度地维护好信息流动基础，保障我国数字经济发展行稳致远。