前言:
随着AI辅助编程技术的普及,网络爬虫的开发门槛被大幅抹平,致使企业核心数据频遭违规抓取。发现数据失窃,直接报警往往是企业的首选。但现实是,刑事控告有“侵入”门槛的把关,行政维权暗藏“一案双查”的合规反噬风险,民事诉讼则需在漫长的举证中计算投入产出比。单一的维权路径已难以应对复杂的数据侵害。为此,本文立足被爬企业的真实痛点,以刑事维权为主线,统筹行政避险与民事救济,梳理出一份刑、行、民交叉维权的维权指南。
一、刑事控告:罪名适用与“侵入”行为的界定
刑事控告是打击恶意爬虫最有力的手段。被爬企业可考虑的罪名主要包括非法获取计算机信息系统数据罪(《刑法》第285条第2款)、提供侵入、非法控制计算机信息系统程序、工具罪(第285条第3款)、侵犯公民个人信息罪(第253条之一)以及破坏计算机信息系统罪(第286条)。[1]其中,“侵入”的认定直接决定刑事控告的成败。 (一)“侵入”行为在实务中的分层认定
根据相关司法解释,刑法上的“侵入”通常被界定为“突破(避开)安全保护措施+未经授权获取数据”。[2]结合近年来的司法裁判趋势,我们在实务中将爬虫行为的“侵入性”及相应的维权可行性划分为三个层级,供企业在遭遇侵害时对标评估:
1.破解加密与身份认证的高入罪风险
针对系统登录密码、Token/Cookie身份验证机制进行破解,或通过逆向工程解密数据传输算法的爬虫行为,在司法认定中具备较高的刑事入罪概率。例如,在晟品公司案中,被告伪造设备ID及IP以绕过服务器校验与频率限制,被法院认定构成非法获取计算机信息系统数据罪。在深圳谷米公司案中,被告因破解原告APP加密算法窃取公交实时数据,同样依法获罪。[3] 【实务建议】企业在提起刑事控告时,应将举证重心放在系统已部署的“身份认证+数据加密”双重防护上,以证明行为人实施了实质性的破解或绕过行为。客观而言,企业自身安全防护体系的完备程度,往往是刑事控告能否顺利推进的基础。 2.提供专用爬虫工具的独立定罪可能
即便行为人未亲自“下场”爬取数据,但若其开发、售卖专门用于突破系统防线的爬虫程序,同样面临被独立追究刑事责任的风险。人民法院案例库入库案例的裁判要旨明确指出,具有避开或突破安全保护措施、使他人未经授权获取受限数据功能的软件,即属于刑法明文打击的“专门用于侵入的程序”。[4]举例而言,在(2024)苏0923刑初294号案中,被告单位将能够突破“抖音”防护机制的算法代码集成至商业软件内,非法获取非公开数据,并以销售VIP会员等形式对外牟利,最终被告单位及其主管人员均以提供侵入、非法控制计算机信息系统程序、工具罪被依法定罪处罚。[5] 【实务建议】该罪名为被爬企业提供了另一条维权思路:在实际爬取者溯源困难的情况下,工具开发者或提供者往往更易被锁定。企业在报案时可考虑将控告重点指向“工具链”,协助公安机关从源头打击黑灰产。 3.利用系统逻辑漏洞爬取数据的定罪争议
当被爬系统存在IDOR(不安全的直接对象引用)等逻辑漏洞——即接口虽在前端隐藏,但后端未部署实质的身份验证,爬虫仅通过“伪造请求头”模拟正常用户即可批量获取数据时,案件定性往往面临较大争议。 目前,学界与司法机关对此类行为的入罪持审慎态度。相关研究指出,规避限制访问频率的反爬措施,不宜直接等同于刑法上的“侵入”。[6][7]最高人民检察院相关研究也曾提出,抓取公开数据原则上不宜轻易入罪。[8]在司法实践中,北京市通州区法院审理的一起利用系统漏洞收集9万余条客户信息案中,因被告人系利用员工合法账号登录后,借助系统漏洞与自动化软件超权限爬取数据,法院最终将该获取行为排除在了犯罪事实之外。[9]同时,北京高院亦明确Robots协议属促进行业协作的“善意的指引”,在被爬方缺乏正当拒绝理由时,无视该协议的抓取行为在民事领域尚不构成不正当竞争。[10]依据刑法谦抑性原则,通常也不宜直接升格为犯罪处理。 【实务建议】若企业的防护仅停留在User-Agent过滤等“君子协议”层面,遭遇数据窃取后试图通过刑事立案的难度极大。建议事前部署严格的身份认证、API密钥管理及加密传输等实质性技术防线,这不仅是防范“一案双查”的底线,更是顺利启动刑事维权的关键前提。 (二)涉及公民个人信息时的控告路径
当被爬取的数据池中包含公民个人信息时,涉嫌侵犯公民个人信息罪成为企业维权的另一重要路径。依据两高相关司法解释,非法获取行踪轨迹、征信、财产信息50条以上,住宿、通信记录等500条以上,或其他个人信息5000条以上,即达到“情节严重”的入罪门槛。[11]但在网络爬虫场景下,罪名认定通常受制于以下三个边界: 第一,“已公开信息”的法律评价。对于互联网上已合法公开且未设置实质访问控制的信息,利用爬虫进行自动化收集,在司法认定中较难直接等同于刑法意义上的“窃取”。例如在范某等案中,法院即将爬取已公开的企业法人联系方式的行为视为“合法收集”,仅对后续的非法出售行为追究刑事责任。[12] 第二,数据敏感度与入罪标准的关联。信息的敏感程度直接影响刑法介入的力度。最高人民法院指导性案例193号将居民身份证信息整体评价为“可能影响人身、财产安全的公民个人信息”,适用了严格的裁判标准。[13] 第三,主观非法牟利目的的考量。爬取行为的最终流向是影响罪责评价的重要因素。若数据被用于暗网出售或电信诈骗引流,司法机关的打击通常更为严厉;若未展现出明确的非法牟利目的且未造成实质商业损害,司法介入通常相对克制。 【实务建议】启动控告前,企业应先对被爬数据进行敏感度筛查。若涉及生物特征、精准定位等高敏感类别,立案成功率会显著提升。此外,在报案材料中需清晰梳理并呈现侵权方非法牟利的商业链条,打消办案机关关于“普通民事纠纷”的顾虑。 (三)高频爬取导致系统瘫痪的“兜底”路径
若爬虫手段未达到破坏安全机制的“侵入”标准,但其高频次、高并发的访问直接导致企业服务器宕机或核心服务中断时,可考虑适用破坏计算机信息系统罪予以规制。比如,在(2019)粤0305刑初193号案件中,爬虫程序以每秒183次的频率访问某政务网站,致使系统瘫痪,法院最终以此罪名定罪处罚。[14] 【实务建议】即便被爬取的数据规模未触发入罪红线,爬虫对企业系统“可用性”的客观破坏亦可能独立构成犯罪。为此,企业技术团队需第一时间提取并保存服务器崩溃的时间节点、异常流量峰值及并发请求特征等底层日志,将其转化为后续维权的关键证据。 二、行政维度:“一案双查”下的合规风险防范
在启动维权程序时,有一项重要的隐患需要被爬企业提高警惕。执法机关在追查爬虫黑灰产的同时,常会同步倒查被爬企业自身的数据安全防护状况,即实务中典型的“一案双查”机制。随着《数据安全法》《个人信息保护法》及2025年施行的《网络数据安全管理条例》全面落地,叠加修订版《网络安全法》大幅加重了处罚力度——不仅将企业罚款上限提高至最高一千万元,还显著强化了管理人员的个人责任(对个人最高可处一百万元罚款),这一合规风险已需引起足够重视。[15] 纵观2025年的执法实践,双向追责模式日益常见。在公安部“护网—2025”专项工作披露的典型案例中,安徽某电商公司、河南某学校及云南某科技公司在遭遇数据爬取或窃取后,均因未落实网络安全等级保护、未加密核心数据、内部管理混乱及未留存日志等过失,受到行政处罚。[16]同期,国家网信办公布的案例也显示,存在目录遍历、IDOR等技术漏洞且云防护失效、日志缺失的企业,在数据泄露后同样遭到警告、罚款及责令整改的追责。[17] 目前的监管审查呈现出较为直观、客观的特征:安全漏洞是否修复、高危端口是否暴露、云防护服务是否过期、系统日志是否按规定留存,均是执法调查中易于核实的事实。[18]此外,问责范围也正向供应链上下游延伸,系统承建方与运维方同样可能被纳入处罚视野。 【实务建议】抵御外部恶意攻击并不能豁免企业自身的数据保护法定职责。若企业因长期疏于系统防护而仓促报案,可能导致刑事维权受阻,反而招致停业整顿与行政罚款。因此,确立“先自查、再追责”的响应机制,在报案前排查并修补内部合规漏洞,是应对“一案双查”较为稳妥的做法。 三、民事维度:反不正当竞争诉讼与多路径配合
当刑事立案面临较高门槛,或企业对“一案双查”存有合规顾虑时,转向民事领域的反不正当竞争之诉往往是诉讼进程更为可控的选择。2025年修订出台的《反不正当竞争法》在第十三条中专门增设了数据权益保护条款,明确禁止经营者以欺诈、胁迫、避开或者破坏技术管理措施等不正当方式,获取、使用其他经营者合法持有的数据。[19] 在司法裁判尺度上,“实质性替代效果”已成为认定侵权的核心要件。在微信公众平台数据爬虫案中,被告爬取文章后直接聚合展示,因对原平台形成实质性替代被判赔300万元;[20]在微博诉简亦迅案中,被告变换IP与账号骗取接口调用权限,非法抓取后台数据超21亿次并转卖,被法院全额判赔2000万元。[21]此外,最高人民法院于2025年8月发布的第262号指导性案例也进一步确立了裁判基准:未经许可抓取搬运平台数据集合,足以实质性替代原产品服务并损害数据汇聚者“经营性利益”的,依法构成不正当竞争。[22] 【实务建议】民事诉讼的举证标准相对较低,且可通过申请行为保全遏制损失扩大。维权实务中可结合案情采用“刑民并行”策略。为应对法院以“先刑后民”驳回民事起诉的程序风险,诉状撰写宜参照《九民纪要》“分别审理”原则进行“事实切分”,即将民事诉请聚焦于数据被获取后的“商业化利用与市场替代”环节,以此与刑事侦查的“非法侵入系统”技术事实实现法益隔离。借此,企业既能依托刑事程序协助固定底层证据,又能同步申请民事保全遏制损失扩大,提升整体维权效能。 四、企业四步应对方案
发现数据遭遇规模化爬取时,建议避免未经评估直接报警,可按以下步骤推进维权与止损。 第一步:及时封堵漏洞并推进证据保全(黄金72小时) 遭遇攻击时,不建议在未提取日志的情况下直接封禁IP。企业应先利用日志分析系统提取异常访问记录,通过公证或区块链存证对原始日志进行固化。取得初步证据后,再通过WAF实施熔断。对于隐蔽性较强的高级爬虫,可考虑部署“蜜罐陷阱”,将爬虫流量诱导并重定向至含溯源水印的伪造接口。这不仅能保护真实数据,也能为后续配合警方调查或法庭质证提供关键的事实依据。 第二步:启动内部合规排查防范次生风险(先自查、再追责)
从执法机关的审查视角来看,报案前的内部排查是规避次生风险的必要环节:被利用的是加密接口还是无鉴权的漏洞?网络安全等级保护2.0标准是否落实?日志留存是否达到法定要求?若发现合规隐患,企业应在向公安或监管部门披露前先行整改,避免在报案环节主动暴露问题,从而陷入“一案双查”的被动局面。 第三步:综合评估并选择最优维权路径
面对复杂的侵害场景,企业应基于侵权破坏性与商业止损诉求客观研判。若案件具备刑事立案条件,可审慎启动“刑民并行”,由刑事端侧重追究技术破坏责任,民事端则通过前述“事实切分”建构反不正当竞争之诉。采用该策略不仅是为了在诉讼阶段多维定责,更是为了在执行环节切实保障获赔率。进入财产执行阶段后,企业作为被害人享有的“损失退赔”及主张的“其他民事债务”,在法定顺位上优先于罚金与没收财产。[23]这有助于降低侵权方资产被法定罚没而导致的“执行不能”风险。 第四步:完善数据安全防护的长效机制
技术层面,部署基于动态Token的接口鉴权及行为特征分析,逐步消除无鉴权的敏感接口。法律层面,在用户服务协议和隐私政策中加入明确的禁止未授权抓取条款,为后续维权提供合同依据;同时设立专职个人信息保护负责人并完成报备,建立常态化的数据安全应急响应机制。 结 语
应对数据被“爬”,绝非一句简单的“报警”所能概括。在“一案双查”常态化的今天,企业维权早已演变成一场交织着刑、行、民多重风险的复杂博弈。处理此类案件,既需要坚实的合规防守,也需要精准的侦查反击“。择善而刑”刑事团队在深耕公司经济犯罪控辩的实务中,依托常年担任公安机关法律顾问所沉淀的一线经验,深谙各类交叉案件的审查尺度。在未来的博弈中,我们将协助企业看透底层规则,在规避行政追责与发起精准控告之间寻找最优解,为您稳妥筑牢数据资产的安全防线。 注释: [1]参见《中华人民共和国刑法》第285条第2款、第3款,第253条之一,第286条。 [2]参见最高人民法院、最高人民检察院:《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(法释〔2011〕19号)第2条。 [3]参见晟品公司等非法获取计算机信息系统数据案,北京市海淀区人民法院(2017)京0108刑初2384号刑事判决书;邵某某等非法侵入计算机信息系统案,深圳市南山区人民法院(2017)粤0305刑初153号刑事判决书,转引自深圳市谷米科技有限公司与被告武汉元光科技有限公司等不正当竞争纠纷案,广东省深圳市中级人民法院(2017)粤03民初822号民事判决书。 [4]参见丁某提供侵入计算机信息系统程序案,无锡市梁溪区人民法院(2022)苏0213刑初223号判决书,入库编号2024-18-1-253-001。 [5]参见广西某某网络科技有限公司等提供侵入、非法控制计算机信息系统程序、工具案,阜宁县人民法院(2024)苏0923刑初294号刑事判决书。 [6]参见孙禹:《强行爬取公开数据构成犯罪吗》,载中国社会科学院法学研究所官网2022年1月14日, https://iolaw.cssn.cn/zxzp/202201/t20220114_5388505.shtml。 [7]参见石经海、苏桑妮:《爬取公开数据行为的刑法规制误区与匡正——从全国首例“爬虫”入刑案切入》,载《北京理工大学学报(社会科学版)》2021年第4期。 [8]参见最高人民检察院检察理论研究所:《明确越界网络爬虫行为的刑事处罚边界》,载最高人民检察院官网,2022年2月15日, https://www.spp.gov.cn/spp/llyj/202202/t20220215_544538.shtml。 [9]参见李某侵犯公民个人信息案,北京市通州区人民法院(2019)京0112刑初62号刑事判决书。法院将利用系统漏洞及自动化软件收集信息的行为排除在犯罪事实之外,认定该行为"不具有非法性,并未违反国家有关规定"。 [10]参见北京百度网讯科技有限公司诉北京奇虎科技有限公司不正当竞争纠纷案,北京市高级人民法院(2017)京民终487号民事判决书。 [11]参见最高人民法院、最高人民检察院:《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号)第5条。 [12]参见范某、徐某、李某等侵犯公民个人信息案,福建省安溪县人民法院(2019)闽0524刑初397号刑事判决书。 [13]闻某等侵犯公民个人信息案,上海市第二中级人民法院(2021)沪02刑终1055号刑事判决书,入库编号:2022-18-1-207-002。 [14]参见杨某某、张某某破坏计算机信息系统案,深圳市南山区人民法院(2019)粤0305刑初193号刑事判决书。 [15]参见《中华人民共和国数据安全法》第27条、第45条;《中华人民共和国网络安全法》(2025年修订)第61条、第62条等;《中华人民共和国个人信息保护法》第66条;《网络数据安全管理条例》(2025年1月1日施行)第9条、第57条等。根据修订后的《网络安全法》,对于造成特别严重危害网络安全后果的,对企业可处二百万元以上一千万元以下罚款,对直接负责的主管人员和其他直接责任人员处二十万元以上一百万元以下罚款。 [16]参见《公安部公布"护网—2025"专项工作6起行政执法典型案例》,载公安部网安局2025年9月18日https://www.mps.gov.cn/n2254098/n4904352/c10237071/content.html。 [17]参见《国家网信办发布近期网络安全、数据安全、个人信息保护相关执法典型案例》,载国家互联网信息办公室2025年9月16日,https://www.cac.gov.cn/2025-09/16/c_1759741437315419.htm。 [18]参见周杨、张燕、梁天翔:《2025年度中国网络安全与数据保护立法与执法回顾》,载竞天公诚律师事务所官网2026年3月12日,https://www.jingtian.com/Content/2026/03-03/2013442146.html;陈际红、陈煜烺、林婉琪:《2025中国网络安全与数据保护年度回顾与2026年展望》,载中伦律师事务所官网2026年1月7日,https://www.zhonglun.com/research/articles/55395.html。 [19]参见《反不正当竞争法》第13条第3款,2025年10月15日施行。 [20]参见深圳市腾讯计算机系统有限公司等诉北京某公司不正当竞争纠纷案,四川省高级人民法院(2022)川知民终1939号民事判决书。 [21]参见北京微某网络技术有限公司与广州简某信息科技有限公司等不正当竞争纠纷案,广东省高级人民法院(2022)粤民终4541号民事判决书。 [22]参见最高人民法院指导性案例第262号:某科技有限公司诉某文化传媒有限公司不正当竞争纠纷案(2025年8月28日发布)。 [23]参见《最高人民法院关于刑事裁判涉财产部分执行的若干规定》(法释〔2014〕13号),第13条。
择善而刑团队介绍 专业致胜,成就经典
发现·择善而刑团队,是以发现律师事务所罗毅律师为核心的刑事专业律师团队,汇聚了来自211、985、五院四系及海外名校的青年才俊,均拥有法学硕士及以上学位,在刑法、刑诉法领域具有扎实的理论基础,不仅对于传统刑事犯罪案件具有丰厚实务经验,还致力于证券犯罪、虚拟货币、计算机信息系统、网络赌博等新兴领域重大疑难案件的代理与辩护。
团队深耕刑事辩护领域,屡次为当事人争取到公安机关不予立案、撤销案件,检察机关不起诉、撤回起诉,法院无罪判决等结果,致力于守护当事人的自由与尊严。同时,团队在刑事控告、刑事涉案财物处置、案外人财产权利保护、刑事被害人代理等领域也取得了突出的业绩。基于深厚的实务积淀,团队担任了多家公安机关常年法律顾问,不仅同时具备解决复杂民商事案件与行政诉讼案件的卓越能力,更在处理“刑行民交叉”争议解决案件方面独具统筹全局的专业优势,能够为当事人提供多维度、全方位的法律保护。
“善良的心是最好的法律”,择善而刑团队愿伴您一起穿越凛冽寒冬,拥抱春暖花开。
声 明 本文仅代表作者观点,不得视为发现律师事务所或其律师出具的正式法律意见或建议。如需转载或引用,请注明出处。
蜀ICP备:17000577号-1