专注金融科技与创新

专注金融科技与创新
专栏国内资讯监管与政策金融信息服务

离钱太近,考验人性:滥用爬虫会构成什么罪?

专栏国内资讯监管与政策金融信息服务

离钱太近,考验人性:滥用爬虫会构成什么罪?

本文共7691字,预计阅读时间351

1. 未经用户同意,非法向他人提供因业务留存所得的公民个人信息,构成侵犯公民个人信息罪。

案例【2018)苏0803刑初644号】

2017年9月开始,被告人于剑与王治东(另案处理)等人作为“同信缘”小额贷款平台的合伙人为牟利,合谋开发具有付费查询“同信缘”等数家小额贷款平台内公民个人借贷信息以及公民身份照片功能的“黑爬虫”网站,湖南九象信息集团有限公司(另案处理)法人代表王治东组织开发和维护上述网站并对外经营。被告人于剑为“黑爬虫”网站提供“同信缘”数据查询接口,被告人宁某受王治东雇佣负责网站编程以及相关小额贷款平台的信息采集。网站开发成功后,被告人于剑通过微信对上述网站进行推广,被告人宁某负责网站的后期维护。网站盈利后,被告人于剑分红人民币35万余元。截至2018年7月17日,“黑爬虫”网站公民个人借贷信息、身份证照片信息累计查询量已达84万余次。

被告人于剑犯侵犯公民个人信息罪,判处有期徒刑四年,并处罚金人民币七十万元。被告人宁某犯侵犯公民个人信息罪,判处有期徒刑一年六个月,缓刑二年,并处罚金人民币七万元。被告人于剑、宁某分别退出的违法所得人民币350111.92元、2.4万元均予以没收,上缴国库。

网络借贷行业无法规避的三大痛点:法定利率、依法纳税、数据合规。

特别是数据合规里的侵犯公民个人信息,属于普遍性违法状态:

在引流端,为了降低成本,各个平台交叉销售贷款产品(或系统销售商、贷超、第三方风控服务商等因业务留存数据并用于非法交易),直接或间接买卖个人信息属于业内公开的秘密。爬虫只是冰山一角。

在贷后端,一般分为两种:自催和委外。

在自催方面,催收部门为了提高回款率(有些不只为了催收,拿到数据随手就卖掉;有些是同业竞争对手故意应聘催收,并将拿到的数据带走等),会要求业务部门尽可能地提供个人信息(如成套身份识别信息、通讯录、定位信息、社交账户信息等)。

在委外方面,可能存在多方外包或多层分包。对与委外催收机构而言,追求短期经济回报的KPI,因此其难免不可控地走向滥用个人信息以及暴力催收等。

2. 超越一般“爬虫”技术界限,突破系统安全保护措施,侵入国家事务领域的计算机信息系统,构成非法侵入计算机信息系统罪。

案例【(2018)川3424刑初169号】

2014年至今,被告人李文环使用“爬虫”软件,大量爬取全国各地及凉山州公安局交警支队车管所公告的车牌放号信息,之后使用软件采用多线程提交、批量刷单、验证码自动识别等方式,突破系统安全保护措施,将爬取的车牌号提交至“交通安全服务管理平台”车辆报废查询系统,进行对比,并根据反馈情况自动记录未注册车牌号,建立全国未注册车牌号数据库。李文环之后编写客户端查询软件,由李文环通过QQ、淘宝、微信等方式,以300-3000元每月的价格,分省市贩卖数据库查阅权限。其中将软件卖给李某2(微信名为“嗨亲爱的”),非法选取凉山州车牌三个(WQQ777、WQJ777、WQX999);将软件卖给李某1(微信名为“成都车森林”),非法选取凉山州车牌1个(WQD777)。被告人吴杰明知李文环使用非法手段获取未注册车牌信息,而购买抢号软件、查库软件,非法选取四个成都市车牌号码(A5432F、A6543J、A4777、DAS456)。

2016年6月至今,被告人王硕编写使用软件登录“交通安全服务管理平台”,大量爬取全国各地及凉山州公安局交警支队车管所公告的车牌放号信息,使用软件突破系统安全保护措施,将爬取的车牌号提交至“交通安全服务管理平台”车辆违章查询系统,进行对比,并根据反馈情况自动记录未注册车牌号,建立全国未注册车牌号数据库。王硕编写客户端查询软件,由卢晓燕通过淘宝、微信等方式,以20元每48小时的价格,分省市贩卖数据库查阅权限。王硕、栾东超、卢晓燕在全国范围内招募徐明、吴杰等各省选车牌号下线代理人,并招揽客户,提供身份证号码、车架号等信息,比对未注册车牌号数据库使用抢号软件采用多线程登录,编辑“按键精灵”类软件模拟人工操作,编辑验证码自动识别输入,实现快速抢号,之后选取车牌贩卖。

被告人徐明、吴杰明知栾东超、王硕等人采用软件等非法手段获取未注册车牌数据库,而向栾东超提供由蒋某、唐某、曹某、韦某提供给的凉山州车主身份证号码、车架号,栾东超又将信息提交给王硕以选取车牌(WPX999、WQC888、WQE666、WQK777、WPQ888、WQK888、WPF888)。

被告人吴杰在案发后提供线索揭发他人犯罪行为,经查证属实。被告人卢晓燕在案发后协助公安机关成功抓捕同案其他被告人。被告人栾东超在案发后主动到公安机关投案自首,并如实供述自己的犯罪事实。

被告人李文环犯非法侵入计算机信息系统罪,判处有期徒刑一年零七个月。被告人王硕犯非法侵入计算机信息系统罪,判处有期徒刑一年四个月零十五日.被告人卢晓燕犯非法侵入计算机信息系统罪,判处有期徒刑一年四个月零五日。被告人栾东超犯非法侵入计算机信息系统罪,判处有期徒刑一年四个月零五日。被告人徐明犯非法侵入计算机信息系统罪,判处有期徒刑一年四个月零十五日。被告人吴杰犯非法侵入计算机信息系统罪,判处有期徒刑十个月。

国家事务领域所收集沉淀的相关信息(不仅仅是公民个人信息)是数据金矿,多少互联网公司垂涎已久。政府如何安全开放并有效利用相关数据已是困扰业界的老大难问题(为何开放、如何开放、开放到什么程度等等,交织着太多的利益,维系着太多的傲慢)。之前各地试验的大数据交易所并不能有效地让市场主体参与进来,我们需要摸索出一条更好的道路,虽然这样的道路并无欧美经验可借鉴。

(相关阅读:《老大难问题:政府数据如何开放?浙江省数字经济促进条例(草案)发布》  《10月1日施行在即,首部针对公共数据开放的地方政府规章说了什么》

3. 非法提供、获取公民个人信息并向他人销售牟利,构成侵犯公民个人信息罪。

案例【(2018)浙1081刑初1339号】

被告人陈德武、陈亚华系胞兄,被告人陈德武经得被告人陈亚华同意,以获取公民个人信息出售牟利。2013年至2016年9月27日,被告人陈亚华从号百信息服务有限公司(以下简称“号百公司”)数据库获取区分不同行业、地区的手机号码信息提供给陈德武,被告人陈德武以人民币0.01元/条至0.2元/条不等的价格在网络上出售,获利金额累计人民币2000余万元,涉及公民个人信息2亿余条。被告人王玉自2015年开始受被告人陈亚华指使帮助陈亚华从“号百公司”数据库获取公民个人信息发送到指定邮箱。被告人陈德武将被告人陈亚华提供的公民个人信息出售获得的赃款部分分给陈亚华。

被告人姜福乾于2014年1月3日至2016年9月27日,以人民币0.08元/条至0.12元/条不等的价格向被告人陈德武购买公民个人信息1235万余条,支付人民币1482418元,以人民币0.09元/条至0.1元/条不等的价格在网络上出售给王某6、赵某2、张某3、高某、张某4等人。

被告人杨奚于2014年2月14日至2016年9月25日,以人民币0.1元/条至0.2元/条不等的价格向被告人陈德武购买公民个人信息299万余条,支付人民币448630元,将购得公民个人信息的80%左右以购买原价出售给其所在公司的下属员工张某1、刘某、徐某、盛某等人,被告人杨奚及其下属员工利用购得的公民个人信息进行经营活动,获利金额达人民币5万元以上。

被告人陈德武犯侵犯公民个人信息罪,判处有期徒刑四年六个月,并处罚金人民币一百万元。被告人陈亚华犯侵犯公民个人信息罪,判处有期徒刑四年三个月,并处罚金人民币一百万元。被告人姜福乾犯侵犯公民个人信息罪,判处有期徒刑三年二个月,并处罚金人民币三十万元。被告人杨奚犯侵犯公民个人信息罪,判处有期徒刑三年,并处罚金人民币十万元。被告人王玉犯侵犯公民个人信息罪,判处有期徒刑二年四个月,缓刑三年,并处罚金人民币十万元。被告人陈德武、陈亚华犯罪所得人民币2000万元,被告人姜福乾犯罪所得人民币14508.6元,被告人杨奚犯罪所得人民币30万元,依法予以追缴,上交国库。已扣押的作案工具电脑主机、笔记本电脑、手机等,依法予以没收。

为什么数据行业,技术合规好做,公司内鬼难防?被告人如下供述即可见一斑(互联网企业对员工的数据合规意识与刑事风险防控的培训教育极为重要):

被告人陈德武的供述与辩解,供认2012年他离开华东理工后到华某2信息咨询有限公司上班,当时华某2信息是负责短信群发业务的。后来国家出政策禁止短信群发,但还是有很多客户问他们要电话号码信息,他就想这个业务可以赚钱,就找到当时在中国电信号码百事通公司当中层领导的哥哥陈亚华,说这块业务可以赚钱,陈亚华在公司里问了一下后,大概没过多久,陈亚华说可以拿到数据,于是陈亚华就安排人把电信公司号码百事通里的电话号码数据信息通过邮件发给他。时间好像是2013年开始的,每个星期发送一次数据给他,一次发过来的是全国各地的电话号码信息,大概是几百万条。一开始是发到他mar×××@163.com的邮箱。每次的数据就是最近一个星期电信公司号码百事通里面最新更新的数据。然后他再将数据进行梳理,通过邮件卖给有需要的。数据他会按照客户的需求,比如某个地区多少号码,复制到一个表格里。前期工作量不大,他就意思性的给中国电信的人员一些费用,从2015年3月15日开始,他以每月28万元的价格向他哥陈亚华支付数据库使用的费用。

还有,爬虫之所以“臭名昭著”,是那些非法获取数据的总是疯狂甩锅。

证人王某2的证言,证明陈亚华是他的表舅,2013年,他在挂职“华某1”法人代表的时候,陈亚华就会来找他,让他处理一些需求数据,这些需求数据都是TXT文本格式,文件名就是“金融”、“教育”之类的行业,文本打开以后,里面都是11位的手机号码,陈亚华让他处理这些号码,通过这些号码的前7位把地区筛选出来。陈亚华发给他以后,他处理后再发回。2013年左右的时候,陈德武当时在“华某1”,那个时候短信群发业务还是可以做的,但是业务不好,陈德武就提出直接把电话号码卖给客户,他当时是反对,没有参与,后来陈德武坚持要这样做。2016年的时候陈亚华让他从公司离职到学多多公司,让他处理大数据,他心里知道过去是顶替王玉的工作,就拒绝了。2016年6、7月左右的时候,陈德武找到他,跟他说王玉处理数据经常不及时,客户这边买号码的需求不能及时发送过去,想让他参与进去。他拒绝了陈德武。号码他估计就是陈亚华那边来的,陈德武没有其他渠道。陈德武被抓后,他和陈亚华一起为陈德武的事奔走,找关系。还在2016年10月4日或5日,去合肥见了王玉,说陈德武出事了,不管陈亚华还是王玉先被公安抓了,都不能把对方供出来。陈亚华让王玉躲避,不要提从号码百事通数据库来的,要讲利用爬虫技术从公开互联网上扒取之类的。

(相关阅读:《短信营销的上游:手机号码数据合规使用问题》

关于手机号码的合规获取及使用的一般性路径:

1)通过公开信息获取手机号码的一般方式:根据《电信网码号资源管理办法》及其附件《电信网码号资源分类管理目录》,我国电话号码为11位,其中各段有不同的编码方式,前3位为移动通信网号(MAC),第4-7位为归属位置识别码(H0),第8-11位为用户号码。我国移动通信网号用于区分三大运营商,归属位置识别码按照地域进行分配,用户号码则随机生成。基于电话号码编制规则,电话号码段获取具体过程如下:(1)MAC为网络公开信息,通过公开检索即可获得,并能区分出运营商;(2)H0也为公开信息,通过公开检索可获得所有号段及归属位置识别码;(3)用户号码可通过序列号段进行补充。如已知MAC为137,四位H04509,即可自动序列生成13745090000、13745090001、13745090002........13745099999,共10,000个手机号码。

业内普遍的手机号码数据获取方式包括算法随机生成、公共网络爬取、脱敏数据批量采购、通讯录授权爬取等。但前述数据获取的成本相对较高(包括经济成本、时间成本以及机会成本),所以市面上关于手机号码(通讯信息)的灰黑产屡禁不止。

2)通过公共信息推算得到个人信息,是否属于非法获取个人信息?

如以手机号码,通过支付宝转账(显示半匿名)、微信添加好友(显示微信头像、微信名字、微信签名等)、营业厅缴存话费(显示姓名)等,以手机号码在其他APP或网站进行关联检索验证等,或以批量手机号码连续在某类较强便签类网站申请注册以显示是否曾经注册,以此推算相应特征(如婚恋网站、二手车交易网站等),是否属于非法获取个人信息?

上述情况的合规性存在争议。但如获取相关个人信息系通过公共信息推导得出,获取过程基于公共信息及正常的智力活动,则不宜武断认定为非法获取(但应排除通过突破系统安全保护措施或系统反爬虫机制等非法行为)。但随着未来大数据以及算法的不断发展进步,普通公民的碎片化的个人信息及使用痕迹散落在网络上,很容易被推导出相关特征及敏感信息。

3)数据加密的必要方式及过程

独立服务器+数据安全中心符合国标+不可还原加密方法+有限授权+核心人员不定期更改加密串号+解密日志留痕+核心人员内控管理。

4. 以营利为目的,未经著作权人许可,非法爬取版权作品,情节严重的,构成侵犯著作权罪。

案例【(2018)沪0110刑初150号】

2015年1月,被告人金某某、潘某合伙成立杭州冰豆科技有限公司(以下简称“冰豆公司”),雇佣员工开发“免费小说书城”手机APP软件(安卓端),在该APP软件上提供各类网络小说的在线阅读服务。被告人潘某负责编写爬虫软件从互联网上抓取小说数据储存至其租用的阿里云服务器内(阿里云账号:jinkelei@aliyun.com)。当用户在该手机APP软件上点击阅读某小说(仅有书名和目录)时,爬虫软件即从互联网上抓取用户所需的小说内容,发送并缓存至上述服务器内,供用户免费阅读。被告人金某某负责对该软件进行推广并联系广告商在该APP软件上登载广告,通过用户点击量牟取广告收益。经盘石软件(上海)有限公司计算机司法鉴定所鉴定,上述阿里云服务器内存储的3,507部文字作品与玄霆公司同名电子书存在实质性相似。其中,《斗罗大陆》等1,024部小说经玄霆公司确认侵犯其信息网络传播权。

被告人金某某犯侵犯著作权罪,判处有期徒刑十个月,缓刑一年,罚金人民币一百三十万元(已预缴);被告人潘某犯侵犯著作权罪,判处有期徒刑十个月,缓刑一年,罚金人民币八十万元(已预缴四十五万元);扣押在案的违法所得人民币一百九十万元、犯罪工具oppo手机、MEIZU手机、mi手机等均予以没收。

5. 违反国家规定,利用爬虫程序植入系统并对系统进行攻击,删除数据,影响计算机系统正常运行,构成破坏计算机信息系统罪。

案例【(2017)津0104刑初740号】

被告人王博一文、黄业兴系网友,二人均从事与计算机有关的工作,且曾有业务往来。第十三届全运会组委会接待服务部位于天津市南开区卫津南路90号体育宾馆。2017年7月,该接待服务部工作人员王某某委托被告人王博一文,对该部负责的第十三届全运会接待服务系统进行美工改善,并向其提供了该系统管理后台的URL、管理员的用户名和密码。后被告人王博一文通过QQ联系被告人黄业兴,向其提供了该系统管理后台的URL、管理员的用户名和密码,并在发现该系统存在安全漏洞后,指使被告人黄业兴对该系统进行攻击,试图利用攻击该网站而取得网站安全维护业务。2017年8月8日,被告人黄业兴在广东省深圳市居住地,使用电脑通过Python软件编写“爬虫”程序,以该“爬虫”程序植入第十三届全运会接待服务系统的方式对该系统进行攻击,删除了该系统内大量参赛运动员及技术官员的抵离信息、酒店住宿信息、人员简要身份信息,致使当日天津市全运会组委会接待服务部39台计算机无法正常运行接待服务系统,给全运会接待服务工作造成严重影响。经负责开发、维护第十三届全运会接待服务系统的技术公司统计,该接待服务系统在被攻击期间被删除数据共计4478条。经天津市公安局南开分局电子物证检验鉴定所检查,从被告人黄业兴处扣押的白色兼容机电脑主机一台,内有三星牌250G固态硬盘一块、影驰牌60G固态硬盘一块、TOSHIBA牌500G机械硬盘一块,在上述电子检材内发现并获取与涉嫌破坏计算机信息系统案有关的电子数据。

被告人王博一文犯破坏计算机信息系统罪,判处有期徒刑二年六个月。被告人黄业兴犯破坏计算机信息系统罪,判处有期徒刑二年六个月。案缴白色电脑兼容主机一台、白色魅族PR05手机一部、黑色笔记本电脑一台、灰色HTC手机一部、黑色HTC手机一部等作案工具,依法予以没收。

6. 非法侵入计算机信息系统,获取该计算机信息系统中存储、处理或者传输的数据,情节严重的,构成非法获取计算机信息系统数据罪。

案例【(2014)杭余刑初字第1231号】

福建微数移动科技有限公司为淘宝用户提供第三方服务,主营“云派券”、“淘名录”等业务。被告人黄后荣系该公司法人代表,被告人翁秀豪系该公司软件工程师,主要从事服务端开发工作。2014年5月初,被告人翁秀豪发现淘宝店铺源码存在漏洞,利用该漏洞可以在店铺源码中植入一个url,执行该url指向的javascript,以获取访问被植入url的淘宝店铺的所有淘宝用户的cookie(淘宝用户登录时产生的一组认证信息,利用cookie可以执行对应帐号权限内的所有操作,无需帐号、密码),并利用其中的卖家cookie将url再次植入卖家淘宝店铺源码,实现自动循环,获取更多的淘宝用户cookie。被告人翁秀豪向被告人黄后荣报告该情况,经黄后荣的授意,以非法获取cookie数据为目的,编写了用于获取cookie的javascript,存储在其租用的阿里云服务器中。自同年5月15日开始,通过上述方法非法获取淘宝用户cookie达2600万余组,并将获取的cookie存放在虚拟队列中。被告人黄后荣利用被告人翁秀豪事先编写的网络爬虫程序读取虚拟队列中的cookie并获取淘宝用户的交易订单数据(内容包含用户昵称、姓名、商品价格、交易创建时间、收货人姓名、收货人电话、收货地址等)达1亿余条。

被告人黄后荣犯非法获取计算机信息系统数据罪,判处有期徒刑六年,并处罚金人民币六万元。被告人翁秀豪犯非法获取计算机信息系统数据罪,判处有期徒刑五年八个月,并处罚金人民币五万五千元.

本文系未央网专栏作者张豪发表,属作者个人观点,不代表网站观点,未经许可严禁转载,违者必究!

用微信扫描可以分享至好友和朋友圈

扫描二维码或搜索微信号“iweiyangx”
关注未央网官方微信公众号,获取互联网金融领域前沿资讯。

发表评论

发表评论

您的评论提交后会进行审核,审核通过的留言会展示在下方留言区域,请耐心等待。

评论

您的个人信息不会被公开,请放心填写! 标记为的是必填项

取消

张豪未央青年

6
总文章数

张豪律师,专注于数字化商务、金融科技、区块链领域,系京衡律...

未央今日播报:最高法等四部委发布有关非法放贷认定标准 北京金融局摸排大数据企业是否存在违规爬虫业务

未央研究 5小时前

金可冶:做好智能风控,人才培养不可或缺

琥珀金融帮 12小时前

爬虫服务全面暂停,金融机构如何应对?

温泉 10-19

[未央研究]本周互联网金融回顾 | 2019年第41周

未央研究 10-12

互金爬虫大清洗:曾与现金贷共生共荣

周纯 09-24

版权所有 © 清华大学五道口金融学院互联网金融实验室 | 京ICP备17044750号-1