随着大数据、云计算、物联网和移动互联网等新一代信息技术的普及应用，新型数据爬取技术日益成为互联网数据信息收集的高效率收集手段之一。北京市海淀区法院判处的全国首例利用爬虫恶意数据爬取刑事案件标志着数据爬取行为进入刑事治理的轨道。恶意使用数据爬取技术导致的网络侵害案件也将逐渐进入高发期，规范数据爬取行为有以下路径：

首先，应明确数据的类型划分。数据是一种资产或资源，“数据是网络的核心，而不是文档或者人，并且这些数据都是可以被机器识别处理的数据，因此，用户从网络上获取信息就像查询数据库一样容易，而不必掌握各网站的数据组织架构”。从信息技术学的角度而言，数据被界定为以0与1二进制单元表示的信息。从法律层面而言，数据权作为一种新兴法益的观点具有一定启发性。从社会属性而言，可以将数据分为两大类型：一类是映射性数据，即这种数据是现实社会在互联网中直接反映；另一类是拟制性数据，即数据与现实社会没有一一对应关系，是单纯在网络中代码拟制的数据。网络数据与虚拟财产两者是在不同维度上使用的术语。数据是物理意义上的描述，虚拟财产则是经济价值意义上的描述。法律之所以保护数据，在于数据上存在法律必须保护的社会关系。

其次，重视数据的财产属性。数据作为民事客体应当具有财产属性，同时应当受到刑法保护。民法总则第111条规定：“自然人的个人信息受法律保护。任何组织和个人需要获取他人的个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或公开他人个人信息。”如果仅仅通过个人信息来保护数据显得力度不足，民法通则、网络安全法中对数据安全、流转、保护有所规定，但是并未明确个人信息的法律属性。而数据类型的界分，不排除其作为一种财产权利受到刑法保护。两高《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第7条规定：“明知是非法获取计算机信息系统数据犯罪所获取的数据、非法控制计算机信息系统犯罪所获取的计算机信息系统控制权，而予以转移、收购、代为限售或者以其他方法掩饰、隐瞒违法所得五千元以上的，应当依照刑法第312条第2款的规定，以掩饰、隐瞒犯罪所得定罪处罚”。司法解释的制定者并不否认网络数据的财产性质，尽管这一解释只是针对计算机信息系统数据犯罪，但显示出针对不同的类型数据赋予其财产定位具有的积极意义。另外，数据由于其可复制性，不唯一性，不具有稀缺性的特点，在认定数额时需要谨慎对待。

最后，注重数据爬取的刑事规制。《数据安全管理办法》（征求意见稿）相对于网络安全法更为细化，其中第二章第16条对利用爬虫获取数据的行为作了规定，网络运营者采取自动化手段访问收集网站数据，不得妨碍网站正常运行；此类行为严重影响网站运行，如自动化访问收集流量超过网站日均流量三分之一，网站要求停止自动化访问收集时，应当停止。但这只是判断爬取合规的一个前置性标准。非法获取数据爬取行为需要根据爬取数据的内容、行为方式以及危害后果来确定不同的罪名。根据爬虫爬取数据类型的不同，可以分为非个人数据（non-PII)和个人数据（PII）：前一类数据主要是公开数据，不适用个人信息保护方面的法律法规；后一种个人数据可以分为已经识别的个人身份数据与可能识别的个人数据。对不同类型的数据犯罪需要不同的规制手段，对于非个人数据需要考虑对于市场竞争秩序的破坏以及影响，对于个人数据则需要考虑爬取数据的用途以及内容是否属于刑法保护的“个人信息”。

网络时代的快速发展对于刑法理论的冲击与影响是多方面的，对于恶意爬取行为，现有司法案例实践中多以侵犯著作权罪、侵犯公民个人信息罪、非法侵入计算机系统罪、非法获取计算机信息系统数据罪、破坏计算机信息系统罪、侵犯商业秘密罪等定罪处罚。司法机关针对新型的网络犯罪应当确立审慎积极的预防观念，明确合理有效的裁判规则，重视数据的经济价值，同时今后立法机关对于数据权益的确认，数据权利的归属以及数据犯罪立法的更新都需要跟上时代的步伐。

（作者单位：上海市人民检察院第一分院）