数字经济时代,数据被确立为关键生产要素和国家基础性战略资源,如何有效保护数据安全成为当前我国刑法理论研究和刑事司法实践的重要议题。作为可能危害数据安全的技术手段之一,数据爬取行为,即利用网络爬虫技术自动获取网络数据的行为,因全国首例“爬虫”入刑案入选2019年度人民法院十大刑事案件,而被理论和实践重点关注。数据爬取行为一方面存在危害数据安全和破坏计算机系统的风险,另一方面因促进数据流通与再利用而有利于数据产业发展。对此,如何区分网络爬虫技术的合法使用与违法犯罪,使刑法在保护数据安全的同时不阻碍数据资源的最大化利用,成为当前亟需解决的理论与实践难题。故本文以此为视角,对数据爬取行为的刑法规制展开研究。论文正文共计17万字,除“引言”外分为如下五部分:第一部分“数据爬取行为刑法规制的基本梳理”,介绍了数据和数据爬取行为的内涵,梳理了数据爬取行为在我国的立法现状与刑事司法现状。具体而言,在界分数据与信息、电磁记录等相似概念并总结数据典型特征的基础上,重点阐释了数据爬取行为的内涵和技术原理,即数据爬取行为是运用网络爬虫程序快速检索并获取网络数据的行为,该程序在互联网上遍寻数据的过程好比蜘蛛沿蛛网爬行,故被称为“网络爬虫”,本质上是根据预设的代码规则模仿人类通过浏览器访问并下载数据副本的计算机程序。不当利用网络爬虫技术获取数据的行为存在侵害数据安全、扰乱计算机系统运行等风险。对此,我国民法、经济法、网络安全法等法律法规中,不乏可用于规范数据爬取行为的相关条款。对于应受刑罚处罚的数据爬取行为,我国刑法规定有10个非法获取数据类犯罪,以及破坏计算机信息系统罪和非法侵入计算机信息系统罪予以规制,并在刑事司法上形成了重视保护个人信息和作品、初步确立保护新型数据安全、兼顾维护危害计算机信息系统安全的格局。第二部分“数据爬取行为刑法规制的问题检视”,重点梳理了当前司法实践中适用刑法规制数据爬取行为存在的三大问题。其一,将数据载体安全作为刑法法益的定位有误。具体而言,适用刑法保护数据载体不当扩大了规制数据爬取行为的范围,数据载体的类型难以界分也导致了数据爬取行为成立此罪与彼罪的定性模糊,适用非法获取计算机信息数据罪保护数据载体保密性还会得出未经授权爬取公开信息的行为构成犯罪的结论,侵害到由宪法保护的公民获取信息自由。其二,依据数据平台的授权与否和授权范围对数据爬取行为定罪量刑的逻辑失当。司法实践普遍认可依据数据平台的授权与否与授权范围认定数据爬取行为是否“违反国家规定”从而进一步认定犯罪,如此做法实质是按照数据平台对数据的支配意愿降低“爬虫”的违法门槛,从而降低了数据爬取行为的入罪门槛,混淆了数据爬取行为应负的违约责任、侵权责任与刑事责任,并且对于构成犯罪的数据爬取行为在量刑上忽略了数据平台未尽数据安全保护义务的过错,导致数据爬取行为的罪刑不相适应。其三,过度适用刑法规制数据爬取行为的理念不妥。过度依赖用刑罚手段惩治数据爬取行为,容易将情节显著轻微的数据爬取行为一律入罪,使得刑法规制前置化从而将非法利用数据的行为不当归罪于数据爬取行为,甚至会抑制数据流动从而阻碍数据产业的创新发展。第三部分“数据爬取行为刑法规制的理论前提”,阐释了数据爬取行为刑法规制应遵循的理论根基,即法益保护原则、刑法平等原则和刑法谦抑性精神。首先,数据爬取行为的刑法规制应遵循法益保护原则。法益保护原则的主要观点是没有侵害刑法法益的行为不能被认定为犯罪,因此法益保护原则内含对刑法法益的确认,可用以反思某种利益是否值得刑法保护。据此,刑法并不保护一切利益,为数据爬取行为所侵害的数据安全法益应当关联值得刑法保护的重要利益,并能够在宪法上找到依据。其次,数据爬取行为的刑法规制应符合刑法平等原则。刑法平等原则,强调刑法对多方数据利益的实质平等保护,对违反刑法规定义务行为的平等惩罚,可用以检验数据爬取行为刑法规制结论的合理性。具体而言,基于刑法平等原则,数据爬取行为的刑法规制结论应符合前置法已设立的利益平衡规则,实现刑法对数据控制者利益和社会公众利益的平等保护,同时所有危害数据安全以及违反数据安全保护义务的行为都需要承担相应责任。最后,数据爬取行为的刑法规制应秉持刑法谦抑性精神。坚持数据爬取行为刑法规制的谦抑性,符合多手段结合综合治理的网络治理观,具体是要求数据爬取行为的刑法规制,应当符合维护数据安全和促进数据开发利用并重的数据安全观,在运用刑罚手段保障数据安全的同时,不阻碍数据产业的创新发展。第四部分“数据爬取行为刑法规制的问题破解”,是解决数据爬取行为刑法规制问题的刑法适用路径。首先,依据法益保护原则,明确数据安全法益的本质在于数据信息内容的安全,应按照数据的信息类型对数据爬取行为区分适用非法获取数据类罪名,并将信息保密性作为非法获取计算机信息系统数据罪的法益,限缩本罪规制数据爬取行为的范围。其次,匡正数据爬取行为的定罪量刑逻辑,应当以是否违反整体法秩序为标准判断数据爬取行为的形式违法性,对于法律规定具有合法性的数据爬取行为不能认定为具有违法性。在此基础上,按照数据爬取行为对著作权、各类信息安全、计算机信息系统安全的严重侵害性认定犯罪,并在量刑上充分考虑平台未尽数据安全保护义务的情节,方能实现刑法的平等适用。最后,在数据爬取行为的刑法规制上应当秉持刑法谦抑性精神,具体可以对特定情况下及时删除数据的爬取行为和爬取其他数据仅造成竞争利益损失的行为出罪。此外,还需要合理适用利用计算机实施有关犯罪的规定,对于利用所爬取数据实施的其他行为不构成犯罪的情况,唯有在爬取数据行为具有刑法规制必要时,方可将数据爬取行为认定为犯罪。第五部分“数据爬取行为刑法规制的立法展望”,是对刑法合理保障数据安全的立法建议,也是解决数据爬取行为刑法规制现有问题的根本路径,包括对已有立法建议的述评和对非法获取信息系统数据罪的修订建议。具体而言,我国刑法不应借鉴以数据为中心的立法模式来增设或修改数据犯罪,因为以数据为中心的立法模式与我国刑法罪名体系不契合,并且增设规制非法获取数据预备与后续行为的相关罪名不具有合理性,增设新罪名以确立对大数据的财产化保护也没有必要性。解决当前数据爬取行为刑法规制问题的根本路径,不在于增设数据犯罪,而在于修订已有的非法获取计算机信息系统数据罪。针对非法获取计算机信息系统数据罪的现有问题,可以将本罪条款脱离非法控制计算机信息系统罪的条款予以单独规定,同时将本罪的犯罪对象明确为信息内容处于保密状态的数据,将本罪的行为要件明确为取得数据副本控制权。修订后的非法获取计算机信息系统数据罪规定:“违反国家规定,通过拷贝、下载等取得数据副本控制权的方式,获取信息内容处于保密状态的计算机信息系统数据,情节严重的,处三年以下有期徒刑或者拘役,并处或者单出罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。”