

.e08ff51.png)
【罪与罚】爬虫爬取个人信息刑责边界解析——基于《刑事审判参考》第149缉第1732号指导案例普法
引言
大数据时代,网络爬虫被大量用于金融风控、征信数据分析等商业场景,但数据抓取行为极易混淆行政违规与刑事犯罪界限。《刑事审判参考》第149集收录的第1732号上海某数信息公司、罗某等侵犯公民个人信息案,针对企业借助爬虫技术批量采集、售卖个人征信数据的行为作出清晰定性,区分合法数据使用、行政违法征信经营与侵犯公民个人信息刑事犯罪,结合2025修正《网络安全法》个人信息认定标准,兼具实务指引与普法价值。下文结合该案完整裁判逻辑,分案情简述、法院核心裁判观点、普通民众风险提示、涉案企业及被告人辩护思路四大板块展开解读。
一、案情简述
被告单位上海某数信息公司由罗某设立,下设技术、商务、运营部门,罗某任实控人统筹决策,徐某麟主管爬虫程序、征信报告技术开发,符某负责市场推广售卖数据报告,董某鹏参与爬虫研发与数据产品运营。
公司未取得征信业务许可,搭建两套数据产品牟利:
1.蜜蜂报告(涉刑事犯罪):以金融贷款注册为强制条件,迫使用户提供运营商、电商、社保、公积金等平台账号密码;再通过爬虫绕过、突破平台反爬防护,抓取用户购物、社保、保险记录,以及包含借款人亲友手机号的6个月通话记录。即便第三方联系人完全不知情,公司仍将该类信息整合进报告,对外出售给上千家金融、网贷机构,其中不乏套路贷恶势力集团,造成大量第三方被暴力催收骚扰。2015至2019年间,蜜蜂报告涉及4681万余个身份证号,售卖3.39亿余份,是本案核心犯罪载体。
2.蜜罐报告(仅行政违法):仅使用用户主动授权提交的姓名、身份证号、手机号,与自有数据库碰撞比对,经不可逆匿名化处理生成信用分值,无法定位到具体自然人,仅用于贷前风险打分,无催收功能。该报告覆盖1.54亿余身份证号,但法院认定仅属于无证经营征信业务,不构成刑事犯罪。
全案非法获利1.01亿余元。公诉机关以单位及四名责任人涉嫌侵犯公民个人信息罪公诉,辩护人抗辩本案仅属于无证经营征信的行政违法行为,不涉刑。法院经最高法指定管辖审理,认定单位及四名主管、直接责任人构罪,判处单位罚金1.02亿元,四名被告人二至三年有期徒刑并适用缓刑,全额追缴1.01亿元违法所得,判决已全部生效执行。
二、本案法官核心裁判观点
(一)实名手机号属于法定受保护公民个人信息
依据2025修正《网络安全法》第七十八条第五项,电话号码属于法定个人信息。实名手机号绑定自然人社交、支付、轨迹、财产信息,结合通话记录可锁定第三人密切联系人,能够识别特定自然人,无论机主本人还是亲友手机号,均受法律保护。
(二)爬虫行为是否入刑,核心看两点:是否突破平台防护、是否超出用户知情授权范围
1.用户自愿交出自身平台账号、密码,仅代表同意企业登录核验身份,不推定授权企业爬虫批量抓取深度隐私、第三方联系人信息;
2.企业未在授权协议中明确告知爬虫抓取方式、抓取信息完整范围、数据将对外售卖牟利,抓取借款人亲友手机号且未经第三方同意,属于“非法获取公民个人信息”;
3.刻意购买虚拟IP、破解网站反爬验证机制,绕过平台数据保护规则批量爬取数据,直接满足刑法意义上“违反国家有关规定”的要件。
(三)对外提供信息分情形定性:未匿名化原始信息出售构罪,不可逆匿名化出售仅属行政违法
1.蜜蜂报告保留可识别自然人的原始信息(含第三方手机号、完整社保、通信记录),未经全部信息主体同意即对外售卖,属于非法出售公民个人信息,情节特别严重;即便购买方仅用于风控,但若客观被套路贷用于骚扰催收,不阻却本罪成立。
2.蜜罐报告仅使用用户主动授权三要素,经技术处理后无法复原、不能定位特定个人,仅生成信用数字分值,无识别自然人能力,不属于刑法保护的“公民个人信息”;企业无证开展征信业务仅违反《征信业管理条例》,由监管部门作行政处罚,不追究刑事责任。
(四)单位犯罪区分层级认定责任,自首、坦白、认罪认罚可从轻、缓刑
实控人罗某统筹全部违法业务,系直接负责的主管人员;技术、商务、运营负责人全程参与爬虫开发、数据售卖,属于其他直接责任人员。单位及主要责任人具备自首,其余被告人坦白、全案认罪认罚,综合犯罪情节可从轻处罚并适用缓刑。
三、站在普通民众、信息受害人角度:四大实操风险提示
1.贷款平台强制索要多平台账号密码切勿提供
很多网贷、分期平台以“不授权无法放款”胁迫用户交出运营商、社保、电商账号密码。参考本案,企业拿到账号后会用爬虫爬取全部通讯录、历史账单、亲友联系方式,你的家人、朋友会被动沦为信息受害者,极易遭遇催收骚扰、恶意短信轰炸。正规金融机构仅需核验本人身份,无权索要其他平台登录密码。
2.签署信息授权协议务必细读抓取范围、使用用途
协议小字中若包含“可爬取通信记录、联系人信息、长期保存数据、可对外提供第三方机构”等条款,可直接拒绝授权。法律要求企业必须清晰告知数据抓取方式、范围、去向,模糊概括式授权不具备完整知情同意效力。
3.遭遇莫名催收骚扰,可溯源数据泄露主体维权
若本人无网贷,但亲友持续收到催收、侮辱信息,大概率是你的手机号被爬虫抓取流入黑灰产。可留存短信、通话记录,向网信、公安部门报案,涉案数据公司涉嫌非法提供公民个人信息,需承担刑事、民事双重赔偿责任。
4.警惕各类征信查询小程序、信用检测工具
线上免费查征信、大数据风控检测工具,多依靠爬虫批量抓取个人数据牟利。这类产品即便只输出信用分数,若未经监管批准经营征信业务,属于违规;一旦留存你的原始身份、通信数据,即存在刑事违法风险。
四、站在涉案企业、被告人辩护律师视角:可行辩护切入角度
(一)区分两类数据产品,对蜜罐报告部分作无罪剥离辩护
本案核心突破口为两类报告的定性差异:蜜罐报告使用不可逆匿名化数据,不具备识别自然人功能,不属于刑法意义公民个人信息。辩护律师可单独拆分蜜罐报告对应的涉案金额、数据条数,请求法院将该部分从犯罪数额中扣除,大幅降低“情节特别严重”的认定基数,减少非法获利认定金额。
(二)针对“用户授权”提出从轻抗辩,弱化非法获取主观恶性
1.案涉授权协议由用户主动勾选确认,用户明知提交账号密码用于贷款审核,企业初始获取账号存在一定合意基础,区别于黑客无任何授权直接窃取信息的恶性犯罪;
2.企业前期未完整披露爬虫抓取范围存在合规瑕疵,但存在逐步修订授权协议的整改行为,可佐证主观上并非纯粹以窃取、倒卖信息为唯一目的,主观恶性相对较小。
(三)区分平台反爬机制强度,论证爬虫行为违法程度轻重
若部分抓取平台未设置完善反爬验证、未公示爬虫排除规则,可主张该部分爬取行为违法性更低;对比刻意购买代理IP、破解验证码规避风控的行为,请求法院对不同抓取行为分层评价,酌情从轻量刑。
(四)因果关系层面抗辩:第三方催收损害后果不应全额归责于被告人
借款人亲友被骚扰系下游套路贷企业自主实施的违法行为,被告单位出售报告仅提供数据,未指使、参与暴力催收,损害后果存在介入因素,不能将全部危害后果归责于本案被告人,请求量刑时减轻该情节负面影响。
(五)单位犯罪内部层级区分,争取认定从犯、降低主责程度
1.技术、商务、运营负责人可主张听从实控人罗某指令开展工作,业务模式、盈利决策均由罗某决定,仅执行职务,认定为从犯,依法减轻处罚;
2.梳理各被告人入职时间、参与业务时长,区分早期、后期参与人员,对参与时间短、接触数据量少的责任人进一步降低责任比例。
(六)量刑情节全维度挖掘,争取缓刑、大幅罚金减免
1.固定自首、坦白完整证据:实控人主动到案、如实供述全部业务模式;其余被告人归案后完整配合审计、提供服务器数据,构成坦白;
2.强化认罪认罚适用:全流程自愿签署认罪认罚具结书,主动筹措资金退缴违法所得,弥补社会损害;
3.提交企业经营、纳税、吸纳就业证据,证明企业存在合法主营业务,数据业务仅为板块之一,并非专门倒卖公民信息的黑灰产团伙,请求法院适用缓刑、适度下调罚金数额。
(七)行政违法与刑事犯罪的边界辩护
辩护意见可明确:企业核心诉求仅为开展征信业务,因未取得资质产生行政违法;爬虫抓取、售卖第三方通信信息才是单独刑事行为,二者应当拆分评价,不能将无证经营征信的全部行为统一认定为刑事犯罪,厘清行为定性边界,缩小犯罪评价范围。
五、关联法条
《中华人民共和国刑法》
第二百五十三条之一【侵犯公民个人信息罪】违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
《中华人民共和国网络安全法(2025修正)》
第七十八条本法下列用语的含义:
(五)个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》
第三条向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息的,应当认定为刑法第二百五十三条之一规定的“提供公民个人信息”。
未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的“提供公民个人信息”,但是经过处理无法识别特定个人且不能复原的除外。
《中华人民共和国网络安全法(2025修正)》
第四十四条网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。



专业定位问题,针对性提供解决方案
