网络爬虫相关刑事判例选编

——非法使用网络爬虫技术获取他人计算机信息数据的行为应如何认定

（来源：人民法院案例库，入库编号2024-04-1-252-002）

（一）基本案情

2017年7月，被告人马某某雇佣被告人莫某某一同开发“某索云盘搜索”网站。2018年1月，在马某某的策划和安排下，莫某某将“某索云盘搜索”网站http://t**suo233.com/开发完毕。3月，莫某某又开发了“某索云盘搜索”插件与充值会员功能，每个充值会员缴费后，可任意使用某索云盘进行搜索、自助下载和PDF转换。下载并使用“某索云盘搜索”插件的用户只要在电脑上登录百度网盘账户，该网盘账户内关于分享链接的地址和提取码将会在用户不知情、且未经百度网站授权的情况下被上传到t**suo233.com的服务器。9月7日，马某某、莫某某利用“某索云盘搜索”插件非法获取第一个信息，之后以充值会员每人每月人民币7元、六个月人民币42元、一年人民币84元、永久使用人民币360元的价格在网络上销售该款软件牟利。2018年9月7日至2019年8月1日期间，二人共获取违法所得人民币70115元。经鉴定，在安装有“某索云盘搜索”插件的浏览器中登入百度网盘账户，进入“我的分享”时，插件程序会自动将已登录网盘账户的所有分享链接的地址和提取码上传到服务器t**suo233.com。

江苏省扬州经济技术开发区人民法院于2019年12月10日作出（2019）苏1091刑初157号刑事判决：一、被告人马某某犯非法获取计算机信息系统数据罪，判处有期徒刑三年，缓刑四年，并处罚金人民币一万元；二、被告人莫某某犯非法获取计算机信息系统数据罪，判处有期徒刑三年，缓刑三年六个月，并处罚金人民币一万元。宣判后，无上诉、抗诉，判决现已发生法律效力。

（二）裁判理由

法院生效裁判认为：被告人马某某、莫某某在用户不知情，且未经百度网盘授权的情况下，利用“某索云盘搜索”的插件自动抓取用户存储于百度网盘的分享链接的地址和提取码，并将该信息收录于自己研发的网站上用于牟利，犯罪数额已达“情节特别严重”标准，符合非法获取计算机信息系统数据罪的构成要件。法院据此作出如上判决。

（三）裁判要旨

2009年实施的《刑法修正案（七）》增设了非法获取计算机信息系统数据罪，指违反国家规定，采用侵入或其他技术手段非法获取国家事务、国防建设、尖端科学技术领域以外的计算机信息系统中存储、处理或者传输的数据，情节严重的行为。所谓“采用侵入或其他技术手段”主要强调的是未经授权或者他人同意，通过技术手段进入计算机系统。本案被告人在用户不知情，且未经百度网盘授权的情况下，利用“某索云盘搜索”的插件自动抓取用户存储于百度网盘的分享链接的地址和提取码，并将该信息收录于自己研发的网站，符合非法获取计算机信息系统数据罪的客观行为要件；同时，二人违法所得人民币7万余元，达到有关司法解释规定的构成“情节特别严重”的标准。

——利用爬虫软件获取公民个人信息，在排除鉴定意见的情形下，如何认定侵犯公民个人信息罪的犯罪对象和数量？

——如何区分侵犯公民个人信息罪与非法获取计算机信息系统数据罪？

（来源：《刑事审判参考》，第1496号案例）

（一）基本案情

被告人董雷雷，男，1985年×月×日出生，A公司业务总监。2019年5月6日被逮捕。

被告人周杰，男，1983年×月×日出生，C科技公司法定代表人。2019年6月11日被逮捕。

被告人马驰，男，1989年×月×日出生，A公司员工。2019年6月11日被逮捕。

被告人李延庆，男，1991年×月×日出生，A公司业务经理。2019年5月6日被逮捕。

被告人姜超续，男，1991年×月×日出生，B公司业务经理。2019年5月6日被逮捕。

被告人刘泽旭，男，1994年×月×日出生，B公司业务经理综合管家。2019年5月6日被逮捕。

被告人杜亚飞，男，1996年×月×日出生，C科技公司软件开发员。2019年6月11日被逮捕。

北京市朝阳区人民检察院指控被告人董雷雷、周杰、李延庆、马驰、姜适续、刘泽旭、杜亚飞犯侵犯公民个人信息罪，向朝阳区人民法院提起公诉。

朝阳区人民法院经审理查明：2019年2月至3月，被告人董雷雷为窃取其所在A公司竞争对手B公司住房租赁经营业务中的客户信息，指使同事被告人李延庆通过B公司业务经理被告人姜超续向其下属被告人刘泽旭、刘志栋等人获取系统账户、密码及实时验证码，董雷雷另指使其同事被告人马驰与被告人周杰对接，由周杰及被告人杜亚飞编写“爬虫”程序，使用刘泽旭等人的账户登录B公司业务系统后运行“爬虫”程序非法获取系统内收房、出房合同，合同中均记载有出租人及承租人的公民个人信息。

朝阳区人民法院经审理认为，被告人董雷雷、周杰、李延庆、马驰、姜超续、刘泽旭、杜亚飞无视国法，非法提供及非法获取公民个人信息，七名被告人的行为均触犯了刑法，已构成侵犯公民个人信息罪。被害单位提供的证据与被告人供述、手机鉴定意见内容等能印证本案侵犯公民个人信息的途径、手段、具体获取的个人信息内容的敏感度以及获取信息的大量性。根据具体的定罪量刑标准，认定本案符合侵犯公民个人信息“情节特别严重”的情形。根据各被告人犯罪的事实、犯罪的性质、情节，在共同犯罪中的地位、作用，以及对社会的危害程度，依照刑法第二百五十三条之一第一款和第三款、第二十五条、第二十六条第一款、第二十七条、第六十七条第三款、第六十八条、第六十一条、第五十二条、第五十三条、第六十四条及《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条之规定，判决如下：被告人董雷雷犯侵犯公民个人信息罪，判处有期徒刑三年六个月，并处罚金人民币七万元；被告人周杰犯侵犯公民个人信息罪，判处有期徒刑三年二个月，并处罚金人民币三万元；被告人李延庆犯侵犯公民个人信息罪，判处有期徒刑二年二个月，并处罚金人民币一万元；被告人马驰犯侵犯公民个人信息罪，判处有期徒刑二年二个月，并处罚金人民币一万元；被告人姜超续犯侵犯公民个人信息罪，判处有期徒刑二年二个月，并处罚金人民币气万元；被告人刘泽旭犯侵犯公民个人信息罪，判处有期徒刑一年七个月，并处罚金人民币八千元；被告人杜亚飞犯侵犯公民个人信息罪，判处有期徒刑一年三个月，并处罚金人民币五千元。

宣判后，被告人董雷雷、周杰、马驰不服，向北京市第三中级人民法院提起上诉。

被告人董雷雷、周杰的主要上诉理由是：一审判决认定事实不清，未查明涉案信息的具体内容即认定为“公民个人信息”，亦未查明涉案信息的具体数量等即认定为“情节特别严重”；相关证据亦不足，故请求二审法院改判其无罪。

被告人周杰、马驰还提出，一审量刑过重。

北京市第三中级人民法院经二审审理查明的事实与一审基本相同。北京市第三中级人民法院审理认为本案的犯罪对象为公民个人信息，且属于可能影响公民人身、财产安全的敏感信息。在案证据能够认定本案侵犯公民个人信息数量属于“情节特别严重”。原审法院根据上诉人及原审被告人犯罪的事实、犯罪的性质、情节和对于社会的危害程度所作出的判决，定罪正确，量刑适当，审判程序合法。据此，依法作出驳回上诉，维持原判的终审裁定。

（二）主要问题

1.在排除鉴定意见的情形下，如何认定侵犯公民个人信息罪的犯罪对象和数量？

2.如何区分侵犯公民个人信息罪与非法获取计算机信息系统数据罪？

（三）裁判理由

1.在排除鉴定意见的情形下，综合在案其他证据可以认定犯罪对象为公民个人信息且属于可能影响公民人身、财产安全的敏感信息及其数量

近年来，针对公民个人信息的犯罪行为日益凸显，严重威胁公民人身和财产安全。司法实践中，行为人侵犯公民个人信息的数量从“倍数级”进阶至“指数级”，且公民个人信息内容存在重复、混同、庞杂等特点，信息本身识别困难，故司法机关通常依据鉴定机构出具的鉴定意见，并结合其他证据来予以综合认定。而作为鉴定依据的电子数据的收集、提取程序及规范，《最高人民法院、最高人民检察院、公安部关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》规定了明确、严格的程序要求和技术标准。

本案中，公安机关仅对被害公司自行提供的电子数据进行了勘验检查，但并未对该电子数据的真实性、原始性进行核对，亦未能对此作出合理说明，故勘验检查笔录及鉴定意见均未被法院采用。因此，在缺乏鉴定意见或者鉴定意见达不到证据采用标准而不能被采用的情况下，如何准确认定侵犯信息属于公民个人信息及其数量成为本案审理的重点和难点。案件审理过程中，对所涉犯罪行为能否认定为侵犯公民个人信息罪及是否符合“情节特别严重”的情形存在两种观点：第一种观点认为要认定侵犯信息属于公民个人信息及其数量必须依据鉴定意见，在无符合证据采用标准的鉴定意见的情况下宜根据“其他情节严重”或“情节特别严重”的情形，认定为非法获取计算机信息系统数据罪；第二种观点则认为在缺乏鉴定意见的情形下可以综合在案其他证据认定为侵犯公民个人信息罪且属于“情节特别严重”的情形。笔者同意第二种观点，具体分析如下。

（1）综合在案证据可以认定本案犯罪对象为公民个人信息，且属于可能影响公民人身、财产安全的敏感信息

公民个人信息是指以电子或者其他方式记录的，能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。其中根据敏感程度并结合《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《解释》）的规定，公民个人信息分为行踪轨迹信息、通信内容、征信信息、财产信息类极其敏感的个人信息，住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的敏感个人信息以及除上述两类信息之外的普通个人信息。对于敏感个人信息中“等其他可能影响人身、财产安全的公民个人信息”的表述，司法实践中可以根据具体情况作等外解释，但应当确保所适用的公民个人信息涉及人身、财产安全且与“住宿信息、通信记录、健康生理信息、交易信息”在重要程度上具有相当性。

本案中，证人牛某某（被害单位B公司反腐中心调查主管）、卢某（被害单位B公司技术经理）、证人李某甲（C科技公司副总监）、证人刘某某（被害单位B公司员工）、证人朱某（A公司员工）的证言与被告人董雷雷、周杰、马驰、刘泽旭、姜超续、李延庆、杜亚飞的供述相互印证，证明了董雷雷等人所需获取信息的具体要素（如房屋地址、交易信息）、获取信息的具体地域（如上海市等地）及已经获取的信息内容等，足以证实董雷雷、周杰、马驰等人非法获取的房屋租赁合同中包含姓名、电话、身份证号等能够识别特定自然人身份的公民个人信息，还包括房屋信息（房屋地址、租住情况）、交易信息（租赁合同起止日期、交易价格）等与公民人身、财产密切相关，属于可能影响公民人身、财产安全的敏感信息。

（2）综合在案证据可以认定侵犯公民个人信息的数量

犯罪事实能否认定取决于在案证据能否形成完整的证据链条。具体到本案，首先，从被害单位B公司证人证言的证明力来看，证人牛某某、卢某、李某乙（B公司信息安全部安全工程师）的证言均系公安机关依法取得，三人虽是被害单位B公司的工作人员，但其中一名是反腐中心调查主管、两名是技术人员，所作证言均是客观反映被害公司后台出现的异常情况（包括异常用户操作账号、IP地址等）及被侵犯公民个人信息的数量；三人并不知晓侵犯B公司数据的具体行为人及其所在公司和获取信息的不正当竞争目的，也与A公司及本案各被告人无利害关系，故三人的证言可以采纳。其次，从证据印证情况来看，各被告人之间的手机微信聊天记录、证人李某乙的证言与被告人周杰、马驰、杜亚飞的供述相互印证，证明了周杰、杜亚飞获取信息后将信息数据传输给马驰后又因本案案发而删除相关痕迹等情况。证人牛某某、卢某、李某乙的证言、各被告人之间的手机微信聊天记录与被告人董雷雷、周杰、杜亚飞的供述相互印证，证明董雷雷等人非法获取的公民个人信息数量“去重”后已达至少10万条。最后，本案的各被告人及证人卢某、朱某等，或是房产中介行业的工作人员，或是技术人员，负有保护公民个人信息的重要义务和职责，他们对掌握客户信息的行业优势、利用技术手段“爬虫”软件抓取数据并进行大数据（海量数据）分析的效果等应比一般人认识更深入，所作出的供述或证言亦能够相互印证，故可以作为定案依据。综上，在案证据足以证明本案侵犯公民个人信息数量远超过5000条，属于《解释》规定的侵犯公民个人信息“情节特别严重”的情形。

此外，从实践来看，侵犯公民个人信息案件中涉案的公民个人信息动辄上万条甚至数十万条。此时并不排除少数情况下存在信息重复的可能，但要求做到完全“去重”较为困难。对此，《解释》对批量公民个人信息的条数，也明确了可根据查获的数量直接认定，但是有证据证明信息不真实或者重复的除外。这一规定也为本案批量信息的认定提供了依据。

2.侵犯公民个人信息罪与非法获取计算机信息系统数据罪的区分

非法获取计算机信息系统数据罪是违反国家规定，侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据的行为。该罪与侵犯公民个人信息罪存在法条竞合关系。

本案被告人通过被害公司工作人员的违规授权，利用“爬虫”软件窃取被害公司系统合同信息的行为是否构成非法获取计算机信息系统数据罪，需要判断是否属于非法侵入行为以及是否属于计算机信息数据。

（1）关于“非法侵入”的认定

《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》（以下简称《危害计算机信息系统安全解释》）并未明确“非法侵入”的具体情形，但规定具有避开或者突破计算机信息系统安全保护措施，未经授权或者超越授权获取计算机信息系统数据的功能的程序、工具属于专门用于侵入、非法控制计算机信息系统的程序、工具。通常理解，“非法侵入”是指未经授权的人员违反国家规定擅自进入特定计算机信息系统包括运用计算机网络技术从后台进入，也包括使用他人的账户、密码从正常的系统人口登录等行为。行为人利用技术手段，规避或突破被害方计算机系统的安防设置，未经许可进入被害方计算机系统的，应认定为非法侵人；行为人在客观上虽没有规避或突破被害方计算机系统的安防设置，如使用计算机系统认证的账号密码登录，但如该登录未得到也不可能得到计算机系统管理人的授权的，该行为仍属未经许可进入被害方计算机系统，也应认定为非法侵入。

本案中，被告人虽然取得了被害公司员工提供的账号密码，通过计算机系统的认证登录，但该登录行为属非法授权，且被告人在登录后使用“爬虫”技术破坏计算机防御保护系统擅自下载系统设置仅供浏览的数据，可以认定为非法侵入。

（2）关于计算机信息数据的认定

《危害计算机信息系统安全解释》对非法获取计算机信息系统数据罪入罪的“情节严重”作出明确规定，其中特别明确了身份认证信息的数量要求，同时将其定义为用于确认用户在计算机信息系统上操作权限的数据，包括账号、口令、密码、数字证书等。而对于数据的具体含义和范围，司法解释并未明确。本案中，行为人提供、获取的是公民个人信息，不属于身份认证信息，但是否属于计算机信息数据及能否适用其他情节严重或者其他情节特别严重的情形认识不一致。我们认为，公民个人信息属于计算机信息数据的一种。本案存在侵犯公民个人信息罪与非法获取计算机信息系统数据罪的法条竞合。我国刑法第二百八十七条规定，利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的，依照刑法有关规定定罪处罚。在案证据明确本案侵犯的对象为公民个人信息，宜认定为侵犯公民个人信息罪。

另外，需要说明的是，本案被告人以电子侵入的非法手段获取竞争公司的大量商业合同等数据信息亦属于侵犯商业秘密行为（注：刑法修正案（十一）对侵犯，商业秘密罪的罪状进行了修改，将“给商业秘密的权利人造成重大损失”改成“情节严重”，同时提高了法定刑。本案根据案发的时间，应当适用修改前的法条）。但根据2020年9月17日《最高人民检察院、公安部关于修改侵犯商业秘密刑事案件立案追诉标准的决定》，侵犯商业秘密立案追诉条件为给商业秘密权利人造成损失数额在30万元以上的，或因侵犯商业秘密违法所得数额在30万元以上的，或直接导致商业秘密的权利人因重大经营困难而破产、倒闭的，或其他给商业秘密权利人造成重大损失的情形。在案证据尚不能认定被告人的行为达到侵犯商业秘密罪的追诉标准。

综上，人民法院认定被告人等构成侵犯公民个人信息罪，并根据在案的事实、情节认定被告人等属于“情节特别严重”，是正确的。

——涉案爬虫软件是否属于“专门用于侵入、非法控制计算机信息系统的程序、工具”

（来源：《刑事审判参考》，第1553号案例）

（一）基本案情

被告人丁某，男，19××年×月×日出生。2022年1月20日被逮捕，同年5月9日被取保候审。

江苏省无锡市梁溪区人民检察院指控被告人丁某犯提供侵入计算机信息系统程序罪，向无锡市梁溪区人民法院提起公诉。

被告人丁某对指控的事实、罪名没有异议。其辩护人提出：涉案行为的社会危害性较小，情节相对轻微，丁某具有坦白情节，真诚悔罪，系初犯，退缴全部违法所得，认罪认罚，适用缓刑对所在社区没有不良影响，建议对其从轻处罚并适用缓刑。

无锡市梁溪区人民法院经审理查明：2021年10月5日，被告人丁某在经营马鞍山耀腾信息咨询有限公司期间，从丁某强(另案处理)处购买“汇易获客”软件代理权，明知该款软件未经授权，专门用于入侵短视频平台服务器非法获取用户昵称、留言、评论等数据，仍将软件改名为“客多多精准获客”并对外销售。2021年10月至12月，丁某在安徽省马鞍山市花山区紫源大厦1805室内，组织其公司销售人员孙某西、石某、徐某朋、丁某萍(均另案处理)通过网络向王某、林某康、芦某等人销售“客多多精准获客”软件，违法所得共计人民币2.436万元。经福建中证司法鉴定中心鉴定，送检的“采集端1.5.vmp.exe”程序在实现获取短视频平台当前热门话题功能的过程中，先发送验证请求至特定IP地址的服务器中“天盾服务端”程序进行验证，之后发送POST请求至特定网址获取X-Gorgon值，最后根据X-Gorgon、X-Khronos等参数值发送GET请求获取短视频平台服务器数据。丁某到案后，如实供述自己的犯罪事实，并退出销售“客多多精准获客”软件的全部违法所得。

无锡市梁溪区人民法院认为，被告人丁某伙同他人，提供专门用于侵入计算机信息系统的程序，情节严重，其行为已构成提供侵入计算机信息系统程序罪。丁某在共同犯罪中起主要作用，系主犯，应按照其所参与的全部犯罪处罚；丁某归案后如实供述自己的罪行，自愿认罪认罚，依法从轻处罚。依照《中华人民共和国刑法》第二百八十五条第三款，第二十五条第一款，第二十六条第一款、第四款，第六十七条第三款，第七十二条，第七十三条第二款、第三款，第六十四条，《中华人民共和国刑事诉讼法》第十五条及《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第二条、第三条第一款第五项之规定，判决如下：

一、被告人丁某犯提供侵入计算机信息系统程序罪，判处有期徒刑一年六个月，缓刑二年，并处罚金人民币三万元。

二、扣押在案的被告人丁某的手机一部、电脑主机一台依法予以没收。被告人丁某已退缴的违法所得人民币二万四千三百六十元予以没收。

三、禁止被告人丁某在缓刑考验期限内从事互联网相关经营活动。

一审宣判后，在法定期限内，检察机关未抗诉，被告人丁某未上诉。判决已发生法律效力。

（二）主要问题

提供侵入计算机信息系统程序罪涉及的“专门用于侵入、非法控制计算机信息系统的程序、工具”应如何认定?

（三）裁判理由

随着信息技术和互联网产业的发展，尤其是大数据的广泛应用，“爬虫”软件作为网络数据提取工具，能够快速扫描网页内容、采集数据，在数据信息搜集、过滤等方面具有突出优势，已成为一种常见的计算机技术手段。但任何技术手段在提供和使用的过程中，均应通过合法的途径、手段，在法律允许的范围内运用，超出法律边界则可能成为侵犯计算机信息系统和数据安全的犯罪工具。“爬虫”软件被滥用，是导致计算机犯罪泛滥的重要原因。2009年刑法修正案(七)增设提供侵入、非法控制计算机信息系统程序、工具罪，进一步严密保护计算机信息系统和数据安全的刑事法网。人民法院对提供侵入、非法控制计算机信息系统程序、工具行为进行依法惩处，有利于从源头遏制非法侵入计算机信息系统、非法获取计算机信息系统数据、非法控制计算机信息系统等下游犯罪行为，依法保护网民个人信息安全和互联网平台系统安全、数据安全，彰显网络并非法外之地。实践中，涉案程序、工具是否属于“专门用于侵入、非法控制计算机信息系统的程序、工具”,影响罪与非罪的判定，成为争议焦点。

针对以上问题，我们认为可以从以下两方面进行综合审查判断。

1.功能审查

涉案程序是否属于“专门用于侵入、非法控制计算机信息系统的程序、工具”,首先应进行功能审查，确认是否具备侵入、非法控制计算机信息系统的功能。一般而言，侵入是非法获取他人计算机信息系统中存储、处理或者传输数据的前提条件，如利用黑客工具、木马程序等非法侵入计算机系统，获取互联网用户数据、个人隐私、身份信息等。非法控制是指非法获取计算机信息系统的控制权限，进而利用权限对计算机信息系统数据、系统本身加以操控，尚未造成系统功能、数据的实质性破坏或妨害系统正常运行的行为，即通过技术手段使他人计算机信息系统处于行为人控制之下，接受行为人指令，完成行为人实施的操作活动。不具有侵入和控制功能，对下游计算机犯罪无任何帮助，相关程序和工具就不属于“专门用于侵入、非法控制计算机信息系统的程序、工具”。

是否具有侵入和控制功能，关键在于能否避开或突破安全保护措施。在网络环境中，计算机信息系统控制人往往会设置密码防护、防火墙、身份认证、数据加密、反爬措施等各种安全保护措施，一般人利用普通技术手段无法避开或突破。“专门用于侵入、非法控制计算机信息系统的程序、工具”，可以通过破解、盗取密码，病毒或后门攻击以及协议漏洞渗透等手段，避开或突破计算机信息系统的安全措施，帮助他人非法侵入计算机信息系统，进而实施非法获取计算机信息系统数据、非法控制计算机信息系统等行为。由此可见，涉案程序和工具是否具有侵入和控制功能，属于技术问题，必要时可委托司法鉴定机构出具鉴定意见。

2.权限审查

权限审查是指使用涉案程序或工具获取计算机信息系统数据，对计算机信息系统进行控制、访问，是否经过授权以及是否在授权范围内进行。在互联网大数据时代，网民在享受互联网给生活带来便捷的过程中，个人的数据、信息也在源源不断地输入互联网，特别是在使用软件、注册会员时，同意用户协议就已将个人信息、数据提供给服务提供商。但是，相关信息、数据并不是无条件、无限制地向所有人员开放，需要在数据提供者知情并同意、数据保管者许可并授权，遵守合理合法运用、保密使用、限制扩散等规则的前提下，有限制、有边界地合法使用。

涉案程序和工具虽具备侵入和控制功能，但使用者获取计算机信息系统数据和控制计算机信息系统得到合法授权，相应地，提供行为也不具有社会危害性和非法性。相反，他人利用被告人提供的程序和工具，未经相关授权或越权获取计算机信息系统数据，对计算机信息系统进行控制、访问，违背用户意愿，损害计算机系统控制人利益和意志，危害用户信息安全和计算机系统安全、数据安全，就应当认定涉案程序、工具系“专门用于侵入、非法控制计算机信息系统的程序、工具”。

本案中的短视频平台服务器采用以X-Gorgon加密算法进行签名校验的安全保护措施。短视频平台服务器根据发送数据请求用户的信息运用算法得出特定的X-Gorgon参数值，与数据请求中所携带的X-Gorgon参数值进行匹配，以验证请求的合法性。而被告人丁某向他人提供的“客多多精准获客”软件，经福建中证司法鉴定中心鉴定，先发送验证请求至特定IP地址的服务器中“天盾服务端”程序进行验证，之后发送POST请求至特定网址非法获取X-Gorgon值，最后利用算法解析出加密的X-Gorgon等参数值发送GET请求获取短视频平台服务器数据。该软件避开短视频平台服务器系统安全保护措施，从短视频平台服务器中批量获取用户昵称、留言、评论等数据信息，属于“爬虫”软件，具有侵入和非法获取功能。其可以未经授权非法获取短视频平台服务器中未对普通用户开放的内部信息系统数据，且主要功能就是非法获取相关信息，客观上为下游计算机犯罪提供了技术支持，故应认定属于“专门用于侵入、非法控制计算机信息系统的程序、工具”。

综上，人民法院认定被告人丁某提供“客多多精准获客”软件的行为构成提供侵入计算机信息系统程序罪，是正确的。

——利用爬虫技术传播淫秽物品牟利“情节特别严重”的认定

（来源：人民法院案例库，入库编号2024-04-1-374-001）

（一）基本案情

2017年3月份以来，被告人龚某某利用爬虫技术，在互联网上建立了二十余个可以提供他人下载淫秽视频的“BT种子”和“磁力链接”的网站，并通过挂载广告的方式从中牟利。经鉴定，其所建网站中含淫秽视频588部。

山东省胶州市人民法院于2020年10月15日作出（2020）鲁0281刑初62号刑事判决，认定被告人龚某某犯传播淫秽物品牟利罪，系情节特别严重，判处有期徒刑十年，并处罚金人民币二十万元。宣判后，被告人龚某某以其行为不构成传播淫秽物品牟利罪情节特别严重的情形，量刑过重为由提出上诉。山东省青岛市中级人民法院于2020年12月28日作出（2020）鲁02刑终663号刑事判决，认定龚某某不构成传播淫秽物品牟利罪“情节特别严重”情形，改判有期徒刑三年，并处罚金人民币十万元。

（二）裁判理由

法院生效裁判认为：本案不构成传播淫秽物品牟利罪“情节特别严重”情形，具体理由如下：

第一，被告人龚某某在主观方面与典型意义上传播淫秽物品牟利罪的直接故意不同。其设立的网站基于互联网爬虫技术而自动获取互联网上的BT种子文件信息，其认识到爬虫程序所搜索到的部分BT种子信息可能会被用于下载淫秽视频，但为了增加观看广告的流量而放任这一结果的发生。同时，没有证据证实龚某某与BT种子所关联的淫秽视频发布者之间存在共谋。在此情形下，要求龚某某承担与运营典型意义的淫秽网站等具有直接故意的淫秽物品传播牟利者。

第二，被告人龚某某在客观行为及危害结果上与典型意义上传播淫秽物品牟利罪的行为、结果亦不同。龚某某的行为是设置爬虫程序在互联网上搜索各类BT种子信息，这些BT种子信息中部分含有淫秽视频的BT种子信息，其并非是淫秽视频的直接提供者。其行为的结果也表现为，通过特定关键词搜索到包含淫秽视频BT种子信息的网站用户不能直接看到淫秽视频的内容，必须通过搜索到的信息将BT种子下载后，再通过另外的下载软件才有可能将淫秽视频下载观看。其行为和结果与典型意义上传播淫秽物品牟利罪的行为、结果均存在差异，具有基于互联网技术的非直观性。单纯以其网站数据库中所能搜索到的包含特定关键词的BT种子信息能够下载的淫秽视频数量对其量刑，亦有违罪责刑相一致的原则，原审判决量刑明显过重。

第三，被告人龚某某传播淫秽物品牟利行为的传播范围、违法所得根据现有证据难以认定。本案中并无充分证据证实其网站通过用户搜索BT种子下载淫秽视频的传播范围。其有关经营网站获利50余万元的供述一方面没有客观证据等印证，另一方面也不能区分其中的合法收入与违法所得。

故在此案二审中，参考了《关于利用网络云盘制作、复制、贩卖、传播淫秽电子信息牟利行为定罪量刑问题的批复》规定：“对于以牟利为目的，利用网络云盘制作、复制、贩卖、传播淫秽电子信息的行为，在追究刑事责任时，鉴于网络云盘的特点，不应单纯考虑制作、复制、贩卖、传播淫秽电子信息的数量，还应充分考虑传播范围、违法所得、行为人一贯表现以及淫秽电子信息、传播对象是否涉及未成年人等情节，综合评估社会危害性，恰当裁量刑罚，确保罪责刑相适应”的精神，认为本案不构成“情节特别严重”，依法改判。故法院依法作出如上裁判。

（三）裁判要旨

利用云技术、AI技术、爬虫等新兴技术传播淫秽物品牟利的，情节认定不宜简单适用相关司法解释中的数量标准，还应综合考量行为人主观故意和全案事实、情节作出判断，做到罪责刑相一致。