我国目前并未出台专门针对网络爬虫技术的法律规范,但在司法实践中,相关判决已屡见不鲜,K 哥特设了“K哥爬虫普法”专栏,本栏目通过对真实案例的分析,旨在提高广大爬虫工程师的法律意识,知晓如何合法合规利用爬虫技术,警钟长鸣,做一个守法、护法、有原则的技术人员。
案情介绍
2019年8、9月期间,被告人袁海东、赖永豪通过“猪八戒”网络平台以人民币7500元的价格向苏州市相城区黄埭镇春申湖路电信营业厅实际经营者计某及员工付某(均另案处理)出售了一款名为“telecom.exe”的爬虫软件,该软件根据计某、付某的要求定制,具有根据输入的查询请求头与渠道ID,模拟生成网页请求包,突破原本登录工号的权限,实现获取不同渠道ID权限内数据的功能。制作过程中,由被告人袁海东作为中间人,与计某、付某议价,了解定制要求,并将技术要求和细节转述给被告人赖永豪,由被告人赖永豪具体负责软件制作,制作完成后,由被告人赖永豪将涉案软件发送给被告人袁海东,由被告人袁海东交付给付某。被告人袁海东得款7500元,并将其中1500元分配给被告人赖永豪。
软件交付后,付某利用该软件从江苏电信营业云平台系统中获取了苏州市大市范围内70余万组的电信宽带工单信息。
软件使用
使用授权账号登录 “bss.telecomjs.com” 通过订单查询系统,进行一次订单查询,打开浏览器调试器截取请求头,启动 “telecom.exe”,选择 “查询渠道”,选择查询日期、地点、范围,并输入截取的请求头与渠道ID “21000”,点击 “开始查询”,获取到数据,另存为 “渠道订单_21000.csv”。
供述情况
证人计某的证言笔录,证实其为了快速查询并保存快到期的宽带客户数据,由付某介绍,在“猪八戒”网络平台找到“天辰”(袁海东)制作软件,具体的软件功能由付某进行沟通,计某共计支付7500元软件制作费。
证人付某的证言笔录,2018年11月之后的客户,新系统每个工号只能查自己渠道的客户,限制非常多。我从订单系统进去,渠道前面有一个灰色的勾,我右键点击弹出来“查看元素”点击后,会跳出来网页代码,网页代码里可以改渠道。正常来讲,用某渠道员工的BSS系统工号登录进去是看不全的,只能本渠道,就是本营业厅做的业务订单,看不到别人的订单,但是我用改代码的方式可以看到别人的订单,是改一个叫渠道ID的内容,实际就是改系统代码的一个操作,然后再填时间,就能拉出来别的渠道某时间内所有订单的情况了。这些数据现在能看到,以后不一定能看到,我和计某也讲了这件事。我说这个数据很多,要保存下来,以后用。我不会搞,我让计某把新系统客户资料保存下来。
证人周某的证言笔录(身份为电信公司员工),电信营业厅普通员工的工号,权限是很低的,这种工号是营业厅给员工开的,登录时候需要员工刷脸验证,有密码也基本不用,正常都是刷脸登录,同一工号在同一时间只能在一个地方登录。
证人王某的证言笔录(身份为中国电信苏州分公司安全保卫部员工),2018年11月我们进行了系统更新,升级后,普通工号可以看到2018年11月之前办理宽带的工单信息,2018年11月之后的工单信息,普通工号只能看到自己受理的工单信息,看不到别人及其他代理商办理的工单信息。
被告人袁海东的供述笔录,供称计某自称是电信运营商,要求做一个复制粘贴宽带客户数据的软件,粘贴后汇总,软件就是要解密破解电信的这个网页系统,然后获取相关代码或者数据,实现相应功能。赖永豪说数据库有加密,可以做,要价1500元,我和计某要价7500元。后来增加一个渠道查询的功能,填写不同的渠道,然后查询到不同渠道里面的客户信息复制下来。使用的时候登录账号密码,进入江苏电信的界面,打开赖永豪制作的软件,会弹出一个请求头,在里面随便输入一个工号,就可以看到这个工号的数据。这个软件制作之前,计某他们可以手工操作,通过査看元素输入对方工号进数据库后再下载。
被告人赖永豪的供述笔录,供称我做了一个爬虫软件,可以从中国电信苏州市分公司BSS系统上查询、复制保存数据信息。2019年8月底9月初,袁海东的客户提供了VPN和登录工号,我远程登录上之后,袁海东把客户的要求告诉我,我来做软件。开始客户要我做一个复制粘贴宽带客户数据的软件,粘贴下来,汇总到EXCEL表格里,后来,我听袁海东讲,客户要增加一个查询渠道的选项,在渠道查询里,客户可以自己输入渠道,查询该渠道里面的数据。通过我这个软件,把网络请求复制到请求头,我的软件就和BSS系统链接起来,在查询渠道选项框里输入不同的渠道,就可以查询到该渠道的信息,不需要手动操作。登录的账号就是一个渠道ID,通过任何一个账号登录上去后,在业务查询网页下,通过查看元素,修改源代码,然后填出想看的工号(就是渠道ID),可以看到任何渠道ID的数据,他们之前就知道这个操作,我的软件就是省掉了他们的手工输入。如果不修改源代码只能看到登录时使用工号下的信息,其他渠道ID下的数据是没有权限看的。制作这个软件袁海东付给我1500元。
判决情况
- 被告人袁海东犯提供侵入计算机信息系统程序罪,判处有期徒刑六个月,并处罚金人民币一万元(刑期从判决执行之日起计算,判决执行以前先行羁押的,羁押一日折抵刑期一日,其中2019年12月4日至2020年1月10日被羁押的38日折抵计入刑期,即自2020年11月26日起至2021年4月17日止;已缴纳的人民币一万元于判决生效之日折抵罚金,并上缴国库);
- 被告人赖永豪犯提供侵入计算机信息系统程序罪,判处有期徒刑六个月,并处罚金人民币一万元(刑期从判决执行之日起计算,判决执行以前先行羁押的,羁押一日折抵刑期一日,其中2019年12月11日至2020年1月10日被羁押的31日折抵计入刑期,即自2020年11月26日起至2021年4月24日止;已缴纳的人民币一万元于判决生效之日折抵罚金,并上缴国库);
- 被告人袁海东退出的违法所得人民币六千元,予以没收,并上缴国库;责令被告人赖永豪退出违法所得人民币一千五百元,并予以没收,上缴国库;
- 公安机关扣押的作案工具予以没收,由扣押机关依法处理。
判决文书
https://wenshu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html?docId=relZp5rmNdvxo44a5EgeR08ZayGAMW1HJ5xDl31FZfbAKzrh2TJnivUKq3u+IEo4wf+rtfJyLdevTKxhplf+LTqpGwpjdCW9IJQPjs6qJ+eMfF23+mjRYIHJ3/wXfIZP
案例分析
本案的用户行为超出了爬虫的界限:仅可采集用户正常访问的公开数据。一般用某渠道员工的 BSS 系统工号登录后是无法查看超越工号权限的数据(只有本营业厅做的业务订单),但是被告人在系统禁止改变渠道ID的情况下,通过修改网页源代码中的渠道ID从而非法查看其他渠道的订单信息,构成非法越权。
根据《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第二条第一款第(一)项规定,“具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据的功能的”,应当认定为刑法第二百八十五条第三款规定的“专门用于侵入、非法控制计算机信息系统的程序、工具”,本案例是符合的。
早在2013年,被告人袁海东、赖永豪就曾因相同罪名被上海市公安局长宁分局立案侦查并移送公诉机关,虽然当时法院对他们作出相对不起诉的决定,不过这次也因此被从重处罚,常在河边走哪有不湿鞋,切忌抱有侥幸心理,游走于灰色地带,终究面临法律的制裁,对爬虫单应该有足够的认识,分析其不违法的情况下再去接,切莫因小失大,得不偿失。
这个案例令人眼前一亮的点是,“中间商”袁海东向甲方开价7500元,事成只给了程序员赖永豪1500元,抽成高达80%!赖永豪肯定想不到合作多年的“老熟人”,靠他赚的盆满钵满,这也是值得所有程序员们注意的。