【K哥爬虫普法】大数据风控第一案：从魔蝎科技案件判决，看爬虫技术刑事边界

我国目前并未出台专门针对网络爬虫技术的法律规范，但在司法实践中，相关判决已屡见不鲜，K 哥特设了“K哥爬虫普法”专栏，本栏目通过对真实案例的分析，旨在提高广大爬虫工程师的法律意识，知晓如何合法合规利用爬虫技术，警钟长鸣，做一个守法、护法、有原则的技术人员。

案情介绍

据魔蝎科技官网（现已无法打开）介绍，魔蝎科技成立于2016年，是国内领先的大数据智能风控服务供应商，其将人工智能、大数据、区块链、云计算等前沿技术，深度应用于反欺诈、智能决策、信用分析等多个金融风险管理服务领域，对外提供风险分析、反欺诈、多维度用户画像、授信评分等多维度风险管理服务。曾为上千家金融机构、网贷平台等提供大数据风控服务，曾系金融科技行业头部企业。

2019年之前，魔蝎公司等大数据风控公司一度野蛮生长，其运营模式通常为通过网络爬虫技术获取数据信息，而后对数据进行分析使用，用于为下游提供大数据风控服务。

2019年9月6日，据爆料，杭州西湖分局集结200余名警力，对涉嫌侵犯公民个人信息的魔蝎科技进行统一抓捕。抓获涉案人员120余名，冻结资金2300余万元，勘验固定服务器1000余台，扣押电脑100多台，手机200余部。

从事金融科技行业多年的资深人士透露，被查原因很可能与违规使用爬虫数据以及暴力催收有关。

网络爬虫原本是指平台按照一定规则，自动从互联网上提取网络信息的程序或脚本。但近年来，由于一些爬虫技术被应用于“套路贷”的暴力催收上，而被推向风口浪尖。

据金融科技领域人士称，彼时现金贷行业流行一个“风控奇招”——用一款被称为"同业爬虫"的产品，直接将其他现金贷平台的放款额和风控数据扒出来，相当于别家代为做了风控。

比如魔蝎科技员工介绍，只需提供其他现金贷平台的用户名和密码，"同业爬虫"就可以爬取用户的基本信息、银行卡信息、职业、联系人、贷款记录、理财信息等，成功率在85%以上。

曾有大数据公司的相关负责人表示，“我们本身不生产数据，也不买卖数据。所有的数据都是由客户授权，我们收的只是技术服务费用。”

但在征信行业从业者看来，用户授权并非就为爬虫业务披上了合法的外衣，过度爬取和不明使用信息的现象仍十分普遍。一些第三方数据公司会把爬取的信息存储或缓存下来，再对外提供数据服务，就已经违法了；如果涉及到买卖数据，更是触犯刑法。

法院审理查明，魔蝎科技会将其开发的前端插件嵌入网贷平台APP中。网贷平台用户使用网贷平台的App借款时，需要在魔蝎科技提供的前端插件上输入其通讯运营商、社保、公积金、淘宝京东、学信网、征信中心等网站的账号、密码。

经过用户授权后，魔蝎科技的爬虫程序即代替用户进入其个人账户，利用各类爬虫技术，爬取（复制）上述企、事业单位网站上贷款用户本人账户内的通话记录、社保、公积金等各类数据，并按与用户的约定提供给网贷平台用于判断用户的资信情况，并从网贷平台获取每笔0.1元至0.3元不等的费用。

尽管魔蝎科技在和个人贷款用户签订的《数据采集服务协议》中明确告知，“不会保存用户账号密码，仅在用户每次单独授权的情况下采集信息”，但其仍在服务器上采用技术手段长期保存用户各类账号和密码。截至2019年9月案发时，以明文形式非法保存的个人贷款用户各类账号和密码条数多达2000万余条。

根据两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息50条以上即可入罪。

判决情况

• 魔蝎科技以其他方法非法获取公民个人信息，情节特别严重，其行为已构成侵犯公民个人信息罪，判处罚金人民币三千万元；
• 被告人周某某犯侵犯公民个人信息罪，判处有期徒刑三年，缓刑四年，并处罚金人民币50万元；
• 被告人袁某犯侵犯公民个人信息罪，判处有期徒刑三年，缓刑三年，并处罚金人民币30万元；
• 扣押于公安机关的作案工具电脑等予以没收，被告单位杭州魔蝎数据科技有限公司退缴至本院的违法所得款人民币三千万元予以没收，并上缴国库。

案例分析

魔蝎科技的入罪原因，是在数据收集环节未经社保、公积金、运营商等平台授权爬取个人信息，同时未经用户授权的情况下非法长期保存用户各类账号和密码在自己租用的阿里云服务器上，还为套路贷系统平台提供风险控制及催收支撑服务，还将非法获取的公民个人信息出售给其他多个套路贷犯罪团伙，为其提供风控服务和催收支持，非法牟利，爬虫本无罪，罪在用途。

魔蝎科技依据《数据采集服务协议》获取贷款用户的账号密码，在未经被爬取方同意的情况下，利用爬虫技术手段，采取“模拟登陆”方式，获取服务器中所存储贷款用户数据的行为，可能构成未经授权进入被爬取方的计算机信息系统，从而触犯"非法获取计算机信息系统罪"或"侵犯公民个人信息罪"，不过在本案中法院对此未做出否定性评价。

近年来魔蝎科技、新颜科技、公信宝、聚信立、天翼征信、同盾科技等多家头部大数据风控公司，相继被查，均因涉嫌侵犯公民个人信息罪被刑事立案，相关公司高管被采取刑事强制措施，多家知名公司都已经主动或被动地停止了相关爬虫业务，前车之鉴，企业应当审视自身爬虫相关业务的商业模式存在的违法可能，关系到用户个人敏感信息，一旦被盗取或滥用，很可能流入非法金融借贷团伙手中，极易引发黑灰产风险。

对于侵犯公民个人信息罪的罚金数额，《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第十二条明确规定，“一般在违法所得的一倍以上五倍以下” ，从上述判决情况中可以看到，魔蝎科技被追缴的违法所得为三千万元，同时还被判处同等数额的罚金，这意味着，公司一旦触犯此罪名，所退赔的违法所得和罚金的总额，至少为违法产品营业收入的两倍，上述多家互联网公司、大数据公司，由于对自身数据处理的商业模式违法性认识错误，触犯法律红线而最终无法经营，与公民个人信息相关，一定要做好合法性及风险评估，切忌抱有侥幸心理！