毕业于名牌大学IT专业,男子王某开发出一款破解“得物”App防护措施、自动抓取商品数据的爬虫程序,售卖获利60余万元。
11月21日,澎湃新闻(www.thepaper.cn)记者从上海市普陀区人民法院(以下简称上海普陀法院)获悉,近日,该院审理了这起案件,该案也是上海首例认定提供爬虫程序抓取公开数据构成提供侵入计算机信息系统程序罪的案件。
上海普陀法院介绍,2020年,王某从某名牌大学IT专业毕业后入职了一家网络公司。在浏览网络论坛时,王某发现爬虫技术目前应用火热,尤其在电商行业竞品分析中市场需求旺盛。
2021年,王某开发出一款能破解“得物”App防护措施、自动抓取商品数据的爬虫程序,在微信朋友圈、博客等平台发布介绍帖并售卖,2年间共计获利60余万元。
2021年10月,王某发布的帖文被得物公司员工发现,该员工添加其微信购买算法。经验证,该算法的确能够从“得物”App获取包括产品定价信息等核心数据,得物公司立即向公安机关报案。
经公安机关侦查,上述爬虫程序通过破解API加密算法、批量获取设备身份指纹SK等技术方法绕过防护机制,无需授权即可获取服务器数据。
2023年11月,王某被公安机关抓获,到案后如实供述犯罪事实,自愿认罪认罚并退缴违法所得。
上海普陀法院经审理后认为,被告人王某明知其开发的爬虫程序及接口具有破解App安全保护措施并获取商品数据的功能,仍通过网络向他人售卖并提供维护服务等,经审计违法所得60余万元,其行为已构成提供侵入计算机信息系统程序罪,且情节特别严重,依法应予处罚。
鉴于王某具有坦白、认罪认罚、退赃等情节,最终判处其有期徒刑三年,缓刑三年,并处罚金人民币八万元。
案件宣判后,被告人未上诉,公诉机关未抗诉,案件已发生法律效力。
上海普陀法院刑事审判庭法官沈衡之表示,网络爬虫作为常见的数据抓取技术,具有促进数据共享与侵犯数据安全的双刃性,必须在合理范围内使用,包括获得授权、遵守网站规则、限制抓取频率、避免涉及敏感数据等,否则可能构成民事侵权甚至涉嫌刑事犯罪。
本案中,“得物”在App的用户协议及Robots协议中均明确宣示禁止任何数据抓取行为,并采取了签名认证、图形验证、设备指纹、代码混淆加固等防护措施。被告人无视系统警示、未经授权许可,向他人提供爬虫程序破解防护机制,获取系统数据,已属于法律规定的提供“专门用于侵入计算机信息系统的程序”的行为,而非单纯的技术行为。
沈衡之介绍,涉案商品信息在“得物”App客户端可以正常浏览,但上述信息数据在App后台所对应的代码进行了加密保护,并设置了多种反爬虫措施。被告人开发的爬虫软件通过技术手段,绕过“得物”App的防护机制,获取“得物”App服务器数据,属于违法的“侵入性”访问,侵害了企业的数据安全,损害了企业的合法权益。