【k哥爬虫普法】爬虫第一案,侵犯个人隐私,“入侵”短视频服务器!

我国目前并未出台专门针对网络爬虫技术的法律规范,但在司法实践中,相关判决已屡见不鲜,K 哥特设了“K哥爬虫普法”专栏,本栏目通过对真实案例的分析,旨在提高广大爬虫工程师的法律意识,知晓如何合法合规利用爬虫技术,警钟长鸣,做一个守法、护法、有原则的技术人员。

案情介绍

江苏省无锡市梁溪区人民法院审结了一起提供侵入计算机信息系统程序罪案件,也就是网上传遍的“首例短视频平台领域网络爬虫案”,案情原文(源自最高人民法院):https://mp.weixin.qq.com/s/P8j_XEiqoEkcerV-tpiIVQ

2021年9月,丁某在网上结识了丁某某,丁某某表示其有一款“爬虫”软件可以获取某短视频平台用户数据,通过输入关键词搜索,可以快速抓取用户信息,主要包括用户名、评论、账户UID等。如果丁某感兴趣,可以购买代理权,做软件的推广,从中赚取差价。

丁某在试用后觉得不错,便决定代理,并对软件“改头换面”后对外进行销售。

某信息公司员工吴先生在网上巡查时发现有人在兜售一款“爬虫”软件,该软件居然可以“爬取”自己公司后台数据和直播间用户的相关信息,随即报警。经侦查,公安机关很快锁定了丁某。

梁溪法院经审理查明,被告人丁某在经营公司期间,从丁某某(另案处理)处购买一款“爬虫”软件代理权后,在明知该款软件系未经授权、专门用于入侵某短视频服务器后非法获取用户昵称、UID 等数据的情况下对外销售。2021年10月至12月期间,丁某组织公司销售人员通过网络向多人销售上述软件,违法所得共计24360元。

判决情况

法院认为,被告人丁某伙同他人提供专门用于侵入计算机信息系统的程序,情节严重,其行为已构成提供侵入计算机信息系统程序罪。最后,法院判处被告人丁某有期徒刑1年6个月,缓刑2年,并处罚金3万元,没收丁某的违法所得。同时,禁止丁某在缓刑考验期内从事互联网相关经营活动。

反思总结

根据视频中梁溪公安局网安大队民警介绍,被告主要是用这款软件抓取了直播间的用户昵称、UID 等信息,通过这些信息去精准联系客户,进行精准营销,视频中展示了该爬虫的相关功能,虽然不是很清晰,但还是可以依稀看到主要有以下信息:UID、SEC_UID、抖音号、姓名、性别、消费总数、排名、消费等级等,此外还有采集视频、采集同城视频、查询用户、搜索用户、监控粉丝/评论、监控用户作品、热门话题、采集好物、采集直播榜单、采集直播间弹幕等等,值得注意的是,视频中我们看到软件采集的姓名,包含了一些特殊符号、字符串也很长,可以猜测并不是用户真实姓名,有可能是昵称之类的。

作为程序员,相信大家都看得出来案情中描述的入侵短视频服务器这种说法,实际上并不是一种专业的描述,“入侵”应该是黑客行为,目的是拿到一些内部人员、或者需要权限才能拿到的信息,而本案中 UID、昵称等信息,事实上打开浏览器自带的开发者工具,抓包到接口就可以直接看到的,所以并不存在“入侵”这种说法,突破反爬措施,破解请求参数,这种说法更合理一些。值得注意的是,法院判决是非法侵入计算机,按道理来说侵入的是短视频平台的服务器,然而本案中,全程并没有看到短视频平台的官方人员介入,也没有看到短视频平台向警方提供了什么有力的入侵证据,难道就凭借一个软件就判断入侵了对方服务器吗?这显然是不合理的。

从工程师的角度来说,本案的重点其实应该是采集了用户信息之后,去精准联系客户,进行精准营销,这相当于侵犯了公民个人隐私,K哥认为本案判处侵犯公民个人信息罪更加合理,本案在网上的文章有很多,大多是一些非技术人员编辑的,文章弱化了对精准联系客户、精准营销的描述,过于强调了爬虫,并且使用了不专业的“入侵”词汇来描述爬虫。

对于爬虫工程师来讲,凡是涉及到个人信息,哪怕是虚拟的个人信息(指用户在互联网产品上的唯一标识、昵称等信息),都得注意,一旦你的业务涉及到个人信息数据,或者通过这些数据盈利,或者通过这些数据对人家造成骚扰,那么必然是违法的,在个人信息方面一定要有这个意识。

而且还有一点需要注意,本案中报警的人是公司员工,甚至不是公司发现了爬虫行为进行报警,即只要你的爬虫行为切实侵犯了个人隐私、他人利益,那么无论是数据的发布方,又或者是数据的生产者,都可以对工程师进行举报,所以谨记,爬虫切勿违法违规操作!

你可能感兴趣的:(#,K哥爬虫普法,爬虫,JS逆向,python,javascript)