大数据行业被整体监管已成为业内共识，在许多公司经历了市值上亿到被查失联的过山车式变化后，类似“爬虫爬的好，牢饭吃到饱”的话语被广泛传播。与其他行业不同，数据行业的法律风险并非是由民商事经营风险向行政监管风险、刑事犯罪风险转化的，而是在公权机关推动下，民事、行政、刑事多类型风险共同涌现。

相对应的，大数据行业的合规不能按照传统思维进行，而要以刑事合规为核心，抓住关键重点。作为一种技术，爬虫自然不是违法行为，但爬虫是否一定会引发数据行业的刑事风险，飒姐团队认为，关键在是否抓住了数据行业合规重点。

数据行业合规核心

在经营领域中，数据是数据行业的核心，随着云计算、物联网等信息技术产业的不断发展，数据的重要几乎成了每一个企业的共识。与此同时，对数据行业的监管也不断加强，数据行业的核心是数据，数据行业合规业务也必须以数据为核心展开，其中数据的使用属于日常经营行为，与一般企业合规的要求并无本质区别，而数据的收集，即数据的来源，则主要依靠爬虫技术。

行业通常秉持技术是中立无罪的观点，但以行业经验取代法律判断正是许多公司面临风险的原因。在此，飒姐团队对数据行业合规核心——数据来源部分进行分析。

爬虫技术的两种展开

一般来说，数据可以被区分为形式与内容两个部分，相对应的，数据的获取也分为过程与内容两个环节。

01爬虫技术获取数据过程

爬虫技术本身是不涉及违法犯罪的，对爬虫技术的运用则是具备刑事风险的。在一些公司使用爬虫的过程中，可能触犯非法侵入计算机信息系统罪、非法获取计算机信息系统数据罪、破坏计算机信息系统罪或提供侵入、非法控制计算机信息系统程序、工具罪等。

其中一些罪名是数据公司自身经营过程中，不当使用爬虫技术导致的，同时数据公司向第三方提供爬虫技术，也可能构成犯罪。

必须注意，即使是为了正常的商业活动，也不能滥用爬虫技术，比如使用爬虫技术获取经营所需的信息，符合刑法规定的，仍构成犯罪。即爬虫的目的并不能成为规避风险的理由。

02爬虫获取数据内容

如通过爬虫技术非法获得相关国家秘密的，涉嫌构成非法获取国家秘密罪。

如果通过网络爬虫技术爬取的信息属于商业秘密，则涉嫌构成侵犯商业秘密罪。

如果未经被收集个人信息的个人信息主体明确同意，通过网络爬虫技术采集个人信息，则涉嫌构成侵犯公民个人信息罪。同时需注意，如在获取信息后，超出许可范围使用个人信息，也存在构成犯罪的风险。

如何让技术无罪

飒姐团队认为，数据平台在利用爬虫技术时，必须注意以下几点：

1.严格制定操作规章，谨防未经合法授权或超越授权，侵入他人计算机信息系统，确保爬虫程序不会突破或绕开计算机系统防护措施；

2.避免从存在系统漏洞、缺少或没有系统防护措施的计算机信息系统获取数据，如在大数据获取中不可避免，注意留存证明主观上不明知的证据；

3.获取数据后及时进行风险评估，对可能未经授权获取的个人信息及时删除，不存储、不使用；

4.优先获取、使用已脱敏、不可识别特定自然人、不可复原的数据。

IDS：数据铁笼

法律与科技是不可分割的两重安全阀，某大数据运营商便通过IDS技术来规避风险。具体来说，IDS包括：

1、利用虚拟化技术实现数据处理过程的封闭隔离、用后即焚；

2、经过授权的计算，可以保证计算的结果是可信赖的，是可从数学上进行验证的；

3、计算完成后，结果定向到指定位置，处理过程区块链全程锁定、可追溯。

以技术手段打通GBC关系，法律兜底进行安全网建构，目前看来这是最为可行也最为可靠的手段。

写在最后

数据行业刑事合规的重点在于数据，数据的来源与数据的使用是合规的命门所在。除在利用爬虫技术获取数据的过程及内容中需注意规避刑事风险外，在数据存储环节企业可能涉及拒不履行信息网络安全管理义务罪、未履行信息网络安全管理义务等。

数据行业是属于未来的行业，如何让未来到来，从业者必须在发展过程中提高风险意识，重视合规建构，打通内部与外部合作，谋求长期发展。

参考资料：

【1】米格、本妹：《大数据公司从业者被抓，几十家被列入调查名单》，一本财经；

【2】文摘菌：《数据暴雷事件频发，行业洗牌在即，合规的大数据运营怎么做》，大数据文摘；

【3】蒋琳，李玲：《行业震荡！大批数据公司被查：是爬虫之错还是暴力催收的“锅”？》，南都记者采写；

【4】徐徜徉：《大数据风控行业“地震”：多家公司被调查，同盾科技否认实控人“跑路”》，财经新媒体；

【5】丁晓东：《数据到底属于谁?——从网络爬虫看平台数据权属与数据保护》华东政法大学学报；

【6】李慧敏、孙佳亮：《论爬虫抓取数据行为的法律边界》，电子知识产权。