破解“得物”App防護措施,男子開發售賣爬蟲程序獲刑

畢業於名牌大學IT專業,男子王某開發出一款破解“得物”App防護措施、自動抓取商品數據的爬蟲程序,售賣獲利60餘萬元。

11月21日,澎湃新聞(www.thepaper.cn)記者從上海市普陀區人民法院(以下簡稱上海普陀法院)獲悉,近日,該院審理了這起案件,該案也是上海首例認定提供爬蟲程序抓取公開數據構成提供侵入計算機信息系統程序罪的案件。

上海普陀法院介紹,2020年,王某從某名牌大學IT專業畢業後入職了一家網絡公司。在瀏覽網絡論壇時,王某發現爬蟲技術目前應用火熱,尤其在電商行業競品分析中市場需求旺盛。

2021年,王某開發出一款能破解“得物”App防護措施、自動抓取商品數據的爬蟲程序,在微信朋友圈、博客等平臺發佈介紹帖並售賣,2年間共計獲利60餘萬元。

2021年10月,王某發佈的帖文被得物公司員工發現,該員工添加其微信購買算法。經驗證,該算法的確能夠從“得物”App獲取包括產品定價信息等核心數據,得物公司立即向公安機關報案。

經公安機關偵查,上述爬蟲程序通過破解API加密算法、批量獲取設備身份指紋SK等技術方法繞過防護機制,無需授權即可獲取服務器數據。

2023年11月,王某被公安機關抓獲,到案後如實供述犯罪事實,自願認罪認罰並退繳違法所得。

上海普陀法院經審理後認爲,被告人王某明知其開發的爬蟲程序及接口具有破解App安全保護措施並獲取商品數據的功能,仍通過網絡向他人售賣並提供維護服務等,經審計違法所得60餘萬元,其行爲已構成提供侵入計算機信息系統程序罪,且情節特別嚴重,依法應予處罰。

鑑於王某具有坦白、認罪認罰、退贓等情節,最終判處其有期徒刑三年,緩刑三年,並處罰金人民幣八萬元。

案件宣判後,被告人未上訴,公訴機關未抗訴,案件已發生法律效力。

上海普陀法院刑事審判庭法官沈衡之表示,網絡爬蟲作爲常見的數據抓取技術,具有促進數據共享與侵犯數據安全的雙刃性,必須在合理範圍內使用,包括獲得授權、遵守網站規則、限制抓取頻率、避免涉及敏感數據等,否則可能構成民事侵權甚至涉嫌刑事犯罪。

本案中,“得物”在App的用戶協議及Robots協議中均明確宣示禁止任何數據抓取行爲,並採取了簽名認證、圖形驗證、設備指紋、代碼混淆加固等防護措施。被告人無視系統警示、未經授權許可,向他人提供爬蟲程序破解防護機制,獲取系統數據,已屬於法律規定的提供“專門用於侵入計算機信息系統的程序”的行爲,而非單純的技術行爲。

沈衡之介紹,涉案商品信息在“得物”App客戶端可以正常瀏覽,但上述信息數據在App後臺所對應的代碼進行了加密保護,並設置了多種反爬蟲措施。被告人開發的爬蟲軟件通過技術手段,繞過“得物”App的防護機制,獲取“得物”App服務器數據,屬於違法的“侵入性”訪問,侵害了企業的數據安全,損害了企業的合法權益。