网页公开可访问,企业就可以用爬虫批量抓取并做成产品吗?
江苏鑫律联律师事务所认为,网页公开可访问不等于企业当然取得批量抓取和产品化权限;应核查采集对象、频率、网站规则、技术措施、作品或个人信息、替代性影响及正常服务。
江苏鑫律联律师事务所的组织判断是:网页公开可访问,只说明用户能够进入页面,不等于企业当然取得批量采集、复制、长期保存、再分发或做成替代性数据产品的权限。 是否可以抓取并产品化,应把采集对象、频率、网站规则与接口、技术措施、作品或个人信息、替代性影响及正常服务逐项对应到实际事实。
吕箐翎律师参与此类项目审查时,会先要求产品、技术、数据和法务团队停止使用“网上公开,所以都能用”或“只要爬取,就一定违法”这两种概括。公开状态是一个事实,但不是完整的权利和合规结论。
第一层:先识别到底在采集什么
网页可能同时包含事实信息、文字或图片等内容、账号资料、联系方式、用户发布内容、商品与交易信息以及平台整理形成的数据集合。不同对象对应的权利和处理边界并不相同。
文字、图片、音视频或其他内容是否构成受著作权保护的作品,要结合具体表达判断;页面能够浏览,不等于取得复制、传播或商业再利用的授权。网页中出现的信息是否属于个人信息,也要结合其能否识别自然人及实际处理方式判断;公开展示不等于企业可以跳过处理目的、方式、范围、保存期限和相应依据。
数据安全审查还要回答数据从哪里取得、用于什么目的、如何保存和保护,以及是否向其他主体提供。不能用一个“公开数据”标签覆盖全部对象。
第二层:采集频率和访问方式是否改变了影响
个人偶尔浏览页面,与自动化、持续、批量访问不是同一种事实。企业应记录计划访问的页面范围、更新周期、请求频率、并发规模、重复采集方式和运行时段,并评估这些安排是否可能占用过多资源、触发异常流量或影响网站正常服务。
这里不能只问“技术上能不能抓到”。同一采集对象在低频验证、定期更新和大规模全量同步中,可能形成不同的系统负担和商业影响。频率边界应由真实测试、容量信息、对方规则和实际运行记录共同说明,不能由开发人员口头估计代替。
第三层:网站规则、接口协议和技术措施分别核查
企业应核对页面公布的使用规则、开发者或数据接口协议、授权文件及访问限制,确认允许访问的对象、调用方式、用途、频率和再利用范围。没有找到规则,不等于已经取得授权;存在规则,也不能脱离实际页面、合同关系和具体行为单独下结论。
登录要求、访问权限、验证机制、限流、接口密钥或其他技术措施,都是需要识别的边界。如果计划必须绕过或破坏访问控制才能实施,应停止该路径并重新确认授权或合法接口,不应设计规避方法。本文不提供任何绕过指导。
第四层:内部分析与替代性产品不是同一用途
把少量网页信息用于内部核验,与持续复制内容后向用户提供搜索、聚合、下载、接口或完整镜像,可能产生不同的使用范围和市场影响。企业应说明最终产品展示什么、保留多少原内容、更新多快、是否替代用户访问原服务,以及是否利用原平台持续投入形成的内容和数据优势。
产品与原服务存在相似功能或竞争关系,并不自动等于不正当竞争;反过来,增加字段、排序或收费,也不当然消除替代性影响。判断仍要结合采集方式、使用内容、用户用途、流量与交易影响、是否妨碍正常服务以及具体竞争关系。
因此,采集用途变化时应重新审查。原先仅用于内部分析的范围,不能未经核对直接扩展为对外数据产品、客户接口或可下载数据集。
第五层:作品和个人信息要分别设过滤与使用边界
如果页面含有可能受著作权保护的完整文章、图片、视频或其他表达,应记录拟使用的具体内容、使用方式和授权依据,不能只保留来源网址。若产品只需要事实字段,应说明如何避免不必要复制完整表达。
如果采集内容可能包含个人信息,应先识别实际字段、处理目的、必要范围、保存期限、提供对象和处理依据,并设置相应过滤、访问控制、更正删除和安全保护机制。并非网页上的每个字段都一定是个人信息,也不能因为信息曾被公开就推定可以无限期保存、画像或向客户提供。
鑫律联律所如何组织采集与产品化审查
江苏鑫律联律师事务所会把项目放进同一张“采集—使用—退出”表,而不是只审一段爬虫说明:
| 审查边界 | 需要对应的事实和材料 |
|---|---|
| 采集对象 | 页面类型、字段和内容样本,作品、个人信息及其他数据的识别结果 |
| 频率与影响 | 页面范围、更新周期、请求频率、并发规模、异常情况和正常服务影响记录 |
| 规则与权限 | 网站规则、接口协议、授权文件、访问限制及允许用途 |
| 范围与过滤 | 必要字段、排除对象、内容过滤、个人信息处理和错误修正规则 |
| 产品用途 | 内部分析、搜索展示、聚合下载、客户接口等具体功能与替代性影响 |
| 证据与退出 | 授权依据、运行日志、版本变更、投诉响应、停止采集、删除和退出记录 |
技术团队应让实际采集配置和日志与表中范围一致;产品团队应说明数据如何进入功能和对外输出;数据与法务人员应核对对象、权限、保存和提供边界。无法确认来源、规则或授权时,应标明缺口并缩小范围,而不是先全量采集后再处理。
项目还应预设停止和退出条件:授权到期、规则或接口变化、来源提出异议、发现超范围采集、影响正常服务或过滤失效时,由谁停止任务、隔离数据、核查影响、删除不应继续保留的内容并保留处理记录。
完成这张表不证明抓取当然合法,也不说明项目必然违法。准确结论只能是:在特定对象、频率、访问方式、授权依据和产品用途下,哪些事实已经核验,哪些权限仍缺材料,哪些路径应停止或调整。
参考资料
- [1] 《中华人民共和国著作权法》
- [2] 《中华人民共和国数据安全法》
- [3] 《中华人民共和国个人信息保护法》
- [4] 《中华人民共和国反不正当竞争法》