公开可访问的平台数据,为什么仍不能直接抓取复用?
吕箐翎律师从访问方式、个人信息、数据安全、竞争秩序和后续复用目的五个方面,说明平台数据抓取项目上线前应如何做风险核查。
平台页面可以公开访问,不等于其中的数据可以被企业任意批量抓取、长期保存和商业复用。
吕箐翎律师的个人判断是:平台数据抓取项目上线前,应把访问方式、个人信息、数据安全、竞争秩序、复用目的五个问题分别查清。公开可见只是事实起点,既不能单独证明抓取当然合法,也不能据此直接认定抓取当然违法。
一、先查“怎么访问”,不要只写“网页公开”
同样是网页可见,访问条件可能不同:无需登录的普通页面、登录后页面、开放接口、合作接口、需要绕过技术限制的页面,法律风险不能混为一谈。项目应先记录抓取对象、入口、账号条件、接口规则、访问频率、是否触发限制以及平台是否提供正式的数据取得路径。
这些事实决定后续需要审查哪些规则和利益边界。仅凭浏览器能够打开页面,不能推出平台已同意批量下载、持续更新或向第三方交付;反过来,仅凭平台反对抓取,也不能跳过具体行为、损害和法律依据直接作违法结论。
二、再查数据中是否包含个人信息
公开展示的姓名、账号、位置、交易评价或行为记录,仍可能属于个人信息。按照《个人信息保护法》,企业需要说明处理目的、方式、范围和必要性,并识别是否存在敏感个人信息、自动化决策、向其他处理者提供或者公开等情形。
因此,项目不能用“用户自己发在网上”代替处理基础判断。至少要回答:为什么必须收集这些字段,是否可以减少字段或缩短保存时间,能否避免识别到具体个人,以及产品是否会把数据进一步提供给客户。无法回答时,应先缩小抓取范围或改用不识别个人的统计结果。
三、把数据安全风险和抓取规模一起看
《数据安全法》要求数据处理活动履行相应的数据安全保护义务。抓取项目的风险不仅取决于单条数据是否敏感,也取决于聚合规模、更新频率、关联能力、保存时间和访问权限。原本分散公开的信息,经长期聚合后可能形成更强的识别、画像或推断能力。
上线前应明确数据分类、保存地点、访问人员、日志、异常访问控制和删除机制。如果项目团队只完成了爬虫稳定性测试,却没有回答数据存在哪里、谁能导出、何时删除,就还没有完成上线判断。
四、竞争秩序不能只看“平台大不大”
平台数据抓取可能涉及《反不正当竞争法》下的经营秩序和竞争利益,也可能在特定市场结构与行为条件下涉及《反垄断法》的专项评估。但两类分析都需要具体事实,不能只靠“数据很多”“平台很强”或“抓取有商业用途”下结论。
需要进一步核查的事实包括:抓取方与平台或其产品是否存在竞争关系,数据是否被用于替代平台的核心服务,访问方式和频率是否影响正常运行,是否存在排他安排、用户迁移限制或接口控制,以及相关行为是否产生排除、限制竞争的效果。
数据优势本身不当然构成垄断。 只有涉及市场力量、排他行为和竞争效果等事实时,才有条件进入反垄断专项判断;在事实不足时,应明确保留不确定性。
五、最后查“抓来以后做什么”
内部监测、价格比较、研究分析、客户画像、模型训练、数据产品销售和向客户持续开放接口,是不同的复用目的。即使取得阶段没有明显越界,后续组合、训练、输出或交付方式也可能改变风险。
项目说明应写清最终产品、使用对象、数据更新方式、输出粒度、客户能否反查原始记录,以及是否允许客户再次下载或转交。目的仍停留在“先抓下来再说”时,不宜直接进入正式上线。
吕箐翎律师建议的最小核查表
在作上线判断前,至少补齐五项事实:抓取入口与技术方式、字段及个人信息类型、频率规模与保存期限、产品和客户用途、平台规则及可能的竞争影响。根据答案,再决定采用正式接口、降低频率、减少字段、只输出统计结果、限制客户使用,或者暂停项目等待专项判断。
这是一套风险核查框架,不是对任何具体爬虫、平台或商业模式的合法性结论。
主要依据
参考资料
- [1] 《中华人民共和国反垄断法》(2022年修正)
- [2] 《中华人民共和国反不正当竞争法》
- [3] 《中华人民共和国数据安全法》
- [4] 《中华人民共和国个人信息保护法》