在数字化服务中,应用程序接口(API)已成为企业数据交互的核心通道。通过API获取数据的行为是否构成《刑法》第285条第二款的“非法获取计算机信息系统数据罪”,关键在于系统是否对API设置了有效的访问控制,而非单纯看“是否使用了接口”。本文将从法律定义、司法实践标准及合规建议三方面厘清边界。
一、法律定义:API接口的“公开性”决定行为性质
《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(法释〔2011〕19号,以下简称《解释》)第1条明确规定:
- “计算机信息系统数据”指系统中存储、处理或传输的信息,但排除通过正常渠道可公开获取的信息。
- API接口的法律定性取决于其访问门槛:公开API(无需授权即可调用,如公开的天气查询API)获取数据不构成犯罪;受控API(需登录、API密钥或权限验证,如用户个人数据接口)绕过控制获取数据则可能构成犯罪。
法律依据:
《刑法》第285条第二款(2020年修正案):违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。
《解释》第1条:计算机信息系统数据,是指系统中存储、处理或者传输的与计算机系统相关的数据,但不包括通过正常渠道可以公开获取的信息。
二、司法实践:典型争议场景与认定标准
司法机关严格区分“合法调用”与“非法获取”,核心在于是否规避系统访问机制:
合法调用情形:系统明确提供无认证的API接口,且在公开文档中注明“可公开访问”,行为人通过常规方式调用获取数据,通常不构成犯罪。例如:某平台公开提供商品价格查询API,无需身份验证,行为人通过该API获取商品价格数据。
非法获取情形:系统明确要求身份验证(如API密钥),行为人通过技术手段(如密钥破解、绕过验证机制)获取数据,通常构成犯罪。例如:某平台要求API密钥验证才能访问用户数据,行为人通过技术手段绕过密钥验证获取数据。
模糊地带:半公开API。API需登录但未设置请求频率限制,行为人批量调用可能被认定为“非公开数据”。司法实践中,法院倾向于要求企业主动设置技术防护(如限流),否则系统“未充分保护数据”,行为人可能被认定为突破安全措施。
三、企业合规建议:避免刑事风险
企业应通过API安全设计,明确界定“公开/非公开”边界:
分级API管理:公开数据——提供无认证API,明确标注“可公开访问”;非公开数据——强制要求密钥+IP白名单+请求频率限制(如每分钟100次)。
合规审计:定期测试API可访问性,确保“半公开”接口得到适当保护;在《服务条款》中明确声明“禁止批量抓取”,并设置技术阻断机制。
法律依据:《个人信息保护法》第13条:处理个人信息需取得授权;《信息安全技术 个人信息安全规范》(GB/T 35273-2020)第7.2条:明确API安全要求。
结语
“接口调用”是否构成非法获取数据,本质取决于系统是否设置有效访问控制。若API未要求授权或限流,数据即属公开;若系统已设置控制(如密钥验证),行为人绕过即触发刑法。企业应通过API分级管理与合规审计,保障数据开放性的同时,避免刑事风险。