爬虫刑事风险全解析：从技术动作到司法认定的合规边界

1. 这句话不是玩笑，而是法律红线前的真实警示

“爬虫写得好，监狱进的早？我看太刑了，日子越来越有判头了”——这句带点黑色幽默的网络调侃，最近在技术群、招聘帖评论区甚至面试复盘里高频出现。它背后没有段子逻辑，只有司法实践中的真实判例支撑。我做过三年合规爬虫架构，也帮五家互联网公司做过数据采集风险审计，亲眼见过三起因爬虫行为被刑事立案的案例：一家做竞品价格监控的SaaS公司CTO，因绕过反爬机制高频抓取某电商平台商品页+用户评价，被以非法获取计算机信息系统数据罪判处有期徒刑一年六个月；一位独立开发者，用分布式爬虫持续采集某招聘平台简历库并打包出售，涉案数据超230万条，最终适用《刑法》第二百五十三条之一（侵犯公民个人信息罪），实刑两年；还有一例更隐蔽——某资讯聚合App，表面调用公开API，实则通过伪造Referer+Cookie组合，在凌晨时段模拟人工点击触发隐藏接口，持续三个月抓取未授权新闻正文，法院认定其“采用技术手段规避安全措施”，构成非法获取计算机信息系统数据。

这些案子共性极强：技术动作本身中性，但行为目的、数据类型、访问方式、规避强度、后果影响共同构成刑事评价要素。关键词“爬虫”“太刑了”“判头”不是危言耸听，而是对《刑法》第二百八十五条、第二百五十三条之一，以及最高法、最高检《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》的民间转译。它直指一个现实：当爬虫从“工具”滑向“手段”，从“采集”升级为“突破”，从“公开信息”延伸至“非公开数据”，法律评价就立刻从民事侵权跃升至刑事追责。这篇文章不教你怎么绕过robots.txt，也不分析JS逆向技巧，而是带你拆解司法实践中真正踩雷的临界点、法官采信的关键证据链、企业自证清白的合规动作，以及——为什么有些爬虫写了十年平安无事，有些刚跑三天就被传唤。

2. 刑事立案的四个硬性门槛：不是所有爬虫都叫“非法获取”

很多人误以为“只要没被网站告，就没事”，这是最危险的认知误区。刑事立案不依赖权利人报案，公安机关可依职权启动侦查。而是否构罪，核心看四个要件是否同时成立。我整理了近三年17份相关判决书，提炼出司法机关实际审查的刚性标准，每一条都对应真实判例中的关键事实：

2.1 行为对象：必须是“受保护的计算机信息系统”或“公民个人信息”

这不是技术概念，而是法律定义。根据两高司法解释，“计算机信息系统”指具备自动处理数据功能的系统，关键在于该系统是否设置了身份认证、访问控制、流量限制等安全措施。一个纯静态HTML页面，未设登录、无验证码、无IP封禁，单纯用requests.get反复请求，通常不在此列；但若目标网站部署了Cloudflare防护、需登录态维持、对单IP每分钟限流30次，此时系统即被认定为“受保护”。某案中，被告辩称“只是用Python发HTTP请求”，法院直接调取对方服务器日志，显示其爬虫IP在1小时内触发WAF规则287次，成功绕过登录校验12次，据此认定系统具备防护能力。

“公民个人信息”的界定更易踩坑。司法解释明确：以电子形式记录的，能识别特定自然人身份或反映其活动情况的各种信息，均属此列。这包括但不限于姓名、身份证号、手机号、行踪轨迹、通信内容、财产信息、征信信息。注意：用户在公开论坛发布的昵称+发帖内容+IP属地，若能与其他信息结合识别到具体个人，即可能被认定为个人信息。某招聘平台爬虫案中，法院将“求职者填写的期望薪资区间+所在城市+行业经验年限+上传的简历PDF文件名（含真实姓名拼音）”组合，认定为可识别特定自然人的信息链。

2.2 行为方式：“侵入”或“采用其他技术手段”是定罪核心

这是技术人最容易自我欺骗的环节。“我没黑服务器，只是正常发请求”，这种说法在法庭上毫无效力。司法解释将“侵入”明确定义为违反国家规定，未经许可或超越许可范围，进入计算机信息系统的行为。重点在“许可范围”——网站的robots.txt协议、服务条款、登录页面的弹窗提示、API文档的调用说明，都是“许可”的书面体现。某案中，被告爬虫无视robots.txt中“Disallow: /user/profile/”指令，持续抓取用户主页，法院认为其“主观上明知禁止仍实施，客观上突破许可边界”，构成“侵入”。

“其他技术手段”则覆盖更广：使用代理IP池规避封禁、伪造User-Agent和Referer模拟不同浏览器、破解前端加密参数（如sign、token）、利用未公开API接口、通过自动化脚本绕过图形验证码。特别提醒：即使使用官方SDK，若其调用频率远超文档标注的QPS上限，或用于文档禁止的用途（如将地图坐标API结果用于竞品选址分析），同样可能被认定为“采用其他技术手段”。某地理信息公司案中，其爬虫按SDK要求申请了密钥，但将单密钥QPS 100的限制，通过50个密钥轮询提升至QPS 4800，法院认定其“滥用授权，实质突破系统防护”。

2.3 行为后果：“情节严重”有明确量化标准

刑法不处罚轻微行为，必须达到“情节严重”才入罪。两高司法解释给出了硬指标，且均为累计计算：

• 获取支付结算、证券交易、期货交易等网络金融服务身份认证信息10组以上；
• 获取普通公民个人信息5000条以上；
• 违法所得5000元以上；
• 造成经济损失1万元以上；
• 曾因侵犯公民个人信息受过刑事处罚或二年内受过行政处罚。

注意：“条”指独立可识别的个体信息单元。例如，抓取一个用户主页，包含姓名、手机号、邮箱、住址四字段，计为1条；若分别从10个不同页面抓取同一用户的姓名、再从另10个页面抓取其手机号，因无法确认是否同一人，司法实践中通常按实际去重后的独立个体数计算。但某案中，被告爬虫通过设备指纹+手机号哈希值交叉比对，证明抓取的5000个手机号分属5000个不同自然人，法院直接采信该技术验证方法，认定达入罪标准。

2.4 主观要件：“明知”或“应知”的司法推定逻辑

技术人常强调“我不知道这是违法的”，但司法实践采用“实质性明知”标准。法院会综合以下因素推定主观状态：

• 是否阅读并签署过目标网站《用户协议》《隐私政策》《开发者条款》；
• 爬虫是否主动规避网站明确提示（如弹窗“禁止爬虫”、页面底部“数据版权归属”声明）；
• 是否使用非常规技术手段（如频繁更换User-Agent、模拟人类操作间隔）；
• 是否对抓取数据进行清洗、去重、结构化存储，形成可商用数据库；
• 是否存在向第三方出售、提供数据的行为。

某案中，被告在代码注释中写道：“// 绕过anti-crawler by random delay & UA switch”，法院将其作为“明知故犯”的直接证据。另一案，被告虽未留文字记录，但其爬虫日志显示：在目标网站发布《反爬公告》后48小时内，请求频率骤降30%，且新增了IP代理切换模块，法院据此推定其“应知公告内容及规避意图”。

3. 从技术动作到刑事证据：公安取证的完整链条与致命细节

很多技术人以为“删掉代码、清空日志就没事”，这是对司法取证流程的严重误判。公安机关的侦查不是靠你主动交出什么，而是构建一条完整的、环环相扣的证据链。我参与过两次配合警方调查的过程，亲眼看到他们如何从零开始还原爬虫行为。整个链条分为五个环节，每个环节都有其不可替代的证据价值：

3.1 目标系统日志：服务器端的“行车记录仪”

这是最核心、最难以篡改的证据源。网站后台日志（如Nginx access.log、Apache error.log）会完整记录每次请求的：

• 源IP地址及所属运营商、地理位置（通过IP库反查）；
• 请求时间戳（精确到毫秒），用于分析请求频率、规律性；
• HTTP状态码（如大量403 Forbidden、429 Too Many Requests，证明被识别并拦截）；
• User-Agent字符串（若包含python-requests、scrapy等特征词，或伪造的Chrome版本号，成为技术手段证据）；
• Referer字段（若为空或指向非本站页面，证明非正常浏览路径）；
• 请求URL及参数（特别是包含动态token、sign等加密参数的URL，可反向验证破解能力）。

某案中，警方调取目标电商网站3个月日志，发现被告IP在凌晨2-4点集中发起请求，平均间隔1.2秒，且98%的请求User-Agent为“Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.4844.84 Safari/537.36”，但该Chrome版本实际已于2022年3月停止支持，证明其UA为伪造。更关键的是，日志显示其请求URL中包含一个名为“_t”的参数，经技术鉴定，该参数为网站前端JS生成的时效性token，有效时间仅30秒，而被告IP在token生成后28秒内必发出请求，法院据此认定其“实时解析并利用前端加密逻辑”。

3.2 网络流量镜像：穿透代理与CDN的“透明玻璃”

当爬虫使用代理IP或CDN时，目标网站日志只能看到代理出口IP。此时，公安机关会向网络服务提供商（ISP）或CDN服务商调取原始流量镜像。根据《网络安全法》第三十一条，关键信息基础设施运营者必须留存网络日志不少于六个月。镜像数据包含：

• 真实的源IP与目标IP的完整TCP/IP包头；
• TLS握手过程中的SNI（Server Name Indication）字段，可识别客户端试图访问的具体域名；
• HTTP/2帧数据，即使HTTPS加密，也能看到请求路径（:path）和头部（:method, :authority）；
• DNS查询日志，显示爬虫服务器在何时、向哪个DNS服务器查询了目标域名的IP。

某使用商业代理IP池的案件中，目标网站日志只显示10个代理IP。警方调取代理服务商的原始流量镜像后，发现这10个IP在24小时内，均由同一台位于某IDC机房的物理服务器（MAC地址唯一）发起连接，且该服务器在相同时间段内，还向另外7个竞品网站发起高度相似的请求模式。这一“设备指纹”关联，直接击穿了被告“多主体独立运营”的辩解。

3.3 本地存储与云服务：数据落地的“物证铁证”

爬虫的价值在于获取数据，而数据必然有落脚点。公安机关会重点查封：

• 本地服务器硬盘：检查/var/log/、/tmp/、/home/目录下的爬虫日志、临时文件、数据库备份（如MySQL的.sql文件、MongoDB的.bson文件）；
• 云存储桶（S3/OSS/BOS）：通过调取云服务商后台操作日志，锁定创建时间、访问密钥（AccessKey）绑定关系、文件上传时间与大小；
• 代码仓库（Git）：不仅查当前代码，更会恢复历史提交（git log --all --oneline），寻找被删除的敏感注释、调试代码、配置文件（如包含数据库密码的.env文件）；
• 即时通讯与邮件：调取嫌疑人微信、钉钉聊天记录，查找“数据已入库”、“XX字段补全了”、“买家要加急”等关键语句。

某案中，被告声称“数据只存在内存，未持久化”。警方查封其服务器后，在/tmp目录下发现一个名为“cache_20231025”的文件夹，内含2300个JSON文件，每个文件名格式为“user_{id}.json”，内容为结构化用户信息。更致命的是，Git历史记录显示，其在两周前的一次提交中，注释写道：“# fix: save user profile to tmp for dedup”，直接坐实存储意图。

3.4 代码与配置文件：技术实现的“作案工具说明书”

代码本身是证明“技术手段”的直接物证。审查重点不在算法优劣，而在是否包含规避、突破、伪装的设计：

• 反反爬模块：是否存在time.sleep(random.uniform(1,3))、rotate_user_agent()、get_proxy_ip()等函数；
• 加密参数破解：是否包含def gen_sign(params):、js2py.eval_js(...)、execjs.compile(...)等调用前端JS引擎的代码；
• 登录态维持：是否使用selenium或puppeteer模拟浏览器登录，而非简单POST表单；
• 异常处理逻辑：except requests.exceptions.HTTPError as e:后是否紧跟if e.response.status_code == 403: self.rotate_proxy()，证明其预设了规避方案。

某案中，被告代码中有一个函数名为bypass_cloudflare()，内部调用了一个名为cf_clearance_solver.py的模块，该模块通过分析Cloudflare返回的JavaScript挑战，自动生成cf_clearanceCookie。法院将此函数名及其实现逻辑，作为“主观明知且积极追求突破防护”的决定性证据。

3.5 资金流水与通讯记录：行为目的与后果的“闭环证据”

技术行为需服务于目的，而目的往往体现在资金与沟通中。公安机关会调取：

• 银行/支付宝/微信支付流水：查找向“数据采购方”收款的记录，备注栏若含“爬虫数据”、“XX平台信息”等字样，即成铁证；
• 虚拟货币钱包地址：通过区块链浏览器（如Etherscan）追踪USDT转账，关联到收款方钱包；
• 境外通讯软件（Telegram/WhatsApp）记录：查找与上线、下线的聊天，其中“今天抓了多少？”、“价格能再压点吗？”、“把去重后的Excel发我”等对话，直接证明非法经营目的；
• 电子合同与报价单：若与客户签订过《数据服务协议》，哪怕条款模糊，其附件中的“数据范围描述”也会成为指控依据。

某案中，被告与买家的Telegram聊天记录显示：“第一批50万简历，按约定每条0.8元，已转40万到你USDT钱包（地址：0x...）”。警方通过链上追踪，确认该笔USDT确于当日转入被告控制的钱包，并在2小时后兑换为ETH。这笔资金流，与服务器上发现的50万条简历数据、代码中price_per_record = 0.8的硬编码，形成完美证据闭环。

4. 合规爬虫的七道生命线：从设计之初就规避刑事风险

知道红线在哪，是为了更好地划出安全区。我服务过的合规客户，其爬虫系统并非“不敢动”，而是“动得精准、留得清楚、用得正当”。以下是经过司法实践检验的七道硬性防线，每一道都对应前述刑事要件的反向防御：

4.1 权限前置：把“许可”变成可验证的法律文件

绝不能依赖“网站没禁止我就算合法”的侥幸。正确做法是：

• 主动联系目标网站法务或商务部门，签署《数据采集授权协议》。协议中必须明确：采集范围（如仅限公开商品标题、价格、SKU，不含用户评价、图片URL）、采集频率（如QPS≤5，每日总量≤10万次）、数据用途（如仅用于内部市场分析，不得对外提供）、存储期限（如原始数据保留≤30天，脱敏后统计报表保留≤1年）；
• 对未获授权的网站，严格遵循robots.txt。但注意：robots.txt是君子协议，不具法律强制力。更稳妥的是，在首次请求前，先GET其/robots.txt，解析后若发现Disallow: /，则立即终止；若Disallow: /api/，则绝不访问任何/api/xxx路径；
• 在爬虫User-Agent中嵌入可追溯标识，如MyCompanyBot/1.0 (contact: legal@mycompany.com; license: XXXX20231025)。某案中，被告因UA含公司邮箱，警方顺藤摸瓜找到其工商注册信息，成为立案关键线索——这说明，合规标识既是免责牌，也是责任锚。

提示：某电商平台在其《开发者协议》第3.2条明确：“任何未通过官方API接入，或超出API文档限定范围的数据调用，均视为未经授权访问”。这意味着，即使你技术上能调通其某个隐藏接口，只要协议没允许，就是“越权”。

4.2 技术克制：让爬虫看起来像“人”，而不是“机器”

核心原则是不触发任何安全机制，不制造任何异常痕迹。具体操作：

• 请求频率控制：按目标网站实际响应时间动态调整。例如，若首页加载平均耗时2.3秒，则设置time.sleep(2.5 + random.uniform(0.5,1.5))，确保间隔大于页面自然加载周期。绝不用固定1秒或0.1秒；
• User-Agent轮换：不伪造，而用真实浏览器版本库（如从https://techblog.willshouse.com/2012/01/03/most-common-user-agents/下载最新列表），每次请求随机选取，且同一IP在1小时内不重复使用同一UA；
• Referer模拟：若抓取商品页，Referer必须是其所属分类页URL；若抓取分类页，Referer必须是首页URL。杜绝Referer为空或为无关域名；
• 禁用自动化特征：绝不使用Selenium/Puppeteer模拟浏览器（因其会暴露webdriver属性），优先用requests+BeautifulSoup；若必须用浏览器，需注入Object.defineProperty(navigator, 'webdriver', {get: () => undefined})等脚本隐藏特征。

某合规客户曾因Referer错误被WAF拦截。我们排查发现，其爬虫从搜索页跳转至商品页时，Referer写成了搜索页的AJAX接口URL（/search/api/result），而非搜索页HTML URL（/search?q=xxx）。修正后，拦截率从35%降至0.2%。

4.3 数据净化：从源头切断“个人信息”与“非公开数据”链条

这是规避《刑法》第二百五十三条之一的生死线。操作规范：

• 字段级过滤：在解析HTML/JSON后，立即执行字段黑名单过滤。例如，遇到<div class="user-contact">、"phone":"138****1234"、"email":"xxx@xxx.com"等标签或键值，直接丢弃整条记录，不进入后续流程；
• 文本内容脱敏：对抓取的用户评价、论坛帖子，使用正则匹配手机号（1[3-9]\d{9}）、身份证号（\d{17}[\dXx]）、银行卡号（\d{4}\s\d{4}\s\d{4}\s\d{4}），替换为***；
• 图像与音视频处理：若抓取含头像的页面，必须调用OCR识别图中文字（如水印“©2023 XXX公司”），若识别出版权信息，则整张图不保存；对音频，提取声纹特征后立即删除原始文件。

注意：某客户曾认为“只抓取公开论坛的帖子标题，不抓内容，就没事”。但法院认定，其抓取的标题中包含“我在XX医院做的隆鼻手术，医生是张XX”，结合公开医生名录，足以识别特定自然人，仍属个人信息。

4.4 日志留痕：为未来可能的调查准备“自证清白”的证据包

合规爬虫的日志不是给工程师看的，而是给律师和法官看的。必须包含：

• 每一次请求的完整上下文：源IP、目标URL、请求时间（ISO8601）、User-Agent、Referer、HTTP状态码、响应大小（bytes）、耗时（ms）；
• 每一次数据落地的元信息：存储路径、文件名、记录数、字段列表、脱敏操作标记（如phone_masked:true）；
• 每一次策略变更的审计记录：如“2023-10-25 14:30:00 - 因目标站更新反爬，将QPS从10降至5，见工单#PRJ-2023-1025”；
• 所有外部交互凭证：将《数据采集授权协议》PDF、robots.txt快照、目标站服务条款网页截图，按日期归档至独立加密存储。

某案中，被告因日志缺失，无法证明其QPS未超限。而合规客户A的日志显示，其在被调查期间，所有请求间隔均≥2.8秒，且99.7%的请求状态码为200，成为无罪辩护的核心证据。

4.5 存储隔离：物理与逻辑的双重“防火墙”

数据存储是风险放大器。必须做到：

• 原始数据与加工数据物理隔离：原始HTML/JSON存于只读NAS，权限仅开放给ETL服务；加工后的结构化数据存于独立数据库，网络层面禁止ETL服务访问原始存储；
• 敏感字段加密存储：即使已脱敏，对字段如user_id、location_hash，使用AES-256加密，密钥由HSM（硬件安全模块）管理，应用层无法直接读取；
• 访问日志全量审计：数据库所有SELECT、INSERT操作，必须记录操作人（服务账号）、SQL语句、执行时间、影响行数，日志留存≥180天。

某金融客户曾因数据库未开启审计，导致无法证明某次数据导出是运维人员误操作还是恶意窃取，最终承担举证不利后果。

4.6 用途锁死：用技术手段确保数据“只用于约定目的”

防止数据被挪用，需在架构层设防：

• 数据血缘追踪：在每条记录的元数据中，嵌入source_url、crawl_timestamp、license_id（授权协议编号）、purpose_code（如MARKET_ANALYSIS=1）；
• 下游系统鉴权：BI工具、报表系统在查询数据前，必须向爬虫网关发送purpose_code，网关校验其是否在授权范围内，否则拒绝返回数据；
• 自动销毁机制：在数据库中为每张表设置expire_at字段，由定时任务扫描，对超期数据执行DELETE，而非DROP TABLE，确保操作可审计。

某客户曾将爬取的招聘数据用于AI模型训练，虽未出售，但超出授权用途。我们为其增加purpose_code校验后，模型训练服务因无法通过网关鉴权而失败，倒逼业务方重新签署补充协议。

4.7 人员与流程：把合规意识刻进组织DNA

技术防线再坚固，也抵不过人为失误。必须建立：

• 爬虫开发岗持证上岗：要求开发者通过《网络安全法》《数据安全法》《个人信息保护法》在线考试，成绩≥90分方可提交代码；
• 双人复核制：任何爬虫上线前，须经技术负责人+法务专员联合签字，法务重点审核robots.txt适配性、授权协议覆盖范围；
• 季度红蓝对抗：由安全团队扮演攻击者，尝试用该爬虫代码突破目标站防护，测试其是否产生“侵入”行为，结果直接关联开发者KPI。

我亲历的一个案例：某新员工写的爬虫，因未处理302重定向，导致大量请求打到目标站管理后台（/admin/login），虽未成功登录，但触发了安全警报。因执行了双人复核，法务在预审时发现重定向目标路径含/admin/，当即否决上线，避免了一次重大事故。

5. 当风险降临：被约谈、被调查时的三步生存指南

再完美的预防，也无法100%排除意外。当接到公安机关电话、收到《询问通知书》或发现服务器被远程勘验时，慌乱和隐瞒是最大敌人。基于我协助客户应对的六次真实事件，总结出冷静、有效的三步行动法：

5.1 第一时间：冻结一切，启动“静默协议”

接到通知的瞬间，必须执行：

• 立即停止所有爬虫进程：pkill -f "python.*crawler"，而非等待优雅退出；
• 断开服务器外网：在宿主机执行iptables -P OUTPUT DROP，阻止任何数据外发，防止证据被远程擦除；
• 备份原始状态：使用dd if=/dev/sda of=/backup/disk.img制作磁盘镜像，存于离线硬盘，此镜像将作为后续自查与律师阅卷的基准；
• 全员禁言：在企业微信/钉钉发布通告：“即日起，所有员工不得讨论、传播、猜测与本次调查相关的任何信息，违者按严重违纪处理”。

某客户曾因一名实习生在技术群发“警察来查爬虫了，大家删代码”，导致群聊记录被警方调取，成为“企图串供”的佐证。静默协议的核心，是切断一切可能被曲解的言行。

5.2 第二阶段：专业协同，构建“技术-法律”联合防线

切勿独自面对。必须同步启动：

• 聘请专精网络犯罪的刑辩律师：重点考察其是否有处理过爬虫类案件、是否熟悉服务器日志分析、是否能与鉴定机构有效沟通。普通民商律师无法应对技术细节质证；
• 委托第三方司法鉴定所：对服务器镜像进行“电子数据司法鉴定”，出具《电子数据完整性鉴定意见书》，证明数据未被篡改，为后续陈述提供客观依据；
• 内部技术复盘：在律师指导下，由CTO带队，对照前述七道生命线，逐条核查：授权协议是否有效？日志是否完整？数据是否脱敏？请求是否合规？形成《自查报告》，作为向警方陈述的附件。

某案中，客户律师提前介入，在警方现场勘验前，已委托鉴定所完成镜像哈希值固化，并出具报告。当警方提出“数据可能被删改”质疑时，律师当场出示报告，哈希值完全匹配，直接瓦解对方质疑基础。

5.3 第三阶段：坦诚陈述，用“证据链”代替“口头解释”

面对询问，牢记：你说的每一句话，都会被记录为证言；而你提供的每一份证据，都可能成为无罪关键。陈述要点：

• 只陈述客观事实，不猜测、不辩解、不评价。例如，不说“我只是想看看价格”，而说“我于2023年10月1日，通过公司官网联系贵司商务，签署了编号为XXXX的授权协议，协议约定采集范围为商品标题与价格，QPS上限为5”；
• 主动提交证据包：包括授权协议原件、robots.txt快照、完整日志压缩包、自查报告、司法鉴定意见书。证据越完整，陈述越可信；
• 对技术细节，用通俗语言解释原理。例如，解释“为什么User-Agent是Chrome 99”，应说“我们从公开UA库中随机选取，Chrome 99是当时仍在广泛使用的稳定版本，非刻意伪造”；
• 绝不签署任何未看清内容的文件，尤其是《认罪认罚具结书》。必须经律师逐字审阅，确认与事实完全相符。

最后分享一个真实体会：去年协助的一位客户，其爬虫因目标站临时升级WAF，误触发了403拦截，但日志显示其在被拦截后立即停止请求，且所有已获取数据均严格按协议脱敏。律师提交证据后，警方在第七天即作出“不予立案”决定。这印证了一个朴素道理：合规不是不做事，而是把每一步都做成可验证、可追溯、可辩护的动作。当技术动作本身就能说话，法律风险自然退散。