跳至主要內容

網路爬蟲合法嗎?台灣、美國、歐盟法規完整解析(2026)

HT

友田陽大(Hinata Tomoda)

網頁工程師・獨立評測者

閱讀時間約 17 分鐘

網路爬蟲本身並不違法。無論在台灣、美國或歐盟,蒐集公開、非個資的資料原則上都合法。依我整理主要法源與判決的結論,真正的法律風險集中在四種情境:涉及個人資料、受著作權或資料庫權利保護的內容、需要登入才能存取的頁面,或違反具拘束力的服務條款。合法與否取決於你蒐集什麼、如何取得,以及資料當事人身在何處。

重點整理

  • 台灣、美國、歐盟都沒有任何法律直接禁止網路爬蟲這項行為;法院是用既有法律來檢視它,例如美國 CFAA、契約法、著作權法與個資法規。
  • hiQ v. LinkedIn 系列判決確立了爬取公開資料很可能不違反 CFAA,但 hiQ 最終仍因違約敗訴並和解收場。
  • 在台灣,刑法妨害電腦使用罪章(第358條、第359條)、個人資料保護法與著作權法是爬蟲的三大紅線;2025 年 Lawsnote 一審重判說明公開資料不等於可任意商用。
  • 在 GDPR 之下,公開可見的個資仍然是個資:蒐集它需要合法基礎、透明義務與資料最小化。
  • 歐盟 DSM 指令(2019/790)建立了文字與資料探勘(TDM)例外,但第4條允許權利人以機器可讀形式選擇退出。
  • 低風險區是:公開、非個資、無需登入的資料,以合理頻率、正當目的蒐集;登入牆、付費牆與個人資料則是三條絆線。

開始之前:本文不是法律意見

先坦白說:我是工程師,不是律師。本文是教育性整理,不構成任何律師與客戶關係。爬蟲相關法律仍在發展中,且高度取決於管轄地與個案事實。如果你的業務仰賴爬取的資料,請在你營運所在地、目標網站所在地與資料當事人所在地,分別諮詢合格的執業律師。以下內容整理了截至 2026 年 7 月的主要法源與重要判決。

也先說明本站的合規立場:ProxyFacts 只討論正當用途的資料蒐集,例如價格監控、SEO 排名追蹤、廣告驗證、市場調查與 AI 訓練資料蒐集。我們不提供繞過登入或付費牆、黃牛搶購、批量開設帳號或蒐集個資的任何教學。

簡短的答案:爬蟲是一種方法,不是一種罪名

台灣、美國、歐盟與英國都沒有任何一條法律寫著「網路爬蟲違法」。爬蟲只是用程式自動抓取網頁——發出的 HTTP 請求跟瀏覽器一模一樣,差別只在執行者是程式而非人。搜尋引擎、比價服務、學術研究與網頁典藏計畫全都依賴它。

法律規範的不是方法本身,而是周邊事實:

  1. 存取方式——你取得的是網站公開的資料,還是越過了技術或帳號驗證的門檻?
  2. 內容性質——資料是事實性、非個資的資訊,還是受著作權保護的作品、受保護的資料庫或個人資料?
  3. 契約關係——你是否曾明示同意禁止爬蟲的條款,例如註冊帳號時?
  4. 行為態樣——你的爬蟲是否行為合理,還是拖垮了目標網站的服務?

過去十年幾乎每一件重大爬蟲訴訟,爭點都落在這四個問題之上。換作是我評估一個資料蒐集需求,也會先把這四題答完,才開始談技術選型。

美國的網路爬蟲法律

CFAA:「未經授權」的認定問題

美國最常被用來對付爬蟲的聯邦法律是 1986 年的《電腦詐欺與濫用法》(CFAA),條文見 18 U.S.C. Section 1030。它處罰「未經授權」存取電腦或「逾越授權範圍」的行為。多年來,原告主張違反網站意願的爬蟲——例如收到存證信函後仍繼續爬取——就構成未經授權的存取。

兩個判決限縮了這種主張。在 Van Buren v. United States(2021)中,美國最高法院採取所謂「閘門開關」(gates-up-or-down)的解讀:CFAA 針對的是越過自己無權通過的閘門的人,而不是濫用自己原本就能取得的資訊的人。該案的當事人是濫用資料庫權限的警察,與爬蟲無關,但其邏輯重塑了爬蟲案件的分析框架。

hiQ v. LinkedIn 的完整脈絡

爬蟲領域最具代表性的案件是 hiQ Labs v. LinkedIn。時間軸很重要,因為許多人只引用其中一個階段:

階段發生了什麼
2017地方法院核發暫時禁制令,命令 LinkedIn 停止封鎖 hiQ 對公開個人檔案的爬取
2019第九巡迴上訴法院維持原裁定:爬取公開資料很可能不違反 CFAA
2021最高法院撤銷發回,要求依 Van Buren 案意旨重新審理
2022第九巡迴法院於發回後重申原見解:CFAA 的「未經授權」概念不適用於沒有驗證閘門的公開網站
2022 年底就實體爭點,地方法院認定 hiQ 違反了 LinkedIn 的使用者條款;雙方以對 hiQ 不利的合意判決和解

這個結論是雙面刃。在第九巡迴管轄區內,爬取任何瀏覽器不用登入就能看到的資料,很可能不在 CFAA 射程內。但 hiQ 仍然輸掉了整場戰爭:違約主張存活下來,hiQ 同意停止爬取 LinkedIn。「不構成聯邦駭客罪」和「法律上安全」是兩回事。

同樣的模式出現在 Meta Platforms v. Bright Data(No. 3:23-cv-00077, N.D. Cal.)。2024 年 1 月,地方法院就 Meta 的違約主張作出有利於代理服務商 Bright Data 的即決判決,理由是:在未登入狀態下爬取公開的 Facebook 與 Instagram 頁面,不受只拘束已登入帳號持有人的條款約束。Meta 之後撤回訴訟。分界線再次落在帳號驗證上:未登入存取公開頁面,站在比較安全的那一側。

契約、著作權與其他美國法上的主張

即使 CFAA 不適用,美國的爬蟲仍可能面臨:

  • 違約。 Browsewrap 條款(頁尾的一條連結)拘束力較弱;clickwrap 條款(你點了「我同意」,通常在註冊帳號時)拘束力很強。登入自己註冊的帳號進行爬取,是契約風險最高的組合。
  • 著作權。Feist Publications v. Rural Telephone(1991),事實與原始資料在美國不受著作權保護,但具創作性的表達受保護:評論、文章、照片與經過編選的彙編。抓價格是一回事,轉載商品描述是另一回事。
  • 動產侵害(trespass to chattels)與不當得利。 當爬蟲對目標伺服器造成可量測的負擔時,州法上的這類主張偶爾會成立——這是應該積極限速的又一個理由。

歐盟的網路爬蟲法律

GDPR:個人資料是最大的絆線

只要爬取的資料能連結到可識別的個人——姓名、帳號名稱、照片、任職公司、所在地,甚至多個看似無害欄位的組合——《一般資料保護規則》(EU)2016/679 就會適用。三個經常讓新手意外的重點:

  1. 公開不等於可以任意處理。 GDPR 沒有任何針對公開資料的豁免。爬取公開的個人檔案仍然是「處理」,需要第6條的合法基礎——實務上通常是一份書面的正當利益評估。
  2. 透明義務也及於爬蟲。 第14條要求在一個月內告知當事人你以間接方式取得其資料,除非有例外情形。波蘭資料保護機關開出的最早期 GDPR 罰單之一,對象正是一家爬取公開商業登記資料卻未通知其中個人的公司。
  3. 地域範圍很廣。 依第3條,即使美國或亞洲的爬蟲業者在歐盟沒有據點,只要監測或鎖定歐盟境內的人,GDPR 仍可能適用。依第83條,罰款上限是 2,000 萬歐元或全球年營業額的 4%。

資料保護機關也採取了集體行動:自 2023 年起,包括英國 ICO 與加拿大 OPC 在內的多國監管機關發布聯合聲明,警告大規模爬取社群平台上的個資,對平台而言可能構成應通報的資料外洩事件,對爬取方而言則可能是違法處理。只要你的專案碰到個人資料,就應把 GDPR 合規當成設計需求,而不是事後補救。如果是我,會直接用欄位白名單把個資擋在資料庫之外——資料一開始就進不來,後續的透明義務也無從發生。

DSM 指令:歐洲的文字與資料探勘例外

《數位單一市場著作權指令》(EU)2019/790 建立了兩項與爬蟲直接相關的著作權例外:

  • 第3條允許研究機構與文化遺產機構為科學研究目的進行文字與資料探勘(TDM),且權利人不得以契約排除。
  • 第4條允許任何人(包括商業主體)進行 TDM,除非權利人已「以適當方式」明示保留該權利——對線上內容而言就是機器可讀的形式。robots.txt 指令與新興的退出標準是常見的實作方式。

第4條已成為歐洲商業 AI 訓練資料蒐集的法律支柱,而這套退出機制正是在歐洲尊重機器可讀訊號不只是禮貌的原因:對已聲明退出的受著作權保護內容進行 TDM 爬取,就會失去例外的保護。

歐盟的資料庫權利與服務條款

歐盟還以兩種額外方式保護資料庫。《資料庫指令》96/9/EC 賦予一種特殊權利(sui generis right),禁止擷取或再利用投入大量投資建置的資料庫的實質部分——美國並無對應制度。而在 Ryanair v. PR Aviation(C-30/14)一案中,歐盟法院認定:即使資料庫不受該指令保護,網站所有人仍可透過使用條款以契約方式限制爬取。換句話說,在歐盟,資料庫權利與契約兩者至少有一個可能咬人,所以「這只是事實資料」或「這個資料庫不受保護」都不是完整的抗辯。

台灣與香港的網路爬蟲法律

台灣的電商與 SEO 團隊經常需要追蹤 PChome、momo購物網、蝦皮購物、露天市集等平台上的公開商品資訊,或監控搜尋引擎排名。這些用途本身正當,但台灣法律劃出了三條明確的紅線,2025 年的重大判決更讓在地業者不得不正視。

刑法妨害電腦使用罪章:入侵與無故取得電磁紀錄

台灣刑法第三十六章「妨害電腦使用罪」是爬蟲最直接的刑事風險來源。依刑法第358條,無故輸入他人帳號密碼、破解使用電腦之保護措施,或利用電腦系統漏洞而入侵他人電腦或相關設備者,最高可處三年有期徒刑,得科或併科新台幣三十萬元以下罰金。第359條則規定:無故取得、刪除或變更他人電腦或相關設備之電磁紀錄,致生損害於公眾或他人者,最高可處五年有期徒刑,得科或併科新台幣六十萬元以下罰金。

對爬蟲的實務意涵是:爬取任何人不用登入就能瀏覽的公開頁面,通常不涉及「輸入他人帳密」或「破解保護措施」;但如果你的程式繞過驗證機制、破解反爬蟲防護,或在網站明確拒絕後仍大量取得資料並造成損害,律師界普遍認為就可能落入第358條或第359條的射程。「有沒有越過技術閘門」在台灣同樣是最亮的一條分界線。

個人資料保護法:公開的個資仍然是個資

《個人資料保護法》的邏輯與 GDPR 相近。第19條規定,非公務機關蒐集或處理個資必須有特定目的,並符合法定要件之一——其中雖然包括「當事人自行公開或其他已合法公開之個人資料」及「取自於一般可得之來源」,但這不是免死金牌:依第5條,蒐集、處理與利用個資都必須尊重當事人權益、依誠實信用方法為之,且不得逾越特定目的之必要範圍(比例原則)。主管機關的函釋也一再強調,利用行為必須與蒐集目的具有正當合理之關聯。

換句話說,即使賣場頁面上的賣家姓名、聯絡方式是公開的,把它們大量爬下來另作行銷或轉售用途,仍可能違反個資法,情節重大者甚至有刑事責任。台灣也已成立個人資料保護委員會籌備處,個資執法趨勢是越來越嚴、不是越來越鬆。安全的做法與 GDPR 之下相同:預設排除個資欄位,除非完成書面的法律分析。

著作權法與 Lawsnote 案:台灣最受矚目的爬蟲判決

2025 年 6 月,新北地方法院就法源資訊控告法律科技新創「七法」(Lawsnote)一案作出一審判決:法院認定 Lawsnote 以爬蟲大量重製法源資料庫中具編輯著作性質的「法規沿革」等內容,違反著作權法第91條與刑法第359條,兩位創辦人分別被判處 4 年與 2 年有期徒刑,並須與公司連帶賠償逾新台幣 1 億元(益思科技法律事務所的案件解析鏡週刊報導)。本案仍可上訴,尚非確定判決,但一審的訊息非常清楚:

  • 公開資料不等於可以商用。 法規條文本身是公共財,但經過編輯、整理、加值的彙編可能構成受保護的編輯著作。
  • 「近乎全量複製、直接取代對方市場」是最危險的組合。 法院特別強調 Lawsnote 的產品直接替代了法源的商業市場。
  • 著作權與刑法第359條可以同時適用。 民事賠償與刑事責任在同一個爬蟲行為上疊加。

對正當的商業爬蟲而言,教訓與美國 Feist 案的邏輯互補:擷取事實性的資料點(價格、庫存、規格)風險較低;整批重製他人投入大量心力編輯的內容,在台灣的風險比許多人想像的高得多。讀這件判決的解析時,最讓我警惕的是「直接取代對方市場」這個認定——那不是加個限速就能修的工程問題,而是商業模式層級的問題。

香港:個人資料(私隱)條例(PDPO)簡述

香港規範爬蟲最主要的法律是《個人資料(私隱)條例》(第486章)。其保障資料原則要求:個人資料須以合法且公平的方式、為與資料使用者職能相關的目的而蒐集(原則1),且未經當事人同意不得用於新目的(原則3)。與 GDPR 和台灣個資法一樣,「公開可及」不等於「不受保護」——私隱專員公署(PCPD)已於 2023 年及 2024 年 10 月兩度與全球多國監管機關連署聯合聲明,明確表示可公開取得的個人資料仍受資料保護法律保障,大規模爬取社群平台個資可能同時構成平台的資料外洩事件與爬取方的違法行為。在香港營運的團隊,同樣應把「排除個資」列為爬蟲管線的預設值。

幾乎放諸四海皆準的原則

各地法律不同,但有四個問題在幾乎所有管轄區都能預測爬蟲風險。

因素較低風險較高風險
存取方式公開頁面、無需登入、無付費牆位於驗證機制、付費牆之後,或針對你設置的技術封鎖
資料類型價格、庫存、規格、排名、彙總統計個人資料、完整的創作內容、整個受保護的資料庫
契約關係未註冊帳號、僅有 browsewrap、未登入存取你點選同意過的 clickwrap 條款、登入狀態下爬取
行為態樣有限速、有快取、離峰執行、表明身分的爬蟲高流量請求拖垮目標網站服務

工程師觀點(友田): 如果由我來設計爬蟲管線,我會把這張表直接寫進系統規格,而不是留給法務事後把關。四個因素的成本結構並不對等:「不登入」是一條架構決策,定案之後幾乎零成本地排除了 CFAA 與刑法第358條層面的大部分爭議;個資與著作權卻需要逐資料源、逐欄位的人工判斷,才是合規預算真正燒錢的地方。還有一個常被忽略的點:四個因素裡只有「行為態樣」是你能拿日誌自證清白的——限速、快取與排程的紀錄,從第一天就要當成證據來留。

三個實務上的推論:

  • 公開與否是最亮的分界線。 hiQ 案、Bright Data 案的結果都取決於它,台灣刑法第358條的分析實質上也從這裡開始。任何登入牆之後的東西都屬於另一個法律宇宙;本站不提供相關技術教學。
  • 個人資料改變一切。 一旦爬取的紀錄能識別個人,GDPR、台灣個資法、香港 PDPO(以及美國 CCPA 類型的州法)就會附加義務,不論來源多公開。
  • 著作權看的是表達,不是辛勞。 擷取事實性的資料點通常比重製其周圍的文字、圖片或編輯結構安全;在歐盟還要多算一層資料庫權利,在台灣則要記住 Lawsnote 案對編輯著作的認定。

合規爬蟲在實務上長什麼樣子

為了正當目的進行大規模爬取的團隊——例如追蹤 PChome、momo購物網或蝦皮購物公開售價的價格監控,或是 SEO 排名追蹤——最後往往收斂到同一套操作準則:

  1. 只爬公開可存取的頁面;永遠不登入,也絕不繞過付費牆或技術性存取控制。
  2. 只要官方 API 或授權資料源存在且能滿足需求,就優先使用。
  3. 尊重 robots.txt 與機器可讀的 TDM 退出訊號,對歐盟相關內容尤其如此。
  4. 資料最小化:只蒐集需要的欄位而非整個頁面,且除非已完成書面的個資法/GDPR 分析,一律排除個人資料。
  5. 限速並排程爬取,讓你的流量相對於目標網站的正常負載微不足道。
  6. 留存紀錄:蒐集了什麼、來自哪裡、依據哪份法律分析、由誰核可。
  7. 認真對待存證信函與下架通知;在對方明確撤回許可後仍繼續爬取,會把灰色地帶變成一場有書面證據的糾紛。

想了解如何以有禮貌、穩定可靠的方式執行爬蟲,請參考如何避免爬蟲被封鎖;想掌握建置資料蒐集管線的全貌,請從網路爬蟲完整指南開始。

為什麼代理服務商現在都要審查客戶

基礎設施層已經把這套法律風險內化。主要的住宅代理服務商不再匿名賣給任何一張信用卡,而他們公開的合規計畫在挑選服務商時是很有用的訊號:

  • Bright Data 只允許通過人工審查 KYC 流程的已驗證企業使用住宅網路,內容包括企業信箱驗證、用途說明,必要時還有訪談電話與政府核發證件——依據其公開的 KYC 政策
  • Oxylabs 要求每位客戶在註冊時完成 KYC 表單,並依風險程度升級查核(例如證件驗證與合規訪談),同時是 Ethical Web Data Collection Initiative 的成員——依據其 KYC 與安全政策
  • Decodo(前身為 Smartproxy)對每一筆註冊執行自動化詐欺檢查與 KYC,並主動封鎖高風險目標,例如銀行、政府入口網站與售票網站——依據其安全與合規文件
  • IPRoyal 透過第三方驗證機構 iDenfy 執行 KYC;靜態住宅代理強制要求驗證,未驗證帳號的功能會受到部分限制——依據其 KYC 政策

實務上的結論是:如果你的用途連服務商的 KYC 問卷都過不了,那它大概也過不了法院的檢驗。了解什麼是住宅代理以及這些網路如何取得 IP 來源,屬於同一套盡職調查。

結論

網路爬蟲預設合法,因情境而違法。在美國,hiQ v. LinkedIn 系列判決與 Van Buren 案把 CFAA 推離了公開資料爬取,但違約與著作權主張依然火力全開。在歐盟,GDPR 管轄你碰到的任何個資,DSM 指令第4條的 TDM 例外及其機器可讀退出機制,框定了受著作權保護內容的商業探勘。在台灣,刑法第358條、第359條劃出技術閘門的紅線,個資法讓「公開個資」不等於可任意蒐集,Lawsnote 一審判決則提醒所有人:編輯過的公開資料照樣受著作權保護;在香港,PDPO 的保障資料原則有相同的效果。無論你在哪裡營運,低風險公式都很穩定:公開頁面、不登入、不碰個資、尊重退出訊號、溫和的請求頻率,以及一份說明目的正當性的書面紀錄。有疑慮時,先問律師,再開爬蟲。

常見問題

台灣沒有任何一部法律直接禁止網路爬蟲。爬取公開、非個資、無需登入的頁面通常屬於低風險行為,但若破解網站防護措施可能觸犯刑法第358條,無故取得他人電磁紀錄致生損害可能觸犯第359條,蒐集個資須符合個人資料保護法,重製具創作性的內容則涉及著作權法。2025 年的 Lawsnote 一審判決顯示,公開資料不等於可以任意商用。
回到完整指南

相關文章