作者:矫鸿彬 幸自奇 金杜律师事务所
近几年,数据逐渐成为互联网乃至传统企业重要的竞争资源:一方面,网站或APP运营方通过收集用户信息、分析用户使用习惯、需求和偏好,能够精准地向用户投放广告、撮合交易、提供个性化产品或服务、刺激用户消费及提高用户粘性;另一方面,基于分析原始用户数据或平台采集数据而产生的衍生数据,又能协助企业预测市场变化、优化产品结构、制定最优价格、调整市场竞争策略。
数据重要性的凸显使得互联网企业在大量频繁收集数据的同时,竭力阻止其他互联网企业利用技术手段未经许可获取自身数据的行为,由此在国内引发了一系列涉及数据抓取问题的纠纷,其中具有代表性的案件包括北京知识产权法院[1]、上海知识产权法院[2]、浙江省高级人民法院[3]、深圳市中级人民法院[4]审理的相关案件(囿于篇幅,本文对国内案例不做详细介绍)。尽管数量不多,但上述案件从一定程度上反映了我国法院目前审理数据抓取案件的裁判思路。
在大洋彼岸的美国,第九巡回法院2019年9月在hiQ v. LinkedIn案件中认为公开数据抓取不违反联邦法,暂时减少了Facebook v. Power Ventures案件禁止数据抓取的判决后美国国内相关机构的担忧,使得从业者能够在较为清晰的法律框架内合法地进行数据抓取活动。
下文中,我们将对中、美数据抓取案件的裁判思路及相关案例进行简单介绍和对比,并在此基础上归纳相关法院在审理此类案件时所重点考虑的因素,以供参考。我们将收集/接收、处理、存储、传输个人身份信息(Personally Identifiable Information)或用户上传/提交数据的主体或平台称为“数据控制者”,将从数据控制者运营的平台或网站上利用网络爬虫等技术手段获取数据的主体称为“数据抓取者”。
一、适用的法律规定之比较
对于个人信息的收集、存储、传输、使用行为,我国《网络安全法》做出了较为系统的规定,《民法总则》第一百一十一条、《电子商务法》第二十三、二十四条、《刑法》第二百五十三条等法律条文亦从不同角度予以规制。按照《国家信息化发展纲要》(2016年7月27日发布),我国下一步将制定个人信息和重要数据出境安全评估办法、个人信息保护法、未成年人网络保护条例等各级法律法规。
尽管个人信息保护已有初步立法,数据控制者的权益和责任尚缺乏明确立法。在此背景下,对于数据控制者和数据抓取者之间的纠纷,我国目前的司法实践普遍适用《反不正当竞争法》第二条,从经营者行为是否违反诚实信用原则或商业道德、是否损害其他经营者利益和消费者利益的角度予以评判。在认定双方具有竞争关系的基础上,法院通常援引最高人民法院在“海带配额案”[5]中确立的下述三个要件对被诉不正当竞争行为进行分析和认定:
1、法律对该种竞争行为未作出特别规定;
2、其他经营者的合法权益确因该竞争行为而受到了实际损害;
3、该种竞争行为因确属违反诚实信用原则和公认的商业道德而具有不正当性。
针对互联网领域适用《反不正当竞争法》第二条的不正当竞争案件,法院还会考虑脉脉案中确立的下述“互联网竞争三要件”对被诉不正当竞争行为进行评价:
4、该竞争行为所采用的技术手段确实损害了消费者的利益,例如:限制消费者的自主选择权、未保障消费者的知情权、侵害消费者的隐私权等;
5、该竞争行为破坏了互联网环境中的公开、公平、公正的市场竞争秩序,从而引发恶性竞争或者具备这样的可能性;
6、对于互联网中利用新技术手段或新商业模式的竞争行为,应首先推定具有正当性,不正当性需要证据加以证明。
相较而言,美国对涉及部分行业或群体数据的收集、披露和商业使用通过制定成文法进行规制[6],例如禁止录像带服务提供者披露用户个人信息的联邦《视频隐私保护法》(Video Privacy Protection Act)、要求收集不满13岁儿童个人信息需要获得家长同意的联邦《儿童在线隐私保护法》(The Children’s Online Privacy Protection Act)等,以及被视为迄今为止美国最严格的也备受关注的州立法《加利福尼亚州消费者隐私法案》(California Consumer Privacy Act)。与我国类似,美国联邦对数据控制者权益的保护亦缺乏明确立法。在涉及互联网的隐私保护、计算机访问、数据抓取等案件中,美国法院在遵循先例的同时,国会制定的联邦《计算机欺诈和滥用法》(Computer Fraud and Abuse Act,以下简称“CFAA”)成为了最重要的法律依据。
CFAA自1986年于美国国会通过后,其适用的范围历经多次扩张,从最初仅用于打击针对“政府和金融机构计算机”实施‘破门而入’(breaking and entering)黑客行为的刑事立法,扩张至保护任何“受保护的计算机”[7](Protected Computer)且同时包含刑事和民事责任的成文法[8]。该法案禁止“未经授权”(without authorization)或“超出授权范围访问”(exceeds authorized access)进入他人计算机的行为。事实上,美国各州也制定了类似成文法,其内容与CFAA相差无几[9]。由于国会对何种信息为CFAA所保护,以及“未经授权”/“超出授权范围访问”这两个核心问题未予明确,所述问题往往成为法院审理案件的争议焦点,也自然赋予法院在案件审理中具有较大的自由裁量权,使得审判者要在个案中综合考虑被告抓取行为的主观动机、对原被告双方商业产生的实质影响、对自由竞争市场可能带来的影响、以及消费者隐私保护等多方面因素进行评判,增加了案件结果的不确定性。
下表简单展示了上述中美成文法的相关内容,以及可用于规制数据抓取行为的其他案由:
| 中国 | 美国 | |
| 主要适用法律 |
《反不正当竞争法》 第二条 经营者在生产经营活动中,应当遵循自愿、平等、公平、诚信的原则,遵守法律和商业道德。 本法所称的不正当竞争行为,是指经营者在生产经营活动中,违反本法规定,扰乱市场竞争秩序,损害其他经营者或者消费者的合法权益的行为。 |
《计算机欺诈和滥用法案》 第1030条(a)(2)(C) [10] 与计算机有关的欺诈及其相关活动:任何人……故意未经授权或超出授权范围访问进入(他人)计算机,借此从受保护的计算机获取信息,将被处以罚款或监禁。 |
| 其他诉讼案由 |
l 侵害著作权,依据《著作权法》(2010年修正)第四十七条保护; l 违反网络服务合同,依据《合同法》(1999年施行)第一百零七条保护; l 侵害商业秘密,依据《反不正当竞争法》(2019年修正)第九条保护; l 侵犯公民个人信息[11]、非法侵入计算机信息系统、非法获取计算机信息系统数据、破坏计算机信息系统,依据《刑法》(2017年修正)第二百五十三条、二百八十五条、二百八十六条保护。 |
侵害著作权(copyright infringement)、侵害动产(trespass to chattels)、侵占或滥用(conversion/ misappropriation)、不当得利(unjust enrichment)、违约(breach of contract)、侵害隐私(breach of privacy) |
二、授权要求之比较及美国代表性案件简介
数据抓取的首要问题在于数据抓取者是否获得了足够的授权。在这一问题上,我国目前普遍适用脉脉案中确立的“三重授权原则”,即:(1)用户授权,即数据控制者收集、处理、存储、传输用户数据需要获得用户授权,通常由用户与数据控制者之间达成协议或用户提交信息的方式完成;(2)平台授权,即数据抓取者在数据控制者服务器上抓取数据的行为应当获得数据控制者的授权,通常由数据控制者和数据抓取者之间的Open API开发者协议完成;(3)用户二次授权,即数据抓取者在数据控制者服务器上抓取用户数据的行为需要取得用户的明确授权,常见的授权方式如开通微信第三方小程序时用户通过点击小程序弹窗完成授权。
美国联邦第九巡回法院,其管辖范围覆盖加利福尼亚州、华盛顿州等主要互联网公司所在地,近年来在涉及数据抓取的案件中对CFAA的授权规则这一核心问题逐渐形成了一套相对明晰且有利于数据抓取者的规则,代表性案件主要有以下三件(按时间顺序由远及近排列):
1、Craigslist Inc. v. 3Taps Inc., 942 F. Supp. 2d 962 (N.D. Cal. 2013)
这是加利福尼亚北区联邦地区法院(其上诉法院为第九巡回法院)审理的涉及抓取公开信息的案件(一审生效),与我国大众点评案件的案情十分相似。需要注意的是,该案件关于CFAA保护范围的结论在2019年LinkedIn案件中实质上被推翻。此外,该案件中法院对侵害著作权、侵害动产等主张也进行了分析。
该案中,原告Craigslist是一家分类广告展示网站(类似于58同城)。被告3Taps等三家网站从Craigslist上实时抓取广告信息并展示在自己的网站上。3Taps还运营cariggers.com网站,基本原样复制了Craigslist。Craigslist向被告发送律师函及采取技术措施屏蔽抓取行为。3Taps转而通过其他IP地址和代理服务器继续抓取数据,被Craigslist诉至法院。
就原告基于CFAA提出的相关主张,3Taps提出抗辩称Craigslist对“公开信息”无权行使“撤销3Taps抓取权”的权利,但法院认为3Taps将公开信息排除在CFAA受保护信息之外的理解限缩了CFAA可保护范围。法院认为,如国会意图使CFAA仅保护非公开信息,可在法案中予以明确,因此最终认定3Taps收到律师函之后的抓取行为违反了CFAA。
就著作权相关主张,Craigslist主张对分类广告享有汇编作品著作权,法院分析后认为Craigslist在“决定设置哪些类别和标题”的行为“展示出最低水平的创造”,因而享有著作权。对于分类广告本身而言,法院首先肯定用户对发布的广告享有著作权,而就Craigslist是否有权代表用户起诉侵权者而言,Craigslist称通过用户协议获得授权[12],但法院认为该用户授权是非排他性的因此授权不成立[13]。
就原告侵害动产的主张,法院认可了Craigslist关于被告实施的未授权干扰和访问网站、计算机系统及服务器的行为占用了原告资源,损害、降低了原告为用户提供服务的能力,构成对原告的损害,但法院指出Craigslist应当提供更多实际损害的证据。Craigslist在之后的LinkedIn案件中以法庭之友的身份向法庭提交了书面意见,目的自然在于维护其作为平台的商业利益。
2、Facebook Inc. v. Power Ventures. Inc., 828 F.3d 1068(9th Cir. 2016)
Facebook是知名社交平台。Power Ventures运营power.com网站,是一家账户聚合类平台,使用方式为:用户在该网站注册账号后输入用户在其他社交网络平台上的账户名和密码,借此可通过单一网站便捷地管理多个社交账户。Power Ventures以现金鼓励方式邀请注册用户参与网站推广计划,对参与推广的用户,在用户知晓的情况下,Power Ventures操作用户账户,向该用户好友同时以站内信、站外信的方式发送邀请,信件落款会写上”Thanks, The Facebook Team”。Facebook注意到Power Ventures的推广行为之后,向Power Ventures发送了律师函,要求其加入Facebook官方的开发者计划,遭到拒绝。Facebook随后屏蔽了Power Ventures的IP地址,Power Ventures却在更换IP地址后继续进行推广计划,继续抓取、复制和使用平台数据。
本案中,用户将其他社交网站的用户名和密码提交至power.com网站并在现金奖励的激励下参与网站推广计划,用户对Power Ventures的授权是知晓且明确的。然而,法院认为,Power Ventures仅有用户授权是不够的,还应当获得Facebook的授权才可以抓取用户好友数据和其他平台数据,法院最终认定Power Ventures在收到Facebook律师函后(视为对其抓取行为的明确拒绝)的数据抓取行为违反了CFAA。
法院为合理化其提出的“用户+平台”授权规则,在缺乏成文法及在先类似案例的背景下,通过一个假设的情形予以阐明:假设甲同意将存放在银行保险箱内的珠宝借给朋友乙,也将保险箱钥匙递交给乙。乙随后却带着猎枪前往银行,自然被银行轰出来且被禁止再次进入。此时,乙显然不能以拥有银行保险箱权限为由再次携抢进入银行。如若再次打开保险箱,乙不仅需要甲的同意,还需要银行的同意。
我们注意到,该案中巡回法院提出的“用户+平台”授权规则与我国脉脉案高度一致。用户注册Facebook、power.com网站分别完成了用户两步授权,法院认定Power Ventures缺少的那一层授权刚好类似于脉脉案中缺少的数据控制者给数据抓取者的授权。
3、hiQ Labs Inc. v. LinkedIn Corp., 938 F.3d 985(9th Cir. 2019)
在这件耳熟能详的案件中,LinkedIn是知名在线职场社交平台,hiQ是一家数据分析公司,收集LinkedIn上公开信息,在进行数据分析后销售给eBay、GoDaddy等公司。LinkedIn曾作为合作伙伴多次派员工参加hiQ内部会议,知晓hiQ抓取平台信息也十分了解hiQ的商业模式。当LinkedIn决定利用自身平台优势开发与hiQ类似的数据分析产品之后,向hiQ发送律师函并屏蔽了hiQ的访问。hiQ向法院提出临时禁令,要求LinkedIn收回律师函、移除屏蔽hiQ访问的技术措施。
第九巡回法院认为hiQ提出了一个十分严肃的问题,即CFAA所指的“未经授权”访问所保护的计算机信息是否仅包含需要获得访问授权或权限,如要求密码验证的计算机信息。法院考察了国会的立法初衷和修法历史后指出CFAA应当被理解为禁止入侵而非禁止权利滥用的法案。因此CFAA所禁止的“未经授权”访问应仅适用于非公开信息(private information),通常来说是具有密码保护的网站,或者普通公众无法浏览的网站。法院进一步指出,CFAA实际上设想了三种类型的计算机信息:(1)对公众开放且不需要许可的信息;(2)需要授权且已经授权的信息;(3)需要授权但尚未授权的信息(或,在禁止超授权访问的情况下,超出的那部分系统授权未给出)。鉴于hiQ抓取的信息为上述第(1)类信息,CFAA并不适用该案。
该案受到极大关注的一个重要原因在于,在Facebook案件中法院认定Power Ventures的数据爬取行为违反CFAA之后,在行业内产生了不小的影响,LinkedIn在本案中也援引Facebook案件以支持其主张。案件审理过程中,电子前哨基金会(EFF)、搜索引擎DuckDuckGo以及互联网档案馆Internet Archive均作为法庭之友(Amicus Curiae)向法院提交了有利于hiQ的书面意见。EFF在其网站的新闻稿中指出,LinkedIn企图让法院相信所有的“机器人”(bots)都是有害的,但他们却是自由网络最为常见的及不可或缺的部分,因为搜索引擎、新闻聚合类网站、针对亚马逊价格算法的研究、学者对种族歧视进行研究等工作,都需要使用网络爬虫获取数据[14]。
从上述案例可以看出,美国法院对数据爬取行为的态度有所变化,LinkedIn案后认为对公开数据的爬取不属于CFAA保护信息的范围,并不当然违法。不过,法院在判决中指出数据控制者仍可寻求其他法律救济,法院在Craigslist案中也对此进行了分析。相比之下,对于爬取非公开数据的行为,包括Facebook及Nosal II[15]等在先案例都认为该种行为不仅直接违反了CFAA的“未经授权”规定,还可能导致刑事责任。
三、相关启示
因裁判思路不同,我国法院目前在数据抓取案件中对被抓取数据是否为公开信息未加区分。根据腾讯云2018年7月发布的统计数据,国内数据爬虫光顾最多的五个行业分别为出行、社交、电商、O2O、公共行政,合计占比超过60%[16],这些行业的数据大多为公开数据。鉴于LinkedIn案件的影响力,这样的裁判结果无疑有利于数据爬虫行业的发展。可以预见,数据是否公开或许会成为我国今后司法裁判中一个考量的因素。
根据相关案例,我们归纳出以下中、美数据抓取案件中对案件可能产生影响的其他涉案因素,以期对将来同类案件的处理有所启示。
| 考量因素 | 中国 | 美国 |
| 1. 替代性效果 | 美景案等案件中,法院认为被告的行为对原告服务产生实质性替代。 | Craigslist案中,法院认为被告的行为替代了原告的服务;LinkedIn案中,法院认为被告企图利用在职业社交网络市场的优势地位,进入数据分析市场。 |
| 2. 违反网站使用条款(用户协议)或开发者协议的效果 | 脉脉案中,法院认为被告的行为违反了原被告之间的开发者协议;美景案中,法院认为被告作为分享账户的平台方,理应知晓与原告的协议,其恶意分享账户的行为导致原告方利益受损,而从中牟利的行为,属于直接实施侵权行为。 |
如果“未经授权”接入的行为被网站使用条款/政策所禁止,在早期案件中法院大多认为该种行为应当视为CFAA规定的“未经授权”或“超越合法授权”[17],但这种做法遭到了学者的批评[18]。 Facebook案中法院认为违反网站使用条款并不当然违反CFAA[19],主要考虑因素在于法院认为这些条款一般十分模糊并且用户不可知,此外,网站也会时常修改网站使用条款[20]。 Craigslist案中,法院认为网站使用条款(Terms of Use)限定的是“使用”(use)而非“接入”(access),尽管其中有一条标题为“未授权访问和行为”(Unauthorized Access and Activities)的标题,但该条是通过使用者目的来进行限制的(而非行为本身),法院无需考虑这样的条款。 |
| 3. 违反Robots协议强行爬取,或规避原告技术措施的效果 | 大众点评案中,法院认为被告抓取数据时并未违法Robots协议,但并不代表原告网站信息可以被任意使用,由此可见,遵守Robots协议的爬取行为也有可能被认为违反《反不正当竞争法》。 | Facebook案中,法院认为当被告接入原告计算机的许可被明确撤销后,被告故意规避[原告屏蔽IP地址技术措施]的行为应当被追究责任。但法院强调单就被告实施规避的行为而言并未违反CFAA,因为被告并不知道自己IP地址被屏蔽了,或者说,被告即使知道自己IP地址被屏蔽了,可能会认为网站的屏蔽行为针对的是其“室友”或“同事”等使用相同IP地址的计算机[21]。 |
| 4. 保护用户隐私的考量 | 脉脉案中,法院认为第三方应用开发者通过Open API获取和使用用户数据应当充分尊重用户的隐私权、知情权和选择权,即获得用户信息时必须取得用户的同意,且该种同意必须是具体的、清晰的,在充分知情的前提下自由做出的。 | LinkedIn案中,法院认为LinkedIn网站上用户可以选择对其信息是否公开,而对于选择公开的这一部分信息,用户自然不期望获得不可见的隐私保护。此外,法院注意到LinkedIn网站的隐私政策十分明确地告知用户其上传的数据他人可见,因而敦促用户不要发布不希望被公开的信息。 |
| 5. 可替代的数据源 | 酷米客案中,被告主张原告垄断了公交信息,法院对被告该点主张未予评述。从案件事实来看,原告通过与公交公司合作在车辆上安装GPS系统实时采集数据,后将数据提交给深圳市交委,再开放给被告等多个公司。被告主张对原告数据进行抓取的原因在于发现开放的数据存在滞后。尽管被告能够获得数据源,但考虑到公交实时位置信息对于该类APP用户的重要性,被告为了获得实时信息,可能的确不得不爬取原告数据。 | LinkedIn案中,法院认为鉴于原告的市场优势地位, 原告禁止抓取的行为使得hiQ无法从其他渠道获得数据而无法继续经营。hiQ的证据表明原告的行为将使得其无法履行与eBay, Capital One、GoDaddy等客户的协议,该公司融资也出现困难。LinkedIn反驳称hiQ可从Facebook上收集用户的职业数据,但法官指出Facebook上的信息并非都是公开可见的。LinkedIn又提出hiQ还能通过雇员调查获取数据,法官驳斥称hiQ是一家数据分析公司,不是数据收集公司。 |
| 6. 公共利益或公共政策 | 脉脉案中,法院认为被告超出必要限度使用用户信息的行为不仅损害原告利益,也可能使得其他市场主体不愿再就信息的收集进行投入,破坏正常的产业生态,而消费者未来所能获知信息的渠道和数量亦将减少。 | LinkedIn案中,法院认为原被告双方均提出了涉及到重大公共利益的主张,即hiQ主张如爬取公开信息违法,会使控制大量数据的实体可选择性地使用和开发数据;LinkedIn则主张,如爬取公开信息合法,会鼓励大量恶意访问甚至服务器攻击,拥有公开数据的平台将不得不采用密码方式保护数据,使公众能获取的公开信息减少。法院经权衡后认为创造出一个信息垄断者对公共利益带来的危害显然更大,最终选择支持hiQ。 |
| 7. 终止合作或发送律师函的效果 | 脉脉案中,法院认为被告在双方合作结束后,未按协议要求及时删除相关用户信息的行为不符合《开发者协议》约定。 | Facebook案及Craigslist案中,法院认为被告在收到原告律师函后的抓取行为违反CFAA,但回避了发函前行为的违法性。 |
除上表所列因素,个案因素也必然影响着法院的最终裁判,如LinkedIn案件中,原告多年来默许hiQ的数据爬取行为,多次参加hiQ内部会议,熟悉hiQ商业模式。因此,当LinkedIn决定进入数据分析市场后对hiQ抓取行为态度骤变,被视为具有遏制竞争的动机。该案中LinkedIn使用用户数据开发与hiQ类似的数据分析工具的行为,也使得其禁止抓取行为源于保护用户隐私的主张未被法院接受。再如,在脉脉案件中,原告与被告存在合作关系,被告在合作期间就存在超出授权范围获取原告信息的行为,主观难谓正当。
通过上述对比和分析,我们认为中、美法院在某些问题上已形成共识,如:
(1)坚持技术中立原则,不能仅依据是否采取技术规避措施或违反Robots协议来判断行为的合法性;
(2)数据控制者(平台)对用户信息和数据不享有所有权;
(3)网站用户协议,如果权利义务明确且用户能明确感知与网站达成协议的话(例如注册时对用户协议点击“同意/Agree”而非“提交/Submit”)的话,这样的用户协议也应具有效力;
(4)数据爬取类案件涉及重大公共利益,审理中应综合考虑保护用户隐私、制止不正当竞争和预防/制止垄断的需要;
(5)抓取非公开信息、保密信息的行为不仅违法,还有可能承担刑事责任;
(6)原告的权益是否受到损害是重要的考量因素。
如上所述,数据控制者权益的保护目前还缺乏明确的立法,而我国法院也在司法实践中明确互联网平台在符合《网络安全法》及相关法规的前提下对用户数据的收集、处理以及由此形成的衍生数据享有权益,这是否会成为今后立法的方向,我们拭目以待。同时,随着技术的发展和商业模式的持续创新,互联网也将出现新的竞争行为并引发新类型的纠纷,持续挑战着既有的法律体系。如何灵活运用法律法规和司法政策,在维护公平竞争的同时解决这些新兴问题,是法律职业者所面临的挑战。
[1] 脉脉案,参见北京知识产权法院(2016)京73民终588号民事判决书。
[2] 大众点评案,参见上海知识产权法院(2016)沪73民终242号民事判决书。
[3] 美景案,参见浙江省高级人民法院(2018)浙01民终7312号民事判决书。
[4] 酷米客案,参见深圳市中级人民法院,(2017)粤03民初822号民事判决书。
[5] 参见最高人民法院(2009)民申字第1065号民事判决书。
[6] 这种立法方式被学者称为“sectoral approach”,参见Solove & Schwartz, Information Privacy Law (5th edition), Wolters Kluwer , 2015, 877页。
[7] “受保护的计算机”这一概念于1996年修订时引入,见U.S.C. § 1030(e)(2),包括:(A)金融机构或美国政府的计算机设备;(B)使用于或影响州际贸易或国际贸易的,包括可能位于美国境外的计算机设备。值得注意的是,联邦立法仅能规制州际贸易或跨境贸易,假设入侵计算机和被入侵计算机均在美国本土的同一州内,CFAA可能并无管辖权。在2013年UNITED STATES V. NOSAL [I]案件中,法院认为凡是接入互联网的计算机都被认为是“受保护的计算机”,在后期 LinkedIn和Facebook案件中,法院则直接予以适用。
[8] 如,U.S.C. § 1030(c)款规定了违反(a)、(b) 款的刑事和民事法律责任,包括罚金刑以及单处或并处最高不超过20年的有期徒刑;(g)款规定了受损害超过5,000美金的民事主体可以通过民事诉讼寻求经济损失、禁令或其他衡平法下的救济措施。
[9] 参见James Grimmelmann, Internet Law: Case & Problems (9th edition), Semaphore Press, 2019, P328。
[10] 原文为:[w]hoever . . . intentionally accesses a computer without authorization or exceeds authorized access, and thereby obtains . . . information from any protected computer . . . shall be punished by fine or imprisonment. 18 U.S.C. § 1030(a)(2)(C).
[11] 参见瞿淼、焦晨恩,《数据之争:网络爬虫涉及的法律问题(一)》,2018年5月28日,金杜律师事务所,https://www.kwm.com/zh/cn/knowledge/insights/legal-issues-concerning-web-crawlers-20180525。
[12] You also expressly grant and assign to [Craigslist] all rights and causes of action to prohibit and enforce against any unauthorized copying, performance, display, distribution, use or exploitation of, or creation of derivative works from, any content that you post (including but not limited to any unauthorized downloading, extraction, harvesting, collection or aggregation of content that you post).
[13] 值得注意的是,2012年7月至8月期间Craigslist部分用户协议就授权事项进一步明确,法院认为这段时期内的用户授权是排他性的。
[14] 参见电子前哨基金会(EFF)网站:https://www.eff.org/deeplinks/2017/12/eff-court-accessing-publicly-available-information-internet-not-crime。
[15] 参见United States v. Nosal [II], 844 F.3d 1024,该案中刑事被告Nosal为Korn/Ferry公司前高级雇员,在离职后,Nosal请求他的前助理FH提供公司账户名和密码给他,随后自行登入公司计算机系统获取商业信息,法院认定Nosal的行为构成了CFAA禁止的“未授权”行为。事实上,这不是Nosal第一次从Korn/Ferry获取商业信息,与该案相关的是较早的另一个CFAA相关案件中,即United States v. Nosal [I], 676 F.3d 854,Nosal请求时任员工进行操作并获取数据,法院认为时任员工获取信息的行为属于权利滥用而非CFAA下的超授权。两个Nosal案共同成为理解CFAA授权规则的重要判例法。
[16] 参见《安全报告|2018上半年互联网恶意爬虫分析:从全景视角看爬虫与反爬虫》,腾讯云平台发布,2018年7月19日,https://cloud.tencent.com/developer/article/1159623。
[17] 参见 United Status v, Drew 259 F.R.D. 449 (C.D. Cal 2009),在这一适用CFAA的刑事案件中,法院总结了2009年之前多地法院的案件后发现,如果违反了网站使用政策而接入网站,大多法院会认为属于CFAA禁止的未授权接入或超越合法授权接入。
[18] 参见马克·A ·莱姆利等著,张韬略 译,《软件与互联网法(下)》,商务印书馆,2017年4月第一版,1325页。作者认为“[被告违反原告网站使用条款因此被法院认为构成‘超出授权范围的访问’]这种结果是要把实际上属于违约的诉讼请求 – 而且是相当弱的诉请 – 转变为侵权行为以及实际上可能的犯罪行为”。
[19] 判决原文为“Second, a violation of the terms of use of a website—without more—cannot be the basis for liability under the CFAA”。
[20] 网站修改使用条款或者更改登录方式的行为引发了一系列诉讼,参见IN RE GOOGLE, INC. PRIVACY POLICY LITIGATION,Case No.: C 12-01382 PSG,涉及Google整合旗下服务后统一隐私保护政策导致的集体诉讼,以及Brodsky v. Apple Inc., 2019 U.S. Dist. LEXIS 148808,涉及Apple实施ID两步验证后引发的消费者的诉讼。
如果欲了解更多法院关于网站使用条款效力的认定,请参见美国律师协会(American Bar Association):Are my terms and conditions enforceable?, Terms and Conditions, https://www.americanbar.org/groups/business_law/migrated/safeselling/terms/。
[21] 网络屏蔽方法主要有DNS、IP、URL这三种,但均存在超范围屏蔽(Overblocking)的可能性。参见Center for Democracy & Tech. v. Pappert 337 F. Supp. 2d 606 (E.D. Pa. 2004)。