【按】本文涉及的法律：CFAA（Computer Fraud and Abuse Act，18 U.S. Code § 1030），即《计算机欺诈与滥用法案》及其中的访问/存取规则（access provision）。CFAA规制蓄意以计算机进行诈欺或勒索等黑客犯罪行为，不论是公部门或私部门，违者将可处以罚金或及有期徒刑。其中，若蓄意在未有授权访问/存取（access… without authorization）或逾越授权访问/存取（exceeds authorized access）下，取得受保护计算机（protected computer）的信息数据，即被使用或可影响州际外国商业或沟通的计算机（依据§ 1030 (a)(2)(c)），将违反本法，与他罪合并最高可处以罚金或及10年以下之刑期（依据§ 1030 (c)(2)）。同时，CFAA允许受害人就其损害或损失提起民事诉讼（依据§ 1030 (g)）。由于CFAA并未对「授权」一词有清楚的定义，因此，在何种情况下存取受保护计算机信息会成为未有授权之行为而违反CFAA，会引起争议。

值得注意的是，现有美国法院对于CFAA的存取条款的未授权存取与逾越授权皆采取狭义解释，即以存取限制为准。因此，当诉讼当事人的行为并未受CFAA所规制时，法庭无须进一步处理CFAA与美国宪法第一修正案冲突的疑虑。

由于CFAA对「授权」一词未有清楚定义，并且各巡回庭对于未授权存取与逾越授权内容看法分歧，再加上违反CFAA者处罚极重，因此成为大企业得以兴讼的工具，而CFAA的判决与应用也一直受到争议，该部法下最有名的案件就是US v. Aaron Swartz案。（本案是版权法发展史上一个极重要的燃点，参见纪录片：《互联网之子》。该片中有众多美国左派大佬出镜或被提及，行家直呼过瘾~）

另外，本文中还涉及一个案件——“Van Buren v. United States”案（范布伦案）。该案中，最高院缩小了CFAA的范围。Nathan Van Buren曾是佐治亚州的一名警察，因缺钱向他人求助。他人将该警察的意图汇报给了美国联邦调查局（FBI）。FBI设下圈套，授意此人怂恿该警察提供“佐治亚州犯罪信息中心”数据库中的一个车牌号，以求证该车牌号的主人是否为一个卧底警察。该警察拥有该数据库的访问权限，于是照办提供了信息，获得了6,000美元报酬。FBI在佐治亚北区联邦地区法院起诉了Van Buren。地区法院判了Van Buren入狱18个月。最终，最高院判定他的网络访问行为没有逾越授权访问/存取范围（exceed authorized access），不应以CFAA法案作为依据来进行判罚。由此，美最高院设定了一个同类案件中的“Van Buren ruling”。

需要明确的是，国内外许多对LinkedIn案的最新报道，都用了“美国法院肯定了爬取可公开访问/存取数据的合法权利”类似的用语，这里是一个极不符合法律规范的语句。看起来很耸动，但事实上本案判决根本不是这么一回事儿。较为准确的说法应该是：“第九巡回法院认为hiQ抓取LinkedIn公开数据的行为不违反CFAA”。这样才可以不误导不明就里的吃瓜群众。

正文

hiQ Labs v. LinkedIn, 17-16783 (9th Cir. Apr. 18, 2022)案最新判决（详见此处）

hiQ 诉 LinkedIn的诉讼始于 2017 年。2019 年，第九巡回法院维持了地区法院的禁令裁决，支持了hiQ。最高法院撤销了该决定，并告知第九巡回法院根据最高法院的范布伦裁决（Van Buren ruling）重新考虑其裁决。之后，第九巡回法院再次表示 hiQ 有权获得禁令救济，因为 LinkedIn 根据 CFAA 提出的索赔并不能抵消 hiQ 针对 LinkedIn 似是而非的侵权干扰索赔（tortious interference claim）。该法院指出，“鉴于互联网发展的速度”，原始案件中记录的事实可能已经过时，但无论如何都会使用它们。法院还回避了关于 hiQ 是否仍在营业的争议。

对于今年4月下达的最新判决，笔者分析如下：

第一，有关无法弥补的损害/权益平衡方面：法院确认 hiQ 不存在可行的替代数据源。法院仍然对 LinkedIn 基于隐私的论点持怀疑态度：

“LinkedIn 对其用户提供的数据没有受保护的财产利益，因为用户保留对其个人资料的所有权。”

第二，有关hiQ 的侵权干扰索赔的可行性方面：法院再次认定 hiQ 的侵权干扰索赔是可行的（笔者认为这是值得商榷的）。法院怀疑 LinkedIn 的动机是否合法（本案中法院曾检视像 LinkedIn 这样的大型公共数据平台是否有权利去选择开放的对象？显然，案中许多人将其作为一个基础设施对待，但从笔者角度看，这种未经证明的假设是存在巨大漏洞的）：

“如果像LinkedIn这样的公司（其服务器拥有大量公共数据）被允许有选择地只禁止潜在竞争对手访问和使用那些原本是公共数据的资源，那么结果——在聚合和分析公共信息时完全排除了原始创新者——可能是不正当竞争。 . . ”

第三，有关CFAA方面：此案的关键问题是 hiQ 在收到 LinkedIn 的停止和终止信后继续访问，是否是 CFAA 规定的“未经授权”。在最初的 Nosal 案裁决中，第九巡回法院认为，违反合同限制的访问不能等同于“未经授权”的访问。在范布伦案中，美最高法院支持这种做法。巡回法院表示，关键问题是 hiQ 的行为是否类似于“闯入（breaking and entering）”。法院表示，CFAA 的立法历史清楚地表明，它旨在“仅适用于私人信息——通过使用某种许可要求将信息划定为私人信息（apply only to private information—information delineated as private through use of a permission requirement of some sort.）”。法院援引范布伦案中“开门或关门调查（gates-up-or-down inquiry）”：

“换句话说，将“门”类比用于托管公共网页的计算机，该计算机一开始就没有设置任何门来开或关。因此，范布伦案强化了我们的结论，即“未经授权”的概念不适用于公共网站。”

法院还考虑了 SCA （Stored Communications Act，即《存储通信记录法案》）的类似“未经授权”条款和宽大处理规则（rule of lenity）。

综上，当一个人绕过计算机普遍适用的有关访问权限的规则（例如用户名和密码要求）来访问计算机时，似乎违反了 CFAA 禁止“未经授权”访问计算机的规定。当然，第九巡回法院表示，公开数据的公司并非没有追索权。他们可能会寻求国家黑客法、侵入动产索赔或其他诉讼原因，“例如侵犯版权、盗用、不当得利、转换、违反合同或侵犯隐私”。

当然，LinkedIn还是可以通过非CFAA的诉由去起诉hiQ，但貌似本案中所有的美国法院都在刻意回避其他诉由的产生。此处，一是其他诉由的不足够充分，二是广泛的诉讼范文并不能真正解决本案法院所想传达的主旨——防止大型企业的“信息数据垄断/不正当竞争”。数据竞争是本案埋下的一条重要暗线，第九巡回法院自己亦称（重复上文引用）：

“If companies like LinkedIn, whose servers hold vast amounts of public data, are permitted selectively to ban only potential competitors from accessing and using that otherwise public data, the result—complete exclusion of the original innovator in aggregating and analyzing the public information—may well be considered unfair competition under California law.”

同时，本案中另一个有趣的焦点是，案件双方都在为 hiQ 是否仍在营业而争论不休。该争议在地区法院进行了激烈的诉讼（而第九巡回法院正在考虑根据范布伦的裁决）。但可以预见的是，第九巡回法院会得出与本案初审裁决相同的结论。

现在的问题是，鉴于范布伦案，hiQ的行为是不可避免的吗？第九巡回法院表示，范布伦案中的分类与第九巡回法院自己对 CFAA 涵盖的三种计算机的分类法一致：（1）不需要许可的；（二）需要许可但已给予许可的；（三）需要许可但未经许可的。法院已经表示，访问第二种类型的计算机不会必然导致违反 CFAA（参见Nosal案）。法院指出，此处的许可是指用户名和密码，但没有列出其他属于该类别的内容。

关于该裁决的两个关注点是：

• （1）法院继续怀疑 LinkedIn所谓的隐私保护合理性和对用户数据的假定所有权；
  
• （2）法院对拥有“大量公共数据”公司所拥有的权力/力量的忌惮。
  

最后，笔者还想强调一个关于个人用户IP地址信息的披露问题。从本案看，法院并没有回答个人信息具体的保护范围，只是对信息保护加上了一个客观要件——“开门或关门调查/测试”，即只要平台企业对这些数据进行了“关门”处理（保护措施），则在一定程度上可以受到保护，被爬取就属于侵权。但是，美国法院对“公共数据”的解释过于宽泛，个人IP地址信息是否属于所谓的“公共数据/隐私”，这在直觉上并不大合适。因此，这也暴露出涉及数据保护案件的一大桎梏（也是学界的大难题以及一个持续的病灶）——对于数据如何进行分类。从结果论看，对于个人用户IP地址信息的爬取，其可能造成的损害后果是相对比较大的，且对社会会产生较重的影响。是故，对于可能公开或封锁的IP地址的爬取，其行为是否构成侵权，就需要具体考察不同法域间的立法和监管力度。从中国的角度看，鉴于当前的《个人信息保护法》与《数据安全法》，以及联想到最近新浪WB要公开个人IP地址的新闻，未来可能发生的爬取IP地址的行为，在很大程度上会使人们重新去审视数据爬取行为的正当性与平台垄断市场所带来的滥用行为，以及两者之间微妙的关联。

本文从美国LinkedIn诉hiQ案（即一个站在企业市场竞争立场的案例）的最新判决引申至此，希望能够激起读者对“平台监管资本主义”以及“个人信息保护”两方面更多的思考——关注个人权利，关注数字市场中最不应该被轻视的普罗大众！（文终）

【课后题】

心有余力的读者可以思考以下问题，以此深发主题：

就LinkedIn案换个场景：

• 如果被爬取的是政府投入建立的公开数据库（如房产信息）？
  
• 如果被告是个人（比如是GitHub里的那帮Geek）？
  
• 如果案件放在现在的欧盟（数据库指令 VS 数据法案）？