背景:
原告Craigslist是一家知名的大型互联网分类广告网站,为用户提供免费的互联网广告发布和浏览服务。据称,“他们每年共发布数亿个分类广告,每个月有超过6000万美国人访问craigslist”。Craigslist按照地域提供分类服务,且在每个区域内又按照产品和服务的类型进一步搭建细分市场。Craigslist同时也提供其他配套服务,如为支持分类广告服务而发送匿名电子邮件等。
被告3Taps从原告Craigslist处聚合广告信息并进行二次展示。Craigslist指控3Taps直接从Craigslist网站上实时复制(或“爬取”)其上面分布的全部内容。3Taps运营“Craigslist API”来允许第三方网站直接从Craigslist上获取信息,同时还运营网站“craiggers.com”,上面基本上复制了整个craigslist网站的内容。
在获悉3Taps的爬取行为后,Craigslist采取了以下两步措施:首先,它向3Taps发送了一封制止函(cease and desist letter),告知后者及其代理人、员工、关联公司等不再有权访问Craigslist网站,并且禁止他们再以任何理由访问craigslist的网站或服务。其次,Craigslist更改了其网站的设置,对与3Taps相关的网址设置了IP壁垒(即不允许3Taps的相关IP网段访问Craigslist)。但3Taps通过使用不同的IP地址和代理服务器来隐藏其身份绕过IP壁垒并继续爬取Craigslist数据。
诉由:
3Taps无视Craigslist的制止函,并绕过后者设置的IP壁垒进行数据爬取的活动,违反了CFAA[1]及相关州法律,原告据此提起诉讼。
法院还提出了一个关键性的问题,“即CFAA是否适用于公开网站的所有者采取措施限制特定主体进行访问的情况。”但鉴于双方对于该问题的讨论有待进一步补充,因此法院现仅就法定解释问题进行裁决。
判决论述:
A 法条的文义解释
CFAA为“故意未经授权或超越授权访问受保护的计算机系统并获取信息”的行为制定了刑事责任。任何因他人违反CFAA而遭受损害的一方,都对权对违法者提起民事诉讼,以获得补偿性赔偿、禁令救济或其他公平性救济等。
原被告双方都认可3Taps是在访问Craigslist并有意从“受保护的计算机系统”中获取信息。 唯一的争议是3Taps的获取行为是否属于“未经授权”。3Taps坚持认为:“Craigslist提供分类广告公开网站的行为,就是在对全世界的访问行为进行授权,这里面当然也包括对3Taps访问的授权。”(公开信息被推定为有权访问,属于“不受保护的网站”)法院对此予以认可。
但这里仍未解决的问题是:Craigslist是否有权根据具体情况撤销其授予公众访问其网站信息的一般授权。Craigslist当然认为它有权这样做,并试图通过发送“制止函”和设置IP壁垒等措施来行使该权利。3Taps表示,Craigslist无权对特定人“取消授权”,但3Taps并未提供支持其观点的法律依据。
事实上,根据体系解释和第九巡回上诉法庭对“未经授权”这一概念的解释来看,3Taps的主张都显得不是那么有力。而支持3Taps主张——禁止计算机系统所有者撤销其公共网站的访问“授权”——的一种可行性方案,就是限制CFAA所保护的信息的类型。例如,国会在《美国法典》§1030(a)(2)已经规定了仅对于“非公开”信息的保护。CFAA中的相似条款也顺应了上述趋势,规定“禁止未经授权访问‘非公开’的政府信息系统”。另外《美国法典》§1030(a)(2)(A)也只规定了对于金融数据的特别保护。显然国会在立法时已经考虑了将CFAA中的信息保护类型限定在特定范围之内,同时也赞成公开信息与非公开信息的区分方法。
同时,第九巡回上诉法院对于CFAA“未经授权”概念的解释进一步证实:计算机系统所有者有权撤销他们的访问授权。在LVRC Holdings LLC诉Brekka案中,一名雇员使用其雇主提供的有效认证方式登录其工作系统,并通过电子邮件的方式将雇主计算机系统上有价值的文件发送到自己的个人邮箱并用于与雇主存在竞争的业务中。
在该案中,当提及对法规的“文义解释”时,法院赞同并引用了第二巡回上诉法院的结论,认为法律解释应该首先尊重词语的字面含义。首先,对于“授权”一词普遍理解和共识,便是“有权者授予的许可或权力。”其次,法院还将“未经授权”与“超越授权”的概念区分开来,这也是符合CFAA规定的解释的。 “未经授权”是指自始没有权利访问计算机系统的人,而不论这种权利是否受到限制。法院认为,该案中的“授权”与否取决于雇主采取的行动。因此,“当某人未获得为任何目的而访问计算机的许可时(例如,黑客即属于无论如何都未经许可访问他人的计算机系统)或当雇主取消该许可时,其仍然访问计算机系统的行为,便构成对CFAA的违反。”
综上,根据文义解释,当Craigslist撤销3Taps对其网站的访问授权后,3Taps仍然继续访问并爬取数据的行为属于“未经授权”。是否具有“授权”依赖于授予或禁止访问的“授权方”的决定。 在Brekka案中,授权方是雇主。在本案中,授权方是Craigslist。 Craigslist首先授予赋予了公众访问其公开网站的授权。然后,其作为授权方又取消了对3Taps的授权。因此3Taps在授权被取消后继续访问的行为便属于“未经授权”了。
B、第九巡回上诉法院有关信息“收取vs.使用”的区分
3Taps试图引用第九巡回上诉法院在United States v. Nosal案中的论述来限缩对CFAA的解释。 在该案中,政府根据CFAA对David Nosal提起刑事指控,因为后者教唆公司雇员获取其雇主计算机系统的机密信息,并将信息传输给Nosal。公司雇员被授权访问上述信息,但其将这些信息向Nosal披露的行为则违反了公司政策。第九巡回法院认为,CFAA中“超出授权访问'这一规定仅限于对信息获取方式的限制,而不是对其如何使用的限制。
在Nosal案中,第九巡回上诉法庭开始考虑将违反私主体制定的政策界定为刑事犯罪所带来的危险性和负面效应。在该案中,法院首先要考虑正常用户合法访问系统的场景。在这种情况下,如果将违反“大多数人都不太可能去阅读或理解”且“随时可能变动”的私人政策的行为认定为犯罪行为,则有可能危及整个的犯罪构成体系。
但是本案中的场景有所不同。被禁止访问的用户只需遵循一条简单且明确的规则:不要访问该网站。具体取决于网站所有者表明态度和立场的清晰程度。本案中,Craigslist积极地向3Taps发送制止函并设置IP技术壁垒等来表明其已经撤销了3Taps的访问权。3Taps无法忽视上述措施; 事实上,3Taps必须绕过Craigslist的IP封锁措施才能继续访问。因此毫无疑问,3Taps明确知道Craigslist根本不想让自己访问其网站。
3Taps表示,Craigslist声称的“取消授权”行为实际上是对后者使用行为进行限制,因为Craigslis禁止3Taps访问的行为,就是意在禁止3Taps使用自己网站上的信息。 因此,隐藏在网站《服务条款》中所声称“取消授权”的场景,可能会变相导致对信息的使用限制,并由此引发Nosal案中法庭曾提及的担忧。
但此处无这类问题。本案中,Craigslist已经明确表达了它对于访问限制的立场和态度。告诉3Taps不得“出于任何原因”访问其网站,并设置了技术壁垒以切断相关访问。 此类包含明确通知和具体措施在内的真正的“访问限制”,并不会导致泛刑事化问题的出现。
结论:
3Taps希望法院认可“公共网站的所有者无权撤销特定用户访问该网站的授权”,但无论从文义解释还是先例来看,3Taps都没有提供有力的论据支持,因此法院无法支持其观点。
[1]Computer Fraud And Abuse Act ,美国《计算机欺诈和滥用法》。
声明:本文来自互联网mate,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。