戴秋燕:网络空间访问规范研究
目次
一、问题的提出
二、我国“授权访问”的法律规范和司法实践
(一)我国计算机犯罪的法律规范
(二)我国的司法实践
三、网络空间“访问”的内涵
(一)网络空间“访问”内涵的争议
(二)网络空间“访问”释义
四、网络空间的“授权”标准
(一)现有网络空间“授权”标准
(二)“授权”的基本要义
五、我国网络空间访问规范的反思
(一)确定网络空间访问规范的基本原则
(二)网络空间访问规范应当以数据属性为研究对象
(三)网络空间访问规范规制他人的数据接触行为而非使用行为
结 语
内容摘要
美国计算机纠纷中,当事人常以CFAA为依据提起诉讼,但法院对于CFAA中“授权访问”却形成两种不同标准,造成这一后果的主要原因在于法院以结果为导向解释“授权访问”。“授权访问”中“访问”的本质应为“接触数据”,是否需要获得授权需要考量被接触数据的属性。我国刑事法律规范中同样规定“访问”计算机需获得“授权”,但我国法律规范与司法裁判并未具体解释何为“授权”。我国应当在借鉴美国司法裁判的基础上,确认网络空间访问规范的基本原则是“自由、开放、共享”,授权要求应当是例外规定;同时,拒绝以结果为导向判断行为人的行为合法性,应当以被接触数据属性确定是否需要授权,区分数据接触行为和数据使用行为。
关键词
未经授权 超越授权 接触数据 使用数据
一、问题的提出
我国刑法在“妨碍社会管理秩序罪”章第一节“扰乱公共秩序罪”第285-287条规定了与计算机或者信息网络有关的犯罪行为,主要有非法侵入计算机系统罪,非法获取计算机信息系统数据、非法控制计算机信息系统罪,提供侵入、非法控制计算机信息系统程序、工具罪,破坏计算机信息系统罪,这些罪行的入刑标准都有一个前提条件,即“侵入计算机”。然而,在司法实践中,如何理解“侵入”行为尚未形成统一标准。
最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下简称《计算机刑事案件法律解释》)第2条规定,认定“专门用于侵入、非法控制计算机信息系统的程序、工具”要求特定“程序或工具”具有“避开或突破计算机信息系统安全保护措施”的功能,同时,使用程序或工具的主体“未经授权或超越授权”。这一司法解释在不同法院产生了不同的理解,例如有的法院将“侵入”的认定重点放在行为人是否存在“避开或突破计算机信息系统安全保护措施”的违法行为,并未解释何为“未经授权或超越授权”。 而有的法院则认为“侵入”行为的认定在于行为人是否获得“授权”,并将企业规章制度要求作为授权与否的标准。大数据技术的发展让其基本元素——数据的价值凸显,为充分挖掘数据潜在价值,不同市场主体之间竞相争夺各类数据。这些数据存在于不同网站,行为人为获取数据,首先要访问他人网站。尽管网络虚拟空间与现实物理空间不同,其不具有明显的地理界限,但是访问他人网站同样需要获得他人的同意,即授权。如何理解网络空间“授权访问”的内涵,是关系他人获取数据合法与否的关键。
二、我国“授权访问”的法律规范和司法实践
(一)我国计算机犯罪的法律规范
在我国刑法规定的计算机犯罪中:行为人的“访问” 行为本身构成犯罪需满足违反国家规定且入侵特定计算机系统的要件,单纯地入侵普通计算机系统并不会构成刑事犯罪;获取数据和控制计算机系统违法的要件是:进入行为违反国家规定且获取数据或非法控制计算机系统;但在提供侵入、非法控制计算机信息系统程序、工具罪中,则不要求他人入侵的是特定计算机系统,包含普通计算机系统;在破坏计算机系统罪中则不考虑进入行为是否违法,而是考察对计算机系统或者数据的操作所造成的影响,也即对计算机非法使用行为进行处罚。我国对计算机犯罪的规定区分了计算机入侵和非法使用计算机数据的行为。
同时,我国《刑法》第九十六条规定:“本法所称违反国家规定,是指违反全国人民代表大会及其常务委员会制定的法律和决定,国务院制定的行政法规、规定的行政措施、发布的决定和命令。”符合这一条件的法律规范有:《计算机信息系统安全保护条例》《计算机信息网络国际联网安全保护管理办法》《互联网信息服务管理办法》《全国人民代表大会常务委员会关于维护互联网安全的决定》《互联网上网服务营业场所管理条例》《计算机软件保护条例》《全国人民代表大会常务委员会关于加强网络信息保护的决定》《网络安全法》《数据安全法》《个人信息保护法》等,这些法律规范并未对“侵入”行为进行明确定义。根据前述《计算机刑事案件法律解释》第2条,符合我国非法侵入计算机信息系统的程序或工具的认定标准需满足两个条件:一是避开或突破计算机信息系统安全保护措施,二是未经授权或超越授权。其中,该司法解释没有进一步释明“未经授权或超越授权”的内涵。
(二)我国的司法实践
在司法实践中,当事人起诉他人非法获取数据行为的依据有《刑法》《反不正当竞争法》等。其中,针对自然人未经许可获取他人数据的行为,当事人往往依据《刑法》第285—287条提起诉讼,不同法院对于何谓“入侵”行为与授权标准有不同的处理。有些法院在计算机犯罪案件中不会详细解释“入侵”“未经授权或超越授权”的具体内涵,仅使用“未经授权或超越授权”的概念。有些法院在阐释判决理由时,则将“避开或突破他人计算机系统安全保护措施”的行为直接认定为“未经授权”。例如在古某、李某提供侵入计算机信息系统工具案中,法院认为涉案“水滴子”软件破解了前端“翼支付”APP软件的加密算法和通信协议,实现了通过伪造手机型号、手机IMEI号、按照“翼支付”底层通信协议进行虚假的数据加密等方式,绕开了天翼公司的安全防护措施,最终实现“薅羊毛”诈骗功能,因此该“水滴子”软件具有避开或者突破天翼公司开发的“翼支付”APP软件以及架设的后台计算机信息系统的安全保护措施,且未经授权非法获取天翼公司后台计算机信息系统服务数据的功能,应当认定为专门用于侵入计算机信息系统、非法获取计算机信息系统数据的工具。还有些法院将企业规章制度要求作为授权与否的标准,例如在龚某等非法获取计算机信息系统数据案中,法院对“超越授权”进行解释,认为“被告人的行为首先客观上超越了被害方的授权范围,主要原因是被害公司允许员工使用公司内部的账号和密码,但公司明令禁止员工擅自出借账号、密码,被告人龚旭将账号、密码、token令牌等提供给非公司员工使用,虽然本案中被告人采取了相对温和的手段,但却符合超越被害公司的授权范围获取计算机信息系统数据这一行为本质,因此应认定为侵入。从我国的司法裁判可以发现,大部分法院在审理相关案件过程中并没有对“未经授权或超越授权”进行解释,有些法院尽管进行了解释,其仍然是以“行为人是否破坏或规避他人计算机的安全保护措施”来解释“授权”,法院的裁判更多是以结果为导向来认定行为人授权与否。尽管这一裁判导向尚未在类似案件中引起过多争议,但随着我国数据获取案件纠纷的增加,特别是何为“计算机安全保护措施”本身已经引起争议,“以是否规避或破坏他人计算机安全保护措施”作为确定入罪标准将会产生诸多问题。
在企业之间的数据获取纠纷中,我国仅有少量案件适用刑法,当事人往往以《反不正当竞争法》为主要依据提起诉讼。例如在“饭友APP抓取微博数据案”中,一审法院认为,根据“饭友”App中展示的微博信息情况,可以认定复娱公司系直接抓取并展示微博后台数据;该行为使“饭友”App用户无需注册或登录微博帐号即可查看微博全部内容,影响微博用户协议的履行,破坏微博数据的展示规则,且对微博的部分内容构成实质性替代,分流了微梦公司的潜在用户,妨碍、破坏了新浪微博的正常运行,违反了《反不正当竞争法》第12条的规定,构成不正当竞争。而在深圳市腾讯计算机系统有限公司等诉浙江搜道网络技术有限公司等不正当竞争纠纷案中,原被告双方主要争议点在于涉案数据内容的法律属性问题,并未关注被告获取数据行为的合法性。经过对我国相关案件的检索可以发现,在企业之间的数据纠纷中,早期被抓取方会要求数据抓取方对其非法获取行为承担刑事责任,而近几年的案件中,数据抓取方抓取数据前的“访问”行为并没有得到当事人的重视,法院也在“不告不理”的原则下,不予阐释数据抓取方的“访问”行为是否合法,仅分析数据抓取方的数据使用行为。
三、网络空间“访问”的内涵
(一)网络空间“访问”内涵的争议
“访问”行为主要发生于互联网空间,我国法律对之尚未有明确定义,而美国各州法律在规制计算机滥用行为的早期则已经对“访问”进行定义,但内涵较为宽泛,例如美国参议员Ribicoff在1977年提出的具有影响力的“联邦计算机系统保护法案”将“访问”定义为,“接近、指示一台计算机、计算机系统或计算机网络,与一台计算机、计算机系统或计算机网络进行通信,将数据存储于一台计算机、计算机系统或计算机网络,从一台计算机、计算机系统或计算机网络检索数据等使用计算机、计算机系统或计算机网络资源的行为。”基于此种解释,在1993年State v. Riley案中,被告Riley通过随机猜测密码的方式对西北电信公司的计算机进行重复拨号,以期获得正确的密码来拨打免费长途电话,法院认为被告通过“反复尝试连续输入随机的6位数字来发现访问码,这构成了‘接触’计算机或‘使用计算机资源’的行为”,Riley的行为符合法律对“访问”的定义。而在1996年State v. Allen案中,堪萨斯州最高法院并没有接受“访问”的广义解释,而是认可韦氏词典对“访问”的定义,认为“只有获得或利用......的自由或能力”才构成“访问”,因此,只有在被告Allen越过西南贝尔公司设置的最初障碍并输入适当的密码,才能说被告具备使用西南贝尔公司计算机或获取某些东西的能力。尽管Riley案和Allen案的案情基本相似,但法院却形成两种完全不同的裁判结果。Orin S. Kerr教授认为致使法院形成两种不同裁判结果的主要原因在于法院对计算机的认识不同,在Allen案中,法院将计算机看作是一个虚拟空间,访问计算机就是进入这个虚拟空间的内部;而在Riley案中,法院则将计算机看作一种物理机器,访问计算机就是向这台机器发送通信请求。在此后的一些计算机案件中,即便有的法院接受了Allen案中关于“访问”的解释,对具体事实的认定也存在差异。有的法院采用Allen案的虚拟空间视角,认为“仅仅是进行计算机端口扫描并没有访问计算机”,“用户查看网站登录界面并不涉及是否需要授权访问的问题”;有的法院则认为“当某人从他或她自己的电脑发送电子邮件信息,然后该信息通过许多其他电脑传输,直到邮件到达目的地,发送者正在利用所有这些电脑,因此某人‘访问’了这些电脑。”
(二)网络空间“访问”释义
在对互联网相关问题的研究过程中可以发现,立法和司法部门都在不同程度地尝试通过应用物理世界的规则进行立法或裁判,例如我国将互联网中的个人信息问题纳入人格权益予以保护,我国刑法规定非法进入计算机的行为为“入侵”行为;美国法院早期采用传统的禁止入侵、入室盗窃以及偷窃等法律规范处理互联网领域的非法行为。对“访问”内涵的考察,其本质是如何看待互联网或者计算机信息系统,即我们应当将其假设为空间还是财产,如果是空间,则对于该空间存在进入与否的问题,若是财产,则存在接触与否的问题。从空间的角度,互联网应当是开放的,网络信息应当是自由流动的,需要确定私有与公有的界限;从财产的角度,则每个网站(服务器、数据库以及网页显示组成)本身属于特定主体的私有财产,这时候他人发送信息请求这一行为本身就构成对财产的接触。
1.互联网数据传输的技术架构
所谓因特网(Internet)是由数以万计的计算机网络通过数以万计的网络设备相互连接而成。计算机网络则是利用通信设备和通信介质,将地理位置不同、具有独立工作能力的多个计算机系统相互连接,并按照一定通信协议进行数据通信,以实现资源共享和信息交换为目的的系统。一个完整的计算机网络包括计算机系统、网络设备、通信介质和通信协议。互联网在技术层面仅是一种新型的数据信息交流媒介。尽管可以用“漫游”“购物”“冲浪”等术语形容参与互联网的活动,似乎我们已经“置身”于互联网中,但实际情况却并非如此。互联网的主要功能在于数据信息的传输,其与电视、广播的功能具有相似性,但互联网突破了电视、广播单一数据信息传播的局限性,能够实现多台计算机之间数据信息的实时交互流通。
从技术上可将互联网数据信息传输过程分为三个阶段:第一阶段,数据需求方(客户端,client)发送数据请求,请求的内容包括请求的方式、请求的统一资源定位符(URL)、请求头、请求体。其中,请求的方式是指获取数据的方式(get 或者post方式),请求的统一资源定位符是指想要获取的其他网站的何种数据,请求头是指让被访问网站服务器能够知道获取数据的访问源是谁,被访问网站可以通过请求头来识别请求数据的是用户还是抓取程序。请求体根据请求的不同方式存在差别,若请求的方式是get,则请求体就是URL;若请求的方式是post,则请求体就是具体数据。第二阶段,目标网站(服务端,server)获取响应内容并解析。目标网站服务器接收到其他网站的请求后,会分析请求,根据发送的请求作出响应。若被访问网站数据库中存在请求的数据,则显示200,表示请求成功;若被访问服务器未发现请求数据,则显示404,表示文件不存在;若请求的数据需授权访问,则显示403,表示无权限访问;若被访问网站服务器未反应或者服务器故障,则显示502,表示服务器错误。第三阶段,数据需求方(客户端,client)保存获取数据。在请求成功的情况下,被访问网站的服务器根据请求将数据发送给请求网站,获取的内容数据一般是网页源代码,包括网页超文本标记语言(HTML)、图片、视频、二进制数据等。
2.数据需求方“访问”他人网站的判断标准
通过对互联网数据传输的技术架构进行分析可以发现,考虑数据需求方是否访问目标网站的时间节点有两处:第一,数据需求方所发送的数据请求到达目标网站服务器之时;第二,数据需求方接收到目标网站所反馈的数据信息之时。
对于第一个时间节点,数据需求方的数据请求到达目标网站,其确实已经接触了目标网站的服务器,这也是美国法院在Riley案中的裁判依据。如果认为数据需求方的请求到达目标网站的服务器就构成“访问”他人计算机,那么数据需求方的数据包(发送的数据请求一般是作为一个数据包在计算机系统内部传送的)不仅访问了目标网站,也访问了所有存在于这条通信线路上的设备。那就意味着数据需求方不仅需要征得目标网站的授权,还需要征得所有计算机通信系统中的其他设备或产品供应商的授权,这显然不符合实际情况。因此,将计算机类比为财产的观点无形中增加了沟通成本,违背互联网高效、便捷的基本原则,不能将数据需求方的数据请求到达目标网站认定为“访问”目标网站。
从上述分析可知,数据需求方向目标网站发送数据请求并不构成对网站的访问,那么目标网站向数据需求方反馈数据,是否证明数据需求方构成“访问”?一般情况下,数据交互发生在目标网站接收到数据请求后的反馈阶段,在这一阶段目标网站对于他人接触或获取数据设置的要求不一,主要包括:第一,未设置任何接触或获取数据的要求。数据需求方能够直接获得请求数据,并可任意复制使用所获数据;第二,设置接触限制。目标网站反馈所请求数据时会要求数据需求方进行注册登记、填写验证码或者输入用户名和密码,严格限制接触数据的主体;第三,设置获取限制。目标网站会让数据需求方接触所请求数据,但会限制数据需求方对数据的获取,例如禁止复制、转发等。第四,既设置接触限制也设置获取限制。有些网站为了过滤“网络机器人”或者防止他人对数据信息的传播,会同时设置接触和获取限制。
我们使用“访问”一词来形容互联网领域数据获取的前提条件,其实就已经假定互联网是一个虚拟空间,尽管由众多计算机网络组成的互联网从技术层面看与我们所熟知的空间概念存在差别,但从空间的角度理解互联网内部的操作规则具有一定的参考价值。基于这一假设,在第一种情况下,数据需求方与目标网站之间的关系就类似于消费者敲商店的门,向店主表明自己的需求,店主发现所需商品属于公众可自由获取的,则店主会将商品所属区域的控制门打开,让消费者选取和使用所需商品。在第二种情况下,目标网站认为所请求数据属于具有特定身份的主体才可以接触的,其就会在反馈请求前查验身份。这就类似于消费者敲商店的门,向店主表明自己需求后,店主发现所需商品属于特定身份者才能购买,这时候店主会要求核对消费者身份信息,满足身份条件后,店主同样会向消费者开放商品所在区域。在第三种情况下,目标网站对于数据需求方接触数据的身份没有限制,反而约束了他人对数据的使用。这就类似于消费者敲商店的门,向店主表明自己需求后,店主虽然向消费者开放商品所在区域,但是店主在每个商品上安装了保护罩,只有满足特定条件,消费者才能移除保护罩获取商品。在第四种情况下,目标网站不仅认为所请求数据属于具有特定身份的主体才可以获取,还对数据使用设置条件。在此种情形下,消费者不仅需要向店主表明身份,经过店主的身份查验方能进入特定区域,而且所需商品同样被安装了保护罩。
通过对上述四种情形的描述可以发现,数据需求方向目标网站发送数据请求的时候其实就是敲目标网站的“门”,这个“门”就是目标网站的服务器;在目标网站的服务器接收到数据请求后,会对请求形成一个反馈,这种反馈能够让数据需求方“看到”数据,即“接触”数据,这时候数据需求方才能被认为“访问”了目标网站。正如Orin S. Kerr教授认为使用者通过用户名和密码登录网站后能够收集或获取网站相关信息方为“访问”,即网站“建立了一个认证要求,比如密码门,创建了必要的屏障,将网络上的开放空间和封闭空间分隔开来”,用户通过认证要求后才构成“访问”。因此,互联网领域的“访问”标准应当是数据需求方可以“接触”数据。
四、网络空间的“授权”标准
(一)现有网络空间“授权”标准
网络空间“授权”标准之争源于美国数据纠纷中当事人较常援引的法律《计算机欺诈与滥用法案》(Computer Fraud and Abuse Act,简称CFAA),美国法院在审理数据纠纷案件中,判断行为人的行为是否符合“授权”的标准一直在转变,尚未统一。本文以美国法院不同时期所形成的“授权”裁判标准展现“授权”标准形成的复杂性。
美国法院在审理计算机案件之初,并不认为“授权”一词存在任何争议,反而认为“授权”的含义清晰且明确。例如1991年的 U.S.诉Morris案,Morris利用计算机传输、接收电子邮件和程序的方式传播蠕虫,以获取另一台计算机的用户信息,第二巡回上诉法院认为Morris行为超越授权的关键在于其传播蠕虫的行为与使用计算机的传统功能不相符。同时,地方法院认为没有必要向陪审团提供“授权”的定义,第二巡回法院同意地方法院的观点,认为“authorization”这个词是常用的,没有任何技术上的或含糊不清的意思,法院没有义务指示陪审团解释它的意思。然而,随着企业雇员对雇主机密信息的不正当使用行为所引发的数据纠纷频增,为解决雇员非法使用计算机信息的行为,雇主企图将CFAA作为规制的依据,这时候有关“授权”内涵的解读才逐渐产生争议。美国法院在解释“授权”时形成了两种不同观点:一种是以美国第一、第五、第十一巡回法院为代表的广义的“授权”, 另一种是以美国第四和第九巡回法院为代表的狭义的“授权”。
1.广义“授权”理论
所谓广义的“授权”是指一旦雇员获取信息后,其使用信息的行为与雇主利益相违背,则雇员的授权即被终止,这时候雇员的访问行为就是一种“未授权”行为。因此,坚持此种观点的法院往往认为CFAA能够规制雇员滥用信息的行为。法院创造性地采用代理理论、忠诚义务以及合同理论,产生了以使用为基础的认定标准。
(1)忠诚理论
忠诚理论是指只要雇员表现出对雇主不忠,即便其仍然享有技术授权,他的授权也是终止的。例如在Shurgard Storage Centers诉 Safeguard Self Storage案中,原被告是自助存储业务的竞争对手,被告通过挖走原告重要雇员的方式获取原告的信息,其中涉及原告前雇员使用原告的电脑向被告发送涉及原告信息的电子邮件。法院认为,根据CFAA的规定,当前雇员已经成为竞争对手的雇员时,其就丧失了访问前雇主计算机的权利。
(2)合同理论
合同理论是指基于合同获得授权,即一个人获得或者利用信息违背了一个书面的政策,例如保密协议、工作场所行为规则或者服务协议条款,那么即使他技术上是被授权,其也违背了CFAA规定的授权使用。在2001年EP Cultural Travel BV诉Explorica公司案中,第一巡回法院认为当雇员帮助雇主的竞争对手获取专有信息,其就违反了与雇主的机密协议,这时候不忠诚的雇员就是超越授权进入的行为。该案判决结果已被2021年Nathan VAN BUREN诉U.S.案推翻,美国最高法院认为警察在执法部门的计算机数据库中进行车牌检索并以此换取金钱的行为没有违反CFAA,理由在于享有授权访问权利但获取信息具有不正当目的的人不属于CFAA监管主体。CFAA监管的主体是那些从电脑内的特定区域(例如档案、文件夹或资料库)获取信息,而他们的电脑无法访问这些区域。
(3)“预期目的”理论
第五和第十一巡回法院还采用了“预期目的”理论,这个理论和合同理论相类似,但是更宽泛。法院认为即使他人使用信息没有违背书面政策,其也有可能构成对CFAA的违反,即法院通过某些公司政策的潜在目的去决定雇员是否违背或者超出技术授权访问。例如2010年United States v. John案,第五巡回法院认为当雇员基于其他目的进入计算机使用雇主的信息实施欺诈,那么雇员的行为就是“超越授权的进入”;在United States v. Rodriguez案中,第十一巡回法院认为当雇员以非商业的理由进入信息系统是一种超越他的授权的进入。这些观点都是美国法院对“授权”的早期理解。
2.狭义“授权”理论
所谓狭义“授权”理论是指CFAA所规定的“未授权”仅针对“访问”行为本身,不延展至“使用”行为。例如在2012年United States v. Nosal案中,一个猎头公司的雇员使用其访问权限进入雇主的数据库以获取公司机密信息,并将获取的信息发给之前的雇员,获取信息的雇员们都知道之前的雇员正在成立一个竞争公司。第九巡回法院区分了“接触限制”与“使用限制”,认为“超越授权接触”不能扩展至对“公司使用限制”的违反。现雇员是通过有效的认证方式进入公司数据库,尽管他们最终使用信息的目的不符合他们被授权进入的目的,但是其拥有正确的授权,并没有违反CFAA。在WEC Carolina Energy Solutions LLC诉Miller案中,第四巡回法院否定了代理理论,认为雇员下载雇主的机密信息,将该信息通过邮件的方式发送到个人账户,并将该信息提供给雇主的竞争对手,雇员的这种行为无需承担CFAA责任。在2013年JBC Holdings NY LLC诉 Pakter案中,法院认为狭义的授权进入的解释更具有说服力,当雇员已经被授权进入雇主的计算机,而滥用这种进入,那么雇员要么违反使用条款,要么违反对雇主的忠诚义务,其并没有超越授权或者未经授权的行为。法院对“授权”进行普通、现代以及一般的意思解释为“正式的保证或处罚”,因此当雇员并没有允许如此行为的时候才构成未经授权的进入计算机。这一直白的定义仅是对进入的允许而非使用的允许。法院认为CFAA并未涉及雇员被允许进入后的滥用或侵占信息的行为。同时,若将CFAA条款的定义取决于雇员被允许进入获取后使用信息的目的(正如第七巡回法院所做的),会将国会并未强加的主观目的要件加入这一条款。
3.“授权”理论的最新发展
(1)技术措施标准
随着美国数据抓取案件的增多,数据抓取案件中的当事人也积极援引CFAA,这时候法院在考察是否可以采用CFAA规制数据抓取行为时就比较谨慎,更多考虑数据抓取方是否回避或破坏了他人设置的技术措施。例如2010年Cvent, Inc. 诉Eventbrite, Inc.案中,法院支持了被告的主张,认为除非原告采取了积极且有意义的保护措施,否则任何人(包括直接商业竞争者)都可以任意搜索以及获取原告的信息。
(2)撤回理论
美国法院在坚持“技术措施”标准一段时间之后,在相关案件的审理中又转向了“撤回理论”(revocation theory),即法院认为不论当时数据抓取方是依靠技术、基于使用或者基于访问获得的授权,只要数据抓取方允许访问的权限被撤回,那么数据抓取方就是“未经授权”的行为。2016年美国第九巡回上诉法院在审理Facebook, Inc.诉Power Ventures, Inc.案和United States诉Nosal案中,认为未经授权是一个模糊的非技术性条款,考虑该条款简单和一般的含义是指未获得许可访问了一个受保护的计算机。授权与否和网站的使用条款没有直接关系,因此可以简单地推论:一旦授权被明确撤回,那么使用者就不能通过第三方获取访问他人计算机这种“走后门”(the back door)的方式来绕过法条的规定。这一“撤回理论”在此扩大了被抓取网站的权限,能够让被抓取网站根据自己的意愿确定数据抓取方是否获得“授权”。美国法院有关“授权”解释的争议到这里还远远没有结束,在hiQ Labs, Inc.诉Linkedln Corp.案中,虽然领英向hiQ发送了禁止抓取的通知,但加利福尼亚州北区法院仍然支持了hiQ的抓取行为,要求领英取消阻止hiQ抓取的技术措施。同时,该案的上诉审法院(第九巡回上诉法院)认为,网站对公众访问是开放的情况下,CFAA“未经授权”的概念并不适用。
通过美国法院对CFAA适用中“授权”内涵的不同态度可以发现,在互联网领域,美国法院判断行为人“授权”与否的关键不在于技术上访问他人计算机的可行性,而在于行为人访问的方式和目的。在传统的物理世界,一个人的行为是否构成一种非法入侵依赖于我们共享的一套社会标准,这套社会标准告诉我们“直觉上,什么时候进入他人财产范围是禁止的,什么时候又是允许的”。因此,在任何情况下未获得允许进入私人房屋的行为是不允许的。相反,在白天将未上锁的商铺的门打开可以推定为不是非法侵入,因为“共同的理解是商店所有者一般对于潜在的消费者来说都是公开的”。生活经验和共同的社会实践创造了对不同类型的空间允许什么样进入的共同理解。那么,在没有实体边界的网络领域,是否也存在这样一套准则,能够规范行为人的“访问”行为?
(二)“授权”的基本要义
通过上文的分析可知,“访问”的标准为“是否接触数据”,那么“授权访问”内涵的理解也应当从数据接触的角度予以考虑。数据是否可接触涉及两个维度的问题:一是物理上数据能不能被接触,二是法律上数据可不可以被接触。数据能不能被接触是技术问题,技术水平的发展决定了数据被他人接触的可能性;数据可不可以被接触是法律问题,法律规范决定了数据被他人接触的范围。数据能被接触不代表数据可被接触,技术的可操作性与法律的容忍性并不等同。因此,考虑数据接触是否需要获得授权也应当从技术和法律这两个维度予以考量。
1.技术上的授权
为防止用户的非法或越权访问,数据控制者会采取技术措施,设置“访问控制”。所谓访问控制是指“主体依据某种控制策略或权限对客体本身或是其资源进行的不同授权访问”,主要包含主体、客体和控制策略三个要素。基本的访问控制策略有:(1)入网访问控制策略,往往由网络信息服务提供商实施,决定用户是否可以连接互联网;(2)操作权限控制策略,由被访问的计算机系统确定,可以决定哪些用户或用户组可以访问哪些文件、目录及设备,以及执行何种访问操作等;(3)目录级安全控制策略,由被访问计算机系统确定,可以决定用户对目录中的文件以及下属子目录的访问权限;(4)属性安全控制策略,根据被访问的资源属性进行分类,确定不同的被访问权限,这是在操作权限控制基础上更高级别的网络安全保障措施;(5)网络服务器安全控制策略,即规定用户通过控制台加载或卸载系统模块或安装和删除软件的权限;(6)网络监测与锁定控制策略,主要针对网络非法侵入威胁的动态监控、检测以及报警,对非法账户进行自动锁定等;(7)网络端口与节点控制策略,即在网络端口设置自动回复器和静默调制解调器,并以加密形式来识别节点身份,防止他人冒充合法用户或黑客攻击。在众多的访问控制策略中,若目标网站设置了操作权限控制、目录级安全控制以及属性安全控制,那么数据需求方要想接触数据则需经过目标网站的授权,此处的“授权”是指目标网站通过对访问控制规则的代码设计允许数据需求方访问特定数据。这一技术层面的授权与否对于数据需求方来说影响较大,主动权往往掌握在被请求方的手中,数据需求方较为被动,一般没有获得特定授权,数据需求方就不能接触特定数据。
2.法律上的授权
法律上的授权一方面来源于目标网站设置的协议,另一方面则源于特定属性的数据。目标网站在数据需求方接触数据之前,会设置一些协议,例如企业内部的规章制度,用以约束企业内部人员;网站首页的用户协议或者网页代码中内嵌的robot.txt文件,用以约束网络用户。就企业内部的规章制度而言,其是企业内部员工一致意志的体现,员工加入企业就表明接受企业规章制度的约束,那么企业规章制度中确定的接触数据的权限要求对员工具有法律效力,企业员工要想获得职权范围外的数据,则需要获得企业的授权。但在数字化环境下,若企业未采取访问控制的技术限制,则企业内部的规章制度对员工的访问行为只具有事后追责的功效。同样地,在实际操作中网站设置的用户协议或网页代码中内嵌的robots.txt文件也不能限制用户对数据的接触,但数据需求方在进入网站前知晓用户协议或robots.txt文件的存在并且继续点击或浏览网页,则理论上用户协议与robots.txt文件能够作为目标网站与数据需求方之间的有效合同或条款,若数据需求方属于用户协议或robots.txt文件中规定的无权接触数据的主体,则数据需求方应当获得目标网站的授权。
除了存在有效合同或合同条款所导致的法律授权外,数据需求方还有可能因为特定的数据属性而需获得授权。首先,个人敏感数据。个人敏感数据一般指心智正常之普通人不欲向他人展示之生理特征或情感特征等,属于人类高度原始的特征,一旦被披露会引起人们的尴尬和羞耻感。个人敏感数据作为一种不愿意让他人知晓的数据,具有“私密性”的基本特征。这部分数据与人的尊严以及“人之所以为人”的基本伦理价值有关。因此,对于个人敏感数据的接触应当要获得数据主体以及数据控制者的授权。其次,构成作品或商业秘密的数据。数据构成作品的情况下,数据控制者会采取接触控制措施,法律明确对接触控制措施的保护,这就说明接触他人构成作品的数据需要获得数据控制者的授权。另外构成商业秘密的数据本身是被数据控制者采取了保密手段,在这种情况下商业秘密的价值就在于其秘密性,因此,任何想要接触商业秘密数据的主体都应当获得数据控制者的授权。最后,国家核心数据。在社会发展过程中,政府掌握了大量基础性、关键性的数据,在数据日益成为核心竞争要素的情况下,国家应当将这些数据作为一种社会公共资源予以公开,让社会公众充分利用。但一些关系国家安全、国民经济命脉、重要民生、重大公共利益的数据则需要严格监管,数据控制者应当建立完善的访问机制,任何人都不得在未获数据控制者授权的情况下接触数据。法律上的授权机制对于数据需求方来说是一种法律威慑,仅能事后追责,并不能在事前预防他人接触数据。
通过上述分析可以发现,美国法院在引用CFAA审理计算机滥用案件时其实就是从技术和法律的不同角度理解授权内涵,这就导致“授权访问”内涵的理解不能形成一致意见。“授权访问”作为刑事入罪的要素之一,对于其内涵的解读应当保持谨慎、谦抑的态度,需要确定统一的“授权”标准。
3.“授权”标准:数据属性
技术授权与法律授权本身在实际操作中并非绝对分离,相反,两者往往是并存的,在这种情况下,如何确定他人未经授权的行为属于刑法应当制裁的非法入侵行为而非民事侵权,需要一个明确的判断标准。
首先,以数据控制者是否设置访问控制来确定“授权”标准会将刑事裁判权赋予数据控制者,泛化刑事制裁。从技术角度来说,访问控制能够拦截数据需求方接触数据。为管理需要、收集他人个人信息或者排除竞争对手等目的,数据控制者都有可能采用访问控制策略,这已经成为信息技术时代较为常见的现象,但将这种商业策略作为刑事判定标准,对于一般的数据需求方来说会过于严苛。若确定这种“授权”标准,无疑为数据控制者创设了绝对垄断权,且这种权利范围是由数据控制者自己确定,这会限制社会公众的信息使用自由。因此,单纯地认为数据需求方规避或者破坏数据控制者设置的访问控制措施就属于“未授权”行为,会造成主体间权利失衡,扩大刑事处罚范围。
其次,以数据控制者设置的协议内容作为“授权”标准,则会将违约行为与刑事制裁标准相混淆。一方面,数据控制者采用内部规章制度规范员工接触数据的行为,是为了方便企业管理,属于内部规约。若员工违反规章制度接触数据,应当属于违反劳动合同或者企业规章制度的违约行为,将此种违约行为认定为刑事违法行为,会将私法上违法行为的认定标准应用于公法领域,造成轻罪重判,属于法律对私人生活的不当干预。另一方面,数据控制者在网站首页设置用户协议或者嵌入robots.txt文件约束数据需求方的行为,在满足特定条件下,这些协议或条款能够产生合同法上的约束力,数据需求方应当按照协议要求行事。同时,由于在数据成为重要资源的情况下,数据控制者相较于数据需求方而言处于优势地位,数据需求方面对这些协议内容只能接受,否则其将丧失数据接触和使用的机会。然而,这些协议本身是一种格式合同,更多地体现数据控制者的意愿。若以协议内容为“授权”标准,则同样会存在将刑事制裁权交予数据控制者之嫌,另外也会将普通的民事违约行为定性为刑事违法行为。
最后,以数据属性确定是否应当获得“授权”的标准,符合处罚计算机犯罪的立法本质。CFAA的立法目的在于保护特定的数据安全,作为一部“反入侵法”,其关注的重点应当是特定“空间”内的“财产”安全。因此,判断特定的数据是否属于应被保护的对象是判断他人“访问”行为是否违法的关键。同时,以数据属性确定是否应当获得“授权”,可以防止数据控制者滥用权利,限制公众对数据的接触和使用,阻碍数据自由流动,扰乱市场有效竞争。CFAA产生之初是为了保护特殊类型的数据,防止他人对这些数据的非法使用,因此对这些数据的接触行为予以规制。确定何种授权标准就意味着数据使用者与数据控制者的行为界限,以协议或技术为中心的授权标准更多地体现数据控制者的意志,存在限制数据自由流动、形成数据孤岛的风险。以数据属性为中心的授权标准则将判断的对象转移到客观数据本身,符合法律对特定数据权益保护的根本追求,因此,这种授权标准具有理论价值和现实意义。
五、我国网络空间访问规范的反思
对“授权访问”内涵的限缩或宽泛解释能够引导社会公众在网络空间的行为。正如匹兹堡大学迈克尔·J·麦迪逊教授所言,“CFAA范围争议的解决与现在互联网社会已经存在什么类型以及将来将会存在什么样类型具有紧密联系。”我国尚未确定网络空间的访问规范,尽管我国刑事裁判领域已经明确,网络空间访问规范的关键在于获得“授权”,但对于授权标准的研究并不深入,现在法院主要以“是否规避或突破计算机安全保护措施”为标准,而对何谓“计算机安全保护措施”则未有论述。随着我国数据抓取案件的增多,当事人往往不会主张刑事制裁,而是依据《反不正当竞争法》提起诉讼。我国的这种情况与美国相反,美国在涉及计算机或者数据纠纷的司法案件中,当事人都会提出CFAA主张,这就致使法院需要持续研究探讨“授权”内涵。反观我国,“授权”标准不明似乎没有对市场主体的行为产生过多影响。然而,并非此类案件不存在争议,实则是市场主体在法律标准不确定的情况下,选择对自己最有利的诉讼策略。因此,应当在借鉴美国经验的基础上,建立我国网络空间的访问规范。
(一)确定网络空间访问规范的基本原则
通过美国法院对于CFAA“授权访问”的解读所形成的两种不同裁判标准可以发现,其更多地考虑数据控制者的利益,这就容易造成CFAA刑事处罚规则被当事人滥用,形成寒蝉效应。反观我国的立法和司法裁判,在刑法中区分了计算机入侵、数据获取、数据使用以及计算机控制等行为,行为类型的划分较为细致,但不同行为之间区分的标准,特别是计算机访问行为的条件往往没有过多解释,较为笼统地概括为“突破计算机安全保护措施”“未经授权或超越授权”。随着网络活动的生活化、日常化,数据控制者会设置各种类型的技术措施以应对他人接触和获取数据的行为,这就容易造成刑事条款适用的泛化。因此,需要确定网络空间行为规范的基本原则,以明确刑法适用的合理界限。
网络空间倡导互联互通,那就应当以“自由、开放、共享”作为网络空间的基本原则,访问规范当属例外规定。在这一基本原则下,任何存在于网络世界的数据信息都应当能够被任何人自由获取,数据信息的控制者不应当设置过多限制。正如Orin Kerr教授所言,互联网一般被认为是“固有公开的”,它“允许世界上的任何人都可以无需获得授权获取他人发布的任何信息”,法院应当接受“推定互联网的公开标准”。利用国际通行的计算机语言和规则进行数据获取都应当是自由且不受限制的,不应当对他人接触数据的行为设置过多的条件,强加技术或法律授权。
(二)网络空间访问规范应当以数据属性为研究对象
美国参议员耶利米·丹顿(Jeremiah Denton)将CFAA描述为旨在防止非法入侵无法访问的计算机的法令,他指出:“该法案明确指出,未经授权访问政府计算机是一种侵入罪,就好像罪犯未经适当授权就进入了政府的禁区一样。”美国第九巡回上诉法院认为CFAA最好被理解为反入侵法规,而不是“挪用法规”,在CFAA的规定中存在三类信息:第一,公众可接触,无需授权的信息;第二,授权是必须的且已获得授权的信息;第三,授权是必须的,但尚未获得授权的信息。因此,《美国法典》第18篇第1030条的立法历史清楚地表明,禁止未经授权的访问被正确地理解为仅适用于私人信息——通过使用某种许可要求而被描述为私人的信息。同样地,我国处罚的计算机入侵行为也是针对特定的计算机,而这些计算机具有特殊性的主要原因即为存储于该计算机中的数据信息具有特殊性。
网络世界与传统的物理世界存在差别,我们不能将物理世界的行为准则或规范直接照搬于网络世界实施,但传统物理世界的行为准则或规范背后的基本原理或逻辑可资借鉴。传统物理世界,行为人可以限制他人进入特定领域的原因在于,行为人对特定领域享有权利,这一权利所具有的排他性构成对他人行为的约束力。同样地,在网络世界,行为人是否能够接触特定数据,或者说限制他人对特定数据的接触,需要特定数据之上存在他人可主张之权利。因此,网络世界访问规范的确立应当以被接触的数据属性为研究对象,而非数据控制者采取的保护手段。刑法保护的数据应当涉及重大国家、社会以及个人利益,包括但不限于国家秘密、商业秘密、金融市场重要数据信息、未公开的个人信息,等等。在判断特定数据是否属于刑法禁止接触的数据,应当考察该数据被接触后是否会造成重大公共安全问题。除了上述重要数据信息以外的其他数据,则应当通过民事法律规范予以解决,即考察数据接触者是否存在违约行为、数据接触者是否侵犯他人著作权等。
(三)网络空间访问规范规制他人的数据接触行为而非使用行为
在美国的一些计算机案件中,法院谨慎解释“未经授权”或“超越授权”概念的主要原因在于CFAA规定了刑事制裁,以免国会无意中把普通公民变成罪犯。法院认为为数据控制者提供这样的申诉不仅是不必要的,而且也违反了最高法院严格解释刑事法规的规定。因此,有些美国法院拒绝CFAA对违反使用政策的雇员承担责任的解释,而是选择将这种责任限制在未经授权访问计算机或在其授权访问权限之外获取或修改信息的个人。我国刑事立法中也仅规定“未经授权”和“超越授权”这两个名词,并未对其多加解释,司法裁判中则对利用雇员账号密码登录计算机以及雇员违反公司计算机使用政策的行为予以规制。其实,法院的裁判是混淆了数据接触行为与数据使用行为。
行为人在接触数据后可能会有后续的获取数据、使用数据的行为,但也可能仅是浏览数据。行为人后续获取数据、使用数据行为违法并不代表接触数据行为具有不法性。美国与我国的司法裁判都以结果为导向,认为行为人获取以及使用数据的行为违法,则推定其接触数据的行为也具有不法性,实则不然。网络空间的访问规范应当关注行为人接触数据的行为,而不是采取反向推理的逻辑,将行为人接触数据的行为与获取数据、使用数据的行为糅杂在一起进行判断。司法部门应当从数据属性确定数据之上是否承载特定权利,以此确定行为人接触数据的行为是否获得权利人的授权。
结 语
访问网络空间已不局限于链接到互联网,更为重要的是能够使用网络空间的各类数据,而使用的前提就是能够接触数据,这就需要确定网络空间数据接触的规则,也即网络空间的访问规范。美国法院对CFAA条款的解读体现该问题中利益纠葛的复杂性,无论是技术上还是协议上理解的授权标准,都存在增强数据控制者垄断力,泛化刑事处罚的风险。因此,我国在对待该问题时,需要在坚持网络空间“自由、开放、共享”基本原则的基础上,以数据属性为判断依据,确定行为人接触数据的行为是否属于刑法规制范围,厘清刑事和民事法律规范的规制边界。
END
(责任编辑:李 强)
精
彩
推
荐
点击左下角“阅读原文”跳转到《荆楚法学》杂志网上投审稿平台,可以在线投稿!