网络空间访问规范研究.docx
网络空间访问规范研究目次一、问题的提出二、我国“授权访问”的法律规范和司法实践(一)我国计算机犯罪的法律规范(二)我国的司法实践三、网络空间“访问”的内涵(一)网络空间“访问”内涵的争议(二)网络空间“访问”释义四、网络空间的“授权”标准(一)现有网络空间“授权”标准(二)“授权”的基本要义五、我国网络空间访问规范的反思(一)确定网络空间访问规范的基本原则(二)网络空间访问规范应当以数据属性为研究对象(三)网络空间访问规范规制他人的数据接触行为而非 使用行为结语内容摘要美国计算机纠纷中,当事人常以CFAA为依据提起诉讼, 但法院对于CFAA中"授权访问”却形成两种不同标准,造成这 一后果的主要原因在于法院以结果为导向解释“授权访问工 “授权访问''中"访问”的本质应为“接触数据”,是否需要获得 授权需要考量被接触数据的属性。我国刑事法律规范中同样 规定“访问”计算机需获得“授权”,但我国法律规范与司法裁 判并未具体解释何为“授权我国应当在借鉴美国司法裁判 的基础上,确认网络空间访问规范的基本原则是“自由、开放、 共享”,授权要求应当是例外规定;同时,拒绝以结果为导向判 断行为人的行为合法性,应当以被接触数据属性确定是否需 要授权,区分数据接触行为和数据使用行为。关键词未经授权超越授权接触数据使用数据一、问题的提出我国刑法在“妨碍社会管理秩序罪”章第一节“扰乱公共 秩序罪”第285-287条规定了与计算机或者信息网络有关的 犯罪行为,主要有非法侵入计算机系统罪,非法获取计算机 信息系统数据、非法控制计算机信息系统罪,提供侵入、非法 控制计算机信息系统程序、工具罪,破坏计算机信息系统罪, 这些罪行的入刑标准都有一个前提条件,即“侵入计算机”。然 而,在司法实践中,如何理解“侵入”行为尚未形成统一标准。最高人民法院、最高人民检察院关于办理危害计算机 信息系统安全刑事案件应用法律若干问题的解释(以下简 称计算机刑事案件法律解释)第2条规定,认定“专门用于 侵入、非法控制计算机信息系统的程序、工具”要求特定“程 序或工具,具有“避开或突破计算机信息系统安全保护措施, 的功能,同时,使用程序或工具的主体“未经授权或超越授权 这一司法解释在不同法院产生了不同的理解,例如有的法院 将“侵入”的认定重点放在行为人是否存在“避开或突破计算 机信息系统安全保护措施''的违法行为,并未解释何为“未经 授权或超越授权而有的法院则认为“侵入”行为的认定在 于行为人是否获得“授权”,并将企业规章制度要求作为授权 与否的标准。大数据技术的发展让其基本元素数据的价 值凸显,为充分挖掘数据潜在价值,不同市场主体之间竞相 争夺各类数据。这些数据存在于不同网站,行为人为获取数 据,首先要访问他人网站。尽管网络虚拟空间与现实物理空 间不同,其不具有明显的地理界限,但是访问他人网站同样 需要获得他人的同意,即授权。如何理解网络空间“授权访问” 的内涵,是关系他人获取数据合法与否的关键。二、我国“授权访问”的法律规范和司法实践(一)我国计算机犯罪的法律规范在我国刑法规定的计算机犯罪中:行为人的“访问”行为 本身构成犯罪需满足违反国家规定且入侵特定计算机系统 的要件,单纯地入侵普通计算机系统并不会构成刑事犯罪; 获取数据和控制计算机系统违法的要件是:进入行为违反国 家规定且获取数据或非法控制计算机系统;但在提供侵入、 非法控制计算机信息系统程序、工具罪中,则不要求他人入 侵的是特定计算机系统,包含普通计算机系统;在破坏计算 机系统罪中则不考虑进入行为是否违法,而是考察对计算机 系统或者数据的操作所造成的影响,也即对计算机非法使用 行为进行处罚。我国对计算机犯罪的规定区分了计算机入侵 和非法使用计算机数据的行为。同时,我国刑法第九十六条规定:“本法所称违反国家 规定,是指违反全国人民代表大会及其常务委员会制定的法 律和决定,国务院制定的行政法规、规定的行政措施、发布的 决定和命令。”符合这一条件的法律规范有:计算机信息系 统安全保护条例计算机信息网络国际联网安全保护管理 办法互联网信息服务管理办法全国人民代表大会常务 委员会关于维护互联网安全的决定互联网上网服务营业 场所管理条例计算机软件保护条例全国人民代表大会 常务委员会关于加强网络信息保护的决定网络安全法 数据安全法个人信息保护法等,这些法律规范并未对 “侵入”行为进行明确定义。根据前述计算机刑事案件法律 解释第2条,符合我国非法侵入计算机信息系统的程序或 工具的认定标准需满足两个条件:一是避开或突破计算机信 息系统安全保护措施,二是未经授权或超越授权。其中,该司 法解释没有进一步释明“未经授权或超越授权,的内涵。(二)我国的司法实践在司法实践中,当事人起诉他人非法获取数据行为的依 据有刑法反不正当竞争法等。其中,针对自然人未经 许可获取他人数据的行为,当事人往往依据刑法第285 287条提起诉讼,不同法院对于何谓“入侵”行为与授权标准 有不同的处理。有些法院在计算机犯罪案件中不会详细解释 “入侵”“未经授权或超越授权”的具体内涵,仅使用“未经授权 或超越授权”的概念。有些法院在阐释判决理由时,则将“避开 或突破他人计算机系统安全保护措施”的行为直接认定为“未 经授权”。例如在古某、李某提供侵入计算机信息系统工具案 中,法院认为涉案“水滴子”软件破解了前端“翼支付"APP软件 的加密算法和通信协议,实现了通过伪造手机型号、手机 IMEI号、按照“翼支付”底层通信协议进行虚假的数据加密等 方式,绕开了天翼公司的安全防护措施,最终实现“嫄羊毛”诈 骗功能,因此该“水滴子”软件具有避开或者突破天翼公司开 发的“翼支付"APP软件以及架设的后台计算机信息系统的安 全保护措施,且未经授权非法获取天翼公司后台计算机信息 系统服务数据的功能,应当认定为专门用于侵入计算机信息 系统、非法获取计算机信息系统数据的工具。还有些法院将 企业规章制度要求作为授权与否的标准,例如在龚某等非法 获取计算机信息系统数据案中,法院对“超越授权”进行解释, 认为“被告人的行为首先客观上超越了被害方的授权范围,主 要原因是被害公司允许员工使用公司内部的账号和密码,但 公司明令禁止员工擅自出借账号、密码,被告人龚旭将账号、 密码、token令牌等提供给非公司员工使用,虽然本案中被告 人采取了相对温和的手段,但却符合超越被害公司的授权范 围获取计算机信息系统数据这一行为本质,因此应认定为侵 入。从我国的司法裁判可以发现,大部分法院在审理相关案 件过程中并没有对“未经授权或超越授权”进行解释,有些法 院尽管进行了解释,其仍然是以“行为人是否破坏或规避他人 计算机的安全保护措施”来解释"授权”,法院的裁判更多是以 结果为导向来认定行为人授权与否。尽管这一裁判导向尚未 在类似案件中引起过多争议,但随着我国数据获取案件纠纷 的增加,特别是何为“计算机安全保护措施”本身已经引起争 议,“以是否规避或破坏他人计算机安全保护措施”作为确定 入罪标准将会产生诸多问题。在企业之间的数据获取纠纷中,我国仅有少量案件适用 刑法,当事人往往以反不正当竞争法为主要依据提起诉讼。 例如在“饭友APP抓取微博数据案”中,一审法院认为,根据 “饭友''App中展示的微博信息情况,可以认定复娱公司系直 接抓取并展示微博后台数据;该行为使"饭友''App用户无需 注册或登录微博帐号即可查看微博全部内容,影响微博用户 协议的履行,破坏微博数据的展示规则,且对微博的部分内 容构成实质性替代,分流了微梦公司的潜在用户,妨碍、破坏 了新浪微博的正常运行,违反了反不正当竞争法第12条 的规定,构成不正当竞争。而在深圳市腾讯计算机系统有限 公司等诉浙江搜道网络技术有限公司等不正当竞争纠纷案 中,原被告双方主要争议点在于涉案数据内容的法律属性问 题,并未关注被告获取数据行为的合法性。经过对我国相关 案件的检索可以发现,在企业之间的数据纠纷中,早期被抓 取方会要求数据抓取方对其非法获取行为承担刑事责任,而 近几年的案件中,数据抓取方抓取数据前的“访问”行为并没 有得到当事人的重视,法院也在“不告不理'的原则下,不予阐 释数据抓取方的“访问”行为是否合法,仅分析数据抓取方的 数据使用行为。三、网络空间“访问”的内涵(一)网络空间“访问”内涵的争议“访问”行为主要发生于互联网空间,我国法律对之尚未 有明确定义,而美国各州法律在规制计算机滥用行为的早期 则已经对“访问”进行定义,但内涵较为宽泛,例如美国参议员 RibiCoff在1977年提出的具有影响力的“联邦计算机系统保 护法案”将“访问”定义为,“接近、指示一台计算机、计算机系 统或计算机网络,与一台计算机、计算机系统或计算机网络 进行通信,将数据存储于一台计算机、计算机系统或计算机 网络,从一台计算机、计算机系统或计算机网络检索数据等 使用计算机、计算机系统或计算机网络资源的行为。“基于此 种解释,在1993年State v. Riley案中,被告RiIey通过随 机猜测密码的方式对西北电信公司的计算机进行重复拨号, 以期获得正确的密码来拨打免费长途电话,法院认为被告通 过“反复尝试连续输入随机的6位数字来发现访问码,这构成 了接触'计算机或'使用计算机资源'的行为'',Riley的行为符 合法律对“访问”的定义。而在1996年State v. AIlen案中, 堪萨斯州最高法院并没有接受“访问”的广义解释,而是认可 韦氏词典对“访问,的定义,认为“只有获得或利用的自由或能力”才构成“访问”,因此,只有在被告Alien越过西南 贝尔公司设置的最初障碍并输入适当的密码,才能说被告具 备使用西南贝尔公司计算机或获取某些东西的能力。尽管 Riley案和Alien案的案情基本相似,但法院却形成两种完 全不同的裁判结果。OrinS. Kerr教授认为致使法院形成两 种不同裁判结果的主要原因在于法院对计算机的认识不同, 在Alien案中,法院将计算机看作是一个虚拟空间,访问计算 机就是进入这个虚拟空间的内部;而在RiIey案中,法院则将 计算机看作一种物理机器,访问计算机就是向这台机器发送 通信请求。在此后的一些计算机案件中,即便有的法院接受 了 Alien案中关于“访问”的解释,对具体事实的认定也存在 差异。有的法院采用AIlen案的虚拟空间视角,认为“仅仅是 进行计算机端口扫描并没有访问计算机,,“用户查看网站登 录界面并不涉及是否需要授权访问的问题有的法院则认为 “当某人从他或她自己的电脑发送电子邮件信息,然后该信息 通过许多其他电脑传输,直到邮件到达目的地,发送者正在 利用所有这些电脑,因此某人,访问了这些电脑。“(二)网络空间“访问”释义在对互联网相关问题的研究过程中可以发现,立法和司 法部门都在不同程度地尝试通过应用物理世界的规则进行 立法或裁判,例如我国将互联网中的个人信息问题纳入人格 权益予以保护,我国刑法规定非法进入计算机的行为为“入侵” 行为;美国法院早期采用传统的禁止入侵、入室盗窃以及偷 窃等法律规范处理互联网领域的非法行为。对“访问”内涵的 考察,其本质是如何看待互联网或者计算机信息系统,即我 们应当将其假设为空间还是财产,如果是空间,则对于该空 间存在进入与否的问题,若是财产,则存在接触与否的问题。 从空间的角度,互联网应当是开放的,网络信息应当是自由 流动的,需要确定私有与公有的界限;从财产的角度,则每个 网站(服务器、数据库以及网页显示组成)本身属于特定主体 的私有财产,这时候他人发送信息请求这一行为本身就构成 对财产的接触。L互联网数据传输的技术架构所谓因特网(Internet)是由数以万计的计算机网络通 过数以万计的网络设备相互连接而成。计算机网络则是利用 通信设备和通信介质,将地理位置不同、具有独立工作能力 的多个计算机系统相互连接,并按照一定通信协议进行数据 通信,以实现资源共享和信息交换为目的的系统。一个完整 的计算机网络包括计算机系统、网络设备、通信介质和通信 协议。互联网在技术层面仅是一种新型的数据信息交流媒介。 尽管可以用“漫游”“购物”“冲浪”等术语形容参与互联网的活 动,似乎我们已经“置身”于互联网中,但实际情况却并非如此。 互联网的主要功能在于数据信息的传输,其与电视、广播的 功能具有相似性,但互联网突破了电视、广播单一数据信息 传播的局限性,能够实现多台计算机之间数据信息的实时交 互流通。从技术上可将互联网数据信息传输过程分为三个阶段: 第一阶段,数据需求方(客户端,client)发送数据请求,请求 的内容包括请求的方式、请求的统一资源定位符(URL)、请求 头、请求体。其中,请求的方式是指获取数据的方式(get或 者post方式),请求的统一资源定位符是指想要获取的其他 网站的何种数据,请求头是指让被访问网站服务器能够知道 获取数据的访问源是谁,被访问网站可以通过请求头来识别 请求数据的是用户还是抓取程序。请求体根据请求的不同方 式存在差别,若请求的方式是get,则请求体就是URL;若请求 的方式是post,则请求体就是具体数据。第二阶段,目标网站 (服务端,server)获取响应内容并解析。目标网站服务器接 收到其他网站的请求后,会分析请求,根据发送的请求作出 响应。若被访问网站数据库中存在请求的数据,则显示200, 表示请求成功;若被访问服务器未发现请求数据,则显示404, 表示文件不存在;若请求的数据需授权访问,则显示403,表 示无权限访问;若被访问网站服务器未反应或者服务器故障, 则显示502,表示服务器错误。第三阶段,数据需求方(客户 端,client)保存获取数据。在请求成功的情况下,被访问网 站的服务器根据请求将数据发送给请求网站,获取的内容数 据一般是网页源代码,包括网页超文本标记语言(HTML)、图 片、视频、二进制数据等。2 .数据需求方“访问”他人网站的判断标准通过对互联网数据传输的技术架构进行分析可以发现, 考虑数据需求方是否访问目标网站的时间节点有两处:第一, 数据需求方所发送的数据请求到达目标网站服务器之时;第 二,数据需求方接收到目标网站所反馈的数据信息之时。对于第一个时间节点,数据需求方的数据请求到达目标 网站,其确实已经接触了目标网站的服务器,这也是美国法 院在RiIey案中的裁判依据。如果认为数据需求方的请求到 达目标网站的服务器就构成“访问”他人计算机,那么数据需 求方的数据包(发送的数据请求一般是作为一个数据包在计 算机系统内部传送的)不仅访问了目标网站,也访问了所有 存在于这条通信线路上的设备。那就意味着数据需求方不仅 需要征得目标网站的授权,还需要征得所有计算机通信系统 中的其他设备或产品供应商的授权,这显然不符合实际情况。 因此,将计算机类比为财产的观点无形中增加了沟通成本, 违背互联网高效、便捷的基本原则,不能将数据需求方的数 据请求到达目标网站认定为“访问”目标网站。从上述分析可知,数据需求方向目标网站发送数据请求 并不构成对网站的访问,那么目标网站向数据需求方反馈数 据,是否证明数据需求方构成“访问”? 一般情况下,数据交互 发生在目标网站接收到数据请求后的反馈阶段,在这一阶段 目标网站对于他人接触或获取数据设置的要求不一,主要包 括:第一,未设置任何接触或获取数据的要求。数据需求方能 够直接获得请求数据,并可任意复制使用所获数据;第二,设 置接触限制。目标网站反馈所请求数据时会要求数据需求方 进行注册登记、填写验证码或者输入用户名和密码,严格限 制接触数据的主体;第三,设置获取限制。目标网站会让数据 需求方接触所请求数据,但会限制数据需求方对数据的获取, 例如禁止复制、转发等。第四,既设置接触限制也设置获取限 制。有些网站为了过滤“网络机器人”或者防止他人对数据信 息的传播,会同时设置接触和获取限制。我们使用“访问”一词来形容互联网领域数据获取的前提 条件,其实就已经假定互联网是一个虚拟空间,尽管由众多 计算机网络组成的互联网从技术层面看与我们所熟知的空 间概念存在差别,但从空间的角度理解互联网内部的操作规 则具有一定的参考价值。基于这一假设,在第一种情况下,数 据需求方与目标网站之间的关系就类似于消费者敲商店的 门,向店主表明自己的需求,店主发现所需商品属于公众可 自由获取的,则店主会将商品所属区域的控制门打开,让消 费者选取和使用所需商品。在第二种情况下,目标网站认为 所请求数据属于具有特定身份的主体才可以接触的,其就会 在反馈请求前查验身份。这就类似于消费者敲商店的门,向 店主表明自己需求后,店主发现所需商品属于特定身份者才 能购买,这时候店主会要求核对消费者身份信息,满足身份 条件后,店主同样会向消费者开放商品所在区域。在第三种 情况下,目标网站对于数据需求方接触数据的身份没有限制, 反而约束了他人对数据的使用。这就类似于消费者敲商店的 门,向店主表明自己需求后,店主虽然向消费者开放商品所 在区域,但是店主在每个商品上安装了保护罩,只有满足特 定条件,消费者才能移除保护罩获取商品。在第四种情况下, 目标网站不仅认为所请求数据属于具有特定身份的主体才 可以获取,还对数据使用设置条件。在此种情形下,消费者不 仅需要向店主表明身份,经过店主的身份查验方能进入特定 区域,而且所需商品同样被安装了保护罩。通过对上述四种情形的描述可以发现,数据需求方向目 标网站发送数据请求的时候其实就是敲目标网站的“门'',这 个“门”就是目标网站的服务器;在目标网站的服务器接收到 数据请求后,会对请求形成一个反馈,这种反馈能够让数据 需求方“看到”数据,即“接触”数据,这时候数据需求方才能被 认为“访问”了目标网站。正如Orin S. Kerr教授认为使用者 通过用户名和密码登录网站后能够收集或获取网站相关信 息方为“访问”,即网站“建立了 一个认证要求,比如密码门,创 建了必要的屏障,将网络上的开放空间和封闭空间分隔开来”, 用户通过认证要求后才构成“访问因此,互联网领域的“访 问”标准应当是数据需求方可以“接触”数据。四、网络空间的“授权”标准(一)现有网络空间“授权”标准网络空间“授权”标准之争源于美国数据纠纷中当事人较 常援引的法律计算机欺诈与滥用法案(Computer Fraud and Abuse Act,简称CFAA),美国法院在审理数据纠纷案件 中,判断行为人的行为是否符合“授权”的标准一直在转变,尚 未统一。本文以美国法院不同时期所形成的“授权”裁判标准 展现“授权”标准形成的复杂性。美国法院在审理计算机案件之初,并不认为“授权”一词 存在任何争议,反而认为“授权”的含义清晰且明确。例如 1991年的U.S.诉MorriS案,Morris利用计算机传输、接收 电子邮件和程序的方式传播蠕虫,以获取另一台计算机的用 户信息,第二巡回上诉法院认为MOrriS行为超越授权的关键 在于其传播蠕虫的行为与使用计算机的传统功能不相符。同 时,地方法院认为没有必要向陪审团提供“授权”的定义,第二 巡回法院同意地方法院的观点,认为“authorization”这个词 是常用的,没有任何技术上的或含糊不清的意思,法院没有 义务指示陪审团解释它的意思。然而,随着企业雇员对雇主 机密信息的不正当使用行为所引发的数据纠纷频增,为解决 雇员非法使用计算机信息的行为,雇主企图将CFAA作为规制 的依据,这时候有关“授权”内涵的解读才逐渐产生争议。美国 法院在解释“授权”时形成了两种不同观点:一种是以美国第 一、第五、第十一巡回法院为代表的广义的“授权”,另一种 是以美国第四和第九巡回法院为代表的狭义的“授权1.广义“授权”理论所谓广义的“授权”是指一旦雇员获取信息后,其使用信 息的行为与雇主利益相违背,则雇员的授权即被终止,这时 候雇员的访问行为就是一种“未授权”行为。因此,坚持此种观 点的法院往往认为CFAA能够规制雇员滥用信息的行为。法 院创造性地采用代理理论、忠诚义务以及合同理论,产生了 以使用为基础的认定标准。(1)忠诚理论忠诚理论是指只要雇员表现出对雇主不忠,即便其仍然 享有技术授权,他的授权也是终止的。例如在Shurgard Storage CenterS 诉 Safeguard Self Storage 案中,原被告 是自助存储业务的竞争对手,被告通过挖走原告重要雇员的 方式获取原告的信息,其中涉及原告前雇员使用原告的电脑 向被告发送涉及原告信息的电子邮件。法院认为,根据CFAA 的规定,当前雇员已经成为竞争对手的雇员时,其就丧失了 访问前雇主计算机的权利。(2)合同理论合同理论是指基于合同获得授权,即一个人获得或者利 用信息违背了一个书面的政策,例如保密协议、工作场所行 为规则或者服务协议条款,那么即使他技术上是被授权,其 也违背了 CFAA规定的授权使用。在2001年EP Cultural Travel BV诉Explorica公司案中,第一巡回法院认为当雇 员帮助雇主的竞争对手获取专有信息,其就违反了与雇主的 机密协议,这时候不忠诚的雇员就是超越授权进入的行为。 该案判决结果已被2021年Nathan VAN BUREN诉U. S.案推 翻,美国最高法院认为警察在执法部门的计算机数据库中进 行车牌检索并以此换取金钱的行为没有违反CFAA,理由在于 享有授权访问权利但获取信息具有不正当目的的人不属于 CFAA监管主体。CFAA监管的主体是那些从电脑内的特定区 域(例如档案、文件夹或资料库)获取信息,而他们的电脑无 法访问这些区域。(3) “预期目的”理论第五和第十一巡回法院还采用了 “预期目的”理论,这个 理论和合同理论相类似,但是更宽泛。法院认为即使他人使 用信息没有违背书面政策,其也有可能构成对CFAA的违反, 即法院通过某些公司政策的潜在目的去决定雇员是否违背 或者超出技术授权访问。例如2010年United States v. John案,第五巡回法院认为当雇员基于其他目的进入计算机 使用雇主的信息实施欺诈,那么雇员的行为就是“超越授权的 进入“;在United States v. RodrigUeZ案中,第H 巡回法 院认为当雇员以非商业的理由进入信息系统是一种超越他 的授权的进入。这些观点都是美国法院对“授权”的早期理解。2 .狭义“授权”理论所谓狭义“授权”理论是指CFAA所规定的“未授权”仅针 对“访问”行为本身,不延展至“使用”行为。例如在2012年 United States v. NOSaI案中,一个猎头公司的雇员使用其 访问权限进入雇主的数据库以获取公司机密信息,并将获取 的信息发给之前的雇员,获取信息的雇员们都知道之前的雇 员正在成立一个竞争公司。第九巡回法院区分了“接触限制” 与“使用限制”,认为“超越授权接触“不能扩展至对“公司使用 限制”的违反。现雇员是通过有效的认证方式进入公司数据库, 尽管他们最终使用信息的目的不符合他们被授权进入的目 的,但是其拥有正确的授权,并没有违反CFAAo在WEC Carolina Energy Solutions LLC 诉 Miller 案中,第四巡回 法院否定了代理理论,认为雇员下载雇主的机密信息,将该 信息通过邮件的方式发送到个人账户,并将该信息提供给雇 主的竞争对手,雇员的这种行为无需承担CFAA责任。在2013 年JBC Holdings NY LLC诉Pakter案中,法院认为狭义的 授权进入的解释更具有说服力,当雇员已经被授权进入雇主 的计算机,而滥用这种进入,那么雇员要么违反使用条款,要 么违反对雇主的忠诚义务,其并没有超越授权或者未经授权 的行为。法院对“授权”进行普通、现代以及一般的意思解释 为“正式的保证或处罚”,因此当雇员并没有允许如此行为的 时候才构成未经授权的进入计算机。这一直白的定义仅是对 进入的允许而非使用的允许。法院认为CFAA并未涉及雇员 被允许进入后的滥用或侵占信息的行为。同时,若将CFAA条 款的定义取决于雇员被允许进入获取后使用信息的目的(正 如第七巡回法院所做的),会将国会并未强加的主观目的要 件加入这一条款。3 . “授权”理论的最新发展(1)技术措施标准随着美国数据抓取案件的增多,数据抓取案件中的当事 人也积极援引CFAA,这时候法院在考察是否可以采用CFAA规 制数据抓取行为时就比较谨慎,更多考虑数据抓取方是否回 避或破坏了他人设置的技术措施。例如2010年Cvent, Inc. 诉Eventbrite, InC.案中,法院支持了被告的主张,认为除 非原告采取了积极且有意义的保护措施,否则任何人(包括 直接商业竞争者)都可以任意搜索以及获取原告的信息。(2)撤回理论美国法院在坚持“技术措施”标准一段时间之后,在相关 案件的审理中又转向了“撤回理论"(revocation theory),即 法院认为不论当时数据抓取方是依靠技术、基于使用或者基 于访问获得的授权,只要数据抓取方允许访问的权限被撤回, 那么数据抓取方就是“未经授权''的行为。2016年美国第九巡 回上诉法院在审理 FaCebOOk, InC.诉 POWerVentUres, Inc. 案和United States诉Nosal案中,认为未经授权是一个模 糊的非技术性条款,考虑该条款简单和一般的含义是指未获 得许可访问了一个受保护的计算机。授权与否和网站的使用 条款没有直接关系,因此可以简单地推论:一旦授权被明确 撤回,那么使用者就不能通过第三方获取访问他人计算机这 种“走后门”(the back door)的方式来绕过法条的规定。这一 “撤回理论”在此扩大了被抓取网站的权限,能够让被抓取网 站根据自己的意愿确定数据抓取方是否获得“授权美国法 院有关“授权”解释的争议到这里还远远没有结束,在hiQ Labs, InC,诉Linkedln COrP.案中,虽然领英向hiQ发送了 禁止抓取的通知,但加利福尼亚州北区法院仍然支持了 hiQ 的抓取行为,要求领英取消阻止hiQ抓取的技术措施。同时, 该案的上诉审法院(第九巡回上诉法院)认为,网站对公众访 问是开放的情况下,CFAA “未经授权”的概念并不适用。通过美国法院对CFAA适用中“授权”内涵的不同态度可 以发现,在互联网领域,美国法院判断行为人“授权”与否的关 键不在于技术上访问他人计算机的可行性,而在于行为人访 问的方式和目的。在传统的物理世界,一个人的行为是否构 成一种非法入侵依赖于我们共享的一套社会标准,这套社会 标准告诉我们“直觉上,什么时候进入他人财产范围是禁止的, 什么时候又是允许的因此,在任何情况下未获得允许进入 私人房屋的行为是不允许的。相反,在白天将未上锁的商铺 的门打开可以推定为不是非法侵入,因为“共同的理解是商店 所有者一般对于潜在的消费者来说都是公开的生活经验和 共同的社会实践创造了对不同类型的空间允许什么样进入 的共同理解。那么,在没有实体边界的网络领域,是否也存在 这样一套准则,能够规范行为人的“访问”行为?(二)“授权”的基本要义通过上文的分析可知,“访问”的标准为“是否接触数据、 那么“授权访问呐涵的理解也应当从数据接触的角度予以考 虑。数据是否可接触涉及两个维度的问题:一是物理上数据 能不能被接触,二是法律上数据可不可以被接触。数据能不 能被接触是技术问题,技术水平的发展决定了数据被他人接 触的可能性;数据可不可以被接触是法律问题,法律规范决 定了数据被他人接触的范围。数据能被接触不代表数据可被 接触,技术的可操作性与法律的容忍性并不等同。因此,考虑 数据接触是否需要获得授权也应当从技术和法律这两个维 度予以考量。1 .技术上的授权为防止用户的非法或越权访问,数据控制者会采取技术 措施,设置“访问控制:所谓访问控制是指“主体依据某种控 制策略或权限对客体本身或是其资源进行的不同授权访问”, 主要包含主体、客体和控制策略三个要素。基本的访问控制 策略有:(1)入网访问控制策略,往往由网络信息服务提供商 实施,决定用户是否可以连接互联网;(2)操作权限控制策略, 由被访问的计算机系统确定,可以决定哪些用户或用户组可 以访问哪些文件、目录及设备,以及执行何种访问操作等;(3) 目录级安全控制策略,由被访问计算机系统确定,可以决定 用户对目录中的文件以及下属子目录的访问权限;(4)属性 安全控制策略,根据被访问的资源属性进行分类,确定不同 的被访问权限,这是在操作权限控制基础上更高级别的网络 安全保障措施;(5)网络服务器安全控制策略,即规定用户通 过控制台加载或卸载系统模块或安装和删除软件的权限;(6) 网络监测与锁定控制策略,主要针对网络非法侵入威胁的动 态监控、检测以及报警,对非法账户进行自动锁定等;(7)网 络端口与节点控制策略,即在网络端口设置自动回复器和静 默调制解调器,并以加密形式来识别节点身份,防止他人冒 充合法用户或黑客攻击。在众多的访问控制策略中,若目标 网站设置了操作权限控制、目录级安全控制以及属性安全控 制,那么数据需求方要想接触数据则需经过目标网站的授权, 此处的“授权”是指目标网站通过对访问控制规则的代码设计 允许数据需求方访问特定数据。这一技术层面的授权与否对 于数据需求方来说影响较大,主动权往往掌握在被请求方的 手中,数据需求方较为被动,一般没有获得特定授权,数据需 求方就不能接触特定数据。2 .法律上的授权法律上的授权一方面来源于目标网站设置的协议,另一 方面则源于特定属性的数据。目标网站在数据需求方接触数 据之前,会设置一些协议,例如企业内部的规章制度,用以约 束企业内部人员;网站首页的用户协议或者网页代码中内嵌 的robot, txt文件,用以约束网络用户。就企业内部的规章 制度而言,其是企业内部员工一致意志的体现,员工加入企 业就表明接受企业规章制度的约束,那么企业规章制度中确 定的接触数据的权限要求对员工具有法律效力,企业员工要 想获得职权范围外的数据,则需要获得企业的授权。但在数 字化环境下,若企业未采取访问控制的技术限制,则企业内 部的规章制度对员工的访问行为只具有事后追责的功效。同 样地,在实际操作中网站设置的用户协议或网页代码中内嵌 的robots, txt文件也不能限制用户对数据的接触,但数据需 求方在进入网站前知晓用户协议或robots, txt文件的存在 并且继续点击或浏览网页,则理论上用户协议与robots. txt 文件能够作为目标网站与数据需求方之间的有效合同或条 款,若数据需求方属于用户协议或robots. txt文件中规定的 无权接触数据的主体,则数据需求方应当获得目标网站的授 权。除了存在有效合同或合同条款所导致的法律授权外,数 据需求方还有可能因为特定的数据属性而需获得授权。首先, 个人敏感数据。个人敏感数据一般指心智正常之普通人不欲 向他人展示之生理特征或情感特征等,属于人类高度原始的 特征,一旦被披露会引起人们的尴尬和羞耻感。个人敏感数 据作为一种不愿意让他人知晓的数据,具有“私密性”的基本 特征。这部分数据与人的尊严以及“人之所以为人''的基本伦 理价值有关。因此,对于个人敏感数据的接触应当要获得数 据主体以及数据控制者的授权。其次,构成作品或商业秘密 的数据。数据构成作品的情况下,数据控制者会采取接触控 制措施,法律明确对接触控制措施的保护,这就说明接触他 人构成作品的数据需要获得数据控制者的授权。另外构成商 业秘密的数据本身是被数据控制者采取了保密手段,在这种 情况下商业秘密的价值就在于其秘密性,因此,任何想要接 触商业秘密数据的主体都应当获得数据控制者的授权。最后, 国家核心数据。在社会发展过程中,政府掌握了大量基础性、 关键性的数据,在数据日益成为核心竞争要素的情况下,国 家应当将这些数据作为一种社会公共资源予以公开,让社会 公众充分利用。但一些关系国家安全、国民经济命脉、重要 民生、重大公共利益的数据则需要严格监管,数据控制者应 当建立完善的访问机制,任何人都不得在未获数据控制者授 权的情况下接触数据。法律上的授权机制对于数据需求方来 说是一种法律威慑,仅能事后追责,并不能在事前预防他人 接触数据。通过上述分析可以发现,美国法院在引用CFAA审理计算 机滥用案件时其实就是从技术和法律的不同角度理解授权 内涵,这就导致“授权访问”内涵的理解不能形成一致意见。 “授权访问”作为刑事入罪的要素之一,对于其内涵的解读应 当保持谨慎、谦抑的态度,需要确定统一的“授权”标准。3 . “授权”标准:数据属性技术授权与法律授权本身在实际操作中并非绝对分离, 相反,两者往往是并存的,在这种情况下,如何确定他人未经 授权的行为属于刑法应当制裁的非法入侵行为而非民事侵 权,需要一个明确的判断标准。首先,以数据控制者是否设置访问控制来确定"授权''标 准会将刑事裁判权赋予数据控制者,泛化刑事制裁。从技术 角度来说,访问控制能够拦截数据需求方接触数据。为管理 需要、收集他人个人信息或者排除竞争对手等目的,数据控 制者都有可能采用访问控制策略,这已经成为信息技术时代 较为常见的现象,但将这种商业策略作为刑事判定标准,对 于一般的数据需求方来说会过于严苛。若确定这种“授权''标 准,无疑为数据控制者创设了绝对垄断权,且这种权利范围 是由数据控制者自己确定,这会限制社会公众的信息使用自 由。因此,单纯地认为数据需求方规避或者破坏数据控制者 设置的访问控制措施就属于“未授权”行为,会造成主体间权 利失衡,扩大刑事处罚范围。其次,以数据控制者设置的协议内容作为“授权”标准,则 会将违约行为与刑事制裁标准相混淆。一方面,数据控制者 采用内部规章制度规范员工接触数据的行为,是为了方便企 业管理,属于内部规约。若员工违反规章制度接触数据,应当 属于违反劳动合同或者企业规章制度的违约行为,将此种违 约行为认定为刑事违法行为,会将私法上违法行为的认定标 准应用于公法领域,造成轻罪重判,属于法律对私人生活的 不当干预。另一方面,数据控制者在网站首页设置用户协议 或者嵌入robots, txt文件约束数据需求方的行为,在满足特 定条件下,这些协议或条款能够产生合同法上的约束力,数 据需求方应当按照协议要求行事。同时,由于在数据成为重 要资源的情况下,数据控制者相较于数据需求方而言处于优 势地位,数据需求方面对这些协议内容只能接受,否则其将 丧失数据接触和使用的机会。然而,这些协议本身是一种格 式合同,更多地体现数据控制者的意愿。若以协议内容为“授 权''标准,则同样会存在将刑事制裁权交予数据控制者之嫌, 另外也会将普通的民事违约行为定性为刑事违法行为。最后,以数据属性确定是否应当获得“授权”的标准,符合 处罚计算机犯罪的立法本质。CFAA的立法目的在于保护特定 的数据安全,作为一部“反入侵法”,其关注的重点应当是特定 “空间”内的“财产”安全。因此,判断特定的数据是否属于应被 保护的对象是判断他人“访问”行为是否违法的关键。同时,以 数据属性确定是否应当获得“授权”,可以防止数据控制者滥 用权利,限制公众对数据的接触和使用,阻碍数据自由流动, 扰乱市场有效竞争。CFAA产生之初是为了保护特殊类型的数 据,防止他人对这些数据的非法使用,因此对这些数据的接 触行为予以规制。确定何种授权标准就意味着数据使用者与 数据控制者的行为界限,以协议或技术为中心的授权标准更 多地体现数据控制者的意志,存在限制数据自由流动、形成 数据孤岛的风险。以数据属性为中心的授权标准则将判断的 对象转移到客观数据本身,符合法律对特定数据权益保护的 根本追求,因此,这种授权标准具有理论价值和现实意义。五、我国网络空间访问规范的反思对“授权访问”内涵的限缩或宽泛解释能够引导社会公众 在网络空间的行