美國第九巡迴上訴法院週一,從公共網站抓取資料並不違反美國的《計算機欺詐和濫用法案》(Computer Fraud and Abuse Act,CFAA)。
事件起因於微軟旗下全球最大的職業社群網路平臺領英(LinkedIn)和小型資料分析公司 HiQ 之間的訴訟。一直以來,HiQ 都依賴於爬取 LinkedIn 使用者在網路上可公開存取的資訊來實現商業模式。但隨著越來越多的企業開始爬取 LinkedIn 的資料,該公司開始試圖採用一些技術阻礙手段及法律手段,來禁止競爭對手的資料爬取行為。
2017 年 LinkedIn 正式向 HiQ 發出禁止通知函,稱其「未經許可和未經授權」的資料抓取行為涉嫌違反 CFAA;同年,HiQ 在加州向地區法院提起訴訟,申請禁止 LinkedIn 阻止其進行資料爬取的行為。審理此案的地區法官向 HiQ 授予了初步禁令,禁止 LinkedIn 在案件進行期間干擾 HiQ 的資料抓取。他認為 CFAA 中的法律條規(將「未經授權」或以「超出授權存取許可權」的方式存取受保護計算機定為犯罪),並不適用於從 LinkedIn 網站收集公共資料的行為。
LinkedIn 不服並於 2019 年提起了上訴,然而仍未改變結果;美國第九巡迴法院維持了地區法院的裁決。LinkedIn 又於 2020 年繼續向美國最高法院提出上訴,審查第九巡迴法院的裁決。該公司認為,對網路抓取實施技術障礙並同時傳送停止和終止信函應符合授權機制的要求。
LinkedIn 的律師在公司遞交給最高法院的中寫道,「根據第九巡迴法院的規則,每家擁有網站公共部分的公司 —— 從 Ticketmaster 和亞馬遜這樣的線上零售商到 Twitter 這樣的社群網路平臺,都將暴露在搭便車者(free-riders)部署的入侵性機器人面前,除非他們將這些網站完全置於密碼屏障之後。但如果發生這種情況,這些網站將不再被搜尋引擎索引,從而減少人們通過網際網路獲取資訊的途徑。」
多年來,CFAA 一直被批評為沒有明確界定"未經授權"和"超過授權存取"。2021 年 6 月3日,最高法院在一個相關案件「Van Buren v. United States」中縮小了該法的範圍。高等法院在 Van Buren 案中,根據 CFAA,僅違反服務條款並不符合"超出授權存取"的條件;但對於基於憑證的 gating 是否是確定"未經授權"存取的唯一方法,其仍尚未明確。
兩週後,最高法院將 HiQ 訴 LinkedIn 案發回第九巡迴法院,根據 Van Buren 案對 CFAA 責任的重塑情況進行重新審議。然而在此背景下,上訴法院現在重新審視了其先前的決定後,依舊再次得出了與兩年前相同的結論。
第九巡迴法院的指出,「公共網站的一個決定性特徵是,其公開的部分缺乏存取限制;相反,這些部分向任何擁有網路瀏覽器的人開放。換句話說,將‘gates’類比用於託管公開網頁的計算機,該計算機一開始就沒有設定任何 gates 來 lift 或 lower。因此,Van Buren 強化了我們的結論,即‘未經授權’的概念確實不適用於公共網站。」
不過這項裁決並沒有解決 HiQ 與 LinkedIn 的爭端,它只是阻止了 LinkedIn 阻止 HiQ 收集公共資料以及根據 CFAA 對分析企業提出索賠。與不公平競爭、隱私和州法律有關的問題還有待解決。
LinkedIn 的一位發言人在傳送給外媒 的一份宣告中表示,該公司打算繼續訴諸於法庭。「我們很失望,但這只是一個初步裁決,案件還遠未結束。我們將繼續為保護我們的會員控制他們在 LinkedIn 上提供的資訊的能力而鬥爭。」