美国第九巡回上诉法院周一裁定,从公共网站抓取数据并不违反美国的《计算机欺诈和滥用法案》(Computer Fraud and Abuse Act,CFAA)。
事件起因于微软旗下全球最大的职业社交网络平台领英(LinkedIn)和小型数据分析公司 HiQ 之间的诉讼。一直以来,HiQ 都依赖于爬取 LinkedIn 用户在网络上可公开访问的信息来实现商业模式。但随着越来越多的企业开始爬取 LinkedIn 的数据,该公司开始试图采用一些技术阻碍手段及法律手段,来禁止竞争对手的数据爬取行为。
2017 年 LinkedIn 正式向 HiQ 发出禁止通知函,称其“未经许可和未经授权”的数据抓取行为涉嫌违反 CFAA;同年,HiQ 在加州向地区法院提起诉讼,申请禁止 LinkedIn 阻止其进行数据爬取的行为。审理此案的地区法官向 HiQ 授予了初步禁令,禁止 LinkedIn 在案件进行期间干扰 HiQ 的数据抓取。他认为 CFAA 中的法律条规(将“未经授权”或以“超出授权访问权限”的方式访问受保护计算机定为犯罪),并不适用于从 LinkedIn 网站收集公共数据的行为。
LinkedIn 不服并于 2019 年提起了上诉,然而仍未改变结果;美国第九巡回法院维持了地区法院的裁决。LinkedIn 又于 2020 年继续向美国最高法院提出上诉,要求最高法院审查第九巡回法院的裁决。该公司认为,对网络抓取实施技术障碍并同时发送停止和终止信函应符合授权机制的要求。
LinkedIn 的律师在公司递交给最高法院的请愿书中写道,“根据第九巡回法院的规则,每家拥有网站公共部分的公司 —— 从 Ticketmaster 和亚马逊这样的在线零售商到 Twitter 这样的社交网络平台,都将暴露在搭便车者(free-riders)部署的入侵性机器人面前,除非他们将这些网站完全置于密码屏障之后。但如果发生这种情况,这些网站将不再被搜索引擎索引,从而减少人们通过互联网获取信息的途径。”
多年来,CFAA 一直被批评为没有明确界定"未经授权"和"超过授权访问"。2021 年 6 月3日,最高法院在一个相关案件“Van Buren v. United States”中缩小了该法的范围。高等法院在 Van Buren 案中表示,根据 CFAA,仅违反服务条款并不符合"超出授权访问"的条件;但对于基于凭证的 gating 是否是确定"未经授权"访问的唯一方法,其仍尚未明确。
两周后,最高法院将 HiQ 诉 LinkedIn 案发回第九巡回法院,根据 Van Buren 案对 CFAA 责任的重塑情况进行重新审议。然而在此背景下,上诉法院现在重新审视了其先前的决定后,依旧再次得出了与两年前相同的结论。
第九巡回法院的裁决指出,“公共网站的一个决定性特征是,其公开的部分缺乏访问限制;相反,这些部分向任何拥有网络浏览器的人开放。换句话说,将‘gates’类比用于托管公开网页的计算机,该计算机一开始就没有设置任何 gates 来 lift 或 lower。因此,Van Buren 强化了我们的结论,即‘未经授权’的概念确实不适用于公共网站。”
不过这项裁决并没有解决 HiQ 与 LinkedIn 的争端,它只是阻止了 LinkedIn 阻止 HiQ 收集公共数据以及根据 CFAA 对分析企业提出索赔。与不公平竞争、隐私和州法律有关的问题还有待解决。
LinkedIn 的一位发言人在发送给外媒 The Register 的一份声明中表示,该公司打算继续诉诸于法庭。“我们很失望,但这只是一个初步裁决,案件还远未结束。我们将继续为保护我们的会员控制他们在 LinkedIn 上提供的信息的能力而斗争。”