“hiQ Labs诉LinkedIn案上诉判决”中译文(DPO社群出品)
2019年9月9日,美国联邦第九巡回法院作出上诉判决:维持加州北区联邦法院就hiQ Labs诉LinkedIn案颁布的诉中禁令。经过DPO社群中热心同学的努力,美国联邦第九巡回法院所作的上诉判决中译文出炉了。现将译文序言贴出来。
译文序
2019年9月9日,美国联邦第九巡回法院作出上诉判决:维持加州北区联邦法院就hiQ Labs诉LinkedIn案颁布的诉中禁令[1]。本案中,hiQ Labs(以下简称“原告”)就雇员职业发展角度,为雇主提供基于数据的咨询服务;LinkedIn(以下简称“被告”)运营全球最大的职场社交网络,有超过5亿用户[2]。原告服务依赖于对被告数据的抓取。被告对自身网站爬虫协议有严格限制,仅限特定主体抓取。被告允许用户采取灵活的隐私设置,亦采取爬虫识别系统、黑名单等多种手段限制数据爬取。
2017年,大致与被告公开宣称计划推出与原告类似的服务同时,被告向原告发去警告函,要求原告停止爬取被告网站数据。原告遂于加州北区联邦法院以侵权妨碍等多种诉由起诉,并向法院申请诉中禁令,要求禁制被告限制其爬取数据各类行为。法院支持原告请求,颁布诉中禁令,被告遂上诉至联邦第九巡回法院。上诉法院维持禁令。后续,加州北区联邦法院将就本案实体问题作出判决。
此案具备多种意义上的重要性。其一,在数字经济日益勃兴的今天,爬虫既日益成为诸多企业经营模式的根本,又越发令部分握有数据的企业困扰。在相应纠纷频发这一大背景下,作为世界范围内数字经济的一极,加利福尼亚州内相关问题的走向,尤其值得关注[3]。又一,如下文所及,无论是在加利福利亚州或联邦第九巡回区层面,还是在联邦整体层面,就爬虫相关问题,现有结论并不一致。此处判决在很大程度上明确了第九巡回区对这一问题的取向。考察联邦层面时,第九巡回区如何判决,同样具备相当的权重[4]。实际上,在评论本案判决时,领域内知名学者Kerr直称本案“极其重要”、“事关重大”[5]。再一,本文在程序层面较为复杂,又同时涉及联邦法及州法问题,因而是展开相关问题背后复杂争论的绝佳视角。
由本案出发,本文结合加利福尼亚州及第九巡回区案例、其它巡回区内案例及部分重要研究,评述相关争论,并作更为宽泛的讨论。首先,文章从两方面出发,评论此处判决中容易被忽略、但又可能影响理解判决所及范围之处:一方面,这仅仅是一项针对“诉中禁令”的判决,并非分析各实体问题的决定性因素;另一方面,尽管各方特别关注《计算机欺诈与滥用法(Computer Fraud and Abuse Act, 以下简称CFAA)》的解释与适用,CFAA却并非法庭的直接切入点。
其次,文章将由三个方面讨论围绕CFAA相应条款的争议:合宪性,如何解释“授权(authorization)”这一争议表述,以及如何看待相应民事诉讼的损失数额门槛[6]。对第二方面,本文还将评论“使用协议”及“警告信”等手段在如此场景下可能具备的法律效力。文末总结将简要列举爬虫问题在美国法中可能涉及的其它诉由:既包括本案有所涉及的侵权妨碍、侵犯财产与不正当竞争,又包括暂未牵涉的侵犯知识产权与侵犯隐私。同时,还将简略讨论如此判决对互联网整体的影响,及最高法院对类似案件的调卷决定。
正文开篇前,还有三点需要提前说明。首先,本文仅着眼于此处事实,即企业间因爬虫抓取数据所致的民事纠纷。无疑,CFAA相关规条既适用于个体——如雇员或用户——获取企业数据所致争端,又适用于入侵企业计算机系统获取数据所致争端,还包含刑事责任条款。尽管在法律解释等层面,前述变体与此处问题确有一定相关,因分析变体可能需要相异的分析思路,并占据相当篇幅,此处不予涉及[7]。其次,爬虫包含的许多“技术”问题,常成类似争议的要点:这既包括法律层面的技术性问题,又包含字面意义的技术问题,还包括二者彼此交织所形成的难题。典例之一,即是至今尚未完全共识的“如何定义‘爬虫’或‘数据爬取’”。为避免太多岔出,又避免篇幅过长,此处忽略了许多“技术”问题[8]。后续,笔者将有专文予以阐述。再次,如前所述,与本案状况相近,其它类似案件常包含复杂的程序要素,及多种联邦法与州法诉由。这一点常影响相应判决的解释与后续适用,须予仔细辨析。
对判决范围的评论
判决中值得关切的第一个要点,是针对诉中禁令的判决与针对实体问题的判决,二者间彼此的联系与差异。尽管美国法律已经合并了普通法体系与衡平法体系,由两类体系各自生长的法律概念,之间并未完全弥合,诉中禁令即是体现之一[9]。作为衡平法体系下的救济,诉中禁令被称为“普通法无法给予足够救济”[10]时方可给予的、“非同寻常的”[11]救济手段。与以上说法相呼应,在申请诉中禁令时,原告需要承担对所有相关要素的举证责任[12]。同理,是否颁授诉中禁令,完全在于法庭的相机权宜[13]。具体到权宜的标准,在 2008年Munaf诉Geren案及2008年Winter诉Natural Resources Defense Council, Inc.案中,联邦最高法院重申了法院在颁授禁令时应当考量的四种要素:原告有一定可能(likely)在实体问题上获得法院支持[14];若不颁授禁令,原告有一定可能(likely)遭遇不可事后弥补的损害;衡平之考量对原告有利;颁授禁令有利于公共利益[15]。然而,在不同要素的位阶或权重等对具体适用法律而言相当重要的问题上,联邦最高法院并未给出明确而具体的答案[16]。
细化到此处判决,一方面,第九巡回法院就以上四因素展开了逐条分析;另一方面,在位阶及权重等问题上,法院采取了一种相对灵活的态度。在实体问题上,法院分别考虑了原告在“侵权妨碍”这一州法诉由上的法律依据,以及,被告由联邦法CFAA先占上述州法诉由这一点展开抗辩的法律依据。尽管法庭并未就两类依据作最终判断,此处判决仍然表达了以下观点:原告之诉由在实体层面“有极大辩驳空间(serious questions raised)”;被告之抗辩同样有极大辩驳空间。综合两阙结论,此处判决认为原告已达到第九巡回法院针对实体要素所采的有极大辩驳空间标准[17]。对不可事后弥补损害这一要素,如判决所述,因原告经营服务高度依赖由被告处所爬取数据,原告已达到前述“相当可能”标准。在衡平要素上,就双方各自主张的多种权益,法庭在一定程度上认可下级法院的结论:权衡各自多种主张,衡平考量之结论清晰地偏向原告一方。最后,在公共利益要素上,法庭同样认可了下级法院地结论——相应考量结果有利于原告。以上,又因第九巡回法院在诉中禁令问题中取“滑块式权衡(sliding scale)”——若其中一项因素特别有利原告,则原告在其它要素上需满足的要求将相应降低,考虑到几乎所有因素都有利原告,第九巡回法院维持下级法院判决。
因诉中禁令本身的法律性质及相关案例,以及第九巡回法院在诉中禁令各相关问题上采取的态度,对此处判决中分析,至少有以下三点评论。首先,对域外观察者而言,尽管诉中禁令这一救济手段在互联网场景下有其独特的重要性,法庭在实体问题上会采取的态度,同样非常重要。不过,在实体层面,如上所述,即便法庭颁授诉中禁令,这也并不意味着法庭必然在实体问题上支持原告,原因又有三种:首先,此处判决并未涉及所有实体问题。如判决所述,法庭仅复核双方在上诉状中提及的诉由及抗辩。至于侵犯财产、侵犯知识产权、侵犯隐私、不正当竞争等多项并未上诉的实体问题,仍有待下级法院判决;其次,原告在上诉所涉实体问题上获胜的概率,仅仅是考虑是否颁授禁令时,法庭所需考虑的四种要素之一。实际上,由于第九巡回法律采取平衡考量,“实体问题之外,诸多要素均有利原告”这一点,反而可能影响对法庭判断中实体问题层面有利原告程度的推断;最后,即便只考量获胜概率这一特定要素,法庭的分析也止步于“相当可能”这一层面,而未必蕴含对实体问题的终局判断。尽管,在部分案件中,针对实体要素的判断会成为判断法院最终观点的重要指标[18],然而,Wallace法官就本案发表的协同意见,在相当程度上驳斥了这种观点:此处判决中分析,只能对法院最终裁决问题提供“近乎于无的指引(little guidance)”[19]。
其次,原告诉求的特性,是可能影响此处判决、而又易于被忽略的因素之一。此处,原告申请的诉中禁令,可以被理解为要求维持发生纠纷前的原状:被告不得额外采取手段,阻挠原告获取数据。尽管并未纳入前述Munaf或Windsor案之分析范围,此处判决亦未着墨太多,从现有判例看,第九巡回法院及部分其它巡回法院更倾向 “维持现状(preserving the status quo)”的禁令诉求,而对“改变现状(changing the status quo)”之禁令诉求要求更高的举证标准[20]。再进一步,假使原告的禁令诉求不仅是要求维持现状,还要求被告采取更多行动,那么,除非原告能够说明“无论是法律层面还是事实层面,结论均明显有利(clearly in favor)于自身”,否则,禁令将不获批准[21]。因此,即便同属爬虫类案件,若禁令诉求发生此处相关的微妙变化,相关法律推理及结论,亦有可能一同发生变化。
最后,如果不同法院在颁授诉中禁令的标准上存在差异,那么,在以此处判决推测其它地域案件时,便需注意各法院在这一点上的差别。前面已然提到:尽管联邦最高法院已经申明四项需要考虑的要素,然而,在“各要素彼此位阶高低”及“各要素彼此权重大小”等关键问题上,最高法院并未给出明确答案。目前,对上述两点问题,无论是第九巡回法院的已有判例之间,还是在不同巡回法院判例之间,都存在明显差别。在第九巡回法院内部,既有认可此处“平衡原则”,认可四要素存在一定程度彼此替代的判例[22];又有反对“滑块式权衡”,要求原告证明全部四项要素的判例[23]。显然,如果采取后一标准,原告所需满足举证责任,将显著高于前者。此案之中,因第九巡回法院在四要素上均倾向支持原告,采取何种标准,未必会造成明显差异[24]。不过,如果事实有所差异,标准选取,可能对结论造成关键差异。第九巡回法院之外,针对诉中禁令,标准间的差异更为多样。譬如,第四巡回法院认为Winter案已然否定了此案所取的“滑块式权衡”标准[25]。第二巡回法院及第七巡回法院则认为:Winter案并未完全否定“滑块式权衡”标准,但又认为并非所有要素均可彼此相互替代[26]。在最高法院澄清此类分歧前,上述差异,都将在一定程度上影响此处判决外推的效力。
除诉中禁令本身的特殊性外,理解本案,尚需注意法庭讨论的是何种实体问题。在探讨原告依据州法提出的侵权妨碍诉由后,法庭进一步考虑:作为联邦法的CFAA是否先占前述州法诉由。通过分析CFAA的意图,并对CFAA中“未经授权”或“超出授权范围”的含义作较为狭窄的解读,法庭认为CFAA相应条款并未涵盖原告行为。在此基础上,法庭最终认定:对“CFAA先占上述州法诉由”这一点,存在极大的辩驳空间。诚然,对CFAA的分析是判决中最受各方关注部分之一,相关内容,仅仅是以相对间接的方式进入判决。尽管第九巡回法院在此处的分析,可以在相当程度上视作对CFAA的解释,然而,外推结论时,仍不可简单将其视为对相应实体问题的终局判决。同时,如下文所示,因各巡回区或各州对CFAA相应部分的解释存有明显差异,相应迂回讨论向他地推广的效力,还要再作一番仔细斟酌。
对CFAA相应部分的评论
作为在全美范围内适用、与爬虫类案件几近“如影随形”[27]的CFAA,是本案中双方核心争点之一,也是全美乃至各国观察者最感兴趣的部分。至少,相比基于加州宪法或其它部分州法的诉由,对加州之外法律人士而言,CFAA于切身利益更为紧要。法庭没有让各方失望:尽管稍有几分“迂回”,解释CFAA的部分占据此处判决的相当篇幅;同时,法庭于此处给出了颇为清晰的结论。
在评论法庭判决之前,有必要简述围绕CFAA的各项争议:首先,尽管本案未深入处理CFAA相应条款本身的合宪性,这一点正受到越来越多的质疑,并有重要案件于华盛顿特区法院待决。其次,就CFAA文本而言,对“未经授权”或“超出授权范围”访问“受保护的计算机”的行为[28],如果相应行为造成多于5000美元损失[29],则蒙受损失者可以提起民事诉讼,以获取赔偿或禁制令等救济。相应部分还规定了刑事责任[30]。在爬虫类案件中,围绕CFAA的争议,通常即围绕如何解释“授权”这一争议概念展开[31]。同时,对如何满足其中针对损失数额的门槛,各巡回区间也有显著分歧。以下首先讨论CFAA相应条款本身的合宪性,再评论争议概念,最后讨论损失数额部分的门槛。
在初审法院审理本案时,原告即已提出联邦宪法层面的根据[32]。简言之,如果对CFAA作宽泛解释,赋予类似被告的企业相当程度的控制数据的权利,那么,宪法第一修正案中关于言论的权利,可能受到严重阻碍。如果对CFAA作较狭窄的解释,则有可能避免CFAA与第一修正案之间的冲突。鉴于“回避原则”,法庭应本着尽可能避免宪法问题的原则解释法律,因此,法庭应对CFAA作狭窄解释。然而,由于“政府行为”原则的根深蒂固,除非被告企业与政府之间存在特定类型的联系,宪法第一修正案通常不适用于私人企业。因此,无论是初审法院还是第九巡回法院,都没有深入回应联邦宪法层面的问题。尽管存在相当数量的扩张第一修正案适用的呼声[33],考虑到相应判决突破过往原则的程度,对此应保持谨慎。
不过,即便在本案中体现不多,要充分把握CFAA,恐怕仍然难以脱离宪法问题。对这一点最好的说明,是同样正在展开的另一起诉讼。于华盛顿特区地区法院,美国民权自由联盟(American Civil Liberty Union,简称ACLU)已经组织发起诉讼,意在审查CFAA相应条款的合宪性[34]。在ACLU组织的诉讼中,原告是研究歧视问题的学者及非政府组织,被告是联邦政府[35]。据原告诉状称,由于CFAA相应条款的存在,若原告以假名账户或爬虫技术研究特定政府网站是否存在歧视问题时,将违反政府委托私人机构起草的网站使用协议,从而触犯CFAA中相应条款,导致需要承担刑事责任。又之,假名账户及爬虫技术是歧视研究中常用手段,已获科学界及部分法院认可。因此,CFAA有阻遏相关研究的效果[36]。原告进而诉请法庭判决:因阻碍研究,CFAA违反第一修正案中与言论及表达相关的条款;因阻碍歧视研究及其表达,CFAA违反第一修正案中与请愿相关的条款;因文字模糊且可能导致刑事责任,CFAA违反第五修正案中的正当程序条款;此外,因网站使用协议常系私人机构起草,而又与关乎刑事责任,CFAA可能导致政府将权力不当委托予私人,从而违反第五修正案中的正当程序条款。被告申请驳回全部诉求。2018年3月,法庭裁定驳回后三项诉求,并继续审理第一项诉求。此案后续进展,同样值得密切关注[37]。
合宪性之下,对CFAA文本的解释是本案的核心争议之一。作为评论,相关难题,与以下两点前提彼此交织。第一,针对“授权”这一核心概念,CFAA并未给出明确定义。由此,无论是“未经‘授权’”,还是“超出‘授权’范围”,都需要法庭以合乎其“平常的、当代的、常用的”含义的方式,予以具体解释[38]。第二,相应条款同时包含民事责任与刑事责任这一点,加剧了解释CFAA的难度。此处,“授权”同时应用于民事程序与刑事程序。以上,这一概念在民事程序中的含义,应与在刑事程序中的含义保持一致[39]。然而,如前所及,一旦对此处概念予以宽泛解释,相应刑事责任所覆盖范围,可能包含部分为宪法所保护的行为。再考虑传统深厚的“回避原则”,法庭实际需要平衡的因素,实较表面为多。即使并未在最终文本中明确涉及,相应考量,仍有可能影响最终判决。
此处判决对“授权”的解释,不仅与法庭过往的部分判决存在差异,还与其它部分巡回法院或州法院的解释有所差别。具言之,在解释“授权”一词时,法庭采取了两种思路。第一种思路是从文本本身寻找提示。如法庭所述:“未经授权访问”这一表达本身,喻示相应的“受保护的计算机”并非任由公众访问。如布莱克英文词典[40]所述,“授权(authorization)”与“许可(permission)”含义相近。实际上,只有计算机已施加特定访问限制,并非人人得以访问,访问者才需要“许可”;此时,对应于绕过前述限制的访问行为,才是“未经许可”,或曰“未经授权”的访问行为。否则,如果计算机并未施加访问限制,人人得以访问之,那么,访问者并不需要许可,或者验证;相反,访问者只能被“禁止(ban)”访问。因此,CFAA 的相应条款,只适用于一定程度上非公开的页面,而不适用于被告所运营的公开页面。
第二种思路基于立法材料。在针对这部分条款的说明中,国会特意注明:CFAA此处禁止的是类似“破坏并闯入(break and enter)”计算机的行为,而非仅仅“使用(use)”计算机的行为。再结合当时议员及知名法律学者Kerr[41]评论,此处判决进一步主张:CFAA是一部“反侵入(anti-intrusion)”法,而非反“滥用(misappropriation)[数据]”法。因此,CFAA条款只涵盖以下两类站点:受密码保护站点;或者,其它限制一般公众浏览之上信息的站点[42]。被告所运营页面,显然不在其中;同时,原告也没有“破坏并闯入”被告所运营的页面。综上,此处不适用CFAA。
对上述解释,至少有三点评论。首先,在文义层面,尽管此处判决的论断颇有说服力,然而,这显然不是唯一的解释。将“未经授权”或“超出授权范围”理解为“违背网站使用协议”或违背其它类似的文件,似乎至少与第九巡回法院的解释同样“平常、合时且常用”[43]。稍微延伸一些:既然立法文件中已经出现类似“侵入”的表述,而国会最终还是用了“授权”,这一点可能本身就意味着国会希望通过此法给予更加宽泛的保护。实际上,很难认为第九巡回法院的判决在全美范围内占据优势地位。至少,在第一、第二、第四、第七乃至第九巡回法院层面,及其它部分联邦地区法院层面,都有认可上述立场、且仍然保持效力的判决[44]。甚至,在部分有利爬取数据者的判决中,法庭认为:如果存在完善的使用协议,相应文本将构成裁判CFAA相关争议的依据[45]。
其次,仍就文义层面而言,即使淡化使用协议在裁判中的作用,一旦站点向爬取数据者发去“警告信”或其它类似的、具备撤回授权含义的信件,或者,站点通过封禁IP或其它反爬虫手段表达撤回授权这一含义,后续爬取行为是否落入CFAA的禁止范围,同样是并未完全解决的问题[46]。将此类行为归入“未经授权”类别,并未显著偏离“平常、合时且常用”含义的范畴。甚至,仅就2010年来各地判决看,总体趋势,可称指向不利爬虫一方:类似手段,越发受到法院认可[47]。这两点共同限制了类似解释的适用范围。
最后,在立法史层面,尽管“破坏与闯入”是具备相当“画面感”、可与侵入住宅类比的表达,然而,就在同一立法文件的下一页,对CFAA其中一处“超出授权范围访问”表述,国会将其解释为“出于授权未包含的目的使用数据”[48]。这未必和第九巡回法院的解读一致。
此外,虽然并未在本案中成为焦点,CFAA对民事诉讼设定的5000美元损失数额门槛,不能完全忽略。部分法院对此处门槛执行相对严格。以隶属第二巡回区的纽约州为例:只有“直接由计算机损坏或损害造成的损失”,才能纳入计算;相反,无论是以“服务缓慢”或“服务中断”为由主张的损失,又或者是以“滥用或不正当使用[数据]进行不正当竞争”为由主张的损失,都不在此处计算范围之内[50]。因此,在部分地区,除非爬虫造成相当显著的损失,起诉运用爬虫者,可能难以达到金额门槛。这把已经非常复杂的问题进一步复杂化了。
总结与余论
本文简要评述了hiQ Labs诉LinkedIn案上诉判决。尽管第九巡回法院部分偏离先前分析,作出了清晰的、有利于爬虫方的判决,鉴于程序及实体等多方面的复杂性,看待这一判决时,应当采取更加平衡的视角。首先,程序层面,这是一项针对诉中禁令的判决。由于诉中禁令相应结论并不当然等于对实体问题的终局结论,第九巡回区内标准尚未完全明确,加之各巡回区间标准并不完全一致,在以相应结论外推预测时,仍需保持相当谨慎的态度。
同时,CFAA相关争议是以间接形式进入本案,这一点也值得注意。其次,实体层面,除CFAA相应条款本身面临合宪性挑战外,如何解释“授权”这一观念,同样充满变数。如上,无论是第九巡回区内部,还是各巡回区之间,都存在无法忽略的差异。
损害方面的相应金额门槛,是又一重变数。此外,除二审有所深入的、州法意义上的侵权妨碍及CFAA外,对爬虫类案件,相应诉因常常还包括:联邦宪法、州宪法、联邦反垄断法、州反垄断法、联邦知识产权法、州法中的合同违约、州法中的不当得利、州法中的财产侵权、州法中的侵占、州法中的隐私权侵权,等等。后续,仍需更多判决来厘清不同诉求间得彼此关联。
在更为宽泛的意义上,我们还可以尝试对未来作两方面“畅想”。一方面,此处判决认为,其中分析并未与第九巡回法院过往判决发生分歧:尽管可以认为一般大众所浏览的网站不会落入CFAA范围内,然而,如果相应页面需要登陆账号密码才能浏览,此类页面仍属CFAA保护范围[50]。两类判决之间,存在愈发激励互联网公司转向私域流量、从而保护对数据之财产性权益的可能。如此,相应判决能否实现“开放互联网”这一理想,仍有几分微妙之处。另一方面,由于上一段中提到的诸多分歧,在联邦最高法院最终调卷之前,此类案件,很难出现易于为观察者掌握的“通解”。一侧,是巡回区间的明显分歧,以及相应案件越发上升的重要性;另一侧,对之前的Nosal等爬虫相关案件,最高法院均拒绝调卷。并且,在面对高新技术时,最高法院似乎总有几分保守。如此,以下场景,不无几分可能性:如针对数据隐私类案件的原告资格问题般,最高法院调取一桩相关案件,之后,再以相当保守、拒绝“一揽子”解决的方式写作相应判决。此类案件,仍将在长期内困扰踌躇的各级美国法院。【相关注释请见中译文文件】
下载“hiQ Labs诉LinkedIn案上诉判决”中译文,请点击文末左下角的“阅读原文”。【提取码:hd34】
数据保护官(DPO)社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时,DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月,DPO社群举行了第一次线下沙龙。沙龙每月一期,集中讨论不同的议题。目前DPO社群已经超过200人。关于DPO社群和沙龙更多的情况如下:
DPO社群成果
线下沙龙实录见:
线上沙龙见:
时评见:
DPO社群成员观点