引言

大洋彼岸HiQ vs.LinkedIn的大戏刚刚落下帷幕，以“我爬我有理”的HiQ二审胜诉告终；反观国内大数据产业的“冰火两重天”，近日来多家数据企业和征信公司被警方进驻调查的新闻屡见报端，行业内一片风声鹤唳。由于国内大多数案件事实尚未公开，笔者暂时无法置评。但是对比中美刑事司法对于网络爬虫行为的认定上，可以发现一些有趣的趋势和区别：国内司法部门对于爬虫行为的刑事关注度正在不断提升；相反，美国法院则呈现出对爬虫行为适用CFAA刑事处罚的犹疑和反思。依笔者浅见，HiQ案提供了很好的视角和思路，有助于我们检视“爬虫”犯罪中有关法益和构成要件精细化的问题。

CFAA 1030(a)(5)(A)(2008)对“故意未经授权或超越授权访问受保护的计算机并获取信息”的行为创设了民事和刑事责任。[1]我国《刑法》第285条对“违反国家规定，侵入计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据”的行为创设了刑事责任。[2]

单从条文来看，CFAA对行为要件的描述相对明确，焦点在于如何解释“授权”和“受保护的计算机”；而我国刑法第285条第2款采用了空白罪状的构成要件，需要借助“国家规定”[3]来解释本罪中构成“侵入计算机信息系统或者采用其他技术手段” 的行为要件。然而我国的法律和行政法规中并未对该类行为作出颗粒度更细的规定。我们只能引援两高《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》中有关“专门用于侵入计算机信息系统的程序、工具”的界定予以参考，即“避开或者突破计算机信息系统安全保护措施，未经授权或者超越授权获取计算机信息系统数据”。

从这个意义上来讲，我国关于本罪的犯罪构成与上述CFAA中的规定具有高度相似性，皆聚焦于何为刑事法中“未经授权”或“超越授权”，这也是笔者希望通过本文对中美“爬虫”类犯罪进行对比的初衷所在。

Martin同学曾经对美国数据爬虫判决做过非常好的梳理，通过近年一些案例对CFAA中“未经授权”或“超越授权”条款的适用情况，总结了美国法院对于“授权”的认定形式，既包括事前的明示声明（例如用户协议、网站声明）和暗示声明（如账号密码登录系统），也包括事后的函告和技术措施（如技术封堵）。具体参见美国数据爬虫相关案例判决梳理。在美国稍早的判决中，爬虫方仅仅是违反了网站上有关禁止爬取的单方声明，即可能构成对于CFAA中“未经授权”条款的违反，后续的案例中还将这种授权意思表示的形式拓展到产品说明、服务协议等规则中。然而由于单方声明和服务协议过于随意化，法院和学者也纷纷表示出对于私主体可以借助CFAA为他人创设刑事风险的担忧，从而开始在判决中限缩有关“未经授权”范围的解释。换言之，当被爬方主张爬取方属于“未经授权”访问并获取信息时，在证明上需要更努力才行，仅依靠单方面的声明和协议显然不足，还需要参照事前的声明、事中的反爬措施、事后的函告等形式结合起来彰显意思表示的显著性，进而巩固授权本身在法律上的合理正当性。  

而HiQ vs. LinkedIn之所以引起多方的密切关注，正是因为本案从一审开始就在行为规制的基础上引入公共利益的考量，将对CFAA的解释重心从传统的“未经授权”延伸至“未经允许访问受保护的计算机”，换言之，如果被访问的对象属于面向公众开放的信息，则不属于“受保护的计算机”，亦不落入上述CFAA刑事条款的管辖范围，由此，此时规避被爬取方所设置的技术壁垒，即使看起来具有“未经授权”的特征，也不再具有触发CFAA的效果。本案甚至可以看做是加州北区联邦法院和第九巡回上诉法院对于“爬虫”犯罪构成要件的尝试性改造，用对于“受保护计算机”的解释限缩了“未经授权或超越授权”的范围，兼顾言论自由和公共利益的同时，也在一定程度上遏制了“公开信息的访问权存在被私主体自行转化为启动刑事制裁‘武器’”[4]的风险。

通过HiQ vs.LinkedIn案，网络爬虫行为被认为在降低刑事风险的进程上拿下一城，但在笔者看来，此案并非“完美案例”，无论是案件事实还是法律适用上，仍留有若干尚未触及或留待解决的问题：

1、此类犯罪中，刑事法所保护的“法益”究竟是什么？或者说，刑事法针对此类问题的规范目的是什么？

2、技术授权和规范授权在认定刑法中“未经授权”的行为上分别起到什么作用？

前提：A是一家商业网站（为聚焦问题，暂不考虑涉及国家事务、国防建设、尖端科学技术领域的网站），B是与A无关的自然人或法人。

案例一：A网站面向公众开放，无需账号登录系统进行身份验证即可访问，B对该网站信息进行爬取利用。

首先，我们可以将案例一和二作为参照组进行对比分析。

HiQ vs. LinkedIn的二审判决中已经给出了相当清晰的论证思路，即刑法上对于公开信息的保护要优位于A网站单方授权的意思表示，为此，二审法官还不惜回溯到立法原意进行阐述，认为早年CFAA强化对于授权机制的保护，是由其时代背景决定的：

CFAA最初于1984年颁布版本中的适用对象仅限于一小部分计算机，即那些包含国家安全信息或金融数据的计算机，以及那些由政府或代表政府操作的计算机……CFAA在最初所适用的对象当中，没有一台是对公众开放的计算机，因此肯定是需要某种访问授权。1996年，CFAA增加了第1030（a）（2）（c）条，以扩大禁止未经授权使用任何“受保护的计算机”时，参议院司法委员会解释说，该修正案旨在“增加对计算机信息隐私和机密性的保护”。因此，第1030条的立法历史清楚地表明，禁止未经授权的访问应被适当地理解为仅适用于私有信息，即需要某种授权要求而被划定为私有的信息。[5]

其次，我们可以将案例四和五作为参照组进行对比分析。

在案例五中，无论从法律上的“授权”界定还是从常识观念上对于“授权”的认知来看，B获取A网站信息的行为都符合刑法上“未经授权”或“超越授权”的要件，即使B因为借用了A的授权账号进行登录访问，在技术上并未违反A的授权规则，也不影响B在法律上构成对A网站数据的“非法获取”。这就好比B捡到了A家的钥匙进入了其住宅，虽不是撬锁或砸门而入，仍然不能阻却B在非法侵入他人住宅的性质，因为人人都清楚，那是A的“私有地”，他人不得入内。

这一理念也在我国最高检指导案例第36号“卫梦龙、龚旭、薛东东非法获取计算机信息系统数据案”中得以印证，该案的裁判要旨中指出“超出授权范围使用账号、密码登录计算机信息系统，属于侵入计算机信息系统的行为；侵入计算机信息系统后下载其储存的数据，可以认定为非法获取计算机信息系统数据。”[6]

在案例四中，虽然事实部分看起来与案例五具有一定的相似性，但还是可能存在决定性的差别。B虽然具有违背A网站通过授权规范和技术规则传达出来的意思表示获取了其网络数据的行为，但是其中叠加了“授权账号”这一重要条件，如果授权账号拥有者自愿将账号密码披露给B，B也只获取了账号拥有者有权处分的信息，那么情况就变得复杂化了。

举个例子，虽然通常“客户名单”属于商业秘密的类型之一，但如果这些客户既是A的客户，也是账号拥有者的客户，而后者将其授权给B进行获取使用的行为，是否属于违约先按下不表，至少A对于该客户名单授权访问规则的有效性，是应受到其他有权处分人的权益限制的。换言之，如果说案例五中A拥有对其内部系统信息绝对的控制权，那么在案例四中，法律对于A权利的保护将受到账号拥有者相关权益的制衡。至少在刑法上来看，此时B的行为将因为账号拥有者对其有权处分信息的授权，而具备了些许的正当性，是否有必要动用刑事打击来应对此类应由民事领域来解决的授权瑕疵问题，则需要司法人员谨慎考量。

综上，信息的性质往往决定了授权的正当性和有效性，对于信息的独占性越强，其授权效力和管控度就越不容置疑；而当信息上附着了多重主体的权益时，则对于授权效力的判断也应当区格对待，至少不宜轻易使用刑法上的“未经授权”对其加以简单评断。

HiQ vs.LinkedIn案开了个好头，引导我们对“爬虫”犯罪走向更深入的精细化思考，在判断行为人是否构成刑法上的“未经授权”时，需要对信息内容进行谱系化的分析，包括公开信息、有限制的公开信息、具有多重主体权益的信息以及独占性信息等等。信息的性质往往决定了刑事法上对授权范围和有效性的认定，信息的独占性和价值越弱，法益的重要性就越低，其授权主张被刑法所保护的必要性就越小。被爬取方通过技术和协议表达出来的授权规则，仅能作为判断犯罪构成符合性时的参考要素之一，而不能简单将其与刑法上的“未经授权”等视观之。当存在刑民交叉的争议问题上，刑事法应当始终保持谦抑性的立场，不宜动用国家工具来保护尚未确立的私权利。