美国数据犯罪的刑法规制:争议及其启示
2021-10-22杨志琼
杨志琼
数字化时代,数据日益成为重要的生产要素,数据获取、使用、泄露、破坏引发的数据安全风险触目惊心。围绕数据安全维护与数据获取、破坏的技术较量逐步升级,使得数据犯罪的技术识别和刑法规制更加困难,必须进行场景化分析。(1)刘艳红:《网络爬虫行为的刑事规制研究——以侵犯公民个人信息犯罪为视角》,载《政治与法律》,2019(11)。但近年来我国酷米客诉车来了案、新浪微博诉脉脉案等数据纠纷案件的司法判例不仅未能阐明数据犯罪的入罪边界,反而存在将数据侵权行为、不正当竞争行为认定为数据犯罪的趋势,为蓬勃发展的数据产业蒙上了阴影。(2)杨志琼:《数据时代网络爬虫的刑法规制》,载《比较法研究》,2020(4)。在数字科技产业最为发达的美国,联邦《电脑诈欺和滥用法》(Computer Fraud and Abuse Act,下文简称CFAA)及各州法律为数据犯罪的刑法规制提供了完备的法律依据,司法判例亦对不同技术场景下的数据犯罪入罪判断积累了丰富的裁判经验。因此,研究近年来美国数据犯罪的司法争议和裁判经验,可为我国数据犯罪的刑法规制提供有益借鉴。
一、中美数据犯罪刑法规制的检视:趋严与趋缓的分野
近年来,中美都进入数字产业快速发展时期,数字技术的同步更新使得两国数据犯罪的认定面临共同的技术障碍和规制难题,但又在不同的政策背景下形成差异化规制趋势。
(一)我国数据犯罪的刑法规制趋势:日趋严厉
我国《刑法》规定数据犯罪的主要条文是第285条第2款非法获取计算机信息系统数据罪和第286条破坏计算机信息系统罪第2款之规定。从罪状描述来看,数据犯罪的违法性判断取决于对国家规定的违反和对技术措施的违背,因而在司法适用时必须同时进行规范判断和技术判断。
在规范层面,对数据犯罪中“违反国家规定”的理解,多数学者认为应包括《网络安全法》《数据安全法》等法律法规(3)刘艳红:《网络爬虫行为的刑事规制研究——以侵犯公民个人信息犯罪为视角》,载《政治与法律》,2019(11);高仕银:《计算机网络犯罪规制中的“未经授权”与“超越授权”——中美比较研究》,载《时代法学》,2020(1)。,因为近年来我国在强化数据安全理念下确立了强管制的数据安全法律体系,为数据犯罪划定了严格的法律边界。例如,《网络安全法》以提升网络安全保障能力为核心,明确了任何个人或组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等活动;《数据安全法》以保护数据利益为核心,确保各类数据不被他人侵扰、窃取、破坏和非法利用,以维护数据控制利益。(4)梅夏英:《在分享与控制之间:数据保护的私法局限和公共秩序构建》,载《中外法学》,2019(4)。上述法律法规都要求数据的收集、利用必须获得相应授权或当事人同意,因而判断获取、使用、破坏数据行为合法性的关键在于有无“授权”。但上述法律法规中“授权”的判断仍非常抽象,多属于原则性规定,缺少系统性和可操作性(5)张一献:《从技术到犯罪:恶意网络爬虫行为入罪的类型认定与裁判思路探索》,载《时代法学》,2020(4)。,实质上是开放的构成要件,必然随着数字技术的更新和数据立法的增加而呈现出动态特征。(6)高仕银:《计算机网络犯罪规制中的“未经授权”与“超越授权”——中美比较研究》,载《时代法学》,2020(1)。
在技术层面上,非法获取计算机信息系统数据罪的成立必须采取“侵入”或“采用其他技术手段”,而破坏计算机信息系统罪则未对技术手段做明确规定。对此,最高人民检察院在2017年10月16日发布的第9批指导性案例第36号“卫梦龙、龚旭、薛东东非法获取计算机信息系统数据案”中,将非法获取计算机信息数据罪中的“侵入”界定为违背被害人意愿、非法进入计算机信息系统的行为,具体表现形式既包括采用技术手段破坏系统防护进入计算机信息系统,也包括未取得被害人授权擅自进入计算机信息系统,还包括超出被害人授权范围进入计算机信息系统。从技术逻辑而言,上述各类手段对于破坏计算机信息系统罪而言仍然成立。因此,数据犯罪的技术手段包括破坏性技术手段以及违背被害人授权意愿(未经授权或者超越授权)的情形。但随着数字技术的快速更新,数据网站的技术保护措施与数据犯罪技术破坏措施之间的技术较量日益升级,导致数字犯罪入罪的技术判断愈加困难,尤其是对数据网站通过技术和协议表达出来的授权规则能否作为判断数据犯罪成立的判断标准,不无疑问。(7)参见刘笑岑:《HiQ v.Linkedln案的启示与未决之题》,载微信公众号“互联网mate”,2019-09-24。如违背事前的使用条款(如robots协议)、事后的禁令通知、突破IP封锁技术等是否构成数据犯罪,仍存在激烈争论。
面对我国数据犯罪的规范判断过于抽象和技术判断日益困难的现实,我国司法实务则对数据犯罪采取了日趋严厉的刑事规制策略。以网络爬虫抓取数据案件为例,2013年百度诉奇虎360案、2015年新浪微博诉脉脉案、2016年大众点评诉百度地图案等案件都被定性为不正当竞争行为,而2017年酷米客诉车来了非法获取数据案、2018年晟品公司非法抓取视频数据案等案件却被定性为刑事犯罪,其背后的司法逻辑是不区分数据侵害行为的技术特征而一律入罪。数据侵害行为的技术方式多样,既包括违背数据网站意思表达的抓取,如违反爬虫协议、服务协议、点击生效协议、浏览生效协议等,也包括故意避开或强行突破数据网站安全保障措施的抓取,如避开、越过、破坏技术安保措施的行为。但上述数据侵害行为的法益侵害程度并不相同,一概入罪势必扩大数据犯罪的处罚范围。(8)杨志琼:《数据时代网络爬虫的刑法规制》,载《比较法研究》,2020(4)。从社会效果来看,对数据获取、利用行为采取日趋严厉的刑法规制已经对我国数据产业造成极大负面影响。据媒体报道,自2019年以来,多家大数据公司遭公安机关调查,众多知名大数据公司基于各种顾虑暂停相关数据业务,整个大数据行业如履薄冰。然而,以网络爬虫为代表的数据收集、使用行为是当前数据互联网行业不可或缺的技术措施,也是当前大数据产业发展的关键,对其予以过度的刑事规制,实质是变相强化“数据寡头”的市场优势地位,最终阻碍数字经济的发展。
(二)美国数据犯罪的刑法规制趋势:逐渐缓和
美国数据犯罪的刑法规制主要涉及联邦CFAA以及以其为蓝本的各州法律的适用,并在多年的司法实践中围绕数据犯罪的“授权”判断逐渐从严厉走向缓和。CFAA是美国法典中规制数据犯罪影响力最深远的刑事法律之一,被编载入《美国联邦法典》第18编刑事法律部分的第1030条。(9)第1030条(a)规定了个人故意“未经授权访问计算机”(access without authorization)或者“超出授权访问计算机”(exceeding authorized access)并从事下列7种行为,应承担刑事责任或民事责任:(1)获取政府数据或与国家安全机密数据;(2)访问各类受保护计算机并获取数据;(3)访问联邦政府拥有或专用的计算机;(4)访问计算机并实施诈骗;(5)损坏受保护的计算机或者其中储存的数据;(6)对计算机访问密码进行非法交易;(7)使用计算机进行敲诈勒索。参见18 U.S.C.A.§1030(a)(1)~(7) (2006)。其中,与数据犯罪紧密相关的是《美国联邦法典》第1030条(a)(2)和第1030条(a)(5)之规定。第1030条(a)(2)规定的侵入计算机信息系统并获取数据罪是指行为人故意未经授权或者超越授权侵入计算机信息系统并获取数据,这里的“获取”包括浏览、下载、复制数据等行为;第1030条(a)(5)规定的破坏计算机信息系统罪是指行为人故意未经授权或者超越授权删除、修改计算机数据的行为。从上述立法来看,CFAA对数据犯罪的规定都将“未经授权访问”或者“超越授权访问”作为基本行为要件,与罪行、意图、所造成的损害等附加要件相结合,形成不同的犯罪类型,因而判断数据获取、使用、破坏行为是否被“授权”对数据犯罪的成立至关重要。但CFAA并为对“未经授权”进行明确定义,只是将“超越授权”循环定义为“授权访问计算机并利用该权限去获取或者更改计算机数据”。(10)18 U.S.C.A.§1030(e)(6).这样,“授权”的规范判断不清直接导致CFAA的适用范围模糊不清,加之不同技术场景下计算机访问行为的“授权”方式并不相同,最终导致数据犯罪的入罪判断难题。(11)Myra F.Din.“Breaching and Entering:When Data Scraping Should be a Federal Computer Hacking Crime”.Brooklyn Law Review.2015,81:418.
近年来,美国法院通过一系列解释性操作重塑了CFAA的适用,并从严厉走向缓和。早期美国判例对于数据抓取、使用行为是否被“授权”的判断采取宽泛的入罪标准,几乎所有能显示数据网站对抓取行为不满的信号都足以让法官认定访问是“未经授权”的,如违反数据网站使用条款、违反雇员忠诚义务、违反保密协议、违反数据库授权或其他合同限制都被认为“未经授权”或“超越授权”,甚至有判例认为数据网站对抓取行为提起控诉就足以证明抓取“未经授权”。(12)Andrew Sellars.“Twenty Years of Web Scraping and the Computer Fraud and Abuse Act”.Boston University Journal of Science and Technology Law,2018,24:394.上述入罪判断标准被批判为授予了数据网站过多权限来定义CFAA中的“授权”,使网络用户普遍面临刑事追责的风险。因为当数据网站可以随时单方面改变服务协议或使用政策,而网络用户无法对此有足够的了解或及时了解。(13)Orin S.Kerr.“ Cybercrime’s Scope:Interpreting‘Access’ and‘Authorization’ in Computer Misuse Statues”. New York University Law Review,2003,78:1599.此后,第九巡回法院意识到之前的判例虽然广泛讨论了访问行为是否获得“授权”,但忽略了这种“授权”是否可以终止以及如何终止的问题,这显然不利于数据网站维护自身数据权益。当网站所有者发现或怀疑存在违规抓取行为时,通常会向抓取者发送停止或终止信件,即所谓的“愿望清单”,因而授权被撤销后继续获取数据应视为非法抓取。(14)United States v.Nosal,828 F.3d 865 (9th Cir.2016).如Craigslist Inc.v.3Taps Inc.和Facebook,Inc.v.Power Ventures案件的判例都认为,虽然违背数据网站的使用条款并不一定能引发CFAA的适用,但是在数据网站事后有明确撤销访问的函告或者通知时,后续的访问、获取数据行为违反了CFAA。这意味着数据网站只需要在提起诉讼前提出停止和终结抓取的信函,就可以使网络用户面临CFAA适用,再次扩大了数据犯罪的范畴。(15)Annie Lee.“Algorithmic Auditing and Competition under the CFAA:The Revocation Paradigm of Interpreting Access and Authorization”.Berkeley Technology Law Journal,2018,33:1331.
鉴于上述宽松适用政策引发了公众的不满,法院近年来开始对数据犯罪中“授权”的判断采取狭义解释以缩小CFAA中数据犯罪的处罚范围。这主要沿着两条主线展开:(1)对数据犯罪中“授权”的判断开始采取更明确的技术判断标准,如考察访问、获取数据行为是否违反数据网站的安全防御技术等,而不局限于是否仅违反数据网站的合同规定。这就意味着CFAA中的“未经授权”主要适用于“黑客攻击”或规避计算机技术准入障碍的行为,而不是盗用商业机密行为,因而“未经授权”仅限于违反对计算机访问的限制,而不是对获取数据后的使用限制。(16)United States v.Nosal,676 F.3d 854 (9th Cir.2012).(2)判例开始缩小对公共数据的CFAA适用。2017年以来,判例开始对公开数据和私人数据采取二分法处理,即对公开数据不适用CFAA。两起案例表明美国法院对公开数据抓取的认定趋势正在发生改变,增加了公共政策的考量。首先,在HiQLabs,Inc.v.LinkedIn Corp.案中,地区法院认为,新生数据企业如果不能从LinkedIn抓取数据将会面临倒闭,这显然不利于数据竞争和数字经济的发展。为了保护数据自由竞争秩序,数据使用者可以正当获取、使用其他数据网站的公开数据。(17)HiQ Labs,Inc.v.LinkedIn Corp.,273 F.Supp.3d 1099 (N.D.Cal.2017).其次,在Sandvig v.Sessions案中,针对科研人员抓取网站公开数据用于科研的行为,法院认为,出于对社会有益的目的而访问、抓取公开数据的行为只是“数据收集技术的进步”,即便明显违反了数据网站的使用条款,也不违反CFAA。(18)Sandvig v.Sessions,No.16-cv-1638(JDB),2018 WL 1568881 (D.D.C.Mar.30,2018).对数据获取、利用行为采取缓和刑事政策符合美国数字经济驱动功能的发展需求,极大推动了数据流动和再利用,助力美国数据产业的发展。
综上可见,中美数据犯罪中“授权”判断存在趋严与缓和的不同趋势。这种“冰火两重天”的不同格局势必对将来各国数据产业产生不同的深远影响,应该引起我国司法机关乃至政策层的关注。尤其是在我国当前对数据犯罪趋严刑事规制的负面影响已经凸显时,如何建构合理的数据犯罪入罪标准,谨慎平衡数字产业发展和数据安全维护的利益诉求,是当前我国数据犯罪亟需解决的司法难题。
二、美国数据犯罪司法争议的梳理:主客观入罪标准的碰撞
虽然美国CFAA对数据犯罪中“未经授权”“超越授权”的规定并不明晰,但多年来美国判例一直致力于对不同技术场景下“授权”进行解释并形成不同判断标准,逐渐缓和了数据犯罪的刑法规制,促进了数字产业的快速发展。分析这些入罪判断标准的规制利弊,能为我国数据犯罪的场景化分析提供有益借鉴。
(一)违反数据网站合同协议的入罪判断
美国部分法院通过判断行为人是否违反明确或隐含的合同协议来确定其访问是否被授权。当行为人以违反现有“合同”内容的方式获取网络数据时,便属于未经“授权”,可能违反CFAA。这里的“合同”不仅包括传统的合同,如网络服务协议,还包括一些非正式的合同,如企业的电脑使用政策或公司其他计算机使用手册。(19)Andrew T.Hernacki.“A Vague Law in a Smartphone World:Limiting the Scope of Unauthorized Access Under the Computer Fraud and Abuse Act”.American University Law Review,2012,61(6):1555.如在United States v.Rodriguez案中,社会安全管理局(下文简称SSA)的电信业务代理Rodriguez涉嫌使用他对SSA数据库的访问权限来获取他感兴趣的女性的信息。而此前SSA曾多次通过强制培训课程、办公室通知和公司电脑上的办公日志来提醒员工禁止以非商业目的访问SSA数据库信息。法院认为Rodriguez违反公司计算机使用政策访问、获取数据的行为违反了CFAA。(20)United States v.Rodriguez,628 F.3d 1258,1260 (11th Cir.2010).从以往判例来看,法院在将违反合同协议的数据抓取行为认定为犯罪时,通常需要考察数据网站是否对数据抓取给予了明确通知,以及访问者是否对数据访问、使用的合同条款进行了实质性的了解并作出真实的意思表示。(21)Patricia L.Bellia.“A Code-Based Approach to Unauthorized Access Under the Computer Fraud and Abuse Act”.George Washington Law Review,2016,84:1456.
违反合同协议的入罪判断方式允许数据网站有效地控制其计算机信息系统的访问、使用,进而保护其专有数据。(22)Samuel Kane.“Available,Granted,Revoked:A New Framework for Assessing Unauthorized Access under the Computer Fraud and Abuse Act”.University of Chicago Law Review,2020,87:1450.但这种依据合同理论采取的入罪判断标准被批判为过于主观,实质是赋予数据网站依据自身利益来设定违法犯罪的边界,从而将反黑客法规变成打击网络不端行为的通用许可证,最终将数据侵害行为的违法判断委托给数据网站,使得网络用户普遍面临入罪风险。(23)Orin S.Kerr.“Cybercrime’s Scope:Interpreting ‘Access’ and ‘Authorization’ in Computer Misuse Statutes”.New York University Law Review,2003, 78:1659.
(二)违反雇员代理义务的入罪判断
美国部分法院在涉及雇佣关系的数据窃取案件中运用商法中的代理理论来区分授权访问与非授权访问。代理理论认为员工对雇主负有忠诚义务,其行为必须完全符合雇主或公司利益。如果雇员实际上与委托人竞争或帮助委托人的竞争对手,则违反了忠诚义务,代理关系终止,对数据的访问权限也被终止,此时雇员为了竞争利益而爬取、删除、修改雇主计算机中的数据的行为属于“未经授权”。美国法院在Shurgard Inc.v.Safeguard Inc.中首次将CFAA刑事责任应用于不忠雇员窃取雇主数据的行为,认为雇员未经雇主同意而将其商业秘密发送给竞争对手时,违反了对雇主、委托人的忠诚义务,其访问、获取数据的行为违反了CFAA。(24)Shurgard Storage Centers,Inc.v.Safeguard Self Storage,Inc,119 F.Supp.2d 1121(W.D.Wash.2000).以往判例显示,法院在确定雇员是否因违反代理义务而违反CFAA时,必须考察雇员是否从事或者协助竞争对手从事了损害雇主利益的数据侵害行为,如删除、修改或者复制雇主计算机系统中的数据以促进竞争利益,并给雇主造成超过5 000美元的损失等。(25)Christopher Dodson.“Authorized:The Case for Duty of Loyalty Suits Against Former Employees under the Computer Fraud and Abuse Act”.Drexel Law Review,2012,5:219.
代理理论被认为是最有利于雇主的访问“授权”判断模式,但和前述违反合同的适用规则一样,也被批判为赋予雇主过多权限来认定违法犯罪,实质上仍是一种主观的入罪判断标准。因为代理理论未能具体阐明在数据领域雇佣关系中“忠诚义务”的范围以及哪些行为超出了“忠诚义务”的范畴,难免不恰当地扩大了CFAA的适用范围。(26)Orin S.Kerr.“Vagueness Challenges to the Computer Fraud and Abuse Act”.Minnesota Law Review,2010,94:1587.
(三)突破数据网站技术安全措施的入罪判断
美国学界在批判前述合同理论和代理理论过于主观、具有扩大数据犯罪范畴的风险时,提出了代码理论,该方法试图通过审查用户是否规避技术壁垒来界定“授权”,认为只有回避或突破计算机信息系统中代码屏障的访问才是非法的。(27)Orin S.Kerr.“ Cybercrime’s Scope:Interpreting‘Access’ and‘Authorization’ in Computer Misuse Statues”.New York University Law Review,2003,78:1659;Patricia L.Bellia.“A Code-Based Approach to Unauthorized Access Under the Computer Fraud and Abuse Act”.George Washington Law Review,2016,84:1442.代码理论试图通过使用软件或者其他计算机配置来表达数据网站限制授权的愿望,确保入侵者知道是在未经授权的情况下访问数据网站,从而解决了合同理论中的通知难题。这种入罪判断方法需要对被告获得访问权限的具体技术方式进行事实审查,如有无实施利用软件程序中的漏洞、更改IP地址、使用服务器代理来绕过互联网协议(IP)、重复发送公共查询(GET请求)来检索数据等行为。(28)⑤ Annie Lee.“Algorithmic Auditing and Competition under the CFAA:The Revocation Paradigm of Interpreting Access and Authorization”.Berkeley Technology Law Journal,2018,33:1317,1331.如在HiQLabs,Inc.v.LinkedIn Corp.案中,法院认为,当用户没有绕过验证身份的技术障碍(如密码登录)时,被告的访问、获取数据行为并不违反CFAA,因为这些数据没有受到密码登录或其他认证机制的保护。(29)HiQ Labs,Inc.v.LinkedIn Corporation,938 F.3d 985 (2019).
代码理论是基于数字技术的客观入罪判断标准,其优势在于允许用户使用互联网而不必担忧因违反难以理解的合同而受到刑事追诉,但其技术逻辑过于僵化而限制了数据网站选择保护其数据方式的灵活性。因为代码理论将保护数据安全的义务交付于数据网站自身,而不是督促访问者严格遵守数据网站的规定。(30)Andrew T.Hernacki.“A Vague Law in a Smartphone World:Limiting the Scope of Unauthorized Access Under the Computer Fraud and Abuse Act”.American University Law Review, 2012, 61(6):1574.这可能会促使数据网站采用技术措施排除更多用户,而难以将精力集中于应对真正的网络黑客。
(四)违反数据网站撤销机制的入罪判断
前述几种“授权”解释范式缺乏对“通知”的关注,如合同理论通过用户阅读使用协议或其他服务协议来告知授权访问,却忽略了用户很少阅读上述合同内容的事实;代理理论着眼于被告获取、删除数据行为是否符合雇主最大利益,而不论被告是否知道自己已超出雇佣关系的界限;代码理论关注异常的访问行为何时构成“技术规避”而不询问用户是否知晓其已经越过了授权边界。⑤而撤销授权理论则为授权通知提供了一个更为清晰的判断标准。第九巡回法院认为,仅凭违反合同仍无法判定数据抓取行为是否“未经授权”或者“超越授权”,但如果数据网站存在事后的撤销通知或撤销措施,用户在明知其授权被撤销后仍继续爬取网站数据,则会违反CFAA。(31)United States v.Nosal,844 F.3d 1024,1036 (9th Cir.2016).这个新的撤销标准为确定用户何时失去授权方面提供了更明确的标准,即当数据网站已经通过发送诸如停止和终止访问之类的简单命令来撤销授权时,用户就不能再访问、爬取数据。对此,法院只需考察:(1)数据网站是否明确撤销了授权;(2)用户是否在明知其授权已被撤销的情况下继续访问获取数据。(32)Andrew Sellars.“Twenty Years of Web Scraping and the Computer Fraud and Abuse Act”.Boston University Journal of Science and Technology Law,2018,24:405.撤销理论的典型案例始于Craigslist Inc.v.3Taps Inc.,并经Facebook,Inc.v.Power Ventures案达到顶峰。在上述两个案件中,法院认为,原告发送停止函并设置IP壁垒的行为已经撤销了对被告访问权限的授权,被告继续抓取数据的行为违反了CFAA。(33)Craigslist Inc.v.3Taps Inc.,964 F.Supp.2d 1178 (N.D.Cal.2013);Facebook,Inc.v.Power Ventures,Inc.,844 F.3d 1058 (9th Cir.2016).
撤销机制赋予数据网站可以随时撤销用户访问的权限,增加了数据网站对未经授权或超越授权访问的控制权和防御权。但数据网站过于随意地行使撤销权易导致歧视和潜在的不公平,进而对数据竞争造成损害,因而如何确定数据网站行使撤销权的“合理理由”仍需进一步明确。(34)Annie Lee.“Algorithmic Auditing and Competition under the CFAA:The Revocation Paradigm of Interpreting Access and Authorization”.Berkeley Technology Law Journal,2018,33:1334.
综上可见,美国判例对数据犯罪中“授权”的规范判断进行了场景化分析:合同协议是通过合同使用条款和政策内容来表达限制范围;代理义务主要适用于雇佣领域,通过忠诚义务来传达授权范围;代码理论是通过技术安全措施来明确访问边界;撤销机制是通过事后通知来明确禁止访问的范围。(35)Patricia L.Bellia.“A Code-Based Approach to Unauthorized Access Under the Computer Fraud and Abuse Act”.George Washington Law Review,2016,84:1469.虽然上述各种观点各有利弊,但仍向我们提供了可供借鉴的规制数据犯罪思路,即一种由主观认定标准走向客观认定标准的入罪路径。
三、美国数据犯罪刑法规制对我国的启示:客观入罪标准的确立
我国数据犯罪的立法规定和司法解释并未对数据犯罪的行为要件给予明确的界定,导致了实务中的入罪难题。美国司法判例对“授权”的裁判经验更体现了不同场景下“技术性”解释与“规范性”解释的高度融合,因而借鉴美国裁判经验并扬长避短,能为今后我国规制数据犯罪指明方向。
(一)违反数据网站合同协议的数据侵害行为应出罪
美国和我国数据犯罪的认定都面临应否将违反数据网站合同协议的数据抓取、使用行为入罪的判断难题。如何在维护数据安全的同时促进数据的流通、利用,是数字时代各国共同的难题。因为网络空间中法律和技术边界需要平衡两个至关重要而又相互冲突的价值目标:一是确保网络用户能自由表达和行事的互联网原始价值观;二是确保计算机数据安全和用户个人隐私安全,不受他人随意干预。(36)⑤ Orin S.Kerr.“ Cybercrime’s Scope:Interpreting ‘Access’ and ‘Authorization’ in Computer Misuse Statues”.New York University Law Review ,2003,78:1650,1659.
不同于物理空间通过门窗、墙壁等确定权利边界,计算机信息系统虚拟空间的权利边界只能通过控制者设置的访问权限来确定,因而对计算机或数据网站访问的“授权”难免具有相当程度的主观色彩。(37)刘明:《数据抓取行为的规制路径》,载微信公众号“互联网mate”,2019-03-05。尤其是在涉及数据安全维护和数据竞争冲突时,数据网站对自身数据权益的维护必然趋于严厉,能否将数据网站依据使用协议表示的授权规则作为数据犯罪的入罪边界,不无疑问。因为从技术逻辑而言,数据网站的合同协议或使用政策都是依据数据网站自身利益来设定数据抓取的行为边界,如果将违背数据网站意愿的数据获取、使用行为都认定为犯罪,实质上是将网络数据侵害行为违法犯罪的判断委托给数据网站,易将网络不道德行为或者一般违法行为认定为数据犯罪。⑤这种扩大处罚趋势虽然有利于加强数据管控,维护数据安全和隐私安全,但过于严厉的刑事追诉将导致数字获取、利用行为的萎缩,阻碍数字经济的正常发展。
因此,本文认为,体现数据网站授权目的的合同协议是披着契约外衣的“私立规则”,违背此种授权目的的数据抓取、使用行为应采用传统的合同法、侵权法、知识产权法、反垄断法进行救济,而不能作为刑事案件来追诉。(38)杨志琼:《数字时代网络爬虫的刑法规制》,载《比较法研究》,2020(4);高仕银:《计算机网络犯罪规制中的“未经授权”与“超越授权”——中美比较研究》,载《时代法学》,2020(1)。这就意味着,不应将违反数据网站使用政策(如Robots协议等)的数据抓取行为认定为数据犯罪,而应结合数据保护目的、技术使用场景等综合认定,考虑适用知识产权侵权责任或者不正当竞争法责任等民事责任。(1)违背数据网站合同协议的数据侵害行为可能承担知识产权侵权责任。当前违背数据网站合同协议的数据侵害行为主要表现为侵害著作权,这主要是因为著作权的权利内容以及权利救济体系较为完备。在侵害著作权纠纷中,绝大多数案件涉及信息网络传播权侵权纠纷,具体包括未经许可通过信息网络获取、提供权利人享有信息网络传播权的作品、表演、录音录像制品等的直接侵权行为,以及网络服务提供者通过网络基础设施或者网络服务为他人实施的侵权行为提供实质性帮助的间接侵权行为。(39)杨志琼:《数字时代网络爬虫的刑法规制》,载《比较法研究》,2020(4)。(2)违背数据网站合同协议的数据侵害行为可能承担不正当竞争责任。竞争法视域下的数据抓取、使用演化为数据资源的争夺、竞争,涉案类型主要包括:其一,典型的不正当竞争(直接竞争),数据经营者之间的横向竞争,即同类竞争对手抓取对方网站数据,如大众点评诉爱帮网纠纷。其二,搜索引擎公司扩展服务领域,演变成内容服务商,利用其搜索优势抓取其他网站数据并向用户展示,如大众点评诉百度案。其三,数据产业的下游初创企业为了获得免费内容或用户数据直接抓取上游企业的数据资料,如新浪微博诉脉脉案。(40)胡凌:《互联网不正当竞争认定的趋势》,载《上海法治报》,2016-06-29。对此,当前司法实务主要利用《反不正当竞争法》第2条的一般条款对上述案件进行处理(41)《反不正当竞争法》第2条规定:经营者在生产经营活动中,应当遵循自愿、平等、公平、诚信的原则,遵守法律和商业道德。本法所称的不正当竞争行为,是指经营者在生产经营活动中,违反本法规定,扰乱市场竞争秩序,损害其他经营者或者消费者的合法权益的行为。,以确定数据不正当竞争行为的边界,并逐渐确立了“违背商业道德—损害竞争秩序”的基本责任框架。(42)陈仕远:《反不正当竞争法一般条款在网络不正当竞争案件中的适用》,载《人民法院报》,2017-08-16;孙虹、欧宏伟:《利用网络爬虫技术获取他人公交实时运行大数据的行为性质》,载《人民司法》,2018(35)。这一做法的优点在于可以回避对数据权属的认定难题和损害赔偿难题,因为竞争法不具有赋予数据专有权的初衷,而是以遏制不正当竞争行为来保护民事权益。(43)孔祥俊:《〈民法总则〉新视域下的反不正当竞争法》,载《比较法研究》,2018(2)。
(二)避开或突破数据网站技术安全措施的数据侵害行为应入罪
鉴于合同协议对“授权”的判断过于主观而不合理,未来我国应借鉴美国数据犯罪中代码理论的入罪经验,对数据犯罪中的“授权”进行客观违法判断,以明确无误地传达数据网站允许抓取的数据范围,并合理限定数据犯罪的入罪边界。当数据网站希望维护数据安全时,会通过技术屏障来限制访问,避开或者强行突破计算机安全保护措施等强保护措施的获取、访问行为才属于“未经授权”的数据犯罪。(44)Lee Goldman.“Interpreting the Computer Fraud and Abuse Act”.University of Pittsburgh Journal of Technology Law and Policy,2012,13:26.
我国刑法规定非法获取计算机信息系统数据罪必须采取“侵入”或者“其他技术手段”。虽然立法对包括“侵入”在内的“技术手段”没有做明确规定,但相关司法解释还是有迹可循的。2011年9月,最高人民法院、最高人民检察院发布的《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第2条对于提供侵入、非法控制计算机信息系统程序、工具罪的解释中,就将“专门用于侵入、非法控制计算机信息系统的程序、工具”界定为“具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据的功能”。由于提供侵入、非法控制计算机信息系统程序、工具罪是非法获取计算机信息系统数据罪的帮助行为正犯化(45)喻海松:《〈关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释〉的理解与适用》,载《人民司法》,2011(19)。,因而可将非法获取计算机信息系统数据罪的“技术手段”理解为“避开或者突破计算机信息系统安全保护措施”,即不按照计算机信息系统中安全保护措施要求的正常登录方式访问、获取数据。(46)高仕银:《计算机网络犯罪规制中的“未经授权”与“超越授权”——中美比较研究》,载《时代法学》,2020(1)。相较于前述最高人民检察院在“卫梦龙、龚旭、薛东东非法获取计算机信息系统数据案”中将数据犯罪的技术手段概括为破坏性技术手段以及违背被害人授权意愿(未经授权或者超越授权)的情形而言,“避开或者突破计算机信息系统安全保护措施”的代码理论排除了依据数据网站授权意愿的主观入罪判断情形,缩小了数据犯罪的适用范畴,有利于促进数据的流通、利用。
从当前我国数据犯罪的典型案例来看,“避开或突破计算机信息系统安全保护措施”的行为主要包括:(1)采用侵入手段实施数据侵害行为。刑法实务中,法院多根据数据网站以技术手段设置的安全保护措施为主,对计算机信息系统的访问权限进行认定,并将突破此等安全措施的访问行为认定为对计算机的不法“侵入”。(47)刘明:《数据抓取行为的规制路径》,载微信公众号“互联网mate”,2019-03-05。如在李小海非法获取计算机信息系统数据案中,被告人李小海在公司办公室利用其下载至U盾内的密码破解软件侵入公司4台员工电脑,盗取电脑内储存的公司多基金交易系统代码数据、用户交易账号及密码等。法院认为,被告人侵入公司电脑并获取数据,其行为构成非法获取计算机信息系统数据罪。(48)北京市朝阳区人民法院(2018)京0105刑初1577号刑事判决书。(2)利用技术手段绕开数据安全保护措施进而实施数据侵害行为。如在全国首例爬虫入刑案中,上海晟名网络科技有限公司使用伪造的device_id绕过服务器的身份验证,使用伪造的UI和IP绕过服务器的访问频率限制,从而进入被害公司计算机信息系统获取了视频数据。法院认定被告人绕过服务器身份校验等系统保护措施并获取服务器中的数据,属于未经允许进入他人计算机信息系统,构成非法获取计算机信息系统数据罪。(49)北京市海淀区人民法院(2017)京0108刑初2384号刑事判决书。(3)利用技术手段破解网络安全措施进而实施数据侵害行为。如在张孝非法获取计算机信息系统数据案中,被告人张孝利用具有批量破解QQ、AppleID、邮箱、网易的账号密码的功能的XP程序,破解他人邮箱密码2 456组。法院认为,使用者利用该程序避开或者突破计算机信息系统安全保护措施,获取他人登录网络即时通讯、网络邮箱的账号、密码等身份认证信息,属于未经授权而获取数据,构成非法获取计算机信息系统数据罪。(50)江苏省淮安市中级人民法院(2018)苏08刑终261号刑事判决书。(4)利用“撞库”手段实施数据侵害行为。如被告人马国锋等利用购得的“微信状态检测”“直登小号”等非法微信扫号软件,将从网上购买或换取的含有大量邮箱用户名及密码的数据导入上述软件并运行,采用对微信软件数据库实施“撞库”等手段,非法获取他人微信用户名及密码,用于转卖获利。法院审理认为,虽然此类“撞库”行为并没有侵入被害人计算机信息系统,但被告人的行为仍然属于违反国家规定,采用技术手段获取他人计算机信息系统中的数据,应构成非法获取计算机信息系统数据罪。(51)江苏省常州市新北区人民法院(2016)苏0411刑初856号刑事判决书。
(三)违背数据网站事后撤销机制的数据侵害行为应入罪
数据网站对自身数据权益的维护,除了事前的技术安全保护措施之外,还包括事后撤销授权机制。对于拥有访问计算机权限的访问者而言,如果数据网站发出了明确的撤销授权通知,访问者在明知其授权被撤销后仍继续抓取数据,则应认定为非法抓取数据。此时,法院无需关注数据网站的技术控制内容,如用户账号、IP设置及MAC过滤器等,而应重点关注数据网站是否通过技术控制来发出撤销访问权限的信号,而且抓取者知悉、理解此信号。一旦授权被撤销后,对计算机进行访问的尝试,均属于未经授权访问、获取数据(52)Facebook,Inc v Power Ventures,Inc,844 F3d 1058,1067 (9th Cir 2016).,进而构成非法获取计算机信息系统数据罪。赋予数据网站撤销授权的司法意义在于,除了增加数据犯罪中“授权”认定标准的明确性之外,还极大地改变了数据流通、共享的格局,在数据网站与抓取者的技术比拼中赋予数据网站更广泛的决定权和防御权,能更有效地维护自身数据权益。(53)Annie Lee.“Algorithmic Auditing and Competition under the CFAA:The Revocation Paradigm of Interpreting Access and Authorization”.Berkeley Technology Law Journal,2018,33:1332.
撤销授权机制的适用需要明确撤销访问权限的通知标准。从当前的数字技术来看,数据网站撤销授权可以通过传达信息方式,如发出停止函或终止函;或者采取技术性撤销方式,如IP阻止;或者采取组合方式,如撤销登录凭证等。(54)Samuel Kane.“Available,Granted,Revoked:A New Framework for Assessing Unauthorized Access under the Computer Fraud and Abuse Act”.University of Chicago Law Review,2020,87:1466.此外,在数字经济背景下,为避免数据网站随意撤销授权而影响数据竞争,应要求数据网站撤销授权需具备正当理由。如当数据经营者撤销竞争对手访问、获取数据权限的目的是为了提高用户隐私保护水平、保护数据安全、维护自身数据财产权益、提高数据产品或服务质量,且同时符合提高消费者福利水平、不会严重排除或限制数据市场竞争等条件时,(55)殷继国:《大数据经营者滥用市场支配地位的法律规制》,载《法商研究》,2020(4)。撤销授权行为才应被认定为具有正当性。
数字时代数据犯罪日益场景化,既涉及数据网站服务协议等合同约定,也涉及雇佣关系的场景和数据竞争场景,这就要求数据犯罪的认定必须谨慎平衡不同场景下数据获取、使用需求和数据安全维护。通过吸收、借鉴美国数据犯罪的裁判经验,我国可在数据犯罪的入罪判断中实现“技术性”解释与“规范性”解释的融合,将违背数据网站合同协议的数据侵害行为出罪,同时将违背数据网站安全技术保护措施和违背数据网站撤销授权机制的数据侵害行为入罪。