美國(guó)數(shù)據(jù)犯罪的刑法規(guī)制：爭(zhēng)議及其啟示

楊志瓊

數(shù)字化時(shí)代，數(shù)據(jù)日益成為重要的生產(chǎn)要素，數(shù)據(jù)獲取、使用、泄露、破壞引發(fā)的數(shù)據(jù)安全風(fēng)險(xiǎn)觸目驚心。圍繞數(shù)據(jù)安全維護(hù)與數(shù)據(jù)獲取、破壞的技術(shù)較量逐步升級(jí)，使得數(shù)據(jù)犯罪的技術(shù)識(shí)別和刑法規(guī)制更加困難，必須進(jìn)行場(chǎng)景化分析。(1)劉艷紅：《網(wǎng)絡(luò)爬蟲行為的刑事規(guī)制研究——以侵犯公民個(gè)人信息犯罪為視角》，載《政治與法律》，2019(11)。但近年來我國(guó)酷米客訴車來了案、新浪微博訴脈脈案等數(shù)據(jù)糾紛案件的司法判例不僅未能闡明數(shù)據(jù)犯罪的入罪邊界，反而存在將數(shù)據(jù)侵權(quán)行為、不正當(dāng)競(jìng)爭(zhēng)行為認(rèn)定為數(shù)據(jù)犯罪的趨勢(shì)，為蓬勃發(fā)展的數(shù)據(jù)產(chǎn)業(yè)蒙上了陰影。(2)楊志瓊：《數(shù)據(jù)時(shí)代網(wǎng)絡(luò)爬蟲的刑法規(guī)制》，載《比較法研究》，2020(4)。在數(shù)字科技產(chǎn)業(yè)最為發(fā)達(dá)的美國(guó)，聯(lián)邦《電腦詐欺和濫用法》(Computer Fraud and Abuse Act,下文簡(jiǎn)稱CFAA)及各州法律為數(shù)據(jù)犯罪的刑法規(guī)制提供了完備的法律依據(jù)，司法判例亦對(duì)不同技術(shù)場(chǎng)景下的數(shù)據(jù)犯罪入罪判斷積累了豐富的裁判經(jīng)驗(yàn)。因此，研究近年來美國(guó)數(shù)據(jù)犯罪的司法爭(zhēng)議和裁判經(jīng)驗(yàn)，可為我國(guó)數(shù)據(jù)犯罪的刑法規(guī)制提供有益借鑒。

一、中美數(shù)據(jù)犯罪刑法規(guī)制的檢視：趨嚴(yán)與趨緩的分野

近年來，中美都進(jìn)入數(shù)字產(chǎn)業(yè)快速發(fā)展時(shí)期，數(shù)字技術(shù)的同步更新使得兩國(guó)數(shù)據(jù)犯罪的認(rèn)定面臨共同的技術(shù)障礙和規(guī)制難題，但又在不同的政策背景下形成差異化規(guī)制趨勢(shì)。

(一)我國(guó)數(shù)據(jù)犯罪的刑法規(guī)制趨勢(shì)：日趨嚴(yán)厲

我國(guó)《刑法》規(guī)定數(shù)據(jù)犯罪的主要條文是第285條第2款非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪和第286條破壞計(jì)算機(jī)信息系統(tǒng)罪第2款之規(guī)定。從罪狀描述來看，數(shù)據(jù)犯罪的違法性判斷取決于對(duì)國(guó)家規(guī)定的違反和對(duì)技術(shù)措施的違背，因而在司法適用時(shí)必須同時(shí)進(jìn)行規(guī)范判斷和技術(shù)判斷。

在規(guī)范層面，對(duì)數(shù)據(jù)犯罪中“違反國(guó)家規(guī)定”的理解，多數(shù)學(xué)者認(rèn)為應(yīng)包括《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》等法律法規(guī)(3)劉艷紅：《網(wǎng)絡(luò)爬蟲行為的刑事規(guī)制研究——以侵犯公民個(gè)人信息犯罪為視角》，載《政治與法律》，2019(11)；高仕銀：《計(jì)算機(jī)網(wǎng)絡(luò)犯罪規(guī)制中的“未經(jīng)授權(quán)”與“超越授權(quán)”——中美比較研究》，載《時(shí)代法學(xué)》，2020(1)。，因?yàn)榻陙砦覈?guó)在強(qiáng)化數(shù)據(jù)安全理念下確立了強(qiáng)管制的數(shù)據(jù)安全法律體系，為數(shù)據(jù)犯罪劃定了嚴(yán)格的法律邊界。例如，《網(wǎng)絡(luò)安全法》以提升網(wǎng)絡(luò)安全保障能力為核心，明確了任何個(gè)人或組織不得從事非法侵入他人網(wǎng)絡(luò)、干擾他人網(wǎng)絡(luò)正常功能、竊取網(wǎng)絡(luò)數(shù)據(jù)等活動(dòng)；《數(shù)據(jù)安全法》以保護(hù)數(shù)據(jù)利益為核心，確保各類數(shù)據(jù)不被他人侵?jǐn)_、竊取、破壞和非法利用，以維護(hù)數(shù)據(jù)控制利益。(4)梅夏英：《在分享與控制之間：數(shù)據(jù)保護(hù)的私法局限和公共秩序構(gòu)建》，載《中外法學(xué)》，2019(4)。上述法律法規(guī)都要求數(shù)據(jù)的收集、利用必須獲得相應(yīng)授權(quán)或當(dāng)事人同意，因而判斷獲取、使用、破壞數(shù)據(jù)行為合法性的關(guān)鍵在于有無“授權(quán)”。但上述法律法規(guī)中“授權(quán)”的判斷仍非常抽象，多屬于原則性規(guī)定，缺少系統(tǒng)性和可操作性(5)張一獻(xiàn)：《從技術(shù)到犯罪：惡意網(wǎng)絡(luò)爬蟲行為入罪的類型認(rèn)定與裁判思路探索》，載《時(shí)代法學(xué)》，2020(4)。，實(shí)質(zhì)上是開放的構(gòu)成要件，必然隨著數(shù)字技術(shù)的更新和數(shù)據(jù)立法的增加而呈現(xiàn)出動(dòng)態(tài)特征。(6)高仕銀：《計(jì)算機(jī)網(wǎng)絡(luò)犯罪規(guī)制中的“未經(jīng)授權(quán)”與“超越授權(quán)”——中美比較研究》，載《時(shí)代法學(xué)》，2020(1)。

在技術(shù)層面上，非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪的成立必須采取“侵入”或“采用其他技術(shù)手段”，而破壞計(jì)算機(jī)信息系統(tǒng)罪則未對(duì)技術(shù)手段做明確規(guī)定。對(duì)此，最高人民檢察院在2017年10月16日發(fā)布的第9批指導(dǎo)性案例第36號(hào)“衛(wèi)夢(mèng)龍、龔旭、薛東東非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)案”中，將非法獲取計(jì)算機(jī)信息數(shù)據(jù)罪中的“侵入”界定為違背被害人意愿、非法進(jìn)入計(jì)算機(jī)信息系統(tǒng)的行為，具體表現(xiàn)形式既包括采用技術(shù)手段破壞系統(tǒng)防護(hù)進(jìn)入計(jì)算機(jī)信息系統(tǒng)，也包括未取得被害人授權(quán)擅自進(jìn)入計(jì)算機(jī)信息系統(tǒng)，還包括超出被害人授權(quán)范圍進(jìn)入計(jì)算機(jī)信息系統(tǒng)。從技術(shù)邏輯而言，上述各類手段對(duì)于破壞計(jì)算機(jī)信息系統(tǒng)罪而言仍然成立。因此，數(shù)據(jù)犯罪的技術(shù)手段包括破壞性技術(shù)手段以及違背被害人授權(quán)意愿(未經(jīng)授權(quán)或者超越授權(quán))的情形。但隨著數(shù)字技術(shù)的快速更新，數(shù)據(jù)網(wǎng)站的技術(shù)保護(hù)措施與數(shù)據(jù)犯罪技術(shù)破壞措施之間的技術(shù)較量日益升級(jí)，導(dǎo)致數(shù)字犯罪入罪的技術(shù)判斷愈加困難，尤其是對(duì)數(shù)據(jù)網(wǎng)站通過技術(shù)和協(xié)議表達(dá)出來的授權(quán)規(guī)則能否作為判斷數(shù)據(jù)犯罪成立的判斷標(biāo)準(zhǔn)，不無疑問。(7)參見劉笑岑：《HiQ v.Linkedln案的啟示與未決之題》，載微信公眾號(hào)“互聯(lián)網(wǎng)mate”，2019-09-24。如違背事前的使用條款(如robots協(xié)議)、事后的禁令通知、突破IP封鎖技術(shù)等是否構(gòu)成數(shù)據(jù)犯罪，仍存在激烈爭(zhēng)論。

面對(duì)我國(guó)數(shù)據(jù)犯罪的規(guī)范判斷過于抽象和技術(shù)判斷日益困難的現(xiàn)實(shí)，我國(guó)司法實(shí)務(wù)則對(duì)數(shù)據(jù)犯罪采取了日趨嚴(yán)厲的刑事規(guī)制策略。以網(wǎng)絡(luò)爬蟲抓取數(shù)據(jù)案件為例，2013年百度訴奇虎360案、2015年新浪微博訴脈脈案、2016年大眾點(diǎn)評(píng)訴百度地圖案等案件都被定性為不正當(dāng)競(jìng)爭(zhēng)行為，而2017年酷米客訴車來了非法獲取數(shù)據(jù)案、2018年晟品公司非法抓取視頻數(shù)據(jù)案等案件卻被定性為刑事犯罪，其背后的司法邏輯是不區(qū)分?jǐn)?shù)據(jù)侵害行為的技術(shù)特征而一律入罪。數(shù)據(jù)侵害行為的技術(shù)方式多樣，既包括違背數(shù)據(jù)網(wǎng)站意思表達(dá)的抓取，如違反爬蟲協(xié)議、服務(wù)協(xié)議、點(diǎn)擊生效協(xié)議、瀏覽生效協(xié)議等，也包括故意避開或強(qiáng)行突破數(shù)據(jù)網(wǎng)站安全保障措施的抓取，如避開、越過、破壞技術(shù)安保措施的行為。但上述數(shù)據(jù)侵害行為的法益侵害程度并不相同，一概入罪勢(shì)必?cái)U(kuò)大數(shù)據(jù)犯罪的處罰范圍。(8)楊志瓊：《數(shù)據(jù)時(shí)代網(wǎng)絡(luò)爬蟲的刑法規(guī)制》，載《比較法研究》，2020(4)。從社會(huì)效果來看，對(duì)數(shù)據(jù)獲取、利用行為采取日趨嚴(yán)厲的刑法規(guī)制已經(jīng)對(duì)我國(guó)數(shù)據(jù)產(chǎn)業(yè)造成極大負(fù)面影響。據(jù)媒體報(bào)道，自2019年以來，多家大數(shù)據(jù)公司遭公安機(jī)關(guān)調(diào)查，眾多知名大數(shù)據(jù)公司基于各種顧慮暫停相關(guān)數(shù)據(jù)業(yè)務(wù)，整個(gè)大數(shù)據(jù)行業(yè)如履薄冰。然而，以網(wǎng)絡(luò)爬蟲為代表的數(shù)據(jù)收集、使用行為是當(dāng)前數(shù)據(jù)互聯(lián)網(wǎng)行業(yè)不可或缺的技術(shù)措施，也是當(dāng)前大數(shù)據(jù)產(chǎn)業(yè)發(fā)展的關(guān)鍵，對(duì)其予以過度的刑事規(guī)制，實(shí)質(zhì)是變相強(qiáng)化“數(shù)據(jù)寡頭”的市場(chǎng)優(yōu)勢(shì)地位，最終阻礙數(shù)字經(jīng)濟(jì)的發(fā)展。

(二)美國(guó)數(shù)據(jù)犯罪的刑法規(guī)制趨勢(shì)：逐漸緩和

美國(guó)數(shù)據(jù)犯罪的刑法規(guī)制主要涉及聯(lián)邦CFAA以及以其為藍(lán)本的各州法律的適用，并在多年的司法實(shí)踐中圍繞數(shù)據(jù)犯罪的“授權(quán)”判斷逐漸從嚴(yán)厲走向緩和。CFAA是美國(guó)法典中規(guī)制數(shù)據(jù)犯罪影響力最深遠(yuǎn)的刑事法律之一，被編載入《美國(guó)聯(lián)邦法典》第18編刑事法律部分的第1030條。(9)第1030條(a)規(guī)定了個(gè)人故意“未經(jīng)授權(quán)訪問計(jì)算機(jī)”(access without authorization)或者“超出授權(quán)訪問計(jì)算機(jī)”(exceeding authorized access)并從事下列7種行為，應(yīng)承擔(dān)刑事責(zé)任或民事責(zé)任：(1)獲取政府?dāng)?shù)據(jù)或與國(guó)家安全機(jī)密數(shù)據(jù)；(2)訪問各類受保護(hù)計(jì)算機(jī)并獲取數(shù)據(jù)；(3)訪問聯(lián)邦政府擁有或?qū)Ｓ玫挠?jì)算機(jī)；(4)訪問計(jì)算機(jī)并實(shí)施詐騙；(5)損壞受保護(hù)的計(jì)算機(jī)或者其中儲(chǔ)存的數(shù)據(jù)；(6)對(duì)計(jì)算機(jī)訪問密碼進(jìn)行非法交易；(7)使用計(jì)算機(jī)進(jìn)行敲詐勒索。參見18 U.S.C.A.§1030(a)(1)～(7) (2006)。其中，與數(shù)據(jù)犯罪緊密相關(guān)的是《美國(guó)聯(lián)邦法典》第1030條(a)(2)和第1030條(a)(5)之規(guī)定。第1030條(a)(2)規(guī)定的侵入計(jì)算機(jī)信息系統(tǒng)并獲取數(shù)據(jù)罪是指行為人故意未經(jīng)授權(quán)或者超越授權(quán)侵入計(jì)算機(jī)信息系統(tǒng)并獲取數(shù)據(jù)，這里的“獲取”包括瀏覽、下載、復(fù)制數(shù)據(jù)等行為；第1030條(a)(5)規(guī)定的破壞計(jì)算機(jī)信息系統(tǒng)罪是指行為人故意未經(jīng)授權(quán)或者超越授權(quán)刪除、修改計(jì)算機(jī)數(shù)據(jù)的行為。從上述立法來看，CFAA對(duì)數(shù)據(jù)犯罪的規(guī)定都將“未經(jīng)授權(quán)訪問”或者“超越授權(quán)訪問”作為基本行為要件，與罪行、意圖、所造成的損害等附加要件相結(jié)合，形成不同的犯罪類型，因而判斷數(shù)據(jù)獲取、使用、破壞行為是否被“授權(quán)”對(duì)數(shù)據(jù)犯罪的成立至關(guān)重要。但CFAA并為對(duì)“未經(jīng)授權(quán)”進(jìn)行明確定義，只是將“超越授權(quán)”循環(huán)定義為“授權(quán)訪問計(jì)算機(jī)并利用該權(quán)限去獲取或者更改計(jì)算機(jī)數(shù)據(jù)”。(10)18 U.S.C.A.§1030(e)(6).這樣，“授權(quán)”的規(guī)范判斷不清直接導(dǎo)致CFAA的適用范圍模糊不清，加之不同技術(shù)場(chǎng)景下計(jì)算機(jī)訪問行為的“授權(quán)”方式并不相同，最終導(dǎo)致數(shù)據(jù)犯罪的入罪判斷難題。(11)Myra F.Din.“Breaching and Entering:When Data Scraping Should be a Federal Computer Hacking Crime”.Brooklyn Law Review.2015,81:418.

近年來，美國(guó)法院通過一系列解釋性操作重塑了CFAA的適用，并從嚴(yán)厲走向緩和。早期美國(guó)判例對(duì)于數(shù)據(jù)抓取、使用行為是否被“授權(quán)”的判斷采取寬泛的入罪標(biāo)準(zhǔn)，幾乎所有能顯示數(shù)據(jù)網(wǎng)站對(duì)抓取行為不滿的信號(hào)都足以讓法官認(rèn)定訪問是“未經(jīng)授權(quán)”的，如違反數(shù)據(jù)網(wǎng)站使用條款、違反雇員忠誠(chéng)義務(wù)、違反保密協(xié)議、違反數(shù)據(jù)庫(kù)授權(quán)或其他合同限制都被認(rèn)為“未經(jīng)授權(quán)”或“超越授權(quán)”，甚至有判例認(rèn)為數(shù)據(jù)網(wǎng)站對(duì)抓取行為提起控訴就足以證明抓取“未經(jīng)授權(quán)”。(12)Andrew Sellars.“Twenty Years of Web Scraping and the Computer Fraud and Abuse Act”.Boston University Journal of Science and Technology Law,2018,24:394.上述入罪判斷標(biāo)準(zhǔn)被批判為授予了數(shù)據(jù)網(wǎng)站過多權(quán)限來定義CFAA中的“授權(quán)”，使網(wǎng)絡(luò)用戶普遍面臨刑事追責(zé)的風(fēng)險(xiǎn)。因?yàn)楫?dāng)數(shù)據(jù)網(wǎng)站可以隨時(shí)單方面改變服務(wù)協(xié)議或使用政策，而網(wǎng)絡(luò)用戶無法對(duì)此有足夠的了解或及時(shí)了解。(13)Orin S.Kerr.“ Cybercrime’s Scope:Interpreting‘Access’ and‘Authorization’ in Computer Misuse Statues”. New York University Law Review,2003,78:1599.此后，第九巡回法院意識(shí)到之前的判例雖然廣泛討論了訪問行為是否獲得“授權(quán)”，但忽略了這種“授權(quán)”是否可以終止以及如何終止的問題，這顯然不利于數(shù)據(jù)網(wǎng)站維護(hù)自身數(shù)據(jù)權(quán)益。當(dāng)網(wǎng)站所有者發(fā)現(xiàn)或懷疑存在違規(guī)抓取行為時(shí)，通常會(huì)向抓取者發(fā)送停止或終止信件，即所謂的“愿望清單”，因而授權(quán)被撤銷后繼續(xù)獲取數(shù)據(jù)應(yīng)視為非法抓取。(14)United States v.Nosal,828 F.3d 865 (9th Cir.2016).如Craigslist Inc.v.3Taps Inc.和Facebook,Inc.v.Power Ventures案件的判例都認(rèn)為，雖然違背數(shù)據(jù)網(wǎng)站的使用條款并不一定能引發(fā)CFAA的適用，但是在數(shù)據(jù)網(wǎng)站事后有明確撤銷訪問的函告或者通知時(shí)，后續(xù)的訪問、獲取數(shù)據(jù)行為違反了CFAA。這意味著數(shù)據(jù)網(wǎng)站只需要在提起訴訟前提出停止和終結(jié)抓取的信函，就可以使網(wǎng)絡(luò)用戶面臨CFAA適用，再次擴(kuò)大了數(shù)據(jù)犯罪的范疇。(15)Annie Lee.“Algorithmic Auditing and Competition under the CFAA:The Revocation Paradigm of Interpreting Access and Authorization”.Berkeley Technology Law Journal,2018,33:1331.

鑒于上述寬松適用政策引發(fā)了公眾的不滿，法院近年來開始對(duì)數(shù)據(jù)犯罪中“授權(quán)”的判斷采取狹義解釋以縮小CFAA中數(shù)據(jù)犯罪的處罰范圍。這主要沿著兩條主線展開：(1)對(duì)數(shù)據(jù)犯罪中“授權(quán)”的判斷開始采取更明確的技術(shù)判斷標(biāo)準(zhǔn)，如考察訪問、獲取數(shù)據(jù)行為是否違反數(shù)據(jù)網(wǎng)站的安全防御技術(shù)等，而不局限于是否僅違反數(shù)據(jù)網(wǎng)站的合同規(guī)定。這就意味著CFAA中的“未經(jīng)授權(quán)”主要適用于“黑客攻擊”或規(guī)避計(jì)算機(jī)技術(shù)準(zhǔn)入障礙的行為，而不是盜用商業(yè)機(jī)密行為，因而“未經(jīng)授權(quán)”僅限于違反對(duì)計(jì)算機(jī)訪問的限制，而不是對(duì)獲取數(shù)據(jù)后的使用限制。(16)United States v.Nosal,676 F.3d 854 (9th Cir.2012).(2)判例開始縮小對(duì)公共數(shù)據(jù)的CFAA適用。2017年以來，判例開始對(duì)公開數(shù)據(jù)和私人數(shù)據(jù)采取二分法處理，即對(duì)公開數(shù)據(jù)不適用CFAA。兩起案例表明美國(guó)法院對(duì)公開數(shù)據(jù)抓取的認(rèn)定趨勢(shì)正在發(fā)生改變，增加了公共政策的考量。首先，在HiQLabs,Inc.v.LinkedIn Corp.案中，地區(qū)法院認(rèn)為，新生數(shù)據(jù)企業(yè)如果不能從LinkedIn抓取數(shù)據(jù)將會(huì)面臨倒閉，這顯然不利于數(shù)據(jù)競(jìng)爭(zhēng)和數(shù)字經(jīng)濟(jì)的發(fā)展。為了保護(hù)數(shù)據(jù)自由競(jìng)爭(zhēng)秩序，數(shù)據(jù)使用者可以正當(dāng)獲取、使用其他數(shù)據(jù)網(wǎng)站的公開數(shù)據(jù)。(17)HiQ Labs,Inc.v.LinkedIn Corp.,273 F.Supp.3d 1099 (N.D.Cal.2017).其次，在Sandvig v.Sessions案中，針對(duì)科研人員抓取網(wǎng)站公開數(shù)據(jù)用于科研的行為，法院認(rèn)為，出于對(duì)社會(huì)有益的目的而訪問、抓取公開數(shù)據(jù)的行為只是“數(shù)據(jù)收集技術(shù)的進(jìn)步”，即便明顯違反了數(shù)據(jù)網(wǎng)站的使用條款，也不違反CFAA。(18)Sandvig v.Sessions,No.16-cv-1638(JDB),2018 WL 1568881 (D.D.C.Mar.30,2018).對(duì)數(shù)據(jù)獲取、利用行為采取緩和刑事政策符合美國(guó)數(shù)字經(jīng)濟(jì)驅(qū)動(dòng)功能的發(fā)展需求，極大推動(dòng)了數(shù)據(jù)流動(dòng)和再利用，助力美國(guó)數(shù)據(jù)產(chǎn)業(yè)的發(fā)展。

綜上可見，中美數(shù)據(jù)犯罪中“授權(quán)”判斷存在趨嚴(yán)與緩和的不同趨勢(shì)。這種“冰火兩重天”的不同格局勢(shì)必對(duì)將來各國(guó)數(shù)據(jù)產(chǎn)業(yè)產(chǎn)生不同的深遠(yuǎn)影響，應(yīng)該引起我國(guó)司法機(jī)關(guān)乃至政策層的關(guān)注。尤其是在我國(guó)當(dāng)前對(duì)數(shù)據(jù)犯罪趨嚴(yán)刑事規(guī)制的負(fù)面影響已經(jīng)凸顯時(shí)，如何建構(gòu)合理的數(shù)據(jù)犯罪入罪標(biāo)準(zhǔn)，謹(jǐn)慎平衡數(shù)字產(chǎn)業(yè)發(fā)展和數(shù)據(jù)安全維護(hù)的利益訴求，是當(dāng)前我國(guó)數(shù)據(jù)犯罪亟需解決的司法難題。

二、美國(guó)數(shù)據(jù)犯罪司法爭(zhēng)議的梳理：主客觀入罪標(biāo)準(zhǔn)的碰撞

雖然美國(guó)CFAA對(duì)數(shù)據(jù)犯罪中“未經(jīng)授權(quán)”“超越授權(quán)”的規(guī)定并不明晰，但多年來美國(guó)判例一直致力于對(duì)不同技術(shù)場(chǎng)景下“授權(quán)”進(jìn)行解釋并形成不同判斷標(biāo)準(zhǔn)，逐漸緩和了數(shù)據(jù)犯罪的刑法規(guī)制，促進(jìn)了數(shù)字產(chǎn)業(yè)的快速發(fā)展。分析這些入罪判斷標(biāo)準(zhǔn)的規(guī)制利弊，能為我國(guó)數(shù)據(jù)犯罪的場(chǎng)景化分析提供有益借鑒。

(一)違反數(shù)據(jù)網(wǎng)站合同協(xié)議的入罪判斷

美國(guó)部分法院通過判斷行為人是否違反明確或隱含的合同協(xié)議來確定其訪問是否被授權(quán)。當(dāng)行為人以違反現(xiàn)有“合同”內(nèi)容的方式獲取網(wǎng)絡(luò)數(shù)據(jù)時(shí)，便屬于未經(jīng)“授權(quán)”，可能違反CFAA。這里的“合同”不僅包括傳統(tǒng)的合同，如網(wǎng)絡(luò)服務(wù)協(xié)議，還包括一些非正式的合同，如企業(yè)的電腦使用政策或公司其他計(jì)算機(jī)使用手冊(cè)。(19)Andrew T.Hernacki.“A Vague Law in a Smartphone World:Limiting the Scope of Unauthorized Access Under the Computer Fraud and Abuse Act”.American University Law Review,2012,61(6):1555.如在United States v.Rodriguez案中，社會(huì)安全管理局(下文簡(jiǎn)稱SSA)的電信業(yè)務(wù)代理Rodriguez涉嫌使用他對(duì)SSA數(shù)據(jù)庫(kù)的訪問權(quán)限來獲取他感興趣的女性的信息。而此前SSA曾多次通過強(qiáng)制培訓(xùn)課程、辦公室通知和公司電腦上的辦公日志來提醒員工禁止以非商業(yè)目的訪問SSA數(shù)據(jù)庫(kù)信息。法院認(rèn)為Rodriguez違反公司計(jì)算機(jī)使用政策訪問、獲取數(shù)據(jù)的行為違反了CFAA。(20)United States v.Rodriguez,628 F.3d 1258,1260 (11th Cir.2010).從以往判例來看，法院在將違反合同協(xié)議的數(shù)據(jù)抓取行為認(rèn)定為犯罪時(shí)，通常需要考察數(shù)據(jù)網(wǎng)站是否對(duì)數(shù)據(jù)抓取給予了明確通知，以及訪問者是否對(duì)數(shù)據(jù)訪問、使用的合同條款進(jìn)行了實(shí)質(zhì)性的了解并作出真實(shí)的意思表示。(21)Patricia L.Bellia.“A Code-Based Approach to Unauthorized Access Under the Computer Fraud and Abuse Act”.George Washington Law Review,2016,84:1456.

違反合同協(xié)議的入罪判斷方式允許數(shù)據(jù)網(wǎng)站有效地控制其計(jì)算機(jī)信息系統(tǒng)的訪問、使用，進(jìn)而保護(hù)其專有數(shù)據(jù)。(22)Samuel Kane.“Available,Granted,Revoked:A New Framework for Assessing Unauthorized Access under the Computer Fraud and Abuse Act”.University of Chicago Law Review,2020,87:1450.但這種依據(jù)合同理論采取的入罪判斷標(biāo)準(zhǔn)被批判為過于主觀，實(shí)質(zhì)是賦予數(shù)據(jù)網(wǎng)站依據(jù)自身利益來設(shè)定違法犯罪的邊界，從而將反黑客法規(guī)變成打擊網(wǎng)絡(luò)不端行為的通用許可證，最終將數(shù)據(jù)侵害行為的違法判斷委托給數(shù)據(jù)網(wǎng)站，使得網(wǎng)絡(luò)用戶普遍面臨入罪風(fēng)險(xiǎn)。(23)Orin S.Kerr.“Cybercrime’s Scope:Interpreting ‘Access’ and ‘Authorization’ in Computer Misuse Statutes”.New York University Law Review,2003, 78:1659.

(二)違反雇員代理義務(wù)的入罪判斷

美國(guó)部分法院在涉及雇傭關(guān)系的數(shù)據(jù)竊取案件中運(yùn)用商法中的代理理論來區(qū)分授權(quán)訪問與非授權(quán)訪問。代理理論認(rèn)為員工對(duì)雇主負(fù)有忠誠(chéng)義務(wù)，其行為必須完全符合雇主或公司利益。如果雇員實(shí)際上與委托人競(jìng)爭(zhēng)或幫助委托人的競(jìng)爭(zhēng)對(duì)手，則違反了忠誠(chéng)義務(wù)，代理關(guān)系終止，對(duì)數(shù)據(jù)的訪問權(quán)限也被終止，此時(shí)雇員為了競(jìng)爭(zhēng)利益而爬取、刪除、修改雇主計(jì)算機(jī)中的數(shù)據(jù)的行為屬于“未經(jīng)授權(quán)”。美國(guó)法院在Shurgard Inc.v.Safeguard Inc.中首次將CFAA刑事責(zé)任應(yīng)用于不忠雇員竊取雇主數(shù)據(jù)的行為，認(rèn)為雇員未經(jīng)雇主同意而將其商業(yè)秘密發(fā)送給競(jìng)爭(zhēng)對(duì)手時(shí)，違反了對(duì)雇主、委托人的忠誠(chéng)義務(wù)，其訪問、獲取數(shù)據(jù)的行為違反了CFAA。(24)Shurgard Storage Centers,Inc.v.Safeguard Self Storage,Inc，119 F.Supp.2d 1121(W.D.Wash.2000).以往判例顯示，法院在確定雇員是否因違反代理義務(wù)而違反CFAA時(shí)，必須考察雇員是否從事或者協(xié)助競(jìng)爭(zhēng)對(duì)手從事了損害雇主利益的數(shù)據(jù)侵害行為，如刪除、修改或者復(fù)制雇主計(jì)算機(jī)系統(tǒng)中的數(shù)據(jù)以促進(jìn)競(jìng)爭(zhēng)利益，并給雇主造成超過5 000美元的損失等。(25)Christopher Dodson.“Authorized:The Case for Duty of Loyalty Suits Against Former Employees under the Computer Fraud and Abuse Act”.Drexel Law Review,2012,5:219.

代理理論被認(rèn)為是最有利于雇主的訪問“授權(quán)”判斷模式，但和前述違反合同的適用規(guī)則一樣，也被批判為賦予雇主過多權(quán)限來認(rèn)定違法犯罪，實(shí)質(zhì)上仍是一種主觀的入罪判斷標(biāo)準(zhǔn)。因?yàn)榇砝碚撐茨芫唧w闡明在數(shù)據(jù)領(lǐng)域雇傭關(guān)系中“忠誠(chéng)義務(wù)”的范圍以及哪些行為超出了“忠誠(chéng)義務(wù)”的范疇，難免不恰當(dāng)?shù)財(cái)U(kuò)大了CFAA的適用范圍。(26)Orin S.Kerr.“Vagueness Challenges to the Computer Fraud and Abuse Act”.Minnesota Law Review,2010,94:1587.

(三)突破數(shù)據(jù)網(wǎng)站技術(shù)安全措施的入罪判斷

美國(guó)學(xué)界在批判前述合同理論和代理理論過于主觀、具有擴(kuò)大數(shù)據(jù)犯罪范疇的風(fēng)險(xiǎn)時(shí)，提出了代碼理論，該方法試圖通過審查用戶是否規(guī)避技術(shù)壁壘來界定“授權(quán)”，認(rèn)為只有回避或突破計(jì)算機(jī)信息系統(tǒng)中代碼屏障的訪問才是非法的。(27)Orin S.Kerr.“ Cybercrime’s Scope:Interpreting‘Access’ and‘Authorization’ in Computer Misuse Statues”.New York University Law Review,2003,78:1659；Patricia L.Bellia.“A Code-Based Approach to Unauthorized Access Under the Computer Fraud and Abuse Act”.George Washington Law Review,2016,84:1442.代碼理論試圖通過使用軟件或者其他計(jì)算機(jī)配置來表達(dá)數(shù)據(jù)網(wǎng)站限制授權(quán)的愿望，確保入侵者知道是在未經(jīng)授權(quán)的情況下訪問數(shù)據(jù)網(wǎng)站，從而解決了合同理論中的通知難題。這種入罪判斷方法需要對(duì)被告獲得訪問權(quán)限的具體技術(shù)方式進(jìn)行事實(shí)審查，如有無實(shí)施利用軟件程序中的漏洞、更改IP地址、使用服務(wù)器代理來繞過互聯(lián)網(wǎng)協(xié)議(IP)、重復(fù)發(fā)送公共查詢(GET請(qǐng)求)來檢索數(shù)據(jù)等行為。(28)⑤ Annie Lee.“Algorithmic Auditing and Competition under the CFAA:The Revocation Paradigm of Interpreting Access and Authorization”.Berkeley Technology Law Journal,2018,33:1317,1331.如在HiQLabs,Inc.v.LinkedIn Corp.案中，法院認(rèn)為，當(dāng)用戶沒有繞過驗(yàn)證身份的技術(shù)障礙(如密碼登錄)時(shí)，被告的訪問、獲取數(shù)據(jù)行為并不違反CFAA，因?yàn)檫@些數(shù)據(jù)沒有受到密碼登錄或其他認(rèn)證機(jī)制的保護(hù)。(29)HiQ Labs,Inc.v.LinkedIn Corporation,938 F.3d 985 (2019).

代碼理論是基于數(shù)字技術(shù)的客觀入罪判斷標(biāo)準(zhǔn)，其優(yōu)勢(shì)在于允許用戶使用互聯(lián)網(wǎng)而不必?fù)?dān)憂因違反難以理解的合同而受到刑事追訴，但其技術(shù)邏輯過于僵化而限制了數(shù)據(jù)網(wǎng)站選擇保護(hù)其數(shù)據(jù)方式的靈活性。因?yàn)榇a理論將保護(hù)數(shù)據(jù)安全的義務(wù)交付于數(shù)據(jù)網(wǎng)站自身，而不是督促訪問者嚴(yán)格遵守?cái)?shù)據(jù)網(wǎng)站的規(guī)定。(30)Andrew T.Hernacki.“A Vague Law in a Smartphone World:Limiting the Scope of Unauthorized Access Under the Computer Fraud and Abuse Act”.American University Law Review， 2012, 61(6):1574.這可能會(huì)促使數(shù)據(jù)網(wǎng)站采用技術(shù)措施排除更多用戶，而難以將精力集中于應(yīng)對(duì)真正的網(wǎng)絡(luò)黑客。

(四)違反數(shù)據(jù)網(wǎng)站撤銷機(jī)制的入罪判斷

前述幾種“授權(quán)”解釋范式缺乏對(duì)“通知”的關(guān)注，如合同理論通過用戶閱讀使用協(xié)議或其他服務(wù)協(xié)議來告知授權(quán)訪問，卻忽略了用戶很少閱讀上述合同內(nèi)容的事實(shí)；代理理論著眼于被告獲取、刪除數(shù)據(jù)行為是否符合雇主最大利益，而不論被告是否知道自己已超出雇傭關(guān)系的界限；代碼理論關(guān)注異常的訪問行為何時(shí)構(gòu)成“技術(shù)規(guī)避”而不詢問用戶是否知曉其已經(jīng)越過了授權(quán)邊界。⑤而撤銷授權(quán)理論則為授權(quán)通知提供了一個(gè)更為清晰的判斷標(biāo)準(zhǔn)。第九巡回法院認(rèn)為，僅憑違反合同仍無法判定數(shù)據(jù)抓取行為是否“未經(jīng)授權(quán)”或者“超越授權(quán)”，但如果數(shù)據(jù)網(wǎng)站存在事后的撤銷通知或撤銷措施，用戶在明知其授權(quán)被撤銷后仍繼續(xù)爬取網(wǎng)站數(shù)據(jù)，則會(huì)違反CFAA。(31)United States v.Nosal,844 F.3d 1024,1036 (9th Cir.2016).這個(gè)新的撤銷標(biāo)準(zhǔn)為確定用戶何時(shí)失去授權(quán)方面提供了更明確的標(biāo)準(zhǔn)，即當(dāng)數(shù)據(jù)網(wǎng)站已經(jīng)通過發(fā)送諸如停止和終止訪問之類的簡(jiǎn)單命令來撤銷授權(quán)時(shí)，用戶就不能再訪問、爬取數(shù)據(jù)。對(duì)此，法院只需考察：(1)數(shù)據(jù)網(wǎng)站是否明確撤銷了授權(quán)；(2)用戶是否在明知其授權(quán)已被撤銷的情況下繼續(xù)訪問獲取數(shù)據(jù)。(32)Andrew Sellars.“Twenty Years of Web Scraping and the Computer Fraud and Abuse Act”.Boston University Journal of Science and Technology Law,2018,24:405.撤銷理論的典型案例始于Craigslist Inc.v.3Taps Inc.，并經(jīng)Facebook,Inc.v.Power Ventures案達(dá)到頂峰。在上述兩個(gè)案件中，法院認(rèn)為，原告發(fā)送停止函并設(shè)置IP壁壘的行為已經(jīng)撤銷了對(duì)被告訪問權(quán)限的授權(quán)，被告繼續(xù)抓取數(shù)據(jù)的行為違反了CFAA。(33)Craigslist Inc.v.3Taps Inc.,964 F.Supp.2d 1178 (N.D.Cal.2013)；Facebook,Inc.v.Power Ventures,Inc.,844 F.3d 1058 (9th Cir.2016).

撤銷機(jī)制賦予數(shù)據(jù)網(wǎng)站可以隨時(shí)撤銷用戶訪問的權(quán)限，增加了數(shù)據(jù)網(wǎng)站對(duì)未經(jīng)授權(quán)或超越授權(quán)訪問的控制權(quán)和防御權(quán)。但數(shù)據(jù)網(wǎng)站過于隨意地行使撤銷權(quán)易導(dǎo)致歧視和潛在的不公平，進(jìn)而對(duì)數(shù)據(jù)競(jìng)爭(zhēng)造成損害，因而如何確定數(shù)據(jù)網(wǎng)站行使撤銷權(quán)的“合理理由”仍需進(jìn)一步明確。(34)Annie Lee.“Algorithmic Auditing and Competition under the CFAA:The Revocation Paradigm of Interpreting Access and Authorization”.Berkeley Technology Law Journal,2018,33:1334.

綜上可見，美國(guó)判例對(duì)數(shù)據(jù)犯罪中“授權(quán)”的規(guī)范判斷進(jìn)行了場(chǎng)景化分析：合同協(xié)議是通過合同使用條款和政策內(nèi)容來表達(dá)限制范圍；代理義務(wù)主要適用于雇傭領(lǐng)域，通過忠誠(chéng)義務(wù)來傳達(dá)授權(quán)范圍；代碼理論是通過技術(shù)安全措施來明確訪問邊界；撤銷機(jī)制是通過事后通知來明確禁止訪問的范圍。(35)Patricia L.Bellia.“A Code-Based Approach to Unauthorized Access Under the Computer Fraud and Abuse Act”.George Washington Law Review,2016，84:1469.雖然上述各種觀點(diǎn)各有利弊，但仍向我們提供了可供借鑒的規(guī)制數(shù)據(jù)犯罪思路，即一種由主觀認(rèn)定標(biāo)準(zhǔn)走向客觀認(rèn)定標(biāo)準(zhǔn)的入罪路徑。

三、美國(guó)數(shù)據(jù)犯罪刑法規(guī)制對(duì)我國(guó)的啟示：客觀入罪標(biāo)準(zhǔn)的確立

我國(guó)數(shù)據(jù)犯罪的立法規(guī)定和司法解釋并未對(duì)數(shù)據(jù)犯罪的行為要件給予明確的界定，導(dǎo)致了實(shí)務(wù)中的入罪難題。美國(guó)司法判例對(duì)“授權(quán)”的裁判經(jīng)驗(yàn)更體現(xiàn)了不同場(chǎng)景下“技術(shù)性”解釋與“規(guī)范性”解釋的高度融合，因而借鑒美國(guó)裁判經(jīng)驗(yàn)并揚(yáng)長(zhǎng)避短，能為今后我國(guó)規(guī)制數(shù)據(jù)犯罪指明方向。

(一)違反數(shù)據(jù)網(wǎng)站合同協(xié)議的數(shù)據(jù)侵害行為應(yīng)出罪

美國(guó)和我國(guó)數(shù)據(jù)犯罪的認(rèn)定都面臨應(yīng)否將違反數(shù)據(jù)網(wǎng)站合同協(xié)議的數(shù)據(jù)抓取、使用行為入罪的判斷難題。如何在維護(hù)數(shù)據(jù)安全的同時(shí)促進(jìn)數(shù)據(jù)的流通、利用，是數(shù)字時(shí)代各國(guó)共同的難題。因?yàn)榫W(wǎng)絡(luò)空間中法律和技術(shù)邊界需要平衡兩個(gè)至關(guān)重要而又相互沖突的價(jià)值目標(biāo)：一是確保網(wǎng)絡(luò)用戶能自由表達(dá)和行事的互聯(lián)網(wǎng)原始價(jià)值觀；二是確保計(jì)算機(jī)數(shù)據(jù)安全和用戶個(gè)人隱私安全，不受他人隨意干預(yù)。(36)⑤ Orin S.Kerr.“ Cybercrime’s Scope:Interpreting ‘Access’ and ‘Authorization’ in Computer Misuse Statues”.New York University Law Review ,2003,78:1650,1659.

不同于物理空間通過門窗、墻壁等確定權(quán)利邊界，計(jì)算機(jī)信息系統(tǒng)虛擬空間的權(quán)利邊界只能通過控制者設(shè)置的訪問權(quán)限來確定，因而對(duì)計(jì)算機(jī)或數(shù)據(jù)網(wǎng)站訪問的“授權(quán)”難免具有相當(dāng)程度的主觀色彩。(37)劉明：《數(shù)據(jù)抓取行為的規(guī)制路徑》，載微信公眾號(hào)“互聯(lián)網(wǎng)mate”，2019-03-05。尤其是在涉及數(shù)據(jù)安全維護(hù)和數(shù)據(jù)競(jìng)爭(zhēng)沖突時(shí)，數(shù)據(jù)網(wǎng)站對(duì)自身數(shù)據(jù)權(quán)益的維護(hù)必然趨于嚴(yán)厲，能否將數(shù)據(jù)網(wǎng)站依據(jù)使用協(xié)議表示的授權(quán)規(guī)則作為數(shù)據(jù)犯罪的入罪邊界，不無疑問。因?yàn)閺募夹g(shù)邏輯而言，數(shù)據(jù)網(wǎng)站的合同協(xié)議或使用政策都是依據(jù)數(shù)據(jù)網(wǎng)站自身利益來設(shè)定數(shù)據(jù)抓取的行為邊界，如果將違背數(shù)據(jù)網(wǎng)站意愿的數(shù)據(jù)獲取、使用行為都認(rèn)定為犯罪，實(shí)質(zhì)上是將網(wǎng)絡(luò)數(shù)據(jù)侵害行為違法犯罪的判斷委托給數(shù)據(jù)網(wǎng)站，易將網(wǎng)絡(luò)不道德行為或者一般違法行為認(rèn)定為數(shù)據(jù)犯罪。⑤這種擴(kuò)大處罰趨勢(shì)雖然有利于加強(qiáng)數(shù)據(jù)管控，維護(hù)數(shù)據(jù)安全和隱私安全，但過于嚴(yán)厲的刑事追訴將導(dǎo)致數(shù)字獲取、利用行為的萎縮，阻礙數(shù)字經(jīng)濟(jì)的正常發(fā)展。

因此，本文認(rèn)為，體現(xiàn)數(shù)據(jù)網(wǎng)站授權(quán)目的的合同協(xié)議是披著契約外衣的“私立規(guī)則”，違背此種授權(quán)目的的數(shù)據(jù)抓取、使用行為應(yīng)采用傳統(tǒng)的合同法、侵權(quán)法、知識(shí)產(chǎn)權(quán)法、反壟斷法進(jìn)行救濟(jì)，而不能作為刑事案件來追訴。(38)楊志瓊：《數(shù)字時(shí)代網(wǎng)絡(luò)爬蟲的刑法規(guī)制》，載《比較法研究》，2020(4)；高仕銀：《計(jì)算機(jī)網(wǎng)絡(luò)犯罪規(guī)制中的“未經(jīng)授權(quán)”與“超越授權(quán)”——中美比較研究》，載《時(shí)代法學(xué)》，2020(1)。這就意味著，不應(yīng)將違反數(shù)據(jù)網(wǎng)站使用政策(如Robots協(xié)議等)的數(shù)據(jù)抓取行為認(rèn)定為數(shù)據(jù)犯罪，而應(yīng)結(jié)合數(shù)據(jù)保護(hù)目的、技術(shù)使用場(chǎng)景等綜合認(rèn)定，考慮適用知識(shí)產(chǎn)權(quán)侵權(quán)責(zé)任或者不正當(dāng)競(jìng)爭(zhēng)法責(zé)任等民事責(zé)任。(1)違背數(shù)據(jù)網(wǎng)站合同協(xié)議的數(shù)據(jù)侵害行為可能承擔(dān)知識(shí)產(chǎn)權(quán)侵權(quán)責(zé)任。當(dāng)前違背數(shù)據(jù)網(wǎng)站合同協(xié)議的數(shù)據(jù)侵害行為主要表現(xiàn)為侵害著作權(quán)，這主要是因?yàn)橹鳈?quán)的權(quán)利內(nèi)容以及權(quán)利救濟(jì)體系較為完備。在侵害著作權(quán)糾紛中，絕大多數(shù)案件涉及信息網(wǎng)絡(luò)傳播權(quán)侵權(quán)糾紛，具體包括未經(jīng)許可通過信息網(wǎng)絡(luò)獲取、提供權(quán)利人享有信息網(wǎng)絡(luò)傳播權(quán)的作品、表演、錄音錄像制品等的直接侵權(quán)行為，以及網(wǎng)絡(luò)服務(wù)提供者通過網(wǎng)絡(luò)基礎(chǔ)設(shè)施或者網(wǎng)絡(luò)服務(wù)為他人實(shí)施的侵權(quán)行為提供實(shí)質(zhì)性幫助的間接侵權(quán)行為。(39)楊志瓊：《數(shù)字時(shí)代網(wǎng)絡(luò)爬蟲的刑法規(guī)制》，載《比較法研究》，2020(4)。(2)違背數(shù)據(jù)網(wǎng)站合同協(xié)議的數(shù)據(jù)侵害行為可能承擔(dān)不正當(dāng)競(jìng)爭(zhēng)責(zé)任。競(jìng)爭(zhēng)法視域下的數(shù)據(jù)抓取、使用演化為數(shù)據(jù)資源的爭(zhēng)奪、競(jìng)爭(zhēng)，涉案類型主要包括：其一，典型的不正當(dāng)競(jìng)爭(zhēng)(直接競(jìng)爭(zhēng))，數(shù)據(jù)經(jīng)營(yíng)者之間的橫向競(jìng)爭(zhēng)，即同類競(jìng)爭(zhēng)對(duì)手抓取對(duì)方網(wǎng)站數(shù)據(jù)，如大眾點(diǎn)評(píng)訴愛幫網(wǎng)糾紛。其二，搜索引擎公司擴(kuò)展服務(wù)領(lǐng)域，演變成內(nèi)容服務(wù)商，利用其搜索優(yōu)勢(shì)抓取其他網(wǎng)站數(shù)據(jù)并向用戶展示，如大眾點(diǎn)評(píng)訴百度案。其三，數(shù)據(jù)產(chǎn)業(yè)的下游初創(chuàng)企業(yè)為了獲得免費(fèi)內(nèi)容或用戶數(shù)據(jù)直接抓取上游企業(yè)的數(shù)據(jù)資料，如新浪微博訴脈脈案。(40)胡凌：《互聯(lián)網(wǎng)不正當(dāng)競(jìng)爭(zhēng)認(rèn)定的趨勢(shì)》，載《上海法治報(bào)》，2016-06-29。對(duì)此，當(dāng)前司法實(shí)務(wù)主要利用《反不正當(dāng)競(jìng)爭(zhēng)法》第2條的一般條款對(duì)上述案件進(jìn)行處理(41)《反不正當(dāng)競(jìng)爭(zhēng)法》第2條規(guī)定：經(jīng)營(yíng)者在生產(chǎn)經(jīng)營(yíng)活動(dòng)中，應(yīng)當(dāng)遵循自愿、平等、公平、誠(chéng)信的原則，遵守法律和商業(yè)道德。本法所稱的不正當(dāng)競(jìng)爭(zhēng)行為，是指經(jīng)營(yíng)者在生產(chǎn)經(jīng)營(yíng)活動(dòng)中，違反本法規(guī)定，擾亂市場(chǎng)競(jìng)爭(zhēng)秩序，損害其他經(jīng)營(yíng)者或者消費(fèi)者的合法權(quán)益的行為。，以確定數(shù)據(jù)不正當(dāng)競(jìng)爭(zhēng)行為的邊界，并逐漸確立了“違背商業(yè)道德—損害競(jìng)爭(zhēng)秩序”的基本責(zé)任框架。(42)陳仕遠(yuǎn)：《反不正當(dāng)競(jìng)爭(zhēng)法一般條款在網(wǎng)絡(luò)不正當(dāng)競(jìng)爭(zhēng)案件中的適用》，載《人民法院報(bào)》，2017-08-16；孫虹、歐宏偉：《利用網(wǎng)絡(luò)爬蟲技術(shù)獲取他人公交實(shí)時(shí)運(yùn)行大數(shù)據(jù)的行為性質(zhì)》，載《人民司法》，2018(35)。這一做法的優(yōu)點(diǎn)在于可以回避對(duì)數(shù)據(jù)權(quán)屬的認(rèn)定難題和損害賠償難題，因?yàn)楦?jìng)爭(zhēng)法不具有賦予數(shù)據(jù)專有權(quán)的初衷，而是以遏制不正當(dāng)競(jìng)爭(zhēng)行為來保護(hù)民事權(quán)益。(43)孔祥?。骸丁疵穹倓t〉新視域下的反不正當(dāng)競(jìng)爭(zhēng)法》，載《比較法研究》，2018(2)。

(二)避開或突破數(shù)據(jù)網(wǎng)站技術(shù)安全措施的數(shù)據(jù)侵害行為應(yīng)入罪

鑒于合同協(xié)議對(duì)“授權(quán)”的判斷過于主觀而不合理，未來我國(guó)應(yīng)借鑒美國(guó)數(shù)據(jù)犯罪中代碼理論的入罪經(jīng)驗(yàn)，對(duì)數(shù)據(jù)犯罪中的“授權(quán)”進(jìn)行客觀違法判斷，以明確無誤地傳達(dá)數(shù)據(jù)網(wǎng)站允許抓取的數(shù)據(jù)范圍，并合理限定數(shù)據(jù)犯罪的入罪邊界。當(dāng)數(shù)據(jù)網(wǎng)站希望維護(hù)數(shù)據(jù)安全時(shí)，會(huì)通過技術(shù)屏障來限制訪問，避開或者強(qiáng)行突破計(jì)算機(jī)安全保護(hù)措施等強(qiáng)保護(hù)措施的獲取、訪問行為才屬于“未經(jīng)授權(quán)”的數(shù)據(jù)犯罪。(44)Lee Goldman.“Interpreting the Computer Fraud and Abuse Act”.University of Pittsburgh Journal of Technology Law and Policy,2012,13：26.

我國(guó)刑法規(guī)定非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪必須采取“侵入”或者“其他技術(shù)手段”。雖然立法對(duì)包括“侵入”在內(nèi)的“技術(shù)手段”沒有做明確規(guī)定，但相關(guān)司法解釋還是有跡可循的。2011年9月，最高人民法院、最高人民檢察院發(fā)布的《關(guān)于辦理危害計(jì)算機(jī)信息系統(tǒng)安全刑事案件應(yīng)用法律若干問題的解釋》第2條對(duì)于提供侵入、非法控制計(jì)算機(jī)信息系統(tǒng)程序、工具罪的解釋中，就將“專門用于侵入、非法控制計(jì)算機(jī)信息系統(tǒng)的程序、工具”界定為“具有避開或者突破計(jì)算機(jī)信息系統(tǒng)安全保護(hù)措施，未經(jīng)授權(quán)或者超越授權(quán)獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)的功能”。由于提供侵入、非法控制計(jì)算機(jī)信息系統(tǒng)程序、工具罪是非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪的幫助行為正犯化(45)喻海松：《〈關(guān)于辦理危害計(jì)算機(jī)信息系統(tǒng)安全刑事案件應(yīng)用法律若干問題的解釋〉的理解與適用》，載《人民司法》，2011(19)。，因而可將非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪的“技術(shù)手段”理解為“避開或者突破計(jì)算機(jī)信息系統(tǒng)安全保護(hù)措施”，即不按照計(jì)算機(jī)信息系統(tǒng)中安全保護(hù)措施要求的正常登錄方式訪問、獲取數(shù)據(jù)。(46)高仕銀：《計(jì)算機(jī)網(wǎng)絡(luò)犯罪規(guī)制中的“未經(jīng)授權(quán)”與“超越授權(quán)”——中美比較研究》，載《時(shí)代法學(xué)》，2020(1)。相較于前述最高人民檢察院在“衛(wèi)夢(mèng)龍、龔旭、薛東東非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)案”中將數(shù)據(jù)犯罪的技術(shù)手段概括為破壞性技術(shù)手段以及違背被害人授權(quán)意愿(未經(jīng)授權(quán)或者超越授權(quán))的情形而言，“避開或者突破計(jì)算機(jī)信息系統(tǒng)安全保護(hù)措施”的代碼理論排除了依據(jù)數(shù)據(jù)網(wǎng)站授權(quán)意愿的主觀入罪判斷情形，縮小了數(shù)據(jù)犯罪的適用范疇，有利于促進(jìn)數(shù)據(jù)的流通、利用。

從當(dāng)前我國(guó)數(shù)據(jù)犯罪的典型案例來看，“避開或突破計(jì)算機(jī)信息系統(tǒng)安全保護(hù)措施”的行為主要包括：(1)采用侵入手段實(shí)施數(shù)據(jù)侵害行為。刑法實(shí)務(wù)中，法院多根據(jù)數(shù)據(jù)網(wǎng)站以技術(shù)手段設(shè)置的安全保護(hù)措施為主，對(duì)計(jì)算機(jī)信息系統(tǒng)的訪問權(quán)限進(jìn)行認(rèn)定，并將突破此等安全措施的訪問行為認(rèn)定為對(duì)計(jì)算機(jī)的不法“侵入”。(47)劉明：《數(shù)據(jù)抓取行為的規(guī)制路徑》，載微信公眾號(hào)“互聯(lián)網(wǎng)mate”，2019-03-05。如在李小海非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)案中，被告人李小海在公司辦公室利用其下載至U盾內(nèi)的密碼破解軟件侵入公司4臺(tái)員工電腦，盜取電腦內(nèi)儲(chǔ)存的公司多基金交易系統(tǒng)代碼數(shù)據(jù)、用戶交易賬號(hào)及密碼等。法院認(rèn)為，被告人侵入公司電腦并獲取數(shù)據(jù)，其行為構(gòu)成非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪。(48)北京市朝陽(yáng)區(qū)人民法院(2018)京0105刑初1577號(hào)刑事判決書。(2)利用技術(shù)手段繞開數(shù)據(jù)安全保護(hù)措施進(jìn)而實(shí)施數(shù)據(jù)侵害行為。如在全國(guó)首例爬蟲入刑案中，上海晟名網(wǎng)絡(luò)科技有限公司使用偽造的device_id繞過服務(wù)器的身份驗(yàn)證，使用偽造的UI和IP繞過服務(wù)器的訪問頻率限制，從而進(jìn)入被害公司計(jì)算機(jī)信息系統(tǒng)獲取了視頻數(shù)據(jù)。法院認(rèn)定被告人繞過服務(wù)器身份校驗(yàn)等系統(tǒng)保護(hù)措施并獲取服務(wù)器中的數(shù)據(jù)，屬于未經(jīng)允許進(jìn)入他人計(jì)算機(jī)信息系統(tǒng)，構(gòu)成非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪。(49)北京市海淀區(qū)人民法院(2017)京0108刑初2384號(hào)刑事判決書。(3)利用技術(shù)手段破解網(wǎng)絡(luò)安全措施進(jìn)而實(shí)施數(shù)據(jù)侵害行為。如在張孝非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)案中，被告人張孝利用具有批量破解QQ、AppleID、郵箱、網(wǎng)易的賬號(hào)密碼的功能的XP程序，破解他人郵箱密碼2 456組。法院認(rèn)為，使用者利用該程序避開或者突破計(jì)算機(jī)信息系統(tǒng)安全保護(hù)措施，獲取他人登錄網(wǎng)絡(luò)即時(shí)通訊、網(wǎng)絡(luò)郵箱的賬號(hào)、密碼等身份認(rèn)證信息，屬于未經(jīng)授權(quán)而獲取數(shù)據(jù)，構(gòu)成非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪。(50)江蘇省淮安市中級(jí)人民法院(2018)蘇08刑終261號(hào)刑事判決書。(4)利用“撞庫(kù)”手段實(shí)施數(shù)據(jù)侵害行為。如被告人馬國(guó)鋒等利用購(gòu)得的“微信狀態(tài)檢測(cè)”“直登小號(hào)”等非法微信掃號(hào)軟件，將從網(wǎng)上購(gòu)買或換取的含有大量郵箱用戶名及密碼的數(shù)據(jù)導(dǎo)入上述軟件并運(yùn)行，采用對(duì)微信軟件數(shù)據(jù)庫(kù)實(shí)施“撞庫(kù)”等手段，非法獲取他人微信用戶名及密碼，用于轉(zhuǎn)賣獲利。法院審理認(rèn)為，雖然此類“撞庫(kù)”行為并沒有侵入被害人計(jì)算機(jī)信息系統(tǒng)，但被告人的行為仍然屬于違反國(guó)家規(guī)定，采用技術(shù)手段獲取他人計(jì)算機(jī)信息系統(tǒng)中的數(shù)據(jù)，應(yīng)構(gòu)成非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪。(51)江蘇省常州市新北區(qū)人民法院(2016)蘇0411刑初856號(hào)刑事判決書。

(三)違背數(shù)據(jù)網(wǎng)站事后撤銷機(jī)制的數(shù)據(jù)侵害行為應(yīng)入罪

數(shù)據(jù)網(wǎng)站對(duì)自身數(shù)據(jù)權(quán)益的維護(hù)，除了事前的技術(shù)安全保護(hù)措施之外，還包括事后撤銷授權(quán)機(jī)制。對(duì)于擁有訪問計(jì)算機(jī)權(quán)限的訪問者而言，如果數(shù)據(jù)網(wǎng)站發(fā)出了明確的撤銷授權(quán)通知，訪問者在明知其授權(quán)被撤銷后仍繼續(xù)抓取數(shù)據(jù)，則應(yīng)認(rèn)定為非法抓取數(shù)據(jù)。此時(shí)，法院無需關(guān)注數(shù)據(jù)網(wǎng)站的技術(shù)控制內(nèi)容，如用戶賬號(hào)、IP設(shè)置及MAC過濾器等，而應(yīng)重點(diǎn)關(guān)注數(shù)據(jù)網(wǎng)站是否通過技術(shù)控制來發(fā)出撤銷訪問權(quán)限的信號(hào)，而且抓取者知悉、理解此信號(hào)。一旦授權(quán)被撤銷后，對(duì)計(jì)算機(jī)進(jìn)行訪問的嘗試，均屬于未經(jīng)授權(quán)訪問、獲取數(shù)據(jù)(52)Facebook,Inc v Power Ventures,Inc,844 F3d 1058,1067 (9th Cir 2016).，進(jìn)而構(gòu)成非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪。賦予數(shù)據(jù)網(wǎng)站撤銷授權(quán)的司法意義在于，除了增加數(shù)據(jù)犯罪中“授權(quán)”認(rèn)定標(biāo)準(zhǔn)的明確性之外，還極大地改變了數(shù)據(jù)流通、共享的格局，在數(shù)據(jù)網(wǎng)站與抓取者的技術(shù)比拼中賦予數(shù)據(jù)網(wǎng)站更廣泛的決定權(quán)和防御權(quán)，能更有效地維護(hù)自身數(shù)據(jù)權(quán)益。(53)Annie Lee.“Algorithmic Auditing and Competition under the CFAA:The Revocation Paradigm of Interpreting Access and Authorization”.Berkeley Technology Law Journal,2018,33:1332.

撤銷授權(quán)機(jī)制的適用需要明確撤銷訪問權(quán)限的通知標(biāo)準(zhǔn)。從當(dāng)前的數(shù)字技術(shù)來看，數(shù)據(jù)網(wǎng)站撤銷授權(quán)可以通過傳達(dá)信息方式，如發(fā)出停止函或終止函；或者采取技術(shù)性撤銷方式，如IP阻止；或者采取組合方式，如撤銷登錄憑證等。(54)Samuel Kane.“Available,Granted,Revoked:A New Framework for Assessing Unauthorized Access under the Computer Fraud and Abuse Act”.University of Chicago Law Review,2020,87:1466.此外，在數(shù)字經(jīng)濟(jì)背景下，為避免數(shù)據(jù)網(wǎng)站隨意撤銷授權(quán)而影響數(shù)據(jù)競(jìng)爭(zhēng)，應(yīng)要求數(shù)據(jù)網(wǎng)站撤銷授權(quán)需具備正當(dāng)理由。如當(dāng)數(shù)據(jù)經(jīng)營(yíng)者撤銷競(jìng)爭(zhēng)對(duì)手訪問、獲取數(shù)據(jù)權(quán)限的目的是為了提高用戶隱私保護(hù)水平、保護(hù)數(shù)據(jù)安全、維護(hù)自身數(shù)據(jù)財(cái)產(chǎn)權(quán)益、提高數(shù)據(jù)產(chǎn)品或服務(wù)質(zhì)量，且同時(shí)符合提高消費(fèi)者福利水平、不會(huì)嚴(yán)重排除或限制數(shù)據(jù)市場(chǎng)競(jìng)爭(zhēng)等條件時(shí)，(55)殷繼國(guó)：《大數(shù)據(jù)經(jīng)營(yíng)者濫用市場(chǎng)支配地位的法律規(guī)制》，載《法商研究》，2020(4)。撤銷授權(quán)行為才應(yīng)被認(rèn)定為具有正當(dāng)性。

數(shù)字時(shí)代數(shù)據(jù)犯罪日益場(chǎng)景化，既涉及數(shù)據(jù)網(wǎng)站服務(wù)協(xié)議等合同約定，也涉及雇傭關(guān)系的場(chǎng)景和數(shù)據(jù)競(jìng)爭(zhēng)場(chǎng)景，這就要求數(shù)據(jù)犯罪的認(rèn)定必須謹(jǐn)慎平衡不同場(chǎng)景下數(shù)據(jù)獲取、使用需求和數(shù)據(jù)安全維護(hù)。通過吸收、借鑒美國(guó)數(shù)據(jù)犯罪的裁判經(jīng)驗(yàn)，我國(guó)可在數(shù)據(jù)犯罪的入罪判斷中實(shí)現(xiàn)“技術(shù)性”解釋與“規(guī)范性”解釋的融合，將違背數(shù)據(jù)網(wǎng)站合同協(xié)議的數(shù)據(jù)侵害行為出罪，同時(shí)將違背數(shù)據(jù)網(wǎng)站安全技術(shù)保護(hù)措施和違背數(shù)據(jù)網(wǎng)站撤銷授權(quán)機(jī)制的數(shù)據(jù)侵害行為入罪。