备受瞩目的初创公司HiQ Labs与LinkedIn（领英）的数据纠纷近日再起波澜，该案因涉及到数据抓取行为而具有重大影响力。
6月14日美国最高法院发布的一项裁决中，最高院针对LinkedIn Corporation v. HiQ Labs, Inc.的上诉案件，裁决撤销判决，该案被发回美国第九巡回上诉法院重审（裁决见下图）。
详见：
https://www.supremecourt.gov/orders/courtorders/061421zor_6j36.pdf
一、
案情简介
LinkedIn，是微软旗下的一个大型职业社交平台，用户可以在LinkedIn网站建立个人档案，包括教育背景、工作经历、技能等信息。HiQ则是一家数据分析公司，HiQ的商业模式依赖于其从LinkedIn爬取的公开数据，HiQ将其从LinkedIn爬取的数据进行整理分析后，将处理结果出售给相关企业。
LinkedIn所拥有的数据存储于LinkedIn系统中，然而，数据本身是由其用户提供给的LinkedIn。在本案发生时，任何访问LinkedIn网站的人都可以访问这些数据。随着越来越多的公司在爬取LinkedIn的数据，LinkedIn采取了措施来禁止违规者的账户，但HiQ通过利用代理服务的方式来掩盖他们进行爬取行为的IP地址，从而规避了LinkedIn对于这些IP地址的阻止措施。
在HiQ长期对LinkedIn的网站数据进行爬取行为后，LinkedIn向HiQ发送了禁止通知函，并在函中援引了《计算机欺诈与滥用法案》（Computer Fraud and Abuse Act, “CFAA”）。LinkedIn主张，其自身的服务条款已明确禁止使用自动化工具，因而他们有权通过禁止与数据爬取相关的IP地址来强制执行其服务条款，HiQ不仅违反了LinkedIn的服务条款，而且也违反了CFAA以及其他相关法律。       
而HiQ先发制人，申请了临时禁令，以禁止LinkedIn阻止HiQ访问其数据。地区法院基于数据的自由流动及公共利益的考量，向HiQ颁发了有利于数据分析公司HiQ的初步禁令，第九巡回上诉法院确认了这一禁令，认为HiQ已经证明了在没有初步禁令的情况下可能会受到不可挽回的伤害。
此后LinkedIn向美国最高法院提出了上诉。近日，美国最高法院撤销了这一判决，并发回第九巡回上诉法院重审。我们注意到，美国最高法院在驳回的裁决中，提及了应参考另一个案件的要旨，即Van Buren与United States一案。
在该案中，内森-范布伦（Nathan Van Buren）是佐治亚州的一名警察，有权限为执法目的搜索有关车牌的计算机记录。他中了联邦调查局的圈套，为私人目的搜索这些记录（应联邦调查局线人的要求，该线人提出为这些信息支付数千美元）。范布伦被指控犯有两项欺诈罪：根据一项法规进行的诚实服务电信欺诈，以及CFAA “未经授权而有意图的访问计算机或超出授权访问权限”（intentionally accesses a computer without authorization or exceeds authorized access，18 U. S. C. §1030(a)(2)）的规定。其中“超出授权访问权限”（exceeds authorized access）是指以授权方式访问计算机，并使用这种访问来获取或更改计算机中访问者无权获取或更改的信息。
地区法院合议庭判定范布伦有罪，对他判处了18个月的监禁。范布伦向第十一巡回上诉法院提出了上诉，其认为“超出授权访问权限”条款只适用于那些获取了计算机访问权限未扩展到的信息之人，而不适用于那些滥用了其原本拥有访问权限的人。根据第十一巡回上诉法院的先例，该法院合议庭认为范布伦违反了CFAA。而最高法院认为：根据1986年《计算机欺诈和滥用法案》，18 U.S.C. §1030(a)(2)，当一个人在获得授权的情况下访问计算机，但随后获得了位于计算机特定区域的信息--如文件、文件夹或数据库--这些信息对他来说是禁区，构成“超过授权访问权限”，并据此判决撤销原判并发回重审。该案也是最高法院对涉及计算机相关犯罪的最重要刑事法规之一——联邦《计算机欺诈和滥用法》首次认真审视。
二、
前情提要及在先判例
2012年，在United States v. Nosal案中，第九巡回上诉法院作出判决：CFAA不应该变成“一个互联网警察”。法院认为“违反网站的使用条款并不触犯CFAA”。把CFAA作为执行网站的用户协议，将会对当时刚刚起步的数据抓取行业产生寒蝉效应。几乎所有的互联网用户都可能因轻微违反社交媒体的服务条款而承担刑事责任。
然而，此后的另外两项裁决却体现出：法院对违反CFAA的行为界定更加模糊。第一个案件是Nosal案的二次裁决。法院认为CFAA中的“未经授权”一词并不限于“使用技术手段规避访问控制”。未经授权的用户以合法的登录凭证来获得访问的行为，仍然可能触犯CFAA。第二个案件是Facebook v. Power Ventures案。法院认为，即使数据抓取者（Power Ventures）有权限使用密码来访问Facebook账户和抓取数据，但在Facebook发出停止信号后仍继续访问与抓取数据，就属于违反CFAA规定的行为。在这些案件中，法院认为，在提供数据访问之前需要登录，这将使其成为私有数据而非公共数据。
在初创公司HiQ诉领英（LinkedIn）案中，第九巡回上诉法院的态度和以往却并不相同。2019年9月，第九巡回上诉法院发布了意见。在此意见中，虽然没有作出明确的裁决，但可以看出法院似乎更倾向HiQ一方。该案不仅对数据抓取有着深远的影响，还提供了能够推翻或限制第九巡回上诉法院先前判例的机会。
三、
案件的影响
数据抓取行为被广泛应用到社会生活当中，不仅仅是在商业上的使用，还有学术研究上的应用等等。因此，本案的判决也受到极大的关注。
本案对于帮助厘清数据抓取的界限意义很大。在本案当中，第九巡回上诉法院确认了这样的观点，抓取不需要授权即可访问的数据和默认的情况下免费可得的数据都是正常的行为，在没有对数据的“访问”采取某些步骤进行限制的情况下，那么就意味着抓取这些数据已经获得“授权”。而在此前这两个案件（Power Ventures案和Nosal案）中，法院认为，访问数据前如果有登录环节，那么这些数据就是私有数据而非公共数据。本案中第九巡回上诉法院所采观点也就限制了此前两个案件中法院的观点，从而有了一定的回旋余地。但这样也出现一个问题，就是例如Facebook在登录之后，大量的原本属于私人的数据反而可以随意获取不受限制。
根据LinkedIn对此前裁决的理解为，要求登录才可以访问的数据都是私人的，那么LinkedIn有权撤销对这些数据的访问，因此LinkedIn现在要求用户必须要登录后来才能够浏览平台上的信息。
本案对于CFAA的适用也有了新的启示。CFAA是为打击黑客行为应运而生的，而不是作为为了强制要求所有人都遵循网站的服务条款而使用的法律依据。但在最近的动向中，最高法院发出的Order当中提到要参考Van Buren v. United States一案，该案对于超过授权访问权限违反CFAA进行了探讨，因此有助于进一步明确数据抓取的行为边界。
此外，本案对于争论不休的数据和隐私的归属问题也进行了讨论。从第九巡回上诉法院的观点来看，其裁决支持了用户才是数据的所有者，平台只是依据用户的授权才使用这些数据，而不能完全拥有这些数据。
无论接下来法院的观点和公众的认知的走向如何，数据抓取都因其极高的效率、强大的功能成为了现代互联网生态的组成部分，如何合法的利用数据抓取，也将成为持续讨论的问题。
四、
总结
从2012年的美国诉Nosal案，到近日美国法院将LinkedIn与HiQ一案发回重审，可以看出，美国法院对于数据抓取行为的规制有着逐渐趋于严格的意见导向。对于网站数据的抓取，遵守被访问网站的Robots协议、不随意突破被访问网站设置的反数据抓取措施、不妨碍网站的正常运行都应当是网站数据抓取的合规前提。
技术是中立的，但法律是有边界的，美国法院意见导向的变化也体现了这一点。
参考：
1.   18 U.S.C. § 1030(a)(2)(C)   imposes civil and criminal liability on any person who “intentionally accesses a computer without authorization or exceeds authorized access, and thereby obtains … information from any protected computer….”
2.   https://cases.justia.com/federal/appellate-courts/ca9/17-16783/17-16783-2019-09-09.pdf?ts=1568048483
3.   https://www.supremecourt.gov/opinions/20pdf/19-783_k53l.pdf
4.   https://www.law.cornell.edu/supremecourt/text/19-783
5.   https://www.cpomagazine.com/data-privacy/what-the-hiq-vs-linkedin-case-means-for-automated-web-scraping/