网络侵入和“未经授权访问”作为访问控制的法律机制

1、方方 婷婷西安交通大学信息安全法律研究中心西安交通大学信息安全法律研究中心20152015年年3 3月月31 31日日n 回顾英国普通法：传统的侵犯动产理论直接侵权：侵犯不动产与侵犯动产（可诉；先例或规则）间接侵权：必须证明发生损害才可诉（物理&直接）法律及其适用： 与动产相关的行为属于英国1977年侵权（干扰动产）法的“不当干扰”行为的概念 侵入或干扰动产：物理有形物；实际物理活动；剥夺或其他类似活动？适用于网络空间：例如向计算机系统发送电子信号n 美国的侵犯动产理论：通向“网络侵入”之路 侵权行为法第二次重述第217条规定 侵犯动产（Trespass to chattels） 故意

2、剥夺他人动产，使用或干扰他人所有的动产的行为 法律责任构成要件 剥夺了他人对其动产的所有权； 使他人实际具有价值的动产的物理状态、价值或质量 受损受损； 长时间剥夺了所有人对其动产的使用权； 造成所有人、他人的人身伤害或所有人基于物所享有的合法利益受损受损。n 美国和英国侵犯动产理论的差异美国法：要求侵入行为造成某种形式的损害，包括实质性损害或威胁对动产或相关财产利益的物理状态、质量和价值的损害英国法：不要求造成损害，象征性损害赔偿因此，尽管美国法院对“损害”采纳相当自由的解释，但是无数案例证明，只保护法院认为合法的原告利益，以防止被告的故意侵入行为。 美国：侵犯动产理论应用于网络空间活动的第

3、一案美国：侵犯动产理论应用于网络空间活动的第一案 1997年 CompuServe, Inc. v Cyber-Promotions, Inc. 【案情简介】 原告CompuServe是美国最大的网络服务商之一,主要通过其设在全国各地的计算机网络系统,向其用户提供互联网接入服务,用户可以通过该系统获得信息、收发电子邮件等。 被告Cyber-Promotions网络广告公司利用CompuServe的服务器向其用户发送了大量的未经索取的电子邮件广告，引起了CompuServe用户抗议。CompuServe要求其停止发送,其不予理睬；CompuServe用“过滤器”阻止垃圾邮件,其以盗用他人名义、更

4、改标题等形式骗过“过滤器”。 原告公司由于垃圾邮件问题接到用户投诉不断,有的用户甚至威胁,如果不能妥善地解决垃圾邮件的问题,即与原告公司终止合同。原告诉请法院颁布禁止令阻止被告继续向其用户发送垃圾邮件。 美国：侵犯动产理论应用于网络空间活动的第一案美国：侵犯动产理论应用于网络空间活动的第一案 1997年 CompuServe, Inc. v Cyber-Promotions, Inc. 【法院判决】 俄亥俄州南区法院根据1996年加州上诉法院Thrifty-Tel诉Bezenek案作出判决：认定电子信号足以构成对动产的侵犯 原告Thrifty-Tel是一家运营电话业务的公司，被告Bezenek

5、的儿子通过技术手段破解了进入该公司系统的密码，在未经授权的情况下进入该公司电话拨号系统并盗打长途电话。本案中，Thrifty-Tel公司在对Bezenek提起诉讼之前一直未通知直接侵权人（Bezenek的儿子）或监护人（Bezenek）。Thrifty-Tel以滋扰为诉由向加州上诉法院提起诉讼，然而判决中加州法院拒绝适用滋扰规则，转而适用侵犯动产规则（Doctrine of Trespass to Chattels），理由理由是7个小时内拨打1300个电话所产生的电子信号足以构成对动产的侵犯，通过电话设备实施的电流接触电流接触满足侵权法所要求的实质性接触。 美国：侵犯动产理论应用于网络空间活动

6、的第一案美国：侵犯动产理论应用于网络空间活动的第一案 1997年 CompuServe, Inc. v Cyber-Promotions, Inc. 【诉讼双方主张】 被告Cyber-Promotions ：剥夺占有权；实质性干扰动产使用 原告CompuServe：根据侵犯动产理论主张被告Cyber-Promotions向其用户发送垃圾邮件，虽然没有实际剥夺对动产的使用并造成计算机系统这一动产的物理损失，但是由此产生的电子信号构成法律规定的对CompuServe计算机系统的干扰。 【法院认定依据】 服务器空间服务器空间：虚拟财产；网络服务商享有财产权 商誉受损商誉受损 重述及案例表明：不要求造

7、成动产的物理损害，广义的网络侵入理论代替了传统的非法侵入规则 此外，网页、数据库和其他信息所有者通过合同和其他法律机制限制访问，扩大了网络空间访问控制法律工具的范围和数量。 重述中侵犯动产理论适用范围扩大的政策原因： 互联网产业的商业风险和现实； 这一领域缺乏对不正当竞争的充分法律救济 eBay诉 Bidders Edge一案 【双方当事人】 eBay是世界最大且最知名的主要针对个人用户的交易网站，它为买卖双方提供了一个方便的“在线拍卖”平台，使在线交易均由买卖双方直接进行。Bidders Edge（以下简称BE）是专门提供拍卖信息的比价搜索网站，它主要是向用户提供搜索方式以查询相应的拍卖商品

8、项目。用户可直接通过浏览该网页的内容，比较某种商品在不同拍卖网站的价格。 eBay诉 Bidders Edge一案 【案情简介】 BE公司利用搜索引擎机器人程序抓取eBay在线拍卖网站上的信息。经过协商，eBay口头授权BE利用搜索引擎机器人抓取来自eBay的商品拍卖信息，放在自己的网站上供用户浏览，但是这一授权期限为90天，到期后eBay要求BE停止收集eBay托管的拍卖商品信息，BE遵守并停止显示BE网页上来源于eBay的拍卖信息。但是之后又再次爬行eBay并收集其拍卖信息到BE的数据库。1999年11月9日，双方未能就搜索链接的许可合同条款达成一致，eBay设置了robots协议禁止BE

9、的搜索引擎机器人继续抓取其网站内容，但BE却无视这一要求，通过不断变换使用代理服务器的方式，逃避eBay的监测和封锁。1999年12月，eBay将BE告上加州北区地方法院，要求法院发出临时禁止令以禁止BE的违规抓取行为。 【诉讼双方主张】 原告原告eBayeBay： 信息提供者（eBay）有权诉诸法律阻止不受欢迎的活动，BE抓取信息的行为构成“搭便车行为”，构成不正当竞争。 BE的行为未经授权且故意 降低eBay网站和服务的效用 用户体验的整体价值下降，信息在不相关的网站获得 被告被告BEBE： 剥夺其他合法在线企业参与自由竞争的机会是不公平的； 其行为不构成“搭便车行为”，为消费者提供方便的

10、服务和信息：曾尝试与eBay协商签订许可协议； 商业模式合法并有利于网络的使用和发展 【案件总结】 允许eBay等信息提供者主张非法侵入表明： 公开访问互联网信息的倒退 抑制合法的电子商务竞争（提高交易成本） 扩大侵犯动产理论的适用范围导致互联网的“过度财产化”侵犯动产理论适用于网络空间应考虑的因素 信息提供者私人权利与公众公开访问利益之间的平衡 是否是基于重述的正确法律原则，相较其他理论学说 信息所有者或控制者通过合同机制扩大或限制他人访问和使用信息的能力重新审视侵犯动产理论适用于网络空间的问题动产的存在（前提条件）行为不是针对动产实施行为不导致动产或其他财产利益的实际损害，侵犯商业利益目的

11、、主观意图行为目的在于使用或干涉动产，或明知行为会造成干涉不要求行为人明知或应知干涉行为侵犯了他人的财产权损害要求（动产的物理状态、质量、价值等）侵犯动产理论要求侵入行为围绕动产本身或其财产性利益，损害要求在逻辑上是指对动产或其财产本身造成损害“网络空间视为空间”（法官倾向）与“信息视为物”之间存在差异 由此可见，美国法院更倾向于寻找替代路径来解决财产侵犯规则和案例，并不愿确定并表明私人财产原则适用于“信息视为物”的观念。 网络侵入案例中，无形物的商业价值未获得知识产权或相关法律的保护，数据和真实信息不受版权法保护与UK和其他欧盟国家不同，美国没有一般的数据库保护法律 扩大侵犯动产理论的适用范

12、围相当于为无形物提供法律保护，使得无形财产的所有者或控制者有能力控制任何人对无形资产的访问及其适用范围和期限。然而，对干涉有形物上存在的无形物的法律保护在观念和范围上都不同于取得无形财产本身的实际权利。n 2003年以后的应对和 Intel v. Hamidi一案的结果 【案情简介】 1996年，Hamidi因工作条件问题与公司发生纠纷，最终被英特尔解雇。对此感到强烈不满的Hamidi，在1998年之前，曾先后6次发出指责英特尔的电子邮件，最多时接收到该邮件的在职人员达3万人以上（上述电子邮件地址是在公司工作时使用的地址）。在发送的电子邮件中， 附带有链接Hamidi声明的URL。该主页详细陈

13、述了英特尔工作环境之恶劣。对此，英特尔于1998年向加利福尼亚初级法院提起诉讼，要求Hamidi停止发送此类电子邮件。判决结果为Hamidi败诉，虽然Hamidi又向高级法院上诉，但仍以败诉告终。之后，Hamidi2003年又上诉到加州最高法院，获得胜诉。n 2003年以后的应对和 Intel v. Hamidi一案的结果 【诉由及法院判决】英特尔指控Hamidi的诉由： Hamidi向在职人员发送的大量电子邮件“就象是垃圾邮件”，这些邮件“侵犯了本公司的邮件服务器，给本公司业务带来了损失”。加州最高法院支持Hamidi的判决理由： Hamidi发送的邮件没有达到垃圾邮件的数量； Intel无

14、法证明其计算机系统功能可能因为Hamidi的行为遭受负担或任何方式的实际损害。实际损害。n 2003年以后的应对和 Intel v. Hamidi一案的结果 【案件总结】 尽管Intel v. Hamidi案中法庭适用的网络侵入理论将毫无疑问对以后的案件审判产生很大影响，但是案件审判的具体情况证明了审判结果之间的差异，在Intel v. Hamidi案之前的案例，侵犯动产理论的适用是为了限制法院认为充分不合法的行为，并且在知识产权法或合同法不适用的情况下，需要法律进行干预，这些案例审判考虑了仅与动产相关的商业上的利益。Intel案中，构成法庭分析基础的其他因素还包括言论自由问题。Intel不能

15、证明之前法院认为需要合法保护的利益受到损害，使此案不同于其他案件。计算机滥用立法中的“未经授权的访问”n “不受欢迎的入侵”是可起诉的“网络侵入”或“未经授权的访问”行为（缺乏同意）n 美国关于“未经授权访问”的法律 计算机欺诈与滥用法n “不受欢迎的入侵”是可起诉的“网络侵入”或“未经授权的访问”行为，因为缺乏同意 在美国，不受欢迎的侵入他人的计算机系统行为是未经他人同意的，不仅属于侵犯动产理论的适用范围，还受到计算机访问法令的限制，如计算机欺诈与滥用法。因此，原告授予被告的许可范围与侵入行为是否侵权或构成“未经授权访问”直接相关。 根据合同订立的一般规则，限制个人访问网页、数据库、软件或其

16、他无形的有价值信息可以通过合同机制进行（如点击生效的合同），个人或其他自动搜索程序均可基于与网站或数据库所有者或管理者之间的合同被允许查看、下载、编辑和从事与网页、数据、计算机程序相关的行为，授予行为允许的范围，法院可据此判定授权的范围。 前述案例：原告的技术过滤或封锁推断其不同意n 根据1986年美国联邦美国关于“未经授权访问”的法律 计算机欺诈与滥用法（Computer Fraud and Abuse Act, CFAA）（以下简称“CFAA”）的规定，存在以下情况时，行为人应当承担相应的民事责任： “任何人未经授权或超出授权范围故意故意访问计算机系统，并从受保护的计算机系统中获取信息，且

17、这一行为涉及美国各州之间或与国外的通信”，其中“受保护的计算机系统”是指与互联网相连接的计算机系统。然而，法案并未明确“未经授权”的涵义，而是对“超出授权范围的访问”作出了相应的界定，指 “经授权访问计算机系统的行为人超越授权范围获取或修改其中的信息”； “行为人明知明知对程序、信息、代码或命令的故意传输行为，将导致受保护的计算机系统遭受未经授权访问的损害； “行为人未经授权故意故意访问受保护的计算机系统，并且这一行为将罔顾后果地造成损害”。此外，受害方提起民事诉讼必须证明其遭受了“损害”，即“任何对数据、程序、系统或信息的完整性和可用性造成了损害”，并明确要求这一损害必须是可以衡量的经济损失

18、，即“在一年以内至少造成一人以上的损失达5000美元”。CFAA的民事救济条款规定，“任何遭受损害或损失的主体可向法院提出民事诉讼以获得补偿性赔偿、禁令救济或其他同等的司法救济。”我国相关立法及司法实践困境我国相关立法及司法实践困境刑法制度先行，民事制度救济滞后刑法规制：刑法规制：【非法侵入计算机信息系统罪；非法获取计算机信息系统数据、非法控制计算机信息系统罪】第二百八十五条第一款第二百八十五条第一款 违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。第二百八十五条第二款第二百八十五条第二款 违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。我国相关立法及司法实践困境我国相关立法及司法实践困境民事规制：民事规制：侵权责任法侵权责任法第三十六条第三十六条 网络用户、网络服务提供者利用网络侵害他人民事权益的，