演算法歧視研究、未授權存取與逾越授權存取——Sandvig v. Barr一案

◎ 顧長芸(中央研究院法律學研究所)

*本文經授權轉載自中研院法律所資訊法中心,2020/08/06發佈
*本研究感謝中央研究院「資料安全研發及人才培育計畫」及「中央研究院法律學研究所資訊法中心」支持

Photo by Jason Leung on Unsplash

美國哥倫比亞特區聯邦地方法院(United States District Court for the District of Columbia)於今(2020)年3月27日就Sandvig v. Barr一案做出簡易判決(summary judgment),判決指出,原告因研究徵才網站演算法是否涉及歧視而違反該網站之使用者ToS(Terms of Service),並不違反CFAA(Computer Fraud and Abuse Act,18 U.S. Code § 1030)的存取規範(Access Provision)。

CFAA規範蓄意以電腦進行詐欺或勒索等駭客犯罪行為,不論是公部門或私部門,違者將可處以罰金或及有期徒刑。其中,若蓄意在未有授權存取(access… without authorization)或逾越授權存取(exceeds authorized access)下,取得受保護電腦(protected computer)之資訊,即被使用或可影響州際外國商業或溝通之電腦,(§ 1030 (a)(2)(c)),將違反本法,與他罪合併最高可處以罰金或及10年以下之刑期(§ 1030 (c)(2)),同時,CFAA允許受害人就其損害或損失提起民事訴訟(§ 1030 (g))。由於CFAA並未對「授權」一詞有清楚的定義,因此,在何種情況下存取受保護電腦資訊會成為未有授權之行為而違反CFAA,引起爭議。

ACLU(American Civil Liberties Union)於2016年6月代替C. W. Sandvig等學者與記者,對DOJ(U.S. Department of Justice)提起執法前訴訟(pre-enforcement challenge),即,當確定執法、極可能會執法、或是該法明顯會傷害市民時,美國法院允許在尚未執法之前,給予市民質疑該法的權利。C. W. Sandvig等學者因欲研究徵才網站的演算法是否會因性別、種族等受保護屬性之影響而有排序上的差異與歧視,由於研究方法必須向徵才網站提供假資訊與設立假帳號,將違反個別網站之ToS,為避免觸犯CFAA,因此提出執法前訴訟。法庭接受原告主張,其研究行為屬美國憲法增修條文第一條(First Amendment)所保護的言論自由範圍,而CFAA的存取規範可能過於廣泛地限制了原告受保護之權利,而有違憲之疑慮,因此受理本案。

針對原告的適格性問題,法庭指出,原告須顯示其具憲法利益之行為,遭到CFAA所剝奪,而有遭到起訴的可信威脅(credible threat)存在。法庭分就完整之研究計畫、可信之威脅與議題是否成熟(ripeness),就雙方論點,進行釐清。第一,原告是否有完整(concrete)之研究計畫。法庭指出,在第一增修條文的脈絡下,原告僅需提出可信之陳述(credible statement),說明其有意違反該法且有一慣例相信政府將會執法即可;原告之研究計畫已取得研究經費,有特定目標網站,且取得IRB(Institutional Review Board)許可,並提起本執法前訴訟,法庭認為原告已足以證明有事實上之傷害(injury in fact),儘管目前尚未執行,但原告已確定會以假帳號與假資訊進行研究。

第二,是否有可信之威脅存在。法庭指出,此與原告是否主觀害怕被起訴無關,而是一客觀慣例預期CFAA將會被執行;即便未有此類研究行為遭受CFAA起訴之前例,但原告之行為依舊未被排除於CFAA的起訴範圍之外;並且被告未能提供特定或明確之規範依據說明原告之行為並非違反CFAA,法庭因而認為有一可信威脅存在。第三,此議題是否已經成熟。法庭認為,原告列出將違反其服務條款之網站,提出降低對徵才網站影響之方式,以及研究已採取之詳細完整步驟,並且,由於被告也證實大多數網站禁止與試圖刪除假帳號,因此,法庭認為,此是否因違反公開網站之ToS而受CFAA的犯罪起訴對於憲法增修條文第一條之衝擊的議題,已經成熟。而法庭同時指出,由於原告之行為似乎受CFAA所規範,為CFAA所禁止之行為,因此認定原告適格。

隨後,法庭針對CFAA之未授權存取與逾越存取,進行釐清。法庭認為「授權」一詞直接了當,由有權者所賦予之權力或許可,或給被認可者或被承認者的存取限制等等解釋;儘管於CFAA並未對於存取電腦未有授權(access a computer without authorization)文字進行定義,但其指出存取並非一般皆可取得,或通常需要許可,因而可劃分區兩個領域網絡(two-realm internet),一為不需要授權的公眾(public)網站,一為必須取得存取許可的私人(private)網站,由於網站皆可供大眾檢視,因此需透過許可來勾畫出私人網站的輪廓。法庭指出,CFAA目的為保護電腦資訊的隱私與機密,存取非公開網站之資訊,而處於兩領域間的區別就在於許可要件(permission requirement),也因此問題便成為需要越過何種許可要件才足以引起CFAA下之刑事責任。

法庭認為,ToS的限制並不足以觸發CFAA的刑事責任,其原因有三。第一,由於服務條款可隨時更改,且各網站皆不同,無法為刑事責任目的提供適當通知。第二,ToS只針對與其網站互動者,並非完全不適當,但若僅ToS便足以觸發CFAA的刑事責任,則會有非委任(nondelegation)問題之疑慮;倘若ToS之條件足以引起CFAA之刑事責任,而並非由授權關卡所引起,則CFAA的一般性限制會使此情況得以避開非委任問題之疑慮,並成為無作用且無標準之限制,更將讓各網站與網站擁有者自行決定其刑事責任,因此法庭決定以存取限制(access restriction)之狹義解釋來詮釋CFAA此款。第三,仁慈原則(rule of lenity)與迴避憲法問題(constitutional avoidance)也同樣支持狹義解釋。仁慈原則指出解釋刑法時,在求助語言、結構、立法歷程與立法目的後,若尚有疑慮,應採取狹義之解釋;而迴避憲法問題上,法庭認為原告對CFAA違反憲法增修條文第一條之質疑,便具有違憲之重大風險,而此衡量應以狹義方式解釋。綜上所述,法庭認為,僅在使用者繞過(bypass)授權許可要件或授權關卡時,才可被視為「存取電腦未有授權」。然而,由於原告計畫遵守網站付款要求、提供資訊等,未有繞過授權許可關卡的意圖,因此並不違反CFAA。

Photo by Sora Shimazaki from Pexels

對於逾越授權存取的部分,CFAA定義為有授權可存取電腦而利用此存取取得其無權修改或取得之資訊(§ 1030 (e)(6))。法庭指出,此符合未取得授權之外部駭客(outside hacker)與有授權但存取未有權取得資訊之內部駭客(inside hacker)的區分;而倘若繞過許可要件並非觸發CFAA的刑事責任,則何種行為會構成CFAA下的刑事責任,此即是否有權(entitle)取得將如何區分。對於違反ToS是否屬無權而違反CFAA,如前述原因,服務條款未能提供適當之刑事責任的告知、將私人網站服務條款刑法化會造成非委任問題、以及仁慈原則與迴避憲法問題等因素,法庭採取逾越授權存取之狹義解釋,因此,違反ToS並未違反CFAA下的逾越授權存取。

因此,在法庭對於CFAA之存取條款的未授權存取與逾越授權皆採取狹義解釋,即以存取限制為準,因此判定原告的研究行為,雖可能違反其他州法或聯邦法,但並未違反CFAA下之存取條款的規定。並由於原告之行為並未受CFAA所規範,法庭因而無須進一步處理CFAA與憲法增修條文第一條衝突之疑慮。 由於CFAA對「授權」一詞未有清楚定義,並且各巡迴庭對於未授權存取與逾越授權之內容看法分歧,再加上違反CFAA者處罰極重,因此成為大企業得以興訟的工具,而CFAA的判決與應用也一直受到爭議,該部法下最有名的案件就是US v. Aaron Swartz一案。而美國最高法院已於今年四月首次同意審理CFAA案件 — Van Buren v. U.S.,最高院將如何解釋CFAA下的未授權存取與逾越授權,備受各界矚目。


資料來源

  • Christian N. Sandvig et al v. William P. Barr(Civil Action No. 16-1368 (JDB) 03-27-2020)
  • 18 U.S. Code § 1030. Fraud and related activity in connection with computers.
  • Jeff Neuburger. Important Developments(including Supreme Court Review )in the Interpretation of the Computer Fraud and Abuse Act.(Proskauer, Apr. 22, 2020)
  • Seyfarth Shaw LLP. D.C. Federal Court Finds That Using “Fake” Job Profiles And Posting To Ferret Out Discrimination Is Not Criminal.(Lexology,  Apr. 2, 2020)
  • American Civil Liberties Union. Sandvig v. Barr- Challenge to CFAA Prohibition on Uncovering Racial Discrimination Online.(May 22, 2019)
  • American Civil Liberties Union. Federal Court Rules “Big Data” Discrimination Studies Do Not Violate Federal Anti-hacking Law.(Mar. 28, 2020)
  • Tim Cushing. DC Court Says Terms of Service Violations Can’t Trigger Federal CFAA Prosecutions.(Techdirt.com., Apr. 7, 2020)
  • Russell Brandom. New ACLU lawsuit takes on the internet’s most hated hacking law.(The Verge. Jun. 29, 2016)
  • Alliance Defending Freedom. Pre-enforcement Challenge Lawsuit Backgrounder.
  • Naomi Gilens and Jamie Williams. Federal Judge Rules It Is Not a Crime to Violate a Website’s Terms of Service.(Eff.org., Apr. 6, 2020)