幾週前,我們銷售團隊的一位同事問了我一個我幾乎天天都會聽到的問題:「我們能不能從這個公開商業名錄抓名單,還是會被告?」他在公開網路上發現了一座潛在客戶資料金礦——不用登入、沒有付費牆——但隨便一搜 Google,卻讓他覺得自己下一秒可能就會被銬走。
這種焦慮無所不在。自動化流量現在約占所有網路流量的 ,網頁爬蟲軟體市場預計會從 2025 年的約 ,但網路上流傳的大多數法律說法不是過時、就是過度簡化,甚至根本錯得離譜。2022 年的 hiQ v. LinkedIn 案?幾乎每篇文章都把它講成最高法院裁定「所有爬取都合法」。(劇透:不是,而且也從來不是。)
同時,2024 與 2025 年出現的多起重大新案——涉及 X(前 Twitter)、Meta、Reddit、Google,以及 AI 公司——正在積極改寫規則,但幾乎沒有人在完整報導。這篇指南會說清楚 2026 年美國法律到底如何看待網頁爬取,分清神話與現實,並提供一套實用框架,幫你判斷哪些能做、哪些不能做。
什麼是網頁爬取?企業為什麼在意?
網頁爬取是使用自動化軟體從網站蒐集資訊,並整理成結構化資料——像是試算表、資料庫或 CRM 紀錄。
更精確地說,爬蟲會造訪網頁、讀取底層 HTML,然後把特定資料點——價格、姓名、地址、產品規格,任何你需要的資訊——擷取成整齊的列與欄。這就像雇人把網站上的資訊手動抄進 Excel,只不過改由機器在幾秒內完成,而不是花上數小時。
網頁爬取不是駭客行為。它讀取的是任何訪客在瀏覽器裡都能看到的資訊。
而且這也不是什麼冷門的工程師小技巧。搜尋引擎、比價網站、不動產平台、市場研究儀表板,以及 AI 工具,都仰賴網頁爬取與網頁擷取來運作。只要你用過 Google、查過機票比價網站,或瀏覽過 Zillow,你其實都受益於爬取技術。
我最常遇到的商業應用場景包括:
- 開發名單蒐集: 從商業名錄擷取公司名稱、網站、職稱或公開聯絡方式。
- 競品價格監控: 電商團隊追蹤競爭對手的 SKU 價格、庫存狀態與運送資訊。
- 房地產情報: 彙整公開房源、價格與市場趨勢。
- 產品研究: 從零售網站抓取產品規格、評分、庫存與分類資料。
- 市場情報: 追蹤職缺、門市開設、新聞訊號或公開財務資料。
這項技術本身是中性的。法律分析的關鍵在於你怎麼取得資料,以及之後怎麼使用它。
在美國,網頁爬取合法嗎?先講結論
美國沒有任何聯邦法律直接禁止網頁爬取。抓取公開可得的資料,一般是允許的。
但——這裡有個很大的但——是否合法取決於幾個因素:資料類型、你如何存取、你是否同意過服務條款、資料是否包含個人資訊,以及你打算怎麼使用它。
論壇、Reddit 討論串,甚至一些法律部落格裡,最常見的混淆點是把「違法」和「違反網站服務條款」混為一談。這兩者差很多。違反網站規則,可能會被封 IP 或停權;違反聯邦法律,可能面臨訴訟,少數情況下甚至會有刑事起訴。大多數爬取相關後果,基本上都屬於民事範疇。
接下來這篇文章會拆解相關重點法律、重要判例(包括 2024 與 2025 年幾乎沒人提的案件),以及你可以直接拿來用的實務判斷框架。
「違法」有三種:刑事、民事、以及 ToS 違規
先釐清網頁爬取法律裡最大的誤解。當有人問「網頁爬取違法嗎?」時,通常其實是把三種完全不同的風險混在一起。把它們分開,整個討論才會清楚。
| 責任類型 | 觸發條件 | 可能後果 | 嚴重程度 |
|---|---|---|---|
| 刑事(CFAA) | 未經授權存取認證保護後方的資料、詐欺、濫用憑證 | 聯邦起訴、罰款、監禁 | 🔴 嚴重——但一般商業爬取極少見 |
| 民事訴訟 | 著作權侵權、動產侵害、違約、營業秘密不當使用、隱私侵害 | 金錢損害賠償、禁制令、資料刪除 | 🟡 影響顯著 |
| ToS 違規 | 違反 browsewrap 或 clickwrap 服務條款 | 停權、封 IP、存證信函、可能的民事訴訟 | 🟢 低到中等 |
司法部的 明確指出,單純違反服務條款——例如建立假帳號或違反網站規則——本身不足以構成聯邦刑事起訴。這點非常重要。
實務上的重點是:如果你是銷售團隊在抓公開商業名錄,或是電商團隊在監控競品價格,你面對的幾乎肯定是民事風險管理,而不是刑事風險。這不代表你可以無視規則,但至少能把焦慮程度調整回合理範圍。
會影響網頁爬取的美國關鍵法律
在美國,與網頁爬取交會的主要有四大法律支柱,而且每一項處理的問題都不同。
電腦詐欺與濫用法(CFAA)
原本是為了起訴電腦駭客而制定。多年來,它成了爬取訴訟的首選法條,通常是依據「爬蟲未經授權存取網站」這個理論。
後來出現了 。最高法院認定,只有當一個人存取電腦中不允許他接觸的區域——像是檔案、資料夾、資料庫——時,才算 CFAA 下的「超越授權存取」。單純濫用你本來就被允許看到的資訊,不算。
對爬取的影響:
- 較低 CFAA 風險: 任何人都能看到、而且不需要登入的公開網頁。沒有門檻,就沒有「未經授權存取」問題。
- 較高 CFAA 風險: 登入後資料、付費牆後資料、存取權杖、會話操作,或已被撤銷的存取權。
hiQ v. LinkedIn 案(下文會詳細拆解)對公開資料再次強化了這一點。但 CFAA 只是整體拼圖的一部分。
著作權法與 DMCA
美國著作權法保護原創的創作表達——文章、照片、影片、具創意的產品描述——但 。最高法院的 是這裡的里程碑:姓名、地址、電話等事實,不因為整理它們花了很多工夫就能取得著作權保護。
爬取資料的風險分級:
| 你在爬什麼 | 著作權風險 | 原因 |
|---|---|---|
| 價格、產品名稱、地址、日期、規格 | 較低 | 這些是事實 |
| 完整文章、照片、影片、創意評論 | 較高 | 這些屬於表達性作品 |
| 精選資料庫、排行榜、編輯分類體系 | 中高 | 選擇與編排可能受保護 |
| 付費牆或 DRM 保護內容 | 高 | 同時涉及著作權與存取控制問題 |
又多加了一層:若為了存取受著作權保護的內容而繞過技術保護措施(付費牆、DRM、某些反機器人系統),即使你沒有實際複製內容本身,也可能產生責任。這一點在 2025–2026 年的案件中正被激烈測試,包括 ,Google 指控對方繞過其 SearchGuard 反機器人系統,違反 DMCA。
合理使用也很重要——轉化性使用(分析、彙整,或在資料基礎上進一步創作,而不是直接重發)通常比單純複製和轉貼別人的內容安全得多。
契約法:服務條款(Browsewrap vs. Clickwrap)
許多網站會在服務條款中加入反爬取語句——但能不能執行,完全取決於你是怎麼接觸到這些條款的。
| 契約類型 | 可執行性 | 對爬蟲的意義 |
|---|---|---|
| Clickwrap(你按下「我同意」) | 強 | 法院通常會承認其效力。反爬取條款可支持民事主張。 |
| Sign-in wrap(登入頁附近有通知) | 視情況而定 | 取決於通知是否足夠明顯。 |
| Browsewrap(放在頁尾連結) | 較弱 | 若使用者沒有真正收到通知,法院通常會比較懷疑其效力。 |
| 帳號/API 條款 | 較強 | 登入後爬取或濫用 API 的風險高得多。 |
在 中,法院認為 Meta 的條款並沒有像 Meta 主張的那樣,涵蓋登出狀態下的公開爬取——針對爭議中的公開爬取,Bright Data 並未被證明使用了登入帳號。這是非常重要的差別。
實務建議:如果你從未登入、從未按下「我同意」,而且只爬取公開頁面,那麼 browsewrap 限制要對你主張效力,對網站來說會困難得多。但在爬取前還是要先看 ToS,特別是如果你曾建立帳號。
美國州級隱私法(CCPA 及其他)
如果你爬取的資料包含個人資訊——姓名、電子郵件、電話、位置資料——州級隱私法就可能適用。而且這種法規拼圖正在快速擴張。IAPP 統計到 ,而 。
其中大多數法律都對「公開可得」的個人資訊設有例外,但定義各不相同。而且後續使用——例如出售、分享,或以這些資料做画像分析——即使最初蒐集屬於例外,也可能仍然觸發義務。
| 州法 | 生效時間 | 是否涵蓋爬取的個資? | 退出選項要求 | 罰則範圍 |
|---|---|---|---|---|
| CCPA/CPRA(加州) | 2020/2023 | 是 | 出售/分享退出;承認 GPC | 每次違規 2,663–7,988 美元(2025 調整) |
| CPA(科羅拉多) | 2023 | 是 | 自 2024 年 7 月起全面退出/GPC | 依不實交易行為框架處以民事罰鍰 |
| CTDPA(康乃狄克) | 2023 | 是 | 自 2025 年 1 月起 OOPS/GPC | 故意違規最高 5,000 美元 |
| VCDPA(維吉尼亞) | 2023 | 是 | 具退出權 | 每次違規最高 7,500 美元 |
| TDPSA(德州) | 2024 | 是 | 自 2025 年 1 月起全面退出 | 每次違規最高 7,500 美元 |
| + 另有 8 州於 2026 前通過 | 各異 | 各異 | 各異 | 各異 |
其他已通過相關法律的州還包括猶他、奧勒岡、蒙大拿、德拉瓦、愛荷華、內布拉斯加、新罕布夏、新澤西、田納西、明尼蘇達、馬里蘭、印第安納、肯塔基與羅德島。阿拉巴馬也通過了一項將於 2027 年 5 月 1 日生效的法律。
對於爬取產品價格、商業名錄或市場資料的企業使用者來說——也就是非個資、事實性資訊——隱私風險明顯較低。像 這類工具,專注於從公開頁面進行結構化擷取(產品資料、商業名錄、不動產列表),正好符合風險最低的爬取類型。
重要網頁爬取判例:2000 到 2026 年時間軸
這正是我認為大多數同類指南最缺乏的部分。幾乎每篇文章都只講到 hiQ v. LinkedIn(2022)就停了,卻忽略了正在實際塑造爬取法律的判決。以下是完整時間軸:
| 案件 | 年份 | 主要判示 | 對爬蟲的影響 |
|---|---|---|---|
| eBay v. Bidder's Edge | 2000 | 以動產侵害頒布初步禁制令;爬蟲對伺服器造成負擔是關鍵 | ⚠️ 大量爬取若增加伺服器負擔,可能產生民事責任 |
| Facebook v. Power Ventures | 2016 | 發出存證信函後仍持續以 Facebook 系統存取,構成 CFAA 責任 | ⚠️ 存證信函+登入/受控存取,風險很高 |
| Van Buren v. US | 2021 | CFAA 的「超越授權存取」要求存取電腦中不允許接觸的區域 | ✅ 大幅縮小 CFAA 適用範圍 |
| hiQ v. LinkedIn | 2022 | 存取公開資料不構成 CFAA 違規(初步禁制令,後來和解) | ✅ 公開資料 ≠「未經授權存取」——但不是最終判決 |
| Meta v. Bright Data | 2024 | 在 Meta 的契約理論上,Bright Data 針對登出狀態公開爬取取得簡易判決勝利 | ✅ 若未同意條款,登入外爬取未必受條款拘束 |
| X Corp. v. Bright Data | 2024 | 5 月駁回多項主張;11 月命令否決基於爬取/銷售的主張 | ✅ 公開資料複製主張被削弱 |
| Compulife v. Newman/Rutstein | 2024-2025 | 大量擷取保險報價資料構成營業秘密責任;2025 年 2 月最高法院拒絕受理 | ⚠️ 面向公開的資料,也可能是受保護的資料庫 |
| Reddit v. Perplexity/SerpApi/Oxylabs/AWMProxy | 2025-2026 | 指控透過 Google 結果進行工業規模的間接爬取 | ⚠️ AI 時代案件鎖定資料供應鏈 |
| Google v. SerpApi | 2025-2026 | 關於涉嫌反機器人繞過的 DMCA §1201 主張 | ⚠️ 測試反機器人系統是否屬於 DMCA 存取控制 |
趨勢很清楚:法院越來越傾向在 CFAA 下保護對公開資料的存取,但著作權、契約、隱私、營業秘密與基礎設施等主張,仍然是完全獨立的風險。而 AI 訓練浪潮,正在創造全新的法律問題。
釐清事實:hiQ v. LinkedIn 到底裁定了什麼?
這是整個網頁爬取法律裡最常被誤解的案件。我看過它被部落格文章、Reddit 討論,甚至法律摘要拿來當成「公開網頁爬取合法」的證據。事情沒那麼簡單。
實際上發生的是這樣:
hiQ 實際裁定了什麼: 第九巡迴法院維持了一項初步禁制令——也就是臨時命令——阻止 LinkedIn 封鎖 hiQ 對公開 LinkedIn 個人檔案的爬取。法院認為,存取公開可得的資料很可能不違反 CFAA。關鍵字是:很可能。來源:。
hiQ 沒有建立什麼:
- 任何公開網站都可爬的全面權利
- 最終實體判決——最高法院在 Van Buren 後撤銷並發回重審,第九巡迴法院再次維持,之後案件又於 ,沒有最終法院判決
- 已公開的和解內容包括 50 萬美元、禁制令,以及資料/軟體銷毀義務
這對你有何意義: hiQ 對公開資料的爬取者來說是個鼓舞。它顯示法院對平台試圖把自己不擁有的資訊變成私有壟斷,抱持警惕。但這不是法律保證。其他主張——著作權、契約、隱私、營業秘密——從來沒有被解決。Van Buren 之後,CFAA 的範圍更清楚了,但若只把 hiQ 當成法律護身符,那會是個錯誤。
把這一點搞對,才是真正的風險管理,而不是自我安慰。
我可以合法爬這個嗎?實用決策流程圖
爬取是否合法,常常被說成是「灰色地帶」——這我常聽到。所以與其再講一堆法律理論,不如直接給你一個能用的判斷框架。任何爬取專案都先問五個問題:
1. 資料是否公開可存取(不需要登入)?
- 如果不是 → CFAA 風險較高。先取得授權或做法律審查再進行。
- 如果是 → 前往第 2 題。
2. 你是否在繞過任何技術障礙(CAPTCHA、IP 封鎖、速率限制、付費牆)?
- 如果是 → 可能涉及 DMCA 與 CFAA 問題。請停止或升級給法律顧問。
- 如果不是 → 前往第 3 題。
3. 你是否同意過禁止爬取的 clickwrap ToS?
- 如果是 → 有民事契約責任風險。考慮是否能從其他來源取得資料,或先取得授權。
- 如果不是 → 前往第 4 題。
4. 資料是否包含個人資訊(PII)?
- 如果是 → 檢查 CCPA 與適用的州級隱私法。確保你的使用情境合規,並尊重退出權。
- 如果不是 → 前往第 5 題。
5. 你打算怎麼使用這些資料?
- 受著作權保護內容的商業再發布(完整文章、照片、影片)→ 著作權風險。
- 轉化性分析、內部研究,或事實資料用途(價格、規格、名錄)→ 一般風險較低。
如果你落在「公開頁面、沒有繞過、沒有 clickwrap、非個資、供內部分析的事實資料」這個區間,你就屬於最低風險類別。這正是 設計來服務的工作流程——從產品列表、商業名錄、不動產資料等公開網頁擷取結構化、事實性資料,然後匯出到 Excel、Google Sheets、Airtable 或 Notion 供你自行分析。
把這張流程圖存起來。它不能取代律師,但可以替你省下很多不必要的恐慌。
AI 訓練與網頁爬取:新的法律前線
AI 為爬取法律增添了全新的複雜層次。把資料爬下來訓練大型語言模型、影像生成器和其他 AI 系統,如今已成為主要法律戰場——而法院尚未就關鍵問題做出定論。
目前的情況如下:
| 案件 | 狀態(2026) | 關鍵爭點 |
|---|---|---|
| NYT v. OpenAI/Microsoft | 持續進行中。核心著作權主張已於 2025 年 4 月准許繼續審理;證據開示爭議包含 2,000 萬筆以上的 ChatGPT 日誌。 | 用爬取的新聞文章訓練,究竟是合理使用還是著作權侵權? |
| Bartz v. Anthropic | Alsup 法官認定某些訓練用途屬於合理使用,但以盜版方式取得來源內容不屬於合理使用。據報和解金約 15 億美元。 | 訓練可能是轉化性使用,但盜版來源複製是另一個問題。 |
| Thomson Reuters v. Ross | 特拉華法院 拒絕把使用 Westlaw headnotes 來打造競爭性的法律研究產品視為合理使用。 | 直接替代產品面臨較高著作權風險。 |
| Getty v. Stability AI | 英國案件在 2025 年大致有利於 Stability;美國案件仍待審理。 | 影像訓練法律仍未定案。 |
又補上一些細節:對大型、多樣化資料集的訓練,很多時候可能屬於轉化性使用,但若是盜版來源複製,或直接與著作權人市場競爭的用途,合理使用主張就弱得多。
對大多數讀這篇文章的企業使用者來說,區別其實很簡單:把資料用於自己的分析或業務運營(開發名單、價格監控、市場研究),與把資料拿來訓練並商業化 AI 模型,在法律上是完全不同的兩回事。前者的著作權風險較低;後者才是大型訴訟真正發生的地方。
如何負責任地爬取資料(給企業團隊的最佳實務)
法律講夠了。接下來說說,怎麼實際爬資料才不會替團隊惹上法律麻煩。
只抓公開可得的資料
專注於任何人不用登入就看得到的內容——產品列表、商業名錄、公開紀錄、價格頁。只要進到登入後區域,風險就會明顯上升。
不要繞過技術防線
如果網站使用 CAPTCHA、IP 封鎖、速率限制或付費牆,這些都是訊號。繞過它們可能引發 DMCA、CFAA 或契約主張。如果資料真的很重要,先找官方 API 或資料合作方案。
檢查服務條款
尤其是你已經建立帳號或按過「我同意」的情況。讀一下 ToS 裡有沒有反爬取條款。如果條款禁止爬取,而你也同意過,那就要考慮能不能從其他來源取得資料。
盡量減少個資蒐集
如果你在蒐集 PII(姓名、電子郵件、電話),請確認你的使用情境符合適用州級隱私法。抓取事實性的商業資料——公司名稱、產品價格、列表細節——比抓個人消費者檔案風險低得多。
尊重 robots.txt 與速率限制
本身不具法律拘束力,但尊重它能展現善意。也不要猛打網站伺服器——請節流、保持合理間隔,別造成基礎設施損害。
把資料用於分析,不要直接再發布
轉化性使用——分析、彙整、內部研究、競爭情報——遠比直接複製與重發別人的文章、圖片或評論安全。如果你是在為團隊建立儀表板或試算表,你的處境比把爬下來的內容直接發佈到自己網站上要好得多。
選擇為合規爬取設計的工具
這裡我想提一下 的產品。我們的 是為商業使用者設計的,讓你能從公開網頁擷取結構化資料——產品列表、商業名錄、不動產資料、名單資訊——不必寫程式,也不必繞過技術障礙。AI 會讀取頁面、建議欄位,並讓你匯出到 。它就是為上面那張決策流程圖裡風險最低的分支打造的:公開頁面、事實資料、沒有登入繞過。
但話說回來,任何工具都不能讓你免於法律風險。你爬什麼、怎麼使用,責任永遠在你。
保留紀錄,收到存證信函就停止
記錄你的爬取活動與商業目的。如果收到存證信函,請停止並諮詢法律顧問。在正式通知後仍持續爬取,會大幅提高風險,尤其是涉及受控系統時。
美國網頁爬取合法性的重點整理
簡單版結論:
- 美國沒有聯邦法律禁止網頁爬取。 抓取公開可得的事實資料,一般是允許的。
- 是否合法取決於你爬的是什麼、怎麼取得,以及拿來做什麼。 公開頁面+事實資料+內部分析 = 最低風險。
- CFAA 的適用範圍在 Van Buren 與 hiQ 後已縮小, 但著作權、契約、隱私與營業秘密主張仍是獨立風險,依然適用。
- 對典型商業爬取來說,刑事責任很少見。 大多數風險屬於民事——是訴訟,不是手銬。
- hiQ v. LinkedIn 不是萬用許可證。 那只是初步禁制令,後來又和解。它令人鼓舞,但不是保證。
- 只要涉及 PII,州級隱私法就很重要, 但非個資資料(價格、列表、規格)風險最低。
- AI 訓練用途是全新的、尚未定案的法律前線。 為自己的分析而做的商業爬取,與用來打造商業 AI 模型的爬取,風險型態完全不同。
- 遵守最佳實務——只抓公開資料、尊重 ToS、避免個資、不繞過障礙、負責任地使用資料——能讓你的團隊待在安全區。
必要聲明:本文僅供資訊參考,不構成法律意見。如果你要進行大規模爬取,或處理敏感資料,請諮詢合格律師。不過,對那位只是想從公開名錄抓名單的銷售經理,或監控競爭對手價格的電商團隊來說?法律其實比你想像中更站在你這邊。
如果你想看看 Thunderbit 如何把這種公開資料擷取變得超簡單——不用程式、不用繞過,只把結構化資料送進你的工作流程——歡迎看看我們的 ,或直接下載 自己試試。
常見問題
1. 2026 年在美國,網頁爬取合法嗎?
是的,只要你爬取的是公開可得的資料,網頁爬取在美國通常是合法的。沒有聯邦法律明文禁止。不過,你的爬取方式、蒐集的資料,以及使用方式,都可能在 CFAA、著作權法、契約法或州級隱私法下產生法律風險。最安全的做法是只抓公開頁面、避免繞過技術防線、盡量少蒐集個資,並把資料用於分析,而不是直接再發布。
2. 我會因為網頁爬取而坐牢嗎?
因為網頁爬取而被刑事起訴非常少見,通常要涉及未經授權存取認證保護後方資料(CFAA 違規)或詐欺才有可能。司法部 2022 年的 CFAA 起訴政策指出,單純違反服務條款不足以構成刑事起訴。多數網頁爬取爭議其實都是民事案件——是訴訟,不是刑案。
3. 違反網站服務條款,網頁爬取就算違法嗎?
不一定。違反網站 ToS 是契約問題,不是刑事犯罪。如果你同意過禁止爬取的 clickwrap 條款,網站可能提起民事違約訴訟。但放在頁尾連結的 browsewrap 條款,要執行就困難得多,尤其是你從未登入或按過「我同意」。在多起爬取案件中,法院都對被動式 browsewrap 的執行持保留態度。
4. 在美國爬取個人資料(電子郵件、電話)合法嗎?
這要看情況。許多美國州級隱私法——包括 CCPA、VCDPA、CPA 等——都對公開可得的個人資訊設有例外,但定義與後續使用義務各不相同。抓取非個人資料(產品價格、商業名錄、公開紀錄)風險低得多。如果你在大規模蒐集 PII,請查適用州法,並確認用途合規。
5. hiQ v. LinkedIn 讓所有網頁爬取都合法了嗎?
沒有。hiQ 的裁定只是初步禁制令——基於勝訴可能性的臨時命令——不是最終實體判決。第九巡迴法院只說存取公開資料很可能不違反 CFAA,但案件在 2022 年和解,沒有最終法院判決。它不會賦予爬取任何網站的全面許可,也不處理著作權、契約、隱私或營業秘密主張。對公開資料爬取者來說它是個好消息,但不是法律保證。
延伸閱讀