夜雨聆风
作者 / 高亚平 陈伊南
引言
当AI助手替你下单购物,却未经电商平台许可擅自登入你的账户,这究竟是便民服务还是违法入侵?2026年3月,美国加州北区联邦地区法院的一纸禁令,为AI行业困扰了很久的问题,第一次给出了司法层面的正式回答。
本文将依次介绍:① 案件基本事实与诉讼背景;② 地区法院临时禁令的四要素审查逻辑;③ 第九巡回上诉法院的程序性回应;④ 最终揭示本案确立的核心法律命题——在AI Agent场景下,"用户授权≠平台授权"。
一
.
案情简述:
AI代理"越权"购物引发诉讼
.
争议的导火索是Perplexity旗下的Comet浏览器。Comet于2025年7月正式发布,基于Chromium架构构建,内嵌AI助手,可自主导航网页、执行购物、代替用户完成多步骤任务。同年11月,Perplexity联合PayPal推出"Buy with Pro"功能,允许订阅用户通过AI辅助推荐完成一键购物——Comet的AI代理全程代劳,用户无需触碰键盘。
问题在于:Comet为完成上述操作,会登录用户的亚马逊账户,访问其受密码保护的私人购物数据,并将相关信息回传至Perplexity服务器。亚马逊对此并未授权。
亚马逊发出停止侵权函遭拒后,于2025年11月提起诉讼,援引联邦《计算机欺诈和滥用法》(CFAA,18 U.S.C. § 1030)及《加利福尼亚州刑法典》第502条,主张Perplexity的行为构成未经授权的计算机访问。
二
.
地区法院判决:
四要素审查,全面倾向亚马逊
.
2026年3月9日,地区法院裁定准予亚马逊申请的临时禁令,并命令Perplexity销毁相关数据。
法院依据临时禁令的经典四要素标准(参见Winter v. Nat. Res. Def. Council, 555 U.S. 7, 20 (2008))逐项审查:
(一)胜诉可能性
1. 就联邦法律层面:
法院认定亚马逊已证明Perplexity构成18 U.S.C. § 1030(a)(2)违反的可能:Perplexity故意通过Comet访问亚马逊受保护计算机系统,未获亚马逊授权(虽获用户授权),获取了用户私人账户信息,且亚马逊为此已支出超过5,000美元——包括开发屏蔽和检测工具所耗费的大量员工工时。
2. 就州法律层面:
法院基于相同逻辑,认定亚马逊亦可能证明Perplexity违反了加州刑法典第502(c)(7)条关于"未经许可访问计算机系统"的禁止性规定。
(二)不可弥补损害
法院注意到,Perplexity已明确表示如申请不获批准将继续相关行为——这一表态直接确立了不可弥补损害的可能性(参见Chegg, Inc. v. Doe, 2023 WL 7392290;Facebook, Inc. v. Power Ventures, 252 F.Supp.3d 765)。持续的未授权访问与数据获取,本身即构成不可弥补损害。
(三)损害衡平
Perplexity主张,禁令将使其丧失AI购物赛道的先发优势、市场份额、商业声誉及数亿研发投入。法院对此不予认同,援引第九巡回法院判例指出:"违法行为所导致的损失不应受到重大衡平保护"(参见Disney Enterprises v. VidAngel, 869 F.3d 848, 867 (9th Cir. 2017))。况且,禁令仅限于亚马逊密码保护账户区域,Comet仍可访问互联网上的其他绝大部分内容。损害衡平因素明显倾向亚马逊。
(四)公共利益
Perplexity主张禁令有悖于消费者选择权与创新发展的公众利益,法院认为公众同样具有保护计算机系统免受未授权访问的利益,两相权衡,该要素亦支持亚马逊。
关于待上诉期间中止执行: Perplexity请求中止执行禁令至上诉期满,法院以亚马逊更可能胜诉、且无临时救济将遭受不可弥补损害为由,拒绝该请求。但法院准许了Perplexity关于七日行政性中止的替代申请,以便其向上诉法院寻求进一步救济。
三
.
上诉法院回应:
行政暂停,保留审查空间
.
2026年3月16日,第九巡回上诉法院批准了Perplexity的行政暂停申请,地区法院命令暂时停止执行。
值得特别关注的是,此举仅为法院留出审查时间,不涉及对任何实质问题的判断,不代表认定Perplexity行为合法,亦不代表支持其上诉。换言之,这是程序性的"刹车",而非实体上的翻盘。
.
结语:
用户授权 ≠ 平台授权
.
地区法院的裁定实际上确立了一个清晰的命题:AI代理经用户同意访问某网站,并不等于获得了该网站平台的授权。
CFAA的核心禁止行为是"未经授权访问"(unauthorized access)或"超出授权访问"(exceeds authorized access)。亚马逊的服务条款明确禁止使用自动化程序访问其系统,Comet的AI代理行为因此落入了这一禁区——无论用户本人是否同意让Comet代为操作。
这一逻辑对整个AI行业都具有深远影响:
第一,AI功能设计阶段就应纳入法律合规审查。 Comet的"Buy with Pro"功能在产品上线后才遭遇法律阻击,已造成巨大的研发损耗和声誉风险。如果在设计阶段即对访问边界、数据流向和平台条款进行系统性法律评估,有可能以更低成本实现合规落地。
第二,"用户同意"的边界在AI时代需要重新定义。 传统互联网语境下的用户授权,往往指用户自行操作所产生的行为后果。当AI代理代替用户行事,用户授权所能覆盖的范围、以及平台对这种代理行为的容忍度,都是尚未被法律充分厘清的新问题。
上诉程序仍在继续,本案走向值得持续关注。
本文作者
高亚平 | 权益合伙人
段和段律师事务所副主任
数据合规专业委员会主任
税法专业委员会联席主任
香港萧一峰律师行注册外地律师
国际科学考试学会(EXIN)数据保护官(DPO)授权讲师和AI合规官(AICO)授权讲师
veragao@duanduan.com
⾼律师擅⻓“数据”“结算”“流量”垂直领域法律服务,创设性提出并推动IPO数据合规专项法律服务、在线新经济平台整合式(融合 ISO37301、ISO27001、ISO27701 等认证要求)合规管理体系建设法律服务,深耕新经济与互联网平台业务合规、数据合规(含 IPO 数据合规、数据出境、数据审计、AIGC合规、数据交易所挂牌合规评估等领域)、股权与税筹等法律服务,担任多家头部新经济平台(以共享用工平台、在线新经济平台为典型代表)以及大数据独角兽企业的合规法律顾问
澎湃研究院开设《新经济与法》专栏,出版数据合规领域专著《成功 CEO 的临⻔一脚 数据合规管理》,灵工平台合规专著《灵活用工平台之监管重点与高阶》、《灵活用工平台的合规之路》,撰写《企业上市数据合规白皮书》《中国数据出境实务实操白皮书:实务问答与实操演练(中英双语版)》。
陈伊南 | 律师助理
ianchen@duanduan.com
国际信息科学考试学会 (EXIN) 认证的数据保护官 (DPO),专业领域涵盖游戏领域数据合规、数据出境合规、数据资源入表、个人信息保护等
本文仅代表作者本人观点,不可将其视为段和段律师事务所及其律师出具的正式法律意见或结论。如需转载或引用文章中的任何内容,请邮件联系我们:webmaster@duanduan.com;如您有意就该议题进一步交流或探讨,欢迎与本所联系。
