去年开始,受地缘政治的影响,开源界已经发生了一些大动荡,引发了围绕“开源是否有国界”的讨论,也有组织用行动站队——RISC-V 将基金会迁到瑞士,以保护中立性。今年紧张的局势并没有缓解,关于开源软件传播的问题正引起更为广泛的讨论。
前阵子 Linux 基金会发布《了解开源科技和美国出口管制》白皮书,文中说明:美国出口管制条例 EAR 明确豁免了大多数以开源形式呈现的软件和技术。不过白皮书的呈现并不十分直观,关于开源与进出口管制背后的原因、一些相关历史背景也没有足够多的说明。邓超律师近日发表了以下他关于“开源与美国出口管制”的见解,或可帮助读者通俗了解相关法律问题。
文章主要解答一个问题:开源能否突破美国出口管制条例的限制?文章还解释了国家层面对加密、解密技术进行管控的原因;介绍美国出口管制法规 EAR;并指出我们为何要了解遵守美国的出口管制法规。
作者:邓超(微信:tmtlvshi),北京合弘威宇律师事务所律师,法学博士。行业领域为 TMT 领域,专业领域为知识产权。为 TMT 领域的客户提供知识产权与合同相关的诉讼以及非诉类法律服务。
为何我们要了解并遵守美国的出口管制法规
对于中国公司来讲,自然应该遵守中国的法律法规,这是公司运营的基础。不遵守美国关于出口管制的法规虽然并不构成违法,但是针对违反美国出口管制法的公司,美国可以对其进行处罚(例如列入拒绝交易清单(Denied Persons List,DPL)),从而使得该公司无法获得源自美国的产品和技术。对于某些行业(例如食品饮料、家具装修)来讲,切断源自美国的产品和技术并无大碍;但是对于高科技行业(例如信息通信技术、ICT)来讲,这种处罚是致命性的。
当然,在更广泛的层面上,遵守美国的出口管制法规也是企业树立诚信经营和负责任的国际形象的重要措施。毕竟,美国出口管制法规的最重要目的之一就是防止受关注国家或者恐怖组织获得相关的技术从而对人类和平造成威胁。
以中兴事件为例,2010 年,联合国决定对伊朗展开第四轮制裁。随后,美国公布对伊朗实施出口禁令。2012 年,中兴通讯将带有美国公司软硬件的产品出售给伊朗电信营运商,违反了美国对伊朗的出口禁令,遭到美国商务部调查。2016 年 3 月,美国商务部公布调查结果,以违反美国出口管制法规为由将中兴通讯等企业列入“实体清单”,对中兴采取限制出口措施。2017 年 3 月,中兴通讯同意支付 8.9 亿美元罚金,从而与美国商务部达成和解。2018 年 4 月,美国商务部以中兴通讯虚假陈述等为由,再次启动禁令。2018 年 5 月,中兴通讯发布公告,表示“受拒绝令影响,本公司主要经营活动已无法进行”。2018 年 6 月,美国商务部与中兴通讯达成新的和解协议,中兴通讯将支付 14 亿美元的罚款来换取禁令的解除。
不同于世界绝大多数国家的出口管制只针对本国产品的出口,美国的出口管制法规非常长臂,它适用于所有位于美国的物项,无论原产地为何处;以及所有源自美国的物项,无论现在位于何处。对于前者,意味着巴西公司通过海运向中国公司出口产品时,船舶如果在美国停靠就要受到美国的出口管制。对于后者,意味着美国公司向中国公司出口芯片后,中国公司将装有该芯片的产品再出口到其他国家时,也要受到美国的出口管制(当然,中国公司同时还要遵守中国的进出口管制法规)。
另外,出口是一种特权(privilege),而不是权利(right)。特权是有条件的,可以被撤消;而权利是固有的(与生俱来的),不能被撤消。因此,政府可以禁止公司或个人进行出口(再出口)。
开源能否突破美国出口管制条例的限制?
本节主要解答如下问题:开源能否突破美国出口管制条例的限制?
一个广为流传的争议是,软件的源代码是否应受到言论自由的保护,所以不能被管制。此争议根据 1995 年伯恩斯坦诉美国司法部(Bernstein v. Department of Justice)案,软件源代码属于言论自由的范畴,不能被政府部门管制。但很少有人提到,该案的裁决都未生效。因此,伯恩斯坦案并非有法律效力的判例。
伯恩斯坦案有个大背景——加密技术被视为军事技术或者准军事技术而被严格管制,之后的章节也会再谈这个背景。
伯恩斯坦案的基本案情为:1990 年,丹尼尔·伯恩斯坦(Daniel Bernstein)在加州大学伯克利分校攻读数学博士期间,撰写了有关加密的论文并编写了一种零延迟的私钥加密软件——Snuffle。根据当时美国《国际武器贸易条例》ITAR 的规定,加密软件相当于军用物项的“弹药”。为了能够自由地与学术界交流该加密技术,伯恩斯坦于 1992 年向国务院提出请求,以确认该加密软件的源代码和相关信息是否受 ITAR 管制。美国国务院认为是的,并且要求伯恩斯坦在将该加密软件的源代码给外国人查看(出口)时获得批准(许可证)。伯恩斯坦认为这构成对其言论的限制,于是在 1995 年 2 月提起了诉讼。
该案法律问题在于:美国政府基于 ITAR(后为 EAR)限制伯恩斯坦出口强加密软件的源代码,是否违反了美国宪法第一修正案规定的言论自由。
综上,不能简单地得出结论认为软件的源代码受到言论自由的保护,所以不能被管制。实际上恰恰相反,软件的源代码只要没有实现可公开获取(publicly available),仍然要受到 EAR 的管制。换言之,开源软件由于已公布给公众,因此一般不受 EAR 的管制。例外仍然是加密解密代码,此类代码为了不受 EAR 的管制,除了通常的公布外,还需要向工业安全局 BIS 和国家安全局 NSA 发送电子邮件进行报备。
因此,(非加密类)开源软件不受 EAR 管制的关键在于开源软件是任何人都可以公开获取的,自然不存在管制的意义,而非在于软件属于言论自由的范畴,因为未公布的源代码仍然可能受到 EAR 的管制。
另外一个广为流传的观点是源代码属于言论自由的范畴(我们已经讨论过这在很大程度上是个伪命题)因此不受管制,而软件产品(目标代码)则受管制。
但众所周知的是目标代码都是由源代码生成的,并且该编译过程是一种常规劳动,并不需要天才的火花才能完成。上述观点类似于对凉水进行管制,但是却不管制热水。如果热水可以不受管制地任意获得,那么将热水放置一阵就能得到凉水,对凉水进行管制又有什么意义呢?这是该观点难以自圆其说之处:只管制目标代码却不管制源代码,那么将源代码进行编译就可以得到目标代码并生成软件产品,如何能进行有效管制?
实际上,从 EAR 的具体条文来看,其并未对源代码和目标代码进行区分,是否进行管制的关键仍然在于代码是否可公开获取(publicly available)。因此,开源软件的源代码和二进制目标代码是一视同仁的,一般都不受 EAR 的管制。但在使用目标代码时,要注意判断目标代码是否有相应的可公开获取的源代码,如果源代码没有开源,那么目标代码不能被认为满足 EAR 所规定的“可公开获取”,因此就会受到管制。
管制与加密解密——从 HashiCorp 谈起
前文提及,开源软件由于已公布给公众,因此一般不受 EAR 的管制,例外仍然是加密解密代码。本节介绍一起案例,谈谈管制与加密解密。
HashiCorp 是一家总部位于美国旧金山的软件公司,由 Mitchell Hashimoto 和 Armon Dadgar 于 2012 年创立。业务模式主要为免费增值(freemium),即同时提供免费的开源版和收费的企业版。产品线包括 2015 年 4 月首次发布的 Vault,该工具可以向应用程序、系统和用户提供机密管理,基于身份的访问,对应用程序数据加密以及对机密审核等功能。
2020 年 5 月底,HashiCorp Vault 的企业版软件被禁止在中国国内使用,其开源版(OSS)不受影响。HashiCorp 随之更新了评估条款,并在官网声明:
请注意,中国出口管控条例禁止 HASHICORP 在中华人民共和国境内销售或以其他方式提供企业版 VAULT。鉴于此原因,未经 HASHICORP 的书面同意,不得在中华人民共和国境内使用、部署或安装 HASHICORP 的 VAULT 企业版本软件。
HashiCorp 这个声明的内容本身并没有什么问题,因为无论是中国还是美国或者世界上任何其他国家,都对加密解密技术、尤其是高强度的加密解密技术进行不同程度的管控。只是这个声明的法律依据让人有些摸不着头脑。一个美国的公司将源于美国的加密解密软件出口到中国,应该适用的是美国的出口管制法、或者中国的进口管制法。中国的出口管制法不能约束美国公司将美国技术出口到中国。
并且,目前我国的出口管制法仍然在审议当中,并未施行。根据最新消息,2020 年 6 月 28 日,出口管制法草案二次审议稿提请了十三届全国人大常委会第二十次会议审议。2019 年 12 月,十三届全国人大常委会第十五次会议初次审议了出口管制法草案。
我国在法律层面上缺乏进行进出口管制的依据,目前的管制主要依赖于商务部和海关总署于 2005 年发布的《两用物项和技术进出口许可证管理办法》,此外,国务院还制定并批准了一些与进出口管制相关的条例和办法。
根据最新版的《两用物项和技术进出口许可证管理目录》,我国主要对以下三类物项进行进口管制:监控化学品、易制毒化学品以及放射性同位素。出口管制的物项数量更多且更复杂,本文难以一一列出。总而言之,根据上述管理目录,我国对于加密解密技术的进口并不实行进口管制。
但是对加密解密技术进行进口管制仍然是有法律依据的,就是我国 2020 年 1 月 1 日起施行的密码法。根据密码法第 28 条第 1 款,
国务院商务主管部门、国家密码管理部门依法对涉及国家安全、社会公共利益且具有加密保护功能的商用密码实施进口许可,对涉及国家安全、社会公共利益或者中国承担国际义务的商用密码实施出口管制。商用密码进口许可清单和出口管制清单由国务院商务主管部门会同国家密码管理部门和海关总署制定并公布。
同时,国家密码管理局、商务部、海关总署于 2019 年 12 月 31 日联合发布公告,称将制定并公布商用密码进口许可清单和出口管制清单(截止目前,该清单并未公布)。算是给 HashiCorp 的上述声明找到了法律依据。
再简单说一说各国为何要对加密解密技术进行管控。其原因很简单,正如拿破仑所说,“战争的 90% 是信息”。
换言之,掌握己方和对方信息的一方往往能够做出更准确的判断,从而赢得战争的胜利。这类例子在历史上不胜枚举。比如在中途岛战役前夕,美军就利用了已经截获的日军电报密码,破获了日军进攻中途岛的全部情报,对日军的行动了如指掌。尽管日军在海战中调集兵力占有绝对优势,但美军早有准备,最终取得了胜利。此外,关于二战期间的欧洲战争,许多评论家认为,由于英国的 Ultra 计划成功破解了德国的加密机 Enigma,德国通信情报向盟军的流动大大缩短了二战的时间,甚至可能改变了战争的结果。再以最近美国击毙本拉登为例,美国也是从开始监听本拉登的信使艾哈迈德开始的。美国发现该人总是在某个地方重复出现,经过逐一排查,最终确定了本拉登的藏身之处。
不难看出,在战争中,确保己方通信的安全并且破解对方的通信往往能够左右战争的结果,而这就一定会涉及到加密和解密的技术。除战争外,加密和解密技术由于广泛应用于金融、科技、商业等几乎所有领域,一旦使用的技术不够安全可靠,其后果不堪设想。正因为如此,各国都对高强度的加密解密技术进行不同程度的管控。
拓展:美国出口管制与 EAR 介绍
最后,补充一下美国的出口管制法规介绍,感兴趣的读者可以深入了解。
美国现行的联邦法大致可以分为法律(act)和法规(regulation)两个部分,前者被编纂为美国法典(United States Code, USC),后者被编纂为联邦行政法典(Code of Federal Regulations, CFR)。法律由美国国会制定,但是一般规定得比较笼统。由于国会没有时间和精力制定过于细化的操作规则,因此,需要由联邦政府的行政部门基于相关的法律制定更详细、更具有可操作性的法规(条例)。
与出口管制相关的法规主要是《国际武器贸易条例》(International Traffic in Arms Regulations, ITAR)和《出口管制条例》(Export Administration Regulations, EAR)。
ITAR 由美国国务院基于 1994 年的《武器出口管制法》(Arms Export Control Act, AECA)编写,管控军用物项的出口;EAR 由美国商务部下属的工业安全局编写,主要管控两用物项和敏感度低的军用物项的出口和再出口,其目前的法律基础是 2018 年的《出口管制改革法》(Export Control Reform Act, ECRA)。物项是商品、技术和软件的统称。顾名思义,军用物项是指主要用途为军事的物项,而两用物项则是指既有商业用途也有军事应用的物项。
由于我国一直以来都是 ITAR 的禁运国,并且两用物项的出口受 EAR 管控,因此本节主要介绍 EAR。如前所述,美国的 EAR 施行长臂管辖,它适用于所有位于美国的物项,无论原产地为何处;以及所有源自美国的物项,无论现在位于何处。美国企业将技术和产品销售给中国公司后(出口),中国公司将含有该美国技术和产品的新技术和新产品再次销售到其他国家时(再出口),除了要符合中国的进出口管制法规外,还会受到美国 EAR 的管控,因此要特别注意。
为了明确具体的管制物项,美国商务部制定了《商业管制清单》(Commerce Control List, CCL)和《商业国家列表》(Commerce Country Chart, CCC)。在 CCL 中,用 5 位数的 ECCN(Export Control Classification Number)编码对所有管控物项进行归类,没有 ECCN 的物项被归类 EAR99。但要注意的是 EAR99 并非出口白名单,对 EAR99 物项进行再出口时,仍然要确认出口目的地等相关信息。
5 位 ECCN 编码的第一位代表类别,第二位代表物项的形态,第三位代表管制原因,第四位用于识别是否是美国独自管制,第五位代表一般的数字。
在了解了物项的 ECCN 编码后,需要在 CCL 中确认该物项的管制原因和管制级别。接下来,根据得到的管制原因和管制级别在 CCC 中确认是否需要许可。如果需要许可,再判断是否能够适用许可例外。如果不能的话,那么对该物项进行再出口时,需要得到美国商务部的许可。而美国商务部对于许可的态度一般是默认拒绝。