供稿:陈阳 | 编辑:Corrie
文中图片均来源于网络
开源社引言
由于 EAR 事件引发很多争议和混淆,开源社连续发布了两篇文章来还原事实的本质与真相。
专家解读:开源软件项目是否会被限制出口?
权威答复:Linux基金会的回信来了!
同时安排专家接受 CSDN 访谈。谈谈以后我们的开源软件、主流开源操作系统、工具框架是否会面临被闭源的窘境呢?对于中国企业、中国开发者而言,我们又该何去何从呢?
专家访谈(2019年5月21日 20:35)
以下是开源社法律咨询委员会顾问/ 钧理知识产权事务所林诚夏与 CSDN 的访谈记录。
— Question 1
CSDN :昨天EAR事件引发很多开发者的忧虑:会不会有一天在美国出口法律法规管制下,当前已成为主流进入我们的生活及业务研发中的开源软硬件、系统工具是否会面临突然被闭源的困境?
林诚夏:不会,除非美国大举修改出口管制条例( Export Administration Regulation , EAR )的相关内容,不然这样的设想并不会发生。
美国出口管制条例的主要控制对象,其实是专利技术,或依该专利技术产出的硬件产品,例如芯片,或内嵌软件专利的程序项目。较少直接影响到软件著作权,但要就软件著作权来做控管,解释上也是可以,只不过,开源软件依照EAR 15 CFR § 734.3( b )及15 CFR § 734.7两项合并解释:「技术或软件已经是被一般公众可以接触,并不限及其后续散布者( when it has been made available to the public without restrictions upon its further dissemination ),则并不在 EAR 管制之列。」虽然说软件涉及加解密技术,即使是开源软件,仍必须经过美国工业和安全局(
Bureau of Industry and Security, BIS ),认同其为「公开可用」的加解密技术,才完全不受到 EAR
拘束,但是,这并不等同说,开源软件涉及出口时,必须经 BIS 审查并核可。实际流程,是由出口者向 BIS 及美国国家安全局( National
Security Agency, NSA )发送通知,以备查的方式,让这两个单位了解,所出口的软件虽涉及加解密,但该加解密技术确实符合 EAR
15 CFR § 742.15( b )款中「公开可用」的标准。所以说,谷歌依 Reuters 报导无法再提供 Google apps
给华为,是因为这些 apps 并非开源软件,不能满足
EAR「公众可以接触,并不限及其后续散布」的条件,才会有可能被美国政府指示择日停止出口给华为,与此相较, Android Open Source
Project ,则并不在拟限制出口清单之列,主因就是 AOSP ,是采「公开可用」的开源模式发布。
在这个时间点,由于信息的纷杂,很多人对于美国出口管制条例存有不少的误解。其实,我们必须理解到,EAR 管理限制的是出口行为,这才是它的核心要点,而与软件著作权利谁属,没有必然关系。而所谓出口的定义,按照美国工业和安全局( Bureau of Industry and Security, BIS )的解释,包括:
任何运送出美国的行为;
任何利用电子交易送出美国的行为;
以及,将技术发送给任何一个在美国的非美国公民的行为。
所以,若一个开源项目是透过国际协作的模式来进行,只是由美国当地厂商取之来做商业服务的支援,这就未必涉及出口,因为在其他国家,也有可能有其他厂商是直接从非美国的源头,取得这些开源软件来进行商业服务的。
大家应该要理解,原则上国际间协作、网络公开可下载的开源项目,没有太多 EAR 方面的疑虑,只是说,像红帽或谷哥这样的公司,其实是公开网络上提供开源项目是基础版本,商业合作上会提供「开源项目+额外元件」。例如 Fedora Distro 是红帽公司的开源基础版, RedHat Distro 是奠基于 Fedora 上的加值版; Android Open Source Project 是开源基础版,加上的 Google Apps 是额外元件,在这些「额外非开源元件」上就比较会有受到 EAR 管制的可能。换言之,若是开源项目和其商业项目的内容完全一致,理论上便较不会有 EAR 的出口控管疑虑。
— Question 2
CSDN :您昨天分析说,开源软件,只要不涉加解密技术,不会被美国 EAR 管制,但涉及加解密者则会被管制。请问这部分的加密者为什么会被管制?
林诚夏:依照 EAR 15 CFR § 742.15该项的说明理由,加密物件( Encryption items )原则上受到 EAR 高度管制。因为这样的物件会被用来隐藏信息的内容,所以有可能会被外国人士拿来伤害美国的国家安全、外交政策,及其他依法执行的利益。所以说,内含加解密技术的软件,可被用来制造加密物件,这是为什么原则已开源的软件不受
EAR 管控,但若涉及加解密技术的开源软件,即使该加解密技术公开可及,仍被要求做申报备查的处理。例如 OpenSSL
这样的开源软件项目,是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,避免窃听,也就是说,这个软件可以协助使用者进行加密通讯,主要是可以实作
SSL 与 TLS 这种可以加密的通讯协议,用到 OpenSSL 代码的软件,依过往习惯, EAR 仍然要求出口者,必须时时主动向 BIS 及
NSA 发送通知,来让这两个单位掌握相关信息。
— Question 3
CSDN :不同基金会之间的管制有什么区别呢?
林诚夏:其实差别不大,基金会若设立在美国,相关的软件发布自然解释上,有可能落入出口行为的定义范围,所以各大基金会多会揭示声明,提醒开源软件的使用者,虽然美国出口管制条例原则上不严格控管开源软件的发布,但是, EAR 此项原则仍有例外的解释空间,例如加解密技术必须通报备查,即为一例。基金会做这样的告示声明,用意在于提供使用者,相关的出口管制涉及软件从美国出口时,仍是有效的,发布者必须就个案来自行斟酌,是否主动向 BIS 及 NSA 进行 EAR 要求的申报。
— Question 4
CSDN :不同代码托管平台所受的管制是否不同呢?目前
GitHub Enterprise Server 上写道:“不得出售,出口或再出口到 EAR 第740部分补充文件或乌克兰克里米亚地区的国家组
E:1中列出的任何国家。
该清单目前包含古巴,伊朗,朝鲜,苏丹和叙利亚,但可能会有所变化。”有人担忧这个“黑名单”会不会加上中国,对此,您怎么看?
林诚夏:这个可能性理论上当然不是没有,但实务上机率非常的低。古巴,伊朗,朝鲜,苏丹和叙利亚,与美国之间曾有武力冲突,或有涉及武力冲突的可能性,所以相关的出口管制,美国采取最严格的审验标准,若要将这样的标准套用到中国,是全球二大经济市场的直接冲突,牵连极大,所以,我个人认为这样的管制清单,不会是指定国家或地域,而可能是商业实体的特定公司。
— Question 5
CSDN :以后开发者在托管代码、选择开源软件时,应该如何选择呢?
林诚夏:如果想把跨国影响的疑虑降到最低,下列几款「旧时」的开源许可证,除非有特别理由,建议尽量不要使用,因为其早期嵌有准据法条款( choice of law ),或指定地区性的管辖法院,然而除了下列这些许可证之外,目前全球多数的开源许可证,皆没有指定准据法和审判法院。再简要重申,并不是说与 MPL-1.0、 MPL-1.1、 QPL-1.0、 MS-RL,以及MS-PL 许可证有关软件项目就是美国出口软件,事实上它也可以是无关的,但这几款旧款的开源许可证或嵌有准据法要求,或要求解释依美国法律,故如希望开源项目未来在使用上,在法律或管辖解释上不被限缩的话,这几款旧时许可证有关的软件项目,建议低度使用。另外, MPL-2.0已取消指定法院和准据法,故这个最新版本是没有相关疑虑的。
(1) Mozilla Public License Version 1.0 ( MPL-1.0 ),指定美国加州法院,
(2) Mozilla Public License Version 1.1 ( MPL-1.1 ),指定美国加州法院,
(3) The Q Public License Version ( QPL-1.0 ) ,指定挪威奥斯陆法院,
(4) Microsoft Reciprocal License ( MS-RL ),名词定义指定依美国著作权法,
(5) Microsoft Public License ( MS-PL ),名词定义指定依美国著作权法。
— Question 6
CSDN :中国开发者该如何实现“开源自立”呢?有什么有效建议呢?
林诚夏:开源软件其实是全球流通,才能真正产生综效。它奠基于各国著作权法尊重作者决定其著作权如何提供的基础原则,然而我们也必须认识到,各国有其相关法律及规则,相关举措即使并非针对开源软件来设立,也有可能在实务上产生影响。所以务实的说,开源软件必然可供分流、分枝,例如
SourceForge
这个老牌的开源软件仓储,就是透过各地公益机构的协助建立分流站,故软件可以集中开发,但扩散上仍可兼采分流法则来进行推广及应用。
转发微信公众号开源社文章:权威解读 GitHub、Apache 疑云:主流开源软件究竟是否会被闭源?