中國開源軟件:出口管制對其影響及未來展望
作者:邱夢赟 2023-03-02著名Linux基金會在其出版物中提到,“開源發(fā)展的最大優(yōu)勢之一是它實現(xiàn)了跨邊界的協(xié)作;開源協(xié)作透明、公開且能跨越組織邊界,促使世界各地的開發(fā)人員、學(xué)者和工作人員一同成就比個人力量所能造就的更為偉大的開源技術(shù)。”
軟件開發(fā)者在研發(fā)軟件過程中,都毫無例外地會涉及引用多個開源項目的軟件(下稱“開源軟件”)。從一項開源軟件的誕生,到運(yùn)營和治理、到被軟件開發(fā)者二次開發(fā)和使用過程中,比較常見的有如下實體:開源代碼的源作者、開源基金會、代碼托管平臺、開源社區(qū)。該等實體的關(guān)系如下:
從開源社區(qū)與開源基金會成立歷史來看,盡管成立伊始,國際上較有影響力的開源社區(qū)、開源基金會均認(rèn)為自身是獨(dú)立的、不受政府影響,但如今形勢下,國際主流的開源基金會、開源項目、開源許可證均誕生于美國或由美國公司掌控[1],越來越多的國際主流開源基金會公開聲明其遵守美國的出口管制規(guī)定。 因此,本文分如下四個部分展開: 1. 總結(jié)了常見的國際主流開源基金會、代碼托管平臺、開源許可證對于美國出口管制的態(tài)度與聲明。 2. 從法律角度,分析了開源軟件、加密技術(shù)是否受到《美國出口管制條例》(EAR)的管制。 3. 提示軟件開發(fā)者須注意的出口管制合規(guī)與風(fēng)險控制。 4. 就有關(guān)我國開源生態(tài)健康有序發(fā)展,從律師角度,提出建議。
一、常見的國外主流開源基金會對于美國出口管制的態(tài)度
開源基金會是專門為支持開源軟件項目而辦的非營利性組織,它通過為軟件項目社區(qū)提供服務(wù)與支持實現(xiàn)價值,為IT 開發(fā)者提供了一個發(fā)現(xiàn)、使用、交流開源技術(shù)的平臺[2]。 以下是常見的國外主流開源基金會對于美國出口管制的態(tài)度:
二、常見的國外主流代碼托管平臺對于美國出口管制的態(tài)度
常見的代碼托管平臺,比如 GitHub、GitLab、Bitbucket 、Gitee ,是基于 Git 的代碼托管平臺,通過網(wǎng)絡(luò)為用戶提供 Git 倉庫托管服務(wù)。得益于 Git 分布式的特性,Git 代碼托管平臺上的倉庫通常充當(dāng)遠(yuǎn)程倉庫的角色,便于多個開發(fā)者之間的同步。在此基礎(chǔ)之上,代碼托管平臺還提供了許多協(xié)作功能,將版本管理、Bug 跟蹤、代碼審查、郵件列表、IRC 等眾多功能組合在一起,以實現(xiàn)更高效的協(xié)同開發(fā)。簡單來說,代碼托管平臺不僅僅提供代碼托管服務(wù),還有項目管理,甚至社交等功能。[17]
三、常見的開源許可證對于美國出口管制的聲明
軟件開發(fā)者在使用開源項目前,都需同意遵守開源項目所適用的開源許可證的約束,根據(jù)開源許可證的要求,在自身軟件研發(fā)中使用開源項目。經(jīng)查目前常見的開源協(xié)議,例如Apache 2.0 License[20]、MIT License[21]、BSD License[22]、SSPL[23]、LGPL 2.1[24]、GPL License[25],該等開源協(xié)議中均暫未含有對出口管制合規(guī)的條款要求。
四、美國出口管制對于開源軟件的管制規(guī)定
(一) 美國出口管制介紹及其與技術(shù)、軟件的關(guān)系 《美國出口管制條例》(Export Administration Regulations,又稱“EAR”)是美國出口管制領(lǐng)域的主要法規(guī),由美國商務(wù)部工業(yè)與安全局(BIS)負(fù)責(zé)管理與實施。[26]EAR包含24個章節(jié),內(nèi)容涵蓋出口管制的限制性措施、限制清單、許可證政策、程序等不同方面。[27] 從管制的對象角度,需要知道的是,EAR管制的不僅是有形商品,還包括無形的軟件與技術(shù)。[28] 從管制的行為角度,《美國出口管制條例》(EAR)管制了五種行為,包括出口、再出口、發(fā)布、在國內(nèi)轉(zhuǎn)讓、加密源代碼和對象代碼軟件的出口。其中四種管制的行為均涉及到了技術(shù)與軟件:
(二) 開源軟件是否受到EAR的管制?
EAR規(guī)定了滿足以下條件之一的信息與軟件不受到其管制[35]: 1. “已發(fā)布”的信息與軟件(如EAR第734.7條規(guī)定); 2. 在基礎(chǔ)研究期間產(chǎn)生的或由基礎(chǔ)研究產(chǎn)生的信息與軟件(如EAR第734.8條規(guī)定); 3. 通過學(xué)術(shù)機(jī)構(gòu)的目錄課程或相關(guān)教學(xué)實驗室以教學(xué)形式發(fā)布的信息與軟件; 4. 專利中顯示的或公開的專利申請且可以在任何專利辦公室取得的(除保密命令覆蓋的不得公開的內(nèi)容除外),或EAR第734.10規(guī)定的其他專利信息與軟件; 5. 為非專有系統(tǒng)(non-proprietary system)的描述;或 6. 列于貿(mào)易管制清單(Commerce Control List,又稱“CCL”)中大類9(航天航空與推進(jìn))產(chǎn)品組E(技術(shù))注釋2的遙測數(shù)據(jù)(telemetry data)(見EAR第774部分附錄1)。 那么,什么是“已發(fā)布”?在EAR第734.7(a)章節(jié)(章節(jié)名稱為:“已發(fā)布”)[36]規(guī)定了如下:除EAR第734.7(b)(即:下文第(三)段第1節(jié)提到的要求)和(c)段(即:有關(guān)對ECCN0A501相關(guān)軟件或技術(shù)的管制)中規(guī)定的情況外,當(dāng)未加密的“技術(shù)”或“軟件”被進(jìn)一步傳播時通過下述5種之一的任何方式已不受限制地公開,那么該“技術(shù)”或“軟件”是“已發(fā)布”的,繼而不受到EAR管制: 1. 任何希望獲取或購買已發(fā)布信息的個人均可無限制地訂閱。 2. 向公眾開放和提供的圖書館或其他公共館藏,公眾可以從中獲取有形或無形文件。 3. 在大會、會議、研討會、貿(mào)易展或展覽會上無限制分發(fā),通常對感興趣的公眾開放。 4. 以任何形式(例如,不一定以出版形式)公開傳播(即,無限制發(fā)布),包括在互聯(lián)網(wǎng)上向公眾開放的網(wǎng)站上發(fā)布。 5. 提交書面作文、手稿、演講、計算機(jī)可讀數(shù)據(jù)集、公式、圖像、算法或其他一些知識的陳述,其目的是如果被接受用于出版或演講,這些信息將被公開提供。 由此可見,EAR豁免了大多數(shù)以開源形式呈現(xiàn)的軟件和技術(shù),即明確該等開源軟件不受到EAR管制,其使用不受制于EAR。 (三) 用來加密的軟件,即加密軟件(常見類別ECCN 5D002)是否受EAR管制? 1. 加密軟件不受EAR管制的2個條件 加密軟件如果符合如下2個條件,則不受EAR管制[37]: 1. 是“公開可得”的加密的對象代碼軟件且ECCN 5D002;并且 2. 其相應(yīng)的源代碼符合EAR第742.15(b)章節(jié)規(guī)定的規(guī)格,即: 根據(jù)EAR的定義,“非標(biāo)準(zhǔn)加密”是指“結(jié)合或使用專有或未公布的加密功能實施‘加密’,包括尚未被正式認(rèn)可的國際標(biāo)準(zhǔn)機(jī)構(gòu)(如IEEE、IETF、ISO、ITU、ETSI、3GPP、TIA和GSMA)采用或批準(zhǔn)的,以及尚未公布的加密算法或協(xié)議。”[38] 符合上述2項標(biāo)準(zhǔn),即使是對象代碼也同樣不受EAR管制。 2. 美國商務(wù)部工業(yè)與安全局(BIS)進(jìn)一步舉例 對于上述,BIS進(jìn)一步舉例如下[39]: 此外,雖然開源代碼本身因其公開可得的,而不受EAR管制,雖然軟件開發(fā)中會引用開源代碼,但一個軟件不能僅僅因為它包含或引用公開可用的開源代碼而被視為公開可用。相反,一個具有加密功能的軟件則需根據(jù)EAR將其作為一個整體進(jìn)行評估。
五、軟件開發(fā)者須注意的出口管制合規(guī)與風(fēng)險控制
如上所述,從合規(guī)與風(fēng)控角度,我們建議軟件開發(fā)者需要關(guān)注如下: 1. 關(guān)注所使用的開源軟件所在的開源基金會、代碼托管平臺對于該開源軟件的ECCN分類以及是否受EAR管制的聲明。 2. 關(guān)注開源許可證中是否存在有關(guān)出口管制相關(guān)約定與聲明。 3. 關(guān)注所使用的開源軟件是否符合EAR規(guī)定的“已公開”。 4 是否使用加密軟件?判斷加密軟件是否是已公開,且是否是實施標(biāo)準(zhǔn)的且公開可得的加密技術(shù),或是,是否實施“非標(biāo)準(zhǔn)加密技術(shù)”。 5. 若以對象代碼形式公開加密軟件,則確保該軟件的源代碼也是公開可得。 6. 雖然軟件開發(fā)中包含或引用了不受EAR管制的開源代碼,但軟件作為整體仍需進(jìn)行是否受EAR管控的評估。
六、有關(guān)我國開源生態(tài)健康有序發(fā)展的建議
如業(yè)務(wù)共識,軟件的研發(fā)離不開引用開源軟件,即便是在國際主流的開源社區(qū)公開的開源代碼上進(jìn)行修改并進(jìn)一步開源,其衍生的開源代碼亦須得遵從該開源社區(qū)的約定。但又不得不承認(rèn),“我國開源社區(qū)主要還以利用國外開源代碼、依托國外開源社區(qū)為主,總體上仍是國際開源社區(qū)的次生社區(qū),呈現(xiàn)依附性強(qiáng)、自主性弱的特點,存在較大的開源產(chǎn)業(yè)鏈斷供風(fēng)險”[40]。加之,國際主流的開源基金會、開源項目、開源許可證均誕生于美國或由美國公司掌控[41],越來越多的國際主流開源基金會也公開聲明其遵守美國的出口管制規(guī)定。因此,在目前國際局勢下,很難預(yù)測未來開源軟件是否會一并受到波及。 因此,從長遠(yuǎn)來看,一方面,我國急需加強(qiáng)在國際主流開源社區(qū)中增加話語權(quán),增加開源社區(qū)的貢獻(xiàn)、交互與使用,以加強(qiáng)在開源社區(qū)中的影響力,另一方面,需要完善中國法律體系,盡快不光在開源內(nèi)容上而且在法律實踐中與國際接軌,促成我國自身開源生態(tài)事業(yè)的健康有序發(fā)展。 (錦天城律所倪好對本文亦有貢獻(xiàn))
注釋 [1]https://www.ndrc.gov.cn/wsdwhfz/202112/t20211228_1310313.html [2]https://oschina.gitee.io/opensource-guide/guide/ [3]https://www.apache.org/licenses/exports/ [4]https://www.linuxfoundation.org/resources/publications/understanding-us-export-controls-with-open-source-projects [5]https://www.eclipse.org/ [6]https://www.eclipse.org/legal/legalfaq.php#cryptography [7]https://www.cncf.io/ [8]https://www.cncf.io/blog/2019/06/11/cncf-openness-guidelines/ [9]https://www.cloudfoundry.org/ [10]https://www.cloudfoundry.org/terms-of-service/ [11]https://www.openstack.org/ [12]https://docs.openstack.org/security-guide/compliance/certification-and-compliance-statements.html [13]https://www.fsf.org/ [14]https://www.gnu.org/licenses/gpl-faq.html#ExportWarranties [15]https://opensource.org/ [16]https://blog.opensource.org/exporting-open-source-from-the-us/ [17]https://oschina.gitee.io/opensource-guide/guide/ [18]https://docs.github.com/en/site-policy/other-site-policies/github-and-trade-controls [19]https://about.gitlab.com/handbook/legal/trade-compliance/ [20]https://github.com/apache/hadoop/blob/trunk/LICENSE.txt [21]https://www.mit.edu/~amini/LICENSE.md [22]https://www.techtarget.com/whatis/definition/BSD-licenses [23]https://www.mongodb.com/licensing/server-side-public-license [24]https://www.gnu.org/licenses/old-licenses/lgpl-2.1.html [25]https://www.gnu.org/licenses/gpl-3.0.html [26] 見https://www.bis.doc.gov/index.php/regulations/export-administration-regulations-ear [27]https://www.bis.doc.gov/index.php/regulations/export-administration-regulations-ear [28] https://www.gnu.org/licenses/old-licenses/lgpl-2.1.html [29] 見EAR第734.13條(2023年2月24日更新) [30] 見EAR第734.14條(2023年2月24日更新) [31] 見Guidance on Reexports/Transfers (in-country) of U.S.-Origin Items or Non-U.S.-made Items Subject to the Export Administration Regulations (EAR): https://www.bis.doc.gov/index.php/licensing/reexports-and-offshore-transactions [32] 見EAR第734.15條(2023年2月24日更新) [33] 見EAR第734.16條(2023年2月24日更新) [34] 見EAR第734.17條(2023年2月24日更新) [35] 見EAR第734.3(b)(3)條(2023年2月24日更新) [36] 見EAR第734.7(a)條(2023年2月24日更新) [37] 見EAR第734.7(b)條(2023年2月24日更新) [38]https://www.bis.doc.gov/index.php/documents/regulations-docs/2344-part-772-definitions-of-terms-2/file [39] 見https://www.bis.doc.gov/index.php/policy-guidance/encryption/1-encryption-items-not-subject-to-the-ear [40] 見https://www.ndrc.gov.cn/wsdwhfz/202112/t20211228_1310313.html [41]https://www.ndrc.gov.cn/wsdwhfz/202112/t20211228_1310313.html
