供稿:陳陽 | 編輯:Corrie
文中圖片均來源于網(wǎng)絡(luò)
開源社引言
由于 EAR 事件引發(fā)很多爭議和混淆册赛,開源社連續(xù)發(fā)布了兩篇文章來還原事實的本質(zhì)與真相钠导。
同時安排專家接受 CSDN 訪談牡属。談?wù)勔院笪覀兊拈_源軟件、主流開源操作系統(tǒng)扼睬、工具框架是否會面臨被閉源的窘境呢逮栅?對于中國企業(yè)、中國開發(fā)者而言窗宇,我們又該何去何從呢证芭?
專家訪談(2019年5月21日 20:35)
以下是開源社法律咨詢委員會顧問/ 鈞理知識產(chǎn)權(quán)事務(wù)所林誠夏與 CSDN 的訪談記錄。
— Question 1
CSDN?:昨天EAR事件引發(fā)很多開發(fā)者的憂慮:會不會有一天在美國出口法律法規(guī)管制下担映,當前已成為主流進入我們的生活及業(yè)務(wù)研發(fā)中的開源軟硬件、系統(tǒng)工具是否會面臨突然被閉源的困境叫潦?
林誠夏:不會蝇完,除非美國大舉修改出口管制條例( Export Administration Regulation , EAR )的相關(guān)內(nèi)容,不然這樣的設(shè)想并不會發(fā)生矗蕊。
美國出口管制條例的主要控制對象短蜕,其實是專利技術(shù),或依該專利技術(shù)產(chǎn)出的硬件產(chǎn)品傻咖,例如芯片朋魔,或內(nèi)嵌軟件專利的程序項目。較少直接影響到軟件著作權(quán)卿操,但要就軟件著作權(quán)來做控管警检,解釋上也是可以孙援,只不過,開源軟件依照EAR 15 CFR § 734.3( b )及15 CFR § 734.7兩項合并解釋:「技術(shù)或軟件已經(jīng)是被一般公眾可以接觸扇雕,并不限及其后續(xù)散布者( when it has been made available to the public without restrictions upon its further dissemination )拓售,則并不在 EAR 管制之列∠夥睿」雖然說軟件涉及加解密技術(shù)础淤,即使是開源軟件,仍必須經(jīng)過美國工業(yè)和安全局(
Bureau of Industry and Security, BIS )哨苛,認同其為「公開可用」的加解密技術(shù)鸽凶,才完全不受到 EAR
拘束,但是建峭,這并不等同說玻侥,開源軟件涉及出口時,必須經(jīng) BIS 審查并核可迹缀。實際流程使碾,是由出口者向 BIS 及美國國家安全局( National
Security Agency, NSA )發(fā)送通知,以備查的方式祝懂,讓這兩個單位了解票摇,所出口的軟件雖涉及加解密,但該加解密技術(shù)確實符合 EAR
15 CFR § 742.15( b )款中「公開可用」的標準砚蓬。所以說矢门,谷歌依 Reuters 報導無法再提供 Google apps
給華為,是因為這些 apps 并非開源軟件灰蛙,不能滿足
EAR「公眾可以接觸祟剔,并不限及其后續(xù)散布」的條件,才會有可能被美國政府指示擇日停止出口給華為摩梧,與此相較物延, Android Open Source
Project ,則并不在擬限制出口清單之列仅父,主因就是 AOSP 叛薯,是采「公開可用」的開源模式發(fā)布。
在這個時間點笙纤,由于信息的紛雜耗溜,很多人對于美國出口管制條例存有不少的誤解。其實省容,我們必須理解到抖拴,EAR 管理限制的是出口行為,這才是它的核心要點腥椒,而與軟件著作權(quán)利誰屬阿宅,沒有必然關(guān)系候衍。而所謂出口的定義,按照美國工業(yè)和安全局( Bureau of Industry and Security, BIS )的解釋家夺,包括:
任何運送出美國的行為脱柱;
任何利用電子交易送出美國的行為;
以及拉馋,將技術(shù)發(fā)送給任何一個在美國的非美國公民的行為榨为。
所以,若一個開源項目是透過國際協(xié)作的模式來進行煌茴,只是由美國當?shù)貜S商取之來做商業(yè)服務(wù)的支援随闺,這就未必涉及出口,因為在其他國家蔓腐,也有可能有其他廠商是直接從非美國的源頭矩乐,取得這些開源軟件來進行商業(yè)服務(wù)的。
大家應(yīng)該要理解回论,原則上國際間協(xié)作散罕、網(wǎng)絡(luò)公開可下載的開源項目,沒有太多 EAR 方面的疑慮傀蓉,只是說欧漱,像紅帽或谷哥這樣的公司,其實是公開網(wǎng)絡(luò)上提供開源項目是基礎(chǔ)版本葬燎,商業(yè)合作上會提供「開源項目+額外元件」误甚。例如 Fedora Distro 是紅帽公司的開源基礎(chǔ)版, RedHat Distro 是奠基于 Fedora 上的加值版谱净; Android Open Source Project 是開源基礎(chǔ)版窑邦,加上的 Google Apps 是額外元件,在這些「額外非開源元件」上就比較會有受到 EAR 管制的可能壕探。換言之冈钦,若是開源項目和其商業(yè)項目的內(nèi)容完全一致,理論上便較不會有 EAR 的出口控管疑慮李请。
— Question 2
CSDN?:您昨天分析說瞧筛,開源軟件,只要不涉加解密技術(shù)捻艳,不會被美國 EAR 管制,但涉及加解密者則會被管制庆猫。請問這部分的加密者為什么會被管制认轨?
林誠夏:依照 EAR 15 CFR § 742.15該項的說明理由,加密物件( Encryption items )原則上受到 EAR 高度管制月培。因為這樣的物件會被用來隱藏信息的內(nèi)容嘁字,所以有可能會被外國人士拿來傷害美國的國家安全恩急、外交政策,及其他依法執(zhí)行的利益纪蜒。所以說衷恭,內(nèi)含加解密技術(shù)的軟件,可被用來制造加密物件纯续,這是為什么原則已開源的軟件不受
EAR 管控随珠,但若涉及加解密技術(shù)的開源軟件,即使該加解密技術(shù)公開可及猬错,仍被要求做申報備查的處理窗看。例如 OpenSSL
這樣的開源軟件項目,是一個開放源代碼的軟件庫包倦炒,應(yīng)用程序可以使用這個包來進行安全通信显沈,避免竊聽,也就是說逢唤,這個軟件可以協(xié)助使用者進行加密通訊拉讯,主要是可以實作
SSL 與 TLS 這種可以加密的通訊協(xié)議,用到 OpenSSL 代碼的軟件鳖藕,依過往習慣魔慷, EAR 仍然要求出口者,必須時時主動向 BIS 及
NSA 發(fā)送通知吊奢,來讓這兩個單位掌握相關(guān)信息盖彭。
— Question 3
CSDN?:不同基金會之間的管制有什么區(qū)別呢?
林誠夏:其實差別不大页滚,基金會若設(shè)立在美國召边,相關(guān)的軟件發(fā)布自然解釋上,有可能落入出口行為的定義范圍裹驰,所以各大基金會多會揭示聲明隧熙,提醒開源軟件的使用者,雖然美國出口管制條例原則上不嚴格控管開源軟件的發(fā)布幻林,但是贞盯, EAR 此項原則仍有例外的解釋空間,例如加解密技術(shù)必須通報備查沪饺,即為一例躏敢。基金會做這樣的告示聲明整葡,用意在于提供使用者件余,相關(guān)的出口管制涉及軟件從美國出口時,仍是有效的,發(fā)布者必須就個案來自行斟酌啼器,是否主動向 BIS 及 NSA 進行 EAR 要求的申報旬渠。
— Question 4
CSDN?:不同代碼托管平臺所受的管制是否不同呢?目前
GitHub Enterprise Server 上寫道:“不得出售端壳,出口或再出口到 EAR 第740部分補充文件或烏克蘭克里米亞地區(qū)的國家組
E:1中列出的任何國家告丢。
該清單目前包含古巴,伊朗损谦,朝鮮岖免,蘇丹和敘利亞,但可能會有所變化成翩∶倮Γ”有人擔憂這個“黑名單”會不會加上中國,對此麻敌,您怎么看栅炒?
林誠夏:這個可能性理論上當然不是沒有,但實務(wù)上機率非常的低术羔。古巴赢赊,伊朗,朝鮮级历,蘇丹和敘利亞释移,與美國之間曾有武力沖突,或有涉及武力沖突的可能性寥殖,所以相關(guān)的出口管制玩讳,美國采取最嚴格的審驗標準,若要將這樣的標準套用到中國嚼贡,是全球二大經(jīng)濟市場的直接沖突熏纯,牽連極大,所以粤策,我個人認為這樣的管制清單樟澜,不會是指定國家或地域,而可能是商業(yè)實體的特定公司叮盘。
— Question 5
CSDN?:以后開發(fā)者在托管代碼秩贰、選擇開源軟件時,應(yīng)該如何選擇呢柔吼?
林誠夏:如果想把跨國影響的疑慮降到最低毒费,下列幾款「舊時」的開源許可證,除非有特別理由愈魏,建議盡量不要使用觅玻,因為其早期嵌有準據(jù)法條款( choice of law )艇棕,或指定地區(qū)性的管轄法院,然而除了下列這些許可證之外串塑,目前全球多數(shù)的開源許可證,皆沒有指定準據(jù)法和審判法院北苟。再簡要重申桩匪,并不是說與 MPL-1.0、 MPL-1.1友鼻、 QPL-1.0傻昙、 MS-RL,以及MS-PL 許可證有關(guān)軟件項目就是美國出口軟件彩扔,事實上它也可以是無關(guān)的妆档,但這幾款舊款的開源許可證或嵌有準據(jù)法要求,或要求解釋依美國法律虫碉,故如希望開源項目未來在使用上贾惦,在法律或管轄解釋上不被限縮的話,這幾款舊時許可證有關(guān)的軟件項目敦捧,建議低度使用须板。另外, MPL-2.0已取消指定法院和準據(jù)法兢卵,故這個最新版本是沒有相關(guān)疑慮的习瑰。
(1)? Mozilla Public License Version 1.0 ( MPL-1.0 ),指定美國加州法院秽荤,
(2)? Mozilla Public License Version 1.1 ( MPL-1.1 )甜奄,指定美國加州法院,
(3)? The Q Public License Version ( QPL-1.0 ) 窃款,指定挪威奧斯陸法院课兄,
(4)? Microsoft Reciprocal License ( MS-RL ),名詞定義指定依美國著作權(quán)法雁乡,
(5)? Microsoft Public License ( MS-PL )第喳,名詞定義指定依美國著作權(quán)法。
— Question 6
CSDN?:中國開發(fā)者該如何實現(xiàn)“開源自立”呢踱稍?有什么有效建議呢曲饱?
林誠夏:開源軟件其實是全球流通,才能真正產(chǎn)生綜效珠月。它奠基于各國著作權(quán)法尊重作者決定其著作權(quán)如何提供的基礎(chǔ)原則扩淀,然而我們也必須認識到,各國有其相關(guān)法律及規(guī)則啤挎,相關(guān)舉措即使并非針對開源軟件來設(shè)立驻谆,也有可能在實務(wù)上產(chǎn)生影響卵凑。所以務(wù)實的說,開源軟件必然可供分流胜臊、分枝勺卢,例如
SourceForge
這個老牌的開源軟件倉儲,就是透過各地公益機構(gòu)的協(xié)助建立分流站象对,故軟件可以集中開發(fā)黑忱,但擴散上仍可兼采分流法則來進行推廣及應(yīng)用。
轉(zhuǎn)發(fā)微信公眾號開源社文章:權(quán)威解讀 GitHub勒魔、Apache 疑云:主流開源軟件究竟是否會被閉源甫煞?
