https://www.allbrightlaw.com/CN/10475/d7cf06afe8d07a36.aspx
著名Linux基金會在其出版物中提到,“開源發展的最大優勢之一是它實現了跨邊界的協作;開源協作透明、公開且能跨越組織邊界,促使世界各地的開發人員、學者和工作人員一同成就比個人力量所能造就的更爲偉大的開源技術。”
軟件開發者在研發軟件過程中,都毫無例外地會涉及引用多個開源項目的軟件(下稱“開源軟件”)。從一項開源軟件的誕生,到運營和治理、到被軟件開發者二次開發和使用過程中,比較常見的有如下實體:開源代碼的源作者、開源基金會、代碼託管平臺、開源社區。該等實體的關係如下:
從開源社區與開源基金會成立歷史來看,儘管成立伊始,國際上較有影響力的開源社區、開源基金會均認爲自身是獨立的、不受政府影響,但如今形勢下,國際主流的開源基金會、開源項目、開源許可證均誕生於美國或由美國公司掌控[1],越來越多的國際主流開源基金會公開聲明其遵守美國的出口管制規定。
因此,本文分如下四個部分展開:
1. 總結了常見的國際主流開源基金會、代碼託管平臺、開源許可證對於美國出口管制的態度與聲明。
2. 從法律角度,分析了開源軟件、加密技術是否受到《美國出口管制條例》(EAR)的管制。
3. 提示軟件開發者須注意的出口管制合規與風險控制。
4. 就有關我國開源生態健康有序發展,從律師角度,提出建議。
一、常見的國外主流開源基金會對於美國出口管制的態度
開源基金會是專門爲支持開源軟件項目而辦的非營利性組織,它通過爲軟件項目社區提供服務與支持實現價值,爲IT 開發者提供了一個發現、使用、交流開源技術的平臺[2]。
以下是常見的國外主流開源基金會對於美國出口管制的態度:
二、常見的國外主流代碼託管平臺對於美國出口管制的態度
常見的代碼託管平臺,比如 GitHub、GitLab、Bitbucket 、Gitee ,是基於 Git 的代碼託管平臺,通過網絡爲用戶提供 Git 倉庫託管服務。得益於 Git 分佈式的特性,Git 代碼託管平臺上的倉庫通常充當遠程倉庫的角色,便於多個開發者之間的同步。在此基礎之上,代碼託管平臺還提供了許多協作功能,將版本管理、Bug 跟蹤、代碼審查、郵件列表、IRC 等衆多功能組合在一起,以實現更高效的協同開發。簡單來說,代碼託管平臺不僅僅提供代碼託管服務,還有項目管理,甚至社交等功能。[17]
三、常見的開源許可證對於美國出口管制的聲明
軟件開發者在使用開源項目前,都需同意遵守開源項目所適用的開源許可證的約束,根據開源許可證的要求,在自身軟件研發中使用開源項目。經查目前常見的開源協議,例如Apache 2.0 License[20]、MIT License[21]、BSD License[22]、SSPL[23]、LGPL 2.1[24]、GPL License[25],該等開源協議中均暫未含有對出口管制合規的條款要求。
四、美國出口管制對於開源軟件的管制規定
(一) 美國出口管制介紹及其與技術、軟件的關係
《美國出口管制條例》(Export Administration Regulations,又稱“EAR”)是美國出口管制領域的主要法規,由美國商務部工業與安全局(BIS)負責管理與實施。[26]EAR包含24個章節,內容涵蓋出口管制的限制性措施、限制清單、許可證政策、程序等不同方面。[27]
從管制的對象角度,需要知道的是,EAR管制的不僅是有形商品,還包括無形的軟件與技術。[28]
從管制的行爲角度,《美國出口管制條例》(EAR)管制了五種行爲,包括出口、再出口、發佈、在國內轉讓、加密源代碼和對象代碼軟件的出口。其中四種管制的行爲均涉及到了技術與軟件:
(二) 開源軟件是否受到EAR的管制?
EAR規定了滿足以下條件之一的信息與軟件不受到其管制[35]:
1. “已發佈”的信息與軟件(如EAR第734.7條規定);
2. 在基礎研究期間產生的或由基礎研究產生的信息與軟件(如EAR第734.8條規定);
3. 通過學術機構的目錄課程或相關教學實驗室以教學形式發佈的信息與軟件;
4. 專利中顯示的或公開的專利申請且可以在任何專利辦公室取得的(除保密命令覆蓋的不得公開的內容除外),或EAR第734.10規定的其他專利信息與軟件;
5. 爲非專有系統(non-proprietary system)的描述;或
6. 列於貿易管制清單(Commerce Control List,又稱“CCL”)中大類9(航天航空與推進)產品組E(技術)註釋2的遙測數據(telemetry data)(見EAR第774部分附錄1)。
那麼,什麼是“已發佈”?在EAR第734.7(a)章節(章節名稱爲:“已發佈”)[36]規定了如下:除EAR第734.7(b)(即:下文第(三)段第1節提到的要求)和(c)段(即:有關對ECCN0A501相關軟件或技術的管制)中規定的情況外,當未加密的“技術”或“軟件”被進一步傳播時通過下述5種之一的任何方式已不受限制地公開,那麼該“技術”或“軟件”是“已發佈”的,繼而不受到EAR管制:
1. 任何希望獲取或購買已發佈信息的個人均可無限制地訂閱。
2. 向公衆開放和提供的圖書館或其他公共館藏,公衆可以從中獲取有形或無形文件。
3. 在大會、會議、研討會、貿易展或展覽會上無限制分發,通常對感興趣的公衆開放。
4. 以任何形式(例如,不一定以出版形式)公開傳播(即,無限制發佈),包括在互聯網上向公衆開放的網站上發佈。
5. 提交書面作文、手稿、演講、計算機可讀數據集、公式、圖像、算法或其他一些知識的陳述,其目的是如果被接受用於出版或演講,這些信息將被公開提供。
由此可見,EAR豁免了大多數以開源形式呈現的軟件和技術,即明確該等開源軟件不受到EAR管制,其使用不受制於EAR。
(三) 用來加密的軟件,即加密軟件(常見類別ECCN 5D002)是否受EAR管制?
1. 加密軟件不受EAR管制的2個條件
加密軟件如果符合如下2個條件,則不受EAR管制[37]:
1. 是“公開可得”的加密的對象代碼軟件且ECCN 5D002;並且
2. 其相應的源代碼符合EAR第742.15(b)章節規定的規格,即:
(1) 受限於下述第(2)條規定的通知要求,屬於ECCN 5D002的“公開可得”(定義見EAR第734.3(b)(3)條)加密源代碼不受到EAR管制,即使它受制於使用該源代碼開發的任何產品的商業生產或銷售需要支付許可費或使用費的明確協議;(2) 實施標準的且公開可得的加密技術,或者,如果實施“非標準加密技術”,則需要通知美國商務部工業與安全局(BIS)和國家安全局(NSA)的ENC加密請求協調員。根據EAR的定義,“非標準加密”是指“結合或使用專有或未公佈的加密功能實施‘加密’,包括尚未被正式認可的國際標準機構(如IEEE、IETF、ISO、ITU、ETSI、3GPP、TIA和GSMA)採用或批准的,以及尚未公佈的加密算法或協議。”[38]
符合上述2項標準,即使是對象代碼也同樣不受EAR管制。
2. 美國商務部工業與安全局(BIS)進一步舉例
對於上述,BIS進一步舉例如下[39]:
(1) “公開可得”的大衆市場的加密對象代碼軟件。一旦大衆市場項目根據EAR第740.17(b)(1)或(b)(3)章的相關規定,進行正確的ECCN碼分類(由BIS分類或帶有自我分類報告的自我分類),如果該軟件隨後變得“公開可得”,則不受EAR的管制。例如,爲智能手機或電腦製作的符合大衆市場標準的應用程序,如果被免費提供,將被視爲“公開可得”,在這種情況下,必須要遵守EAR第740.17(b)(1)或(b)(3)規定的大衆市場要求,需要通過自我分類報告或向BIS提交分類請求以將該應用程序分類爲5D992.c。此後,如果該應用程序公開可得(例如:免費下載),那麼它將被認爲不再受EAR的管制。(2) 根據EAR第742.15(b)章節規定發送電子郵件通知後,“公開可用”加密源代碼不受EAR的管制。例如,在線免費提供的開源加密源代碼。(3) 當相應的源代碼也“公開可得”,並且已按照EAR第742.15(b)章節的規定通知時,“公開可用”的加密對象代碼不受EAR管制。
此外,雖然開源代碼本身因其公開可得的,而不受EAR管制,雖然軟件開發中會引用開源代碼,但一個軟件不能僅僅因爲它包含或引用公開可用的開源代碼而被視爲公開可用。相反,一個具有加密功能的軟件則需根據EAR將其作爲一個整體進行評估。
五、軟件開發者須注意的出口管制合規與風險控制
如上所述,從合規與風控角度,我們建議軟件開發者需要關注如下:
1. 關注所使用的開源軟件所在的開源基金會、代碼託管平臺對於該開源軟件的ECCN分類以及是否受EAR管制的聲明。
2. 關注開源許可證中是否存在有關出口管制相關約定與聲明。
3. 關注所使用的開源軟件是否符合EAR規定的“已公開”。
4 是否使用加密軟件?判斷加密軟件是否是已公開,且是否是實施標準的且公開可得的加密技術,或是,是否實施“非標準加密技術”。
5. 若以對象代碼形式公開加密軟件,則確保該軟件的源代碼也是公開可得。
6. 雖然軟件開發中包含或引用了不受EAR管制的開源代碼,但軟件作爲整體仍需進行是否受EAR管控的評估。
六、有關我國開源生態健康有序發展的建議
如業務共識,軟件的研發離不開引用開源軟件,即便是在國際主流的開源社區公開的開源代碼上進行修改並進一步開源,其衍生的開源代碼亦須得遵從該開源社區的約定。但又不得不承認,“我國開源社區主要還以利用國外開源代碼、依託國外開源社區爲主,總體上仍是國際開源社區的次生社區,呈現依附性強、自主性弱的特點,存在較大的開源產業鏈斷供風險”[40]。加之,國際主流的開源基金會、開源項目、開源許可證均誕生於美國或由美國公司掌控[41],越來越多的國際主流開源基金會也公開聲明其遵守美國的出口管制規定。因此,在目前國際局勢下,很難預測未來開源軟件是否會一併受到波及。
因此,從長遠來看,一方面,我國急需加強在國際主流開源社區中增加話語權,增加開源社區的貢獻、交互與使用,以加強在開源社區中的影響力,另一方面,需要完善中國法律體系,儘快不光在開源內容上而且在法律實踐中與國際接軌,促成我國自身開源生態事業的健康有序發展。
(錦天城律所倪好對本文亦有貢獻)
註釋
[1]https://www.ndrc.gov.cn/wsdwhfz/202112/t20211228_1310313.html
[2]https://oschina.gitee.io/opensource-guide/guide/
[3]https://www.apache.org/licenses/exports/
[4]https://www.linuxfoundation.org/resources/publications/understanding-us-export-controls-with-open-source-projects
[5]https://www.eclipse.org/
[6]https://www.eclipse.org/legal/legalfaq.php#cryptography
[7]https://www.cncf.io/
[8]https://www.cncf.io/blog/2019/06/11/cncf-openness-guidelines/
[9]https://www.cloudfoundry.org/
[10]https://www.cloudfoundry.org/terms-of-service/
[11]https://www.openstack.org/
[12]https://docs.openstack.org/security-guide/compliance/certification-and-compliance-statements.html
[13]https://www.fsf.org/
[14]https://www.gnu.org/licenses/gpl-faq.html#ExportWarranties
[15]https://opensource.org/
[16]https://blog.opensource.org/exporting-open-source-from-the-us/
[17]https://oschina.gitee.io/opensource-guide/guide/
[18]https://docs.github.com/en/site-policy/other-site-policies/github-and-trade-controls
[19]https://about.gitlab.com/handbook/legal/trade-compliance/
[20]https://github.com/apache/hadoop/blob/trunk/LICENSE.txt
[21]https://www.mit.edu/~amini/LICENSE.md
[22]https://www.techtarget.com/whatis/definition/BSD-licenses
[23]https://www.mongodb.com/licensing/server-side-public-license
[24]https://www.gnu.org/licenses/old-licenses/lgpl-2.1.html
[25]https://www.gnu.org/licenses/gpl-3.0.html
[26] 見https://www.bis.doc.gov/index.php/regulations/export-administration-regulations-ear
[27]https://www.bis.doc.gov/index.php/regulations/export-administration-regulations-ear
[28] https://www.gnu.org/licenses/old-licenses/lgpl-2.1.html
[29] 見EAR第734.13條(2023年2月24日更新)
[30] 見EAR第734.14條(2023年2月24日更新)
[31] 見Guidance on Reexports/Transfers (in-country) of U.S.-Origin Items or Non-U.S.-made Items Subject to the Export Administration Regulations (EAR):
https://www.bis.doc.gov/index.php/licensing/reexports-and-offshore-transactions
[32] 見EAR第734.15條(2023年2月24日更新)
[33] 見EAR第734.16條(2023年2月24日更新)
[34] 見EAR第734.17條(2023年2月24日更新)
[35] 見EAR第734.3(b)(3)條(2023年2月24日更新)
[36] 見EAR第734.7(a)條(2023年2月24日更新)
[37] 見EAR第734.7(b)條(2023年2月24日更新)
[38]https://www.bis.doc.gov/index.php/documents/regulations-docs/2344-part-772-definitions-of-terms-2/file
[39] 見https://www.bis.doc.gov/index.php/policy-guidance/encryption/1-encryption-items-not-subject-to-the-ear
[40] 見https://www.ndrc.gov.cn/wsdwhfz/202112/t20211228_1310313.html
[41]https://www.ndrc.gov.cn/wsdwhfz/202112/t20211228_1310313.html