开源 引言
由于 EAR 事件引发很多争议和混淆,开源 连续发布了两篇文章来还原事实的本质与真相。
专家解读:开源软件项目是否会被限制出口/span>
权威答复:Linux基金会的回信来了!
同时安排专家接受 CSDN 访谈。谈谈以后我们的开源软件、主流开源操作系统、工具框架是否会面临被闭源的窘境呢于中国企业、中国开发者而言,我们又该何去何从呢/span>
专家访谈(2019年5月21日 20:35)
以下是开源 法律咨询委员会顾问 / 钧理知识产权事务所林诚夏与 CSDN 的访谈记录。
Question 1
—
CSDN :昨天EAR事件引发很多开发者的忧虑:会不会有一天在美国出口法律法规管制下,当前已成为主流进入我们的生活及业务研发中的开源软硬件、系统工具是否会面临突然被闭源的困境/strong>
林诚夏:不会,除非美国大举修改出口管制条例( Export Administration Regulation , EAR )的相关内容,不然这样的设想并不会发生。
在这个时间点,由于信息的纷杂,很多人对于美国出口管制条例存有不少的误解。其实,我们必须理解到, EAR 管理限制的是出口行为,这才是它的核心要点,而与软件著作权利谁属,没有必然关系。而所谓出口的定义,按照美国工业和安全局( Bureau of Industry and Security, BIS )的解释,包括:
-
任何运送出美国的行为;
-
任何利用电子交易送出美国的行为;
-
以及,将技术发送给任何一个在美国的非美国公民的行为。
所以,若一个开源项目是透过国际协作的模式来进行,只是由美国当地厂商取之来做商业服务的支援,这就未必涉及出口,因为在其他国家,也有可能有其他厂商是直接从非美国的源头,取得这些开源软件来进行商业服务的。
大家应该要理解,原则上国际间协作、 络公开可下载的开源项目,没有太多 EAR 方面的疑虑,只是说,像红帽或谷哥这样的公司,其实是公开 络上提供开源项目是基础版本,商业合作上会提供「开源项目+额外元件」。例如 Fedora Distro 是红帽公司的开源基础版, RedHat Distro 是奠基于 Fedora 上的加值版; Android Open Source Project 是开源基础版,加上的 Google Apps 是额外元件,在这些「额外非开源元件」上就比较会有受到 EAR 管制的可能。换言之,若是开源项目和其商业项目的内容完全一致,理论上便较不会有 EAR 的出口控管疑虑。
Question 2
—
CSDN :您昨天分析说,开源软件,只要不涉加解密技术,不会被美国 EAR 管制,但涉及加解密者则会被管制。请问这部分的加密者为什么会被管制/strong>
林诚夏:依照 EAR 15 CFR § 742.15该项的说明理由,加密物件( Encryption items )原则上受到 EAR 高度管制。因为这样的物件会被用来隐藏信息的内容,所以有可能会被外国人士拿来伤害美国的国家安全、外交政策,及其他依法执行的利益。所以说,内含加解密技术的软件,可被用来制造加密物件,这是为什么原则已开源的软件不受 EAR 管控,但若涉及加解密技术的开源软件,即使该加解密技术公开可及,仍被要求做申 备查的处理。例如 OpenSSL 这样的开源软件项目,是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,避免窃听,也就是说,这个软件可以协助使用者进行加密通讯,主要是可以实作 SSL 与 TLS 这种可以加密的通讯协议,用到 OpenSSL 代码的软件,依过往习惯, EAR 仍然要求出口者,必须时时主动向 BIS 及 NSA 发送通知,来让这两个单位掌握相关信息。
Question 3
—
CSDN :不同基金会之间的管制有什么区别呢/strong>
林诚夏:其实差别不大,基金会若设立在美国,相关的软件发布自然解释上,有可能落入出口行为的定义范围,所以各大基金会多会揭示声明,提醒开源软件的使用者,虽然美国出口管制条例原则上不严格控管开源软件的发布,但是, EAR 此项原则仍有例外的解释空间,例如加解密技术必须通 备查,即为一例。基金会做这样的告示声明,用意在于提供使用者,相关的出口管制涉及软件从美国出口时,仍是有效的,发布者必须就个案来自行斟酌,是否主动向 BIS 及 NSA 进行 EAR 要求的申 。
Question 4
—
CSDN :不同代码托管平台所受的管制是否不同呢前 GitHub Enterprise Server 上写道:“不得出售,出口或再出口到 EAR 第740部分补充文件或乌克兰克里米亚地区的国家组 E:1中列出的任何国家。 该清单目前包含古巴,伊朗,朝鲜,苏丹和叙利亚,但可能会有所变化。”有人担忧这个“黑名单”会不会加上中国,对此,您怎么看/strong>
林诚夏:这个可能性理论上当然不是没有,但实务上机率非常的低。古巴,伊朗,朝鲜,苏丹和叙利亚,与美国之间曾有武力冲突,或有涉及武力冲突的可能性,所以相关的出口管制,美国采取最严格的审验标准,若要将这样的标准套用到中国,是全球二大经济市场的直接冲突,牵连极大,所以,我个人认为这样的管制清单,不会是指定国家或地域,而可能是商业实体的特定公司。
Question 5
—
CSDN :以后开发者在托管代码、选择开源软件时,应该如何选择呢/strong>
林诚夏:如果想把跨国影响的疑虑降到最低,下列几款「旧时」的开源许可证,除非有特别理由,建议尽量不要使用,因为其早期嵌有准据法条款( choice of law ),或指定地区性的管辖法院,然而除了下列这些许可证之外,目前全球多数的开源许可证,皆没有指定准据法和审判法院。再简要重申,并不是说与 MPL-1.0、 MPL-1.1、 QPL-1.0、 MS-RL,以及MS-PL 许可证有关软件项目就是美国出口软件,事实上它也可以是无关的,但这几款旧款的开源许可证或嵌有准据法要求,或要求解释依美国法律,故如希望开源项目未来在使用上,在法律或管辖解释上不被限缩的话,这几款旧时许可证有关的软件项目,建议低度使用。另外, MPL-2.0已取消指定法院和准据法,故这个最新版本是没有相关疑虑的。
(1) Mozilla Public License Version 1.0 ( MPL-1.0 ),指定美国加州法院,
(2) Mozilla Public License Version 1.1 ( MPL-1.1 ),指定美国加州法院,
(3) The Q Public License Version ( QPL-1.0 ) ,指定挪威奥斯陆法院,
(4) Microsoft Reciprocal License ( MS-RL ),名词定义指定依美国著作权法,
(5) Microsoft Public License ( MS-PL ),名词定义指定依美国著作权法。
Question 6
—
CSDN :中国开发者该如何实现“开源自立”呢什么有效建议呢/strong>
精彩推荐
权威答复:Linux基金会的回信来了!
专家解读:开源软件项目是否会被限制出口/span>
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!