开源与美国出口管制
喜欢就关注我们吧!
去年开始,受地缘政治的影响,开源界已经发生了一些大动荡,引发了围绕“开源是否有国界”的讨论,也有组织用行动站队——RISC-V 将基金会迁到瑞士,以保护中立性。今年紧张的局势并没有缓解,关于开源软件传播的问题正引起更为广泛的讨论。
前阵子 Linux 基金会发布《了解开源科技和美国出口管制》白皮书,文中说明:美国出口管制条例 EAR 明确豁免了大多数以开源形式呈现的软件和技术。
不过白皮书的呈现并不十分直观,关于开源与进出口管制背后的原因、一些相关历史背景也没有足够多的说明。邓超律师近日发表了以下他关于“开源与美国出口管制”的见解,或可帮助读者通俗了解相关法律问题。
文章主要解答一个问题:开源能否突破美国出口管制条例的限制?文章还解释了国家层面对加密、解密技术进行管控的原因;介绍美国出口管制法规 EAR;并指出我们为何要了解遵守美国的出口管制法规。
作者:邓超,北京合弘威宇律师事务所律师,法学博士。行业领域为 TMT 领域,专业领域为知识产权。为 TMT 领域的客户提供知识产权与合同相关的诉讼以及非诉类法律服务。
为何我们要了解并遵守美国的出口管制法规
对于中国公司来讲,自然应该遵守中国的法律法规,这是公司运营的基础。不遵守美国关于出口管制的法规虽然并不构成违法,但是针对违反美国出口管制法的公司,美国可以对其进行处罚(例如列入拒绝交易清单(Denied Persons List,DPL)),从而使得该公司无法获得源自美国的产品和技术。
对于某些行业(例如食品饮料、家具装修)来讲,切断源自美国的产品和技术并无大碍;但是对于高科技行业(例如信息通信技术、ICT)来讲,这种处罚是致命性的。
当然,在更广泛的层面上,遵守美国的出口管制法规也是企业树立诚信经营和负责任的国际形象的重要措施。毕竟,美国出口管制法规的最重要目的之一就是防止受关注国家或者恐怖组织获得相关的技术从而对人类和平造成威胁。
以中兴事件为例,2010年,联合国决定对伊朗展开第四轮制裁。随后,美国公布对伊朗实施出口禁令。2012年,中兴通讯将带有美国公司软硬件的产品出售给伊朗电信营运商,违反了美国对伊朗的出口禁令,遭到美国商务部调查。
2016年3月,美国商务部公布调查结果,以违反美国出口管制法规为由将中兴通讯等企业列入“实体清单”,对中兴采取限制出口措施。2017年3月,中兴通讯同意支付8.9亿美元罚金,从而与美国商务部达成和解。
2018年4月,美国商务部以中兴通讯虚假陈述等为由,再次启动禁令。2018年5月,中兴通讯发布公告,表示“受拒绝令影响,本公司主要经营活动已无法进行”。
2018年6月,美国商务部与中兴通讯达成新的和解协议,中兴通讯将支付14亿美元的罚款来换取禁令的解除。
不同于世界绝大多数国家的出口管制只针对本国产品的出口,美国的出口管制法规非常长臂,它适用于所有位于美国的物项,无论原产地为何处;以及所有源自美国的物项,无论现在位于何处。
对于前者,意味着巴西公司通过海运向中国公司出口产品时,船舶如果在美国停靠就要受到美国的出口管制。
对于后者,意味着美国公司向中国公司出口芯片后,中国公司将装有该芯片的产品再出口到其他国家时,也要受到美国的出口管制(当然,中国公司同时还要遵守中国的进出口管制法规)。
另外,出口是一种特权(privilege),而不是权利(right)。特权是有条件的,可以被撤消;而权利是固有的(与生俱来的),不能被撤消。因此,政府可以禁止公司或个人进行出口(再出口)。
开源能否突破美国出口管制条例的限制?
本节主要解答如下问题:开源能否突破美国出口管制条例的限制?
一个广为流传的争议是,软件的源代码是否应受到言论自由的保护,所以不能被管制。此争议根据1995年伯恩斯坦诉美国司法部(Bernstein v. Department of Justice)案,软件源代码属于言论自由的范畴,不能被政府部门管制。
但很少有人提到,该案的裁决都未生效。因此,伯恩斯坦案并非有法律效力的判例。
伯恩斯坦案有个大背景——加密技术被视为军事技术或者准军事技术而被严格管制,之后的章节也会再谈这个背景。
伯恩斯坦案的基本案情为:1990年,丹尼尔·伯恩斯坦(Daniel Bernstein)在加州大学伯克利分校攻读数学博士期间,撰写了有关加密的论文并编写了一种零延迟的私钥加密软件——Snuffle。
根据当时美国《国际武器贸易条例》ITAR 的规定,加密软件相当于军用物项的“弹药”。为了能够自由地与学术界交流该加密技术,伯恩斯坦于1992年向国务院提出请求,以确认该加密软件的源代码和相关信息是否受 ITAR 管制。
美国国务院认为是的,并且要求伯恩斯坦在将该加密软件的源代码给外国人查看(出口)时获得批准(许可证)。伯恩斯坦认为这构成对其言论的限制,于是在1995年2月提起了诉讼。
该案法律问题在于:美国政府基于 ITAR(后为 EAR)限制伯恩斯坦出口强加密软件的源代码,是否违反了美国宪法第一修正案规定的言论自由。
1996年底,地方法院的法官认为,禁止出口强加密软件的 ITAR 在宪法上是模糊的,构成了第一修正案禁止的对言论的限制。 随即,克林顿总统修改了法规,将对非军事加密物项的管制从国务院下的 ITAR 移交给了商务部下属 BIS 下的 EAR。监管变更后,伯恩斯坦修改了他的诉讼请求。 1997年8月,地方法院的法官裁判,无论由哪个联邦政府机构负责加密物项的管制,加密源代码都受到宪法第一修正案的保护,于是裁决 EAR 违宪。美国政府针对这一裁决向第九巡回上诉法院提出上诉。 1999年5月,第九巡回上诉法院合议庭的3名法官以2比1维持了地方法院的裁决。但上诉法院并未完全拒绝政府方的理由,例如持反对意见的法官就认为源代码不是言论,而是控制计算机的方法,法院也强调“我们不认为所有软件都属于言论。当然,很多都不是。” 上诉法院作出裁决后,美国司法部请求法院对该案进行全席重审(由11名,而不是3名法官审理),从而撤销了该裁判。 在全席审理之前,美国政府放宽了加密管制法规。因此,该案被发回地方法院。 2002年10月,政府在一次庭审中承诺放弃部分规则,地方法院随后以没有发生实际损失为由驳回了伯恩斯坦的诉请。
管制与加密解密——从 HashiCorp 谈起
请注意,中国出口管控条例禁止 HASHICORP 在中华人民共和国境内销售或以其他方式提供企业版 VAULT。 鉴于此原因,未经 HASHICORP 的书面同意,不得在中华人民共和国境内使用、部署或安装 HASHICORP 的 VAULT 企业版本软件。
同时,国家密码管理局、商务部、海关总署于2019年12月31日联合发布公告,称将制定并公布商用密码进口许可清单和出口管制清单(截止目前,该清单并未公布)。算是给 HashiCorp 的上述声明找到了法律依据。再简单说一说各国为何要对加密解密技术进行管控。其原因很简单,正如拿破仑所说,“战争的90%是信息”。换言之,掌握己方和对方信息的一方往往能够做出更准确的判断,从而赢得战争的胜利。这类例子在历史上不胜枚举。比如在中途岛战役前夕,美军就利用了已经截获的日军电报密码,破获了日军进攻中途岛的全部情报,对日军的行动了如指掌。尽管日军在海战中调集兵力占有绝对优势,但美军早有准备,最终取得了胜利。此外,关于二战期间的欧洲战争,许多评论家认为,由于英国的 Ultra 计划成功破解了德国的加密机 Enigma,德国通信情报向盟军的流动大大缩短了二战的时间,甚至可能改变了战争的结果。再以最近美国击毙本拉登为例,美国也是从开始监听本拉登的信使艾哈迈德开始的。美国发现该人总是在某个地方重复出现,经过逐一排查,最终确定了本拉登的藏身之处。不难看出,在战争中,确保己方通信的安全并且破解对方的通信往往能够左右战争的结果,而这就一定会涉及到加密和解密的技术。除战争外,加密和解密技术由于广泛应用于金融、科技、商业等几乎所有领域,一旦使用的技术不够安全可靠,其后果不堪设想。正因为如此,各国都对高强度的加密解密技术进行不同程度的管控。国务院商务主管部门、国家密码管理部门依法对涉及国家安全、社会公共利益且具有加密保护功能的商用密码实施进口许可,对涉及国家安全、社会公共利益或者中国承担国际义务的商用密码实施出口管制。 商用密码进口许可清单和出口管制清单由国务院商务主管部门会同国家密码管理部门和海关总署制定并公布。
拓展:美国出口管制与 EAR 介绍
如果需要许可,再判断是否能够适用许可例外。如果不能的话,那么对该物项进行再出口时,需要得到美国商务部的许可。而美国商务部对于许可的态度一般是默认拒绝。
从新手村开始,手把手带你入门梳理内核代码
张东升,我知道是你!如何使用GAN做一个秃头生产器
将会取代现有的开发人员?英特尔推出全新机器自动编程系统
谷歌与微软,勇士与恶龙的身份互换?Intel 20G 内部资料泄露,含源码、文档与培训视频等内容
觉得不错,请点个在看呀