汇业评论 | 继芯片和安卓系统断供后,开源代码也将面临闭源之劫?
文 | 钱静雯 汇业律师事务所 律师
2019年5月16日,特朗普签署行政命令,同意BIS将华为列入Entity List,禁止华为在未经美国政府批准的情况下从美国购买零部件。其后,谷歌、因特尔、高通纷纷宣布暂停与华为商业往来的消息使得舆论疯狂发酵,更有人发现Apache基金会与GitHub也疑似受美国出口法律法规管制,开源软件可能被闭源的声音一时间甚嚣尘上,引起大片开发者恐慌。汇业网络与数据法团队注意到,之所以引发上述猜测,是因为有人发现GitHub公布的服务条款中含有如下表述:
GitHub.com,GitHub Enterprise Server以及您上传到以上二者中任一产品的信息均可能受制于美国出口管制法律,包括EAR(《出口管制条例》,Export Administration Regulations)。
GitHub Enterprise Server 不得出售、出口或再出口到EAR第740部分补充文件的国家组E:1中列出的任何国家或乌克兰克里米亚地区,该清单目前包含古巴、伊朗、朝鲜、苏丹与叙利亚,并且随时可能会发生变化。
有媒体评论,中国在不久的将来可能登上EAR管制国家清单,因此按照GitHub公布的上述服务条款,届时中国开发者将被禁止使用GitHub有关开源代码服务,进而惨遭代码闭源。
汇业网络与数据法团队本着冷静客观看待热点事件的原则,简单整理了美国出口管制法律的逻辑次序,并具体分析了相关代码使用及出口行为是否受制于EAR等法规,并据此提出相关合规建议。
一、 美国出口管制的法律依据和管辖范围
美国政府实施经济制裁依据的主要法律有:
IEEPA(《国际性紧急状态下经济权利法案》,International Emergency Economic Powers Act);
EAR(《出口管制条例》,Export Administration Regulations);
ITSR(《伊朗贸易制裁规则》,Iranian Transactions and Sanctions Regulations)。
出口管制作为美国政府针对特定国家实施经济制裁的手段之一,是美国财政部海外资产控制办公室(OFAC)、美国商务部工业与安全局(BIS)和美国司法部(DOJ)等政府部门出于国家安全、反恐以及高新技术保护等目的,限制或禁止向某些特定目的地出口含有美国成分产品的制度。上述法律管辖的范围包括以下四个方面:
1. 企业性质
美国出口管制规则直接管辖的是所有的“US Persons”,包括美国公民、非美籍的美国永久居民、根据美国法设立的任何组织形式的实体、美国实体在美国以外的分支机构、身处美国的任何个人、分支机构、代表处或办事处。基本涵盖了与美国产生任何属人或属地连接点的一切实体。
2. 产品来源
根据EAR的规定,所有“源自美国”的产品均受制于出口管制,包括直接来源于美国的物品、出口前位于美国境内的产品、外国制造但含有25%以上美国成分的产品,以及外国制造但是源自美国的技术的产品。
3. 产品种类和出口目的地
关于某类产品是否受限于美国出口管制规则,需结合EAR项下两份清单《商业限制清单》(CCL)和《商业国家表格》(CCC)进行判断,即根据CCL确认的产品受限原因,对照CCC中关于拟出口国在该原因项下的规定,确定是否允许将该产品向该国出口。而就CCC中列明的美国经济制裁对象而言(包括伊朗、朝鲜、古巴、塞尔维亚和俄罗斯等国),则受到更为严格的限制。以朝鲜为例,除食品和药品外,任何美国产品均不得向该国进行出口。目前CCL列出的10大类产品目录包括核材料,设施和设备以及杂项、材料,化学品,微生物和毒素、材料加工、电子产品、电脑、电信和信息安全、激光和传感器、导航和航空电子设备、海洋以及推进系统,航天器和相关设备。
4. 交易对象
OFAC会不定期更新《特别指定国家和被封锁人员清单》(SDN List)。如果交易对象列明于SDN List的,其所有财产及财产权益均应被美国政府冻结,而财产和财产权益的范围是非常广泛的,甚至包括列入者的应付账款。
与列入SDN List者的交易将面临极大的不便利。所有US Persons均被禁止与任何SDN List中列明的企业或个人进行交易,而该等禁止的范围则可以称得上是事无巨细,例如,如果某提单项下货物是由列入者拥有的船只装载的,则US Persons将不得执行该提单。
BIS Entity List
不同于SDN List的绝对封锁,被列入BIS Entity List受限于BIS License(如华为),任何有意与其就特定产品进行直接或间接出口贸易的US Persons均需获得BIS License,否则不得进行任何贸易活动。
被列入BIS Entity List的主体可以通过向ERC主席递交书面申请以请求修改或删除其条目,不允许第三方代表清单上公司提出申请。但是从名单上移除的困难是相当大的。根据Entity List管理制度,删除或修改实体清单上的条目需要ERC各成员机构的一致同意而非简单多数,并且ERC的决定是该申请的终局决定,申请人不享有上诉权。此外,BIS会不定期更新实体清单。
二、 开源软件是否受制于EAR出口管制
公开可用的例外
根据中国开源软件推进联盟日前发布的解释,开源软件依照EAR 15 CFR § 734.3(b)及15 CFR § 734.7两项合并解释:「技术或软件已经是被一般公众可以接触,并不限及其后续散布者(when it has been made available to the public without restrictions upon its further dissemination),则并不在EAR管制之列。」
至于加解密技术,即使是开源软件,仍必须经过BIS认同其为「公开可用」的加解密技术,才完全不受到EAR拘束,但这并不意味着开源软件涉及出口时必须取得BIS License。实际上,所出口的软件涉及加解密技术时,由出口者向BIS和美国国家安全局(NSA)发送通知,也即向BIS和NSA备案,但该加解密技术确实符合EAR 15 CFR § 742.15(b)款中「公开可用」的标准。
据路透社的报道,谷歌无法再提供Google Apps给华为,是因为这些Apps并非开源软件,不能满足EAR「公众可以接触,并不限及其后续散布」的条件,才会有可能被美国政府指示择日停止出口给华为,与此相较,安卓开放源代码项目(AOSP),则并不在拟限制出口清单之列,主因就是AOSP是采「公开可用」的开源模式发布。
Apache回应闭源传闻
无独有偶,Apache基金会5月22日发表了一篇声明(《Apache 软件基金会关于非美国子公司已添加到美国联邦登记公告实体清单裁决中的声明》)。声明强调了前文所述的「公开可用」例外:“BIS于2016年9月20日重新将开源公开可用加密软件源代码归类为「公开可用(publicly available)」和「已发布(published)」的,并且「不受EAR约束(not subject to EAR )」。
同样的,声明阐明涉及加密软件源代码的开源项目仍然需要向BIS和NSA发送URL通知,以满足 EAR§742.15(b) 中的「公开可用(publicly available)」通知要求。
最后,Apache进一步声明,开源软件、开源代码协作、参加公开电话会议或私人会议以及提供赞助资金都是不受EAR约束的活动,因此不应对社区产生影响。
EAR与国际协作问题
EAR规制的是出口行为,根据BIS的解释,“出口”行为包括:
A. 任何运送出美国的行为;
B. 任何利用电子交易送出美国的行为;
C. 将技术发送给任何一个在美国的非美国公民的行为。
因此,若一个开源项目是透过国际协作的模式来进行,原则上国际间协作、网络公开可下载的开源项目,没有太多EAR方面的疑虑,只是说,像红帽或谷歌这样的公司,其实是公开网络上提供开源项目的基础版本,商业合作上会提供「开源项目+额外元件」。例如AOSP是开源基础版,加上的Google Apps是额外元件,在这些「额外非开源元件」上就比较会有受到EAR管制的可能。实际上,若是开源项目和其商业项目的内容完全一致,理论上受EAR规制的空间并不大。
GitHub之所以做出如文首所示的声明,用意在于提醒开源软件的使用者,相关的出口管制涉及软件从美国出口时,仍是有效的,发布者必须就个案自行斟酌,是否主动向BIS及NSA进行EAR要求的通知。此外,EAR此项原则尚有例外的解释空间,例如加解密技术必须通报备查等。
中国与GitHub Enterprise Server的出口管制
由于GitHub Enterprise Server的代码是私有的,所以将会受EAR管制。如GitHub Enterprise Server协议上写道:“不得出售、出口或再出口到EAR第740部分补充文件的国家组E:1中列出的任何国家或乌克兰克里米亚地区,该清单目前包含古巴、伊朗、朝鲜、苏丹和叙利亚,并且随时可能会发生变化。”
汇业网络与数据法团队仔细核对了EAR第740部分补充文件E:1的国家组,目前包括古巴、伊朗、朝鲜、苏丹和叙利亚,这些国家被EAR定义为支持恐怖主义国家(Terrorist Supporting Countries)。从目前的国际关系和政治格局来看,中国进入E:1国家组的可能性极小,否则全球经济秩序将发生令人难以想象的巨变。
托管代码开源许可证选择建议
对于中国的软件开发者,如果希望开源项目未来在使用上,在法律或管辖解释上不被限缩,建议低度使用以下有内嵌准据法或指定地区性的管辖法院的许可证有关的软件项目:
1) Mozilla Public License Version 1.0 (MPL-1.0),指定美国加州法院
2) Mozilla Public License Version 1.1 (MPL-1.1),指定美国加州法院(MPL-2.0 已取消)
3) The Q Public License Version (QPL-1.0) ,指定挪威奥斯陆法院
4) Microsoft Reciprocal License (MS-RL),名词定义指定依美国著作权法
5) Microsoft Public License (MS-PL),名词定义指定依美国著作权法
三、 结语
综上,美国出口管制法律虽然是其国会制定的国内法,但在经济贸易全球化的今天,其管辖范围之广、法规之多、制度之繁杂,全世界任何国家和地区的企业在贸易活动中都无法避免。就开源代码而言,在公开可用例外的基础上存在向有关主管机关报备的要求和禁止出口到特定国家组的限制等。虽然服务提供商在条款中提示可能受制于美国有关出口管制的规制,但具体受到管制的条件和情形亦不尽相同,不可仅从服务条款的只言片语就断章取义地得出中国将受代码闭源的武断结论。
除此之外,此次开源界的疑似“华为之劫”带给中国代码开发者一个更为重要的启示,与其依靠开源社区,不如自己成为优秀的代码审核者、代码守护者,甚至开源社区的领导者,这样才能在未来的战场上掌握更有力的主动权。
作者往期文章推荐: