🔥 热搜 🔥
上海习近平新疆鄂州父女瓜乌鲁木齐疫情H工口小学生赛高习明泽芊川一笑图包印尼排华
分类
社会娱乐国际人权科技经济其它
🔥 热搜 🔥
上海习近平新疆鄂州父女瓜乌鲁木齐疫情H工口小学生赛高习明泽芊川一笑图包印尼排华
分类
社会娱乐国际人权科技经济其它
查看原文
其他

开源合规系列(一):开源概述及开源风险分析

史李寅、李晓静 网络法实务圈 2024-01-02

开源合规系列(一):开源概述及开源风险分析

文 | 史李寅、李晓静

一、开源概述
(一)开源简介
开源(Open Source),全称为开放源代码,这一概念来源于软件,具有开放(公开)、可使用、可修改、可分发的特点。开源兴起于国外,近年来在我国发展越来越火,引起了我国社会各界的广泛关注。我国工业和信息化部积极地推动我国开源事业的发展,支持成立了国内首家开源基金会——开放原子开源基金会,加速孵化开放鸿蒙、欧拉等一批开源项目;并支持举办了2022开放原子全球开源峰会活动,为国内外开源相关方搭建交流合作平台,积极宣传开源文化。开源将来自世界不同地方,具备不同背景文化的参与者聚集到一起,通过开放的协作机制共同推动技术发展和社会进步。
开源软件的最主要特征可以概括为两点:一是软件的源代码必须公布,任何人都可以修改、维护;二是任何人都可以对软件及演绎软件发布和再发布。开源软件最大的特点是开放,也就是任何人都可以得到软件的源代码,可以进行研究学习、使用、修改和再发布。开源软件之所以能够稳健发展,得益于开源许可证这一规则体系。开源许可证是开源软件发展的有力保障和基础,其承载着开放、协作、贡献的开源精神。
OSI(Open Source Initiative),全称为开放源代码促进会,于1998年2月成立,它维护着开源定义(Open Source Definition,OSD)以及其认可的开源许可证列表。经过OSI认定的软件才可以标注“OSI Certified”,由于该组织的宗旨是捍卫开放源代码的定义,统一开源软件的认定标准,所以该组织的认定标准具有权威性。
(二)开源误区
误区一:开源等同于免费。
很多网站以免费开源为标题,导致网络用户常常陷入开源等同于免费的误区,但实际上开源软件并不禁止收费。此外,开源软件都有自己的许可协议(license),即开源许可证,在违反开源许可证的情况下使用开源软件可能会被权利人起诉著作权侵权/合同违约而最终付费。此外,广义的软件可以理解为是程序、文档、支持、培训、服务的集合体,虽然开源软件的程序、文档免费,但支持、培训、服务等可以收费。
误区二:开源软件可以随意使用且不存在法律风险。
开源软件不是公有领域的软件,不加限制地使用和售卖开源软件,可能存在法律风险,因此不可以任意使用。开源软件都是有著作权,且受著作权法保护的。开源软件的著作权人通过许可协议(license)将软件的复制权、修改权、发行权等部分权利让渡给了被许可人,被许可人在遵从协议规定的前提下才可以行使这些权利,否则,没有按协议规定使用就存在很大的著作权侵权风险。
二、开源风险
(一)开源软件知识产权风险
软件开发者在使用开源软件时,需要谨慎选择开源软件,关注其开源许可证的内容及相关条件,避免潜在的法律风险。
1、 版权侵权风险
版权侵权风险包括两种。一是违反开源许可证。使用者没有按照开源许可证的规定使用开源软件,从而导致版权侵权。二是开源软件存在版权瑕疵。贡献者将自己不具有版权的代码贡献到开源社区,使得开源软件本身存在版权瑕疵。
第一,违反开源许可证。使用者没有按照开源许可证的规定使用开源软件,从而导致著作权侵权。开源许可证是一种合同,是开源软件使用者得以合理使用开源软件的合法凭证,也表示使用者愿意接受开源许可证的约束,若其未依照相应的开源许可证要求使用开源软件,则可能侵犯开源软件作者或权利人的版权。此外,由于各类开源许可证赋予用户的权利和义务不同,因此在使用或引入开源软件时,需要注意各类开源软件所适用的开源许可证的兼容性风险,比如Apache 2.0 与GPL2.0许可证不兼容,因此不能将遵循Apache 2.0的开源代码与遵循GPL2.0的开源代码合并在一起。最后,在开源软件引入后,也需要随时进行关注,部分开源软件的开源许可协议会进行修改,此时需要评估修改内容是否会对现在的使用造成影响。值得注意的是,由于开源软件的著作权没有被放弃,因此,许可证中通常要求以适当的形式保留源代码中的著作权标记。
第二,开源软件的著作权瑕疵。贡献者将自己不具有著作权的代码贡献到开源社区,使得开源软件本身存在版权瑕疵。由于开源软件及其衍生软件通常都是免费提供的,因此开源许可证中通常都约定了贡献者的免责及侵权不担保条款。(如Apache 2.0 中约定了:THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE SOFTWARE. )那么,这就意味着开源软件的开发者不承担瑕疵担保责任,开源软件的用户由于使用“不清洁”的开源软件所造成的侵权责任需要由用户自己承担。此类情况是一种理论上的可能,难以避免,以往也并未听说过发生过相关纠纷。
2、专利侵权风险
软件的保护形式包括著作权、专利和商业秘密。不同于著作权仅保护软件的表达形式,专利可以保护软件的功能和方法。专利是一种排他性权利,在专利权的有效保护期内,他人未经专利权人许可实施其专利技术的行为属于专利侵权。开源软件倡导“自由共享”,将源代码开放,保证软件的代码可以被所有人使用、学习和再创作,从而保证软件的持续发展。使用开源软件,不仅涉及到软件的著作权,还涉及到软件的专利权。使用开源软件的专利侵权风险来源于内部、外部两个方面。
第一,内部专利侵权风险,是指开源软件的开发者或者贡献者对其中某项技术申请专利并向开源使用者提起专利诉讼。有些开源许可协议(如Apache 2.0)明示了专利授权且存在专利报复条款,内部专利风险相对较小。然而,部分开源许可协议(如BSD、MIT等)没有明示专利许可规定,开源软件的开发者或者贡献者可以向开源软件使用者提起专利诉讼并收取专利许可费,因此内部专利风险较大。
第二,外部专利侵权风险,是指不受开源许可协议约束的第三方向开源软件使用者发起专利诉讼,声称所述开源软件使用了其专利。例如微软就曾表示过包括Linux在内的开源软件使用了微软的专利,微软曾向谷歌以及众多手机厂商如富士康、京瓷、三星等提起了专利侵权诉讼,要求其向微软支付专利使用许可费。这些案件后来多以双方签订了专利许可协议,向微软支付专利许可费的方式达成了和解。
3、商标侵权风险
开源软件的用户通常有权在原来的代码基础上开发新的产品,但有的开源许可证规定用户未经许可不能使用许可证颁发者的商号、商标、服务标记或产品名称,如Apache2.0许可证(Trademarks. This License does not grant permission to use the trade names, trademarks, service marks, or product names of the Licensor, except as required for reasonable and customary use in describing the origin of the Work and reproducing the content of the NOTICE file.)。因此,用户在使用开源软件时,要特别留意许可证中的商标使用规范。
4、商业秘密风险
第一,被迫公开商业秘密的风险
在私有软件或代码中,加入使用GPL等传染类开源许可证的开源软件或代码,私有软件或代码将受到GPL类开源许可证的“传染“而可能需要被迫开源,如果该私有软件或代码中含有商业秘密,则可引起商业秘密公开的风险。使用开源软件时需谨慎,筛选评估适合企业经营的开源许可证。
第二,商业秘密被泄露的风险
如引入的开源软件存在恶意代码、病毒或其他安全漏洞,可能引起内部系统商业秘密泄露的风险;他人未经企业批准擅自在开源社区上贡献源代码,也可能引起企业商业秘密的泄露风险。
(二)开源软件企业商誉风险
未遵守开源许可证的,开源软件的权利人或发文进行舆论声讨,或加入“耻辱黑名单”进行舆论谴责,可能引起企业商誉受损的风险。国内外也有一些案例,可以引以为鉴。

  • SeaweedFS案作者针对著作权声明不合规发文谴责京东

在开源项目SeaweedFS的作者Chris Lu控诉京东TigLab项目涉嫌抄袭代码事件中,Chris Lu发文表示京东的项目使用了他的开源代码,但是没有根据Apache-2.0协议的许可条款添加引用说明,侵犯了自身的合法权益。虽然此后京东也积极的向Chris Lu道歉,但是此类事件对于企业的社会形象来说是一个打击。

  • FFmpeg案针对违反其许可证义务的“耻辱黑名单“管理

FFmpeg是一个跨平台的视频和音频流的开源软件,采用LGPL或GPL开源许可证。2009年,韩国名软KMPlayer被FFmpeg开源组织发现使用了它们的代码和二进制文件,但没有按照规定/惯例开放相应说明/源码。被人举报后,KMPlayer进入了FFmpeg官网上的耻辱黑名单。同年,中国暴风影音软件也被列入耻辱黑名单。

  • 我国电子书厂商Onyx无视Linux内核协议,中国被喷

Onyx的电子书设备是在Linux内核基础上的改版,而Linux内核遵循GPL许可证,该许可证有很明显的“传染性”,要求二次分发项目也必须开源,然而Onyx拒绝发布其源码。Onyx的态度激起许多人的不满,甚至把对Onyx的批评上升到国家层面。部分批评者认为,Onyx事件暴露了中国厂商不尊重开源协议。
通过以上案例可知,许可证的合理选择是开源项目的重要环节,如因许可证选择不当或不遵守许可证的要求,会引发一系列的开源合规风险及商业风险,第二期和第三期文章我们将针对主流许可证及许可证兼容性做深度解读。

作者简介

史李寅  独角兽企业趣链科技法务总监
西南政法大学法学学士,中国人民大学经济学在读硕士,曾任职某中级人民法院法官,就职于知名互联网公司法务管理工作。专注于创新业务合规、平台合规、知识产权、法律监管与政策分析、诉讼策略等企业法务风控合规工作。现任杭州市第十二届政协委员。 
李晓静  独角兽企业趣链科技知识产权专家
华中科技大学知识产权硕士兼具理工科和知识产权双重背景曾就职于ICT和物联网行业大型上市公司具备多年知识产权从业经验专注于企业专利、商标、版权等方面的全流程管理和风险管控
继续滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存