中国信通院郭雪：企业如何进行合规风险治理

文字 | 王瑶

校对 | 郭雪

出品 | 开源雨林

中国信息通信研究院云大所云计算部副主任郭雪出席本次论坛并作“开源合规指南（企业篇）解读”的主题演讲。从使用开源软件的法律风险、开源许可证、企业如何进行合规风险治理几方面做了详细介绍。

中国信息通信研究院云大所云计算部副主任郭雪

问：使用开源软件还有法律风险？

一、使用开源软件的法律风险

01  版权风险

为什么会造成版权侵权？一是违反开源许可证，开源软件使用者没有按照开源许可证的规定使用开源软件；二是开源软件存在版权瑕疵，贡献者将自己不具有版权的代码贡献到开源社区，使得开源软件本身存在版权瑕疵，从而导致版权侵权。

在一些极端情况下，软件开发商可能需要将包含开源代码的软件产品的全部源代码公开。例如在 2007 年，作为Linux社区成员指责华硕公司没有遵守 GPL 许可证的回应，华硕公司公布了其运行 Linux 操作系统的 Eee PC 的完整源代码，包括 asus_acpi 组件和所有核心数据。对于希望完全掌控软件的企业而言，将全部源代码开源显然是不可接受的，因此，使用开源软件的企业有必要了解开源软件的法律风险。

02  专利风险

开源软件可能涉及到专利，但并不是所有的许可证都会明确给出专利授予权。如果没有专利授予权，可能会面临专利诉讼风险。

微软公司于 2009 年 2 月起诉导航设备制造公司 TomTom 侵犯其多项专利，该多项专利中有 2 项涉及 FAT 文件系统，包括 TomTom 产品在内的 Linux 内核都在使用该文件系统。该案也是微软公司第一次针对 Linux 发起专利诉讼。2009 年 3 月，TomTom 同意向微软支付一笔专利许可费从而迅速与微软达成了和解。

针对开源软件的专利风险，主要分为外部风险和内部风险。

（1）外部风险：指不受开源软件许可证约束的一方针对开源软件使用者发起的专利请求；

（2）内部风险：开源软件的贡献者针对开源软件使用者发起的专利请求。

03  商标风险

开源许可证一般不包括商标授权，因此随意使用未经授权的商标，侵权风险很大。

有些开源社区会对商标使用进行规定，例如 Apache 基金会对 Apache 软件商标的使用做出详细规定：

（1）可以使用的情况

描述作品来源

复制 NOTICE 文件时保留的商业性标识

书籍或杂志上等学术用途

描述“技术支持“等用途

（2）不可以使用的情况

软件产品的品牌中

域名中

会议或活动的名称中

……

二、开源许可证

在中国及大陆法系国家，开源软件许可证毫无争议的是许可人与被许可人之间的合同。它规定了许可人（软件开发者）和被许可人（用户）的权利和义务，可能涉及版权、专利、商标、担保等一系列权利义务的设置。但正是这些权利和义务，决定了权利人是否将源代码真正地向社会公众开放，从而可以实现是否是开源软件的判断。（开源许可证是个格式合同，不允许更改）

按照软件再发布时对提供源代码的要求，可将许可证分成以下几类：传染性越强，商业友好性越差，版权侵权风险越大。

三、企业如何进行合规风险治理

企业开源合规流程一般包括以下步骤：

（1）识别：辨识开源软件/组件以供审核之用；

（2）审计：扫描源代码并确认源代码的来源出处以及所使用的许可证；

（3）处理问题：处理与审计有关的疑虑以让其与公司的开源软件政策相符合；

（4）审核、批准：开源软件/组件经审核并批准，视同合规纪录；

（5）留存记录：保存每个产品每次发版经过批准的开源组件清单

（6）准备声明：编辑发行所需的各项声明；

（7）验证：验证发行套件的源代码状态，并且验证提供声明文件；

（8）发行：发行源码、相关声明，以及索取源代码的书面文件；

（9）验证：发行后的再次验证。

扫码下载《开源合规指南（企业篇）》报告全文

获取更多内容细节