近年来,开源作为一种平等、开放、协作、共享的创作模式,正在持续赋能全球数字化生态建设。当前,近九成的中国企业开始已经使用开源技术,开源模式几乎全面覆盖软件开发的全域场景,成为驱动新一代技术创新的强劲引擎。然而,灿阳之下,亦有阴翳,合规和安全风险问题已成为各行各业使用开源软件的严重隐忧。本文将从开源软件许可协议的选择着手,帮助开源用户企业了解、规避开源合规风险。
一、 认识开源软件
随着开源软件的广泛应用,关于开源软件可随意使用的误解虽有所消解,但从全球层见迭出的开源法律纠纷案件来看,仍有部分开发者认为开源软件的源代码既然可从公开渠道获取,便可为其所用,无任何法律负担。然而,开源软件并非对于知识产权的背弃或反叛,而是运行在知识产权制度下的有权客体。
事实上,从法律实质上来看,开源软件本质上和商业软件并无二致,两者都是计算机软件,是受著作权法保护的客体,即在著作权保护期内,著作权人有权依法独占使用其计算机软件,他人未经许可擅自使用的行为便可能构成侵权。同时,著作权人也可通过许可合同授权他人在一定范围内以某种方式使用其计算机软件,开源软件和商业软件便是通过许可制度得以转化和应用,从而实现经济效益和社会效益的共同提升。
二、 认识开源软件许可协议
许可协议即许可方与被许可方就各自目的实现所达成的互设权利和义务的社会契约。在计算机软件许可协议中,被许可方的诉求通常是使用该计算机软件,因此许可方的义务一般表现的较为一致,即允许被许可方在合同范围内合法使用该软件。然而,许可方对外许可的目的则不尽相同,如商业软件权利人往往出于逐利意图,故其为被许可方设立的义务通常为金钱给付,而开源软件权利人的初衷在于最大程度实现开源软件的协作共享、开放共赢,因此许可对价常表现为保留权利声明、持续开放源代码等义务,以体现对于开源软件创作者的尊重以及保障源代码持续自由、可用。因此,开源软件许可协议可谓非权利人复制、使用、修改该计算机软件的权利来源,一旦非权利人违反开源软件许可协议相关规定,该授权即告终止,后续任何基于该开源软件的利用行为都可能构成侵权。
此外,由于基于计算机软件的技术方案满足可专利性要求,因此,开源软件还可能是专利法保护客体,任何未经许可擅自使用该开源软件的行为都可能构成对相关专利权的侵犯。若某开源软件已获专利保护,开发者需同时获得著作权授权及专利授权才可合法使用该开源软件。因此,为保障开发者的使用权,部分开源软件许可协议中还包含专利许可和专利报复条款,该类规定虽能有效解决开源软件贡献者及使用者相关专利授权问题,但仍然无法防御来自开源软件贡献者、使用者之外的专利侵权主张。
最后,商标的作用在于标识来源,对于消费者而言,商标代表的是生产者或经营者对于产品质量的保证。而开源软件的开发迭代往往会有大量开发人员参与其中,开发质量难以保证,因此开源软件许可协议中一般不会包含商标授权,或明确禁止使用开源软件或其权利人商标。除为明确来源的必要描述性使用外,不得使用开源软件及其权利人商标、商号、商业标识。
三、 开源许可协议的种类
开源软件许可协议重要功能在于明确授权的范围及对价,不同许可协议中授权范围可能有所差异,授权的对价也不尽相同。授权范围一般指允许使用者行使著作权、专利权(或有)的范围,对价可表现为使用声明义务、权利声明保留义务、修改声明义务、源代码开源义务等。目前,开源软件许可协议已达数千种,按照修改后是否可闭源或更换许可证重新分发可分为四类:
宽松型开源软件许可协议仅为被许可方设定了较低限度的义务,如提供原始作者的版权归属信息。典型如Apache、MIT、BSD系列许可协议,该类开源软件许可协议限制条件较少、允许使用者闭源修改后的代码,广受商业公司欢迎。
弱互惠型开源软件许可协议通常不允许被许可方闭源该开源软件修改代码,典型如LGPL、MPL和EPL系列许可协议。如果某软件包含弱互惠型开源软件许可协议下的部分代码,对外分发时该部分代码及其修改部分必须适用该许可协议,其它部分可根据其它许可协议发布。
互惠型开源软件许可协议旨在保障下游开源软件用户的源码自由,故既不允许被许可方闭源修改代码,也不允许更换其他许可协议进行分发。因此,软件分发时,互惠型开源软件许可协议的约束范围不仅包括受保护程序本身,还包括受保护程序的衍生程序,典型如GPL系列许可协议。
强互惠型开源软件许可协议基于互惠性许可协议,约束场景除软件分发外,还包括通过网络交互提供服务,服务应用程序(SaaS)的公司需特别关注这些许可协议下的软件,以确保合规性。典型的强互惠型许可证主要指AGPL、SSPL等。
常见开源软件许可协议系列
四、开源软件许可协议的选择
开源软件许可协议不仅载明了许可方需要对外许可的权利范围,也明确了被许可方就获得对应权利需要付出的对价,因此开源软件许可协议的选择也是许可方与被许可方就开源软件使用的范围及条件达成合意的结果。
对于开源软件的使用者而言,开源软件许可协议的选择需聚焦于履行开源软件许可协议中的相关是否义务有可行性,主要关注开源软件许可协议的传染性及兼容性。也即在拟应用场景下,使用该开源软件是否可能导致其他自研代码或核心代码因许可协议要求而负有对外公开义务,以及该开源软件许可协议是否与软件系统中其他已使用的开源软件的许可协议条件相冲突,以致于无法同时满足两者要求。举例而言,拟在某APP前端模块中动态调用GPL-2.0许可协议下的库函数,该举措可能导致整个调用该库函数的应用程序负有开源义务。对于使用者而言,对外开源可能导致核心代码被迫公开,丧失先发市场,而不开源该部分代码则可能构成对该库函数的著作权侵权行为,面临诉讼纠纷和金钱赔偿。若该应用程序中同时还包含某Apache-2.0许可协议下的开源软件,则存在许可协议的兼容性冲突。整体程序遵循GPL-2.0许可协议对外分发则和Apache-2.0许可协议中的专利授权存在冲突,整体遵循Apache-2.0许可协议则无法满足GPL-2.0许可协议要求。
对于开源软件的发布方而言,开源软件许可协议的选择需结合个人或企业的开源初衷,是否需使用者反馈修改、有无必要防止其他商业主体攫取开源成果,以及是否符合企业商业战略等都是进行开源软件许可协议选择的考量重点。如开源商业模式中的双许可模式基于不同群体的不同使用需求,采取不同授权方式,推出针对个人用户的开源版本和针对企业的专业版本。该商业模式中的开源版本一般通过GPL类许可协议对外发布,要求用户对源代码进行修改或再发布时,将修改作品或衍生作品的源代码对外开源。对于企业用户而言,修改作品或衍生作品的产生可能凝结了高昂的用工成本和巨大的商业价值,相关代码的开源将会导致企业丧失市场竞争的优势地位,故而反向驱动了专业版本的对外销售。
五、开源许可协议的编制
随着现代信息技术的飞速发展,开源模式在硬件、数据、人工智能等领域的应用逐渐深入,规范计算机软件源代码、目标码及相关文档的许可协议已无法满足多元化客体的许可使用场景,如硬件开源需更侧重于专利许可,数据和人工智能大模型开源则需考虑应用目的,以确保技术的良性向善发展,因此亟需编制开源许可协议以适应开源的蓬勃发展。
开源许可协议在结构上一般包括术语定义、著作权授权条款、专利规定(专利授权及专利报复条款)、商标规定(禁止使用条款)、分发限制、免责条款、许可证修订适用条款以及语言适用条款等。开源许可协议的术语定义需明确许可法律关系中所出现的相关概念,以形成共识。授权条款中需明确开源客体对外授权的范围,分发限制则集中体现开源创作者的开源诉求,分发限制中可以体现制定方个性化合理要求,该过程往往凝结开源创作者自身以及与产业各方的利益交互和平衡。
开源软件许可协议可谓开源软件应用、发展的法律基石,唯有全面、正确的掌握开源软件许可协议的具体内容及运行机制,在进行开源软件选型时充分考察开源许可协议的可履行性,并在使用过程中如实履行相关义务,方可有效避免开源软件合规风险,提升开源软件的应用能力和应用水平。
六、中国信通院开源合规相关服务
中国信通院集合自身在开源领域多年的实战经验,推出“源起无垠”|城市/园区/企业三层开源建设赋能服务,创建符合监管要求并推动开源创新战略的综合管理框架。其中“企业开源合规赋能包”内容如下所示,更多详细内容请通过联系人获取《中国信通院城市、园区、企业三层开源建设赋能服务清单》。
中国信通院在开源合规方面可以帮助企业:
●培训赋能:依托完善的开源合规课程体系为企业认清当前开源合规风险态势和治理能力提供一幅清晰图景,帮助企业迅速上手实战。
●诊断赋能:
企业级:通过调研、访谈、问卷等形式深入分析企业开源合规管理现状,梳理企业开源合规管理过程中的痛点问题,并提供针对性的提升建议,形成企业开源合规管理差距分析报告;
产品级:识别其使用的开源许可协议信息,包括许可协议名称、许可协议分类统计、许可协议传染性分级统计与许可协议兼容性分析等,结合系统使用场景,帮助用户规避开源许可协议法律风险。
●咨询赋能:聚焦于企业开源合规管理痛点问题,在开源合规使用指引、开源许可协议解读指南、软件产品开源代码发行验证规范等方面为企业提供针对性能力提升的“管家式服务”。
●订阅赋能:根据企业的个性化需求,为企业提供开源合规问题托底支持、开源许可协议白名单、开源许可协议解读等订阅服务。
●评估赋能:以评估验成效,以分析促提升,通过开源合规标准评估服务帮助企业查漏补缺,不断完善自身开源合规管理能力,并树立行业开源合规治理标杆,有效推动产业开源应用水平提升。
图|“企业开源赋能计划”服务客户(部分)
好文章,需要你的鼓励
后来广为人知的“云上奥运”这一说法,正是从这一刻起走上历史舞台。云计算这一概念,也随之被越来越多的人所熟知。乘云科技CEO郝凯对此深有感受,因为在2017年春节过后不久,他的公司开始成为阿里云的合作伙伴,加入了滚滚而来的云计算大潮中。同一年,郝凯带领团队也第一次参加了阿里云的“双11”活动,实现了800万元的销售业绩。
随着各行各业数字化变革的不断深入,人类社会正加速迈向智能化。作为智能世界和数字经济的坚实底座,数据中心也迎来了蓬勃发展。面