华为开源律师刘雪宁出席2022中国国际软件发展大会暨第五届中国软件产业年会开源雨林“企业开源合规与实践”论坛并作“企业开源合规体系建设”的主题演讲。她表示,天下没有免费的午餐。企业在采用一款开源软件时,首先需要关注的就是开源许可证的相关版权条款。在了解了开源软件的价值和风险之后,根据企业在开源领域的阶段,明确其存在的风险,并进行合规建设。
华为开源律师刘雪宁
01 开源软件的价值和风险
最早一批互联网创建者们追求的开源是自由与开放。现在,开源被定义为一种商业行为。开源可以代替自研,从而简化或省略代码编写、测试、版本迭代等消耗大量人力、物力和财力的工作,大幅度降低研发的投入及成本,获得更早的产品上市时间,更早地抢占市场份额。同时,开源可以促进技术创新,与客户和合作伙伴共同构筑生态链,进而刺激更多的技术创新,形成正向循环。
在企业使用开源软件的时候,需要注意履行开源义务。常见的开源义务包括放置版权说明,如有修改提供说明、修改后开源、修改后采用原许可证分发等。除版权外,代码还涉及专利权的问题。
开源许可证版权规定(开源义务)
以 GPL 为代表的一类许可证,是主流许可证中非常严格的一类。GPL 的出发点是力图保障用户分享和修改自由软件的权利,为了确保自由软件对其用户来说是自由的,GPL 不允许修改后的衍生代码作为闭源的商业软件发布和销售。因此,只要在一个软件中使用 GPL 协议的产品,则该软件产品必须也是开源和免费的,这就是所谓的“传染性”。
对于绝大多数的企业来说,如何尽可能避免传染?GPL 协议规定,对于非衍生自 GPL 程序,且自身可以被合理地视为与 GPL 程序分离的独立程序,在作为独立作品分发时可以不受 GPL 协议约束。究竟怎么区分是两个独立的程序,还是一个程序的两个部分呢?GNU 官方 FAQ 认为这是一个法律命题,最终会由法官来决定。FAQ 进一步指出,如果两个程序使用 pipes、sockets 和命令行参数等进程间通信机制来通信,那么通常认为这是两个独立程序。
开源许可证专利规定
从代码贡献者角度看,当他们拥有针对开源软件的专利权,需要注意对外许可条款及不诉限制。而对于用户而言,需要注意对第三方专利权人的侵权风险。因没有履行或不当履行开源义务,可能会引发开源软件的遵从纠纷。
近几年,国内开源诉讼呈现增多的趋势。数字天堂因认为柚子公司发布的 APICloud 软件抄袭了其 HBuilder 软件中的三个插件,对柚子公司发起了诉讼。柚子公司辩称 HBuilder 软件属于应遵循 GPL 协议开放源代码的软件。对于 GPL 协议的开源软件,任何第三方有权不经另行取得著作权人的许可,直接遵循 GPL 协议使用源代码,构建衍生软件作品,而不构成对著作权的侵犯。本案经过两审判决,没有支持被诉方的抗辩理由。
数字天堂诉柚子科技一案,是被告方利用 GPL 协议来做不侵权抗辩,而罗盒诉风灵,是真正意义上的因违反 GPL 协议而产生的诉讼,是国内首例因违反 GPL 协议而被判罚的案例。被告风灵被判向原告支付经济损失 50 万元。
02 企业在不同阶段的风险及合规建设思路
企业在开源领域可划分为四个阶段。目前,国内大多数企业处于阶段二和阶段三,朝向阶段四进行发展。
跟随者阶段(阶段二和阶段三)以使用他人开发的开源软件为主,极少将代码贡献给开源社区,即使贡献也是小量碎片化的贡献,非核心很难进入社区的基线代码,因此法律风险主要体现为开源软件的使用风险。具体包括:
- 不遵守开源软件许可证义务导致的版权侵权风险;
- 开源软件侵犯第三方专利导致的专利侵权风险;
- 产品因不当使用开源软件而导致专利免费许可/核心软件代码开源风险;
- 使用开源软件的产品商标侵权。
Elastic 是一家搜索引擎公司,AWS 基于其开源搜索引擎 Elasticsearch 推出了自己的云服务 - Amzon Elasticsearch Service。Elastic 就 AWS 产品中“Elasticsearch”的字眼与其旗下开源搜索引擎重名造成客户混淆,以商标侵权的罪名将 AWS 告上法庭,
本案于今年二月双方和解,亚马逊开始从网站的各个页面及其服务和相关项目名称中删除“Elasticsearch”一词。
作为领导者的企业(阶段四),最大的特点是其社区代码贡献量非常大,且贡献的代码成为基线代码,拥有庞大的用户群,并主导建立社区规则。其面临的主要风险来源主要有:
- 开源社区策略对既有版权、专利许可策略以及专利布局的影响
- 贡献代码是否侵犯他人版权——IBM 与 SCO 的版权诉讼长跑案例、Oracle 与 Google 的版权大战
- 贡献代码是否涉及公司的核心重要专利——博通退出 OIC 事件
- 贡献代码侵犯他人专利引发的专利诉讼问题
- 社区制度设计可能引发的反垄断问题及其他法律责任——TruePosition VS. 3gpp, 高通,爱立信,阿朗
- 跟随者阶段开源软件的使用风险也会继续面临
合规体系建设
借助专业的平台和工具的支持,专业人员团队的参与和建设,实现合规体系建设,为企业开源的法律合规保驾护航。
