“软件不同于生活中的事物——它不同于椅子、三明治或是汽油——软件可以更容易地被复制或修改。恰恰是这一特性,使得软件更为有用。我们由此坚信,软件的这一天然属性应该被用户利用。”
——自由软件基金会(FSF)
2021年11月15日工业和信息化部公布了《“十四五”软件和信息技术服务业发展规划》,在“开源模式已经成为全球软件技术和产业创新的主导模式”以及“全球97%的软件开发者和99%的企业使用开源软件”的背景下,工业和信息化部也制定了2021年至2025年期间开源产业的发展目标。这其中包括了制定125项国家标准,工业APP突破100万个,建设2-3个有国际影响力的开源社区和培育超过10个优质开源项目,规模以上企业软件业务收入突破14万亿等。
从上世纪80年代逐渐发展壮大的开源产业,目前已经成为我国软件产业发展和未来着力的重点。尤其在中美全球竞争加剧的今天,我国也必将在开源赛道投入更多的资源,扶持和培育整个开源产业链的发展,寻求整个软件产业的突破和超越。
现阶段我国的开源实践主要沿袭了国外的先进经验,例如参考社区开发管理等机制,已经形成了一定的产业规模和项目基础。但是,另一方面一些现有模式的衔接和适应问题已经在我国现行法律法规与开源产业实际发展情况之间突显出来。如何在现有法律框架下保护行业良性发展,如何进一步通过完善法律体系和规则,对于保障开源产业快速发展至关重要。
开源程序的具体规则主要依靠开源许可予以规定,开源许可规定了代码的版权归属,用户接收、使用、修改和再分发的具体权利边界,以及作者的权利义务等主要内容。
从1983年Richard Stallman提出了GNU工程的初始声明,到目前形成了GPL、LGPL、AGPL、Apache、BSD、X11以及各大互联网公司的开源许可等等几十个主流的开源许可,在境外已经形成了相对成熟的开源许可和使用操作惯例。2019年8月中国开源云联盟官网正式上线了中国的木兰宽松许可证,2020年1月木兰宽松许可证已更新至第二版。该许可证使用中英文双语,并且在语言产生冲突时以中文版为准,也体现出我国在开源规则制定方面的努力。
上述不同的开源许可在版权、专利、商标、分发、责任限制的具体规则方面各有特点。我们从用户使用角度,挑选了几个应用较广的开源许可进行了比较,具体如下:

开源许可是作者(许可授权者、开发者)和用户(许可获得者、接收者)之间关于源代码的适用规则,而目前我国尚未对开源许可制定专门的立法,因此开源许可在我国的适用只能依赖于中国现有的法律体系框架。司法实践中,我国司法机关在司法实践中已经确认了开源许可的效力,例如北京知识产权法院在“(2016)京73民初1111号”判决书、深圳市中级人民法院在“(2019)粤03民初3928号”等诸多案例,均认可了开源许可的效力。
目前开源许可在我国适用的法律概念是计算机软件著作权许可,这也是现阶段涉及开源许可争议时司法机关主要的裁判依据。总体而言,现行法律法规依据软件著作权许可使用规定的规定从两方面对开源许可构建了具体的适用规则:一方面围绕着软件著作权保护以及对应的侵权责任展开,将开源许可视为对软件著作权附条件的授予和让渡,对于许可的违反视为侵犯软件著作权人的权利;另一方面按照《计算机软件保护条例》等法律法规规定,将开源许可解释为当事人订立的软件著作权许可书面合同,开源许可协议具备合同特征,从而按照合同和对应的违约责任进行论证。无论具体是哪一种方式,开源许可和现行的计算机软件著作权许可还存在着一定的差异,这主要表现在以下几个方面:
经过上述比较,从软件著作权附条件授予和让渡角度或者从软件著作权许可合同角度解释开源许可,均对现有的软件著作权法律法规框架提出了新的挑战,这也导致对于发生争议时开源许可的具体适用和权利范围的认定存在不确定性。对此,我们建议:在设置开源许可时,作者需要注意许可中免责声明对自身的保护,避免因源代码中的错误引申出对自身的赔偿问题;对接收者,需要注意开源许可对自身的授权范围,如操作超出了开源许可范围或具体使用、分发方式与开源许可要求不同,仍可能被作者依据法律法规规定而追究对软件著作权的侵权责任或对开源许可的违约责任。
开源产业的发展壮大离不开商业化的助力,良好的商业化能够为开源产业提供更多的资源投入,同时也能引导开源项目更贴近市场需求。现阶段基于开源软件进行的商业化有几种主要模式:
① 提供相关增值服务收费,包括数据库服务(MySQL MariaDB)、提供IaaS、PaaS和SaaS服务、AI框架以及其他云服务;
② 在社区免费版之外开发企业版本进行收费,或者基于开源代码开发商业计算机软件;
③ Google等综合性企业,利用开源生态实现许可费、广告等其他收入。
我们从法律专业角度,梳理了目前开源项目商业化过程中比较突出的几个问题:
3.1 数据网络安全保障
2021年9月1日我国实施了《数据安全法》,同年11月1日实施了《个人信息保护法》,2022年2月10日工业和信息化部对于《工业和信息化领域数据安全管理办法(试行)》再次征求意见。近些年密集出台的网络和数据安全相关的法律法规说明,从国家角度已经将数据安全提升到了国家安全战略的一环。数据安全专项法律法规,是在此前《网络安全法》构建的网络安全保护制度基础上,进一步对于数据和个人信息安全建立的专项管理制度。
根据《数据安全法》的规定,数据处理包括数据的收集、存储、使用、加工、传输、提供、公开等。上述定义涉及的范围较广,开源及其商业化产业都有可能受到《数据安全法》的规制。对于在开源项目基础上开发商业软件,以及为数据提供增值服务的各类企业,也均需要落实数据安全制度和承担数据保护义务。尤其是正在征求意见的《工业和信息化领域数据安全管理办法(试行)》已经将对网络构成严重威胁和严重影响人工智能领域的数据列为了核心数据。上述规定中要求的核心制度,包括网络数据分类分级保护、数据安全风险评估、数据安全事件通报处置、数据对外提供使用报告等制度。
上述数据中如果涉及个人信息的,还需要遵守《个人信息保护法》的要求,承担个人信息处理者的法定义务,包括制定内部管理制度和操作规程、个人信息分类管理、加密等安全技术措施、操作权限划分管理等。
此外,值得注意的是《数据安全法》对属于管制物项的数据实施出口管制,以及对重要数据的境内存储均提出了要求。这对于基于具有全球流动性的开源项目而进行的商业化开发活动提出了更高的合规要求,例如对于代码仓的境内外隔离、服务器的设置、开发代码的安全测评、数据合规的跨法域要求、对AI产业的核心代码和目录备案等均需要考虑满足《数据安全法》的合规要求。
3.2 商业化闭源软件的保护
目前基于开源代码开发的商业软件存在的主要争议,除了此前介绍的软件著作权纠纷以外,还包括商业软件及其闭源代码是否构成技术秘密。如果一方当事人能够证明其商业化项目属于技术秘密,则有机会对侵权的对方按对方所获得的利益主张损失,停止其产品的经营活动,从而进一步保障自身商业活动的发展。
根据《反不正当竞争法》的规定,商业秘密是指不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。按照这一定义,开源代码本身并不符合商业秘密的定义,而在此基础上开发的闭源系统和软件则需要根据具体情况判断商业秘密的范围。
我们整理总结了目前中国境内与此相关的判例,对于企业将商业化项目作为技术秘密予以保护的,通常需要采取如下几个方面的措施:
开源产业在我国发展方兴未艾,十四五规划也将开源产业作为了软件和信息技术服务业目前工作的重中之重,行业前景充满期望。然而,我国现有的软件著作权体系适用于开源许可仍有很多待进一步更新和适应之处,开源产业的各参与方也需要注意目前已突出的问题和风险。
同时,近些年我国对数据安全的强调,密集出台的相关法律法规和政府监管政策,既对开源行业提出了更高的合规要求,同时也在客观上为中国开源行业提供了一个发展的机遇。我国的各项扶持政策和法律保障体系的进一步完善,也将会促进开源企业、开源社区和开源项目的进一步规模化发展。
注释