7月27日，我会举办了“产业数字化下的著作权保护实务分享”会员沙龙活动，线上线下30余家单位会员参加了此次活动。 活动邀请了单位会员代表搜狐集团高级法律顾问李佳甜，围绕开源软件的风险与合规展开分享。 李佳甜首先引入探讨开源软件的风险与合规的政策及实践背景，\"十四五\"规划和2035年远景目标纲要中“十四五”软件和信息技术服务业发展规划中明确提出要支持数字技术开源社区建设，进行联合创新发展，完善开源知识产权和法律体系，鼓励开发者将软件源代码进行开源。“十四五”软件和信息技术服务业发展规划提到，当前开源已覆盖软件开发的全域场景，正在构建新的软件技术创新体系，引领新一代信息技术创新发展。全球97%的软件开发者和99%的企业使用开源软件，基础软件、工业软件、新兴平台软件大多基于开源，开源软件已经成为软件产业创新源泉和“标准件库”。中国信息通信研究院发布的《全球开源生态研究报告（2022年）》论述了开源创新模式助力数字经济发展，开源融合协作深化技术创新应用的重要价值。开源软件对数字经济发展具有重要意义，开源模式已经深度融入当前社会的方方面面。一项技术的高度发展或伴随着一定的风险，近几年来，围绕开源软件的诉讼案件也时有发生，开源合规问题值得我们关注。 接下来围绕开源软件概述、开源软件风险、开源软件合规进行详细介绍。

一、开源软件概述

(资料图)

开源软件的探讨离不开开源软件和开源许可证这两个关键概念。开源软件诞生于美国自由软件运动，并没有法律上的定义，简单来讲是指开放源代码的软件，也即通过开源许可证允许公众将源代码复制、修改、再发布。OSI定义的开源软件需要符合十项标准：允许自由再分发、源代码公开、允许形成和分发衍生作品、原作者源代码完整性、不歧视任何个人或团体、不歧视任何应用领域、自由许可分发、许可不得绑定特定产品、许可不得限制其他软件、许可证技术中立。

开源许可证，又称开源协议，是一种具有法律效力的、允许用户自由使用、修改、复制或分发软件代码的授权条款格式合同。著作权视角下，开源协议即软件著作权人将其复制权、发行权、修改权等著作权权利附条件地许可给不特定公众的著作权许可合同。开源许可证的许可模式有强著佐权型（强传染型）许可协议（Copyleft）、弱著佐权型（弱传染型）许可协议（Weak-Copyleft）和宽容型（permissive）许可协议。强著佐权型（强传染型）许可协议（Copyleft）的使用限制相对较多，例如软件的修改版本必须遵守统一许可模式发布源代码，常见的例如GPL等；宽容型（permissive）许可协议几乎对后续开发者的修改版本无任何要求，是一种较受欢迎的许可模式，例如Apache；弱著佐权型（弱传染型）许可协议（Weak-Copyleft）介于二者之间。

使用开源软件需要遵从开源协议的各项权利义务，并且开源不等于免费。使用开源代码开发的软件，还需要依据开源许可要求确认是否必须继续开源。

二、开源软件风险

开源软件的使用包括供应链、运维、安全、知识产权风险。具体来看开源软件的知识产权风险，包括著作权、专利权、商标权、商业秘密四个方面。

著作权层面，风险包括违反开源协议、开源软件本身存在著作权风险。前者系指开发者使用开源软件时，未遵从开源协议的各项条款（例如开源协议要求二开软件继续开源，开发者未遵守）而带来的侵权风险；后者系指开源软件本身系由无著作权的贡献者上传而导致的侵权风险，由于开源协议本身或存在开发者/贡献者免责条款，故该风险可能实际由后续的开发者（使用者）承担。

专利权风险可能来自开源软件开发者贡献内部，也即开发者将软件以开源模式公开源代码的同时，也将其中的符合授予专利权的条件的部分做了专利申请，此时其可能依据专利权的排他性质，向开源软件的后续开发者提起专利侵权诉讼。此外，专利权的侵权风险也可能来自非开源软件开发者或非开源协议约束的第三方。

商标权方面，需要关注开源协议中是否存在商标使用条款，部分开源协议中存在限制后续开发者使用软件著作权人商标的条款，如未遵守，或引发商标侵权方面的风险。

商业秘密风险可能包括三个方面，第一，强著佐权型许可下，二次开发的版本因被“传染”而必须强制公开源代码，如二次开发版本包括部分商业秘密，则不利于商业秘密的保护；第二，代码安全，如使用的开源软件存在安全问题，可能会威胁到企业内部系统或企业产品系统安全，进而可能导致商业秘密泄露风险；第三，贡献者约束，企业内部人员未经允许作为贡献者上传二次开发版本的源代码，可能导致商业秘密泄露。

上述风险可能给企业带来不同程度的负面影响，包括一定程度上的商誉减损，业务推进受阻、引发侵权赔偿等。

罗盒公司诉玩友公司等计算机软件著作权侵权纠纷案为近年来较为典型的开源软件案例之一。该案中，罗盒公司为“罗盒VirtualApp插件化框架虚拟引擎系统”的著作权人，为便于推广，其以GPLv3协议在Github上公开了源代码，玩友公司开发的“微信视频美颜版”等被诉软件的沙盒分身功能使用了VirtualApp的开源代码，但并未遵循GPLv3协议公开源代码，因而被诉至法院。

该案的典型意义包括：第一，进一步认定开源协议具有合同性质，是授权方和用户订立的格式化著作权协议；第二，开源不等于免费，玩友公司收取被诉软件会员费并不违反GPLv3协议；第三，玩友公司提供下载被诉侵权软件安装包，但用户无法同时下载到该软件的源代码，违反GPLv3协议，构成侵权。法院认为，GPLV3协议属于附解除条件的著作权合同，许可条款是版权许可的条件，如果用户违背条款规定，那么许可的前提条件已不复存在，则GPLV3协议终止适用，用户获得的授权也将自动终止。如前所述，玩友公司未向用户提供被诉侵权软件源代码下载已经违反GPLV3协议规定，则玩友公司对涉案软件源代码的复制、发布行为因失去权利来源而构成侵权。

此外，该案中启示，具有强传染性许可模式的开源软件并非完全不能使用，开发者可以通过隔离开源代码和二次开发代码的方式隔离风险。例如谷歌公司为了解决强传染型开源代码的问题，通过将GPL的适用局限在安卓系统独立的底层Linux内核空间中，而在上层的类库和应用框架以及用户空间部分则适用较为宽松的ASL开源软件许可协议。由于上层的类库和应用框架以及用户空间部分并不视为底层Linux内核的衍生产品，因此避开了GPL许可协议传染至整个安卓系统，那么安卓系统上层的硬件驱动和应用框架程序就是独立的，其开发者适用ASL进行开发，可以自由选择是否公开其源代码。

三、开源软件合规

一是树立开源软件使用的合规意识。合规意识提高的重要方式之一即日常培训，包括法律培训和技术培训，法律方面的培训面向业务人员，围绕法律合规风险等内容；技术培训主要使相关人员能够更了解业务的开展，使法律和业务能够良性互动。二是开源软件的使用前进行评估。评估本身并不是监管方面的要求，只是企业内部的风险把控模式，包括综合使用开源许可的类型、开源软件使用的场景等进行风险评估，综合评估结果给出合规建议，并跟进合规建议的落地实施。三是核心业务和服务当中要谨慎使用强传染性的许可。如确需使用但二次开发版本源代码不方便公开，可以参考谷歌的方法，采取一定的技术方案，通过一些隔离的手段使强传染性许可的代码成为一个独立的产品，进行软件层面的隔离。四是开源软件的使用时进行内部的备案。当面对客户投诉或者遭遇商业风险时，能够高效核查。

往期阅读：