開源合規系列（一）：開源概述及開源風險分析

開源合規系列（一）：開源概述及開源風險分析

文 | 史李寅、李曉靜

一、開源概述

（一）開源簡介

開源（Open Source），全稱為開放源代碼，這一概念來源于軟件，具有開放（公開）、可使用、可修改、可分發的特點。開源興起于國外，近年來在我國發展越來越火，引起了我國社會各界的廣泛關注。我國工業和信息化部積極地推動我國開源事業的發展，支持成立了國內首家開源基金會——開放原子開源基金會，加速孵化開放鴻蒙、歐拉等一批開源項目；并支持舉辦了2022開放原子全球開源峰會活動，為國內外開源相關方搭建交流合作平臺，積極宣傳開源文化。開源將來自世界不同地方，具備不同背景文化的參與者聚集到一起，通過開放的協作機制共同推動技術發展和社會進步。

開源軟件的最主要特征可以概括為兩點：一是軟件的源代碼必須公布，任何人都可以修改、維護；二是任何人都可以對軟件及演繹軟件發布和再發布。開源軟件最大的特點是開放，也就是任何人都可以得到軟件的源代碼，可以進行研究學習、使用、修改和再發布。開源軟件之所以能夠穩健發展，得益于開源許可證這一規則體系。開源許可證是開源軟件發展的有力保障和基礎，其承載著開放、協作、貢獻的開源精神。

OSI（Open Source Initiative），全稱為開放源代碼促進會，于1998年2月成立，它維護著開源定義（Open Source Definition，OSD）以及其認可的開源許可證列表。經過OSI認定的軟件才可以標注“OSI Certified”，由于該組織的宗旨是捍衛開放源代碼的定義，統一開源軟件的認定標準，所以該組織的認定標準具有權威性。

（二）開源誤區

誤區一：開源等同于免費。

很多網站以免費開源為標題，導致網絡用戶常常陷入開源等同于免費的誤區，但實際上開源軟件并不禁止收費。此外，開源軟件都有自己的許可協議（license），即開源許可證，在違反開源許可證的情況下使用開源軟件可能會被權利人起訴著作權侵權/合同違約而最終付費。此外，廣義的軟件可以理解為是程序、文檔、支持、培訓、服務的集合體，雖然開源軟件的程序、文檔免費，但支持、培訓、服務等可以收費。

誤區二：開源軟件可以隨意使用且不存在法律風險。

開源軟件不是公有領域的軟件，不加限制地使用和售賣開源軟件，可能存在法律風險，因此不可以任意使用。開源軟件都是有著作權，且受著作權法保護的。開源軟件的著作權人通過許可協議（license）將軟件的復制權、修改權、發行權等部分權利讓渡給了被許可人，被許可人在遵從協議規定的前提下才可以行使這些權利，否則，沒有按協議規定使用就存在很大的著作權侵權風險。

二、開源風險

（一）開源軟件知識產權風險

軟件開發者在使用開源軟件時，需要謹慎選擇開源軟件，關注其開源許可證的內容及相關條件，避免潛在的法律風險。

1、 版權侵權風險

版權侵權風險包括兩種。一是違反開源許可證。使用者沒有按照開源許可證的規定使用開源軟件，從而導致版權侵權。二是開源軟件存在版權瑕疵。貢獻者將自己不具有版權的代碼貢獻到開源社區，使得開源軟件本身存在版權瑕疵。

第一，違反開源許可證。使用者沒有按照開源許可證的規定使用開源軟件，從而導致著作權侵權。開源許可證是一種合同，是開源軟件使用者得以合理使用開源軟件的合法憑證，也表示使用者愿意接受開源許可證的約束，若其未依照相應的開源許可證要求使用開源軟件，則可能侵犯開源軟件作者或權利人的版權。此外，由于各類開源許可證賦予用戶的權利和義務不同，因此在使用或引入開源軟件時，需要注意各類開源軟件所適用的開源許可證的兼容性風險，比如Apache 2.0 與GPL2.0許可證不兼容，因此不能將遵循Apache 2.0的開源代碼與遵循GPL2.0的開源代碼合并在一起。最后，在開源軟件引入后，也需要隨時進行關注，部分開源軟件的開源許可協議會進行修改，此時需要評估修改內容是否會對現在的使用造成影響。值得注意的是，由于開源軟件的著作權沒有被放棄，因此，許可證中通常要求以適當的形式保留源代碼中的著作權標記。

第二，開源軟件的著作權瑕疵。貢獻者將自己不具有著作權的代碼貢獻到開源社區，使得開源軟件本身存在版權瑕疵。由于開源軟件及其衍生軟件通常都是免費提供的，因此開源許可證中通常都約定了貢獻者的免責及侵權不擔保條款。（如Apache 2.0 中約定了：THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE SOFTWARE. ）那么，這就意味著開源軟件的開發者不承擔瑕疵擔保責任，開源軟件的用戶由于使用“不清潔”的開源軟件所造成的侵權責任需要由用戶自己承擔。此類情況是一種理論上的可能，難以避免，以往也并未聽說過發生過相關糾紛。

2、專利侵權風險

軟件的保護形式包括著作權、專利和商業秘密。不同于著作權僅保護軟件的表達形式，專利可以保護軟件的功能和方法。專利是一種排他性權利，在專利權的有效保護期內，他人未經專利權人許可實施其專利技術的行為屬于專利侵權。開源軟件倡導“自由共享”，將源代碼開放，保證軟件的代碼可以被所有人使用、學習和再創作，從而保證軟件的持續發展。使用開源軟件，不僅涉及到軟件的著作權，還涉及到軟件的專利權。使用開源軟件的專利侵權風險來源于內部、外部兩個方面。

第一，內部專利侵權風險，是指開源軟件的開發者或者貢獻者對其中某項技術申請專利并向開源使用者提起專利訴訟。有些開源許可協議（如Apache 2.0）明示了專利授權且存在專利報復條款，內部專利風險相對較小。然而，部分開源許可協議（如BSD、MIT等）沒有明示專利許可規定，開源軟件的開發者或者貢獻者可以向開源軟件使用者提起專利訴訟并收取專利許可費，因此內部專利風險較大。

第二，外部專利侵權風險，是指不受開源許可協議約束的第三方向開源軟件使用者發起專利訴訟，聲稱所述開源軟件使用了其專利。例如微軟就曾表示過包括Linux在內的開源軟件使用了微軟的專利，微軟曾向谷歌以及眾多手機廠商如富士康、京瓷、三星等提起了專利侵權訴訟，要求其向微軟支付專利使用許可費。這些案件后來多以雙方簽訂了專利許可協議，向微軟支付專利許可費的方式達成了和解。

3、商標侵權風險

開源軟件的用戶通常有權在原來的代碼基礎上開發新的產品，但有的開源許可證規定用戶未經許可不能使用許可證頒發者的商號、商標、服務標記或產品名稱，如Apache2.0許可證（Trademarks. This License does not grant permission to use the trade names, trademarks, service marks, or product names of the Licensor, except as required for reasonable and customary use in describing the origin of the Work and reproducing the content of the NOTICE file.）。因此，用戶在使用開源軟件時，要特別留意許可證中的商標使用規范。

4、商業秘密風險

第一，被迫公開商業秘密的風險

在私有軟件或代碼中，加入使用GPL等傳染類開源許可證的開源軟件或代碼，私有軟件或代碼將受到GPL類開源許可證的“傳染“而可能需要被迫開源，如果該私有軟件或代碼中含有商業秘密，則可引起商業秘密公開的風險。使用開源軟件時需謹慎，篩選評估適合企業經營的開源許可證。

第二，商業秘密被泄露的風險

如引入的開源軟件存在惡意代碼、病毒或其他安全漏洞，可能引起內部系統商業秘密泄露的風險；他人未經企業批準擅自在開源社區上貢獻源代碼，也可能引起企業商業秘密的泄露風險。

（二）開源軟件企業商譽風險

未遵守開源許可證的，開源軟件的權利人或發文進行輿論聲討，或加入“恥辱黑名單”進行輿論譴責，可能引起企業商譽受損的風險。國內外也有一些案例，可以引以為鑒。

• SeaweedFS案作者針對著作權聲明不合規發文譴責京東

在開源項目SeaweedFS的作者Chris Lu控訴京東TigLab項目涉嫌抄襲代碼事件中，Chris Lu發文表示京東的項目使用了他的開源代碼，但是沒有根據Apache-2.0協議的許可條款添加引用說明，侵犯了自身的合法權益。雖然此后京東也積極的向Chris Lu道歉，但是此類事件對于企業的社會形象來說是一個打擊。

• FFmpeg案針對違反其許可證義務的“恥辱黑名單“管理

FFmpeg是一個跨平臺的視頻和音頻流的開源軟件，采用LGPL或GPL開源許可證。2009年，韓國名軟KMPlayer被FFmpeg開源組織發現使用了它們的代碼和二進制文件，但沒有按照規定/慣例開放相應說明/源碼。被人舉報后，KMPlayer進入了FFmpeg官網上的恥辱黑名單。同年，中國暴風影音軟件也被列入恥辱黑名單。

• 我國電子書廠商Onyx無視Linux內核協議，中國被噴

Onyx的電子書設備是在Linux內核基礎上的改版，而Linux內核遵循GPL許可證，該許可證有很明顯的“傳染性”，要求二次分發項目也必須開源，然而Onyx拒絕發布其源碼。Onyx的態度激起許多人的不滿，甚至把對Onyx的批評上升到國家層面。部分批評者認為，Onyx事件暴露了中國廠商不尊重開源協議。

通過以上案例可知，許可證的合理選擇是開源項目的重要環節，如因許可證選擇不當或不遵守許可證的要求，會引發一系列的開源合規風險及商業風險，第二期和第三期文章我們將針對主流許可證及許可證兼容性做深度解讀。