開源軟件網(wǎng)絡(luò)安全的法律問題受到境外的進(jìn)出口監(jiān)管和境內(nèi)《網(wǎng)絡(luò)安全法》的雙重考驗。境外國家基于主權(quán)的出口規(guī)則穿透并從軟件、源碼、人員、平臺等角度分別對開源進(jìn)行監(jiān)管,本國《網(wǎng)絡(luò)安全法》的體系規(guī)則則對開源的繁榮與安全之間的平衡重新設(shè)定了評價機制。在兩者多因素作用下, 開源軟件的網(wǎng)絡(luò)安全實踐活動需要審慎調(diào)整以迎合或規(guī)避監(jiān)管規(guī)則變化帶來的深刻挑戰(zhàn)。
本文分析了開源軟件的協(xié)議安全問題,以事件導(dǎo)向引入并回答了合同與進(jìn)出口監(jiān)管沖突的若干問題,并以此為契機對開源軟件的網(wǎng)絡(luò)安全法律問題進(jìn)行了梳理,提出了相應(yīng)建議。
1 背景
2019 年 5 月, 公開信息顯示 Linux 基金會就列入美國商務(wù)部實體名單實體的開源軟件適用性和是否限制出口作出了聲明,其主要觀點涉及四點:
(1)當(dāng)前在法律上對名單實體的限制主要圍繞出口監(jiān)管規(guī)則(EAR)進(jìn)行;
(2)對于開源軟件中的開源加密軟件的源碼,已經(jīng)屬于“可公開獲取”的物項,因此不受EAR 監(jiān)管;
(3)單獨的開源(軟件)項目(按照公開信息顯示目前維護(hù)數(shù)量大致在 123 個)仍然應(yīng)當(dāng)向商務(wù)部工業(yè)與安全局(BIS)和國家安全局(NSA) 履行EAR 規(guī)定通知要求,方能滿足“可公開獲取” 的條件;
(4)開源軟件、開源代碼協(xié)作、會議、培訓(xùn)、會員資格或贊助屬于不受 EAR 約束的活動。
結(jié)合該聲明及其前后的各方解讀,產(chǎn)生了以下幾個主要問題:
一是開源協(xié)議是否能夠抗辯出口監(jiān)管;
二是如果開源協(xié)議不能或不足以抗辯出口監(jiān)管,如何在出口監(jiān)管規(guī)則中尋求開源出口的合規(guī),或者說例外適用;
三是如果已知案例認(rèn)定開源(代碼)作為言論自由的表達(dá), 這些既有的經(jīng)典案例是否足以繼續(xù)支撐“表達(dá)的出口”,是否可能只需一個案例就可顛覆經(jīng)典, 還是需要通過修改EAR 才能限制“表達(dá)的出口”;四是一些技術(shù)救濟(jì)方式,例如同步、鏡像、分支等等是否可采、可行;五是是否還有更為有效的激發(fā)開源活力和提升安全的機制。
本文嘗試對上述問題進(jìn)行一些粗淺的分析, 以期深入業(yè)界對開源的長遠(yuǎn)思考和布局,繁榮開源發(fā)展。為了聚焦本意,本文不再嚴(yán)格區(qū)分自由軟件等概念。
2開源軟件網(wǎng)絡(luò)安全的法律問題
2.1開源協(xié)議及其脆弱性
所謂的開源協(xié)議,實際上主要指包括開源軟件在內(nèi)的著作權(quán)許可協(xié)議,例如典型的 GNU General Public License 等。在許可協(xié)議中,通過將著作權(quán)法下規(guī)定的著作權(quán)人的發(fā)表權(quán)、署名權(quán)、修改權(quán)、復(fù)制權(quán)、發(fā)行權(quán)、傳播權(quán)等權(quán)利按照《計算機軟件保護(hù)條例》第 18 條“許可他人行使軟件著作權(quán)的,應(yīng)當(dāng)訂立許可使用合同。許可使用合同中軟件著作權(quán)人未明確許可的權(quán)利,被許可人不得行使”等規(guī)定,進(jìn)行部分或全部的讓渡,吸納和鼓勵更多的人員參與軟件開發(fā)與維護(hù),如漏洞脆弱性發(fā)掘等。
因此在著作權(quán)法與合同法的民事法律中, 開源協(xié)議是合同各方當(dāng)事人對權(quán)利義務(wù)不違反強制性法律規(guī)定的自行安排,其體現(xiàn)的是民事主體的意思自治。
但也正因為合同的意思自治和相對性等法律特性,導(dǎo)致開源協(xié)議具有某些可以類比為“脆弱性”的限制,這些限制主要體現(xiàn)在三個方面:
(1)協(xié)議本身可以通過協(xié)商、修訂、補充等方式進(jìn)行修改,乃至在不同的語種翻譯過程中都可能導(dǎo)致語義變化,這也是為何在不同語言版本的協(xié)議中,需要設(shè)定以何種語言為準(zhǔn)的原因(因此 GNU General Public License 的許可協(xié)議以英文為準(zhǔn),中文翻譯僅供參考,這也不同于在國際公法中,多邊或雙邊協(xié)議的多種語言等同適用 );
(2)違約責(zé)任的設(shè)置可能導(dǎo)致當(dāng)事人在權(quán)衡各種可能責(zé)任之后做出主動或者“惡意”的違約,特別是可以終止許可,禁止開源分支等;
(3)從根本上,意思自治和相對性約束了開源協(xié)議僅對協(xié)議各方發(fā)生效力,其與開源軟件進(jìn)出口監(jiān)管屬于不同的法律部門。當(dāng)發(fā)生國家安全、社會公眾利益和個人(合同方)利益競合時,就會產(chǎn)生事實上的法益沖突和優(yōu)先劣后等問題。
因此,在回答“開源協(xié)議是否抗辯出口監(jiān)管” 的基本問題上,不應(yīng)對開源協(xié)議施以過高要求或期待,這一訴求已經(jīng)超過了開源社區(qū)所能承受的范圍。例如 GNU 聲明:有時某些政府的出口管制法規(guī)或者貿(mào)易制裁會限制您在國際上分發(fā)程序副本的自由。軟件開發(fā)者沒有能力消除這種限制或者凌駕于這些限制之上,但開發(fā)者可以且必須做的是拒絕將此種限制作為(用戶) 使用程序的條件。如此,這些限制將不會影響這類政府管轄權(quán)之外的行為或行為人。
因此, 自由軟件許可證不得要求用戶遵守任何重要的出口法規(guī)作為先決條件來行使賦予用戶的任何基本自由。然而,它仍然是一個潛在的問題:因為一旦出口法規(guī)在未來做出變化,就可能使某個限制變成重要的,從而無法實現(xiàn)我們期望的軟件自由。當(dāng)然對于開源社區(qū)而言,其所能作出的反應(yīng)不僅限于開源協(xié)議本身。
2.2開源的進(jìn)出口監(jiān)管——以美國出口監(jiān)管為例
在進(jìn)出口監(jiān)管法律的清單管理模式中,軟件、技術(shù)、系統(tǒng)、設(shè)備、商品、組件和代碼可以屬于不同的物項(items)并予以不同的監(jiān)管編碼,因此盡管《計算機軟件保護(hù)條例》規(guī)定“同一計算機程序的源程序和目標(biāo)程序為同一作品”,但從進(jìn)出口監(jiān)管視角,其所體現(xiàn)和承載的物項形式、內(nèi)容、階段、功能等均有不同, 進(jìn)而也適用不同的進(jìn)出口監(jiān)管規(guī)則。
也正是基于軟件和代碼的分離,使得開源軟件、開源代碼能夠作為分別的物項出口最終成為可能,使得開源代碼本身可以作為“言論自由”表達(dá)的一種形式進(jìn)入司法審視的范圍(有關(guān)言論自由的相關(guān)案例及評價,見下文贅述)。
對于判斷是否構(gòu)成開源的“可公開獲取” 而言,還是以 EAR 對Linux 基金會所關(guān)注的“加密軟件”為例,就包括了可公開獲取的大宗市場加密目標(biāo)代碼軟件(Mass market encryption object code software)、履行了 EAR《控制策略——基于 CCL 的控制》742.15(b) 郵件通知義務(wù)的可公開獲取的加密源碼(encryption source code)、履行了 EAR《控制策略——基于 CCL 的控制》742.15(b) 郵件通知義務(wù)的可公開獲取的加密目標(biāo)代碼(encryption object code,其相應(yīng)的源碼也符合前述“可公開獲取”)。
但是當(dāng)代碼、軟件、系統(tǒng)在形式上統(tǒng)合于某一物項時,例如以開源軟件,或者包括了開源軟件的應(yīng)用軟件形式出口時,該物項將作為獨立的物項進(jìn)行 EAR 的適用性評估,而不能僅以其包括或宣稱為可公開獲取的源碼(merely because it incorporates or calls to publicly available open source code)而認(rèn)為其不適用 EAR 監(jiān)管。
這也是 EAR 明確提出的監(jiān)管原則,因此不能想當(dāng)然地認(rèn)為只要或主要為開源代碼,即不適用EAR 監(jiān)管,還應(yīng)當(dāng)考慮其體現(xiàn)為的物項,以及所承載的介質(zhì)(典型的如托管平臺和離線介質(zhì))。
也正因如此,即使在開源協(xié)議中對適用法律和爭議解決不作約定,都無法完全規(guī)避進(jìn)出口監(jiān)管中對開源主體(基金、平臺等)適用屬地的服務(wù)器主義(代碼托管服務(wù)器)管轄權(quán)。開源協(xié)議難以做到與出口管制無關(guān)。
2.3源碼與言論自由表達(dá)的確認(rèn)性問題
在對美國 1990 年代三大經(jīng)典案例分析的基礎(chǔ)上,一種觀點認(rèn)為“從此之后,美國政府再也不能試圖限制軟件源碼流通了”。
2.3.1PGP 案
PGP(Pretty Good Privacy)案件和對其作者Philip Zimmermann 長達(dá)三年之久的調(diào)查為 1990 年代第一次“密碼戰(zhàn)爭”(crypto wars)時期的巔峰之作。最終司法部撤銷了起訴而非敗訴,因此也留下對美國第一修正案是否和多大程度上保護(hù)軟件 / 代碼作為一種言論自由表達(dá)的持續(xù)疑問。
這一訴訟不僅沒有針對性的解決源碼與言論自由表達(dá)的問題,事實上還最終導(dǎo)致了 1998 年之后 PGP 的分化( 為基于 GNU 的 OpenPGP 和商業(yè)版)。2014 年開始,隨著美國等國家的網(wǎng)絡(luò)服務(wù)提供商開始監(jiān)聽和在郵件流量中移除STARTTLS 標(biāo)記,PGP 及其與它加密協(xié)議的關(guān)系和脆弱性也進(jìn)一步得到發(fā)掘——可出口的 PGP 反而可能成為監(jiān)聽的有效工具。
2.3.2Snuffle 案
伊利諾斯州立大學(xué) Bernstein 副教授開發(fā)的 Snuffle 軟件試圖通過紙質(zhì)期刊和網(wǎng)絡(luò)發(fā)布,但政府要求其按照軍火出口控制法的規(guī)定注冊為“軍火商”并取得出口許可證。
Bernstein 認(rèn)為政府禁令違反了第一修正案。司法部作為被告認(rèn)為如果 Bernstein 的軟件通過計算機語言(源代碼)表達(dá),則不受第一修正案保護(hù)。1996 年和 1997 年(重申),法官 Patel 駁回了政府觀點, “第一次”明確計算機源代碼屬于受第一修正案保護(hù)的言論表達(dá)。
法院援引了 1971 年五角大樓文件案等判例后認(rèn)為,Arms Export Control Act 和 EAR 的規(guī)定屬于預(yù)先設(shè)定的言論限制,因為法案要求 Bernstein 在發(fā)表其言論之前申請并獲得許可證屬于事先審查機制,“僅以國家安全利益為由不應(yīng)設(shè)定預(yù)先限制”,還應(yīng)當(dāng)至少考慮第一修正案相關(guān)案例所反復(fù)提及的威脅的直接性和緊迫性,并強調(diào)出口控制所限制自由表達(dá)的言論是基于言論的“內(nèi)容”,而非政府所認(rèn)為的“功能”。
對該案的正確解讀應(yīng)當(dāng)包括:
(1)該案主要限制了 EAR 出口監(jiān)管的事先審查機制,即以國家安全為由設(shè)定出口限制時,應(yīng)符合直接性(必要性)、緊迫性(緊急性)的條件,并應(yīng)給予當(dāng)事方其他救濟(jì),因此屬于個案裁決不能作為一般情形。
(2)盡管 1999 年 5 月第九巡回上訴法院維持了一審判決,明確 Bernstein 有權(quán)發(fā)布源代碼,重述了EAR 的違憲性,但并非一致通過,Nelson 法官發(fā)表了反對意見認(rèn)為, Bernstein 必須事實上使用源代碼(文本)進(jìn)行討論或教授密碼學(xué),只有在此情形下才是其科學(xué)方法和想法的表達(dá)。因此案例并非一致性無爭議地裁決。
(3)盡管一審法院支持了 Bernstein,但該案持續(xù)長達(dá) 4 年之久,期間很多的密碼技術(shù)發(fā)展受到影響,如服務(wù)器軟件 Apache。事實上,政府的目的部分得到了實現(xiàn)。
2.3.3榮格(Junger)案
凱斯西儲大學(xué)法學(xué)(注意,實際上在法學(xué)教授的計算機法課程中披露和討論的加密技術(shù)細(xì)節(jié)相對有限)教授 Junger 在克利夫蘭聯(lián)邦地方法院起訴政府(國務(wù)院,區(qū)別于第 2 個案子的司法部、NSA),認(rèn)為對方限制其在計算機法課程教授密碼學(xué)——爭議的焦點在于美國《國際武器貿(mào)易條例》(ITAR) 所定義的“出口”是否包括與外國人討論非分級(non-classified) 的加密軟件的技術(shù)信息,如注冊 Junger 課程的外籍學(xué)生。該案有別于前兩個案例的關(guān)注包括:
(1)1996 年 8 月,Junger 通過代理律師多次向法院申請臨時禁令,要求禁止政府阻礙其與外國人討論或發(fā)布一般加密信息,但被法院駁回;
(2)法院裁判中認(rèn)為,加密軟件源代碼具有固有的功能屬性,不能僅解釋為表達(dá)加密理論或描述軟件功能,加密軟件主要用于實現(xiàn)加密功能,并與實施加密的計算機硬件緊密結(jié)合。
因此,盡管 2000 年中,第六巡回上訴法院維持了 ITAR 的限制規(guī)定應(yīng)接受第一修正案審查的觀點,但在 2000 年之后隨著密碼技術(shù)的發(fā)展和課程的更新,其效用性已經(jīng)不能完全適用。
綜合上述已經(jīng)略顯久遠(yuǎn)的案例,實際上不能得出“從此之后,美國政府再也不能試圖限制軟件源碼流通了”的結(jié)論。
首先,前述案例并非最高法院案例,其論證和援引效力的權(quán)威程度并不足夠;
其次,在案件分析中,核心焦點在于前置審查程序的有效性與否,這就導(dǎo)致了個案差異會導(dǎo)致不同結(jié)果的可能,特別是前述案例均更接近于美國“內(nèi)部矛盾”,而一旦涉及與別國爭議,就進(jìn)一步加大了裁決結(jié)果的不確定性;
再次,源碼本身的“雙重屬性”, 不同個案將會在軟件的功能性與表達(dá)性之間搖擺,在未來可能只需一個相反案例就會導(dǎo)致對出口監(jiān)管態(tài)度的“重置”。
3提升開源軟件的網(wǎng)絡(luò)安全價值建議
3.1開源的市場和版權(quán)法價值
事實上,我們關(guān)注開源軟件的協(xié)議安全, 正是開源軟件對整體安全市場的價值體現(xiàn)。這就從根本上決定了開源可以通過協(xié)議適當(dāng)規(guī)避商業(yè)軟件市場和傳統(tǒng)版權(quán)法的某些限制,從而給出了維護(hù)國家安全、社會公眾利益和公民個人信息和隱私的多一重審視維度,也就決定了進(jìn)出口監(jiān)管職能也需要以例外的方式給予其適度的自由。
美 國 2018 年 國 防 預(yù) 算 法 案(National Defense Authorization Act for Fiscal Year 2018)明確規(guī)定,國防部長應(yīng)啟動 2016 年 8 月 OMB 備忘錄(M-16-21)制訂的為期三年的開源軟件試點計劃(open source software pilot program),其目標(biāo)要求政府機構(gòu)將至少 20% 的新定制開發(fā)的代碼作為開源軟件發(fā)布。①在該法案的語境下, 以減少重復(fù)的技術(shù)開發(fā)合同為理由顯然只是其字面意思。
從版權(quán)法角度,即使拋開版權(quán)法保護(hù)軟件的早期爭議,目前以版權(quán)保護(hù)計算機軟件也略顯疲態(tài)和“腐朽”。開源協(xié)議正是撕開了版權(quán)法保護(hù)計算機軟件的一道裂口,以軟件許可的約定形式轉(zhuǎn)移了著作權(quán)人的部分財產(chǎn),乃至人身權(quán)利(按照著作權(quán)法,發(fā)表權(quán)、署名權(quán)、修改權(quán)、保護(hù)作品完整權(quán)屬于有人身依附性的人身權(quán)利),直接挑戰(zhàn)了商業(yè)軟件的壟斷性利益。
也正是在這層意思下,開源軟件的作者并不如開源管理者自由,后者才是真正的自由,可以規(guī)定開源協(xié)議的自由,可以引入審查和設(shè)定分支的自由,直至決定是否與商業(yè)軟件競爭或是并購的自由。
從開源軟件的發(fā)展看,確實經(jīng)歷著從早期的作為商業(yè)軟件的補充與競爭,到更趨于“開閉” 靈活和相互融合的艱難蛻變。特別是在云計算產(chǎn)業(yè)下,開源軟件和開源社區(qū)的定位和發(fā)展面臨重大挑戰(zhàn)。
3.2提升開源軟件安全應(yīng)避免的誤區(qū)
在 2018 年 12 月的第九屆中國信息安全法律大會上,我們提出開源的安全不僅是從物理層到應(yīng)用層的協(xié)議安全,還包括法律協(xié)議的安全。開源代碼和開源協(xié)議都需要通過某種形式的審核或?qū)彶椋⒃谒芟薜能浖袌觥鏅?quán)法和進(jìn)出口監(jiān)管下“輾轉(zhuǎn)騰挪”,通過特定的制度建設(shè)與安排,方能逐步、漸進(jìn)地提升安全。
3.2.1為何有的開源項目關(guān)停而有的繁榮
以 GitHub 為例,其上也存有大量停止開發(fā)維護(hù)的項目,除了項目本身的技術(shù)和需求之外, 代碼審查和閉源被認(rèn)為是部分項目消亡的原因。例如早期的據(jù)稱 2013 年約翰霍普金斯大學(xué)的Matthew Green 教授組織了對 TrueCrypt 的安全審計,得出的不安全結(jié)論部分導(dǎo)致了開發(fā)者退出。毫無疑問,盡管有別于中國《網(wǎng)絡(luò)安全法》(或美國類似等同的審查機制)等下的國家安全審查,第三方的額外(從開源初衷而言,開源軟件的社區(qū)模式自帶審視)審查機制限制了開源的某些自由,抑制了(或加速了)市場自身的優(yōu)勝劣汰。另外,云計算廠商與開源社區(qū)的合作模式也極具爭議。
基于上述分析,實際上得出了一個提升開源軟件安全的適度性結(jié)論,即對于開源軟件而言,應(yīng)審慎引入代碼審查機制,并應(yīng)嚴(yán)格限制國家安全審查的適用性。
但如此一來,則與《網(wǎng)絡(luò)安全法》第 35 條規(guī)定的“關(guān)鍵信息基礎(chǔ)設(shè)施的運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù),可能影響國家安全的,應(yīng)當(dāng)通過國家網(wǎng)信部門會同國務(wù)院有關(guān)部門組織的國家安全審查”發(fā)生沖突,從而可能導(dǎo)致要么將開源軟件限制在關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域之外,要么因國家安全審查而抑制了開源軟件的研發(fā)。
3.2.2同步備份和設(shè)立分支為何不能解決發(fā)展和安全問題
對于托管在境外服務(wù)器(如 GitHub)上的開源代碼,是否作為分發(fā)(對應(yīng)于版權(quán)法的發(fā)行權(quán))平臺還是只作為備份鏡像(對應(yīng)于版權(quán)法的傳播權(quán)),進(jìn)一步而言是否考慮在現(xiàn)有的開源軟件之上設(shè)立分支,本質(zhì)上應(yīng)作為技術(shù)問題處理而不應(yīng)作為應(yīng)對進(jìn)出口監(jiān)管的終極解決思路。
以強行引入的外部機制將可能導(dǎo)致開源項目的蕭條直至關(guān)停,因為其違背了開源社區(qū)發(fā)展的弱中心化而非去中心化的規(guī)律,而承認(rèn)分支的存在即意味著可以向上回溯。更何況, 分支實際在很大程度上是作為開源協(xié)議沖突的安排,并不直接與發(fā)展和安全有關(guān)。例如 2018年 11 月,自由軟件基金會(FSF)更新軟件許可證評論認(rèn)為,如果既有項目增加了禁止商業(yè)性使用的商業(yè)條款(Commons Clause),應(yīng)當(dāng)重新設(shè)立分支。
3.3提升開源軟件安全與繁榮的著力點
3.3.1從維護(hù)現(xiàn)有開源項目開始
無論是本文引述的 Linux 基金會的開源項目,還是境內(nèi)企業(yè)已經(jīng)廣泛參與和貢獻(xiàn)的開源社區(qū),在提供代碼輸出的同時,也應(yīng)當(dāng)對其所適用的開源協(xié)議給予適當(dāng)?shù)年P(guān)注。
正如本文認(rèn)為的開源安全不僅是從物理層到應(yīng)用層的協(xié)議安全,還包括法律協(xié)議安全所言,開源協(xié)議的安全不僅涉及各類許可證條款的差異,也包括不同許可證混用的沖突,還包括在商業(yè)化應(yīng)用中對傳統(tǒng)版權(quán)法著作權(quán)人權(quán)利的“逆轉(zhuǎn)”和“強化”, 即對開源協(xié)議的關(guān)注和爭議不應(yīng)停留在 divx 和xvid 的協(xié)議轉(zhuǎn)換,而需從微軟收購 GitHub 的市場和產(chǎn)業(yè)高度重新審視。
應(yīng)當(dāng)借鑒 FSF“評論”的軟件許可證的做法,給予開源軟件多一重維度關(guān)注,不僅聚焦在源碼本身,也注重代碼的“外圍”和“周邊”。
3.3.2與《網(wǎng)絡(luò)安全法》若干問題的協(xié)調(diào)
目前開源軟件與《網(wǎng)絡(luò)安全法》體系的協(xié)調(diào)可能包括以下問題:
(1)按照《網(wǎng)絡(luò)安全法》第22 條,網(wǎng)絡(luò)產(chǎn)品、服務(wù)的提供者應(yīng)當(dāng)為其產(chǎn)品、服務(wù)持續(xù)提供安全維護(hù);在規(guī)定或者當(dāng)事人約定的期限內(nèi), 不得終止提供安全維護(hù)。對于開源軟件產(chǎn)品或服務(wù)而言(按照著作權(quán)法和計算機軟件保護(hù)條例,對開源軟件產(chǎn)品或服務(wù)的認(rèn)定應(yīng)基于產(chǎn)品或服務(wù)的“完成”),如果直接關(guān)停或設(shè)立分支,可能構(gòu)成對該條的違反,但如果按照該條規(guī)定也不符合開源軟件的發(fā)展規(guī)律,同時也可能導(dǎo)致對開源社區(qū)追責(zé)的“落空”。
因此應(yīng)考慮在開源協(xié)議中設(shè)計與該條有關(guān)的內(nèi)容,特別是完善開源協(xié)議的權(quán)利義務(wù)轉(zhuǎn)讓、第三方承受維護(hù)機制等,以促成開源軟件的完成與發(fā)行,減少不必要的分支和碎片化。
(2)在開源軟件的全球參與下,開源社區(qū)的協(xié)同必然產(chǎn)生數(shù)據(jù)出境的問題,按照《網(wǎng)絡(luò)安全法》和熱議中的數(shù)據(jù)安全管理辦法、重要數(shù)據(jù)出境安全評估辦法所規(guī)定的以網(wǎng)絡(luò)運營者為主要責(zé)任方,以合同審查(數(shù)據(jù)出境安全評估審核)為制度設(shè)計的安全模式下,源碼的出入境應(yīng)當(dāng)作為協(xié)議安全的特殊情形予以充分的論證和除外規(guī)定,否則可能無法滿足開源軟件的寬松研發(fā)模式。
(3)至于《網(wǎng)絡(luò)安全法》第 22 條規(guī)定的“ 網(wǎng)絡(luò)產(chǎn)品、服務(wù)應(yīng)當(dāng)符合相關(guān)國家標(biāo)準(zhǔn)的強制性要求。網(wǎng)絡(luò)產(chǎn)品、服務(wù)的提供者不得設(shè)置惡意程序;發(fā)現(xiàn)其網(wǎng)絡(luò)產(chǎn)品、服務(wù)存在安全缺陷、漏洞等風(fēng)險時,應(yīng)當(dāng)立即采取補救措施, 按照規(guī)定及時告知用戶并向有關(guān)主管部門報告”,第 35 條規(guī)定的“關(guān)鍵信息基礎(chǔ)設(shè)施的運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù), 可能影響國家安全的,應(yīng)當(dāng)通過國家網(wǎng)信部門會同國務(wù)院有關(guān)部門組織的國家安全審查”和目前熱議的網(wǎng)絡(luò)安全漏洞管理規(guī)定,必要和適度的代碼審查是網(wǎng)絡(luò)安全等級保護(hù)和關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的必要組成,其實現(xiàn)的重要路徑即是代碼審查。
對于代碼審查,可以認(rèn)為其一方面受到了開源的啟發(fā)和影響,另一方面審查也會抑制和終止某些開源項目的持續(xù)。同時《網(wǎng)絡(luò)安全法》的規(guī)定會增加開源社區(qū)審核、審計開源安全的義務(wù)和成本, 因此也需要在脆弱性與漏洞管理中,對開源軟件作為一種特殊類型進(jìn)行制度和協(xié)議設(shè)計,并特別限定國家安全審查的適用范圍,充分評估審查對開源軟件的影響。
4結(jié)論
開源軟件作為傳統(tǒng)版權(quán)法規(guī)定下的代碼分離與等同的必然產(chǎn)物,其制度設(shè)計在于解決類似“多場耦合”問題從而直接在軟件開發(fā)者(作者)與著作權(quán)之間建立關(guān)聯(lián),與傳統(tǒng)版權(quán)法的規(guī)定相比,具有某些天然的外部性和自適應(yīng)優(yōu)勢,特別是第五代移動通信技術(shù)的發(fā)展可能再次提升開源軟件的應(yīng)用,各國均對開源軟件予以高度重視和密切關(guān)注。
整體而言,從開源軟件的協(xié)議安全(并促進(jìn)繁榮)角度,至少應(yīng)當(dāng)從以下幾個方面進(jìn)行綜合考慮:
(1)在版權(quán)法下設(shè)計軟件權(quán)益機制,體現(xiàn)開源屬性權(quán)利的獨立性;
(2)從服務(wù)協(xié)議、許可協(xié)議等視角規(guī)范開源軟件的合同法下規(guī)范;
(3)協(xié)調(diào)進(jìn)出口監(jiān)管法與版權(quán)法,規(guī)范審查和評估對開源的影響;
(4)從網(wǎng)絡(luò)安全法的基本法出發(fā),將其作為一類特殊的安全審查和出境評估類型。
最后,開源的核心在于軟件開發(fā)者的著作權(quán)利義務(wù)設(shè)計與分配,應(yīng)從宏觀與微觀上給予開源軟件開發(fā)以充分支援。這些支援不在于簡單的資金投入或文件指引,而在于通過降低人員流動的成本,并特別注重未被定義為高端人才的人員價值和促進(jìn)開源繁榮的作用,以開源代碼和開源協(xié)議的參與度作為評價開源安全與繁榮的主要機制。
