近年來,開源生態發展勢頭迅猛,在推動技術創新、促進産業協作、加快各行業數字化進程方面發揮的作用日益凸顯。企業或個人在使用、參與或主導開源項目的過程中,一般都會涉及開源許可協議的相關問題。開源許可協議授予了被許可人廣泛的權利,但同時也要求其應承擔一定的合規義務。企業忽視開源合規中的某些細節,會為自身帶來不可預知的法律風險,如被迫開放源代碼的風險、許可協議的相容性風險、違約風險及智慧財産權風險等。
一、企業在開源許可協議合規管理方面存在顯著不足
為確保合規使用開源軟體,企業應嚴格遵循相關許可要求,明確使用範圍、權利與義務,以保障開源軟體作者和權利人的權益,同時防範合規風險對企業及第三方供應商的影響。據中國信通院調研,超過六成企業缺乏嚴格的合規管理流程,允許開發人員隨意引入AGPL、GPL類許可協議。這一缺陷會加劇法律與合規風險,對企業智慧財産權和商業模式造成不利影響。
表1我國近期GPL許可協議相關法律案例(部分)
二、常見開源軟體許可協議義務要求
開源軟體許可協議是企業複製、使用、修改對應開源軟體的權利來源,企業應在開源軟體許可協議授權範圍內、在履行許可協議相關義務要求的前提下使用開源軟體,否則企業任何基於該開源軟體的利用行為都可能構成侵權。
常見的開源軟體許可協議義務要求通常包括以下類型:
●保留權利聲明:在分發代碼時必須包含原始的版權聲明,以明確該開源軟體智慧財産權所有者;
●提供許可協議副本:應提供該軟體的許可協議副本,以確保所有用戶都了解並遵守該協議的使用要求;
●聲明修改:需要對源代碼的任何修改進行標注,以便其他用戶了解哪些部分是原始的,哪些部分是修改過的;
●分發源代碼:部分開源軟體許可協議要求分發的修改版或衍生作品必須公開源代碼;
●相同許可證發佈衍生作品:某些許可協議要求基於原始代碼的派生作品必須以相同的許可協議發佈;
●分發構建腳本:提供編譯該開源軟體源代碼所需的構建腳本。
三、通過“開源許可協議黑白名單”履行開源許可協議義務要求
對於如何履行開源軟體許可協議,則需要根據開源代碼的應用場景,細緻分析對應許可協議的義務要求。
不同開源軟體應用場景存在風險差異。開源代碼的不同應用場景可能觸發不同義務要求,主要表現在對外提供源代碼的義務以及應提供源代碼的範圍。開源代碼的應用場景一般包括三類典型場景:
●企業內部使用,指僅在企業內部部署並僅供企業內部的人員使用。
●通過提供軟體副本的方式對外分發,如應用在移動應用程式、電腦應用程式、網頁前端等場景中;
●通過遠端網路交互程式調用等,如應用在SAAS産品中。
不同場景下,開源代碼的引用方式不同,開源許可協議的風險也不同。企業可以構建完善的“開源許可協議黑白名單”,從而清晰識別不同開源軟體在不同應用場景下的合規性,確保在享受開源軟體帶來的便利同時,也履行了相應的義務要求。
黑白名單示例如下所示:
表2開源許可協議黑白名單-以GPL-2.0為例
四、開源合規專項賦能服務—“開源許可協議黑白名單”
為解決企業缺乏開源合規專業人才、對開源許可協議認知不足等痛點問題,中國信通院現推出“開源合規專項賦能服務—開源許可協議黑白名單”,名單將清晰的展現各類開源許可協議在不同使用場景下的義務要求。訂閱此項服務的企業可在訂閱後即刻獲得涵蓋100+常用開源許可協議的義務一覽表,且通過持續更新的方式,覆蓋企業所使用全部開源軟體及所有應用場景。通過專項賦能服務,企業可以顯著提升開源合規風險防控能力,有效降低開源軟體應用過程中可能遇到的風險。
“企業開源賦能計劃”服務客戶(部分)
現訂閱服務已面向全社會開放,歡迎聯繫諮詢!