以下文章來源于合規(guī)小叨客 ，作者全球法律政策研究

目錄

一、 概述

二、 各國針對開源軟件的出口管制政策

（一）美國出口管制法規(guī)對于開源軟件的管控

（二）中國、歐盟和日本出口管制法規(guī)對于開源軟件的管控

三、 重要開源社區(qū)的出口管制策略

（一）國際開源組織項目出口管制政策

1. 開源基金會

2. 開源許可證

3. 代碼托管平臺

（二）社區(qū)聲明對開源軟件使用的影響

四、 開源軟件出口管制合規(guī)管控實踐

（一）開源軟件應用管控

1.受EAR管轄開源軟件識別

2.受EAR管轄開源軟件備案

（二）開源對外貢獻管控

1.自研代碼貢獻

2.開源項目建設

五、 開源軟件管控改進措施和風險分析

（一）開源軟件管控差距和改進

（二）開源軟件潛在風險分析

六、參考文獻

一、概述

開源軟件是源代碼可以任意獲取的計算機軟件。在獲取開源軟件源代碼的基礎上，任何人都能查看、修改和分發(fā)他們認為合適的代碼。開源是信息社會的生產方式之一，特點是大維度的協作與網絡服務化，全球范圍的源代碼開放，是開源軟件的一個特征。我國的開源軟件技術已經全面進軍操作系統、云原生、人工智能、大數據等主要領域，例如在容器技術、微服務技術、DevOps技術上，均有中國的開源貢獻。開源軟件已在各行各業(yè)得到廣泛應用。作為托管于開源社區(qū)的開源軟件，必須受到相關開源社區(qū)的管理約束。由于各國的法律法規(guī)存在差異，基于社區(qū)由不同國家發(fā)起、托管平臺存在于不同國家、以及這些開源軟件的版本歸屬差異，這些開源項目還會受制于不同的“其它外部的法律法規(guī)”，比如“出口管制要求”。美國曾將中國某公司及其附屬公司列入出口管制“實體名單”，隨后美國谷歌公司宣布將停止為其提供安卓（Andriod）系統的技術支持與服務，而安卓系統一直是世界知名的開源項目。

軟件產品是作為當今大部分高科技企業(yè)最為重要的產品形態(tài)之一，已大量涉及開源軟件，進行開源軟件相關合規(guī)政策和合規(guī)遵循的研究顯得尤為重要。本文主要從出口管制的角度，研究開源軟件相關的法規(guī)政策和及其影響，通過對企業(yè)當前的合規(guī)管控實踐，分析開源軟件的管控現狀和差距，提出改進措施，并說明開源軟件在未來的使用過程中可能面臨的風險。

二、各國針對開源軟件的出口管制政策

國家出于政治、經濟、軍事和對外政策的需要，制定限制產品出口的法律和規(guī)章，以對出口活動實行控制。在開源軟件的研究過程中，我們針對世界主要的四個經濟體進行了掃描，匯總其對開源軟件進行管控的要求。這四個主要經濟體分別是美國、日本、歐盟和中國。這四個經濟體的主要出口管制法規(guī)如下：

表1 四大經濟體的出口管制法規(guī)和條例名稱

（一）美國出口管制法規(guī)對于開源軟件的管控

在美國，開源軟件是否受出口管制的限制？一個廣為流傳的觀點是，軟件的源代碼因受到言論自由的保護而不被管制。根據1995年伯恩斯坦訴美國司法部（Bernstein v. Department of Justice）案，軟件源代碼屬于言論自由的范疇，不能被政府部門管制。但很少有人提到，該案的裁決未生效。因此，伯恩斯坦案并非有法律效力的判例，不能簡單地得出結論認為軟件的源代碼因受到言論自由的保護而不能被管制。實際上恰恰相反，軟件的源代碼只要沒有實現“公開可獲得”（Publicly available），仍然要受到美國出口管理條例（Export Administration Regulations，以下簡稱“EAR”）的管轄。

美國對于開源軟件的管轄基于“已公開”（Published）或者“公開可獲得”（Publicly available）的概念。已公開的信息可以任意復制、傳播，對于已公開的信息再進行管控是不可能做到的，因此立法者將已公開的信息排除出了EAR的管轄范圍，即根據EAR 734.3(b)(3)，“已公開”的信息和軟件不受EAR管轄。開源軟件由于其源代碼已經在互聯網上的網站或者網絡社區(qū)進行了公開，可以任意下載和傳播，因此開源軟件在原則上由于其公開的特性不受EAR管轄。

但同時美國出口管制法對于加密技術非常重視，美國立法者認為加密技術有可能會被利用來危害美國的國家安全，因此他們將包含加密功能的開源軟件進行特別對待。含有加密功能的軟件，如果屬于美國開發(fā)的代碼或者來源于美國管轄的開源社區(qū)，且按照功能性能被分類為5D002,那么即使該軟件的源代碼即使已經在網絡上進行公開，這個軟件仍然是受EAR管轄的。如果美國以外的人員想要下載和使用這個軟件，則必須要獲取出口授權。但是美國商務部工業(yè)與安全局（Bureau of Industry and Security，以下簡稱“BIS”）提供了一個途徑，來使這樣的開源軟件不受EAR管轄。軟件作者或者使用者可以將這個軟件的源代碼發(fā)往BIS和美國國家安全局（National Security Agency，以下簡稱“NSA”）的特定郵箱進行備案，這樣這個軟件就不再受EAR管轄。如果軟件的源代碼變動頻繁，軟件作者或者使用者也可以將下載該軟件源代碼的網址以及軟件名稱發(fā)送給BIS和NSA的特定郵箱進行備案，就無須重復性的將不斷變更的軟件源代碼發(fā)送給BIS和NSA的特定郵箱。此外，對于含有加密功能的目標代碼（即源代碼經過編譯后形成機器碼），如果來源于美國，必須要在將其對應的已公開源代碼進行備案后，此目標代碼才能不受EAR管轄。

（二）中國、歐盟和日本出口管制法規(guī)對于開源軟件的管控

從對四大經濟體的出口管制法規(guī)分析看，只有美國的EAR提及了開源軟件的概念，并提出了對開源軟件進行管控的細則。在日本的管控清單中，甚至沒有提及軟件；中國和歐盟的法規(guī)雖然提及了軟件，但是卻沒有提及開源軟件的概念，也就沒有專門針對開源軟件的管控制度。下面說明中國出口管制法對軟件的管控將如何影響開源軟件：

中國出口管制法對軟件的管控仍集中在軟件的功能、性能上，開源軟件的本身公開的性質，并不能使其免于中國出口管制法的管轄。只要軟件本身在中國出口管制法下轄的清單中，如兩用物項清單，那么該軟件即使是開源軟件，出口也可能需要出口授權。特別的，根據《中華人民共和國出口管制法》第二條的規(guī)定，從中華人民共和國境內向境外轉移管制物項，屬于“出口”；中華人民共和國公民、法人和非法人組織向外國組織和個人提供管制物項也屬于“出口”（也稱之為“視同出口”（Deemed export））。

因此中國出口管制法定義下的開源軟件“出口”或者“視同出口”涵蓋的范圍將非常之廣，運營于中國境內的不管是企業(yè)還是個人都需要對此特別注意。下面對于涉及開源軟件出口或者非出口的場景進行舉例說明。

可能被認定為開源軟件出口的場景：

（1）國內某企業(yè)決定開源其研發(fā)的一個軟件，在選定開源許可證后，將GitHub作為代碼托管和后續(xù)協作的平臺。我們知道在2018年6月，微軟宣布75億美元收購GitHub，微軟是一家美國公司，而GitHub的具體運營公司也是位于舊金山的美國公司，均屬于外國組織，而GitHub的代碼存儲空間主要也在美國。實際上，GitHub.com也提及了GitHub網站、企業(yè)服務器以及用戶上傳的產品、信息可能受貿易管制法規(guī)包括EAR的約束，并詳細規(guī)定了用戶只能根據適用法律（包括美國出口管制和制裁法律）訪問、使用GitHub.com。因此，這種形式的源代碼開源，如果涉及禁止或者限制出口的軟件技術，有很大可能被主管部門認定屬于“出口”。

（2）國內某企業(yè)決定將其研發(fā)的機器學習程序捐贈給Linux基金會。假設這項機器學習程序有著先進的算法，屬于禁止出口的技術，而Linux基金會是根據美國聯邦稅法501(c)(3)成立的非盈利機構，屬于外國組織，則該企業(yè)向Linux基金會捐贈源代碼及相關材料的行為，也有很大的可能被主管部門認定屬于“出口”。

（3）國內某企業(yè)對通用性公開（General Public License，以下簡稱“GPL”）許可證項下的Linux內核作出了重大技術貢獻，該項創(chuàng)新屬于禁止出口的技術。根據GPL開源許可證，該企業(yè)應當在相應的國外社區(qū)公開源代碼，那么這種情況下，也有很大的可能被主管部門認定屬于“出口”。這里涉及到的國內法與開源許可證的沖突及解決，不是本文的研究范圍，本文不展開論述。

可能不會被認定為開源軟件出口的場景：

（1）國內某企業(yè)決定將其軟件開源到gitee上，但該軟件屬于限制出口技術。gitee運營公司是位于深圳的中國注冊公司，而源代碼的存儲空間也應在我國境內，雖然網絡具有全球可訪問性，但不應認定為“出口”。需要指出的是，如果該軟件涉及國家保密規(guī)定的，應遵守相關的要求。

由于在立法時沒有提及開源軟件的概念，歐盟同樣存在類似問題，有可能對于開源軟件存在過度管轄。而日本由于其管控清單中沒有將軟件單獨列出，因此日本在開源軟件的出口和轉移方面要寬松的多，不存在法律上的障礙。

三、重要開源社區(qū)的出口管制策略

（一）國際開源組織項目出口管制政策

一個完整的開源生態(tài)包含開源基金會（組織）、開源項目、開源許可證和代碼托管平臺等多方面要素，它們各自的條款聲明和受到的法律制約都不盡相同。

1. 開源基金會

開源基金會管理開源項目，但基金會的管理辦法差異較大，而基金會旗下的開源項目也可以選擇不同管理辦法。舉例：

Linux 基金會自身的管理辦法不受美國出口管制，其旗下的項目包括Linux Kernel等默認遵循該管理辦法，但其分布式存儲項目Ceph明確指定司法管轄權歸屬美國加州，并要求使用并出口者遵循美國出口管制，就屬于Linux基金會中的特例；

Apache基金會的管理辦法明確說明遵循美國出口管制，旗下絕大多數項目如 Hadoop、Spark等，在備案（5D002）后即不受EAR出口管制；

Mozilla基金會明確聲明司法管轄權歸屬加州。根據前述司法管轄區(qū)與出口管制的關系，Mozallia基金會聲明司法管轄權，只是表示出現各類糾紛都將以加州Santa Clara的法庭裁決為準。如前所述，這并不表示其管理的開源項目默認受到出口管制；

RISC-V基金會隸屬于Linux基金會，沒有特別聲明受美國出口管制，因此RISC-V基金會擁有的RISC-V開放指令集標準并不會受美國出口管制。值得注意的是，RISC-V 基金會的會員條款中也指明了其司法管轄權在美國特拉華州。根據前述司法管轄權與出口管制的關系，RISC-V基金會聲明司法管轄權，表示所有圍繞會員條款產生的糾紛都將交由指定法庭裁決，但并不表示其管理的開源項目默認受到出口管制。

2. 開源許可證

常用開源許可證如GPL、LGPL、BSD、MIT、Mozilla、Apache，均未涉及與政府出口管制無關的聲明。而且開源項目對于許可證條款的遵循與變更比較容易，所以開源許可證方面的出口管制風險比較小。

3. 代碼托管平臺

從對GitHub、SourceForge和Google Code三個代碼托管平臺的研究來看，該三個平臺均明確聲明遵守美國出口管制條例，并且司法管轄權均在加州（即需按加州法律解決糾紛）。

以 GitHub為例，GitHub明確聲明其GitHub Enterprise Server被出口管制，不能出口到被制裁國家。至于GitHub網站的普通功能，由于架設在美國的GitHub服務器的上傳和下載的行為都需要遵從出口管制和美國法律，所以其正常使用是可能會被管制的。亦即，GitHub上的開源項目代碼在遵守項目自身的開源許可證的同時, 也可能作為GitHub上的信息（Information）遵從出口管制和美國法律。概述中提到的事件，也很可能因為GitHub因素使其訪問開源項目受到影響。

開源項目如何規(guī)避出口管制風險？存在四種情況，但都需要開源項目發(fā)起人或開發(fā)者支持與配合：

對于已存放于GitHub的開源項目，若同時存放于美國以外其他托管平臺，且開發(fā)者分別獨立提交更新到GitHub與其他托管平臺，且開發(fā)過程中不從GitHub下載任何信息，那么從美國以外的托管平臺獲取開源項目不受美國出口管制；

對于已存放于GitHub的開源項目，若發(fā)起人本地擁有副本，且未從GitHub上下載更新，那么發(fā)起人可在美國以外其他托管平臺創(chuàng)建開源項目，并將副本上傳到該托管平臺。此后開發(fā)者分別獨立提交更新到GitHub與美國以外的托管平臺，且開發(fā)過程中不從GitHub下載任何信息,那么從美國以外的托管平臺獲取開源項目不受美國出口管制；

對于新啟動的開源項目，發(fā)起者可在美國以外的托管平臺和GitHub上同時創(chuàng)建項目，且開發(fā)者分別獨立提交更新到美國以外的托管平臺與GitHub，且開發(fā)過程中不從 GitHub 下載任何信息，那么從美國以外的托管平臺獲取開源項目不受美國出口管制；

對于新啟動的開源項目，發(fā)起者可直接在美國以外的托管平臺創(chuàng)建項目，其后開發(fā)者向該托管平臺更新，那么從該托管平臺獲取開源項目不受美國出口管制。

從以上分析可以看出，雖然并非所有的開源基金會、開源社區(qū)管理的源代碼都受到美國出口管制的管轄，但幾乎所有位于美國的國際開源組織或項目，無一例外地遵守美國的出口管制政策。

（二）社區(qū)聲明對開源軟件使用的影響

在實際使用開源軟件時，為了增強我們對該開源軟件具備足夠的駕馭能力，選擇開源軟件項目時，需要考慮能夠隨時不受限制地引用其全生命周期過程中的版本、技術，以滿足引用開源軟件產品全生命周期經營管理需要：

選擇開源軟件時，需要仔細閱讀所屬開源社區(qū)/開源基金會的聲明、項目本身的聲明、所用的開源許可證聲明等三個聲明，以了解受各國出口管制管轄及約束的情況。對所用開源軟件相關的上述聲明需要進行全生命周期的跟蹤，若其條款有所變更需要進行快速響應，分析其出口管制影響；

在同樣條件下，優(yōu)先選擇國內開源基金會和開源社區(qū)下的開源軟件；

開源托管平臺同時受EAR出口管制和美國司法管轄權的限制，是開源最大的風險。在同樣條件下，優(yōu)先選擇國內開源社區(qū)下的開源軟件；

同時做好受出口管制后，是否有其它應對手段，如開源軟件替代、具備開源軟件守護能力等；

做好所使用開源軟件的開源基準庫，最好是所用開源組件的全版本庫。

對所選開源軟件的許可證進行全生命周期管控，預防遵循許可證變更，甚至引入新的受出口管制影響的許可證等情況。

四、開源軟件出口管制合規(guī)管控實踐

（一）開源軟件應用管控

在當前的高科技研發(fā)研發(fā)公司中，開源軟件幾乎涉入了每一個軟件研究項目。近年來，業(yè)界各企業(yè)紛紛開始進行開源合規(guī)治理，通過不斷完善，部分企業(yè)目前已形成一套開源軟件的管理體系，管理系統主要包括開源的安全、許可證和出口管制三部分。這里主要討論在出口管制方面的合規(guī)管控實踐。盡管如上面所述，四大主要經濟體中的日本、歐盟和中國的出口管制或沒有提及軟件，或是沒有開源軟件的概念，比如中國的出口管制政策主要通過對最終產品的功能性能來確認是否進行關注，但實質上都有對使用開源軟件的“隱形”出口管控。這里筆者以國內某企業(yè)對開源軟件的合規(guī)管控實踐，討論對開源軟件管控有更明確和嚴格要求的美國EAR法條的遵從。

按照 EAR 的規(guī)定（734.3(b)(3)、734.7(b) 和 742.15(b)），即ECCN為5D002的加密開源軟件仍受EAR管轄，除非其目標代碼和源代碼按要求向BIS和ENC Encryption Request Coordinator進行了備案（notification）。盡管進行備案不是EAR的強制要求，但企業(yè)為減少出口管制合規(guī)風險而選擇了對ECCN為5D002的加密開源軟件進行備案管理要求，對研發(fā)過程中使用的受EAR管轄開源軟件采取了管控措施。

1.受EAR管轄開源軟件識別

正確識別研發(fā)活動中使用的所有開源軟件是識別受EAR管轄開源軟件的基礎，但目前業(yè)界尚無一個100%正確識別的成熟可靠的方案，實踐證明采用工具識別與人工確認相結合的方式，既提高了開源軟件識別效率和準確性，避免了純人工識別差錯問題，同時也解決了因掃描工具數據庫更新不及時而可能產生的識別不全的問題。

識別出開源軟件后，就需要對這些開源軟件進行分析，判斷其是否受EAR管轄。為此，總結了一個科學可行的判別的方法，我們稱之為受EAR管轄開源軟件識別四要素法，如下圖所示：

簡單地說如果一個開源軟件同時滿足以上4個條件，我們就認為這個開源軟件是受EAR管轄的開源軟件。

2.受EAR管轄開源軟件備案

該實踐中要求對識別為受EAR管轄的開源軟件在軟件版本對外發(fā)布前必須完成向BIS備案，通過備案將受EAR管轄的開源軟件變?yōu)椴皇芄茌犻_源軟件，從而減少出口管制合規(guī)風險。具體做法是通過email通知BIS和ENC Encryption Request Coordinator，告之加密源代碼所在的URL或網絡地址，每次URL發(fā)生變化，均需再通知BIS和ENC Encryption Request Coordinator，但源代碼更新或修改不需再次通知。

企業(yè)從公司維度對開源軟件的備案工作進行集中管理，一方面能夠確保來源的可靠性和可信性；另一方面，實現了資源共享，避免了不同研發(fā)單位對同一個受EAR管轄開源軟件的重復備案，減少了資源消耗，提高了效率。

（二）開源對外貢獻管控

作為開源軟件應用者，同時也是開源軟件的貢獻者。常見的開源對外貢獻有兩種方式，一種是直接向開源社區(qū)貢獻自研代碼，還有一種在在開源社區(qū)主導建設項目。

1.自研代碼貢獻

為了實現開源社區(qū)的共建，實現技術和代碼的共享，某些情況下，研發(fā)項目在從開源社區(qū)獲取開源項目的同時，也需要向開源社區(qū)共享源代碼。為了遵循出口管制的政策，對于涉及受EAR管控的技術或軟件的軟件不能作為開源軟件公開到開源社區(qū)中。該實踐中對開源代碼對外貢獻管控要求是：項目組在向開源社區(qū)提交源代碼前，需要識別是否包含受控軟件，受控軟件不能作為開源軟件發(fā)布；涉及受控技術的受控項目的軟件源代碼也不能對外貢獻代碼。

2.開源項目建設

我國目前有很多企業(yè)都有其主導的開源軟件建設項目，代碼托管在Linux基金會，同時，在開源中國社區(qū)上建設了鏡像。開源中國是目前最大的開源技術社區(qū)。雖然，開源項目在托管平臺的選擇上有自主權，但是絕大部分中國項目組在國際大平臺托管代碼時，都會選擇同時在國內建立鏡像，不僅中國項目，開源中國也同國際上很多大的平臺簽署了相關協議，一方面能不斷發(fā)展開源社區(qū)，同時也是對國內開源代碼使用的安全性的一個長遠保障措施。

五、開源軟件管控改進措施和風險分析

（一）開源軟件管控差距和改進

在上文的開源軟件管控實踐中，企業(yè)對開源軟件已制定比較全面的管控措施，出口管控合規(guī)的風險已完全被管控。但就執(zhí)行與現有政策要求還存在一定差異，體現在目前EAR法條中僅管控涉及非標準加密算法的開源軟件，也就是說，只有涉及非標準加密算法的開源軟件才是美國出口管制關注的對象，其他都不在其管轄范圍內，無需向其備案，這個政策在2021年3月份變更。但是目前如果依然按照原有的要求進行備案，對所有加密的開源軟件都進行備案，管控的尺度更高。雖然這種差距雖然并不帶來合規(guī)風險，但卻會加重備案工作量。

為了消除這種差距，企業(yè)合規(guī)部門與業(yè)務單位不斷討論改進措施和方案，目標是完全遵循EAR的要求，僅針對涉及非標準加密算法的開源軟件向BIS備案。這個方案中，最關鍵的一點是如何確定加密算法是否為標準算法，執(zhí)行落地方案建議如下：

首先依據法條中對標準加密算法的說明，確定目前已使用的標準加密清單，但此清單并不涵蓋所有的標準加密算法，僅供使用人員參考；

使用人員負責對加密開源軟件的加密算法標準和非標準進行判定，判定方法是參考標準加密算法清單，如果加密軟件使用的加密算法在此清單內，則認為是標準加密算法；

如加密軟件使用的算法不在此清單內，則需要根據非標準加密算法的定義進行判定，給出是否非標準加密算法的判定，判定依據：該算法在何種國際標準中公開發(fā)布；

管理人員審查不在標準加密算法清單中的標準加密算法的判斷依據。如果判斷依據可靠，則將改算法加入標準加密算法清單；否則將涉及非標準加密算法的開源軟件向BIS備案。

（二）開源軟件潛在風險分析

在該實踐中，雖然開源軟件的使用已完全遵循了美國的出口管制，但并不代表沒有風險。從前面概述中的案例可以看出，可能存在一種極端的情況，一旦美國修改 EAR，將高性能軟件、EDA 軟件等一些核心基礎軟件加入到管制中（這并非不可能，2018 年 11 月，美國 BIS 曾就 AI 和機器學習等新興技術是否加入管制名單征求公眾意見），并且將目前“備案即不被管制”（這其中包含了 ASF 幾乎所有開源項目），修改為“備案且需要被管制”，那就意味著大量核心開源項目將受到出口管制。

換句話說，如果我們使用的開源軟件較多都來源于這些有影響力的外部社區(qū)，而這些社區(qū)又都受制于國家的出口管制政策，那么這些開源軟件始終都將受到出口管制政策變化的影響。我們已經清楚地認識到，出口管制的本質是，國家不希望其在意的東西（物項）轉移給其不喜歡的國家/人（禁運國家/受限制主體），目前國際局勢風云變化莫測，如果一旦形式突變，開源軟件作為嚴重影響各行各業(yè)的一把雙刃劍，把其作為對付一個國家或企業(yè)的武器存在很大可能。

所以從長遠來看，中國必須建立起自己有影響力的開源項目托管平臺，發(fā)展自身的開源力量，并以更開放的方式吸引全世界的開源愛好者。中國在2008開始建設開源中國社區(qū)，目前已經建設成國內最大的開源技術社區(qū)。國家在第十四個五年規(guī)劃中，已經把“開源”列入規(guī)劃?？v觀中國企業(yè)，華為作為風險管理杰出企業(yè)代表，也早早意識到自己在開源軟件這一塊的風險，已經在操作系統、數據庫、AI深度學習框架等基礎軟件在國內構建了完善的開源生態(tài)，成為中國開源的重要力量。

對于受開源軟件和出口管制影響深遠的企業(yè)，也有必要居安思危，未雨綢繆，多作貢獻。

六、參考文獻

[一] 中國：《中華人民共和國出口管制法》

[二] 中國：《兩用物項目錄》

[三] 日本：《安全保障貿易管理について》；

[四] 日本：《日本出口貿易管理令》；

[五] 美國：《Part 734 – Scope of the Export Administration Regulations》；

[六] 美國：《Part 742 – Control Policy — CCL Based Controls》；

[七]《Official Journal of the European Union》（歐盟公報）：《eu-council-regulation-ec-no-428-2009-of-5-may-2009-setting-up-a-community-regime-for-the-control-of-exports-transfer-brokering-and-transit-of-dual-use-items》

[八] Linux 基金會發(fā)布白皮書：《了解開源科技和美國出口管制》；

[九] Linux 基金會：《Linux 基金會發(fā)布白皮書，解釋如何應對美國對開源項目的出口管制》2020.7

[十] 中國開放指令生態(tài)（RISC-V）聯盟：《開源項目風險分析與對策建議》。