《开源合规指南(企业篇)》正式发布,为推动我国开源合规建设提供参考
《开源合规指南(企业篇)》正式发布,为推动我国开源合规建设提供参考
近年来,开源生态发展势头迅猛,在推动技术创新、促进产业协作、加快各行业数字化进程方面发挥的作用日益凸显。企业或个人在使用、参与或主导开源项目的过程中,一般都会涉及开源许可证的相关问题。开源许可证是一种允许源代码、蓝图或设计等在特定条款下被使用、修改和共享的许可协议。开源许可证授予了被许可人广泛的权利,但是也要求其应承担一定的合规义务。如果对开源许可证的理解或适用上存在误区,可能会产生诸多风险,如:被迫开放源代码的风险、许可证的兼容性风险、违约风险及知识产权风险等。
为了帮助企业规避开源风险,建立完善的开源治理体系。中国信通院联合企业用户、科研机构、法律专家于5月20日召开的“OSCAR开源先锋日”上筹备成立【可信开源合规计划】。【可信开源合规计划】为聚焦开源合规的国内开源组织,旨在凝聚各方力量,聚集一大批国内开源合规人才,整合优质资源,完善开源合规标准体系,输出开源合规建设经验,全面提升我国开源合规水平,为行业的发展提供强劲合力。目前共有53家首批成员单位,正式成员为22家,预备成员为31家。
与此同时,中国信息通信研究院(以下简称“中国信通院”)结合开源研究工作,编写了业内首个《开源合规指南(企业篇)》。此指南由中国信通院牵头,联合【可信开源合规计划】的成员单位,包括华为技术有限公司、北京火山引擎科技有限公司、国浩律师(北京)事务所、建信金融科技有限责任公司、中移动信息技术有限公司、中移(苏州)软件技术有限公司、京东集团股份有限公司、上海哔哩哔哩科技有限公司、度小满科技(北京)有限公司、蚂蚁科技集团股份有限公司、阿里巴巴集团控股有限公司、中国移动杭州研发中心、杭州网易数帆科技有限公司、北京小米科技有限责任公司、新思科技股份有限公司、苏州棱镜七彩信息科技有限公司、北京安普诺信息技术有限公司、深圳开源互联网安全技术有限公司、百度在线网络技术(北京)有限公司、江苏省农村信用社联合社、北京市商汤科技开发有限公司、浙江极氪智能科技有限公司等单位的各位专家,秉承开源精神,协同共创,从多个视角提出了对于开源合规的理解,最终完成本指南的撰写工作。
在5月20日召开的“OSCAR开源先锋日”上,可信开源合规计划正式发布《开源合规指南(企业篇)》并进行了深度解读。此白皮书分析总结了开源合规发展特点,重点围绕开源软件与数据合规风险、开源许可协议规定、企业开源合规风险防控三大环节展开研究,对于企业做好开源合规具有很强的指导意义,为推动我国开源合规建设提供了参考。
开源合规面临四大风险
当前众多企业开始拥抱开源。开源软件、开源硬件与开放数据,成为当今数字新技术的重要组成部分。但在引入开源技术的同时,往往会忽视开源合规中的某些细节,从而为自己的企业带来不可预知的法律风险。本章主要分析开源软件知识产权风险、开放数据合规风险、数据保护风险与开源软件与出口管制风险。
一是开源软件知识产权风险。
开源软件并不等于无限制的自由使用,必须在遵循相关开源许可证的基础上注重知识产权保护。开源许可证在具体开源条款上存在较大差异甚至冲突,如果不认真分析和甄别,很容易陷入协议条款冲突引发的知识产权风险。开源软件在著作权、专利权、商标权、商业秘密泄露上面临的侵权风险较大。
二是开放数据合规风险。
相对于开源软件,人工智能的发展历程较短,直到近年来才开始大规模商用,人工智能训练所需要的数据许可证并没有国际组织进行标准化,这意味着对于使用数据的企业来说,在许可遵从上将付出大量成本。
三是数据保护风险,涉及数据出境问题、数据泄露风险与数据安全责任共担。
开源软件本身具有公开透明的特点,在应用中产生安全漏洞和数据泄露的风险较高。同时“重要数据”和“个人信息”属于数据出境的规制对象,需要进行安全评估、向网信部门报备等流程。
四是开源软件与出口管制风险。
开源理念的核心为共享,但因涉及跨国别和跨区域的流动,故很可能触发某些国家的出口管制风险。
开源许可证风险复杂,需考虑互惠性、引用方式、兼容性等因素
目前开源许可证超过2700多种,大致可分为五类:Strong Reciprocal(强互惠型)、Reciprocal(互惠型)、Weak Reciprocal(弱互惠型) 、Permissive(宽松型)、Unknown(未知型)。
针对开源代码的引用方式,一般划归为如下九类:Dynamically Linked(动态链接);Statically
Linked(静态链接);Source Code(源码);Separate Work(单独);Merely Aggregated(仅汇总);Implementation of Standard(标准实现);Prerequisite(前提条件);Dev. Tool/Excluded(开发工具/排除);Unspecified(未指明的/不确定)
开源合规指南|开源代码的引用方式分类表
结合开源许可证类型和开源代码引用方式,可动态梳理和判断许可证风险。例如,某许可证是属于强互惠型的许可证,且引用方式为Dynamically Linked(动态链接),那么在商业分发项目或SaaS项目中使用该开源代码就属于高风险。
开源合规指南|强互惠型许可证风险一览表
除此之外,如果想要把一个开源软件的代码组合到要发布的开源项目中,还需要参照开源许可证兼容性列表,具体可分为合并/修改代码、使用库两种方式。
开源合规指南|许可证兼容性列表(合并/修改代码)
企业开源合规风险防控需考虑多方面因素,并制定相应合规流程
基于以上开源风险,企业在进行开源合规风险防控时可考虑以下因素:
一是开源合规策略。
开源合规策略是一个由政策和制度、流程、工具和团队组成的框架,可帮助企业有效管理其与开源软件的所有交互(使用和贡献),从而实现最佳开源治理实践并防范开源合规风险。
二是开源合规流程。
开源合规流程有助于企业强化开源管理规范,确保使用、贡献、自研开源等各类开源实践的合法、合规、合理;有助于企业做好内外部开源布道,提升内部开源认知与教育,展现开源成果、打造开源社区影响力。
三是开源合规团队。
该团队由跨部门的成员组成,也是企业负责开源工作的重要组成部分。对于产品线众多的大型企业,开源合规团队可以考虑由核心团队和扩展团队构成。
四是开源合规工具。
开源合规团队需要使用多种工具来自动化及便利化开源代码的审核以及开源代码及其许可证的确认。
五是开源合规培训。
培训是合规计划的重要组成部分,能确保员工充分了解管理开源软件使用的政策。所有与软件相关的人员都需要了解公司的政策和程序。
企业在使用开源和对外开源时,需遵循如下合规流程:
开源合规指南|企业开源合规流程图
当企业使用开源软件时,其合规流程一般包括九个步骤:识别、审计、处理问题、审核、批准、流程记录、准备声明、发布声明及源码与发布后的验证。
当企业进行自发(发布)开源时,开源可能面临知识产权、数据保护、以及出口管制风险。因自发开源项目是对外披露的过程,自发开源项目可能触发违反开源许可证、版权权利瑕疵、专利侵权、商标侵权、数据安全(含隐私安全)、出口管制等风险。为保障自发(发布)开源项目合规,建议以企业名义发布的开源项目遵循相应的审批制度,并在项目发布前进行如下合规审批。其合规流程一般包括六个步骤:组件调查、组件来源审核、数据安全及隐私审核、出口管制审核(若需)、知识产权审核、声明审核与许可证选取。