1. 開源是什么���?
開源一詞最初是指開源軟件(Open Source Software)���。開源軟件是可以獲取源代碼的計算機軟件���,用戶可以查看�、修改和分發他們認為合適的代碼[2]。
在開源軟件出現前�����,絕大多數的商業軟件都是專有或閉源軟件����,即源代碼處于保密或封閉狀態��,且嚴格限制用戶修改���、復制或分發軟件的權利��。彼時的軟件漏洞修復和功能更新只能由軟件公司完成,從而導致各類軟件的迭代與創新進度緩慢�����。在這種背景下����,樂于推動技術與軟件發展的開發者發起了自由軟件運動(Free Software Movement),隨著相關運動的不斷發展與壯大��,作為繼承“自由”理念和順應商業需要的結合體�����,開源軟件產生了�����。如今的開源軟件是指依據開源協議進行源代碼公開的計算機軟件,在開源協議中����,開源軟件的版權所有者可授予用戶查看�、修改�、復制并向他人分發開源軟件的權利。在很長一段時間內���,開源軟件都被貼上了“Free Software”的標簽����。“Free”一詞造成了大量困惑,人們會天然將其理解為免費的意思����,但實際上�,“Free”一詞代表可以“自由”使用����,而非免費使用。
就此,相關開源協議在協議條款中對該誤解進行了澄清����。例如����,GPL3.0協議包含以下聲明:“When we speak of free software, we are referring to freedom, not price.”由此可見����,“Free”是指公眾復制、修改和發行軟件的自由,而并非意味著免費����。實際上�����,開源軟件的開發商能夠利用開源軟件進行不同形式的盈利��,常見的盈利方式包括開源軟件許可����、提供技術服務、軟硬件結合售賣等,“免費軟件實際上可能比付費軟件更貴”[3]�。開源軟件允許用戶自由復制���、修改和分發開源代碼���,但有些情況下�,用戶在對開源代碼進行修改或者將其與自己開發后的軟件相結合后,將其封裝成閉源的商業產品進行銷售。這不僅損害了開源軟件貢獻者的權益,也與開源軟件的自由開放的初衷背道而馳。在此背景下��,開源許可證應運而生��,用來保護開源貢獻者的權益����,以保證開源軟件自由傳播的延續性�。
通常,開源軟件的權利人在發布該開源軟件時����,會根據需要選擇特定的開源許可證��,并要求該開源軟件的使用者按照該開源許可證所列出的條款進行后續的復制、修改和分發���。目前,較為常見的開源許可證多達20余種���,各開源許可證均根據不同的適用場景規定了不同的條款,例如LGPL許可證主要針對庫的使用�,AGPL許可證主要針對網絡服務�。
開源許可證的條款主要包括兩方面內容:一方面是規定開源軟件使用者的權利�,即,可以使用的范圍����,如復制、修改�、使用�����、分發等;另一方面是規定了開源軟件使用者應當承擔的義務�����,包括開放源代碼的義務�����、提供版權聲明的義務等��。
2. 開源許可證的法律性質
在我國的司法實踐中,一些司法案例和專業文章中���,傾向于認定開源許可證屬于附解除條件的著作權合同。例如:
● 羅盒vs.玩友一案[4]中��,廣州知識產權法院認定��,“GPLV3協議屬于附解除條件的著作權合同�����。許可條款是版權許可的條件,如果用戶違背條款規定���,那么許可的前提條件已不復存在,則GPLV3協議終止適用�����,用戶獲得的授權也將自動終止”�。
● 《開源協議適用范圍及其對軟件著作權侵權判定的影響》一文[5]中�����,最高人民法院羅瑞雪指出����,“開源協議是軟件著作權人將其復制權、發行權�����、修改權等附條件地許可給不特定公眾的著作權許可使用合同”�。
國外的司法實踐中也基本認可開源許可證的著作權許可合同屬性,例如:
● 德國Welte訴D-Link一案[6]中將GPL協議認定為附解除條件的合同��,其中許可使用條件為解除條件�����,當被許可人未按許可使用條件使用時�����,合同解除、終止授權,被許可人繼續使用則構成侵權。
● 在美國�����,雖然開源許可證的法律性質存在爭議����,但基本也都承認開源許可證具有著作權許可合同屬性。例如Jacobsen v. Katzer一案[7]中��,加州北區地區法院認為�,由于權利人通過開源項目提高了其知名度�����,可以被認為是開源許可證的對價���,因此構成許可協議�,超過許可證部分的使用構成著作權侵權�。
3. 開源許可證的分類
開源許可證通常被分為寬松式許可證(permissive license)和著佐權許可證(copyleft license)。常見的寬松式許可證包括MIT、BSD、Apache 2.0等�����,常見的著佐權許可證包括GPL V2.0/3.0���、AGPL����、SSPL、LGPL等�����。
開源許可證還可根據是否被OSI(Open Source Initiative 開放源代碼促進會)認可而進行分類��。常見的被OSI認可的許可證包括GPL V2.0/3.0��、Apache 2.0、MIT、BSD��、AGPL等��,未被OSI認可的許可證包括SSPL等��。
另外�,除了上述針對軟件的開源許可證,隨著近些年來人工智能����、云計算和大規模預訓練模型的迅猛發展����,也陸續產生了若干針對模型參數���、權重和數據的開源許可證并且越來越受到關注,例如�����,LLaMA LICENSE AGREEMENT�、BigScience RAIL License V1.0[8]等。
4. 開源許可證的傳染性條款
在開源許可證所規定的眾多條款中���,最受關注、也是對企業影響最大的可能就是傳染性條款��。傳染性條款是指使用某一許可證的開源軟件���,基于該開源軟件創作的后續作品的部分或全部都應當同樣進行開源�����。
在實踐中�����,企業往往會在開源軟件的基礎上,投入大量人力�����、物力來進行進一步開發���,生成與自身的服務或產品相關的定制化軟件��,這些后期開發的定制化部分則成為企業的核心競爭力,往往作為技術秘密來保護�。一方面���,如果按照傳染性條款的規定�,企業需要公開后期開發的源代碼�����,可能會導致企業失去競爭優勢�����,也可能導致企業提供的服務或產品受到第三方的惡意篡改和破壞;另一方面��,如果使用開源軟件的企業未遵循傳染性條款的要求公開軟件的源代碼�����,則可能引起開源合規問題或者導致著作權侵權�,使企業陷入兩難的境地�����。因此�����,對于企業來說��,在選擇使用某款開源軟件時�����,需要深入理解相應的開源許可證的要求,明確所需滿足的開源義務,并盡早制定應對策略����,以盡量滿足傳染性條款的要求����,同時對企業的核心代碼采取合理的保護措施����。
傳染性條款舉例:
● GPLv2許可證規定“將衍生自本程序或其任何部分的任何作品�,若進行任何發行或者發布����,則作為一個整體免費許可給所有第三方”。GPL僅對通過傳統模式分發代碼的行為進行了規制���,而沒有限制通過云服務使用開源軟件也需要滿足開源義務。因此����,AGPL彌補了這一漏洞����。
● AGPL規定“如果您對本程序進行了修改���,則需要向所有通過計算機網絡與本程序的修改版本進行遠程交互的用戶免費提供相應的源代碼”�����。
● 另外,針對類庫引用的LGPL許可證����、針對SaaS使用的SSPL許可證等��,也有相應的傳染性條款。由于開源軟件的專業性和復雜性���,涉及較為前沿的法律問題�����,國內外的司法實踐中涉及開源軟件的司法判例相對較少,使得在實際引入開源技術的過程中,企業往往易忽視開源合規的重要性���,從而給自身帶來知識產權法律風險。下文中將主要介紹使用開源軟件涉及的知識產權風險,以供企業了解和參考。
1. 著作權侵權風險
目前�����,涉及開源軟件的著作權侵權風險主要是由違反開源許可證要求而引發的����。如前文所述,開源軟件權利人在發布開源軟件時往往都選擇一個開源許可證�����,用于規定該開源軟件的使用范圍��、許可權利和許可義務��。從法律性質的角度���,開源許可證可以視為“附條件解除的著作權許可合同”[9]��。若用戶(也即開源軟件使用者)未遵循開源許可證要求提供源代碼�、安裝信息���、標注版權信息和修改聲明等�,則用戶違反了開源許可證的條件,將導致授權人與用戶之間的著作權許可合同自動解除��,用戶基于許可證獲得的許可即時終止[10]�。若用戶繼續使用相關開源軟件,則構成著作權侵權或違約[11]���。另外,若用戶在使用過程中違反了各開源許可證的兼容性要求��,也可能會因違反開源許可證而引發著作權侵權問題����。關于開源許可證的兼容問題,我們將在后續的文章中詳細論述�����。近年,國內外涌現出的涉及開源協議的司法判例�,主要以因違反許可證要求而引發的著作權侵權案件為主��。例如:● 羅盒vs.風靈一案[12]中,原告羅盒獨立開發了涉案軟件“羅盒”插件化框架虛擬引擎系統V1.0�����,并在GitHub上公開了涉案軟件的源代碼��,附加了LGPL3.0開源許可證�,后續又將許可證變更為GPL3.0�。被告風靈違反開源許可證的要求�,使用了附帶GPL3.0協議的開源代碼,卻拒不履行GPL3.0協議規定的使用條件����。因此�,深圳市中級人民法院認定“根據GPL3.0協議第8條自動終止授權的約定及《民法總則》第一百五十八條的規定�����,被告福建風靈公司通過該協議獲得的授權已因解除條件的成就而自動終止���。被告福建風靈公司對VirtualApp實施的復制���、修改����、發布等行為����,因失去權利來源而構成侵權”。● 羅盒vs.玩友一案[13]中����,被告玩友的被訴侵權軟件中使用了附帶GPL3.0協議的開源代碼����,卻未遵循許可證向用戶開放源代碼��,廣州知識產權法院認定被告玩友的上述行為違反了開源許可證�。對此�,權利人存在違約救濟和侵權救濟兩種方式。在原告羅盒主張侵權救濟的情況下����,廣州知識產權法院認定被告玩友的行為侵害了原告羅盒涉案軟件的信息網絡傳播權。● Artifex Software. Inc.訴Hancom, Inc.案[14]中,被告Hancom公司出售的Office軟件程序中��,使用了Artife公司所開發的附帶AGPL��、商業雙許可的Ghostscript工具���,卻未遵循許可證開放修改的源代碼����,也未支付商業許可費�。對此,Artifex將Hancom起訴至美國加利福尼亞北部地區法院,最終法院認定���,Hancom未獲得商業許可協議,視為其同意AGPL許可協議條款,認定被告既構成版權侵權���,也構成合同違約。● Free Software Foundation訴Cisco System, Inc.案[15]中,Cisco在其Linksys路由器的內置軟件中使用了基于GPL和LGPL的開源代碼,卻拒絕公開源代碼��。對此��,Free Software Foundation將Cisco訴至美國紐約南區聯邦地區法院��。最終雙方達成和解,Cisco支付一筆費用并且承諾公開源代碼。除了因違反開源許可證而引發著作權侵權的情形之外,有些專業文章也提到了因開源軟件本身含有侵權代碼而導致后續使用行為亦構成侵權的情形[16]。具體來說��,對于開源軟件來說�,參與開發的貢獻者往往人數眾多。由于開源軟件的發布并未要求貢獻者只能上傳其享有權利的代碼����,且貢獻者也不承擔瑕疵擔保責任以及保留著作權標記��。因此���,實踐中,一個開源軟件中可能會存在部分侵權代碼,例如從第三方不當獲取并披露的代碼�����,這種情形下����,即使用戶完全遵循開源許可證的要求,可能導致侵犯第三方著作權的責任。目前,筆者并未發現有代表性的權威司法判例,故此處僅簡單介紹�,并不做深入探討���。2. 專利侵權風險
使用開源軟件的專利侵權風險主要包括來自開源軟件權利人的專利侵權風險和來自第三方專利權人的專利侵權風險[17]�����。來自開源軟件權利人的專利侵權風險指的是,開源軟件的著作權權利人同時持有某項專利�,且該專利所保護的技術方案可以通過運行相應開源軟件而實現�����。這種情況下,開源軟件的權利人也可能依據該專利向開源使用者發起專利侵權訴訟�,即便開源軟件使用者遵循開源許可證的要求而不構成著作權侵權��。例如,部分開源許可證(如BSD����、MIT等)沒有相關的專利條款��,也即沒有強制授予專利許可和禁止提起專利主張的條款,開源軟件權利人可以向開源代碼使用者提起專利訴訟并收取專利許可費��。來自第三方專利權人的專利侵權風險指的是����,第三方專利權人,其并不是開源軟件的貢獻者,不受開源許可證的約束��,依據其持有的專利向開源使用者發起專利侵權訴訟��。例如,2010年3月美國蘋果公司訴HTC案中�,蘋果公司在美國特拉華聯邦地區法院分別以兩份訴狀���,起訴HTC基于安卓操作系統的手機侵犯其專利權���,涉案專利共計22件��,包括手機的使用界面、系統基礎架構及硬件等技術�����。2012年11月�,HTC和蘋果公司達成全球性和解,撤銷當前所有訴訟�����,并簽署為期10年的許可協議[18]�����。3. 商標侵權風險
使用開源軟件的商標侵權風險主要包括假冒和反向假冒兩種�。假冒�����,指的是開源軟件的使用者未經授權擅自使用開源軟件權利人的商標進行宣傳��,導致商標侵權。與著作權和專利不同的是�,大部分開源許可證不會授予開源軟件使用者商標許可[19]����。因此�,若開源軟件的使用者未經許可使用開源軟件權利人的商標,可能導致商標侵權風險����。反向假冒�����,指的是開源軟件使用者未經權利人同意擅自用自己的商標替換權利人的商標,導致商標侵權�����。具體而言�,實踐中,許多企業意圖避免商標假冒帶來的侵權糾紛��,簡單地去掉開源軟件中權利人的商標��,加上自己的商標集成到新發布的版本中���,這可能導致反向假冒的商標侵權��。4. 商業秘密泄露風險
如上所述,涉及開源軟件的商業秘密風險,主要是指受開源許可證傳染性條款的影響�����,用戶為了不違反開源許可證而被迫公開其后期開發的源代碼[20]�����,而這些后期開發的源代碼滿足秘密性���、保密性和價值性的要求,原本是可以作為商業秘密保護的。常見的傳染性較強的開源許可證包括:GPL V2.0/3.0, AGPL, SSPL等����。在實踐中�����,當開源軟件的權利人發現用戶違背開源許可證的要求未公開源代碼時,可能會通過發送律師函、在公開渠道進行指責或直接向法院起訴的方式�,要求用戶公開源代碼[21]���。此外����,開源軟件的使用者也可能因開源軟件自身的技術缺陷[22]����,導致自己的商業秘密被泄露。如前文所述���,對于開源軟件來說,參與開發的貢獻者往往人數眾多,且貢獻者并不承擔瑕疵擔保責任。因此��,開源軟件中可能存在惡意代碼���、電腦病毒�����、安全漏洞等����。若用戶引入了上述開源軟件��,需要對該軟件進行安全性測試,以避免因開源軟件的技術缺陷而產生的商業秘密泄露風險���。另外,在實踐中����,企業的員工擅自將含有后期開發的代碼上傳到共享網盤����、開源社區的情況也屢見不鮮,也會導致商業秘密泄露[23]����。因此����,建議企業對其開發的代碼加強保護以及對能夠接觸到代碼的相關人員進行培訓和監督�。
十四五規劃中提出“加快繁榮開源生態、建設開源社區……培育重點開源項目,例如互聯網����、云計算��、大數據、人工智能、自動駕駛�����、區塊鏈��、操作系統等領域”�,開源技術的重要價值日漸凸顯��。
然而���,開源軟件本身的專業性和復雜性,且其所涉及的法律問題較為前沿����,相關法律法規的出臺存在滯后性�����,我國的司法案例相對較少,許多企業對開源軟件的法律風險缺乏足夠認識����,在使用開源軟件的過程中未對開源合規問題予以足夠重視���,加之國際形勢的影響�,國內外開源軟件開發商對國內企業提起的維權行動越來越多�����,尤其在企業融資�����、IPO上市的關鍵時機,給企業帶來巨大損失�����。與其亡羊補牢����,不如未雨綢繆。筆者希望可以通過本文��,幫助企業更好的了解使用開源軟件的注意要點及相關法律風險���,以盡早制定合規策略���,及時進行合規核查和整改�。我們將在后續的文章中持續介紹開源許可證的類型�、具體內容、重點條款解析、典型法律問題、并為企業提供合規建議和指引����。
[1] 中國工業和信息化部:《“十四五”軟件和信息技術服務業發展規劃》��,2021.11.15
[2] RedHat:《什么是開源》��,2019.10.24,https://www.redhat.com/en/topics/open-source/what-is-open-source
[3] 同2
[4] (2019)粵73知民初207號民事判決書
[5] 羅瑞雪:《開源協議適用范圍及其對軟件著作權侵權判定的影響》����,載于《中國版權》��,2020(5),第89-93頁
注:羅瑞雪是(2019)最高法知民終663號�����,北京閃亮時尚與不亂買電子商務二審案件的法官助理
[6] 同5
[7] Robert Jacobsen v. Matthew Katzer, Kamind Associates, Inc. 535 F. 3d 1373 (2nd Cir. 2008)
[8] https://huggingface.co/bigscience/bloom-7b1/blob/main/LICENSE [10] (2019)粵03民初3928號民事判決書�����,《中華人民共和國民法總則》 第一百五十八條【附條件的民事法律行為】民事法律行為可以附條件��,但是按照其性質不得附條件的除外。附生效條件的民事法律行為����,自條件成就時生效�����。附解除條件的民事法律行為����,自條件成就時失效[14] Artifex Software. Inc. v. Hancom, Inc. No. 16-cv-06982-JSC, 2017 U.S. Dist. LEXIS 62815, Doc. 32 (N.D. Cal. Apr. 25, 2017)[15] Free Software Foundation, Inc. v. Cisco Systems, Inc. No.1:08-cv-10764 (S.D.N.Y. filed Dec. 11, 2008, settled May 20, 2009)[16] Ville Oksanen, Aalto University, How to Manage IPR Infringement Risks in Open Source Development? January 2005, https://www.researchgate.net/publication/228986317_How_to_Manage_IPR_Infringement_Risks_in_Open_Source_Development [17] Dr. Kalyan and Ms. Vintee, Open Source Software and Patent Risks, November 8, 2009, https://www.bananaip.com/ip-news-center/open-source-software-patent-risks/ [18] Apple Sues HTC for Patent Infringement, March 2, 2010, https://www.apple.com/newsroom/2010/03/02Apple-Sues-HTC-for-Patent-Infringement/ Apple and HTC end patent battle, Financier Worldwide Magazine, January 2013, https://www.financierworldwide.com/apple-and-htc-end-patent-battle Nilay Patel, Apple vs HTC: a patent breakdown, Jul 20, 2019, https://www.engadget.com/2010-03-02-apple-vs-htc-a-patent-breakdown.html [19] Heather J. Meeker, The Open Source Alternative: Understanding Risks and Leveraging Opportunities, ISBN: 978-0-470-25581-0, May 2008[20] Brent A. Cossrow, Open Source, Hidden Exposure, Risk Management, February 1, 2010, http://www.rmmagazine.com/articles/article/2010/02/01/-Open-Source-Hidden-Exposure- [21] 例如,某國內著名電子書廠商被指拒絕公開源碼�,違反GPL V2協議���,https://www.reddit.com/r/Onyx_Boox/comments/p9ztru/lets_help_onyx_become_a_better_company/?rdt=40280[22] Alberto Pianon, Trade Secret Vs. Open Source: And the Winner is…, Erasmus Law and Economics Review 1 (February 2004): 47–75[23] 中國信通院:《開源合規指南》�,2022-5
