倪光南：华为出口管制后：开源项目风险分析与对策建议报告

1、目录 HYPERLINK l _bookmark0 前言1 HYPERLINK l _bookmark1 法律约束3 HYPERLINK l _bookmark2 出口管（ExportControl）3 HYPERLINK l _bookmark3 司法管权（Jurisdiction）3 HYPERLINK l _bookmark4 开源许证（License）4 HYPERLINK l _bookmark5 三者之的关系4 HYPERLINK l _bookmark6 对商业教育不同的影响5 HYPERLINK l _bookmark7 国际开组织项目6 HYPERLINK l _bookma

2、rk8 开源基会6 HYPERLINK l _bookmark9 开源许证6 HYPERLINK l _bookmark10 代码托平台7 HYPERLINK l _bookmark11 国内开现状9 HYPERLINK l _bookmark12 开源力和开组织9 HYPERLINK l _bookmark13 代码托平台开源证10 HYPERLINK l _bookmark14 总结和议11 HYPERLINK l _bookmark15 附表1：源基会&织列表12 HYPERLINK l _bookmark16 附表2：源许证列表14 HYPERLINK l _bookmark17 附表

3、3：码托平台14 HYPERLINK l _bookmark18 参考文献15 HYPERLINK l _bookmark19 联盟介绍16致谢18前言开源，是指源代码、文档等设计内容开放的开发模式，其版权由开源协议定义。开源用户可依据开源协议自由获取设计内容并根据需求自行修改。开源的主要要素包括开源基金会、开源许可证、开源项目、开源代码托管平台等（1）。当前，绝大多数开源基金会和开源项目都位于美国，几乎所有开源许可证和代码托管平台也都由美国的学术界和工业界主 导。因此，主导的开源许可证、或存放于美国代码托管平台上的开源项目是否会受到美国依赖关系开源信息流动用户依赖关系开源信息流动用户贡献者开

4、源项目托管平台开源许可证开源基金会项目声明图 1 开源要素关系图本报告针对上述问题开展了调研，分析了美国出口管制（Export Control） 条款、司法管辖权（Jurisdiction）、开源许可证（License）的作用范围以及相互之间的关系，进一步具体分析了 12 个知名开源基金会、6 个常用的开源许可证与 3 个代码托管平台受美国法律的影响，得到以下三点结论与建议：合理的开源基金会管理办法可以规避美国出口管制。选择开源项目时身的声明、所用的开源许可证声明。开源许可证关联的是知识产权（版权），与出口管制无关。现有常用开源许可证并没有在知识产权层面上对中国进行管制，但不排除未来会出现将使

5、用范围限定在美国的开源许可证的可能。GitHub 法律，因此代码托管平台同时受出口管制和司法管辖权的限制，是最大的风险。长远来看，中国必须建立开源项目托管平台，并以更开放的方式吸引全世界的开源爱好者。IT 企业受益于开源软件， 但多数仍以使用开源软件为主，只有少数企业积极主导或参与开源项目，但呈GitHub 国际知名托管平台差距甚大，亟需加强。法律约束开源相关的法律约束涉及三类，即出口管制、司法管辖权与开源许可证。出口管制（ExportControl）国家出于政治、经济、军事和对外政策的需要，制定的商品出口的法律和规章，以对出口国别和出口商品实行控制。美国的出口管制条例（EAR，Export

6、Administration Regulations）EAR 的规定（734.7b 742.15b），所有“公开可获得（publiclyavailable）”的源代码（不含加密软件以及带加密功能的其他开源软件），都是不被出口管制的。而“公开可获得”的带加密功能的源代码，虽不会被限制出口，但需登记备案（5D002） 12，这也就是 ASF 网站上的 ASF Product Classification Matrix 3的由来。默认情况：开源项目（除含加密功能的开源项目需备案外），都属于“公开可获得”的代码，可以正常使用。极端情况下的潜在风险EAR，将高性能软件、EDA 11 BIS AI 和机器

7、学习等新兴技术是否加入管制名单征求公众意见13），ASF 几乎所有开源项目），修改为“备案且需要被管制”，那就意味着大量核心开源项目将受到出口管制。（Jurisdiction）权力4。使用网站或注册会员时，如果其使用条款（Termsof Use）或会员条款（MembershipAgreement）极端情况下的潜在风险：如果一个开源项目或开源组织指定了司法管辖权归属于美国某法院，那么所有围绕使用条款展开的纠纷，都将以该美国法院的判决为准。开源许可证（License）开源许可证属于软件许可证的一种，而软件许可证是一种具有法律性质的合同或指导，目的在于规范受著作权保护的软件的使用或散布行为5-6BS

8、D、MIT、GPL MPL 1.1护的是知识产权，其自身与出口管制和司法管辖权并无关联。默认情况：开源许可证的作用为保护知识产权，不涉及其他的国家法律层面的条款（如出口管制、司法管辖权等。极端情况下的潜在风险： 如果美国 NSF、NASA 以国防安全为由，制定一个新的开源许可证，限制其资助的所有开源项目只能在美国使用和发布，则美国以外的其他国家将失去这部分开源项目的使用权。国内公司一旦使用，就会侵犯知识产权。三者之间的关系1方面界定了不同的法律约束。表 1. 法律约束总结出口管制司法管辖权开源许可证效力范围商品出口商业纠纷知识产权默认情况对开源项目出口管制无（含加密功能需备案）无无极端情况潜在

9、风险可管制开源项目由指定美国法院裁决侵犯知识产权出现难度需修改出口管制条例出现纠纷制定新开源许可证对商业和教育等不同用户的影响从出口管制的角度，美国的制裁针对的主要是“商业行为”，目前尚未发现对教育和学术有明确影响；从知识产权（亦即开源许可证）的角度，部分许可证会区分商业和教育用途，目前尚未发现明确变化。国际开源组织与项目一个完整的生态包含开源基金会（组织）、开源项目、开源许可证和代码托管平台等多方面要素，它们各自的条款声明和受到的法律制约都不尽相同。开源基金会开源基金会管理开源项目，但基金会的管理办法差异较大，而基金会旗下的开源项目也可以选择不同管理办法。详细内容请见文末附表 1。举例：Li

10、nux 7，LinuxKernel Xen 明确要求其使用并出口者遵循美国出口管制8，Linux 基金会中的特例；Apache Hadoop、Spark 等，在备案（5D002）3；Mozilla 基金会声明司法管辖权，只是表示出现各类SantaClara 的法庭裁决为准9。如前所述，这并不表示其管理的开源项目默认受到出口管制。RISC-V Linux RISC-V RISC-V 开放指令集标准并不会受美国出口管制。值得注意的是，RISC-V 基金会的会员条款中也指明了其司法管辖权在美国特拉华州17。根据前述司法管辖权与出口管制的关系，RISC-V 基金会声明司法管辖权，表示所有围绕会员条款产

11、生的纠纷都将交由指定法庭裁决，但并不表示其管理的开源项目默认受到出口管制。开源许可证报告调研了 6 个开源许可证，即 GPL、LGPL、BSD、MIT、Mozilla、Apache，均未涉及与政府出口管制无关的声明。详细内容请见文末附表 2.代码托管平台3GitHub、SourceForge Google Code。该三个平台均明确声明遵守美国出口管制条例，并且司法管辖权均在加州（需按加州法律解决纠纷）3。以 GitHub 为例，GitHub 明确声明其 GitHub Enterprise Server 是被出口管制，不能出口到被制裁国家（如伊朗等）的。至于 GitHub 网站的普通功能，由于

12、架设在美国的 GitHub 服务器的上传和下载的行为都需要遵从出口管制和美国法律，所以其正常使用是可能会被管制的。亦即，GitHub 上的开源项目代码在遵守项目自身的开源许可证的同时, 也可能作为 GitHub 上的信息（Information）遵从出口管制和美国法律18。表面上看，这两者在是否受到出口管制这一问题上会有一定的矛盾，但根据前文介绍的司法管辖权，最终如何解读取决于美国法院的判决。华为也很可能在此次“实体名单”事件中因为GitHub 因素使其访问开源项目受到影响。日前，报告作者通过跟一名伊朗的大学教授邮件咨询得知，GitHub 的访问和使用功能在伊朗目前是可用的，但不排除 GitH

13、ub 有在将来限制伊朗访问的可能性。开源项目如何规避出口管制风险？存在四种情况，但都需要开源项目发起人或开发者支持与配合：GitHub GitHub GitHub 项目不受美国出口管制；GitHub 的开源项目，若发起人本地拥有副本，且未从GitHub GitHub 息,那么从美国以外的托管平台获取开源项目不受美国出口管制；GitHub 同时创建项目，且开发者分别独立提交更新到美国以外的托管平台与GitHub，且开发过程中不从 GitHub 下载任何信息，那么从美国以外的托管平台获取开源项目不受美国出口管制；对于新启动的开源项目，发起者可直接在美国以外的托管平台创建项 受美国出口管制。国内开源

14、现状开源力量和开源组织近年来，国内开源社区对国际开源项目的贡献已经日趋瞩目，以华为、阿里、百度、腾讯等公司为首的公司和个人已经在国际各开源项目中占据了越来越重要的角色1011Linux Kernel5.1 patch 2GitHub 九、十二和十五15(3国内的开源组织也正逐渐走上舞台，例如倡导发展开源芯片的中国开放指令生态（RISC-V）RISC-V 产业联盟，致力于开源软件的中国开源软件推进联盟，关注开源人工智能等的新一代人工智能产业技术创新战略联盟， 4.0 的开源工业互联网联盟，着力于云计算行业的云计算开源产业联盟和中国开源云联盟等，都彰显了国内开源社区蓬勃的生命力。图 2 华为在 L

15、inux Kernel 5.1 中的 patch 提交数量位居全球第五14图 3 阿里、腾讯和百度在 GitHub 上的贡献分列全球第九、十二和十五 15代码托管平台和开源许可证中国开源项目托管平台仍处于起步阶段，与 GitHub 等国际知名托管平台差距甚大，亟需加强。近年来，托管平台也受到越来越重视。国内的开源代码托管平台，如 openI 启智平台16和开源中国的码云12等，展示出不凡的潜力。如 openI 启智平台提供代码托管服务，并建立了开源社区，积极促进人工智能领域的软硬件开源。openI 1.1”，也说明了国内对开源项目的知识产权意识正在逐步增强，为将来发展国内主导的开源项目奠定了良

16、好的基础。总结和建议综上，本报告总结如下：其一，合理的开源基金会管理办法可以规避美国出口管制。选择开源项目时务必要同时仔细阅读三个声明：所属开源基金会的声明，项目本身的声明， 所用的开源许可证声明。其二，开源许可证关联的是知识产权（版权），与出口管制无关。现有常用开源许可证并没有在知识产权层面上对中国进行管制，但不排除未来会出现将使用范围限定在美国的开源许可证的可能。其三，代码托管平台同时受出口管制和司法管辖权的限制，是开源最大的风险，因为现有 GitHub 等平台是默认同意遵守美国的出口管制条例和美国法律的。 在开源项目发起人与开发者的支持和配合下，一部分开源项目有可能规避托管平台带来的出口

17、管制。但从长远来看，中国必须建立起自己的开源项目托管平台，发展自身的开源力量，并以更开放的方式吸引全世界的开源爱好者。此次“危机”折射出的是国内工业界和学术界对国外开源软件的依赖，一旦美国在法律层面上限制开源项目的使用范围，即使仅对部分核心开源软件进行限制，也会对国内各界产生釜底抽薪式的影响。因此，提倡和发展不受美国出口管制和司法管辖权限制的开源项目，完善中国自己的开源社区与托管平台等开源基础设施，才能更好地解决这个问题。如何探索发展更加开放和自由的开源社区，也将是未来开源各界需要重点思考的问题。附表 1：开源基金会&组织列表名称分类代表项目相关法律声明备注(辅助材料、链接等)自由软件基金会(

18、FSF)Gnome、GCC 等未见相关说明https: HYPERLINK /licensing/ /www.f HYPERLINK /licensing/ /licensing/Free Software Foundation各项目不一致，如Xen: It is your obligation as the exporter to comply with the current applicable requirements of United States export rules and regulations. HYPERLINK /about-us/ /about-us/Ceph:

19、Jurisdiction. You agree that any action at law or in equity arising out of or relating to these Terms or the Service shall be filed only in the state or federal courts in and for the County and State of Los Angeles, California and you hereby consent and submit to the personal and exclusive jurisdict

20、ion and venue of such courts for the purposes of litigating any such action. HYPERLINK /legal/terms-of-service/ /legal/terms-of-service/openvSwitch 未见相关Linux 基金会Linux Kernel 等说明；Xen 要求其使用并出口者遵守美国出口管制；Ceph 的司法管辖权在美国加州软件自由保护组织软件BusyBox、Git+未见相关说明/about/Software Freedom ConservancyWine、BoostApache 软件基金

21、会(ASF)Apache Software FoundationHadoop、Spark需遵守美国出口管制Therefore, U.S. export laws and regulations apply to our distributions and remain in force as products and technology are re-exported to different parties and places around the world. HYPERLINK /licenses/exports/ /licenses/exports/Mozilla 基金会Firef

22、ox Thunderbird无出口相关说明；但司法管辖权在美国加州The Communications and these Terms are governed by the laws of the state of California, U.S.A., excluding its conflict of law provisions. All claims and disputes arising out of the Communications or these Terms shall be brought exclusively in the courts of Santa Clar

23、a County, California, and you consent to personal jurisdiction in those courts. HYPERLINK /en-US/about/legal/terms/mozilla/ /en- HYPERLINK /en-US/about/legal/terms/mozilla/ US/about/legal/terms/mozilla/Python 软件基金会Pythonpythonpython 口管制Individuals and organizations are advised that the PyPI website

24、is hosted in the US, with mirrors in several countries outside the US(see HYPERLINK / /). Any uploads of packages must comply with United States export controls under the Export Administration Regulations. HYPERLINK /about/legal/ /about/legal/Eclipse 基金会Eclipse 相关未见相关说明https: HYPERLINK /legal/termso

25、fuse.php / HYPERLINK /legal/termsofuse.php /legal/termsofuse.phpOpenStack 基金会OpenStack未见相关说明https: HYPERLINK / /www.openstack.o HYPERLINK / rgOpen Networking 基金会OpenFlow未见相关说明https: HYPERLINK / /www.opennetwork HYPERLINK / RISC-V 基金会硬件RISC-V会员条款中说明：司法管辖权在美国特拉华州Governing Law. All matters arising from

26、 or relating to or in connection with this Agreement will be governed by and construed under, and the legalrelations among the parties hereto will be determined in accordance with, the laws of the State of Delaware, USA, excluding conflict-of-law principles that would cause the application of the la

27、ws of any other jurisdiction. HYPERLINK /wp-content/uploads/2016/01/RISC-V-Foundation-Membership-Agreement-8Dec2016.pdf /wp-content/uploads/2016/01/RISC- HYPERLINK /wp-content/uploads/2016/01/RISC-V-Foundation-Membership-Agreement-8Dec2016.pdf V-Foundation-Membership-Agreement-8Dec2016.pdfHSA 基金会需遵守

28、美国出口管制； 司法管辖权在美国德州You may not use or export the Materials in violation of the export laws and regulations of the United States of America or of any other applicable jurisdiction. Any claim relating to the Materials shall be governed by theinternal substantive laws of the of United ofAmerica. HYPERLI

29、NK /legal/ /legal/Free and Open Source Silicon基金会OpenCores(libreCores)未见相关说明附表 2：开源许可证列表名称分类相关法律声明备注(辅助材料、链接等)GPL开源许可证未见相关说明https: HYPERLINK /licenses/gpl-3.0.en.html /lic HYPERLINK /licenses/gpl-3.0.en.html enses/gpl- HYPERLINK /licenses/gpl-3.0.en.html 3.0.en.htmlLGPL未见相关说明https: HYPERLINK /licens

30、es/lgpl-3.0.en.html /lic HYPERLINK /licenses/lgpl-3.0.en.html enses/lgpl- HYPERLINK /licenses/lgpl-3.0.en.html 3.0.en.htmlBSD未见相关说明 HYPERLINK /bsdlicense.html /bsdlicense.htmlMIT未见相关说明/licenses/mit-license.phpMozilla未见相关说明https: HYPERLINK /en-US/MPL/2.0/ / HYPERLINK /en-US/MPL/2.0/ /en- HYPERLINK /e

31、n-US/MPL/2.0/ US/MPL/2.0/Apache未见相关说明https: HYPERLINK /licenses/LICENSE-2.0 / HYPERLINK /licenses/LICENSE-2.0 licenses/LICENSE- HYPERLINK /licenses/LICENSE-2.0 2.0附表 3：代码托管平台名称分类相关法律声明备注(辅助材料、链接等)GitHub代码托管需遵守美国出口管制；且司法管辖权在美国加州【 the Website or the Service are governed by the federal laws of the Unit

32、ed States of America and the laws of the State of California, without regard to conflict of law provisions.】 HYPERLINK /en/articles/github-terms-of-service /en/articles/github-terms-of-service【GitH, GitHub Enterprise Server, and the information you upload to either product may be subject to US expor

33、t control laws, including U.S. Export Administration Regulations (the EAR).】 HYPERLINK /en/articles/github-and-export-controls /en/articles/github-and-export-controlsSourceForge需遵守美国出口管制；且司法管辖权在美国加州For users posting on S, you are aware that certain postings of open source encryption code are control

34、led under U.S. Export Control Classification Number (ECCN) 5D002, License Exemption TSU, which requires notice prior to export by email to the U.S. government. HYPERLINK /terms-of-use/ /terms-of-use/Google code需遵守美国出口管制；且司法管辖权在美国加州【The laws of California, U.S.A., excluding Californias conflict of la

35、ws rules, will apply to any disputes arising out of or relating to these terms or the Services. All claims arising out of or relating to theseterms or the Services will be litigated exclusively in the federal or state courts of Santa Clara County,California, USAand you and Google consent to personal

36、 jurisdiction in those courts.use our Services only as permitted by including applicable export and re-export control laws andregulations. We may suspend or stop providing our Services to you if you do not comply with our terms or policies or if we are investigating suspected misconduct.】 HYPERLINK

37、/terms?hl=en&toc-liability /terms?hl=en#toc-liability参考文献 HYPERLINK /topic/61000000611/8.HTML /topic/61000000611/8.HTML（EAR）https:/ HYPERLINK /index.php/regulations/export-administration-regulations-ear /index.php/regulations/export-administration-regulations-earApache HYPERLINK /licenses/exports/ /

38、licenses/exports/ HYPERLINK /wiki/鍙告硶绠絼娆 /wiki/BSD HYPERLINK /wiki/BSD璁稿彲璇 /wiki/BSD HYPERLINK /wiki/杞欢璁稿彲璇 /wiki/Linux HYPERLINK /terms /termsXen HYPERLINK /about-us/ /about-us/Mozilla HYPERLINK /en-US/about/legal/terms/mozilla/ /en-US/about/legal/terms/mozilla/2018 HYPERLINK /article-10138-1.html /article-10138-1.htmlhttps:/ HYPERLINK /article/G4O6JUhJF /article/G4O6JUhJF*Tsv9eWM0L6码云. HYPERLINK / AI14 HYPERLINK /dQCFKyQDXYm3F8rB0/article/details/8427020