中国开放指令生态（RISC-V）联盟：开源项目风险分析与对策建议（44页）.pdf

1、开源项目风险分析与对策建议 报告解读 CRVA联盟秘书处 中科院计算所 2019.6 开源项目总览 开源基金会 开源许可证托管平台 贡献者 用户 开源项目 依赖关系 项目声明 开源信息流动 内容 法律约束 国际开源组织 国内开源现状 三种约束 1. 出口管制（Export Control） 商品出口 2. 司法管辖权（Jurisdiction） 商业纠纷 3. 开源许可证（License） 知识产权 约束1：出口管制 国家出于政治、经济、军事和对外政策的需要，制定的商品 出口的法律和规章，以对出口国别和出口商品实行控制 美国出口管制条例（EAR，Export Administration Re

2、gulations） 主要规定是否能从美国出口货物到外国，以及是否可以从外国“再 出口（re-export）”到另一个外国 按照EAR 的规定（734.7b 和742.15b）：所有“公开可获得 （publicly available）”的源代码（不含加密软件以及带加 密功能的其他开源软件），都不被出口管制 “公开可获得”的带加密功能的源代码，被出口管制，但不 会被限制出口，需提前登记备案（5D002） 默认情况 vs. 潜在风险 默认情况：开源项目（除含加密功能的开源项目需 备案外），都属于“公开可获得”的代码，可以正 常使用 极端情况下的潜在风险：如果一个开源项目或开源 组织声明遵从美国的

3、出口管制条例，一旦美国修改 EAR，将高性能软件、EDA软件等一些核心基础软 件加入到管制中并且将目前“备案即不被管制”修 改为“备案且需要被管制”，那就意味着大量核心 开源项目将受到出口管制 2018年11月，美国BIS曾就AI和机器学习等新兴技术是否 加入管制名单征求公众意见（后未果） 美国出口管制条例修改频繁 根据美国政府的需要，EAR可随时被修改 事实上，美国也一直频频修改EAR https:/www.bis.doc.gov/index.php/regulations/export-administration-regulations-ear 软件源码 vs. 美国出口管制条例 经典案

4、例 案例1：1995年Junger vs. US Department of State1 大学教授Junger要在课上为学生讲述技术相关的法 律，其中有关于软件加密的技术，但听课的学生中有 外国留学生，因此也落入了出口管制限制的范围，并 且面临百万美金巨额罚款和最高10年刑期的诉讼 案例2：1996年Bernstein vs. US Department of Justice2 学生Bernstein是为了公开发表自己发明的加密算法 论文，并且希望可以公开的、不受限制的参加学术会 议讨论他的算法 1 https:/www.eff.org/cases/junger-v-dept-state 2

5、 https:/www.eff.org/cases/bernstein-v-us-dept-justice 诉讼观点 vs. 美国法院最终判决 诉讼人观点：软件源代码应该是一种言论自由， 并且应该受宪法第一修正案保护 美国法院最终判决：软件源代码是言论自由，受 宪法第一修正案的保护；美国政府不能试图限制 软件源码流通 对开源软件代码的影响：美国政府没有能力对软 件源代码实施禁运 思考：诉讼人如果不是美国公民，美国法院会如 何判决？ 案例总结 美国宪法：开源 = 言论自由，受宪法保护 PGP开源加密算法案例中，美国教授胜诉 但美国宪法保护的是美国公民 中美关系冲突时，国家利益高于一切 美国宪法并

6、不会保护中国公民和企业的利益 约束2：司法管辖权 司法管辖权又称为审判权，是指法院或司法机构 对诉讼进行裁决和判决的权力 使用网站或注册会员时，如果其使用条款 （Terms of Use）或会员条款（Membership Agreement）中指定了司法管辖权的归属，则 代表合同双方同意只承认指定的司法机关做出的 判决为赔偿的依据 默认情况 vs. 潜在风险 默认情况：在无侵犯知识产权等商业纠纷时，不 触发司法行动 极端情况下的潜在风险：如果一个开源项目或开 源组织指定了司法管辖权归属于美国某法院，那 么所有围绕使用条款展开的纠纷，都将以该美国 法院的判决为准。 约束3：开源许可证 开源许可证