开源界会否面临「华为之劫」？

近日，谷歌旗下安卓将对华为进行系统「封锁」的报道，给国内科技界投下了一枚震撼弹。「覆巢之下复有完卵乎」，一时间人人感到自危，尤其当大家发现，向来以「开源」著称的开源基金会及开源代码托管平台，实际上也受美国出口管理条例 ( Export Administration Regulation , EAR ) 管制，过去深信「开源无国界」的国内开发者们开始担心，类似的「封锁」事件也会在这个领域上演。

 

 

在 5 月 20 日的一篇《开源界也要注意，Apache 基金会与 GitHub 都受美国法律约束》文中，「开源中国」通过展示 Apache 软件基金会以及 GitHub 官网中涉及出口限制部分的内容，表示对开源项目在未来的「自由度」会否受到限制感到担忧。

 

 

Apache 软件基金会官网上的「产品出口须知」

 

 

Github 官网上的「出口管制规定」

文中指出，条款明确表明 GitHub Enterprise Server 不被允许出口至 EAR 限制清单中的国家，当中包括古巴、伊朗、朝鲜、苏丹和叙利亚：

「GitHub Enterprise Server may not be sold to, exported, or re-exported to any country listed in Country Group E:1 in Supplement No. 1 to part 740 of the EAR or to the Crimea region of Ukraine. This list currently contains Cuba, Iran, North Korea, Sudan & Syria, but is subject to change.」

「那几时突然再加进来一个中国呢?」「开源中国」在文中反问道。

开源项目受不受美国出口管制?

该文出来后，话题迅速发酵。其中，来自中科院计算所的包云岗研究员反应最为迅速，他立马组织人员开展调研，对 12 个知名开源基金会、6 个常用的开源协议、3 个代码托管平台进行了调研与分析，并向海外朋友进行咨询，最终得出以下结论：

♦ 开源基金会管理开源项目，但基金会的管理办法差异较大，而基金会旗下的开源项目也可以选择不同管理办法。例如：一、Linux 基金会自身的管理办法不受美国出口管制，所以旗下的项目包括 Linux Kernel 等默认遵循该管理办法，但虚拟化项目 Xen 明确说明遵循美国出口管制，就属于 Linux 基金会中的特例;二、Apache 基金会的管理办法明确说明遵循美国出口管制，所以它旗下所有项目如 Hadoop、Spark 都将受到出口管制。三、Mozilla 基金会明确声明遵守加州法律，出现各类纠纷将必须到 Santa Clara 的法庭裁决。

♦ 目前调研的开源许可协议族(GPL、LGPL、BSD、MIT、Mozilla、Apache 2.0)均未涉及与政府出口管制无关的声明。

♦ 目前调研的 3 个代码托管平台 GitHub、SourceForge、Google Code 均明确声明遵守美国出口管制条例，并按加州法律解决纠纷。

♦ 小结：

合理的开源基金会管理办法可以规避美国出口管制
开源协议与出口管制无关
代码托管平台是开源的最大风险

我们认为，如果单就平台/协议声明进行解读的话，一切依然存在模糊性。

 

 

截至下午 6 点为止，该条微博已获得 482 个转发与 150 个点赞

如果从美国出口管理条例入手解读，会不会对我们有更多启发?

在个人微博上，包云岗推荐了一篇由台湾开放文化基金会法制顾问、开源社法律咨询委员会成员林诚夏先生撰写的解读文章《专家解读：开源软件项目是否会被限制出口?》，我们对原文进行了不改变原义的总结：

根据美国出口管理条例 EAR 734.7 (a) 条款，只要符合「公开可及 (Publicly available)」定义的软件，就不在 EAR 的管制范围内，也就不需要申请相关许可。

注：Part 734 章节里的 734.7 对于何谓「公开可及 (§ 734.7 PUBLISHED ) 做了定义说明及例示，简要来说：「技术或软件已经是被一般公众可以接触，并不限及其后续散布者 ( when it has been made available to the public without restrictions upon its further dissemination)。

目前看来，这个解读基本上可以打消大部分人的顾虑，不过文中也强调一点：

EAR 734.7 (b) 说明「公开可及」的软件虽然不要取得许可，可一旦软件涉及加解密技术，申请许可就成为必要的流程。除非是这个加解密技术也是「公开可及」的，那么只需要向美国 BIS 汇报备查即可。

只要不涉及加解密技术，我们就安全了吗?

「开源中国」随后发布的一篇文章《所以 Apache 基金会不受美国法律约束?》指出，经过与同行专家讨论后，他们认为 Apache 软件基金会官网关于产品出口说明的内容「表达的含义其实模棱两可，充满了不确定性。」：

Therefore, U.S. export laws and regulations apply to our distributions and remain in force as products and technology are re-exported to different parties and places around the world.

美国的出口法律和法规适用于我们的分发，并且随着产品和技术再出口到不同的地方依旧保持有效。

再者，基金会的声明是否会直接影响项目的开源情况?两者之间究竟是一个什么样的关系?这些我们依然未有明确答案。

 

 

 

 

来自网友的解读

我们相信，这应该也是包云岗研究员在个人微博上呼吁「尽快建立已有托管平台在美国以外的镜像平台」的原因：

 

 

虽然这个建议受到一些网友的质疑：

 

 

无论如何，从长远来看，他认为「中国必须建立起自己的开源项目托管平台」，这个措施的必要性，相信是毋庸置疑的。

 

 

 

 

 

对于此事，你又是怎么看的?欢迎在下方留言与我们交流。

时间:2019-05-26 00:47  来源:    转发量:次