歡迎光臨
每天分享高質量文章

專家解讀:開源軟體專案是否會被限制出口?

最近 Google 谷歌中止與華為業務往來的事情引起了軒然大波。
作者/來源:開源社 / 林誠夏, Ted Liu, 莊表偉

前言

最近 Google 谷歌中止與華為業務往來的事情引起了軒然大波。

開源社法律諮詢委員會成員,OIN 專利聯盟亞太許可總監黃鴻文先生指出主要的衝擊是 Google 不對華為 GMS(Google Mobile Services)認證,與安卓開源專案Android Open Soure Project(AOSP)無關。歐盟禁止 Google 服務捆綁,但是 GMS 下的服務可以使用者自己安裝。一旦沒有 GMS 認證,連安裝都有困難。

InfoQ:谷歌中止與華為業務往來,華為自研手機 OS 也要一夜“轉正”?

InfoQ 發表了一篇文章引起了廣泛討論,其中關於 Apache 軟體基金會專案也會遭到限制出口的論點我們認為有誤,在此拋磚引玉提出我們認為正確的觀點。

文中指出:

據路透社的最新報道,谷歌已經暫停與華為的業務知情人士表示:這意味著華為只能使用安卓的公開版本,無法訪問來自谷歌的專有應用程式和服務”,包括但不限於 Play Store 、Gmail 和 YouTube 。

趙鈺瑩,公眾號:InfoQ谷歌中止與華為業務往來,華為自研手機OS也要一夜“轉正”?

而在該文結束語裡提到了:

一紙禁令雖無法阻止華為繼續使用開源安卓技術,但還是為國產手機作業系統的研發敲響了警鐘。目前,國內具備完全自主研發能力的廠商十分有限,無論是硬體層面還是軟體層面,大部分都是基於開原始碼進行改進,但要知道即便是最為廣泛使用的 Apache 協議依舊在其官網明確表態:

趙鈺瑩,公眾號:InfoQ谷歌中止與華為業務往來,華為自研手機OS也要一夜“轉正”?
” U.S. export laws and regulations apply to our distributions and remain in force as products and technology are re-exported to different parties and places around the world. 美國的出口法律和法規適用於我們( Apache )的發行版,並且隨著產品和技術再出口到不同的地方依舊保持有效。

趙鈺瑩,公眾號:InfoQ谷歌中止與華為業務往來,華為自研手機OS也要一夜“轉正”?
這意味著,除非經美國政府正式授權,否則 ASF 軟體或技術不得直接或間接出口 / 再出口到受美國禁運或貿易製裁的任何目的地,國產自研技術需要更多“科技自立”的中國科技公司站出來並有所作為。

趙鈺瑩,公眾號:InfoQ谷歌中止與華為業務往來,華為自研手機OS也要一夜“轉正”?

而開源中國也發表了類似的文章《開源界也要註意,Apache 基金會與 GitHub 都受美國法律約束

我們認為 InfoQ 和開源中國的說法有誤

根據林誠夏先生(臺灣開放文化基金會法制顧問,開源社法律諮詢委員會成員)的分析與說明,“開源軟體,只要不涉加解密技術,不會被美國出口管理條例Export Administration Regulation  (EAR)管制,但涉及加解密者則會被管制。

以下為詳細說明:

◈ 依美國 EAR,美國人、美國公司將軟體出口至美國境外,或在美國境內提供給外國人作為出口的預備行為,必須申請取得許可
◈ 但符合公開可及Publicly available定義的軟體,不在 EAR 管制範圍,亦即不需要申請許可;也就是說,多數的開源軟體皆為公開可及並能後續散佈,符合這條但書,出口上不需要申請許可(EAR 734.7 (a))
◈ 但 EAR 734.7 (b) 同時說明,公開可及軟體雖不需許可,但若涉及加解密技術,仍然必須申請許可
◈ 除非是這個加解密技術,除了程式碼本身公開可及外,其加密方式原則上也是公開可及的,那就可以再主張它在 ECCN 5D002 的串列裡,可以採 EAR 742.15(b) 款提供原始碼或揭露原始碼來源的方式,來登入備查。

或是更簡要的說,在美國:

◈ 軟體出口必須申請許可。
◈ 除非該軟體是公開可及的,那就不需要申請許可
◈ 公開可及的軟體,若涉及資訊加密技術仍然要申請許可
◈ 除非該公開可及的軟體,除了程式碼公開可及外,連加密技術本身也公開可及,那就再進入例外不需要申請許可
◈ 雖然不需要申請許可,但這樣的程式碼公開可及、加密技術公開可及的軟體仍然要向美國 BIS 彙報備查,並提供相關訊息供其事前事後查驗。

像 Red Hat 及 Mozilla 是有定期提供備查清單出來給美國政府的。亦即有列備查清單者的,原則不能被管制出口。

註:Part 734 章節裡的 734.7 對於何謂“公開可及”做了定義說明及例示,簡要來說:“技術或軟體已經是被一般公眾可以接觸,並不限及其後續散佈者(when it has been made available to the public without restrictions upon its further dissemination)”。

概念辨析

Apache 許可證與 Apache 基金會專案

有很多開源軟體,都會選擇使用 Apache 許可證 2.0,但是這並不代表這個開源專案已經屬於 Apache 基金會,只有當專案被明確捐贈給 Apache 基金會,才是屬於 Apache 基金會的專案,受到美國法律的監管。但是,只要這個專案不涉及加密,同樣不在 EAR 管制範圍。

開源軟體不等於美國的軟體

有很多人擔心,美國一聲令下,會禁止所有的開源軟體被中國使用。這樣的擔憂是不必要的。有太多的自由軟體/開源軟體,不屬於任何一個公司,也不屬於任何一家開源基金會,或者屬於美國之外的組織,這些都是美國管不到的地方。

Github.com 及其上託管的開源專案,與 Github 企業版

針對開源中國上述的文章,我們擔心存在一些混淆。Github 是一家美國公司,當然受美國法律的約束。Github.com 上託管的專案,卻未必受美國法律的約束。Github 企業版是 Github 公司的一個產品,而且是一個閉源的產品,這個產品不屬於「公開可及( Publicly available )」的範圍,因此會受到 EAR 管制。確實可能存在無法出口的問題。但是,這個產品,大多數情況下是企業採購之後,在本公司內部部署並使用的產品,對於開源社群,幾乎沒有任何影響

因此,我們認為除了 EAR 限制的加密技術之外,由於開源軟體在網路公開下載傳播的屬性,ASF 軟體基金會或是其他開源軟體專案不會也很難被美國政府限制出口。您的看法如何呢?歡迎評論!

贊(0)

分享創造快樂