开源软件的《出口管制法》合规(转载)

以下内容转载自 https://my.oschina.net/editorial-story/blog/4682306

权利:作者 詹毅,上海执业律师,华东政法大学兼职教授,微信ZhanyiAttorney。

声明:传播本文时,请于文首呈现权利及声明。本律师个人观点,仅供参考,不构成法律意见书。

2020年10月17日,第十三届全国人大常委会第二十二次会议通过《中华人民共和国出口管制法》(以下简称《出口管制法》),自2020年12月1日起施行[1]。出口管制法共计5章49条,包括管制政策、管制清单、管制措施,监督管理、法律责任等内容。

开源是信息社会的生产方式之一,特点是大维度的协作与网络服务化[2]。因此全球范围的源代码开放,是开源软件的一个特征[3]。我国的开源软件技术已经全面进军操作系统、云原生、人工智能、大数据等主要领域,例如在容器技术、微服务技术、DevOps技术上,均有中国的开源贡献。

那么我国企业做软件技术开源,需不需进行《出口管制法》合规呢?

一、开源软件是否落入《出口管制法》的管制范围?

这取决于开源软件[4]是否属于《出口管制法》管制的对象,即管制物项。由于开源是软件的一种生产方式,因此这个问题实际上就是软件是否属于管制物项?根据《出口管制法》第二条的规定,管制物项包括四类:军民两用物项、军品、核、其他与维护国家安全和利益、履行防扩散等国际义务相关的货物、技术、服务等物项。软件应属于技术的范畴,与服务贸易也有关,当然也可能存在于设备、产品里面。

但要具体知道自己的软件技术是否落入《出口管制法》的范围,根据《出口管制法》的第四条、第九条的规定,还需要看在不在“管制清单”或者“临时管制清单”里面。

参考借鉴一下2020年8月的“《中国禁止出口限制出口技术目录》调整内容”[5],根据这份文件的规定,下列软件属于限制出口技术:语音合成技术(包括语料库设计、录制和标注技术,语音信号特征分析和提取技术,文本特征分析和预测技术,语音特征概率统计模型构建技术等)、人工智能交互界面技术(包括语音识别技术,麦克风阵列技术,语音唤醒技术,交互理解技术等)、语音评测技术(包括朗读自动评分技术,口语表达自动评分技术,发音检错技术等)、基于数据分析的个性化信息推送服务技术、数据库系统安全增强技术等。

因此,如果你的软件能够在管制清单里找到,就属于管制物项。这时,你可能会说,你只是遵循了国际通行的开源法则,将软件代码开源,并没有向特定的外国组织或者个人提供,所以《出口管制法》管不着?你还有可能说,你是对GNU GPLv3开源许可证项下开源社区上的已有代码,做了技术上的改进,根据该许可证对产生的新代码应当继续开源,否则就违反了开源法则,所以《出口管制法》也管不着?本文第二部分将讨论这些问题。

需要说明是,在《出口管制法》立法讨论时,曾有明确建议将“源代码、算法一并列入管制物项”[6],这既表明软件作为信息社会的核心关键技术,无疑是《出口管制法》关注、管制的范畴,也表明软件出口的管制怎么来落实,包括哪些细节,还有待细则文件来认定。

二、开源是否属于《出口管制法》上的“出口”?

先来看什么是《出口管制法》上的“出口”。

根据《出口管制法》第二条的规定,从中华人民共和国境内向境外转移管制物项的,属于“出口”;中华人民共和国公民、法人和非法人组织向外国组织和个人提供管制物项也属于“出口”(也称之为“视同出口”(deemed export))。第四十五条还规定有“再出口”,但具体含义尚待细则文件来明确。

我们根据这一规定,通过几个假想例,来分析几种常见的开源行为是否算《出口管制法》上的“出口”。

第一种情况,国内某企业决定开源其研发的一个软件,在选定开源许可证后,将GitHub作为代码托管、后续协作的平台。我们知道在2018年6月,微软宣布 75 亿美元收购GitHub,微软是一家美国公司,而GitHub的具体运营公司也是位于旧金山的美国公司,均属于外国组织,而GitHub的代码存储空间主要也在美国。实际上,GitHub.com也提及了GitHub网站、企业服务器以及用户上传的产品、信息可能受贸易管制法规包括美国出口管理法规(EAR)的约束,并详细规定了用户只能根据适用法律(包括美国出口管制和制裁法律)访问、使用GitHub.com[7]。因此,这种形式的源代码开源,如果涉及禁止或者限制出口的软件技术,有很大可能被主管部门认定属于“出口”。

第二种情况,国内某企业决定将其研发的机器学习程序捐赠给Linux基金会。假设这项机器学习程序有着先进的算法,属于禁止出口的技术,而Linux基金会是根据美国联邦税法501(c)(3)成立的非盈利机构,属于外国组织。因此该企业向Linux基金会捐赠源代码及相关材料的行为,也有很大的可能被主管部门认定属于“出口”。

第三种情况,国内某企业对GPL许可证项下的Linux内核,作出了重大技术贡献,该项创新属于禁止出口的技术。根据GPL开源许可证,该企业的创新应当在相应的国外社区公开源代码,那么这种情况下,也有很大的可能被主管部门认定属于“出口”。这里涉及到的国内法与开源许可证的冲突及解决,将找时间再撰文讨论。

第四种情况,国内某企业决定将其软件开源到gitee上,但该软件属于限制出口技术。gitee运营公司是位于深圳的中国注册公司[8],而源代码的存储空间也应在我国境内,虽然网络具有全球可访问性,但不应认定为“出口”。需要指出的是,如果该软件涉及国家保密规定的,应遵守相关的要求。

当然,在开源生态日益丰富的今天,做开源涉及到《出口管制法》的情况,还有很多,为了做到合规开源,企业应有充分的法律与制度准备。

三、做开源应有的合规动作

做开源的企业应注意合规动作,这里给出以下的几个建议:

一是设立合规部门或专员,制定合规流程。这也是《出口管制法》所鼓励的,该法第十四条规定,出口经营者建立出口管制内部合规制度,且运行情况良好的,国家出口管制管理部门可以对其出口有关管制物项给予通用许可等便利措施。合规专员的工作,包括做好风险评估,在开源前对照“管制清单”“临时管制清单”等文件,对于需要出口的管制物项,应当提交国家有关部门批准。

二是运用好咨询机制。《出口管制法》第十二条规定,无法确定拟出口的货物、技术和服务是否属于本法规定的管制物项,向国家出口管制管理部门提出咨询的,国家出口管制管理部门应当及时答复。根据该条规定,如果无法确定应不应开源的,可以依照法定程序提出咨询。

三是建立最终用户与最终用途监控制度。包括关注国家公布的“管控名单”“不可靠实体清单”。还应及时提交提交管制物项的最终用户、最终用途证明文件。根据《出口管制法》第十五条的规定,有关证明文件由最终用户或者最终用户所在国家和地区政府机构出具。

四是增强风险识别能力,对于《出口管制法》第四十八条规定的“对等措施”[9],应准备好预案。

开源在多大程度涉及出口管制,还需要进一步的观察。相信随着《出口管制法》及其细则的实施,涉及软件开源的诸多法律疑问,会得到清晰的答案。

注释:

[1] 《出口管制法》全文见全国人大网:http://www.npc.gov.cn/npc/c30834/202010/cf4e0455f6424a38b5aecf8001712c43.shtml,2020年10月19日最近一次访问。

[2] 《定义未来:开源法》:https://www.sohu.com/a/359358470_99915568,2020年10月19日最近一次访问。

[3] 怎么理解开源技术领域的“开放”原则,可以参考《定义未来:开源法》一文,(https://www.sohu.com/a/359358470_99915568,2020年10月19日最近一次访问),我在该文里提出,开放、商业是开源法的原则。

[4] 怎么理解“开源”即Open Source在法律上的含义,可以参考以下两文《“木兰”许可证专家评论》:https://cloud.tencent.com/developer/article/1487822,《做开源应知道的三个法律要点》:https://www.sohu.com/a/350892075_827544,我在这两篇文章里,提及了对“开源软件”“开源许可证”内涵的认识。

[5]《中国禁止出口限制出口技术目录》调整内容:http://www.most.gov.cn/tztg/202008/W020200828781000006753.pdf,2020年10月19日最近一次访问。

[6] 凤凰网“《出口管制法》12月起实施:三审稿源代码和算法列入管制范围”:https://finance.ifeng.com/c/80eRhqkDakK,2020年10月19日最近一次访问。

[7] Github and Trade Controls:https://docs.github.com/en/free-pro-team@latest/github/site-policy/github-and-trade-controls#export-overview,2020年10月19日最近一次访问。

[8] 关于我们:https://gitee.com/about_us,2020年10月19日最近一次访问。

[9]《出口管制法》第四十八条规定:任何国家或者地区滥用出口管制措施危害中华人民共和国国家安全和利益的,中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。

posted @ 2020-10-22 09:50  charescape  阅读(942)  评论(0编辑  收藏  举报