問:使用開源軟體還有法律風險?
一、使用開源軟體的法律風險
01 版權風險
為什麼會造成版權侵權?一是違反開源許可證,開源軟體使用者沒有按照開源許可證的規定使用開源軟體;二是開源軟體存在版權瑕疵,貢獻者将自己不具有版權的代碼貢獻到開源社群,使得開源軟體本身存在版權瑕疵,進而導緻版權侵權。
在一些極端情況下,軟體開發商可能需要将包含開源代碼的軟體産品的全部源代碼公開。例如在 2007 年,作為Linux社群成員指責華碩公司沒有遵守 GPL 許可證的回應,華碩公司公布了其運作 Linux 作業系統的 Eee PC 的完整源代碼,包括 asus_acpi 元件和所有核心資料。對于希望完全掌控軟體的企業而言,将全部源代碼開源顯然是不可接受的,是以,使用開源軟體的企業有必要了解開源軟體的法律風險。
(1)無論是閉源軟體還是開源軟體,都受版權法保護
(2)版權保護不需要履行注冊手續,自産生之時就自動獲得版權
(3)軟體的程式及相應的文檔,都屬于版權保護的對象
02 專利風險
開源軟體可能涉及到專利,但并不是所有的許可證都會明确給出專利授予權。如果沒有專利授予權,可能會面臨專利訴訟風險。
微軟公司于 2009 年 2 月起訴導航裝置制造公司 TomTom 侵犯其多項專利,該多項專利中有 2 項涉及 FAT 檔案系統,包括 TomTom 産品在内的 Linux 核心都在使用該檔案系統。該案也是微軟公司第一次針對 Linux 發起專利訴訟。2009 年 3 月,TomTom 同意向微軟支付一筆專利許可費進而迅速與微軟達成了和解。
針對開源軟體的專利風險,主要分為外部風險和内部風險。
(1)外部風險:指不受開源軟體許可證限制的一方針對開源軟體使用者發起的專利請求;
(2)内部風險:開源軟體的貢獻者針對開源軟體使用者發起的專利請求。
03 商标風險
開源許可證一般不包括商标授權,是以随意使用未經授權的商标,侵權風險很大。
有些開源社群會對商标使用進行規定,例如 Apache 基金會對 Apache 軟體商标的使用做出詳細規定:
(1)可以使用的情況
描述作品來源
複制 NOTICE 檔案時保留的商業性辨別
書籍或雜志上等學術用途
描述“技術支援“等用途
(2)不可以使用的情況
軟體産品的品牌中
域名中
會議或活動的名稱中
……
二、開源許可證
在中國及大陸法系國家,開源軟體許可證毫無争議的是許可人與被許可人之間的合同。它規定了許可人(軟體開發者)和被許可人(使用者)的權利和義務,可能涉及版權、專利、商标、擔保等一系列權利義務的設定。但正是這些權利和義務,決定了權利人是否将源代碼真正地向社會公衆開放,進而可以實作是否是開源軟體的判斷。(開源許可證是個格式合同,不允許更改)
按照軟體再釋出時對提供源代碼的要求,可将許可證分成以下幾類:傳染性越強,商業友好性越差,版權侵權風險越大。
三、企業如何進行合規風險治理
企業開源合規流程一般包括以下步驟:
(1)識别:辨識開源軟體/元件以供稽核之用;
(2)審計:掃描源代碼并确認源代碼的來源出處以及所使用的許可證;
(3)處理問題:處理與審計有關的疑慮以讓其與公司的開源軟體政策相符合;
(4)稽核、準許:開源軟體/元件經稽核并準許,視同合規紀錄;
(5)留存記錄:儲存每個産品每次發版經過準許的開源元件清單
(6)準備聲明:編輯發行所需的各項聲明;