开源软件相关出口管制政策与规定(美国)

Mark wiens

发布时间:2022-09-14

  开源是信息社会的生产方式之一,全球范围的源代码开放,是开源软件的一个特征。开源软件的最大优势之一是跨边界协作。开源协作透明、公开且能跨越组织边界,促使世界各地的开发人员、学者和工作人员一同成就比个人力量所能造就的更为伟大的开源技术。开源发展是一项全球性活动,必然涉及软件的跨国界分享。但一些国家的国内法规可能要求开源项目采取额外措施,确保遵守当地法律规定的义务,这就使得企业在采用开源软件过程中面临一些风险,本文主要从出口管制的角度,介绍美国有关于开源软件出口管制的相关政策,以及主要开源基金会和代码托管平台的相关规定,为企业规避开源知识产权风险提供帮助。

  美国出口管制条例(以下简称EAR)界定了某些可能受到出口限制的事项(包括软件和技术)的范围。“ECCNs”(Export Control Classification Numbers)是EAR法下用于物品分类(包括软件和技术)的编码。有些物品是受制于EAR的,这代表它们在EAR的管控范围内,并只能在符合以下条件的前提下出口:无需许可证就可出口,适用许可证例外的情况或者出口方已经获得了出口许可证。

  美国对于开源软件的管辖基于“已公开”或者“公开可获得”的概念。有一些事项被明确列为“不受制于”EAR,意味着它们“被置于EAR法规管辖外并不受这些法规的约束 。”具体来说,以下典型事项(未详尽列举)下不受到EAR限制,因为“开源”“已发布”:

  对于属于ECCN 5D002的加密源代码,美国立法者认为加密技术有可能会被利用来危害美国的,因此他们将包含加密功能的开源软件进行特别对待。如符合以下两个条件,则不在EAR的管辖范围内:(1)该源代码是“可公开获取”的,以及(2)已向EAR第742.15(b)条所载的电子邮箱地址发送了电子邮件以示通知。如果软件的源代码变动频繁,软件作者或者使用者也可以将下载该软件源代码的网址以及软件名称发送给美国商务部工业与安全局(BIS)和美国局(NSA)的特定邮箱进行备案,就无须重复性的将不断变更的软件源代码发送给BIS和NSA的特定邮箱。

  Linux 基金会发布的有关开源社区注意事项的《Understanding Open Source Technology &US Export Controls》(《了解开源科技和美国出口管制》)中声明,来自Linux基金会以及与其合作的项目社区的开源软件均满足EAR第734.7条中“已发布”的要求。Linux基金会的所有项目源代码,包括加密软件,均可公开获取,且已经提供了上文所要求的电子邮件通知。并在官网上公开了上述电子邮件通知的内容。所以,Linux基金会的项目源代码及对应的目标代码均不受 EAR关于加密的限制。

  Apache基金会的管理办法明确说明遵循美国出口管制,但在备案(5D002)后即不受EAR出口管制;2019年,在《Apache 软件基金会关于“非美国子公司已添加到美国联邦登记公告实体裁决清单”的声明》一文中,Apache 基金会表示,(1)出口和再出口实体清单上指定的限制情况仅限用于受出口管理条例(EAR)约束的特定活动和交易。(2)对于开源的加密软件源代码,BIS在 2016 年 9 月 20 日就规定说明,开源代码属于“公开发布”和“已发布”的范畴,不受 EAR 约束。(3)涉及加密软件源代码的开源项目仍然需要向 BIS 和 NSA 发送 URL 通知,以满足 EAR§742.15(b)中的“公开可用”通知要求。同时明确表示,开源软件、开源代码协作、开放式的电话会议以及提供赞助资金都不受 EAR 约束的活动。

  RISC-V基金会隶属于Linux基金会,没有特别声明受美国出口管制,因此RISC-V基金会拥有的RISC-V开放指令集标准并不会受美国出口管制。

  《GitHub和出口管制条例》中表示,GitHub Enterprise Server以及上传到这任何一种产品的信息可能受制于美国出口管制法律,包括美国《出口管理条例》(EAR)。

  关于。用户只能在遵守适用法律的前提下访问和使用GitHub.com,包括美国出口管制和制裁法律。GitHub.com不得用于相关出口管制法律禁止的用途,包括与开发、生产或使用核武器、生物武器或化学武器或者远程导弹或无人机有关的用途。

  关于GitHub Enterprise Server。GitHub Enterprise Server不得出售给、出口到或再出口到黑名单上的任何国家。该清单目前包括古巴、伊朗、朝鲜、苏丹和叙利亚,但可能会有变化。

免责声明:本站所有信息均搜集自互联网,并不代表本站观点,本站不对其真实合法性负责。如有信息侵犯了您的权益,请告知,本站将立刻处理。联系QQ:1640731186