Apache 软件基金会也有这样的"产品出口须知",Apache 是一家非盈利开源组织,全称是 Apache Software Foundation ( 简称 ASF),阿帕奇软件基金会。这个组织维护着大量开源项目,供全世界免费使用,ASF 旗下的项目有个共同特点就是它们都遵循 Apache 开源协议。
业界担忧开源项目未来的“自由”会受到严重影响。RISC-V也属于开源项目,因而开源管制的讨论也受到电子芯片界人士的关注。
开源项目是否受美国出口管制?
中科院计算所的包云岗表示,“开源项目是否受美国出口管制?这个问题今天引起了IT界的恐慌。开源的风险到底在哪里?其实很多人并没有亲自调查确认。我们认为只有获取足够的第一手有效信息,才能做出正确的判断,才能做出合适的应对方案。因此,我们在第一时间开展了调研,同时向一些海外朋友咨询。目前有一些初步的结果,更详细的报告会在后续给出。”
针对开源的几个基本要素:开源基金会、开源协议、开源项目、开源代码托管平台。我们对12个知名开源基金会、6个常用的开源协议、3个代码托管平台进行了调研与分析,得出以下初步结论:
1 开源基金会管理开源项目,但基金会的管理办法差异较大,而基金会旗下的开源项目也可以选择不同管理办法。例如:一、Linux 基金会自身的管理办法不受美国出口管制,所以旗下的项目包括 Linux Kernel 等默认遵循该管理办法,但虚拟化项目 Xen 明确说明遵循美国出口管制,就属于 Linux 基金会中的特例;二、Apache 基金会的管理办法明确说明遵循美国出口管制,所以它旗下所有项目如 Hadoop、Spark 都将受到出口管制。三、Mozilla 基金会明确声明遵守加州法律,出现各类纠纷将必须到 Santa Clara 的法庭裁决。
2 目前调研的开源许可协议族(GPL、LGPL、BSD、MIT、Mozilla、Apache 2.0)均未涉及与政府出口管制无关的声明。
3 目前调研的 3 个代码托管平台 GitHub、SourceForge、Google Code 均明确声明遵守美国出口管制条例,并按加州法律解决纠纷。
4 小结:
* 合理的开源基金会管理办法可以规避美国出口管制
* 开源协议与出口管制无关
* 代码托管平台是开源的最大风险
5 建议:
* 选择开源软件时务必仔细阅读两个声明:一是所属开源基金会,二是项目本身
* 尽快建立已有托管平台在美国以外的镜像平台
* 长远来看,中国必须建立起自己的开源项目托管平台,并以更开放的方式吸引全世界的开源爱好者。
* 但是如何更开放?需要探索。比如,在这个世界上是否有可能设立一个支撑开源项目的特区——一个完全由开源爱好者自治的法律特区?
6 关于RISC-V
RISC-V基金会隶属于Linux基金会,没有特别声明受美国出口管制,因此RISC-V基金会拥有的RISC-V开放指令集标准并不会受美国出口管制。这一点上周和RISC-V基金会的现任CEO专门进行了讨论并得到确认。后续我们也会再进一步确认。
来源:包云岗微博
包云岗同时也推荐台湾开放文化基金会法制顾问、开源社法律咨询委员会成员林诚夏先生的解读:
根据林诚夏先生的分析与说明,“开源软件,只要不涉加解密技术,不会被美国 EAR ( Export Administration Regulation , EAR ) 管制,但涉及加解密者则会被管制。“
以下为详细说明:
- 依美国 EAR (Export Administration Regulation, EAR),美国人、美国公司将软件出口至美国境外,或在美国境内提供给外国人作为出口的预备行为,必须申请取得许可。
- 但符合「公开可及(Publicly available)」定义的软件,不在 EAR 管制范围,亦即不需要申请许可;也就是说,多数的开源软件,皆为公开可及并能后续散布,符合这条但书,出口上不需要申请许可。(EAR 734.7 (a))
- 但 EAR 734.7 (b) 同时说明,公开可及软件虽不需许可,但若涉及加解密技术,仍然必须申请许可。
- 除非是这个加解密技术,除了代码本身公开可及外,其加密方式原则上也是公开可及的,那就可以再主张它在 ECCN 5D002 的列表里,可以采 EAR 742.15(b) 款提供源代码或揭露源代码来源的方式,来登录备查。
或是更简要的说,在美国:
- 软件出口必须申请许可。
- 除非该软件是公开可及的,那就不需要申请许可。
- 但公开可及的软件,若涉及信息加密技术仍然要申请许可。
- 除非该公开可及的软件,除了代码公开可及外,连加密技术本身也公开可及,那就再进入例外不需要申请许可。
- 虽然不需要申请许可,但这样的代码公开可及、加密技术公开可及的软件仍然要向美国 BIS 汇报备查,并提供相关讯息供其事前事后查验。
像 Red Hat 及 Mozilla 是有定期提供备查清单出来给美国政府的。亦即有列备查清单者的,原则不能被管制出口。
注:Part 734 章节里的 734.7 对于何谓「公开可及(§ 734.7 PUBLISHED )做了定义说明及例示,简要来说:「技术或软件已经是被一般公众可以接触,并不限及其后续散布者( when it has been made available to the public without restrictions upon its further dissemination )。
概念辨析:
Apache License 与 Apache 基金会项目
有很多开源软件,都会选择使用 Apache License 2.0,但是这并不代表这个开源项目已经属于 Apache 基金会,只有当项目被明确的捐赠给 Apache 基金会,才是属于 Apache 基金会的项目,受到美国法律的监管。但是,只要这个项目不涉及加密,同样不在 EAR 管制范围。
开源软件不等于美国的软件
有很多人担心,美国一声令下,会禁止所有的开源软件被中国使用。这样的担忧是不必要的。有太多的自由软件/开源软件,不属于任何一个公司,也不属于任何一家开源基金会,或者属于美国之外的组织,这些都是美国管不到的地方。
Github.com,Github 上托管的开源项目,与 Github 企业版
针对开源中国上述的文章,我们担心存在一些混淆。Github 是一家美国公司,当然受美国法律的约束。Github.com 上托管的项目,却未必受美国法律的约束。Github 企业版是 Github 公司的一个产品,而且是一个闭源的产品,这个产品不属于「公开可及( Publicly available )」的范围,因此会受到 EAR 管制。确实可能存在无法出口的问题。但是,这个产品,大多数情况下是企业采购之后,在本公司内部部署并使用的产品,对于开源社区,几乎没有任何影响。
因此,我们认为除了 EAR 限制的加密技术之外,由于开源软件在网络公开下载传播的属性,ASF 软件基金会或是其他开源软件项目不会也很难被美国政府限制出口。
来源: 开源社
/3 
