开源软件商业应用过程中的知识产权风险
作者 | 宁初明 TCL工业研究院&广东聚华新型显示研究院,高级专利工程师
编辑 | 墨客
目前,全球开源热度持续快速提升,根据全球最大开发者社区GitHub的年度报告数据显示,平台已有超过7300万开发人员,托管仓库超1亿。(此处引自《2021年度Octoverse报告》)开源软件技术已全面进军操作系统、云原生、人工智能、大数据、半导体、物联网等行业领域,我国超九成企业在使用或正计划使用开源技术,与此同时,云计算开源产业联盟等开源组织相继兴起,头部科技企业均投入大量人力进行开源生态建设。
然而,因许可证(GPL类)的传染性、开源许可证之间可能不兼容、开源软件的使用规则存在一定不确定性等因素影响,企业可能因未合规使用开源软件而产生知识产权风险[1-2]。如2021年抖音海外版TikTok上线不久的桌面平台直播软件TikTok Live Studio因违反GPL协议,违规使用开源软件OBS的源代码,虽然OBS项目组没有对抖音进行起诉维权,抖音也是紧急将桌面平台直播软件TikTok Live Studio下架以平息事态。近年来,类似抖音因违规使用开源软件而引发开源合规风险的案例屡有发生,众多软件企业逐步意识到合规使用开源软件的重要性,若不加限制地使用和售卖开源软件,可能会因许可证(GPL类)的传染性规定被迫开源,甚至可能因商业软件未遵守开源许可协议而引发法律纠纷。
一、开源软件简介
开源软件一般指开放源代码软件, 是指源代码开放、允许用户按照许可证条款对源代码进行修改并可自由重复发行的一类软件。开源软件在商业化应用过程面临的合规风险主要包括知识产权风险、数据保护风险和出口管制风险。由开源许可证不合理使用引发的知识产权风险主要是指当一个用户在使用开源代码或用一个许可证去开源时,违反了开源许可证的规定,即不合规使用开源许可证造成的风险。
开源许可证是一种允许源代码、蓝图或设计在定义的条款和条件下被使用、修改和/或共享的计算机软件和其他产品的许可证。开源许可证是一种针对开源软件使用者的约束,目的在于规范受著作权保护的软件的使用或者分发行为。开源相关企业在开源代码引入和输出若未依照相应的许可证使用开源软件,可能面临来自开源软件作者或权利人的诉讼。
二、开源软件的知识产权风险类型
开源软件的侵权源头通常是商业软件“越界”使用了开源软件的权利,而最容易引发的风险是陷入协议条款冲突引发的知识产权风险。把开源成果闭源成商业软件面临的知识产权风险主要包括著作权侵权风险、专利侵权风险、商标侵权风险和商业秘密泄露风险。
2.1 著作权侵权风险
著作权侵权风险是目前开源软件中主要的潜在风险,全球各地的开源软件诉讼大多是由著作权侵权引发的,其主要是因在使用开源软件过程中违反开源许可证和使用了有著作权瑕疵的开源软件。有著作权瑕疵的开源软件指的是含有侵权代码的开源软件,而开源软件的开发者通常不负有瑕疵担保责任,若在商业软件中因使用含侵权代码的开源软件而造成侵权的则需企业承担由此造成的侵权责任。
违反开源许可证的问题通常是因未遵循开源许可证约束违规使用开源软件,或者,未兼容好各开源许可证而引发的。前者相当于违反合同义务而丧失免费开源软件使用权限,后者的情况则相对复杂。一般而言,在将不同许可证的两个开源程序合并成一个较大的程序,或者把其中之一的代码合并入另一个时,如果各个许可证的限制或条件没有冲突,则开源许可证是兼容,如图1所示为各常用开源许可证之间的兼容性组合。但因各类开源许可证的义务与要求存有差异,因此在使用或引入开源软件时,若未合理注意各开源软件所适用的开源许可证兼容性问题,也将因违反开源许可证而引发著作权侵权问题。
图1 常用开源许可证的兼容性示意图
2.2 专利侵权风险
相对于保护作品表达的著作权保护,专利主要保护的是开源软件的方法和功能。与商业软件相比,开源软件的诉讼较少,但在使用开源软件时若未得到开源软件中软件专利的授权许可,也可能存在专利侵权的风险。
部分开源许可证(如Apachev2)中虽明示了专利许可要求,但也说明了专利报复条款,其专利侵权风险相对较小。而若开源许可证未说明专利许可规定的,其软件代码虽开源公开了,但开源代码贡献者仍可提起专利侵权诉讼并要求专利许可费用。开源软件虽由贡献者贡献,但不能保证其贡献的代码不侵犯开源许可协议约束的第三方的专利权,若使用者未得到第三方的专利许可,其也可能遭遇专利诉讼。
2.3 商标侵权风险
开源软件的开源许可证协议虽为全球性,但商标具有地域性,若在相应地区遵守开源许可证中关于商标的义务和使用规范,也将因不当使用开源软件而造成商标侵权。其主要包括未经开源促进会认证的开源许可协议,而使用违规OSI 关于open source的商标;未经正式授权或未按照许可证规定,擅自使用许可人商标、商号、服务标记等进行商业性宣传和使用。
2.4 商业秘密泄露风险
商业软件使用开源软件的商业秘密泄露风险主要是由开源许可证的传染性风险造成的。若在私有软件或代码中,加入使用GPL类开源许可证的开源软件或代码,私有软件或代码将受到GPL类开源许可证“传染”而可能需要被迫开源,由此可能被迫公开商业秘密。与此同时,若引入的开源软件存在恶意代码、病毒或其他安全漏洞等问题,则也可能造成内部系统商业秘密的泄露。
三、开源软件知识产权纠纷案例分析
近年来,开源知识产权相关法律判例逐渐增多。开源合规诉讼主要以违反许可证义务的版权诉讼为主,由维权个人/组织发起,原告胜诉率极高,后果含开源、赔款、禁令。美国Jacobsen 诉Katzer 案件就是涉及开源许可证维权成功的案例。由于 Katzer 删除了许可通知,Jacobsen主张Katzer 违反了开源许可证。最终 Jacobsen 获得胜利并与Katzer 达成和解。无独有偶,如图2所示,我国近些年也陆续出现了一些因不合理使用开源软件引发的诉讼案例[3-6],其中“不乱买”案件确认了开源许可证在我国具备法律效力。本案中和开源许可证相关的争议点在于原告网站的前端代码中使用了 GPL 许可协议下的开源代码,该GPL许可协议是否约束后端代码。该案在最高法院知识产权庭终审,详尽分析了本案中 GPL 协议约束的代码范围,即独立程序及其衍生品或修改版本。由此,可认为中国认可开源许可证的法律效力,特别是 GPL 开源许可证的法律效力。由此可见,在未来开源软件纠纷诉讼中,法院将参考“不乱买”案件对开源许可证采取一致的认可立场。
图2 我国开源软件诉讼案件,点击图片可放大查看
四、开源软件知识产权风险应对与预防
开源软件知识产权风险应对与预防是一项系统性工程,企业应通过不断优化内部体系建设,从组织架构、流程制度、工具建设等多方面保障使用开源软件。
4.1 配置开源治理的组织架构
建立公司级别的开源治理组织架构体系,包含合规、安全、知识产权、宣传等专业化全职团队,明确各方职责,确保高效协同。
4.2 制定开源相关管理规范制度
合理制定并发布包括开源治理流程、开源软件评估流程、开源激励体系等一系列开源相关的管理规范。如开源治理流程,应明确开源软件引入流程,以确保开源软件信息完整,来源可溯;明确开源软件使用流程,以保证开源软件的合理选择和应用;明确安全漏洞持续评估流程,以确保安全风险的及时识别和规避;明确生命周期持续评估流程,以对开源软件进行定期评估,明确开源软件的退出机制。
4.3 持续优化开源软件治理平台
一个适合于公司业务和管理特点的开源合规平台是整个开源合规工作高效运行的技术保障。开源合规平台应在融合开源相关管理规范制度的基础上,包含开源软件仓库、开源代码爬取组件、开源软件台账和开源扫描检测组件等功能模块。其中,开源软件仓库用于存储经审核的开源代码,实现介质来源可控,防范被植入后门等安全风险;开源代码爬取组件,以定期爬取开源软件社区基本信息,更新充实开源软件仓库;开源软件台账主要用于开源代码从引入开源软件仓库再到产品的全寿命周期的使用记录,以使开源代码使用有迹可循;开源扫描检测组件主要用来识别代码中所有开源组件以及其许可证,其可包括源码扫描模块、许可证扫描模块、二进制扫描模块、开发运营集成模块和组件管理模块。
五、结 语
开源软件可以帮助企业快速创新,但未按照开源许可证约定滥用开源软件可能会造成潜在的法律纠纷,企业应建立合理的开源软件审查制度,依据开发软件的用途、目的、市场等情况合规制定并执行开源使用政策,以最大限度避免开源软件的知识产权侵权风险。
参考文献:
[1] 郭雪, 孔松, 王皓月. 企业级开源风险及治理模式研究[J]. 信息通信技术与政策, 2020(5):45-48.
[2] 李震宁, 刘莉, 孟杰. 开源软件商业化中面临的知识产权风险[J]. 网络空间安全, 2018(8):42-44.
[3] 北京市高级人民法院(2018)京民终471号民事判决书.
[4] 最高人民法院(2019)最高法知民终663号民事判决书.
[5] 广州知识产权法院(2019)粤73知民初207号民事判决书.
[6] 深圳市中级人民法院(2019)粤03民初3928号民事判决书.
(本文仅代表作者观点,不代表知产力立场)
