开源合规适用法律以及相关政策梳理

开源软件合规涉及到多个法律法规。

一、开源合规适用法律法规

开源软件合规涉及到多个法律法规，其中一些主要的法律包括全国代表大会及其常委会制定的包括《民法典》《著作权法》在内的法律，国务院制定的《著作权条例》《计算机软件保护条例》《信息网络传播权保护条例》《著作权集体管理条例》在内的行政法规，以及最高人民法院制定的包括《最高人民法院关于审理著作权民事纠纷案件适用法律若干问题的解释》《最高人民法院关于审理技术合同纠纷案件适用法律若干问题的解释》《最高人民法院关于审理侵害信息网络传播权民事纠纷案件适用法律若干问题的规定》在内的司法解释。对于这些法律法规和司法解释的适用顺位，根据特别法优于一般法的原则，应首先适用《著作权法》、《著作权实施条例》、《计算机软件保护条例》等特别法律规范；然后适用《民法典》合同编中的一般规定；再次则参照《民法典》中的技术合同等有名合同的规定，在《民法典》颁布后修正的《技术合同司法解释》中对此也作出了规定。以下对其中的主要法律法规进行介绍：

（一）《民法典》合同编 开源许可协议是一种合同，规定了使用、修改和分发开源软件的条件。在法律层面，合同法的规定对开源软件的使用和分发关系具有约束力。直接受《民法典》中合同编相关规定的调整。 （二）《著作权法》以及《著作权法实施条例》《著作权法》以及《著作权法实施条例》是软件著作权保护的主要法律法规。根据该法，软件的原创者享有对其作品的著作权。开源软件项目通常会选择适用特定的开源许可证，以规定对著作权的使用和分发方式。（三）《计算机软件保护条例》 《计算机软件保护条例》规定了关于计算机软件保护的一系列法规。这些法规涵盖了软件著作权、反盗版、软件进口等多个方面，与开源软件的合规性也有一定关系。

（四）《反垄断法》 《民法典》中规定了“技术转让合同和技术许可合同可以约定实施专利或者使用技术秘密的范围，但是不得限制技术竞争和技术发展”，是对技术领域反垄断要求的体现之一。我国的《反垄断法》中同样涉及到与开源软件相关的竞争政策。在一些情况下，开源软件的使用可能会涉及到反垄断法规定的竞争政策，特别是当涉及到市场份额、竞争限制等方面的问题。（五）《网络安全法》 《网络安全法》对涉及网络的软件有一系列规定，包括网络产品的安全评估、网络安全监管等。开源软件在涉及网络使用和开发时需要遵守相关的网络安全法规。 （六）开源与出口管制 在开源软件使用的过程中，还应关注出口管制的风险。特别是在AI 领域，用开源软件来训练生成式人工智能可能会产生法律风险，风险具体取决于开源软件的许可证（经许可的或未经许可的），以及训练数据是否被四处散布。同时如果人工智能相关技术（包括硬件和软件）被输出到美国境外，或者该技术在美国境内被传输给非美籍人士，在此情况下，美国武器国际运输条例（ITAR）和美国出口管制条例（EAR）等出口管制可能适用于该技术。将保密信息上传到“公共的”生成式人工智能的行为可能会被认定为出口行为，并且根据信息的性质可能会受到美国武器国际运输条例（ITAR）和美国出口管制条例（EAR）的约束。

（七）域外法案 美国参议院在 2022 年 9 月发布了《2022 保护开源软件法案》，该法案旨在预防开源软件带来的安全问题，加强联邦政府与开源社区的合作，以确保联邦政府、关键基础设施和其他机构安全可靠地使用开源软件。该法案主要规定了美国网络安全与基础设施安全局（CISA）在保护开源软件安全方面的职责等，是全球范围内首个将开源软件纳入国家关键基础设施的国家立法，也是政府部门对开源软件的健康和安全进行监管的历史性一步。

二、开源首次列入国家“十四五”规划和2035 年远景目标纲要

182021 年，3 月 12 日，新华社受权发布《中华人民共和国国民经济和社会发展第十四个五年规划和 2035 年远景目标纲要》，纲要共分为19 篇，主要阐明国家战略意图，明确政府工作重点，引导规范市场主体行为，是我国开启全面建设社会主义现代化国家新征程的宏伟蓝图，是全国各族人民共同的行动纲领。其中值得关注的是，“支持数字技术开源社区等创新联合体发展，完善开源知识产权和法律体系，鼓励企业开放软件源代码、硬件设计和应用服务。”首次被明确列入国民经济和社会发展五年规划纲要。这可以看出国家已经看到了开源软件的重要性和开源合规建设的必要性。

三、《关于加快推动区块链技术应用和产业发展的指导意见》强调开源的重要性

19 2021 年 6 月 7 日，工业和信息化部、中央网络安全和信息化委员会办公室联合发布《关于加快推动区块链技术应用和产业发展的指导意见》（以下称《指导意见》）。 “十四五”时期，随着全球数字化进程的深入推进，区块链产业竞争将更加激烈，出台《指导意见》，有助于进一步夯实我国区块链发展基础，加快技术应用规模化，建设具有世界先进水平的区块链产业生态体系，实现跨越发展。《指导意见》强调了开源的重要性。指出要建立开源生态，加快建设区块链开源社区，围绕底层平台、应用开发框架、测试工具等，培育一批高质量开源项目。完善区块链开源推进机制，广泛汇聚开发者和用户资源，大力推广成熟的开源产品和应用解决方案，打造良性互动的开源社区新生态。

四、央行等五部门联合发布关于规范金融业开源技术应用与发展的意见

20 2021 年 10 月 27 日，央行等五部门联合发布《关于规范金融业开源技术应用与发展的意见》，意见指出开源技术在金融业各领域得到广泛应用，在推动金融机构科技创新和数字化转型方面发挥着积极作用，但也面临安全可控等诸多挑战。 金融机构在使用开源技术时应遵循以下原则：（一）坚持安全可控。金融机构应当把保障信息系统安全作为使用开源技术的底线，认真开展事前技术评估和安全评估，堵塞安全漏洞，切实保证技术可持续和供应链安全，提升信息系统业务连续性水平。（二）坚持合规使用。金融机构应当遵循开源技术相关法律和许可要求，合规使用开源技术，明确开源技术的使用范围和使用的权利与义务，保障开源技术作者或权利人的合法权益。（三）坚持问题导向。鼓励金融机构有针对性地选择和使用开源技术，建立开源技术使用问题发现、反馈、解决等闭环机制，推动开源技术不断迭代升级。（四）坚持开放创新。鼓励金融机构重视开源技术应用与发展，积极参与国际国内开源技术社区建设，汲取先进技术，贡献中国智慧，培育适合金融场景的开源产业链，提升开源技术话语权。 这说明，金融机构作为风险高发地，监管部门已经开始重视并强调开源合规制度的建设与完善。

五、工信部发布《“十四五”软件和信息技术服务业发展规划》

21 2021 年 11 月 30 日，工业和信息化部印发了《“十四五”软件和信息技术服务业发展规划》（以下简称《规划》）。其中指出，开源是全球软件技术和产业创新的主导模式；开源软件已经成为软件产业创新源泉和“标准件库”；开源还开辟了产业竞争新赛道，基于全球开发者众研众用众创的开源生态正加速形成。 《规划》提出，“十四五”时期我国软件和信息技术服务业要实现“产业基础实现新提升，产业链达到新水平，生态培育获得新发展，产业发展取得新成效”的“四新”发展目标。到 2025 年，规模以上企业软件业务收入突破14万亿元，年均增长 12％以上，工业 APP 突破 100 万个，建设2-3 个有国际影响力的开源社区，高水平建成 20 家中国软件名园。《规划》突出强调开源在驱动软件产业创新发展、赋能数字中国建设的重要作用，提出“繁荣国内开源生态”的重点任务，设置“开源生态培育”专项行动，统筹推进建设高水平基金会，打造优秀开源项目，深化开源技术应用，夯实开源基础设施，普及开源文化，完善开源治理机制和治理规则，加强开源国际合作，推动形成众研众用众创的开源软件生态。