大咖分享|开源合规与企业知识产权管理
近日,由上海安势信息技术有限公司与中国信息通信研究院联合出品的「开源风险治理实践峰会」在北京隆重召开。会上,统信软件法务与知识产权部总监康正德先生就《开源合规与企业知识产权管理》主题进行了分享:
开源合规与企业知识产权管理
随着开源软件应用范围的扩大,仍然有很多人对开源软件存在“开源即免费”的误解。开源软件一般都有对应的开源许可证对软件的使用、复制、修改和再发布等进行了限制,目的在于规范著作权保护的软件的使用或分发行为。
在谈论开源合规的同时,主要就是关注开源许可证中涉及的各项条例,而这些条例都是围绕软件知识产权而定。
所以,对于开源合规,主要集中在开源知识产权风险的应对上,遵守许可证规定的通知以避免触发著作权、专利、商标的侵权风险。
软件的知识产权保护
软件知识产权就是软件开发者对自己的智力劳动成果所依法享有的权利,包括版权(著作权)、专利权、商标权等。软件著作权保护的是代码;专利权保护相对抽象一些,是对代码实现的技术方案的保护;商标权作为软件商标所有人依法对其商标(软件产品专用标识)所享有的专有使用权,保护的是软件注册商标。
软件知识产权的历史演进:
软件商标权
软件商标权最早可以追溯到70年代IBM实行的软件与硬件“价格分离”政策,打破了此前软硬件打包销售的模式,独立的软件销售自此形成。
软件著作权
软件著作权始于1978年的美国制定的版权法,正式将计算机软件增加为著作权保护对象。与此同时,美国利用《伯尔尼公约》提供的平台和机制,将软件著作权保护推广到全世界。
软件专利权
软件专利权的起源是1474年威尼斯共和国颁布的《威尼斯专利法》,它被认是世界上第一部可称之为现代专利法基本典范且具有里程碑的意义;500多年后1996年的美国专利商标局发布了“与计算机相关的发明的审查基准”,让软件专利进入了扩大保护期;随后包括欧盟、日本、中国等在内的各主要工业国都在跟进。中国在2006年版的《专利审查指南》,也明确了对计算机程序的保护。
软件专利权在国内外都存在较大的争议,尤其与开源的理念背道而驰,但在历史的进程下,各国都在跟进且不断加强对软件专利的保护,这是一个无法改变的现状。
由此可见,软件知识产权都是在美国的推动下,各国陆续跟进。
开源软件及合规风险
在上游开源软件人附开源许可证发布代码、开源代码的那一刻,其著作权就被单方授予了所有人,但对下游开发者而言,获得该许可证并不意味着永久拥有该许可。简而言之,开源许可证就是软件源代码的一个知识产权的许可条款或一个条款的集合,涉及的所有条款无非都在说明在使用我开放给你的源代码的同时,你必须遵守一些相关的规定,如有违反,我就会立马收回权利。
在理解开源软件的基本定义后,可以看下开源软件的发展历程:
60年代美国黑客文化盛行,是由于AT&T受制于反垄断制约不能销售Unix,最后在双方就AT&T不再进入计算机行业作为AT&T的退让条件达成和解,Unix开始自由共享。
进入1978年,随着对计算机软件著作的保护,专有软件快速发展。1982年,AT&T作为Unix软件著作权的权利人,再次受到美国司法部的垄断调查,此次谈判破裂后美国司法部把AT&T拆分成几个公司,此前和解协议失效,所以AT&T直接把Unix转为一个商业软件进行销售。
1983年左右,Richard Stallman发起了GNU计划并成立了自由软件基金会,自此GPL开源许可证传播开来。
90年代,开源软件运动兴起,在自由软件和商业诉求间寻得一个平衡点,成立了开放源代码促进会(OSI),对开源许可证进行审查。
各国法院对开源软件是如何进行法律性质上的定义?
2006年,法兰克福地方法院在“Welte v. D-Link”案中,认定开源许可证GPL2.0是一个附加了解除条件的著作许可合同
2008年,美国的“Jacobsen v. Katzer”案,CFCA(美国联邦巡回上诉法院)认为开源许可协议Artistic限定了著作权许可条件,违反了开源许可协议构成侵犯著作权。
中国相对晚一些,2021年广州知识产权法院在“罗盒 V. 玩友”案中,明确了GPL3.0的开源许可证的法律地位。
目前,世界上主要的工业国家对于开源许可证法律性质,都把它定位成一个附加了解除条件的知识产权许可合同。所以企业在开源软件使用过程中尤其要重视开源合规。
目前有两三千种开源许可证,但通过开放源代码促进会(OSI)审核认证的也就100多种开源许可证。目前,Apache、MIT两种开源许可证作为宽松型许可证在2021年统计的排名前十中占比超50%,对于著作权许可证的GPL和LGPL,加起来的占比也有20%。当然,对于不同类型的开源许可证需要遵循的义务也是不一样的。
开源许可证主要涉及的内容项包括许可内容、免责/限制条款、许可条件、其他重要条款。
许可内容,例如著作许可、专利许可等,但在所有开源许可证里都没有涉及商标许可也在呈一个上升趋势。
免责/限制条款,包括不提供保证,不承担责任,无商标授权。
许可条件,第一类是与声明和通知相关的义务,但有些开源许可证也没有此类的声明;第二类是你有修改声明的义务;第三类是要承担公开源代码的义务,在开源合规的时候对于第三类往往是最难遵循的。开源合规的诉讼中,因为在声明方面的合规问题而违反了前两类的许可条件和许可义务的诉讼非常多,需要引起重视。
在其他重要条款中,例如要求新的项目要使用相同的许可证、许可证的兼容不能施加进一步的限制等。所以这些开源许可证中的条款分析是法务投入最多的工作,要把每个类型的开源许可证需要遵循的义务做一个详细的解读,然后结合公司产品的特性和使用场景,包括开源软件的使用方式,再给每一个开源许可证的使用罗列出一个使用指引。
开源软件的合规风险分为四类,第一类是最容易被企业研发人员忽视的未按照许可证要求提供版权声明、许可证声明、修改声明等信息的声明不合规;第二类是未按照GPL许可证在分发时提供软件的源代码;第三类是在同一项目中使用了多个许可证互不兼容的开源组件或开源组件与项目的许可证不兼容;第四类是商标使用不合规。
这四类开源合规风险需要企业引起足够的重视。就上述开源合规风险目前在国内的诉讼并不多,但从前两年也陆续发生,而国外的比例会相对高一些,尤其是版权相关的诉讼,涉及到未按照许可证要求提供源代码,更多是没有按照许可证的要求去提供版权声明的许可证的声明。相反,由于开源不合规导致的专利诉讼比例较少,但和开源软件相关的专利诉讼比例还是处于高位。商标诉讼逐渐增多但也往往容易被忽略,有一场业内影响比较大的Elastic和AWS长达6年的商标诉讼案,最后以AWS修改自己的开源服务名称,把Elasticsearch改成OpenSearch的和解方式收尾。
今后,随着开源软件使用的增多,需要大家从商标权的角度引起重视,因为所有的许可证目前分析尚未看到对商标的授权。开源供应链无论是从法律法规还是政府的角度,无论重视程度有多高都不为过。
开源软件的合规治理
从法务的角度,开源合规的治理工作,不仅要从合规角度出发,更应该从企业开源管理能力的角度切入。开源管理能力和开源合规治理的本质区别在于开源管理能力作为一个系统工程,而开源合规治理无论从公司的重视程度还是跨部门的配合和资源调配都存在一定的局限性。
从企业自身角度出发,在企业日常经营活动中,客户就会提出相关的要求比如SBOM(软件物料清单)的输出能力,甚至可能会对你的开源管理能力提出一定的要求。
所以,开源软件的合规治理,如果每个参与者能够从开源管理的角度来看的话,可能工作会更有成效,因为开源合规的管理其实只是其中一环,包括对开源软件的原数据的管理、生命周期的管理、合规的管理、安全的管理、释放生产能力的管理,其实都只是开源管理能力的的一部分。但目前国内除了一些头部企业,更多的企业可能还只停留在第一步开源合规治理的层面。从实战经验来看,建议起步阶段就可以考虑从开源管理的角度切入,无论对于最终的结果和推进工作的难易程度都会有一个比较正向的反馈。
开源软件的知识产权管理
既然开源合规和知识产权的关系如此密切,企业的法务部门承担了公司知识产权的一些管理工作。那与开源相关的知识产权的管理工作该如何开展?从专利的角度出发,开源软件的专利风险可以分成两个部分:
一部分是原生专利风险(内部专利风险),指的是由开源软件的原作者或代码贡献者引入的专利风险,可以理解成原作者或代码贡献者在对外开源时,已经申请过专利或将带有专利技术的源代码加入开源软件中。所以,对于下游的用户在使用开源软件的时候就需要格外注意。
第二个风险是由第三方(非原作者或代码贡献者)引入的专利风险,称之为外部专利风险,具体是指第三方申请的专利覆盖了开源软件。存在这样的情况,主要是与软件专利权的定义有关,因为专利权是脱离软件代码,是对从软件代码抽象出的一个技术方案的保护,所以虽然两个项目的代码不一样,但可能因为在技术方案、技术思路上是一致的,因此即使有一个跟你开源项目完全无关的第三方,也是完全有可能拥有一个专利权,能够覆盖到你目前开源项目。对于外部专利风险就无法从许可证的角度进行处理,因为风险来源与许可证的上游无任何关系。
因此,对于这两类的开源软件的专利风险又该如何应对?
针对原生专利风险:中国的木兰宽松许可证的一个专利授权条款以及对于现在主流许可证的专利授权条款。当然,除了有授权条款,也有专利的终止条款,当不满足对应条件时就会终止授权。
所以根据主流许可证的专利授权条款列表,当你在做开源项目选型时,要视情况而定,如果觉得这个专利风险能力比较高,比如说可能应该选择像Apache、GPL系列、MIT这类;BSD可能需要慎重一些。
下图所示:
对于外部专利风险,其实无法从许可证的角度进行处理,风险会由企业知识产权管理或合规风险部门进行判断。由于开源软件的外部专利风险高,最有效的办法就是积极申请专利,作为一种提高企业在专利风险方面对抗能力的手段。
其次,需要在企业的供应链管理中进行专利风险评估,当项目的开源知识专利方面存在高风险时,也要适时的放弃。
最后,构建真正自由生态社区。上述提到的积极申请专利,一方面是提高自身的风险对抗能力,另一方面要积极的向生态伙伴进行专利的授权和开放,在保护自身的同时也保护了生态合作伙伴和客户,如何实现三方共赢?值得思考!
Red Hat这家企业的做法值得借鉴,虽然申请了5000多项专利,但它有个专利承诺,把它如何使用自己手上的几千元专利的使用方式、使用范围规定得非常清楚,它的合作伙伴不存在任何这方面专利风险的担忧。
另一个例子,开放发明网络(Open Invention Network, OIN),由Google、IBM、Red Hat、Philips等企业发起的世界上最大的专利互不侵犯社区和免费防御性专利库,通过Linux系统的专利免费交叉许可帮助社区成员和Linux/OSS技术的用户实现行动自由。我国目前也有很多企业已加入该组织,即使你没有相关的专利,也可以加入这个社区,没有任何费用,但需要承担你今后公司所产出的跟Linux相关的一些专利,都需要无偿的贡献到专利池里来的义务。
这个社区有意思的点在于,它对使用免费授权的范围是通过一系列的软件包来进行定义。所以社区定期会在它的官网上挂出被纳入他们授权范围的一系列的软件包,目前统计已经达到3700多个,还在定期增加中。
最后一点,虽然开源软件的商标管理策略基本上与普通的项目商标管理策略差不多,但需要注意的是开源的时候需要和企业的商业秘密管理做好连接。
