首页 云计算 服务器 大数据 存储 IT 安全 物联网 软件 商品

云计算

云资讯频道旗下栏目: 云资讯 云安全 云开发 云趋势

2019云计算开源产业大会丨毕春丽:开源软件知识产权风险防控

毕春丽:非常高兴有这个机会跟大家一起分享关于知识产权风险内容。

这次分享的时间点对于今年来说也是意义非常重大,因为今年出现了一些非常有影响力的事件,在事件出现以后,大家都在想开源到底是否风险很大,它的风险会给使用开源软件的企业带来什么样的影响?在很多群里大家都在讨论,而且这些问题到底是什么样的,我今天从知识产权角度,从一些简单的案例来逐渐进行剖析它的一些知识产权的问题,还有我们作为开源应用的企业如何关注它的风险,从哪些角度进行关注。

今天演讲的内容是围绕三方面:

    一、开源软件知识产权相关案例分析

    二、开源软件知识产权风险

    三、企业开源知识产权风险防控建议

我们在进行开源发生一些纠纷、发生一些问题时,一旦上升到法院角度时,有时候大家不知道到底用合同法还是用著作权法。如没有遵守开源协议,是否可以用合同法?侵权代码和源代码之间关系是否可以用著作权法呢?现在在很多法院、业界当中也是关注的一个问题,即应该用什么样的法律进行规制,因为不同的法律制约原告、被告进行侵权举证或进行自己本身防御举证时的路径和思路完全不一样,这是需要特别关注的一个问题。

案例,ARTIFEX诉HANCOM

这个软件本身是用于PDF可描述的编译软件,很多操作系统里都可以适用。这个软件是双许可证,既可以用开源的许可证,AGPLv3.0版本进行开源,还可以用商业许可证,也就是可以直接购买它的商业服务的许可证。这个软件本身是由ARTIFEX公司所拥有,在这个事件当中,HANCOM是一个韩国公司,在出售office软件当中同时搭载了ARTIFEX所研发的工具。在进行下载使用这个工具时,因为有两个许可证,一是没有要求购买商业软件的服务或没有花这个钱购买这个软件,二是没有按照开源许可协议要求进行修改的代码回馈给社区,ARTIFEX就控告HANCOM,希望把以前损害赔偿进行上诉。这个案件就是非常简单的不遵守开源许可协议。

我讲的重点是中间适用法律问题。在ARTIFEX提出两项指控:1.侵犯版权,因为没有购买我的商业许可证,也就是说这个版权是在我这里,你侵犯了我的版权;2.没有购买我的商业许可证,默认是使用开源许可证的软件,这个软件需要按照开源许可证GPL要求来做,但没有按照它的要求来做,所以构成违约或构成违反合同。这里指出控告既有版权内容,又有合同内容。

如何进行反驳?这个反驳非常有意思,1.认为在进行下载软件时没有切除任何东西,按照合同法约定,进行下载时没有人让我签署这个内容,没有承诺任何相关条款,不构成一个合同。2.在美国联邦版权法是优先于合同索赔,这里主要涉及到2008年的一个案例,在那个案例里,法官第一审按照合同法进行判,原告一直希望通过版权进行诉讼,二审最后结果是按照版权赔偿来结案的,所以得出结论:联邦版权法优先于合同法。

3.通过这两条,第二条不成立。被告发生侵权所在地不在美国,知识产权法是有地域性的,不管是版权、专利、商标都有地域性,正是因为在美国控告,但美国管不着我,版权法只能管在美国发生的侵权行为,所以版权也无法进行规制我,所以用这三条进行反驳原告一些指控。

最后法官认为如果用户没有得到商业许可证的同时,默认构成合同法的约束。所以最后这个案子结论是开源许可协议可以作为有约束力的合同,这也是开辟了我们后面对开源许可协议的看法。

这个案件对我们的启示:开源软件不是公有软件,不等同于免费软件,不意味着可以任意使用。网站上可以随意下载的软件,明确说是开源的话,一定要注意不是一个公有软件,这个案子里认为是公有软件,也有可能是一个故意行为。公有软件明确放弃一些版权或放弃对于这些版权经济上的回馈,但开源软件这些东西没有完全放弃,要遵循开源许可协议的一些要求。同时不等于免费软件,是需要有一些前提条件遵守开源协议。我们在使用开源软件时,一定要遵循开源协议,这个协议已经达成一个自动的合同,就要遵守合同里一些约定。

案例:MangoDB变更开源许可协议

MangoDB在很多云计算、云服务中用到很多数据库的内容,在整个查询功能里非常强大,很多互联网厂商也使用MangoDB来做数据库的服务功能。

MangoDB也是使用两个版本:1.开源版本。2.企业版本。这个事件是2018年10月16号之前使用的是AGPL条款,之后使用SSPL,翻译成中文就是属于服务器端公共许可证,也就是说明确说了许可证修改主要内容或方向将来要约束服务器端公共许可的内容。这个事件缘由和中国厂商也有一些关系。

有一个问题,开源许可协议是否能够随意更改?大家讲开源治理时,首先选择开源软件时要考察开源许可协议,考察完之后,忽然某一天又变了,这种风险如何进行考虑?

首先要清楚哪些类型的开源许可协议可以进行更改,就像MangoDB一样是一个企业主导,而且所有软件权利都归自己一家所有,是有权利进行更改许可协议的,还有可以进行闭源。还有一些是要根据开源许可协议社区的规定或基金会规定,首先看权利都在谁手里,再进行更改协议时也需要权利人或相关人一起同意后才能更改协议。大家要观察企业开源许可协议控制权都在谁手里。

现有这些更换许可协议的事件还是在整个开源发展过程中比较频繁的,所以大家在考虑开源风险、开源治理过程中也是需要关注的一个问题。

 MangoDB开源许可协议到底更改了哪些内容?

AGPL就是一个传染性非常强的许可协议,更改的主要是第13条,更改内容具体是细化的里面一些具体对象和服务内容。如果将本程序或修改版本的功能作为服务提供给第三方,根据本许可协议规定,必须通过网络下载方式免费向所有人提供服务源代码。首先服务给第三方内容是什么,什么样的第三方包括在这个服务里,对原来AGPL网络交互内容进行细化;对服务源代码进行更具体详细的定义,对源代码所涉及的程序,如涉及一些管理软件、用户界面等,这些服务也都是需要遵守开源需要的。

接下来详细介绍为什么要从AGPL修改成SSPL的许可协议内容。这里最重要的内容就是因为我们在进行整个开源许可协议选择和大家在使用过程中还是要有一个遵守规则的意识。更改协议时,当时CEO发布的新闻,第一,是为了对竞争对手进行打击;第二,为了维护自己软件盈利的可能性。