张韬略 刘烨 | 开放中的创新和安全:欧盟开源软件战略评介

目次

一、引言

二、欧盟开源软件战略的具体内容及推行机制

(一)历史沿革与具体内容

(二)落实战略的配套机制

三、欧盟成员国对开源软件战略的落实

(一)加大立法和政策的供给

(二)推动专门组织的设立

(三)司法裁判对开源规则的支持

四、对欧盟开源战略的评价

(一)欧盟开源战略的积极意义

(二)欧盟开源战略存在的问题

五、对我国实施开源软件战略的启示

(一)我国实施开源战略的政策规范及现实挑战

(二)我国实施开源战略的优化路径

摘要及关键词

本文转载自“知识产权与竞争法”公众号,原文刊载于《德国研究》2024年第2期,作者张韬略,同济大学法学院副教授,博士生导师;刘烨,同济大学法学院硕士研究生。

摘要:欧盟开源软件战略在过去二十年间逐渐扩张和升级,最终与欧盟数字转型、技术主权等战略融为一体。欧盟及成员国从机构设置、政策供给、生态建设、法律适用等方面积极落实该战略,既推动了政府和企业的降本增效及技术创新,也协助巩固了欧盟的数据技术安全,但仍存在推行力度尚浅、各成员国开源生态发展不均以及开源安全意识不足等问题。为平衡技术创新和国家安全,我国可借鉴其开放协作的发展观,从本土开源生态建设、人才和制度供给、开源代码安全等角度,优化我国开源软件战略。

关键词:人工智能;开源例外;开源软件;开放源代码;欧盟

引言

放眼全球,互联网、大数据、云计算、人工智能等数字技术正加速创新,日益成为改变世界竞争格局的重要力量以及大国竞争的制高点。数字技术的创新能力,数字经济的发展潜力,已然深刻影响到一国的前途命运。在这种背景下,如何在谋求技术安全的同时,积极利用开源协作的开放创新模式,充分调动国内外技术人才和市场力量以促进技术创新并提升社会福祉,就成为摆在诸多国家面前的重大议题。欧盟《人工智能法》(Artificial Intelligence Act)的“开源例外”制度就是欧盟平衡安全、创新和开放等不同利益诉求的产物。作为全球首部系统性人工智能监管法,欧盟《人工智能法》极为重视技术安全,但欧洲议会却在多轮的“马拉松式”的谈判后于2024年3月13日正式通过的立法决议中最终确认了严格监管的“开源例外”。[1]据此,开源软件AI系统或组件一般被排除在该法案的监管范围之外,除非属于高风险AI系统,[2]或被明确禁止使用的AI系统[3],或作为深度造假系统的组成部分被投放市场或提供服务[4]。在各国纷纷加大AI监管的背景下,欧盟对开源软件[5]的协作创新模式“网开一面”的做法具有重要的启发意义。一方面,由于大量AI系统的开发都离不开开源软件[6],开源例外条款可以在一定程度上缓和较为严格的AI监管制度,为技术研发主体“松绑”从而激励创新;另一方面,开源例外条款充分体现了在开放中寻求创新和安全的平衡发展观,并从制度层面与欧盟长期推行的开源软件战略(Open source software strategy,简称OSS)互相呼应,构成了欧盟近年数字技术治理和数字化转型战略的重要一环。

鉴于开源软件战略对数字技术创新和治理的重要意义,加之国内相关研究的匮乏,本文拟详细评介欧盟开源软件战略的具体内容、推行机制及实施情况,助力我国开源战略的制定和实施,从而从开源视角平衡我国数字技术治理中的创新与安全。

欧盟开源软件战略的具体内容及推行机制

欧盟推行开源软件战略可以追溯到本世纪初。二十多年里,欧盟委员会根据全球开源软件的发展和欧盟自身的状况,先后颁布了5个版本的《开源软件战略》。对其不同阶段内容和重点的比较,可以全面揭示欧盟开源软件战略的沿革、内容和落实机制。

(一)历史沿革与具体内容

2000年12月,鉴于开源软件运动的壮大及其日渐凸显的经济价值,欧盟委员会制定了《关于内部使用开源软件的战略》,这是欧盟开源软件战略的雏型。该战略的修订版于2003年7月获得欧盟技术信息委员会(Committee on Technical Information,简称CTI)批准,其目标之一是建议欧盟机构将Linux作为服务器操作系统,使用Apache以驱动europa.eu的服务器,并在欧盟委员会的博客和论坛中使用开源软件。该战略启动之后,每隔数年欧盟委员会都根据开源实践,定期更新战略目标和具体行动计划,迄今已更新至2020-2023年版本。

2007年,欧盟委员会颁布了第二个《开源软件战略》,时间跨度从2007年到2010年。该战略吸收了美国的开源许可经验,创设了欧盟特色的公共许可证(European Union Public Licence,以下简称EUPL),促使欧盟公共部门使用开放的技术规范,并将其开发的软件以开源的形式发布。EUPL允许用户在许可条件下使用、修改源代码,提高软件技术能力和软件质量,现已获得广泛使用。该战略还要求加大对欧洲开源社区的建设力度,营造开源生态。据此,欧盟委员会设立了许多致力于研发开源软件的社区平台。例如,欧洲公共管理部门的开放源代码观察站和存储库(OSOR.eu)便承载了众多开源软件研发项目,鼓励合作开发和重新使用公共资助的开源软件应用程序,鼓励设立“泛欧”开源软件存储库并加强与国家资源库的关联。在这一阶段,欧盟许多开源软件在研发与应用上获得了很大进步,特别是欧盟电子政务流程管理的软件技术。典型代表当属“e-Prior”,这是一个用于交换当事人标准化电子文件的采购软件,用于支持欧盟政务采购订单和服务目录的生成和传送。[7]

在《开源软件战略》(2011-2013)中,欧盟委员会根据过去十年的开源实践,进一步提出了规范开源软件产业公平、透明、有序发展的管理制度和法律要求。这一阶段新增的战略重点内容包括:建立采纳开源技术的软件产品管理程序;为开源软件提供公平的竞争环境,以积极和公平的态度评估开源软件;推荐使用公认的、有据可查的、自由开放且可扩展的技术规范;使用完善的标准,以实现具有互操作性的目标;在强调新信息系统的本土开发方面,如果这类系统预计由欧盟基础设施以外的第三方部署,则优先选择使用开源软件;进一步澄清围绕开源软件的法律问题,包括许可、知识产权、采购的平等机会等;进一步制定准则和规范,建立涵盖全套专业服务的开源软件和混合解决方案;继续发展和采用开源软件社区中出现的最佳做法和工具,同时采用最先进的治理做法,特别是在安全领域;进一步加强负责内部和外部开源软件战略的委员会团队之间的沟通和协作;针对信息通信技术(Information Communication Technologies,简称ICT)生态系统,要求数字部(DIGIT)继续发挥积极作用,促进欧洲机构和其他利益相关者之间的开源合作伙伴关系发展。[8]

随着许多关键ICT服务和软件解决方案使用了开源软件,欧盟委员会意识到开源治理的重要性,《开源软件战略》(2014-2017)也应运而生。该版本的开源软件战略特别强调采购的平等、对开源软件项目的贡献、法律问题的澄清以及透明度问题。具体而言,其目标包括:第一,确保软件采购的平等待遇。这意味着在采购过程中,欧盟委员会致力于为专有软件和开源软件提供公平的竞争环境,并在平等基础上对两类软件进行评估,包括总成本和退出成本。第二,对社区的贡献。欧盟委员会以其应用软件所使用的开源代码为基础,进一步参与到开源社区建设之中。第三,澄清法律方面的问题。为了方便与开源社区合作,软件开发者将获得适当的法律指导,了解如何解决与开源软件相关的知识产权问题。第四,欧盟委员会服务部门开发的开源、可互操作且采取开放技术标准的软件,特别是以在组织外部使用为目的的软件,将依据EUPL在Joinup平台上开放其源代码并正式对外发布。第五,提高透明度并促进有关各方更好地沟通。欧盟委员会强调在ICT安全领域更多地使用开源软件,并将该战略与欧盟委员会的“欧洲公共行政部门的互操作性解决方案计划”(Interoperability Solutions for European Public Administrations,简称ISA计划)保持一致,促进跨境和跨部门电子政务服务的现代化。欧盟委员会为此制定了一个全面的行动计划,内容涉及协调其不同部门之间的活动,以确保欧盟内部各部门严格遵守开源软件战略的原则。这些活动基本上是内部的,主要包括产品管理和采购流程、欧盟委员会研发软件的对外传播、许可证的兼容性、标准的推广,等等。[9]

最新版本的《开源软件战略》(2020-2023)尝试将自身融合到欧盟的数据战略之中,其以“开放思维”(Think Open)为战略主题,鼓励欧洲社会利用这一变革性、创新性和协作性的力量,强调对软件、知识和专长的共享和再利用,以提供更好的欧洲服务并降低社会成本。其战略目标包括:通过创造和维持欧洲独立自主的数字化方式,逐步实现数字自治;贯彻欧盟数字战略;鼓励分享和再利用软件、应用程序、数据、信息及知识;通过开放源代码,为知识社会做出贡献;打造世界级公共服务。在这一进程中,欧盟开源战略秉持开放思维、变革、共享、贡献、安全、保持控制六项原则,具体行动计划包括:2020年在欧盟内部设立开源项目办公室(EC Open Source Programme Office),作为战略促进主体;设置并推广内部源代码的初始参数;加强软件库的建设,修订软件分发程序;借助开源实验室促进发明创新;培养专业技能并聘请相关领域专家;将开源纳入内部信息技术统一管理;确保开源软件的安全属性;加大开源社区宣传,鼓励和促进内部研发。[10]

纵观之,欧盟的开源软件战略几经更新,从最初的简单推广Linux/Apache等开源软件的应用,到培育欧盟本土开源软件、营造本地开源生态,再到全面提升开源的规范化和治理水平,最后与欧洲数字化建设、公共服务能力乃至数据战略紧密结合在一起,呈现出逐步深化的特点(参见表1)。

(二)落实战略的配套机制

1. 专门机构的设置

欧盟委员会是欧盟开源软件战略的主要推进者。早期的战略由欧盟委员下设的技术信息委员会最终审定。鉴于数据生态系统的复杂性,欧盟委员会要求其下设的委员会团队之间开展协作与沟通,要求数字部发挥积极作用,促进欧洲机构和其他利益相关者之间的合作伙伴关系发展和深度融合。为推进最新的开源战略,欧盟委员会还特别设立了专门机构开源计划办公室,将其作为“所有开源活动的促进者”,加速开源软件的创建、应用和更新。开源计划办公室以开放思考、转型、分享、贡献、安全和保持控制为指导原则,在开源领域开展行动。[11]其内部任务包括确保开源行为符合法律规范、跟进内部对开源软件的使用情况和进度、制定开源项目的资助计划等。在组织外部,开源计划办公室负责倡导和宣传开源计划,组织相关培训和人才招聘,组织各方参与开源活动,加强与开源社区、基金会等组织的互动协作,加强软件存储库建设,支持软件的分发、使用和修订,确保开源软件的安全性等。例如,基于对开源软件安全性的考虑,自2019年起,开源计划办公室资助发起了“漏洞赏金”计划,选中的开源软件包括文档编辑软件(LibreOffice)、立法编辑开放软件(LEOS)、内部资源管理软件(Odoo)以及加密信息交换软件(Cryptopad)。[12]总而言之,作为衔接欧盟内外开源的重要中介,开源计划办公室在消除组织、法律、技术及沟通障碍,加强公共部门开放性、透明性和合作方面发挥着重要作用。但开源计划办公室仅是一个“促进者”,其在支持各种知识、代码、软件流动的同时,并没有职权审批与开源相关的所有事务。

2. 配套政策的实施

从政策层面看,欧盟将开源行动的重点放在政府和公共部门上,大力鼓励这些部门在内部使用开源软件。欧盟开源战略最初的重心就是在欧盟公共部门内部使用开源软件,后续政策也不断强调政府采购必须公平对待且优先考虑开源软件。这些政策很快提升了欧盟公共部门使用开源软件的比重,这一趋势也在近期不少公共服务应用中得到了体现。在欧盟2020年提出的一系列解决新冠疫情危机的近500个数字解决方案中,三分之一以上都是开源的,医务人员、其他政府部门、企业和公民可以免费访问这些开源的资源库。[13]

欧盟许多顶层政策设计也与其开源软件战略相呼应(参见表2)。例如,作为欧盟行政数字化的总体规定,欧盟《电子政务行动计划》(eGovernment Action Plan)对公开和透明的要求与开源软件战略完全一致,二者都致力于提升政府部门的开放性、高效性和包容性。[14]2017年的《塔林电子政务宣言》(Tallinn Declaration on eGovernment)包含了所有欧盟成员国为开源软件提供关键基础设施和政府授权的进一步承诺,如推广使用开源软件、发布适当的开放许可政策。[15] 在2020年发布的《关于数字社会和价值基础的数字政府柏林宣言》(Berlin Declaration on Digital Society and Value-Based Digital Government)里,所有欧盟成员国一致同意支持政企合作,鼓励跨境开发、共享和再利用开源软件,该宣言要求在开发和部署跨境数字解决方案时合理利用开源技术。[16] 2022年欧盟的“构建欧盟数字主权”会议更是将开源代码纳入其数字领域的战略,并建议在现有项目和专家团体基础上发起欧盟数字公共产品倡议,重点明确了可能具备欧盟性质的现有开源软件。[17]为确保软件供应链的持续安全,2022年欧盟委员会发布《网络弹性法案》(Cyber Resilience Act),旨在整合现有安全监管框架,提高包括开源软件在内的数字产品的透明度,加强欧洲数字产品的安全属性。[18]这些配套政策的实施在推动欧盟开源软件战略发展的同时,也使开源软件成为欧盟开展电子政务、追求技术主权、落实数据战略的必不可少的基础性设施。

3. 开源生态的营造

开源软件的大规模推广应用和共享,必须建立在开源软件的数量和质量供给能够满足政府和民众需求的前提之上,而这又离不开良好的开源生态。为了确保“源头活水”,欧盟采取了如下几方面的措施。

第一,在推动欧盟本土开源社区健康发展的同时,与国际开源社区保持互动。鉴于世界上主流的开源社区都源自美国,欧盟在开源战略中特别注意培育本土开源社区的发展。前述的“泛欧”开源软件存储库——欧洲公共管理部门的开放源代码观察站和存储库(OSOR.eu)就承载了欧盟众多本土开源软件研发项目。欧盟之所以如此重视开源社区建设,除了对代码安全的考虑,关键还在于开源社区对欧盟市场和行业带来了实惠。一方面,开源社区作为多样性、包容性的工作平台,不仅能够汇集众多软件开发者和使用者在此进行思想碰撞和技术交流,而且还承担着商业运作、软件管理、项目孵化等多种职能。另一方面,开源社区可以为中小企业和初创企业提供长期、稳定、全面的支持,包括提供开源许可证、开源产品开发等各方面的建议,鼓励使用标准化解决方案来处理技术问题。

第二,保持本地开源社区的国际视野和开放性质。欧洲与以美国为首的全球开源社区一直保持开放合作的态度。实际上,Linux系统的最主要开发者林纳斯·托瓦兹(Linus Torvalds)就是芬兰人。如今,Linux基金会中约有31%的成员是欧洲人。为了深入参与国际开源运动,反映欧盟作为超国家参与者在促进开源和国际标准方面的领导作用,2022年9月Linux欧洲基金会成立。[29]通过与国际开源社区的积极互动,欧盟提升了欧洲开源软件开发的质量以及软件产品的市场化和国际化。

第三,提升欧盟本土开源活动的规范性和治理水平。基于欧盟与成员国法律的兼容性,欧盟创设了EUPL并获得开放源代码促进会(Open Source Initiative,以下简称OSI)的正式认可。[30]从法律适用角度来看,EUPL既受到欧盟成员国法律的规制,同时也适用于欧盟层面的软件指令。[31] EUPL以22种欧洲语言发布,任何人都可以将其用于开源软件分发。尽管此前OSI已经认证了100多个开源许可证,例如“通用公共许可证”(General Public License,简称GPL)等,但欧盟认为这些许可证不能完全符合其要求。欧盟对开源许可证的特殊要求主要体现在三方面:许可证在不同语言版本中应具有同等的法律价值;关于知识产权的法律术语必须符合欧盟法要求;为使许可证在所有欧盟成员国中均有效,关于责任或担保的限制必须准确,不能像大多数许可证在设计时只考虑美国的法律环境,例如只规定“在法律允许的范围内”。[32]作为欧洲范围内独特的开源许可法律工具,EUPL已经更新到1.2版本,既被《开源软件战略》(2020-2023)钦定为推荐的开源许可证[33],又被正式纳入一些成员国的政策文件,协助提高了开源软件在政府部门中的占有率。除了提升许可证的规范性,欧盟还积极吸收开源社区的最佳做法,制定指南或准则,推广先进的治理实践。例如,欧盟在《在公共部门创建可持续开源社区的指南》中总结了成功创建公共领域开源社区的五大因素,即社区活力、治理结构清晰、技术成熟、持续投资、政策激励,[34]并助推开源社区的各项活动,比如开放软件源代码、提供开源许可的信息和法律支持、服务开源社区的可持续发展等。

第四,积极推广开源软件在欧盟公共领域的应用。欧盟创建Joinup平台以协助和支持成员国部署数字公共服务,并在该平台上集中发布开源软件,方便用户访问和再利用。以Joinup平台的电子签名开源软件为例,它的广泛应用让用户得以更轻松地在线验证欧盟成员国证书中电子签名的效力,[35] 加快了欧盟内部使用的合法有效电子签名的创建和验证速度。欧盟还不断使用现有开源软件进行软件开发。例如,欧盟基于Matomo(一个网站统计分析的开源软件)开发出Europa Analytics,用于日常监控和评估欧盟委员会官网(Europa)的有效性。[36]另外,尽管欧盟较少出台针对私人主体的开源政策,但不得不承认,欧盟开源软件战略的实施同样产生了积极的外部经济效应,促进了初创企业的成长,并增加了不少就业机会。

4. 与成员国的协同合作

长期以来,欧盟还通过资助、合作开发等方式,协同处理各成员国共同的开源问题。欧盟与各成员国合作创设高效的数字跨境公共服务,包括信息交互、评估欧盟新立法对通信技术的影响等。例如,2021年,欧盟委员会正与德国、西班牙和希腊进一步合作开发立法编辑开放软件(LEOS)。[37] 为了促使公众更加自由、公正和透明地访问公共产品的信息,2022年,7个欧盟成员国合作启动了“开放Web搜索”项目(OpenWebSearch),欧盟为该项目提供了850万欧元的融资。[38]在此之前,罗马尼亚政府将卫生系统的数字化作为优先事项,以促进社保信息的同步,此外还在医疗保险中采用了开源软件以搭建患者分类系统,并借助开源软件与其他成员国的相关机构共享社保信息。[39]对于成员国如何成功推行开源软件,欧盟参考了德国“学校云”(Schul-Cloud)开源项目,提炼出4个关键要素:地方政府间的积极协作、专家团队的有效治理、政府的激励机制以及充足的预算支持。而推行失败的开源项目的问题主要在于软件兼容性差、政策支持和资金不足、缺乏开源社区和人才支持等方面。[40]

欧盟成员国对开源软件战略的落实

欧盟层面的政策、指导方针和实践倡议对成员国仅具有指导性作用。为落实欧盟战略,享受开源的好处,欧盟成员国采取了不尽相同的配套措施。

(一)加大立法和政策的供给

法国一直积极推进开源软件战略,并先后通过了多项立法:(1)2006年修订其《知识产权法典》(Code de la propriété intellectuelle),引入了专门针对自由软件和开源软件许可的宣示性条款;[41](2)2012年发布国家第5608号通知(Circulaire 5608),要求所有政府部门在采购软件时优先考虑开源软件;(3)2016年颁行《数字共和国法》(Digital Republic Law),在国家层面促进数据可携、数据开放,将开放数据原则延展至源代码的开放,鼓励各行政机构使用开源软件,明确在政府内部开发的源代码是一种具有公共性、行政性和再利用的文档;[42](4)2017年针对开源软件许可证问题专门出台2017-638号文件[43]。在政策层面,法国在2018年发布《国家对自由软件的贡献政策》(Politique de contribution de l’Etat aux logiciels libres),鼓励各政府部门在其职责范围内为开放源代码做出贡献[44];2021年出台的《关于数据、算法和源代码的公共政策的第6264/SG号通知》强调数据战略必须成为国家的优先战略选项;[45]同年启动的《开源软件和通用数字行动计划》(Plan d’action logiciels libres et communs numériques,以下简称“《开源计划》”)的核心内容包括政府工作使用开源软件、政府部门开放源代码和吸引开源人才。[46]法国数字化部际管理局(Direction Interministérielle du Numérique,以下简称DINUM)为此编写了《使用和开放源代码指南》《公共算法指南》等政策文件,指导政府部门的开源实践。截至2021年9月,法国15个部委发布了实施《开源计划》的路线图(15 feuilles de route ministérielles),内容涉及农业、教育、劳工、卫生等多个领域,表达了采取行动和使用开源软件的强烈意愿。[47]

相比法国,德国的开源立法和政策起步较晚,且带有一定的地域和层级性。在联邦层面,支持开源软件、限制专有软件的政府采购立法一直存在较大争议,此前也没有相关判例法,这导致政府开源采购的合法性问题长期存在争议。[48]为更好地落实欧盟层面的战略要求,使国民享受数字政府服务,德国在2020年制定了开放性的服务标准,要求开放标准、开放源代码以及对源代码的再利用。在地方层面,为摆脱对单个专有软件供应商的高度依赖,不同层级的德国地方政府开始实施“脱钩计划”。例如,在慕尼黑、汉堡之后,德国石勒苏益格-荷尔斯泰因州(Schleswig-Holstein,以下简称“石荷州”)于2021年正式使用包括LibreOffice在内的开源软件以全面代替微软公司的Windows和Microsoft Office。[49]石荷州政府的《开源战略报告》提出在政府软件采购时应采取“多供应商战略”,降低过度使用专用软件的风险,并为此修订了招标条件,增加开源软件的使用。[50]

意大利2005年颁布的数字政府领域主要立法《数字管理法》(Codice dell’Amministrazione Digitale,以下简称CAD)对开源软件做出了专门规定。根据该法,意大利政府实施公共采购前应重视开源软件的应用,在比较评估的基础上优先采购开源软件,仅在完全没有可行的开源软件时才允许采购专有软件(第68条);意大利政府部门有义务根据相关规定或开源许可证向公众免费提供源代码(第69条)。[51]在政策层面,2020年意大利数字机构(AgID)发布了最新《公共行政信息技术三年计划》(Piano Triennale per l’informatica)以落实欧盟数字战略,促进本国政府数字化转型。该计划在指导原则中明确要求政府部门应当支持使用开源软件,且应当开源其开发的软件。[52]

(二)推动专门组织的设立

欧盟成员国有各自不同的机构负责开源战略的实施。法国一直是开源战略的坚定拥护者,其开源政策主要由数字化部际管理局(DINUM)主持。为了推进国内法律体系的数字化工作,在法国总理授权之下,该局特别增设了一个名为Etalab的专家组[53],专门负责研发开放数据和源代码,发布指南指导各部门查找现有开源代码和法律规范,提供关于技术和法律问题的个性化帮助。在法国政府启动了开放数据运动之后,Etalab引入了开放许可制度,旨在促进公众免费、广泛且便利地重复使用公共部门信息[54]。法国将公共机构购买或开发的源代码视为行政文件,在跨部门的公共源代码共享平台(code.gouv.fr)上作为公共数据向公众开放,此外,一些公共组织(如GitHub)发布的源代码存储库也能够在该平台上获取。[55]在意大利,开源政策与政府部门的数字化转型紧密相连,开源政策的实施主体主要是意大利数字机构(AgID)、意大利数字局(the Italian Digital Agency)和技术创新与数字化转型部(Department for Digital Transformation)。这些机构在吸纳此前的多数工作组的基础上,统一创建了数字团队(Dipartimento per la Trasformazione Digitale),以此来提供有关开源软件以及政府采购开源软件的咨询服务。在德国,政府部门和科研机构是推动开源运动的主力军。例如,北莱茵威斯特法利亚文化部与德国开源软件研究所(ifrOSS)合作发布了“德国自由软件许可证”(Deutsche Freie Software Lizenz)[56],德国科学界还推出了著名的“数字同行出版许可证”(Digital Peer Publishing Lizenz)[57],这些采用德文的许可证是德国本土的知名开源许可证。

在欧盟发布最新开源战略后,欧盟层面成立了开源项目办公室(OSPO),有的成员国开始效仿这种做法,在国内设立OSPO。法国就是最典型的例子。巴黎在欧盟最新开源战略公布后不久即宣布了组建OSPO的计划。[58] 不过,设立OSPO的做法目前尚未成潮流。此外,欧盟民间效仿美国的做法,成立了促进开源软件运动的欧盟自由软件基金会和相应维权机构。该基金会与德国技术专家和开源倡导者哈拉德·威尔特(Harald Welte)所创设的“制止违反公共许可证的侵权行为”网站(gpl-violations.org)积极合作,代表开源代码作者在欧洲国家开展有组织的开源维权。仅在2003年到2006年期间,gpl-violations.org就介入了100多起违反开源许可协议的纠纷解决,并达成许多庭外和解。该机构最知名的维权案件之一是2013年在德国汉堡法院赢得了针对凡泰克公司(FANTEC)的开源合规诉讼,明确了软件提供商对上游代码供应商提供的源代码同样负有开源合规的审查义务。[59]

(三)司法裁判对开源规则的支持

开源软件并非不享有著作权保护,其实质是通过开源许可证的特殊制度设计,有条件地许可源代码的著作权财产权(例如复制、分发、修改),但用户必须满足一系列限制性条件(例如声明作者、许可证信息乃至开放源代码等)。[60]在过去一段时间里,开源许可证本身的法律效力是理论界和实务界争论的话题之一。[61]但在美国司法机关尚未全面分析和肯定开源许可证效力时,欧盟成员国司法机关就对这个问题给予了积极的回应。早在2004年,德国慕尼黑地方法院在Welte v. Sitecom Deutschland GmbH案中就已明确,不遵守开源许可证的使用行为同时构成违约和版权侵权。[62] 德国法兰克福地区法院在Welte v. D-Link案中进一步将开源许可证认定为附解除条件的合同和《德国民法典》规定的“格式合同”,开发者在许可证中设定的使用条件应当被认定为“解除条件”。[63]此外,柏林[64]、汉堡[65]等地方法院也都有过类似判决,均支持开源许可证的效力。

在2009年裁决的EDU 4 v. AFPA案中,法国巴黎上诉法院认定设备提供商删除开源软件文档的版权信息和许可证并替换成自己版权信息的行为,违反了开源许可证,构成对技术合同的违约。[66]法国学者也认为,开源许可证可以适用法国《知识产权法典》第131-1条至第131-9条和第132-1条至第132-45条有关知识产权许可的规定。[67]法国第二个重要裁决由国务委员会(the Conseil d’Etat)在2011年做出,涉及政府开源采购的合法性。在该案中,法国皮卡第地区政府(以下简称“皮卡第政府”)计划开发一款软件但最后选择了已有的开源软件Lilie。鉴于该开源软件已应用于法国另一行政区法兰西岛,皮卡第政府直接下载了该软件并启动了公共采购流程,供相关公司实施、操作和维护。但该地区一些公司对政府这种做法的合法性提出异议,不希望被迫使用开源软件Lilie。国家行政委员会裁决最终指出,皮卡第政府下载该软件的行为合法,可以将公共采购限制在实施、运营和维护服务上。[68]

除此之外,意大利、比利时、荷兰、西班牙的司法机关也做出了相关的司法裁判,确认了开源软件许可证具有法律效力(参见表3)。总体来看,因国内法的不同,欧盟成员国对违反开源许可证的法律定性可能略有差异,但鉴于欧盟层面在软件著作权保护和软件合同方面的法律协调,成员国司法机关对经国际认证的开源软件许可证核心条款的法律效力并不存在争议,开源软件的知识产权人可以在欧盟各个成员国获得司法救济。

对欧盟开源战略的评价

欧盟推行的开源软件战略有助于公共部门和企业的降本增效及技术创新,并在一定程度上巩固了欧盟数据主权和代码安全,但其战略也存在推行力度尚浅、各成员国开源生态发展不均以及开源安全意识不足等问题。

(一)欧盟开源战略的积极意义

1. 节省政府采购成本,提高行政透明度

经济成本方面的考虑是欧盟初期出台开源软件政策的主要动力。在2010年之前,虽然欧盟政府和企业尚未完全看透开源软件的巨大潜力,但人们普遍认为,开源软件比专有软件更便宜,也更加容易修理和维护。如何借助开源软件控制政府软件采购的成本,由投资巨大且闭源的专有软件转向成本大多为零的开源软件,自然成为当时欧盟的关切。[69]从欧盟开源软件战略的实施状况来看,欧盟官方机构和成员国公共部门的开源软件使用比重在短短数年时间就得到显著提升,基本实现了通过推进开源软件采购来减轻政府财税负担的目的。根据欧盟委员会的统计,到2010年,欧盟委员会所有新的网络应用程序都受到基于开放源码软件的身份验证解决方案的保护,委员会开发的信息系统有60%以上基于Java,且这些项目都包含了OSS 工具。[70] 现阶段,一些欧盟成员国的网络服务器、数据库等网络基础设施也达到了主要基于开源软件的开发程度。例如,在德国石荷州,LibreOffice在Microsoft Office到期(2025年10月14日)之前就已经在行政管理中保持80%占有率,预计到2026年底,在州内公务员(包括教师)所使用的计算机上,LibreOffice将彻底取代Microsoft Office,同时Windows操作系统也将被Linux所替代。[71]

开源软件在政府公共部门的大量使用还提高了欧盟行政的开放性和透明度。事实上,信息化程度高的国家基本上都在推动开源软件的开发和应用。[72] 欧盟各国也大力借助开源工具来提高公共部门的开放性、高效性和包容性。以法国为例,《开源计划》特别强调政府对自由软件(解决方案和库)和数字共享生态系统的贡献,法国政府不仅支持相关部门开放源代码,还主动创设开源平台(code.gouv.fr),推广具有重复使用潜力的源代码,并引领开源生态的发展。[73]政务部门的开源政策,增加了公众对政务的参与度,也让公众获得了更好的数字公共服务。

2. 节省企业创新成本,促进软件市场竞争和升级

首先,2010年之后,开放源代码已经成为欧盟中小企业降本增效的有效路径。据估算,企业利用开源软件可以为其软件开发项目节省38%的直接成本,具体到需求、设计、构建、测试、实施五个环节,成本节约各自达到13%、13%、41%、23% 和10%。[74]美国作为开源运动的发起国,其众多初创企业明显享受到了开源软件带来的红利。欧洲软件产业虽然远不如美国发达,但数量众多的中小企业和独立开发者已经是开源生态的主要贡献者和获益者。在开源软件开放、透明的开发模式下,边际成本的降低能够促使欧盟更多中小企业参与软件研发,有效提升开发效率,减少资源浪费,加快软件创新。欧盟委员会的研究指出,开源软件推广对欧盟初创企业增长影响的模型非常稳健,对欧盟计算机软件、信息通信行业的初创企业就业人口的增加起到了正面作用。[75]该研究预测,对开源软件的投入每增加10%,每年将额外产生0.4%—0.6%的GDP,同时在欧盟境内新增600—1000家信息和通信技术的初创企业。[76]该研究还表明,OSS对欧盟国内生产总值(GDP)产生了积极的经济影响,仅2018年就估计在650亿—950亿欧元之间。[77]

其次,欧盟开源软件战略的推行具有打破(尤其是美国上游)系统软件垄断、提高消费者福利,提升欧盟软件市场竞争力和推动软件市场升级的功能。开源软件数量的增多,在某种程度上避免了专有软件开发者垄断欧盟软件供给市场并阻碍其软件改进的消极后果。开源软件的出现也推动了专有软件的创新,通过降低创新成本和创新过程中的交易成本,以及借助“各尽所能”的研发分配方式,开源软件可以优化整个社会的创新资源配置,从而推动欧盟整个软件产业的进步。[78]

3. 降低专有代码锁定效应,提升欧洲的数据主权和代码安全

首先,由于欧美之间较为亲密的地缘政治关系,欧盟最初并没有像亚洲和南美国家那样早早地将开源软件与国家政治安全密切捆绑在一起。[79]即便如此,近年欧盟开源软件战略也不再将重心继续放在节约政府软件采购成本上,而是逐渐转向降低代码和软件对外部依赖的风险。现阶段,美国在全球软件产业中占有绝对优势,美国企业掌握着核心软件技术及标准,把握着制定开源生态规则的主导权。主流的开源许可证、开源系统、开源代码托管平台均源于美国,“闭源断供”的风险在理论上并非不存在。而目前中美之间日益增长的紧张关系也促使欧盟未雨绸缪地应对“两个区块之间可能的技术脱钩”和可能的开源供给短缺问题。[80]欧盟开放源代码的政治愿景根植于欧盟开放和协作的发展观,也与其近年追求技术主权的战略思路相关。欧盟最新的开源软件战略将重心转向数据主权,说明欧盟意识到了数字经济背景下缺乏技术自主和独立行动能力的弊端。因此,欧盟将“开放和共享的软件和硬件基础设施作为全球数字公地”的创建列为欧洲技术主权项目的第四个支柱,与之并列的有网络空间的安全、数字市场的法律和经济监管以及欧洲的创新能力。[81]

其次,欧盟开源软件战略的实施还降低了开源的政治化风险,维护了本土开源生态安全。开源软件的高度开放性和广泛性可能具有潜在负面后果,例如,一旦开源软件产生安全漏洞,相较于专有软件,其危害范围、程度和速度更甚。加上对政治因素的考虑,开源生态可能遭遇开源软件“投毒”危机。譬如,在俄乌冲突背景下,Node-ipc开源软件的开发者出于个人政治立场,在其开源仓库中添加恶意代码,在用户桌面创建反战标语,甚至抹除俄罗斯和白俄罗斯用户数据。[82]由此可见,开源社区的松散式管理并不足以维护地区的开源生态安全,需要国家或区域更强有力的战略和组织支持。为提升开源软件的安全性,基于欧洲议会在Heartbleed漏洞事件后的倡议,欧盟于 2016年设立了“自由软件审计项目”(Free and Open Source Software Auditing,简称FOSSA),并为欧洲机构使用的开源解决方案设计了“漏洞赏金”计划,对发现缺陷的工程师提供大约5000欧元的奖励。2021年欧盟启动了FOSSEPS试点项目,继续对识别欧洲公共服务关键开源软件漏洞的行为实施奖励,创建“处于临界健康状态的依赖项开源组件”清单,并采取了关闭、更新和漏洞修复的行动。[83]

最后,欧盟开源软件战略为欧盟可信AI的开发和应用提供了助力。AI是智能化的软件系统,包含大量代码和软件。随着AI应用场域持续增多,为提高可信度,开发者借助开源可以创建更多具有互操作性、非歧视性和透明性的程序,获取AI学习方法和框架。例如,美国Apache开源基金会近年的顶级开源项目多分布于大数据、人工智能、云计算等热点领域。[84]由于开源软件是数字基础设施和公共服务的基础,对欧盟数字产业和AI产业的研发活动有正向激励功能。因此,在《人工智能法》正式通过前,欧盟就已经着手构建该法案与开源战略的协同治理模式,发布了《在欧盟AI法案中支持开源和开放科学》[85]的政策文件,支持在开源生态中发展AI的理念。在具有高度透明性、开放性和协作性的开源生态中,参与者通过代码、规则、流程的公开,构建可信的协作开发模式,有助于开发安全且可靠的AI,节约信任成本。也正是认识到良好的开源生态与可信的AI技术创新之间的良性互动关系,欧盟《人工智能法》加入了“开源例外”条款。

(二)欧盟开源战略存在的问题

1. 执行环节的力度不足

执行环节力度不足是影响欧盟和成员国初期开源软件战略成效的主要因素,这点在战略初期的政府采购方面有比较明显的表现。[86]首先,政府采购官员往往负责多种产品和服务的采购,对开源软件不具备相当的专业评估水平,对开源软件政策的认知度较低,因而采购计划中有关“比较分析”的要求难以执行。其次,有的软件采购计划仅概括了一些基本要求,而实践中某些成员国政府部门(例如意大利)一般有各自的采购需求,会单独进行软件采购,并同时受到其他法律的制约。[87]再次,开源战略的推动者有时低估了公共产品生产不足的问题,以及政府、企业从原有专有软件迁移到新的开源软件解决方案所涉及的转换成本问题,因为开源软件在后续使用的培训、兼容性、数据可用性方面都可能会产生新的成本。[88]这种情况迫使一些成员国在总结经验之后,细化了开源软件采购的规范性。例如,《意大利电子政府法》(2012年)第68条最初仅规定,“只有当技术和经济方面的比较评估表明不可能采用开放源码解决方案或公共行政系统内已经开发的任何其他软件解决方案时,才允许购买专有软件产品”。后来意大利政府总结经验,在2018年引入了更为清晰的指引,要求公共行政部门在进行软件购买之前,应当根据以下标准对可用的不同解决方案进行比较评估:(a)程序或解决方案的总成本(包括购买、实施、维护和支持等成本);(b)开放型数据格式、接口和标准的使用水平,以确保公共行政部门不同信息系统之间的互操作性和应用合作; (c)就所购买软件的类型,供应商在安全级别、遵守数据保护法规、服务级别方面的保证。公共行政部门如果依照前述标准评估后仍无法获得现有方案,则可以通过许可证获得专有计算机程序。[89] 2019年5月,“意大利数字机构和数字化转型团队”(Agency for Digital Italy & Digital Transformation Team)进一步发布了《公共行政部门软件采购和重用指南》以指导开源软件的采购。[90]

2. 成员国开源生态发展的不均衡

首先,欧盟成员国在开源生态发展方面呈现明显不均衡态势。在欧盟启动开源战略将近20年之后,许多欧盟国家依然没有针对开源软件许可的相关立法、判例,也没有本土的开源许可证,例如塞浦路斯、丹麦、希腊、匈牙利、波兰等国(见表3)。欧盟主要的开源社区和开源软件维权活动都发生在德国、法国等较为发达的欧盟国家。根据2021年欧盟一份研究报告,就开源软件托管平台Github之上的开源代码、文档的修改记录和开源贡献者的数量而言,德国、英国和法国位于欧洲前三,欧盟最活跃的开源社区位于法国、德国、捷克、罗马尼亚和已经脱欧的英国。[91]与之相比,其他欧盟成员开源社区的贡献度和活跃度有着明显差距。

其次,欧盟成员国对开源社区的政策干预力度差异很大。开源软件的稳定供给需要政府和行业对开源社区进行有效治理,建构健康的开源生态,吸纳更多软件技术人才的长期参与。尽管欧盟开源战略提到要与开源社区建立长久、稳定的良好关系,加大对开源社区的宣传,但政府如何进行政策干预、把握开源社区治理的尺度,欧盟开源战略并未给出明确指引。对此,个别欧盟国家出台了国家层面的干预政策,大力推动开源社区的治理。例如,根据法国政府的《开源计划》,众多政府部门联合进行总动员,成立“自由软件专业知识中心”推动行动计划的落实。该计划不仅支持政府主管部门开放源代码,而且要求管理部门调动已发布的源代码的生态系统,促进数字共享生态系统的发展。[92]但是,放眼整个欧盟,这类干预政策在欧盟各国并不多见,且国家层面制定的开源计划在欧洲层面也缺乏良好的协调。[93]可见,在欧盟开源战略的具体实施和开源社区干预上,欧盟成员国之间仍存在一定的协调难度。

3. 成员国开源安全意识仍待提升

开源软件的使用同样会引发数字安全风险。根据美国科技公司Synopsys的《2023年开源安全和风险分析报告》,开源组件的安全风险正日益增加,开源组件过期和“废弃”的现象非常普遍,未妥善管理的开源代码经常会产生安全漏洞。若这些情况不及时排除,可能会导致不必要的兼容性和功能安全问题。[94]这也是欧盟开源软件战略明确以安全原则作为指导、要求确保代码安全的原因之一。但是,欧盟开源战略更多是从宏观层面提出安全性要求,例如要求成员国政府重视软件供应链安全、持续进行安全性测试等,至于各成员国在软件安全领域的现实具体需求则较少被关注到。相应的,目前无论是欧盟层面还是成员国国内也都没有设定相关标准或制定相关规范来规制开源代码的安全漏洞问题。这也是欧盟成员国内部因欧洲政治危机引发恶意软件攻击事件的技术背景之一。[95]相较而言,2022年美国参议院通过的《保护开源软件法案》(Securing Open Source Software Act)在提升开源软件安全方面更具可操作性。根据该法案,白宫管理和预算办公室(Office of Management and Budget)应当提供有关政府如何安全使用开源软件的指南,进而降低开源代码的安全风险。[96]由此看来,欧盟成员国的开源安全意识仍待提升。近年欧盟似乎也意识到其成员国在软件安全性问题解决方面的短板,并试图通过《网络弹性法案》的立法方式来弥补。[97]

值得关注的是,根据《开源软件战略》(2020-2023),欧盟将遵循互联网技术领域(IT)的安全最佳实践和监控安全建议(best practices and monitoring security advisories),持续推动针对开源软件的安全测试。在具体实施层面,为提高应对网络攻击的能力,2021年,欧盟拟建立一个联合网络小组(Joint Cyber Unit),以确保欧盟可以高效协调各成员国应对大规模网络安全事件和危机,并为相关成员国提供援助。该单位的组织建设分为四个阶段,最终完成日期为2023年6月。[98]2023年6月,欧盟理事会主席和欧洲议会谈判代表就一项旨在确保欧盟各机构共同网络安全的法规达成临时协议。根据该协议,欧盟计算机应急小组(CERT-EU)将升级成为欧盟层面网络安全和事件应对方面的信息交流和协调中心,其任务包括为所有欧盟机构、团体和办事处提供建议,帮助预防、发现和应对网络安全事件。所有欧盟实体都有义务与CERT-EU共享非机密事件相关信息,不得无故拖延。[99]

对我国实施开源软件战略的启示

随着我国数字经济的快速发展,我国正在成为全球开源市场的增长点,开源软件及开源代码遍及各个经济领域,在全球技术创新和数字化转型等方面起到了重要的推动作用。开源协作的创新模式是我国数字经济发展的机遇,但同时我国开源战略的实施也面临开源合规、人才供给、代码安全、技术可控等诸多挑战。

(一)我国实施开源战略的政策规范及现实挑战

开源软件战略的实施和开源创新体系建设是我国实现科技自立自强的重要途径。我国在近年也开始提出国家层面的开源战略。《中华人民共和国国民经济和社会发展第十四个五年规划和 2035 年远景目标纲要》首次在国家战略规划文件中明确提出支持数字技术“开源”发展。同时期的《“十四五”数字经济发展规划》明确要求支持具有自主核心技术的开源社区、开源平台以及开源项目发展,推动创新资源共建共享,促进创新模式的开放化演进,加快推动数字产业化。[100]在规划落实上,我国以指导意见的形式鼓励利用开源代码开发个性化软件,引导各项软件成果通过互联网向社会开源,支持共享开源技术、代码和开发工具。[101]具体来说,在知识产权领域,我国提出完善开源知识产权和法律体系,将其作为完善知识产权保护政策的内容之一,[102]鼓励探索专利开源等运用新模式,[103]争取以更好的姿态面向未来产业等前沿技术。同样地,我国在人工智能领域也倡导开源共享理念,促进产学研用各创新主体共创共享。[104]为了促使金融领域的机构合规使用开源技术,提高自主可控能力,《关于规范金融业开源技术应用与发展的意见》明确了金融机构使用开源技术应遵循的基本原则,鼓励金融机构参与开源生态建设,并规范开源技术的引入审批、合规使用、漏洞检测等流程。[105]此外,我国正在形成的开源软件安全评价方法的国家标准,目前处于草案阶段。[106]结合上述开源政策可以看出,当前我国尽管明确表态持鼓励开源,但尚无强力推进开源和共享的政策,相关政策文件只是停留在宣示性鼓励之上,缺乏从法律层面进一步明确产业链各方的法律义务和相关责任承担等问题。同时,立法层面对各经济领域的软件、代码安全问题重视程度不足,目前仅对个别开源应用场景(如金融领域)进行规范和指引,而且发生安全漏洞时处理行为的适当性也尚未明确。

从政策实施效果的角度看,近年我国在开源基础设施和支撑体系建设方面取得了较大进展,包括开源社区和基金会、代码托管平台、合规、知识产权保护等,我国在国际开源舞台上的地位和话语权也正逐步提升。不仅是新兴行业,各传统行业也逐步向开源敞开怀抱。金融行业如微众银行已经成功发起20多个开源项目,在电信行业中,以中国移动为代表的国内运营商通过与海外企业合作,参与了ONAP、Edge、G-SRv6等多个开源项目。[107]但是,随着开源应用场域的日益丰富,市场主体对开源需求越发多样和复杂化,各种现实问题也随之出现。具体来说,目前我国开源软件创新生态面临开源基础设施欠发达、开源合规及风险管理水平较低、开源人才供给严重不足等问题。[108]中国的开源社区、开源教育体系、开源托管平台、开源项目管理、开源基金运营、企业开源治理和开源风险防范体系仍存在诸多薄弱环节,亟待改善解决。[109]

(二)我国实施开源战略的优化路径

随着数字技术和数字经济的发展,我国开源项目也呈现出参与主体国际化和多元化的趋势,各方利益相互交织,产业格局和法律关系日渐复杂,如何在促进创新的同时保障安全,成为我国实施开源战略面临的新挑战。我国可以借鉴欧盟的经验教训,坚持开放的理念和模式,从法律制度供给、政策引导、组织建设、开源生态、人才培养、代码安全等方面优化我国开源战略,实现创新与安全的平衡。

首先,我国应加大开源软件相关的法律制度供给,为开源协作创新模式的市场化提供可预期的规范指引。尽管欧盟成员国落实开源战略的力度不一,但领头国家基本很早通过立法、政策和司法,为开源软件及其许可法律工具制定了比较清晰的财产边界和法律规范,为开源软件的商业化提供了明确的法律指引。相比之下,由于软件侵权和许可的专业性和复杂性,长期以来无论是在立法还是司法领域,我国都未对开源软件的法律问题予以回应。在立法层面,我国至今没有针对软件开源、人工智能开源的具体立法。我国学术界虽在近年受到欧盟立法的启发,在《人工智能示范法(专家建议稿)》中建议引入促进人工智能开源的规则[110],但距离国家真正立法仍有距离。在司法层面,直到近年我国地方法院才出现相关裁判,明确开源软件协议和版佐(copyleft)条款[111]所具有的传染效力,并由最高人民法院在罗盒诉风灵案二审中予以确认。[112]而针对软件源代码的演绎侵权判断标准、开源抗辩的合法性等问题,我国司法实践中对此仍存在不少争议。[113]我国应当效仿德国、法国等国家的做法,增加开源领域法律资源的供给,充分发挥司法机关在定纷止争方面的作用。

其次,我国政府应出台针对特定领域和部门的强制开源和共享的政策,以开放和开源促进创新,有效引导开源生态的建设。我国可以效仿欧盟的做法,针对政府建设的软件平台或者国家公共财产资助的科研项目产出的软件,颁布推行开放源代码以促进共享和再利用的政策,强制在特定领域的公共机构内部开放和共享软件源代码;还可以在符合国家技术出口管制的情况下,将一定比例的软件源代码向公众开放,为开源社区的建设打下技术基础。

再次,我国应当加大本土开源组织的建设,为开源开放的协作创新模式提供行业层面的组织架构支撑。从开源战略的推动组织来看,我国长期缺乏本土的开源基金会,直到2020年才成立了开放原子开源基金会,在开源组织架构方面实现了零的突破。但该基金会属于慈善组织性质,在工资、税收待遇方面缺乏竞争力,难以吸纳优秀专业人才的参与、营造良好的开源生态。[114]这显然不利于推进本土开源生态的建设。我国应该借鉴欧盟的经验教训,努力健全本土开源基金的设立和管理机制,不仅要成立国家主导和地方共建的开源基金,还应大力扶持本土软件行业或头部企业的开源基金。

第四,我国应加大对开源人才的教育和培育力度,让年轻一代具备开源协助的创新理念和基础技能。我国虽然已经成为软件开发大国,开源软件开发者的数量也位居全球第二,[115]但其中具备开源开发技能、熟悉开源管理的人才很少,而且年轻人才的储备明显不足。根据GitHub2020年的调查,在GitHub学生用户之中,美国学生占比32%,中国高校学生仅占2%。[116] 欧盟在近年就特别注重对开源人才的培育。欧盟委员会在《2030数字指南针:欧洲数字十年之路》中提出了“提升全体公民的数字能力,扩大数字专业化人才规模”的目标,预计到2030年,欧盟境内至少80%的成年人应具备基本数字能力,拥有2000万名信息和通信技术专家。[117]《开源软件战略》(2020-2023)也明确提出将源代码作为公众学习或再利用的信息,通过普遍提高源代码的共享率,降低社会人才培养和知识积累的成本,并将之视为全体欧洲公民的共同责任。[118]

最后,我国应加大政府层面对开源软件安全问题的重视和干预,平衡开放、创新与安全三者的关系。随着开源软件在政府和公共部门中的大量应用,开源代码的安全问题越发凸显。很显然,开源软件部件的安全和维护问题是开源软件“大集市”开发模式所无法克服的,在市场失灵的情况下,国家必须有所作为,进行一定的干预。欧盟早期对该问题关注不够,但近年先后实施了FOSSA计划、“漏洞赏金”计划以识别、清理开源软件的漏洞,并出台《网络弹性法案》,努力提升开源软件的安全性。美国也正在采取措施,促进公共当局以政企合作的形式参与到诸如关键开放源代码组件的清点、安全风险的审查以及开源软件组件的融资和维护的行动之中。[119]这些经验与教训同样值得我国借鉴参考。

注释(上下滑动阅览)

[1]“本条例规定的义务不适用于根据免费且开源许可发布的人工智能系统,除非它们作为高风险人工智能系统或者属于第5条和第50条规定的人工智能系统被投放市场或提供服务。”参见Article 2 (12), Amendments Adopted by the European Parliament on 14 June 2023 on the Proposal for a Regulation of the European Parliament and of the Council on Laying Down Harmonised Rules on Artificial Intelligence (Artificial Intelligence Act) and Amending Certain Union Legislative Acts (Hereafter Referred as AI Act)。

[2]具体指对人的健康和安全或基本权利构成重大风险的AI产品,如机械、医疗设备、玩具等。《人工智能法》仅对高风险AI系统的透明度、安全性、稳定性等方面施加管控负担,而其他现有的法律框架并未覆盖。See Article 6 (2), AI Act.

[3]包括利用超出人认知范围的潜意识技术扭曲其行为,利用某个族群的年龄、生理或心理残疾扭曲其行为,对自然人的社会行为和人格特征进行评估和分级,执法机构在各个领域使用实时远程生物指标识别系统等。参见Article 5 (1a), AI Act。

[4] Synopsis, “2023 Open Source Security and Risk Analysis Report”,
https://www.synopsys.com/content/dam/synopsys/sig-assets/reports/rep-ossra-2023.pdf, 访问日期:2023-10-10。

[5]开源软件是指软件源代码向用户开放,允许用户自由使用、修改和发布的一类软件。一般而言,开发者需要根据“开源倡议组织”(OSIA)认证的开源许可证来发布其开源软件。参见张韬略:《开源软件的知识产权问题研究——制度诱因、规则架构及理论反思》,载《网络法律评论》,2004年第2期,第3-65页,这里第13-15页。

[6]软件行业的开源运动从上世纪80年代延续至今,已经形成了专有软件和开源软件共存共生的软件生态,在云计算、大数据、人工智能等新技术领域,开源软件正逐渐成为主流应用。参见何宝宏等:《开源法则》,北京:人民邮电出版社,2020年版,第8-9页。

[7] European Commission, “Open Source Strategy: History”,
https://commission.europa.eu/about-european-commission/departments-and-executive-agencies/informatics/open-source-strategy-history_en, 访问日期:2023-10-10。

[8] 同上注。

[9]European Commission, “Open Source Software Strategy 2014-2017”,
https://commission.europa.eu/about-european-commission/departments-and-executive-agencies/informatics/open-source-software-strategy_en#softwarestrategy, 访问日期:2023-10-10。

[10] European Commission, “Open Source Software Strategy 2020-2023”, COM (2020) 7149 final, Brussels, 21 October 2020,
https://commission.europa.eu/system/files/2023-02/en_ec_open_source_strategy_2020-2023.pdf, 访问日期:2023-10-10。

[11] European Commission, “About EC Open Source Programme Office”, https://joinup.
ec.europa.eu/collection/ec-ospo/about, 访问日期:2023-10-10。

[12] European Commission, “EU Bug Bounty Programme for Open Source Software Gives Awards of up to EUR 25,000”, 18 February 2019,
https://digital-strategy.ec.europa.eu/en/news/eu-bug-bounty-programme-open-source-software-gives-awards-eur-25000; European Commission, “European Commission's Open Source Programme Office Starts Bug Bounties”, 19 January 2022, https://commission.europa.eu/news/european-commissions-open-source-programme-office-starts-bug-bounties-2022-01-19_en#:~:text=The%20European%20Commission%20Open%20Source%20Programme%20Office%20%28EC,open%2C%20transform%2C%20share%2C%20contribute%2C%20secure%2C%20stay%20in%20control, 访问日期:2023-10-10。

[13] European Commission, “Digital Response to COVID-19”,
http://data.europa.eu/88u/dataset/digital-response-to-covid-19, 访问日期:2023-10-10。

[14] European Commission, “EU eGovernment Action Plan 2016-2020”,
https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:52016DC0179,访问日期:2023-10-10。

[15] European Commission, “Ministerial Declaration on eGovernment (Tallinn Declaration on eGovernment)”, 6 October 2017,
https://www.ec.europa.eu/newsroom/document.cfm?doc_id=47559, 访问日期:2023-10-10。

[16] European Commission, “Berlin Declaration on Digital Society and Value-Based Digital Government”, 8 December 2020,
https://ec.europa.eu/isa2/sites/default/files/cdr_20201207_eu2020_berlin_declaration_on_digital_society_and_value-based_digital_government_.pdf, 访问日期:2023-10-10。

[17] 参见《法国欧洲与外交部和法国主管数字化转型和电子通信事务的秘书处发表联合公报》,法国驻华使馆及总领事馆网,2022-11-02,
https://cn.ambafrance.org/article44212,访问日期:2023-10-10。

[18] European Commission, “Proposal for a regulation of the European Parliament and of the Council on horizontal cybersecurity requirements for products with digital elements and amending Regulation (Cyber Resilience Act)”, COM (2022) 454 final, 15 September 2022,
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex:52022PC0454, 访问日期:2023-10-10。

[19] European Commission, “A Digital Agenda for Europe”, 19 May 2010, COM (2010)245 final,
https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:52010DC0245, 访问日期:2023-11-28。

[20] European Commission, “European Cloud Initiative - Building a Competitive Data and Knowledge Economy in Europe”, 19 April 2016, COM (2016) 178 final,
https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:52016DC0178, 访问日期:2023-11-28。

[21] European Commission, “Shaping Europe’s Digital Future: Commission Presents Strategies for Data and Artificial Intelligence”, 19 February 2020,
https://futurium.ec.europa.eu/sites/default/files/2020-08/Shaping_Europe_s_digital_future__Commission_presents_strategies_for_data_and_Artificial_Intelligence.pdf, 访问日期:2023-11-28。

[22] European Commission, “White Paper on Artificial Intelligence - A European Approach to Excellence and Trust”, 19 February 2020, COM (2020) 65 final,
https://commission.europa.eu/system/files/2020-02/commission-white-paper-artificial-intelligence-feb2020_en.pdf, 访问日期:2023-11-28。

[23] European Parliament, “Digital Sovereignty for Europe”, July 2020,
https://www.europarl.europa.eu/RegData/etudes/BRIE/2020/651992/EPRS_BRI(2020)651992_EN.pdf, 访问日期:2023-11-28。

[24] European Commission, “2030 Digital Compass: the European Way for the Digital Decade”, 9 March 2021, COM (2021) 118 final,
https://eufordigital.eu/wp-content/uploads/2021/03/2030-Digital-Compass-the-European-way-for-the-Digital-Decade.pdf, 访问日期:2023-11-28。

[25] K. Blind et al., “The Impact of Open-Source Software and Hardware on Technological Independence, Competitiveness and Innovation in the EU Economy: Final Study Report”, European Commission, 6 September 2021,
https://digital-strategy.ec.europa.eu/en/library/study-about-impact-open-source-software-and-hardware-technological-independence-competitiveness-and, 访问日期:2023-11-28。

[26] European Commission, “Proposal for a Decision of the European Parliament and of the Council Establishing the 2030 Policy Programme ‘Path to the Digital Decade’”, 15 September 2021, COM (2021) 574 final,
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex:52021PC0574, 访问日期:2023-11-28。

[27] European Commission, “Recommendations and Roadmap for European Sovereignty on Open Source Hardware, Software and RISC-V Technologies”, 8 September 2022,
https://digital-strategy.ec.europa.eu/en/library/recommendations-and-roadmap-european-sovereignty-open-source-hardware-software-and-risc-v, 访问日期:2023-11-28。

[28] European Commission, “European Declaration on Digital Rights and Principles”, 15 December 2022,
https://ec.europa.eu/newsroom/dae/redirection/document/94370, 访问日期:2023-11-28。

[29] See Alice Pannier, “Software Power: The Economic and Geopolitical Implications of Open Source Software”, Études de l’Ifri, Ifri, December 2022, p.42.

[30] See OSI, “European Union Public License version 1.2”,
https://opensource.org/license/eupl-1-2/, 访问日期:2023-10-10。

[31] Krzysztof Zok, “The Reference to ‘a Work or Software’ as the Factor Determining the Scope of the European Union Public Licence (EUPL) v. 1.2”, Masaryk University Journal of Law and Technology, Vol.15, No.2, 2021, pp.175-195, here p.192.

[32] 参见European Commission, “European Union Public Licence”,
https://commission.europa.eu/content/european-union-public-licence_en#who-can-use-the-eupl, 访问日期:2023-10-02。

[33] Official Journal of the European Union, “Commission Implementing Decision (EU) 2017/863 of 18 May 2017 Updating the Open Source Software Licence EUPL to Further Facilitate the Sharing and Reuse of Software Developed by Public Administrations”, 2017/L-128/59, 18 May 2017,
https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32017D0863, 访问日期:2023-10-10。

[34] European Commission, “Guidelines for Creating Sustainable Open Source Communities in the Public Sector”,
https://archive.fosdem.org/2020/schedule/event/bof_public_sector/attachments/slides/3802/export/events/attachments/bof_public_sector/slides/3802/OSOR_Workshop, 访问日期:2023-10-10。

[35] See AgID, “The eIDAS Regulation”,
https://www.agid.gov.it/en/platforms/eidas,访问日期:2023-09-27。

[36] European Commission, “About Europa Analytics”,
https://european-union.europa.eu/europa-analytics_en,访问日期:2023-10-10。

[37] European Commission, “The Commission Moves to Open Source its Software”,
https://joint-research-centre.ec.europa.eu/jrc-news-and-updates/commission-moves-open-source-its-software-2021-12-08_en, 访问日期:2023-10-10。

[38]“OpenWebSearch.EU has Officially Kicked-Off”, OpenWebSearch, 2022-09-22,
https://openwebsearch.eu/openwebsearch-eu-has-officially-kicked-off/,访问日期:2023-10-10。

[39] Romania Government, “Romania National Reform Programme 2018”, 24 September 2018, p.71,
https://commission.europa.eu/system/files/2018-06/2018-european-semester-national-reform-programme-romania-en.pdf, 访问日期:2023-10-10。

[40] European Commission, “Guidelines for Creating Sustainable Open Source Communities in the Public Sector”, 2020, p.9, p.11,
https://archive.fosdem.org/2020/schedule/event/bof_public_sector/attachments/slides/3802/export/events/attachments/bof_public_sector/slides/3802/OSOR_Workshop, 访问日期:2023-10-10。

[41] Article L122-7-1 of the Code de la Propriété Intellectuelle.

[42] Légifrance, “Loi n°2016-1321 du 7 octobre 2016 pour une République numérique”, 7 October 2016,
https://www.legifrance.gouv.fr/jorf/id/JORFARTI000033203041, 访问日期:2023-10-10。

[43] Légifrance, “Décret n°2017-638 du 27 avril 2017 relatif aux licences de réutilisation à titre gratuit des informations publiques et aux modalités de leur homologation”, 28 April 2017,
https://www.legifrance.gouv.fr/download/pdf?id=T6XrBK2fn0xPxaIPx4AkZPCwQ8RhV7Mt8a-smbCOZxc=, 访问日期:2023-10-10。

[44] Direction interministérielle du numérique et du système d'information et de communication de l'État, “Politique de contribution aux logiciels libres de l'État v1.0”, 18 May 2018,
https://disic.github.io/politique-de-contribution-open-source/docs/pocos-dinsic-stable.pdf, 访问日期:2023-10-10。

[45] Légifrance, “Circulaire n°6264/SG du 27 avril 2021 relative à la politique publique de la donnée, des algorithmes et des codes sources”, 23 October 2022,
https://www.legifrance.gouv.fr/circulaire/id/45162, 访问日期:2023-10-10。

[46] Numerique Gouv, “Plan d’action logiciels libres et communs numériques”, 10 November 2021, translation in English at
https://code.gouv.fr/en/action-plan-for-free-software-and-digital-commons/, 访问日期:2023-10-10。

[47] DINUM, “Données, algorithmes et codes sources : une mobilisation générale sans précédent, à travers 15 feuilles de route ministérielles”, 27 September 2021,
https://www.numerique.gouv.fr/actualites/donnees-algorithmes-codes-sources-mobilisation-generale-sans-precedent-15-feuilles-de-route-ministerielles/, 访问日期:2023-10-10。

[48] Alexander Peukert/Dominik König, “License Contracts, Free Software and Creative Commons in Germany”, in Axel Metzger(ed.), Free and Open Source Software (FOSS) and Other Alternative License Models. A Comparative Analysis, Switzerland: Springer International Publishing, 2016, pp.201-226, here p.224.

[49] OSCHINA:《德国石荷州宣布使用开源软件全面代替微软的软件》,2021-11-20,
https://www.oschina.net/news/169895/german-state-planning-to-use-opened-sources-software, 访问日期:2023-10-10。

[50] Schleswig-Holsteinischer Landtag, “Bericht der Landesregierung Nutzung von Open-Source-Software”, Drucksache 19/2056, 4 March 2020,
https://www.landtag.ltsh.de/infothek/wahl19/drucks/02000/drucksache-19-02056.pdf, 访问日期:2023-10-10。

[51] AgID, “Codice dell'amministrazione digitale”, Decreto legislativo 7 marzo 2005, n.82, 16 May 2005,
https://www.altalex.com/documents/codici-altalex/2014/06/20/codice-dell-amministrazione-digitale, 访问日期:2023-10-10。

[52] AgID, “Piano Triennale per l'Informatica nella Pubblica Amministrazione”, Aggiornamento 2022-2024, p.7,
https://www.agid.gov.it/sites/default/files/repository_files/piano_triennale_per_linformatica_nella_pa_2022-2024.pdf, 访问日期:2023-10-10。

[53] Etalab, “L’équipe Etalab”,
https://www.etalab.gouv.fr/equipe/, 访问日期:2023-10-10。

[54] Etalab, “Licence Ouverte/Open Licence”,
http://www.etalab.gouv.fr/pages/licence-ouverte-open-licence-5899923.html, 访问日期:2023-10-10。

[55] CodeGouv, “About code.gouv.fr”,
https://code.gouv.fr/public/#/about, 访问日期:2023-10-10。

[56] „Deutsche Freie Software Lizenz“, hbz, http://www.dipp. nrw.de/d-fsl/, 访问日期:2023-10-10。

[57] „Die Digital Peer Publishing Lizenzen“, hbz, http://www.dipp. nrw.de/lizenzen/dppl/, 访问日期:2023-10-10。

[58] Astor Nummelin Carlberg, “The EC OSPO Heralds a New-Ish Way of Managing Open Source”, 13 November 2020, https://joinup.
ec.europa.eu/collection/open-source-observatory-osor/news/ec-ospo-heralds-new-ish-way-managing-open-source, 访问日期:2023-09-29。

[59] Heather Meeker, Open Source for Business: A Practical Guide to Open Source Software Licensing, Kindle Direct Publishing Platform, 3ed., 2020, pp,276-277.

[60] 张韬略:《请求停止侵权还是披露代码?——违反自由软件“版佐”许可条款的责任承担方式》,载《电子知识产权》,2022年第8期,第4-15页,这里第4页。

[61] Andrés Guadamuz González, “Viral Contracts or Unenforceable Documents? Contractual Validity of Copyleft Licenses”, European Intellectual Property Review, Vol.26, No.8, 2004, pp.331-339, footnote 67.

[62] Munich Regional Court I Case 21 O 6123/04, 19.5.2004.

[63] Frankfurt/Main Regional Court Case 2-6 O 224/06, 6.9.2006.

[64] Berlin Regional Court Case 16 O 134/06, 21.2.2006.

[65] Hamburg Regional Court Case 308 O 10/13, 14.6.2013.

[66] Cour d’Appel de Paris, Pôle 5, Chambre 10, n°294, No.04/24298, 17 September 2009,
https://fsffrance.org/news/arret-ca-paris-16.09.2009.pdf, 访问日期:2023-10-10; 英文文献可参考Martin von Willebrand, “Case Law Report: A look at EDU 4 v. AFPA, also known as the ‘Paris GPL case’”, International Free and Open Source Software Law Review, No.1, 2009, pp.123-126, here p.123。

[67] Nicolas Binctin, “The French Copyright Law Opens Its Arms to the FOSS”, in Axel Metzger (ed.), Free and Open Source Software (FOSS) and other Alternative License Models. A Comparative Analysis, Switzerland: Springer International Publishing, 2016, pp.185-200, here p.185.

[68] Légifrance, “Conseil d'État - 7ème et 2ème sous-sections réunies”, 30 September 2011, N°350431,
https://www.legifrance.gouv.fr/ceta/id/CETATEXT000025822155?init=true&page=1&query=FR%3ACESSR%3A2011%3A350431.20110930&searchField=ALL&tab_selection=all, 访问日期:2023-10-10。

[69] 同注25, p.221.

[70] 同注7。

[71] 参见OSCHINA:《德国石荷州宣布使用开源软件全面代替微软的软件》,2021-11-20,
https://www.oschina.net/news/169895/german-state-planning-to-use-opened-sources-software, 访问日期:2023-10-10。

[72] 例如,美国在2016年发布了《联邦源代码政策》,要求联邦机构每年将不少于20%的新开发代码以开源形式发布3年。参见The White House of the United States, “Federal Source Code Policy”, 8 August 2016, pp.1-15, here p.2,
https://obamawhitehouse.archives.gov/sites/default/files/omb/memoranda/2016/m_16_21.pdf, 访问日期:2023-10-10。

[73] Numerique Gouv, “Plan d’action logiciels libres et communs numériques”, 10 November 2021, translation in English at
https://code.gouv.fr/en/action-plan-for-free-software-and-digital-commons/, 访问日期:2023-10-10.

[74] 参见艾瑞咨询:《2022年中国开源软件产业研究报告》,第12页,
https://report.iresearch.cn/report/202202/3931.shtml,访问日期:2023-10-10。

[75] 同注25, p.135.

[76] 同注25, p. 314.

[77] 同上注。

[78] 王广凤、唐家要:《开源软件与专有软件的竞争——基于系统软件市场的研究》,北京:经济管理出版社,2015年版,第173页。

[79] 同注25, p.222.

[80] 同注29, p.44.

[81] 同上注。

[82] Liran Tal, “Alert: peacenotwar module sabotages npm developers in the node-ipc package to protest the invasion of Ukraine”, 17 March 2022,
https://snyk.io/blog/peacenotwar-malicious-npm-node-ipc-package-vulnerability/, 访问日期:2023-10-10。

[83] Saranjit Singh Arora, “Call for Contributions to Help Identify Europe’s Most Critical Open-Source Software”, European Commission, 2022-03-24,
https://joinup.ec.europa.eu/collection/fosseps/news/help-identify-critical-open-source-software, 访问日期:2023-10-10。

[84] 参见APACHE, “ASF FY2021 Annual Report”,
https://www.apache.org/foundation/docs/FY2021AnnualReport.pdf, 访问日期:2023-10-10。

[85] European Commission, “Supporting Open Source and Open Science in the EU AI Act”,
https://openfuture.eu/wp-content/uploads/2023/07/230725supporting_OS_in_the_AIAct.pdf, 访问日期:2023-10-10。

[86] 同注25, p.248.

[87] 参见AgID, “Piano Triennale per l'Informatica nella Pubblica Amministrazione”, Roma, October 2022, p.7,
https://www.agid.gov.it/sites/default/files/repository_files/piano_triennale_per_linformatica_nella_pa_2022-2024.pdf, 访问日期:2023-10-10。

[88] 同注25, p.222.

[89] The eGovernment law of the Italian Republic, 2018, Article 68.

[90] 同注75, p.249.

[91] 同注29, p.41。

[92] Numerique Gouv, “Plan d’action logiciels libres et communs numériques”, 10 November 2021, translation in English at
https://code.gouv.fr/en/action-plan-for-free-software-and-digital-commons/, 访问日期:2023-10-10.

[93] 同注29, p.51。

[94] Synopsys, “2023 Open Source Security and Risk Analysis Report”,
https://www.synopsys.com/content/dam/synopsys/sig-assets/reports/rep-ossra-2023.pdf, 访问日期:2023-10-10。

[95] Jonathan Greig, “Bosnia and Herzegovina Investigating Alleged Ransomware Attack on Parliament”, 19 September 2022,
https://therecord.media/bosnia-and-herzegovina-investigating-alleged-ransomware-attack-on-parliament, 访问日期:2023-09-30。

[96] U.S. Government Publishing Office, “Securing Open Source Software Act of 2022”, 19 December 2022,
https://www.congress.gov/117/crpt/srpt278/CRPT-117srpt278.pdf, 访问日期:2023-10-10.

[97] European Commission, “Proposal for a Regulation of the European Parliament and of the Council on horizontal Cybersecurity Requirements for Products with Digital Elements and Amending Regulation (Cyber Resilience Act)”, COM (2022) 454 final, 15 September 2022,
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex:52022PC0454, 访问日期:2023-10-10。

[98] European Commission, “EU Cybersecurity: Commission Proposes a Joint Cyber Unit to Step up Response to Large-Scale Security Incidents”, Brussels, 23 June 2021,
https://ec.europa.eu/commission/presscorner/detail/en/IP_21_3088, 访问日期:2023-10-10。

[99] European Council, “Cybersecurity at the EU institutions, Bodies, Offices and Agencies: Council and Parliament Reach Provisional Agreement”, 26 June 2023,
https://www.consilium.europa.eu/en/press/press-releases/2023/06/26/cybersecurity-at-the-eu-institutions-bodies-offices-and-agencies-council-and-parliament-reach-provisional-agreement/, 访问日期:2023-10-10。

[100] 参见国务院:《“十四五”数字经济发展规划》(国发〔2021〕29号),2021-12-12,
https://www.gov.cn/zhengce/content/2022-01/12/content_5667817.htm,访问日期:2023-10-20。

[101] 相关指导意见详见《国务院关于积极推进“互联网+”行动的指导意见》(国发(2015)40号),2015-07-01,
https://www.gov.cn/zhengce/content/2015-07/04/content_10002.htm;《国务院关于进一步扩大和升级信息消费持续释放内需潜力的指导意见》(国发〔2017〕40号),2017-08-13,https://www.gov.cn/zhengce/content/2017-08/24/content_5220091.htm;《国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见》,2017-11-19,https://www.gov.cn/zhengce/content/2017-11/27/content_5242582.htm,访问日期:2023-10-20。

[102] 参见国务院:《“十四五”国家知识产权保护和运用规划》(国发〔2021〕20号),2021-10-09,
https://www.gov.cn/zhengce/zhengceku/2021-10/28/content_5647274.htm,访问日期:2023-10-20。

[103] 参见国务院办公厅:《专利转化运用专项行动方案(2023-2025年)》(国办发〔2023〕37号),2023-10-17。
https://www.gov.cn/zhengce/content/202310/content_6910281.htm,访问日期:2023-10-20。

[104] 参见国务院:《新一代人工智能发展规划》(国发(2017)35号),2017-07-08,
https://www.gov.cn/zhengce/content/2017-07/20/content_5211996.htm,访问日期:2023-10-20。

[105] 参见中国人民银行办公厅、工业和信息化部办公厅等:《关于规范金融业开源技术应用与发展的意见》(银办发〔2021〕146号),2021-09-28,
http://www.pbc.gov.cn/zhengwugongkai/4081330/4406346/4693549/4364505/index.html,访问日期:2023-10-20。

[106] 参见全国信息安全标准化技术委员会:《信息安全技术 软件产品开源代码安全评价方法(征求意见稿)》,2023-04-10,
https://www.tc260.org.cn/file/2023-04-04/7d03705a-d232-4d07-a32f-5d4ced1fb168.pdf,访问日期:2023-10-20。

[107] 参见中国开源软件推进联盟:《2022中国开源发展蓝皮书》,2022-07-21, p.16,
https://copu.gitcode.host/copu/2022/1/,访问日期:2023-11-28。

[108] 隆云滔等:《国际开源发展经验及其对我国开源创新体系建设的启示》,载《中国科学院院刊》,2021年第36卷第12期,第1497-1505页,这里第1500-1501页。

[109] 中国开源软件推进联盟:《2021中国开源发展蓝皮书》,2021-04-27,
https://copu.gitcode.host/copu/%E5%BC%80%E6%BA%90%E5%8F%91%E5%B1%95%E8%93%9D%E7%9A%AE%E4%B9%A6/,访问日期:2023-10-10。

[110] 中国社会科学院课题组:《人工智能示范法(专家建议稿)》第17条、第71条,
http://iolaw.cssn.cn/zxzp/202309/t20230907_5683898.shtml

[111] “版佐”这一说法源自对“版权”(copyright)概念的批判。简单来说,版佐条款要求对开源软件进行演绎的被许可人在对外发布该演绎软件时,同样必须公开源代码,以确保源代码的持续开源。

[112] 最高人民法院(2022)最高法知民终1589号民事判决书。

[113] 江苏省南京市中级人民法院(2021)苏01民初3229号民事判决书,最高人民法院(2021)最高法知民终51号民事判决书。参见张韬略:《我国创设软件版权侵权“开源抗辩”之质疑——兼评“未来案”和“亿邦案”》,《环球法律评论》,2024年第2期,第72-90页,这里第89页。

[114] 隆云滔等:《国际开源发展经验及其对我国开源创新体系建设的启示》,第1500-1501页。

[115] 中国开源软件推进联盟:《2023中国开源发展蓝皮书》,
https://copu.gitcode.host/copu/2023/1/, 2023-05-21,访问日期:2023-10-10。

[116] Github, “2020 Github Education Classroom Report”,
https://education.github.com/classroom-report, 访问日期:2023-10-10。

[117] European Commission, “2030 Digital Compass: the European way for the Digital Decade”, COM(2021) 118 final, Brussels, 9 March 2021, p.4,
https://eufordigital.eu/wp-content/uploads/2021/03/2030-Digital-Compass-the-European-way-for-the-Digital-Decade.pdf, 访问日期:2023-10-10。

[118] European Commission, “Open Source Software Strategy 2020-2023”, COM (2020) 7149 final, Brussels, 21 October 2020, p.7,
https://commission.europa.eu/system/files/2023-02/en_ec_open_source_strategy_2020-2023.pdf, 访问日期:2023-10-10。

[119] 同注29, p.54.

来源:知识产权与竞争法

编辑:Sharon


分享到微博
分享到微信
    分享到领英

相关文章