大话开源-6月上(音频+文字)

原创 开源之道 IP法
IP法

ip-laws

律师的个人公号,关注TMT领域和知识产权问题

今天

时间:2020年6月20日晚8点-9点半

组织方:开源之道

与谈人:李建盛,开源布道师;王永雷,新思科技开源治理顾专注企业级开源治理解决方案的探索;孙振华,某互联网公司法务;邓超,北京律师

免责声明:所有发言只是个人观点,不代表供职机构立场。

大话开源-6月上.m4a 来自IP法 00:00 42:59

1.我国开源合规的现状

王永雷-新思科技:

开始了,谢谢,我就做个开场白。大家好,我是王永雷。现在在新思科技做开源合规治理,我有缘或者有幸在四五年前接触到开源合规,当时是blackduck在发展整个亚太的业务,正好有幸接触到这一块,还有合规,也有幸接触到一些企业,尤其是走出去的一些企业,就是一些诉求,我们正好通过这个契机跟一些国内的这些企业去交流,发现不同的企业对于开源合规认识也不一样,意识上面也是处于可能是朦胧的状态。

所以正好今天趁这个机会,我们有请邓律师还有振华,一起来聊一聊开源合规有什么样的一些风险,为什么会有这一块的诉求。大概是今天这个会议的主题。接下来我们请在圈子里面比较活跃的邓博士,请邓律师介绍一下。

邓超-北京律师:

好的,谢谢。简单自我介绍一下,因为我没什么名气,不像群里几位大咖,如雷贯耳的。我是邓超律师,在北京执业,主要做的领域就是知识产权,行业主要科技用户比较多,对开源也有所涉猎。但我是一个小学生,今天主要来跟大家学习。开源确实是比较新的题目,国内企业其实可能并没有特别重视,就像大家所了解的那样,出国的企业会关注开源的法律风险。

因为开源无论从诞生还是规则,其实都是美国人制定的。咱们国家传统上对知识产权保护也不是特别重视,就像永雷说的,主要是出口的企业,因为你到人家地盘,到欧美,就得按照人家的规则玩。在咱们国内,可能大家有的时候并不是特别守规则。包括手机厂商在出国的时候,合规做的都比较好,包括专利,都跟人谈交叉许可,付许可费,但是在国内的话,不是那么特别守规则。国内市场和国外市场现在来看确实可能稍稍有一点割裂,并且大家重视程度也不一样。但是我觉得中美经贸协议已经签了,并且前一阵在夏威夷会见的时候也说咱们要全面履行协议,知识产权肯定保护力度会逐渐提高,对这一块肯定是会越来越重视的。

另外,还有一块就是可能企业想把项目开源,觉得现在的这种闭源模式不适合,比如找bug,或者说人员不够等各种各样的原因。但开源的时候就会有相应的问题,比如怎么选择许可证或者一些法律问题,那么我接触的主要这两块。我今天也是主要是学习。我的说法不构成律师意见,如果有具体问题,还是应该去咨询律师,今天对一般的问题进行些一般的评论。

王永雷-新思科技:

谢谢。我看您接触的企业,或者是对于国际还是比较了解的。但是过一会我想我们跟着您的话题,可以多多探讨一下。其实您的有些观点我也是非常认同的,包括开源合规,其实也是源于国外。我们目前其实也是属于一个学习的过程当中。接下来正好我们邀请了振华,我们想听听振华作为法务对开源合规的一些想法。

振华:

好的,我先说一下,我现在说的就代表我自己的认识,不代表公司的观点。我有些看法也是和邓律师是一样的,往往如果企业涉及到一些出海业务的时候,才开始比较重视开源的合规。

首先,针对C端,比如说公司想把APP在苹果商店或者是Google play上架,这个时候往往就需要做一个开源声明,声明APP端所用的一些开源软件。其次,在To B业务中,很多上游厂商或者下游客户也要求提供这些相关的开源声明或履行开源义务,特别是对于是GP开源软件,各方都有较高的重视程度。

目前一些常见的开源许可证,包括自由软件还是开源软件,比如FSF和OSI官网上也就列出200多个许可证,主要使用的也就20多个。如果只是梳理这些义务的话,从法律层面来说不是特别的困难。但是公司代码里面有很多组件,每一个组件都要做到合规,可能就需要一些工具或者流程来帮同学们去做到这个事情。

有一些软件开发的书、软件工程书里面也会写一些开源软件需要大家注意合规的义务,同学们多少也会有这个意识,但实际上可能大家看到开源组件的时候也不太在意开源合规的问题。当然如果是公司比较重视这一点的话,有些基本的规则和流程,供大家去参考。最好能有一个比较自动化的流程帮同学来做这个事情。

2.Apache SkyWalking和博云申明

王永雷-新思科技:

谢谢振华。刚才我听振华的一个观点,从企业来讲,目前大家讲到的也是我听得最多的,重视程度还是蛮够的。另外一个也延伸到比如说头部的大概您刚才提到的200多个许可证,像我们每年都出一些的报告里面,大概头部的可能20来种,可能占到了90%,但您这个梳理的就更细了。 

另外一块您刚才也讲到了,从企业来讲,也会有一些义务,我觉得这个话题非常好。今天我就想跟大家聊第一个话题,想想听听几位老师的意见。因为开源在我们国内的发展其实相对来讲慢,我个人觉得目前我们遇到了一个最好的时代,包括像李老师,包括我们像今天主持开源之道,一直致力于投身于开源的推广,包括像今天还有阿帕奇基金会的老师,其实对于我们的开源的理解跟认识,包括开源背后的这种力量,都起到了非常好的推广普及的作用,包括我自己,包括我们读书会,包括我们的社区。

最近说我就想说第一个话题,想听听大家的看法。我们国内就是开源圈子里面非常为我们争脸的就是吴晟老师发起的一个开源项目,叫sky working。前两天我们看到一个新闻,就是另外一家我们国内的云服务商苏州博云,在使用这个的时候没有按照阿帕奇的协议,然后有了一个新闻,开源社区的作者希望企业在宣传的时候明确用到比如说开源组件的时候,需要把它非常显著的位置标注出来,那么这个既是对开源的一个尊重,另外一个我认为也是从开发者的角度来讲,从企业的角度来讲,形成一个良好的互动。第一个我想转到振华这边,请您看看从阿帕奇的角度来讲,或者说企业的角度来讲,您能看看您这边有什么感受吗?

振华:

个人认为Apache是一个商业非常友好的协议,因为它不仅在著作权上给了很大程度上用户的自由,而且还给了一份伴随这个软件的专利的免费的全球许可。这也近年Apache开源软件用的比较多的原因。

之前我一直觉得Apache开源软件很难去enforce自己的一些权利。因为开源软件很多,开发的主要目的还是想让别人更多去用自己的组件,如果你刚开始发展的时候就去行权,可能你的用户最终没有那么大,但是开发者毕竟做了很多贡献,如果别人在用的时候连名字都不提,其实是对开发者一个非常的不尊重。即便不考虑知识产权这一点来讲的话,这样做也对开源软件的发展非常不利。所以如果是大家用了这些开源组件,最好还是能够遵守这些相关的协议。

Apache协议的合规要求不是特别多,首先,是对声明的要求,不管是源代码还是还是二进制代码中都要做出相关的声明。其次, 如果有notice文件的话,也需要把notice文件一并在这些上面所提到的文件中进行明示。单个的组件来看,合规成本也并不高。还是像我刚才提到的,足见多了,就会产生比较多额合规成本。 

对用户来说, Apache是比较友好的。理解许可证中的权利和义务,进行良好的合规,有助于开发者、企业在社区中形成良好的一个互动。

王永雷-新思科技:

接着我想邓律师您看,因为后来我们最新的看到的一个消息,就是博云那边也是非常积极的去推动去解决这个问题,后来跟社区的吴晟老师那边做了一个积极的沟通,包括在宣传材料里面注明是说这是我们用sky可以在什么样的一个位置。那么我想您从专业律师的角度来讲,也想听听您的看法,未来我们有一些其他的企业遇到相似的情况,您有什么建议,我们也想听听您专业的看法跟意见。

邓超-北京律师:

好的,谢谢永雷。我确实也很同意振华的这些观察。首先关于GPL,其实开源里的GPL跟宽松许可证相比,确实主要是GPL问题比较大,但是我看最近这几年GPL占比一直是在下降的,宽松的许可证用的越来越多,我不知道观察对不对。

另外,宽松许可证其实比较自由,虽然我在外面讲开源软件的法律风险、或者它的一些义务,但是违反开源许可证真正会引发法律诉讼的情况是很少的,在国外也不多。因为本身开源de 哲学,就跟我动不动去起诉别人就有点相悖。在国内其实也没有发生过真正意义上的与开源许可证而引发的诉讼。但是之前有一些例子,原告说被告抄了代码,然后被告抗辩说你的东西是开源的。一些律师对开源理解不到位,有时抗辩说你的东西开源,但其实这跟违反开源许可证不一样。比如你用阿帕奇没署名,实际上是侵犯了署名权,那么我这个作者就起诉你侵犯我署名权,要你赔礼道歉,像这种真正意义上的涉及开源许可证的诉讼,咱们国家是没有发生过。

总体来讲,虽然说让大家提高合规意识,但是如果就仅仅从预防诉讼的角度来讲,风险是很低的。所以我觉得大家还是要尽量拥抱开源,多多使用开源,不要说因为有义务就觉得这个东西风险很高,尤其对不太了解开源的人来讲。

另外像刚才振华也说,虽然许可证下的义务不太一样,但是因为许可证多了的话,从法务或者从合规这个角度来讲,其实工作是很多的,那么我们建议肯定把工作放到前头,平时我们对公司里的工程师培训,提升他们的开源意识。 

现在虽然我了解下来程序员、工程师对开源肯定都听过,但是比较了解开源到底是什么,常见的许可证,或者说宽松许可证和这种有传染性的许可证,很少有人能说清,包括leader。工作重点在教育,平时的教育就应该不断,但是这种工作在企业内部也比较难推。因为法务也好、合规也好,除非领导特别重视,不像销售、市场这种在公司内地位强势,话语权本身就不是特别高,然后还给这些业务部门增加工作。所以说这个事就是看企业内部相关的制度建设怎么样,这个工作我觉得除非说领导发话,不然可能从零开始推动起来可能是有一些难度的。有的企业制度非常规范了,可能好一点。但是我了解国内企业好像也没有特别的规范。

我觉得比较有意义的是参考国外建立一些操作手册。涉及开源的时候,除了我们平日常的培训之外,能不能建立一个这种比较有操作性的指引,然后可以发到网上。如果说公司内部想建立相关的制度,因为肯定把这个工作做到前头,平时我在写代码的时候就考虑开源、许可证,那么我们后期在处理合规的工作肯定就会轻松很多。

回到你说的这个事儿,来龙去脉我也不是特别清楚。但简单说就是没给人署名,后来给人署名了。我觉得开源社区大家还是互帮互助,因为开源本身这种哲学就是众包。那么所以说署名也不是什么大问题,你忘署了或者故意没署,还是过失没署,后来被人指出来了给署上了,其实就是这么点事。

3.开源与专利

王永雷-新思科技:

我就简单说这点,刚刚我听邓律师其实讲得非常好,从专业律师角度来讲,我记了一下。第一个从这种法务或者是合规这一块,其实律师还鼓励开源,第一次从您的角度来讲,我认为其实是一个非常积极的信号,因为很多企业就是聊到驱动性做开源合规,他们就说因为有没有什么一些法律的输出,就是很怕。但其实从一些真正的具体案例来讲,就像您说的一样,我们可能是不理解不了解,那么导致有这样的我不能说是一个误区,我想我们要去理解它。

第二个就像您说的一样,开源社区像我们每年统计大概看着260多种许可证,对于律师来讲,其实梳理的工作量也是非常大的。包括OSI,刚才振华提到了,可能两三百种、一两百种头部的许可证。那么这些有没有比如说一些规范或者是一些认识?我可以分享一点我自己的一些经验,其实网上是有的,比如说我们称之为就是像网上有一些组织像www.openhub.net,比如说针对每种license,比如说阿帕奇,那么他有哪些权利、哪些义务,或者是它有哪些不能做的一些事情,那么这些我们称之为一些条款,我想就是说有机会的时候大家可以参考一下,但这个都是在国外的网站上面。 

那么后续我提供给李老师那边,也可以列出来。每种类型因为解读起来都很复杂,每一种具体的,有老师在解读的时候,比如阿帕奇或者GPL就很长,其实对于一般的普通开发者来讲挑战很大。

那么我还提到另外一个问题,就是刚才邓律师讲的就是工程化的事,工程化的事情也是受到比如说庄老师的一个启发,我们看过一些书,其实您说的非常好,从工程化的角度来讲,开源合规的意识要左移,并不是说你发生问题了,然后要我参与进来,而是在说在你项目开发的时候,企业培训的时候,要把一些好的东西或者是一些常识的东西给我们开发者讲好了,也形成一些色彩性的东西。那么就从技术上面,培训上面提前,跟我们企业里面说,那么我想也是一个成熟度的重要的指标或者体现,你首先有没有这个意识,第二个你要去执行。

第三个我也非常认同,您说的一个互帮互助,形成一个良性的循环跟机制。这个也是非常好的。我想就是时间的关系,我想就是抛开另外一个话题了,想听听大家的看法。

像邓律师肯定是听说过专利了。因为我也听说过,比如像之前我们遇到过的一些公司,他提到比如说像Facebook的react组件叫BSD是阿帕奇组织认可的,BSD后来就改了叫BSD clause。导致有一些互联网公司不用了,说我坚决就不用这个东西,就涉及到一些专利的问题了。

因为有一些专利我们称之为叫专利防御,它嵌在里面。针对这一块的话,我也想听听,调换一下顺序,就是邓律师您这边关于开源跟专利,您这边有没有一些要分享的。

邓超-北京律师:

因为开源涉及的法律问题主要是著作权。版权就是源代码这个层面的,但是专利脱离了源代码。源代码是一种比较底层的,专利就往上移了一个层次,到思想的层面,跟源代码没有关系了,而是源代码能做些什么,能实现一些什么。分两方面来看,首先就是说软件行业的专利确实现在量很大。比如一个操作系统,可能里面涉及专利有几万个、几十万个,我觉得都一点不夸张。包括像OIN,微软它加入OIN的时候,那时候拿了多少专利保卫Linux大家可以查一下,我记得应该是至少几万个专利。有很多学者认为软件专利有点过剩了。包括像谷歌就一直很反对说要去主张我的软件专利,专利肯定不去主动诉别人,好像特斯拉也说过这些事。 

因为包括从学界到产业界,大家都认为软件专利太多。随便一个想法就可以去申请专利。其实我觉得有一个对比,就是和药物。最近尤其因为疫情,瑞得西韦,药物专利大家可能也注意了。对于制药企业来讲,研发一款药要花费很多。一般10亿美元起步,那么时间因为它有一期、二期从实验一直到临床实验,可能要10年以上,并且这种成功概率也很低。美国我记得统计过,正在研发的化合物当中有万分之1到万分之2的概率能成为FDA批准的药物。对于药来讲,它是成本高投入高,但是药很容易仿制,所以说专利对于制药来讲就非常重要了。但是一款药的专利,就原研药的专利可能也就是个位数,不到2位数,所以说在美国、在各国都一样的,搞药就是搞专利,大家认为专利对制药产业是不可或缺的。 

但另外一方面,大家对于专利对于软件产业的帮助就不太确定了。尤其说最开始的时候,比如比较抽象的想法,在美国也好在中国也好是不容易授权的,但是到了98年的时候,美国联邦巡回上诉法院把关于商业方法不能授予专利的判例给废除了,之后就出现很多这种跟商业方法有关专利。比如大家比较熟悉的亚马逊one click专利,现在大家在亚马逊购物的时候,我发现亚马逊和淘宝京东都不一样。亚马逊可以点一下,你想买这本书点一下即可,什么都不用管了,但是淘宝、京东任何购物网站现在都没有。就是说亚马逊把one click的点击一下购买、购物这个东西申请了专利。很多人也批评说,是不是在阻碍科技,包括软件行业的发展。

咱们不说学术层面,软件专利对于所有的软件公司仍然是不可或缺的。比如说谷歌也好,Facebook也好,每年研发投入几十亿、几百亿,完全不去申请软件专利的话,每年的研发投入没有回报,看不到作为回报的东西。包括一些企业像北电或者诺基亚,他们破产了或者他们主营业务已经不行了,但是他还靠自己的专利库盈利。北电破产的时候,那些员工那些厂房基本一文不值了,大家都在追逐北电的那套专利。 

专利还是非常重要的,对于软件企业来讲,并且专利是你的武器库,有武器库你可以不去攻击别人。但是商场如战场,战场上你没有武器肯定没法活的。虽然说像特斯拉、像谷歌说我不用核武器,那是因为大家都有武器,所以谁也打不死谁,谁也不敢轻易发动这个专利战。就以咱们国内为例,前一阵搜狗和百度输入法他们就互相打了专利战,其实打过来打去,就像美苏他们都有核武器,不太敢开战或者谁也打不死谁。但是你没有武器库,没有专利的话,你肯定是会被打的。

这是软件专利。再回到开源上,刚才我们讲像阿帕奇2.0它有一些专利保护条款,实际上这种专利条款它也只能防御内部的风险,就是说代码的贡献者不能去起诉内部的专利侵权。但你防御不了外部的风险,比如说像当年微软要起诉Linux内核。Linux现在应该还是GPL,假设这个软件是阿帕奇2.0的,那么之前对这个阿帕奇项目进行过贡献的人,可能产生过专利,但是贡献者不能拿这个专利去起诉之后使用代码的人。不能防御外部的攻击。就在现在的开源框架下,因为开源许可证、开源协议是一个合同,它只能约束代码的贡献者和代码的使用者,这是合同的两方,那么对于合同之外的第三方,许可协议、许可证是没法约束的。所以说使用开源代码,包括阿帕奇这些有专利保护条款的话,也只能是有限的得到一些专利的防御,你没法完全防御住其他公司对你的专利诉讼、专利主张。所以从这个意义上来讲,我们仍然要注意专利的构建。

王永雷-新思科技:

谢谢邓律师深度解读,也是拓展了我这一块的认识,我真的是学习。刚才您讲的我印象非常深刻,就是说专利性防御性的条款是内部的,让他发现2.0和开发者和使用者定义的条款。对于外部来讲的话,可能相对来讲是比较弱化一点。那么我想这个给我们有一个深入的学习,开阔了视野。

我也想从比如振华这边,你们企业从企业代表就代表这边,我想听听您的看法,比如说具体的专利,像企业里面我想可能有很多自己的专利,那么是不是一些项目里面是有没有一些规定,假如说里面有一些公司的专利,我就可能不能用GPL的这些开源项目了,我不知道是不是有这样子,也想听听,不一定局限于这个。

振华: 

我就讲一下我自己的看法吧。我之前在做法务之前也做几年的知识产权律师,可能比较能结合两者的视角一起来看这个问题。行业内的话,尤其是互联网公司一般都属于这种专利防御性的策略,就是大家一般都不会主动发起诉讼。主要的原因可能就是软件专利有可能是被无效的,两边一旦起了专利战,双方都各自去提对方专利的无效,可能打着打着,双方最糟的一种结果就是谁也没有告倒谁,但是专利都被无效掉了。这是很多公司一旦发起专利战争最不愿意看到的事情。 

一个例子,两家各拿了5个专利去诉对方,可能最后各被无效掉了4个专利,然后剩下那个专利还被法院认定为不侵权,这就是非常尴尬的一件事情:双方打了半天,然后耗费了很多人力资源,最后谁都没占到什么好处。特别考虑的就是软件专利被无效的概率更高。大家可能也之前看到过苹果和高通的专利大战,高通在国内搞苹果,又一个专利还拿到禁令,但拿到禁令专利之后也被无效了。整体来看的话,还是不要发起专利战争。但是也像邓律师说的一样,如果一点专利没有的话,别人过来打你,到时候就是会非常的被动。这就是我的基本看法,就是防御性的专利策略为主,但是也不能说软件专利没有,或者不申请。

4.许可证的专利条款

王永雷-新思科技:

觉得振华也是说得非常好。从真正的企业角度来讲,第一次讲到我为什么需要专利,从企业的角度来讲,专利对于我企业最大的价值是什么。第二个就是说尽量去避免专利战,我想就专利战这个东西,我想可能扯到一点点博弈。我想还是处于一个合作跟共享的这样的一个状态下,会共赢的状态下会比较好一点,刚才两位律师都讲到了,假如真的走到了一个对抗的状态,就像囚徒困境一样的,那么对于双方来讲,可能都不是一个很好的良性循环。

这个有一点带点私货,就是个人的一个观点,就是请两位老师帮我解读对不对。我不专业,就是说我看到过GPL3.0,GPL3.0是涉及到专利的,它有一个条款,就是说假如你用到涉及的组件了,他原则上是需要作者放弃这个专利权的,我不知道我的理解对不对,或者是今天在趁这个机会请两位专业律师解读一下。可能这个也是很多同学们比较关注的,比如说我现在开发了一款软件,那么我也不知道我无意当中用到了一些专利技术,可能是别人的,但是其实也掺杂了其他的一个主开源项目,恰恰开源项目也是GPL3.0的,那么对于开发者来讲,或者是对于公司来讲,有没有什么风险。我想听听两位专家的专业律师的想法跟意见。那么我们请振华。

振华: 

你刚才说的是GPL 3.0协议。它里面应该是有专利许可条款,然后你刚才说关于GPL原则性放弃专利其实不准确。GPL 2.0里面,正式条款里面没有规定专利条款,只是在前序部分讲了一下专利,属于关于专利约定不明确的情况;GPL3.0确实是有专利条款,但是在正式条款里面并没有规定说要放弃这个专利,只是说当别人在用你这一套代码的时候,你会把这个专利许可给使用方

王永雷-新思科技:

明白,谢谢振华,讲得非常好。邓律师我也想听听您的看法,帮我们补充一下。

邓超-北京律师:

对,我和振华意见一样。你说是把专利权给放弃了,我还一愣,还有点没理解意思。

我再强调一下专利为什么重要。开源的代码是比较底层的,只要我不是抄袭你的代码,实际上版权就管不了我。现在其实大公司之间商标也不会有问题,那么如果你想制约对方,限制对方,就要靠专利。我们讲有时候诉讼也不是说完全为了胜诉,这是一种谈判的手段,有的时候大家有些东西要谈,但是对方不和你谈,那你去起诉之后,对方拿到法院的传票、开庭通知书了可能就跟你谈。包括苹果和高通也是,刚开始大家谈谈不拢,后来打专利战,最后才谈拢的。所以说有的官司其实有时候必输的官司我们也会提,就是说它只是一个商业的手段,另外确实这个专利在中国、美国都一样的,可能有50%的概率会被无效掉了。 

再说一下专利许可证里的专利条款。专利条款一般都是我写了这段代码,产生了一个专利,如果他有这些专利保护条款或者专利许可,这是我给所有的使用者一个免费的、不可撤回的、或者说全球性的一个许可。要是许可证规定要把专利权放弃,我觉得是违反法律的。因为我对我的智力成果申请专利也好,申请其他的知识产权保护要这是一种权利,是法律赋予的,不可能许可证规定我不去申请或放弃专利,我觉得是违反法律的。但是许可证就像咱们刚才说的,可以规定给你一个免费的授权,你可以免费用,这个没问题。我理解许可证的专利条款应该基本都是这么一个概念。

本文字和音频以CC-BY-SA 4.0协议(https://creativecommons.org/licenses/by-sa/4.0/)发布。

::...
免责声明:
当前网页内容, 由 大妈 ZoomQuiet 使用工具: ScrapBook :: Firefox Extension 从互联网中抓取并分享;
内容版权归原作者所有;
本人对内容的有效性/合法性不承担任何强制性责任.
若有不妥, 欢迎评注提醒:

蟒营®编程思维提高班 Python版/第13期 正在报名

精品小班/ 永久答疑

扫描报名: 101camp13py

蟒营®式 原创课程

伴你重享学习乐趣

官网: py.101.camp

Reactivate Joy by Self-teching with You


任何问题可先进入知识星球(免费)咨询:
FAQ

关注公众号, 持续获得相关各种咨询:
mainium


追问

任何问题, 随时邮件提问可也:
askdama@googlegroups.com


...::