以下文章來源于合規(guī)小叨客 ，作者全球法律政策研究

目錄

一、 概述

二、 各國針對(duì)開源軟件的出口管制政策

（一）美國出口管制法規(guī)對(duì)于開源軟件的管控

（二）中國、歐盟和日本出口管制法規(guī)對(duì)于開源軟件的管控

三、 重要開源社區(qū)的出口管制策略

（一）國際開源組織項(xiàng)目出口管制政策

1. 開源基金會(huì)

2. 開源許可證

3. 代碼托管平臺(tái)

（二）社區(qū)聲明對(duì)開源軟件使用的影響

四、 開源軟件出口管制合規(guī)管控實(shí)踐

（一）開源軟件應(yīng)用管控

1.受EAR管轄開源軟件識(shí)別

2.受EAR管轄開源軟件備案

（二）開源對(duì)外貢獻(xiàn)管控

1.自研代碼貢獻(xiàn)

2.開源項(xiàng)目建設(shè)

五、 開源軟件管控改進(jìn)措施和風(fēng)險(xiǎn)分析

（一）開源軟件管控差距和改進(jìn)

（二）開源軟件潛在風(fēng)險(xiǎn)分析

六、參考文獻(xiàn)

一、概述

開源軟件是源代碼可以任意獲取的計(jì)算機(jī)軟件。在獲取開源軟件源代碼的基礎(chǔ)上，任何人都能查看、修改和分發(fā)他們認(rèn)為合適的代碼。開源是信息社會(huì)的生產(chǎn)方式之一，特點(diǎn)是大維度的協(xié)作與網(wǎng)絡(luò)服務(wù)化，全球范圍的源代碼開放，是開源軟件的一個(gè)特征。我國的開源軟件技術(shù)已經(jīng)全面進(jìn)軍操作系統(tǒng)、云原生、人工智能、大數(shù)據(jù)等主要領(lǐng)域，例如在容器技術(shù)、微服務(wù)技術(shù)、DevOps技術(shù)上，均有中國的開源貢獻(xiàn)。開源軟件已在各行各業(yè)得到廣泛應(yīng)用。作為托管于開源社區(qū)的開源軟件，必須受到相關(guān)開源社區(qū)的管理約束。由于各國的法律法規(guī)存在差異，基于社區(qū)由不同國家發(fā)起、托管平臺(tái)存在于不同國家、以及這些開源軟件的版本歸屬差異，這些開源項(xiàng)目還會(huì)受制于不同的“其它外部的法律法規(guī)”，比如“出口管制要求”。美國曾將中國某公司及其附屬公司列入出口管制“實(shí)體名單”，隨后美國谷歌公司宣布將停止為其提供安卓（Andriod）系統(tǒng)的技術(shù)支持與服務(wù)，而安卓系統(tǒng)一直是世界知名的開源項(xiàng)目。

軟件產(chǎn)品是作為當(dāng)今大部分高科技企業(yè)最為重要的產(chǎn)品形態(tài)之一，已大量涉及開源軟件，進(jìn)行開源軟件相關(guān)合規(guī)政策和合規(guī)遵循的研究顯得尤為重要。本文主要從出口管制的角度，研究開源軟件相關(guān)的法規(guī)政策和及其影響，通過對(duì)企業(yè)當(dāng)前的合規(guī)管控實(shí)踐，分析開源軟件的管控現(xiàn)狀和差距，提出改進(jìn)措施，并說明開源軟件在未來的使用過程中可能面臨的風(fēng)險(xiǎn)。

二、各國針對(duì)開源軟件的出口管制政策

國家出于政治、經(jīng)濟(jì)、軍事和對(duì)外政策的需要，制定限制產(chǎn)品出口的法律和規(guī)章，以對(duì)出口活動(dòng)實(shí)行控制。在開源軟件的研究過程中，我們針對(duì)世界主要的四個(gè)經(jīng)濟(jì)體進(jìn)行了掃描，匯總其對(duì)開源軟件進(jìn)行管控的要求。這四個(gè)主要經(jīng)濟(jì)體分別是美國、日本、歐盟和中國。這四個(gè)經(jīng)濟(jì)體的主要出口管制法規(guī)如下：

表1 四大經(jīng)濟(jì)體的出口管制法規(guī)和條例名稱

（一）美國出口管制法規(guī)對(duì)于開源軟件的管控

在美國，開源軟件是否受出口管制的限制？一個(gè)廣為流傳的觀點(diǎn)是，軟件的源代碼因受到言論自由的保護(hù)而不被管制。根據(jù)1995年伯恩斯坦訴美國司法部（Bernstein v. Department of Justice）案，軟件源代碼屬于言論自由的范疇，不能被政府部門管制。但很少有人提到，該案的裁決未生效。因此，伯恩斯坦案并非有法律效力的判例，不能簡(jiǎn)單地得出結(jié)論認(rèn)為軟件的源代碼因受到言論自由的保護(hù)而不能被管制。實(shí)際上恰恰相反，軟件的源代碼只要沒有實(shí)現(xiàn)“公開可獲得”（Publicly available），仍然要受到美國出口管理?xiàng)l例（Export Administration Regulations，以下簡(jiǎn)稱“EAR”）的管轄。

美國對(duì)于開源軟件的管轄基于“已公開”（Published）或者“公開可獲得”（Publicly available）的概念。已公開的信息可以任意復(fù)制、傳播，對(duì)于已公開的信息再進(jìn)行管控是不可能做到的，因此立法者將已公開的信息排除出了EAR的管轄范圍，即根據(jù)EAR 734.3(b)(3)，“已公開”的信息和軟件不受EAR管轄。開源軟件由于其源代碼已經(jīng)在互聯(lián)網(wǎng)上的網(wǎng)站或者網(wǎng)絡(luò)社區(qū)進(jìn)行了公開，可以任意下載和傳播，因此開源軟件在原則上由于其公開的特性不受EAR管轄。

但同時(shí)美國出口管制法對(duì)于加密技術(shù)非常重視，美國立法者認(rèn)為加密技術(shù)有可能會(huì)被利用來危害美國的國家安全，因此他們將包含加密功能的開源軟件進(jìn)行特別對(duì)待。含有加密功能的軟件，如果屬于美國開發(fā)的代碼或者來源于美國管轄的開源社區(qū)，且按照功能性能被分類為5D002,那么即使該軟件的源代碼即使已經(jīng)在網(wǎng)絡(luò)上進(jìn)行公開，這個(gè)軟件仍然是受EAR管轄的。如果美國以外的人員想要下載和使用這個(gè)軟件，則必須要獲取出口授權(quán)。但是美國商務(wù)部工業(yè)與安全局（Bureau of Industry and Security，以下簡(jiǎn)稱“BIS”）提供了一個(gè)途徑，來使這樣的開源軟件不受EAR管轄。軟件作者或者使用者可以將這個(gè)軟件的源代碼發(fā)往BIS和美國國家安全局（National Security Agency，以下簡(jiǎn)稱“NSA”）的特定郵箱進(jìn)行備案，這樣這個(gè)軟件就不再受EAR管轄。如果軟件的源代碼變動(dòng)頻繁，軟件作者或者使用者也可以將下載該軟件源代碼的網(wǎng)址以及軟件名稱發(fā)送給BIS和NSA的特定郵箱進(jìn)行備案，就無須重復(fù)性的將不斷變更的軟件源代碼發(fā)送給BIS和NSA的特定郵箱。此外，對(duì)于含有加密功能的目標(biāo)代碼（即源代碼經(jīng)過編譯后形成機(jī)器碼），如果來源于美國，必須要在將其對(duì)應(yīng)的已公開源代碼進(jìn)行備案后，此目標(biāo)代碼才能不受EAR管轄。

（二）中國、歐盟和日本出口管制法規(guī)對(duì)于開源軟件的管控

從對(duì)四大經(jīng)濟(jì)體的出口管制法規(guī)分析看，只有美國的EAR提及了開源軟件的概念，并提出了對(duì)開源軟件進(jìn)行管控的細(xì)則。在日本的管控清單中，甚至沒有提及軟件；中國和歐盟的法規(guī)雖然提及了軟件，但是卻沒有提及開源軟件的概念，也就沒有專門針對(duì)開源軟件的管控制度。下面說明中國出口管制法對(duì)軟件的管控將如何影響開源軟件：

中國出口管制法對(duì)軟件的管控仍集中在軟件的功能、性能上，開源軟件的本身公開的性質(zhì)，并不能使其免于中國出口管制法的管轄。只要軟件本身在中國出口管制法下轄的清單中，如兩用物項(xiàng)清單，那么該軟件即使是開源軟件，出口也可能需要出口授權(quán)。特別的，根據(jù)《中華人民共和國出口管制法》第二條的規(guī)定，從中華人民共和國境內(nèi)向境外轉(zhuǎn)移管制物項(xiàng)，屬于“出口”；中華人民共和國公民、法人和非法人組織向外國組織和個(gè)人提供管制物項(xiàng)也屬于“出口”（也稱之為“視同出口”（Deemed export））。

因此中國出口管制法定義下的開源軟件“出口”或者“視同出口”涵蓋的范圍將非常之廣，運(yùn)營于中國境內(nèi)的不管是企業(yè)還是個(gè)人都需要對(duì)此特別注意。下面對(duì)于涉及開源軟件出口或者非出口的場(chǎng)景進(jìn)行舉例說明。

可能被認(rèn)定為開源軟件出口的場(chǎng)景：

（1）國內(nèi)某企業(yè)決定開源其研發(fā)的一個(gè)軟件，在選定開源許可證后，將GitHub作為代碼托管和后續(xù)協(xié)作的平臺(tái)。我們知道在2018年6月，微軟宣布75億美元收購GitHub，微軟是一家美國公司，而GitHub的具體運(yùn)營公司也是位于舊金山的美國公司，均屬于外國組織，而GitHub的代碼存儲(chǔ)空間主要也在美國。實(shí)際上，GitHub.com也提及了GitHub網(wǎng)站、企業(yè)服務(wù)器以及用戶上傳的產(chǎn)品、信息可能受貿(mào)易管制法規(guī)包括EAR的約束，并詳細(xì)規(guī)定了用戶只能根據(jù)適用法律（包括美國出口管制和制裁法律）訪問、使用GitHub.com。因此，這種形式的源代碼開源，如果涉及禁止或者限制出口的軟件技術(shù)，有很大可能被主管部門認(rèn)定屬于“出口”。

（2）國內(nèi)某企業(yè)決定將其研發(fā)的機(jī)器學(xué)習(xí)程序捐贈(zèng)給Linux基金會(huì)。假設(shè)這項(xiàng)機(jī)器學(xué)習(xí)程序有著先進(jìn)的算法，屬于禁止出口的技術(shù)，而Linux基金會(huì)是根據(jù)美國聯(lián)邦稅法501(c)(3)成立的非盈利機(jī)構(gòu)，屬于外國組織，則該企業(yè)向Linux基金會(huì)捐贈(zèng)源代碼及相關(guān)材料的行為，也有很大的可能被主管部門認(rèn)定屬于“出口”。

（3）國內(nèi)某企業(yè)對(duì)通用性公開（General Public License，以下簡(jiǎn)稱“GPL”）許可證項(xiàng)下的Linux內(nèi)核作出了重大技術(shù)貢獻(xiàn)，該項(xiàng)創(chuàng)新屬于禁止出口的技術(shù)。根據(jù)GPL開源許可證，該企業(yè)應(yīng)當(dāng)在相應(yīng)的國外社區(qū)公開源代碼，那么這種情況下，也有很大的可能被主管部門認(rèn)定屬于“出口”。這里涉及到的國內(nèi)法與開源許可證的沖突及解決，不是本文的研究范圍，本文不展開論述。

可能不會(huì)被認(rèn)定為開源軟件出口的場(chǎng)景：

（1）國內(nèi)某企業(yè)決定將其軟件開源到gitee上，但該軟件屬于限制出口技術(shù)。gitee運(yùn)營公司是位于深圳的中國注冊(cè)公司，而源代碼的存儲(chǔ)空間也應(yīng)在我國境內(nèi)，雖然網(wǎng)絡(luò)具有全球可訪問性，但不應(yīng)認(rèn)定為“出口”。需要指出的是，如果該軟件涉及國家保密規(guī)定的，應(yīng)遵守相關(guān)的要求。

由于在立法時(shí)沒有提及開源軟件的概念，歐盟同樣存在類似問題，有可能對(duì)于開源軟件存在過度管轄。而日本由于其管控清單中沒有將軟件單獨(dú)列出，因此日本在開源軟件的出口和轉(zhuǎn)移方面要寬松的多，不存在法律上的障礙。

三、重要開源社區(qū)的出口管制策略

（一）國際開源組織項(xiàng)目出口管制政策

一個(gè)完整的開源生態(tài)包含開源基金會(huì)（組織）、開源項(xiàng)目、開源許可證和代碼托管平臺(tái)等多方面要素，它們各自的條款聲明和受到的法律制約都不盡相同。

1. 開源基金會(huì)

開源基金會(huì)管理開源項(xiàng)目，但基金會(huì)的管理辦法差異較大，而基金會(huì)旗下的開源項(xiàng)目也可以選擇不同管理辦法。舉例：

Linux 基金會(huì)自身的管理辦法不受美國出口管制，其旗下的項(xiàng)目包括Linux Kernel等默認(rèn)遵循該管理辦法，但其分布式存儲(chǔ)項(xiàng)目Ceph明確指定司法管轄權(quán)歸屬美國加州，并要求使用并出口者遵循美國出口管制，就屬于Linux基金會(huì)中的特例；

Apache基金會(huì)的管理辦法明確說明遵循美國出口管制，旗下絕大多數(shù)項(xiàng)目如 Hadoop、Spark等，在備案（5D002）后即不受EAR出口管制；

Mozilla基金會(huì)明確聲明司法管轄權(quán)歸屬加州。根據(jù)前述司法管轄區(qū)與出口管制的關(guān)系，Mozallia基金會(huì)聲明司法管轄權(quán)，只是表示出現(xiàn)各類糾紛都將以加州Santa Clara的法庭裁決為準(zhǔn)。如前所述，這并不表示其管理的開源項(xiàng)目默認(rèn)受到出口管制；

RISC-V基金會(huì)隸屬于Linux基金會(huì)，沒有特別聲明受美國出口管制，因此RISC-V基金會(huì)擁有的RISC-V開放指令集標(biāo)準(zhǔn)并不會(huì)受美國出口管制。值得注意的是，RISC-V 基金會(huì)的會(huì)員條款中也指明了其司法管轄權(quán)在美國特拉華州。根據(jù)前述司法管轄權(quán)與出口管制的關(guān)系，RISC-V基金會(huì)聲明司法管轄權(quán)，表示所有圍繞會(huì)員條款產(chǎn)生的糾紛都將交由指定法庭裁決，但并不表示其管理的開源項(xiàng)目默認(rèn)受到出口管制。

2. 開源許可證

常用開源許可證如GPL、LGPL、BSD、MIT、Mozilla、Apache，均未涉及與政府出口管制無關(guān)的聲明。而且開源項(xiàng)目對(duì)于許可證條款的遵循與變更比較容易，所以開源許可證方面的出口管制風(fēng)險(xiǎn)比較小。

3. 代碼托管平臺(tái)

從對(duì)GitHub、SourceForge和Google Code三個(gè)代碼托管平臺(tái)的研究來看，該三個(gè)平臺(tái)均明確聲明遵守美國出口管制條例，并且司法管轄權(quán)均在加州（即需按加州法律解決糾紛）。

以 GitHub為例，GitHub明確聲明其GitHub Enterprise Server被出口管制，不能出口到被制裁國家。至于GitHub網(wǎng)站的普通功能，由于架設(shè)在美國的GitHub服務(wù)器的上傳和下載的行為都需要遵從出口管制和美國法律，所以其正常使用是可能會(huì)被管制的。亦即，GitHub上的開源項(xiàng)目代碼在遵守項(xiàng)目自身的開源許可證的同時(shí), 也可能作為GitHub上的信息（Information）遵從出口管制和美國法律。概述中提到的事件，也很可能因?yàn)?/span>GitHub因素使其訪問開源項(xiàng)目受到影響。

開源項(xiàng)目如何規(guī)避出口管制風(fēng)險(xiǎn)？存在四種情況，但都需要開源項(xiàng)目發(fā)起人或開發(fā)者支持與配合：

對(duì)于已存放于GitHub的開源項(xiàng)目，若同時(shí)存放于美國以外其他托管平臺(tái)，且開發(fā)者分別獨(dú)立提交更新到GitHub與其他托管平臺(tái)，且開發(fā)過程中不從GitHub下載任何信息，那么從美國以外的托管平臺(tái)獲取開源項(xiàng)目不受美國出口管制；

對(duì)于已存放于GitHub的開源項(xiàng)目，若發(fā)起人本地?fù)碛懈北荆椅磸?/span>GitHub上下載更新，那么發(fā)起人可在美國以外其他托管平臺(tái)創(chuàng)建開源項(xiàng)目，并將副本上傳到該托管平臺(tái)。此后開發(fā)者分別獨(dú)立提交更新到GitHub與美國以外的托管平臺(tái)，且開發(fā)過程中不從GitHub下載任何信息,那么從美國以外的托管平臺(tái)獲取開源項(xiàng)目不受美國出口管制；

對(duì)于新啟動(dòng)的開源項(xiàng)目，發(fā)起者可在美國以外的托管平臺(tái)和GitHub上同時(shí)創(chuàng)建項(xiàng)目，且開發(fā)者分別獨(dú)立提交更新到美國以外的托管平臺(tái)與GitHub，且開發(fā)過程中不從 GitHub 下載任何信息，那么從美國以外的托管平臺(tái)獲取開源項(xiàng)目不受美國出口管制；

對(duì)于新啟動(dòng)的開源項(xiàng)目，發(fā)起者可直接在美國以外的托管平臺(tái)創(chuàng)建項(xiàng)目，其后開發(fā)者向該托管平臺(tái)更新，那么從該托管平臺(tái)獲取開源項(xiàng)目不受美國出口管制。

從以上分析可以看出，雖然并非所有的開源基金會(huì)、開源社區(qū)管理的源代碼都受到美國出口管制的管轄，但幾乎所有位于美國的國際開源組織或項(xiàng)目，無一例外地遵守美國的出口管制政策。

（二）社區(qū)聲明對(duì)開源軟件使用的影響

在實(shí)際使用開源軟件時(shí)，為了增強(qiáng)我們對(duì)該開源軟件具備足夠的駕馭能力，選擇開源軟件項(xiàng)目時(shí)，需要考慮能夠隨時(shí)不受限制地引用其全生命周期過程中的版本、技術(shù)，以滿足引用開源軟件產(chǎn)品全生命周期經(jīng)營管理需要：

選擇開源軟件時(shí)，需要仔細(xì)閱讀所屬開源社區(qū)/開源基金會(huì)的聲明、項(xiàng)目本身的聲明、所用的開源許可證聲明等三個(gè)聲明，以了解受各國出口管制管轄及約束的情況。對(duì)所用開源軟件相關(guān)的上述聲明需要進(jìn)行全生命周期的跟蹤，若其條款有所變更需要進(jìn)行快速響應(yīng)，分析其出口管制影響；

在同樣條件下，優(yōu)先選擇國內(nèi)開源基金會(huì)和開源社區(qū)下的開源軟件；

開源托管平臺(tái)同時(shí)受EAR出口管制和美國司法管轄權(quán)的限制，是開源最大的風(fēng)險(xiǎn)。在同樣條件下，優(yōu)先選擇國內(nèi)開源社區(qū)下的開源軟件；

同時(shí)做好受出口管制后，是否有其它應(yīng)對(duì)手段，如開源軟件替代、具備開源軟件守護(hù)能力等；

做好所使用開源軟件的開源基準(zhǔn)庫，最好是所用開源組件的全版本庫。

對(duì)所選開源軟件的許可證進(jìn)行全生命周期管控，預(yù)防遵循許可證變更，甚至引入新的受出口管制影響的許可證等情況。

四、開源軟件出口管制合規(guī)管控實(shí)踐

（一）開源軟件應(yīng)用管控

在當(dāng)前的高科技研發(fā)研發(fā)公司中，開源軟件幾乎涉入了每一個(gè)軟件研究項(xiàng)目。近年來，業(yè)界各企業(yè)紛紛開始進(jìn)行開源合規(guī)治理，通過不斷完善，部分企業(yè)目前已形成一套開源軟件的管理體系，管理系統(tǒng)主要包括開源的安全、許可證和出口管制三部分。這里主要討論在出口管制方面的合規(guī)管控實(shí)踐。盡管如上面所述，四大主要經(jīng)濟(jì)體中的日本、歐盟和中國的出口管制或沒有提及軟件，或是沒有開源軟件的概念，比如中國的出口管制政策主要通過對(duì)最終產(chǎn)品的功能性能來確認(rèn)是否進(jìn)行關(guān)注，但實(shí)質(zhì)上都有對(duì)使用開源軟件的“隱形”出口管控。這里筆者以國內(nèi)某企業(yè)對(duì)開源軟件的合規(guī)管控實(shí)踐，討論對(duì)開源軟件管控有更明確和嚴(yán)格要求的美國EAR法條的遵從。

按照 EAR 的規(guī)定（734.3(b)(3)、734.7(b) 和 742.15(b)），即ECCN為5D002的加密開源軟件仍受EAR管轄，除非其目標(biāo)代碼和源代碼按要求向BIS和ENC Encryption Request Coordinator進(jìn)行了備案（notification）。盡管進(jìn)行備案不是EAR的強(qiáng)制要求，但企業(yè)為減少出口管制合規(guī)風(fēng)險(xiǎn)而選擇了對(duì)ECCN為5D002的加密開源軟件進(jìn)行備案管理要求，對(duì)研發(fā)過程中使用的受EAR管轄開源軟件采取了管控措施。

1.受EAR管轄開源軟件識(shí)別

正確識(shí)別研發(fā)活動(dòng)中使用的所有開源軟件是識(shí)別受EAR管轄開源軟件的基礎(chǔ)，但目前業(yè)界尚無一個(gè)100%正確識(shí)別的成熟可靠的方案，實(shí)踐證明采用工具識(shí)別與人工確認(rèn)相結(jié)合的方式，既提高了開源軟件識(shí)別效率和準(zhǔn)確性，避免了純?nèi)斯ぷR(shí)別差錯(cuò)問題，同時(shí)也解決了因掃描工具數(shù)據(jù)庫更新不及時(shí)而可能產(chǎn)生的識(shí)別不全的問題。

識(shí)別出開源軟件后，就需要對(duì)這些開源軟件進(jìn)行分析，判斷其是否受EAR管轄。為此，總結(jié)了一個(gè)科學(xué)可行的判別的方法，我們稱之為受EAR管轄開源軟件識(shí)別四要素法，如下圖所示：

簡(jiǎn)單地說如果一個(gè)開源軟件同時(shí)滿足以上4個(gè)條件，我們就認(rèn)為這個(gè)開源軟件是受EAR管轄的開源軟件。

2.受EAR管轄開源軟件備案

該實(shí)踐中要求對(duì)識(shí)別為受EAR管轄的開源軟件在軟件版本對(duì)外發(fā)布前必須完成向BIS備案，通過備案將受EAR管轄的開源軟件變?yōu)椴皇芄茌犻_源軟件，從而減少出口管制合規(guī)風(fēng)險(xiǎn)。具體做法是通過email通知BIS和ENC Encryption Request Coordinator，告之加密源代碼所在的URL或網(wǎng)絡(luò)地址，每次URL發(fā)生變化，均需再通知BIS和ENC Encryption Request Coordinator，但源代碼更新或修改不需再次通知。

企業(yè)從公司維度對(duì)開源軟件的備案工作進(jìn)行集中管理，一方面能夠確保來源的可靠性和可信性；另一方面，實(shí)現(xiàn)了資源共享，避免了不同研發(fā)單位對(duì)同一個(gè)受EAR管轄開源軟件的重復(fù)備案，減少了資源消耗，提高了效率。

（二）開源對(duì)外貢獻(xiàn)管控

作為開源軟件應(yīng)用者，同時(shí)也是開源軟件的貢獻(xiàn)者。常見的開源對(duì)外貢獻(xiàn)有兩種方式，一種是直接向開源社區(qū)貢獻(xiàn)自研代碼，還有一種在在開源社區(qū)主導(dǎo)建設(shè)項(xiàng)目。

1.自研代碼貢獻(xiàn)

為了實(shí)現(xiàn)開源社區(qū)的共建，實(shí)現(xiàn)技術(shù)和代碼的共享，某些情況下，研發(fā)項(xiàng)目在從開源社區(qū)獲取開源項(xiàng)目的同時(shí)，也需要向開源社區(qū)共享源代碼。為了遵循出口管制的政策，對(duì)于涉及受EAR管控的技術(shù)或軟件的軟件不能作為開源軟件公開到開源社區(qū)中。該實(shí)踐中對(duì)開源代碼對(duì)外貢獻(xiàn)管控要求是：項(xiàng)目組在向開源社區(qū)提交源代碼前，需要識(shí)別是否包含受控軟件，受控軟件不能作為開源軟件發(fā)布；涉及受控技術(shù)的受控項(xiàng)目的軟件源代碼也不能對(duì)外貢獻(xiàn)代碼。

2.開源項(xiàng)目建設(shè)

我國目前有很多企業(yè)都有其主導(dǎo)的開源軟件建設(shè)項(xiàng)目，代碼托管在Linux基金會(huì)，同時(shí)，在開源中國社區(qū)上建設(shè)了鏡像。開源中國是目前最大的開源技術(shù)社區(qū)。雖然，開源項(xiàng)目在托管平臺(tái)的選擇上有自主權(quán)，但是絕大部分中國項(xiàng)目組在國際大平臺(tái)托管代碼時(shí)，都會(huì)選擇同時(shí)在國內(nèi)建立鏡像，不僅中國項(xiàng)目，開源中國也同國際上很多大的平臺(tái)簽署了相關(guān)協(xié)議，一方面能不斷發(fā)展開源社區(qū)，同時(shí)也是對(duì)國內(nèi)開源代碼使用的安全性的一個(gè)長遠(yuǎn)保障措施。

五、開源軟件管控改進(jìn)措施和風(fēng)險(xiǎn)分析

（一）開源軟件管控差距和改進(jìn)

在上文的開源軟件管控實(shí)踐中，企業(yè)對(duì)開源軟件已制定比較全面的管控措施，出口管控合規(guī)的風(fēng)險(xiǎn)已完全被管控。但就執(zhí)行與現(xiàn)有政策要求還存在一定差異，體現(xiàn)在目前EAR法條中僅管控涉及非標(biāo)準(zhǔn)加密算法的開源軟件，也就是說，只有涉及非標(biāo)準(zhǔn)加密算法的開源軟件才是美國出口管制關(guān)注的對(duì)象，其他都不在其管轄范圍內(nèi)，無需向其備案，這個(gè)政策在2021年3月份變更。但是目前如果依然按照原有的要求進(jìn)行備案，對(duì)所有加密的開源軟件都進(jìn)行備案，管控的尺度更高。雖然這種差距雖然并不帶來合規(guī)風(fēng)險(xiǎn)，但卻會(huì)加重備案工作量。

為了消除這種差距，企業(yè)合規(guī)部門與業(yè)務(wù)單位不斷討論改進(jìn)措施和方案，目標(biāo)是完全遵循EAR的要求，僅針對(duì)涉及非標(biāo)準(zhǔn)加密算法的開源軟件向BIS備案。這個(gè)方案中，最關(guān)鍵的一點(diǎn)是如何確定加密算法是否為標(biāo)準(zhǔn)算法，執(zhí)行落地方案建議如下：

首先依據(jù)法條中對(duì)標(biāo)準(zhǔn)加密算法的說明，確定目前已使用的標(biāo)準(zhǔn)加密清單，但此清單并不涵蓋所有的標(biāo)準(zhǔn)加密算法，僅供使用人員參考；

使用人員負(fù)責(zé)對(duì)加密開源軟件的加密算法標(biāo)準(zhǔn)和非標(biāo)準(zhǔn)進(jìn)行判定，判定方法是參考標(biāo)準(zhǔn)加密算法清單，如果加密軟件使用的加密算法在此清單內(nèi)，則認(rèn)為是標(biāo)準(zhǔn)加密算法；

如加密軟件使用的算法不在此清單內(nèi)，則需要根據(jù)非標(biāo)準(zhǔn)加密算法的定義進(jìn)行判定，給出是否非標(biāo)準(zhǔn)加密算法的判定，判定依據(jù)：該算法在何種國際標(biāo)準(zhǔn)中公開發(fā)布；

管理人員審查不在標(biāo)準(zhǔn)加密算法清單中的標(biāo)準(zhǔn)加密算法的判斷依據(jù)。如果判斷依據(jù)可靠，則將改算法加入標(biāo)準(zhǔn)加密算法清單；否則將涉及非標(biāo)準(zhǔn)加密算法的開源軟件向BIS備案。

（二）開源軟件潛在風(fēng)險(xiǎn)分析

在該實(shí)踐中，雖然開源軟件的使用已完全遵循了美國的出口管制，但并不代表沒有風(fēng)險(xiǎn)。從前面概述中的案例可以看出，可能存在一種極端的情況，一旦美國修改 EAR，將高性能軟件、EDA 軟件等一些核心基礎(chǔ)軟件加入到管制中（這并非不可能，2018 年 11 月，美國 BIS 曾就 AI 和機(jī)器學(xué)習(xí)等新興技術(shù)是否加入管制名單征求公眾意見），并且將目前“備案即不被管制”（這其中包含了 ASF 幾乎所有開源項(xiàng)目），修改為“備案且需要被管制”，那就意味著大量核心開源項(xiàng)目將受到出口管制。

換句話說，如果我們使用的開源軟件較多都來源于這些有影響力的外部社區(qū)，而這些社區(qū)又都受制于國家的出口管制政策，那么這些開源軟件始終都將受到出口管制政策變化的影響。我們已經(jīng)清楚地認(rèn)識(shí)到，出口管制的本質(zhì)是，國家不希望其在意的東西（物項(xiàng)）轉(zhuǎn)移給其不喜歡的國家/人（禁運(yùn)國家/受限制主體），目前國際局勢(shì)風(fēng)云變化莫測(cè)，如果一旦形式突變，開源軟件作為嚴(yán)重影響各行各業(yè)的一把雙刃劍，把其作為對(duì)付一個(gè)國家或企業(yè)的武器存在很大可能。

所以從長遠(yuǎn)來看，中國必須建立起自己有影響力的開源項(xiàng)目托管平臺(tái)，發(fā)展自身的開源力量，并以更開放的方式吸引全世界的開源愛好者。中國在2008開始建設(shè)開源中國社區(qū)，目前已經(jīng)建設(shè)成國內(nèi)最大的開源技術(shù)社區(qū)。國家在第十四個(gè)五年規(guī)劃中，已經(jīng)把“開源”列入規(guī)劃。縱觀中國企業(yè)，華為作為風(fēng)險(xiǎn)管理杰出企業(yè)代表，也早早意識(shí)到自己在開源軟件這一塊的風(fēng)險(xiǎn)，已經(jīng)在操作系統(tǒng)、數(shù)據(jù)庫、AI深度學(xué)習(xí)框架等基礎(chǔ)軟件在國內(nèi)構(gòu)建了完善的開源生態(tài)，成為中國開源的重要力量。

對(duì)于受開源軟件和出口管制影響深遠(yuǎn)的企業(yè)，也有必要居安思危，未雨綢繆，多作貢獻(xiàn)。

六、參考文獻(xiàn)

[一] 中國：《中華人民共和國出口管制法》

[二] 中國：《兩用物項(xiàng)目錄》

[三] 日本：《安全保障貿(mào)易管理について》；

[四] 日本：《日本出口貿(mào)易管理令》；

[五] 美國：《Part 734 – Scope of the Export Administration Regulations》；

[六] 美國：《Part 742 – Control Policy — CCL Based Controls》；

[七]《Official Journal of the European Union》（歐盟公報(bào)）：《eu-council-regulation-ec-no-428-2009-of-5-may-2009-setting-up-a-community-regime-for-the-control-of-exports-transfer-brokering-and-transit-of-dual-use-items》

[八] Linux 基金會(huì)發(fā)布白皮書：《了解開源科技和美國出口管制》；

[九] Linux 基金會(huì)：《Linux 基金會(huì)發(fā)布白皮書，解釋如何應(yīng)對(duì)美國對(duì)開源項(xiàng)目的出口管制》2020.7

[十] 中國開放指令生態(tài)（RISC-V）聯(lián)盟：《開源項(xiàng)目風(fēng)險(xiǎn)分析與對(duì)策建議》。