以下文章來(lái)源于合規(guī)小叨客 ，作者全球法律政策研究

目錄

一、 概述

二、 各國(guó)針對(duì)開(kāi)源軟件的出口管制政策

（一）美國(guó)出口管制法規(guī)對(duì)于開(kāi)源軟件的管控

（二）中國(guó)、歐盟和日本出口管制法規(guī)對(duì)于開(kāi)源軟件的管控

三、 重要開(kāi)源社區(qū)的出口管制策略

（一）國(guó)際開(kāi)源組織項(xiàng)目出口管制政策

1. 開(kāi)源基金會(huì)

2. 開(kāi)源許可證

3. 代碼托管平臺(tái)

（二）社區(qū)聲明對(duì)開(kāi)源軟件使用的影響

四、 開(kāi)源軟件出口管制合規(guī)管控實(shí)踐

（一）開(kāi)源軟件應(yīng)用管控

1.受EAR管轄開(kāi)源軟件識(shí)別

2.受EAR管轄開(kāi)源軟件備案

（二）開(kāi)源對(duì)外貢獻(xiàn)管控

1.自研代碼貢獻(xiàn)

2.開(kāi)源項(xiàng)目建設(shè)

五、 開(kāi)源軟件管控改進(jìn)措施和風(fēng)險(xiǎn)分析

（一）開(kāi)源軟件管控差距和改進(jìn)

（二）開(kāi)源軟件潛在風(fēng)險(xiǎn)分析

六、參考文獻(xiàn)

一、概述

開(kāi)源軟件是源代碼可以任意獲取的計(jì)算機(jī)軟件。在獲取開(kāi)源軟件源代碼的基礎(chǔ)上，任何人都能查看、修改和分發(fā)他們認(rèn)為合適的代碼。開(kāi)源是信息社會(huì)的生產(chǎn)方式之一，特點(diǎn)是大維度的協(xié)作與網(wǎng)絡(luò)服務(wù)化，全球范圍的源代碼開(kāi)放，是開(kāi)源軟件的一個(gè)特征。我國(guó)的開(kāi)源軟件技術(shù)已經(jīng)全面進(jìn)軍操作系統(tǒng)、云原生、人工智能、大數(shù)據(jù)等主要領(lǐng)域，例如在容器技術(shù)、微服務(wù)技術(shù)、DevOps技術(shù)上，均有中國(guó)的開(kāi)源貢獻(xiàn)。開(kāi)源軟件已在各行各業(yè)得到廣泛應(yīng)用。作為托管于開(kāi)源社區(qū)的開(kāi)源軟件，必須受到相關(guān)開(kāi)源社區(qū)的管理約束。由于各國(guó)的法律法規(guī)存在差異，基于社區(qū)由不同國(guó)家發(fā)起、托管平臺(tái)存在于不同國(guó)家、以及這些開(kāi)源軟件的版本歸屬差異，這些開(kāi)源項(xiàng)目還會(huì)受制于不同的“其它外部的法律法規(guī)”，比如“出口管制要求”。美國(guó)曾將中國(guó)某公司及其附屬公司列入出口管制“實(shí)體名單”，隨后美國(guó)谷歌公司宣布將停止為其提供安卓（Andriod）系統(tǒng)的技術(shù)支持與服務(wù)，而安卓系統(tǒng)一直是世界知名的開(kāi)源項(xiàng)目。

軟件產(chǎn)品是作為當(dāng)今大部分高科技企業(yè)最為重要的產(chǎn)品形態(tài)之一，已大量涉及開(kāi)源軟件，進(jìn)行開(kāi)源軟件相關(guān)合規(guī)政策和合規(guī)遵循的研究顯得尤為重要。本文主要從出口管制的角度，研究開(kāi)源軟件相關(guān)的法規(guī)政策和及其影響，通過(guò)對(duì)企業(yè)當(dāng)前的合規(guī)管控實(shí)踐，分析開(kāi)源軟件的管控現(xiàn)狀和差距，提出改進(jìn)措施，并說(shuō)明開(kāi)源軟件在未來(lái)的使用過(guò)程中可能面臨的風(fēng)險(xiǎn)。

二、各國(guó)針對(duì)開(kāi)源軟件的出口管制政策

國(guó)家出于政治、經(jīng)濟(jì)、軍事和對(duì)外政策的需要，制定限制產(chǎn)品出口的法律和規(guī)章，以對(duì)出口活動(dòng)實(shí)行控制。在開(kāi)源軟件的研究過(guò)程中，我們針對(duì)世界主要的四個(gè)經(jīng)濟(jì)體進(jìn)行了掃描，匯總其對(duì)開(kāi)源軟件進(jìn)行管控的要求。這四個(gè)主要經(jīng)濟(jì)體分別是美國(guó)、日本、歐盟和中國(guó)。這四個(gè)經(jīng)濟(jì)體的主要出口管制法規(guī)如下：

表1 四大經(jīng)濟(jì)體的出口管制法規(guī)和條例名稱(chēng)

（一）美國(guó)出口管制法規(guī)對(duì)于開(kāi)源軟件的管控

在美國(guó)，開(kāi)源軟件是否受出口管制的限制？一個(gè)廣為流傳的觀點(diǎn)是，軟件的源代碼因受到言論自由的保護(hù)而不被管制。根據(jù)1995年伯恩斯坦訴美國(guó)司法部（Bernstein v. Department of Justice）案，軟件源代碼屬于言論自由的范疇，不能被政府部門(mén)管制。但很少有人提到，該案的裁決未生效。因此，伯恩斯坦案并非有法律效力的判例，不能簡(jiǎn)單地得出結(jié)論認(rèn)為軟件的源代碼因受到言論自由的保護(hù)而不能被管制。實(shí)際上恰恰相反，軟件的源代碼只要沒(méi)有實(shí)現(xiàn)“公開(kāi)可獲得”（Publicly available），仍然要受到美國(guó)出口管理?xiàng)l例（Export Administration Regulations，以下簡(jiǎn)稱(chēng)“EAR”）的管轄。

美國(guó)對(duì)于開(kāi)源軟件的管轄基于“已公開(kāi)”（Published）或者“公開(kāi)可獲得”（Publicly available）的概念。已公開(kāi)的信息可以任意復(fù)制、傳播，對(duì)于已公開(kāi)的信息再進(jìn)行管控是不可能做到的，因此立法者將已公開(kāi)的信息排除出了EAR的管轄范圍，即根據(jù)EAR 734.3(b)(3)，“已公開(kāi)”的信息和軟件不受EAR管轄。開(kāi)源軟件由于其源代碼已經(jīng)在互聯(lián)網(wǎng)上的網(wǎng)站或者網(wǎng)絡(luò)社區(qū)進(jìn)行了公開(kāi)，可以任意下載和傳播，因此開(kāi)源軟件在原則上由于其公開(kāi)的特性不受EAR管轄。

但同時(shí)美國(guó)出口管制法對(duì)于加密技術(shù)非常重視，美國(guó)立法者認(rèn)為加密技術(shù)有可能會(huì)被利用來(lái)危害美國(guó)的國(guó)家安全，因此他們將包含加密功能的開(kāi)源軟件進(jìn)行特別對(duì)待。含有加密功能的軟件，如果屬于美國(guó)開(kāi)發(fā)的代碼或者來(lái)源于美國(guó)管轄的開(kāi)源社區(qū)，且按照功能性能被分類(lèi)為5D002,那么即使該軟件的源代碼即使已經(jīng)在網(wǎng)絡(luò)上進(jìn)行公開(kāi)，這個(gè)軟件仍然是受EAR管轄的。如果美國(guó)以外的人員想要下載和使用這個(gè)軟件，則必須要獲取出口授權(quán)。但是美國(guó)商務(wù)部工業(yè)與安全局（Bureau of Industry and Security，以下簡(jiǎn)稱(chēng)“BIS”）提供了一個(gè)途徑，來(lái)使這樣的開(kāi)源軟件不受EAR管轄。軟件作者或者使用者可以將這個(gè)軟件的源代碼發(fā)往BIS和美國(guó)國(guó)家安全局（National Security Agency，以下簡(jiǎn)稱(chēng)“NSA”）的特定郵箱進(jìn)行備案，這樣這個(gè)軟件就不再受EAR管轄。如果軟件的源代碼變動(dòng)頻繁，軟件作者或者使用者也可以將下載該軟件源代碼的網(wǎng)址以及軟件名稱(chēng)發(fā)送給BIS和NSA的特定郵箱進(jìn)行備案，就無(wú)須重復(fù)性的將不斷變更的軟件源代碼發(fā)送給BIS和NSA的特定郵箱。此外，對(duì)于含有加密功能的目標(biāo)代碼（即源代碼經(jīng)過(guò)編譯后形成機(jī)器碼），如果來(lái)源于美國(guó)，必須要在將其對(duì)應(yīng)的已公開(kāi)源代碼進(jìn)行備案后，此目標(biāo)代碼才能不受EAR管轄。

（二）中國(guó)、歐盟和日本出口管制法規(guī)對(duì)于開(kāi)源軟件的管控

從對(duì)四大經(jīng)濟(jì)體的出口管制法規(guī)分析看，只有美國(guó)的EAR提及了開(kāi)源軟件的概念，并提出了對(duì)開(kāi)源軟件進(jìn)行管控的細(xì)則。在日本的管控清單中，甚至沒(méi)有提及軟件；中國(guó)和歐盟的法規(guī)雖然提及了軟件，但是卻沒(méi)有提及開(kāi)源軟件的概念，也就沒(méi)有專(zhuān)門(mén)針對(duì)開(kāi)源軟件的管控制度。下面說(shuō)明中國(guó)出口管制法對(duì)軟件的管控將如何影響開(kāi)源軟件：

中國(guó)出口管制法對(duì)軟件的管控仍集中在軟件的功能、性能上，開(kāi)源軟件的本身公開(kāi)的性質(zhì)，并不能使其免于中國(guó)出口管制法的管轄。只要軟件本身在中國(guó)出口管制法下轄的清單中，如兩用物項(xiàng)清單，那么該軟件即使是開(kāi)源軟件，出口也可能需要出口授權(quán)。特別的，根據(jù)《中華人民共和國(guó)出口管制法》第二條的規(guī)定，從中華人民共和國(guó)境內(nèi)向境外轉(zhuǎn)移管制物項(xiàng)，屬于“出口”；中華人民共和國(guó)公民、法人和非法人組織向外國(guó)組織和個(gè)人提供管制物項(xiàng)也屬于“出口”（也稱(chēng)之為“視同出口”（Deemed export））。

因此中國(guó)出口管制法定義下的開(kāi)源軟件“出口”或者“視同出口”涵蓋的范圍將非常之廣，運(yùn)營(yíng)于中國(guó)境內(nèi)的不管是企業(yè)還是個(gè)人都需要對(duì)此特別注意。下面對(duì)于涉及開(kāi)源軟件出口或者非出口的場(chǎng)景進(jìn)行舉例說(shuō)明。

可能被認(rèn)定為開(kāi)源軟件出口的場(chǎng)景：

（1）國(guó)內(nèi)某企業(yè)決定開(kāi)源其研發(fā)的一個(gè)軟件，在選定開(kāi)源許可證后，將GitHub作為代碼托管和后續(xù)協(xié)作的平臺(tái)。我們知道在2018年6月，微軟宣布75億美元收購(gòu)GitHub，微軟是一家美國(guó)公司，而GitHub的具體運(yùn)營(yíng)公司也是位于舊金山的美國(guó)公司，均屬于外國(guó)組織，而GitHub的代碼存儲(chǔ)空間主要也在美國(guó)。實(shí)際上，GitHub.com也提及了GitHub網(wǎng)站、企業(yè)服務(wù)器以及用戶(hù)上傳的產(chǎn)品、信息可能受貿(mào)易管制法規(guī)包括EAR的約束，并詳細(xì)規(guī)定了用戶(hù)只能根據(jù)適用法律（包括美國(guó)出口管制和制裁法律）訪(fǎng)問(wèn)、使用GitHub.com。因此，這種形式的源代碼開(kāi)源，如果涉及禁止或者限制出口的軟件技術(shù)，有很大可能被主管部門(mén)認(rèn)定屬于“出口”。

（2）國(guó)內(nèi)某企業(yè)決定將其研發(fā)的機(jī)器學(xué)習(xí)程序捐贈(zèng)給Linux基金會(huì)。假設(shè)這項(xiàng)機(jī)器學(xué)習(xí)程序有著先進(jìn)的算法，屬于禁止出口的技術(shù)，而Linux基金會(huì)是根據(jù)美國(guó)聯(lián)邦稅法501(c)(3)成立的非盈利機(jī)構(gòu)，屬于外國(guó)組織，則該企業(yè)向Linux基金會(huì)捐贈(zèng)源代碼及相關(guān)材料的行為，也有很大的可能被主管部門(mén)認(rèn)定屬于“出口”。

（3）國(guó)內(nèi)某企業(yè)對(duì)通用性公開(kāi)（General Public License，以下簡(jiǎn)稱(chēng)“GPL”）許可證項(xiàng)下的Linux內(nèi)核作出了重大技術(shù)貢獻(xiàn)，該項(xiàng)創(chuàng)新屬于禁止出口的技術(shù)。根據(jù)GPL開(kāi)源許可證，該企業(yè)應(yīng)當(dāng)在相應(yīng)的國(guó)外社區(qū)公開(kāi)源代碼，那么這種情況下，也有很大的可能被主管部門(mén)認(rèn)定屬于“出口”。這里涉及到的國(guó)內(nèi)法與開(kāi)源許可證的沖突及解決，不是本文的研究范圍，本文不展開(kāi)論述。

可能不會(huì)被認(rèn)定為開(kāi)源軟件出口的場(chǎng)景：

（1）國(guó)內(nèi)某企業(yè)決定將其軟件開(kāi)源到gitee上，但該軟件屬于限制出口技術(shù)。gitee運(yùn)營(yíng)公司是位于深圳的中國(guó)注冊(cè)公司，而源代碼的存儲(chǔ)空間也應(yīng)在我國(guó)境內(nèi)，雖然網(wǎng)絡(luò)具有全球可訪(fǎng)問(wèn)性，但不應(yīng)認(rèn)定為“出口”。需要指出的是，如果該軟件涉及國(guó)家保密規(guī)定的，應(yīng)遵守相關(guān)的要求。

由于在立法時(shí)沒(méi)有提及開(kāi)源軟件的概念，歐盟同樣存在類(lèi)似問(wèn)題，有可能對(duì)于開(kāi)源軟件存在過(guò)度管轄。而日本由于其管控清單中沒(méi)有將軟件單獨(dú)列出，因此日本在開(kāi)源軟件的出口和轉(zhuǎn)移方面要寬松的多，不存在法律上的障礙。

三、重要開(kāi)源社區(qū)的出口管制策略

（一）國(guó)際開(kāi)源組織項(xiàng)目出口管制政策

一個(gè)完整的開(kāi)源生態(tài)包含開(kāi)源基金會(huì)（組織）、開(kāi)源項(xiàng)目、開(kāi)源許可證和代碼托管平臺(tái)等多方面要素，它們各自的條款聲明和受到的法律制約都不盡相同。

1. 開(kāi)源基金會(huì)

開(kāi)源基金會(huì)管理開(kāi)源項(xiàng)目，但基金會(huì)的管理辦法差異較大，而基金會(huì)旗下的開(kāi)源項(xiàng)目也可以選擇不同管理辦法。舉例：

Linux 基金會(huì)自身的管理辦法不受美國(guó)出口管制，其旗下的項(xiàng)目包括Linux Kernel等默認(rèn)遵循該管理辦法，但其分布式存儲(chǔ)項(xiàng)目Ceph明確指定司法管轄權(quán)歸屬美國(guó)加州，并要求使用并出口者遵循美國(guó)出口管制，就屬于Linux基金會(huì)中的特例；

Apache基金會(huì)的管理辦法明確說(shuō)明遵循美國(guó)出口管制，旗下絕大多數(shù)項(xiàng)目如 Hadoop、Spark等，在備案（5D002）后即不受EAR出口管制；

Mozilla基金會(huì)明確聲明司法管轄權(quán)歸屬加州。根據(jù)前述司法管轄區(qū)與出口管制的關(guān)系，Mozallia基金會(huì)聲明司法管轄權(quán)，只是表示出現(xiàn)各類(lèi)糾紛都將以加州Santa Clara的法庭裁決為準(zhǔn)。如前所述，這并不表示其管理的開(kāi)源項(xiàng)目默認(rèn)受到出口管制；

RISC-V基金會(huì)隸屬于Linux基金會(huì)，沒(méi)有特別聲明受美國(guó)出口管制，因此RISC-V基金會(huì)擁有的RISC-V開(kāi)放指令集標(biāo)準(zhǔn)并不會(huì)受美國(guó)出口管制。值得注意的是，RISC-V 基金會(huì)的會(huì)員條款中也指明了其司法管轄權(quán)在美國(guó)特拉華州。根據(jù)前述司法管轄權(quán)與出口管制的關(guān)系，RISC-V基金會(huì)聲明司法管轄權(quán)，表示所有圍繞會(huì)員條款產(chǎn)生的糾紛都將交由指定法庭裁決，但并不表示其管理的開(kāi)源項(xiàng)目默認(rèn)受到出口管制。

2. 開(kāi)源許可證

常用開(kāi)源許可證如GPL、LGPL、BSD、MIT、Mozilla、Apache，均未涉及與政府出口管制無(wú)關(guān)的聲明。而且開(kāi)源項(xiàng)目對(duì)于許可證條款的遵循與變更比較容易，所以開(kāi)源許可證方面的出口管制風(fēng)險(xiǎn)比較小。

3. 代碼托管平臺(tái)

從對(duì)GitHub、SourceForge和Google Code三個(gè)代碼托管平臺(tái)的研究來(lái)看，該三個(gè)平臺(tái)均明確聲明遵守美國(guó)出口管制條例，并且司法管轄權(quán)均在加州（即需按加州法律解決糾紛）。

以 GitHub為例，GitHub明確聲明其GitHub Enterprise Server被出口管制，不能出口到被制裁國(guó)家。至于GitHub網(wǎng)站的普通功能，由于架設(shè)在美國(guó)的GitHub服務(wù)器的上傳和下載的行為都需要遵從出口管制和美國(guó)法律，所以其正常使用是可能會(huì)被管制的。亦即，GitHub上的開(kāi)源項(xiàng)目代碼在遵守項(xiàng)目自身的開(kāi)源許可證的同時(shí), 也可能作為GitHub上的信息（Information）遵從出口管制和美國(guó)法律。概述中提到的事件，也很可能因?yàn)?/span>GitHub因素使其訪(fǎng)問(wèn)開(kāi)源項(xiàng)目受到影響。

開(kāi)源項(xiàng)目如何規(guī)避出口管制風(fēng)險(xiǎn)？存在四種情況，但都需要開(kāi)源項(xiàng)目發(fā)起人或開(kāi)發(fā)者支持與配合：

對(duì)于已存放于GitHub的開(kāi)源項(xiàng)目，若同時(shí)存放于美國(guó)以外其他托管平臺(tái)，且開(kāi)發(fā)者分別獨(dú)立提交更新到GitHub與其他托管平臺(tái)，且開(kāi)發(fā)過(guò)程中不從GitHub下載任何信息，那么從美國(guó)以外的托管平臺(tái)獲取開(kāi)源項(xiàng)目不受美國(guó)出口管制；

對(duì)于已存放于GitHub的開(kāi)源項(xiàng)目，若發(fā)起人本地?fù)碛懈北?，且未?/span>GitHub上下載更新，那么發(fā)起人可在美國(guó)以外其他托管平臺(tái)創(chuàng)建開(kāi)源項(xiàng)目，并將副本上傳到該托管平臺(tái)。此后開(kāi)發(fā)者分別獨(dú)立提交更新到GitHub與美國(guó)以外的托管平臺(tái)，且開(kāi)發(fā)過(guò)程中不從GitHub下載任何信息,那么從美國(guó)以外的托管平臺(tái)獲取開(kāi)源項(xiàng)目不受美國(guó)出口管制；

對(duì)于新啟動(dòng)的開(kāi)源項(xiàng)目，發(fā)起者可在美國(guó)以外的托管平臺(tái)和GitHub上同時(shí)創(chuàng)建項(xiàng)目，且開(kāi)發(fā)者分別獨(dú)立提交更新到美國(guó)以外的托管平臺(tái)與GitHub，且開(kāi)發(fā)過(guò)程中不從 GitHub 下載任何信息，那么從美國(guó)以外的托管平臺(tái)獲取開(kāi)源項(xiàng)目不受美國(guó)出口管制；

對(duì)于新啟動(dòng)的開(kāi)源項(xiàng)目，發(fā)起者可直接在美國(guó)以外的托管平臺(tái)創(chuàng)建項(xiàng)目，其后開(kāi)發(fā)者向該托管平臺(tái)更新，那么從該托管平臺(tái)獲取開(kāi)源項(xiàng)目不受美國(guó)出口管制。

從以上分析可以看出，雖然并非所有的開(kāi)源基金會(huì)、開(kāi)源社區(qū)管理的源代碼都受到美國(guó)出口管制的管轄，但幾乎所有位于美國(guó)的國(guó)際開(kāi)源組織或項(xiàng)目，無(wú)一例外地遵守美國(guó)的出口管制政策。

（二）社區(qū)聲明對(duì)開(kāi)源軟件使用的影響

在實(shí)際使用開(kāi)源軟件時(shí)，為了增強(qiáng)我們對(duì)該開(kāi)源軟件具備足夠的駕馭能力，選擇開(kāi)源軟件項(xiàng)目時(shí)，需要考慮能夠隨時(shí)不受限制地引用其全生命周期過(guò)程中的版本、技術(shù)，以滿(mǎn)足引用開(kāi)源軟件產(chǎn)品全生命周期經(jīng)營(yíng)管理需要：

選擇開(kāi)源軟件時(shí)，需要仔細(xì)閱讀所屬開(kāi)源社區(qū)/開(kāi)源基金會(huì)的聲明、項(xiàng)目本身的聲明、所用的開(kāi)源許可證聲明等三個(gè)聲明，以了解受各國(guó)出口管制管轄及約束的情況。對(duì)所用開(kāi)源軟件相關(guān)的上述聲明需要進(jìn)行全生命周期的跟蹤，若其條款有所變更需要進(jìn)行快速響應(yīng)，分析其出口管制影響；

在同樣條件下，優(yōu)先選擇國(guó)內(nèi)開(kāi)源基金會(huì)和開(kāi)源社區(qū)下的開(kāi)源軟件；

開(kāi)源托管平臺(tái)同時(shí)受EAR出口管制和美國(guó)司法管轄權(quán)的限制，是開(kāi)源最大的風(fēng)險(xiǎn)。在同樣條件下，優(yōu)先選擇國(guó)內(nèi)開(kāi)源社區(qū)下的開(kāi)源軟件；

同時(shí)做好受出口管制后，是否有其它應(yīng)對(duì)手段，如開(kāi)源軟件替代、具備開(kāi)源軟件守護(hù)能力等；

做好所使用開(kāi)源軟件的開(kāi)源基準(zhǔn)庫(kù)，最好是所用開(kāi)源組件的全版本庫(kù)。

對(duì)所選開(kāi)源軟件的許可證進(jìn)行全生命周期管控，預(yù)防遵循許可證變更，甚至引入新的受出口管制影響的許可證等情況。

四、開(kāi)源軟件出口管制合規(guī)管控實(shí)踐

（一）開(kāi)源軟件應(yīng)用管控

在當(dāng)前的高科技研發(fā)研發(fā)公司中，開(kāi)源軟件幾乎涉入了每一個(gè)軟件研究項(xiàng)目。近年來(lái)，業(yè)界各企業(yè)紛紛開(kāi)始進(jìn)行開(kāi)源合規(guī)治理，通過(guò)不斷完善，部分企業(yè)目前已形成一套開(kāi)源軟件的管理體系，管理系統(tǒng)主要包括開(kāi)源的安全、許可證和出口管制三部分。這里主要討論在出口管制方面的合規(guī)管控實(shí)踐。盡管如上面所述，四大主要經(jīng)濟(jì)體中的日本、歐盟和中國(guó)的出口管制或沒(méi)有提及軟件，或是沒(méi)有開(kāi)源軟件的概念，比如中國(guó)的出口管制政策主要通過(guò)對(duì)最終產(chǎn)品的功能性能來(lái)確認(rèn)是否進(jìn)行關(guān)注，但實(shí)質(zhì)上都有對(duì)使用開(kāi)源軟件的“隱形”出口管控。這里筆者以國(guó)內(nèi)某企業(yè)對(duì)開(kāi)源軟件的合規(guī)管控實(shí)踐，討論對(duì)開(kāi)源軟件管控有更明確和嚴(yán)格要求的美國(guó)EAR法條的遵從。

按照 EAR 的規(guī)定（734.3(b)(3)、734.7(b) 和 742.15(b)），即ECCN為5D002的加密開(kāi)源軟件仍受EAR管轄，除非其目標(biāo)代碼和源代碼按要求向BIS和ENC Encryption Request Coordinator進(jìn)行了備案（notification）。盡管進(jìn)行備案不是EAR的強(qiáng)制要求，但企業(yè)為減少出口管制合規(guī)風(fēng)險(xiǎn)而選擇了對(duì)ECCN為5D002的加密開(kāi)源軟件進(jìn)行備案管理要求，對(duì)研發(fā)過(guò)程中使用的受EAR管轄開(kāi)源軟件采取了管控措施。

1.受EAR管轄開(kāi)源軟件識(shí)別

正確識(shí)別研發(fā)活動(dòng)中使用的所有開(kāi)源軟件是識(shí)別受EAR管轄開(kāi)源軟件的基礎(chǔ)，但目前業(yè)界尚無(wú)一個(gè)100%正確識(shí)別的成熟可靠的方案，實(shí)踐證明采用工具識(shí)別與人工確認(rèn)相結(jié)合的方式，既提高了開(kāi)源軟件識(shí)別效率和準(zhǔn)確性，避免了純?nèi)斯ぷR(shí)別差錯(cuò)問(wèn)題，同時(shí)也解決了因掃描工具數(shù)據(jù)庫(kù)更新不及時(shí)而可能產(chǎn)生的識(shí)別不全的問(wèn)題。

識(shí)別出開(kāi)源軟件后，就需要對(duì)這些開(kāi)源軟件進(jìn)行分析，判斷其是否受EAR管轄。為此，總結(jié)了一個(gè)科學(xué)可行的判別的方法，我們稱(chēng)之為受EAR管轄開(kāi)源軟件識(shí)別四要素法，如下圖所示：

簡(jiǎn)單地說(shuō)如果一個(gè)開(kāi)源軟件同時(shí)滿(mǎn)足以上4個(gè)條件，我們就認(rèn)為這個(gè)開(kāi)源軟件是受EAR管轄的開(kāi)源軟件。

2.受EAR管轄開(kāi)源軟件備案

該實(shí)踐中要求對(duì)識(shí)別為受EAR管轄的開(kāi)源軟件在軟件版本對(duì)外發(fā)布前必須完成向BIS備案，通過(guò)備案將受EAR管轄的開(kāi)源軟件變?yōu)椴皇芄茌犻_(kāi)源軟件，從而減少出口管制合規(guī)風(fēng)險(xiǎn)。具體做法是通過(guò)email通知BIS和ENC Encryption Request Coordinator，告之加密源代碼所在的URL或網(wǎng)絡(luò)地址，每次URL發(fā)生變化，均需再通知BIS和ENC Encryption Request Coordinator，但源代碼更新或修改不需再次通知。

企業(yè)從公司維度對(duì)開(kāi)源軟件的備案工作進(jìn)行集中管理，一方面能夠確保來(lái)源的可靠性和可信性；另一方面，實(shí)現(xiàn)了資源共享，避免了不同研發(fā)單位對(duì)同一個(gè)受EAR管轄開(kāi)源軟件的重復(fù)備案，減少了資源消耗，提高了效率。

（二）開(kāi)源對(duì)外貢獻(xiàn)管控

作為開(kāi)源軟件應(yīng)用者，同時(shí)也是開(kāi)源軟件的貢獻(xiàn)者。常見(jiàn)的開(kāi)源對(duì)外貢獻(xiàn)有兩種方式，一種是直接向開(kāi)源社區(qū)貢獻(xiàn)自研代碼，還有一種在在開(kāi)源社區(qū)主導(dǎo)建設(shè)項(xiàng)目。

1.自研代碼貢獻(xiàn)

為了實(shí)現(xiàn)開(kāi)源社區(qū)的共建，實(shí)現(xiàn)技術(shù)和代碼的共享，某些情況下，研發(fā)項(xiàng)目在從開(kāi)源社區(qū)獲取開(kāi)源項(xiàng)目的同時(shí)，也需要向開(kāi)源社區(qū)共享源代碼。為了遵循出口管制的政策，對(duì)于涉及受EAR管控的技術(shù)或軟件的軟件不能作為開(kāi)源軟件公開(kāi)到開(kāi)源社區(qū)中。該實(shí)踐中對(duì)開(kāi)源代碼對(duì)外貢獻(xiàn)管控要求是：項(xiàng)目組在向開(kāi)源社區(qū)提交源代碼前，需要識(shí)別是否包含受控軟件，受控軟件不能作為開(kāi)源軟件發(fā)布；涉及受控技術(shù)的受控項(xiàng)目的軟件源代碼也不能對(duì)外貢獻(xiàn)代碼。

2.開(kāi)源項(xiàng)目建設(shè)

我國(guó)目前有很多企業(yè)都有其主導(dǎo)的開(kāi)源軟件建設(shè)項(xiàng)目，代碼托管在Linux基金會(huì)，同時(shí)，在開(kāi)源中國(guó)社區(qū)上建設(shè)了鏡像。開(kāi)源中國(guó)是目前最大的開(kāi)源技術(shù)社區(qū)。雖然，開(kāi)源項(xiàng)目在托管平臺(tái)的選擇上有自主權(quán)，但是絕大部分中國(guó)項(xiàng)目組在國(guó)際大平臺(tái)托管代碼時(shí)，都會(huì)選擇同時(shí)在國(guó)內(nèi)建立鏡像，不僅中國(guó)項(xiàng)目，開(kāi)源中國(guó)也同國(guó)際上很多大的平臺(tái)簽署了相關(guān)協(xié)議，一方面能不斷發(fā)展開(kāi)源社區(qū)，同時(shí)也是對(duì)國(guó)內(nèi)開(kāi)源代碼使用的安全性的一個(gè)長(zhǎng)遠(yuǎn)保障措施。

五、開(kāi)源軟件管控改進(jìn)措施和風(fēng)險(xiǎn)分析

（一）開(kāi)源軟件管控差距和改進(jìn)

在上文的開(kāi)源軟件管控實(shí)踐中，企業(yè)對(duì)開(kāi)源軟件已制定比較全面的管控措施，出口管控合規(guī)的風(fēng)險(xiǎn)已完全被管控。但就執(zhí)行與現(xiàn)有政策要求還存在一定差異，體現(xiàn)在目前EAR法條中僅管控涉及非標(biāo)準(zhǔn)加密算法的開(kāi)源軟件，也就是說(shuō)，只有涉及非標(biāo)準(zhǔn)加密算法的開(kāi)源軟件才是美國(guó)出口管制關(guān)注的對(duì)象，其他都不在其管轄范圍內(nèi)，無(wú)需向其備案，這個(gè)政策在2021年3月份變更。但是目前如果依然按照原有的要求進(jìn)行備案，對(duì)所有加密的開(kāi)源軟件都進(jìn)行備案，管控的尺度更高。雖然這種差距雖然并不帶來(lái)合規(guī)風(fēng)險(xiǎn)，但卻會(huì)加重備案工作量。

為了消除這種差距，企業(yè)合規(guī)部門(mén)與業(yè)務(wù)單位不斷討論改進(jìn)措施和方案，目標(biāo)是完全遵循EAR的要求，僅針對(duì)涉及非標(biāo)準(zhǔn)加密算法的開(kāi)源軟件向BIS備案。這個(gè)方案中，最關(guān)鍵的一點(diǎn)是如何確定加密算法是否為標(biāo)準(zhǔn)算法，執(zhí)行落地方案建議如下：

首先依據(jù)法條中對(duì)標(biāo)準(zhǔn)加密算法的說(shuō)明，確定目前已使用的標(biāo)準(zhǔn)加密清單，但此清單并不涵蓋所有的標(biāo)準(zhǔn)加密算法，僅供使用人員參考；

使用人員負(fù)責(zé)對(duì)加密開(kāi)源軟件的加密算法標(biāo)準(zhǔn)和非標(biāo)準(zhǔn)進(jìn)行判定，判定方法是參考標(biāo)準(zhǔn)加密算法清單，如果加密軟件使用的加密算法在此清單內(nèi)，則認(rèn)為是標(biāo)準(zhǔn)加密算法；

如加密軟件使用的算法不在此清單內(nèi)，則需要根據(jù)非標(biāo)準(zhǔn)加密算法的定義進(jìn)行判定，給出是否非標(biāo)準(zhǔn)加密算法的判定，判定依據(jù)：該算法在何種國(guó)際標(biāo)準(zhǔn)中公開(kāi)發(fā)布；

管理人員審查不在標(biāo)準(zhǔn)加密算法清單中的標(biāo)準(zhǔn)加密算法的判斷依據(jù)。如果判斷依據(jù)可靠，則將改算法加入標(biāo)準(zhǔn)加密算法清單；否則將涉及非標(biāo)準(zhǔn)加密算法的開(kāi)源軟件向BIS備案。

（二）開(kāi)源軟件潛在風(fēng)險(xiǎn)分析

在該實(shí)踐中，雖然開(kāi)源軟件的使用已完全遵循了美國(guó)的出口管制，但并不代表沒(méi)有風(fēng)險(xiǎn)。從前面概述中的案例可以看出，可能存在一種極端的情況，一旦美國(guó)修改 EAR，將高性能軟件、EDA 軟件等一些核心基礎(chǔ)軟件加入到管制中（這并非不可能，2018 年 11 月，美國(guó) BIS 曾就 AI 和機(jī)器學(xué)習(xí)等新興技術(shù)是否加入管制名單征求公眾意見(jiàn)），并且將目前“備案即不被管制”（這其中包含了 ASF 幾乎所有開(kāi)源項(xiàng)目），修改為“備案且需要被管制”，那就意味著大量核心開(kāi)源項(xiàng)目將受到出口管制。

換句話(huà)說(shuō)，如果我們使用的開(kāi)源軟件較多都來(lái)源于這些有影響力的外部社區(qū)，而這些社區(qū)又都受制于國(guó)家的出口管制政策，那么這些開(kāi)源軟件始終都將受到出口管制政策變化的影響。我們已經(jīng)清楚地認(rèn)識(shí)到，出口管制的本質(zhì)是，國(guó)家不希望其在意的東西（物項(xiàng)）轉(zhuǎn)移給其不喜歡的國(guó)家/人（禁運(yùn)國(guó)家/受限制主體），目前國(guó)際局勢(shì)風(fēng)云變化莫測(cè)，如果一旦形式突變，開(kāi)源軟件作為嚴(yán)重影響各行各業(yè)的一把雙刃劍，把其作為對(duì)付一個(gè)國(guó)家或企業(yè)的武器存在很大可能。

所以從長(zhǎng)遠(yuǎn)來(lái)看，中國(guó)必須建立起自己有影響力的開(kāi)源項(xiàng)目托管平臺(tái)，發(fā)展自身的開(kāi)源力量，并以更開(kāi)放的方式吸引全世界的開(kāi)源愛(ài)好者。中國(guó)在2008開(kāi)始建設(shè)開(kāi)源中國(guó)社區(qū)，目前已經(jīng)建設(shè)成國(guó)內(nèi)最大的開(kāi)源技術(shù)社區(qū)。國(guó)家在第十四個(gè)五年規(guī)劃中，已經(jīng)把“開(kāi)源”列入規(guī)劃?？v觀中國(guó)企業(yè)，華為作為風(fēng)險(xiǎn)管理杰出企業(yè)代表，也早早意識(shí)到自己在開(kāi)源軟件這一塊的風(fēng)險(xiǎn)，已經(jīng)在操作系統(tǒng)、數(shù)據(jù)庫(kù)、AI深度學(xué)習(xí)框架等基礎(chǔ)軟件在國(guó)內(nèi)構(gòu)建了完善的開(kāi)源生態(tài)，成為中國(guó)開(kāi)源的重要力量。

對(duì)于受開(kāi)源軟件和出口管制影響深遠(yuǎn)的企業(yè)，也有必要居安思危，未雨綢繆，多作貢獻(xiàn)。

六、參考文獻(xiàn)

[一] 中國(guó)：《中華人民共和國(guó)出口管制法》

[二] 中國(guó)：《兩用物項(xiàng)目錄》

[三] 日本：《安全保障貿(mào)易管理について》；

[四] 日本：《日本出口貿(mào)易管理令》；

[五] 美國(guó)：《Part 734 – Scope of the Export Administration Regulations》；

[六] 美國(guó)：《Part 742 – Control Policy — CCL Based Controls》；

[七]《Official Journal of the European Union》（歐盟公報(bào)）：《eu-council-regulation-ec-no-428-2009-of-5-may-2009-setting-up-a-community-regime-for-the-control-of-exports-transfer-brokering-and-transit-of-dual-use-items》

[八] Linux 基金會(huì)發(fā)布白皮書(shū)：《了解開(kāi)源科技和美國(guó)出口管制》；

[九] Linux 基金會(huì)：《Linux 基金會(huì)發(fā)布白皮書(shū)，解釋如何應(yīng)對(duì)美國(guó)對(duì)開(kāi)源項(xiàng)目的出口管制》2020.7

[十] 中國(guó)開(kāi)放指令生態(tài)（RISC-V）聯(lián)盟：《開(kāi)源項(xiàng)目風(fēng)險(xiǎn)分析與對(duì)策建議》。