安卓遭禁風(fēng)波未平，Apache許可證分發(fā)的軟件也將受美國(guó)出口管制？專家解讀：無需恐慌，但要警醒了！

開源軟件也要遭禁？專家：無需恐慌。

昨日，安卓遭禁的新聞引發(fā)軒然大波。隨后，開源中國(guó)在其博客中指出：Apache 許可證分發(fā)的軟件也受美國(guó)出口管制。

此消息一出，眾多網(wǎng)友呼吁程序員們：請(qǐng)盡快將代碼在國(guó)內(nèi)備份！

Apache 軟件基金會(huì)這個(gè)全球最大的開源軟件基金會(huì)官網(wǎng)上有這樣的內(nèi)容：

這段話的大概意思是除非經(jīng)美國(guó)政府正式授權(quán)，否則 ASF 軟件或技術(shù)不得直接或間接出口或再出口到受美國(guó)禁運(yùn)或貿(mào)易制裁的任何地方。

除此之外，GitHub 這個(gè)全球最大的開源代碼托管平臺(tái)官網(wǎng)上也赫然寫著：

GitHub.com、GitHub Enterprise Server 以及您上傳到任一產(chǎn)品的信息可能受美國(guó)出口管制法律的約束，包括美國(guó)出口管理?xiàng)l例（EAR）。

該條款指出，GitHub Enterprise Server 不得出售、出口或再出口到清單中的國(guó)家，清單目前已經(jīng)包含古巴、伊朗、朝鮮、蘇丹與敘利亞，并且隨時(shí)可能會(huì)發(fā)生變化。

細(xì)思極恐，開源軟件何去何從

除了GitHub之外，知名公眾號(hào)博主魏永明指出還有一個(gè)至關(guān)重要的開源軟件也值得關(guān)注 ：Linux 內(nèi)核。Linux 內(nèi)核是由來自世界各地的開發(fā)者一同協(xié)作完成的，知識(shí)產(chǎn)權(quán)所有者遍布全球。然而，Linux 基金會(huì)是在美國(guó)注冊(cè)的，且 Linux 內(nèi)核的分發(fā)服務(wù)器（www.kernel.org）、git 倉(cāng)庫(kù)服務(wù)器也都在美國(guó)的，所以美國(guó)如果說 Linux 內(nèi)核也受美國(guó)的出口法律法規(guī)管轄，我們也無法反駁。

其實(shí)還遠(yuǎn)不止這些！

人工智能領(lǐng)域的同學(xué)應(yīng)該對(duì)當(dāng)前最火的開源框架TensorFlow并不陌生，但余凱（原百度研究院副院長(zhǎng)、深度學(xué)習(xí)實(shí)驗(yàn)室主任）早前就曾在朋友圈發(fā)表呼吁大家用 caffe、mxnet 等框架，避免使用 TensorFlow。

他表示：“任TensorFlow成為世界上占統(tǒng)治地位的人工智能開發(fā)平臺(tái)對(duì)世界是危險(xiǎn)的。盡管這個(gè)平臺(tái)目前是開源的，但是隨著時(shí)間的推移，人工智能變得越來越強(qiáng)大，這個(gè)系統(tǒng)會(huì)變得極端復(fù)雜到失去透明性，而且會(huì)很可怕的變成全世界數(shù)據(jù)，計(jì)算，硬件，編譯器等的標(biāo)準(zhǔn)制定者。這樣會(huì)導(dǎo)致一個(gè)不健康的生態(tài)，阻礙年輕人掌握技術(shù)的自由，讓個(gè)人，公司甚至國(guó)家在人工智能領(lǐng)域的自主發(fā)展，最終被一家商業(yè)公司所控制。這不是危言聳聽?？上КF(xiàn)在絕大部分人都還意識(shí)不到這點(diǎn)?！?/p>

此言論一出就曾引發(fā)眾多網(wǎng)友討論。

現(xiàn)在看來，確實(shí)不無道理。

開源軟件不涉及加解密技術(shù)，就不會(huì)被管制？

根據(jù)林誠(chéng)夏先生（***開放文化基金會(huì)法制顧問，開源社法律咨詢委員會(huì)成員）的分析與說明，“開源軟件，只要不涉加解密技術(shù)，不會(huì)被美國(guó) EAR( Export Administration Regulation , EAR )管制，但涉及加解密者則會(huì)被管制。“

以下為詳細(xì)說明：

依美國(guó) EAR (Export Administration Regulation, EAR)，美國(guó)人、美國(guó)公司將軟件出口至美國(guó)境外，或在美國(guó)境內(nèi)提供給外國(guó)人作為出口的預(yù)備行為，必須申請(qǐng)取得許可。

但符合「公開可及(Publicly available)」定義的軟件，不在 EAR 管制范圍，亦即不需要申請(qǐng)?jiān)S可；也就是說，多數(shù)的開源軟件，皆為公開可及并能后續(xù)散布，符合這條但書，出口上不需要申請(qǐng)?jiān)S可。（EAR 734.7 (a)）

但 EAR 734.7 (b) 同時(shí)說明，公開可及軟件雖不需許可，但若涉及加解密技術(shù)，仍然必須申請(qǐng)?jiān)S可。

除非是這個(gè)加解密技術(shù)，除了代碼本身公開可及外，其加密方式原則上也是公開可及的，那就可以再主張它在 ECCN 5D002 的列表里，可以采 EAR 742.15(b) 款提供源代碼或揭露源代碼來源的方式，來登錄備查。

或是更簡(jiǎn)要的說，在美國(guó)：

軟件出口必須申請(qǐng)?jiān)S可。

除非該軟件是公開可及的，那就不需要申請(qǐng)?jiān)S可。

但公開可及的軟件，若涉及信息加密技術(shù)仍然要申請(qǐng)?jiān)S可。

除非該公開可及的軟件，除了代碼公開可及外，連加密技術(shù)本身也公開可及，那就再進(jìn)入例外不需要申請(qǐng)?jiān)S可。

雖然不需要申請(qǐng)?jiān)S可，但這樣的代碼公開可及、加密技術(shù)公開可及的軟件仍然要向美國(guó) BIS 匯報(bào)備查，并提供相關(guān)訊息供其事前事后查驗(yàn)。

像Red Hat及Mozilla是有定期提供備查清單出來給美國(guó)政府的。亦即有列備查清單者的，原則不能被管制出口。

注：Part 734 章節(jié)里的 734.7 對(duì)于何謂「公開可及(§ 734.7 PUBLISHED )做了定義說明及例示，簡(jiǎn)要來說：「技術(shù)或軟件已經(jīng)是被一般公眾可以接觸，并不限及其后續(xù)散布者( when it has been made available to the public without restrictions upon its further dissemination ）。

概念辨析

Apache License 與 Apache 基金會(huì)項(xiàng)目

有很多開源軟件，都會(huì)選擇使用 Apache License 2.0，但是這并不代表這個(gè)開源項(xiàng)目已經(jīng)屬于 Apache 基金會(huì)，只有當(dāng)項(xiàng)目被明確的捐贈(zèng)給 Apache 基金會(huì)，才是屬于 Apache 基金會(huì)的項(xiàng)目，受到美國(guó)法律的監(jiān)管。但是，只要這個(gè)項(xiàng)目不涉及加密，同樣不在 EAR 管制范圍。

開源軟件不等于美國(guó)的軟件

有很多人擔(dān)心，美國(guó)一聲令下，會(huì)禁止所有的開源軟件被中國(guó)使用。這樣的擔(dān)憂是不必要的。有太多的自由軟件/開源軟件，不屬于任何一個(gè)公司，也不屬于任何一家開源基金會(huì)，或者屬于美國(guó)之外的組織，這些都是美國(guó)管不到的地方。

Github.com，Github 上托管的開源項(xiàng)目，與 Github 企業(yè)版

針對(duì)開源中國(guó)上述的文章，我們擔(dān)心存在一些混淆。Github 是一家美國(guó)公司，當(dāng)然受美國(guó)法律的約束。Github.com 上托管的項(xiàng)目，卻未必受美國(guó)法律的約束。Github 企業(yè)版是 Github 公司的一個(gè)產(chǎn)品，而且是一個(gè)閉源的產(chǎn)品，這個(gè)產(chǎn)品不屬于「公開可及( Publicly available )」的范圍，因此會(huì)受到 EAR 管制。確實(shí)可能存在無法出口的問題。但是，這個(gè)產(chǎn)品，大多數(shù)情況下是企業(yè)采購(gòu)之后，在本公司內(nèi)部部署并使用的產(chǎn)品，對(duì)于開源社區(qū)，幾乎沒有任何影響。

因此，我們認(rèn)為除了 EAR 限制的加密技術(shù)之外，由于開源軟件在網(wǎng)絡(luò)公開下載傳播的屬性，ASF 軟件基金會(huì)或是其他開源軟件項(xiàng)目不會(huì)也很難被美國(guó)政府限制出口。您的看法如何呢？歡迎評(píng)論！

專家解讀：不必過度恐慌

開源項(xiàng)目是否受美國(guó)出口管制？是否有可能全線“閉源“？知名科技博主@包云崗 進(jìn)行了相關(guān)調(diào)查，并在微博上發(fā)表了調(diào)查結(jié)論，以下內(nèi)容援引自其博文：

針對(duì)開源的幾個(gè)基本要素：開源基金會(huì)、開源協(xié)議、開源項(xiàng)目、開源代碼托管平臺(tái)。我們對(duì)12個(gè)知名開源基金會(huì)、6個(gè)常用的開源協(xié)議、3個(gè)代碼托管平臺(tái)進(jìn)行了調(diào)研與分析，得出以下初步結(jié)論：

1、開源基金會(huì)管理開源項(xiàng)目，但基金會(huì)的管理辦法差異較大，而基金會(huì)旗下的開源項(xiàng)目也可以選擇不同管理辦法。例如：

Linux基金會(huì)自身的管理辦法不受美國(guó)出口管制，所以旗下的項(xiàng)目包括Linux Kernel等默認(rèn)遵循該管理辦法，但虛擬化項(xiàng)目Xen明確說明遵循美國(guó)出口管制，就屬于Linux基金會(huì)中的特例；

Apache基金會(huì)的管理辦法明確說明遵循美國(guó)出口管制，所以它旗下所有項(xiàng)目如Hadoop、Spark都將受到出口管制。

Mozilla基金會(huì)明確聲明遵守加州法律，出現(xiàn)各類糾紛將必須到Santa Clara的法庭裁決。

2、目前調(diào)研的開源許可協(xié)議族（GPL、LGPL、BSD、MIT、Mozilla、Apache 2.0）均未涉及與政府出口管制無關(guān)的聲明。

3、目前調(diào)研的3個(gè)代碼托管平臺(tái)GitHub、SourceForge、Google Code均明確聲明遵守美國(guó)出口管制條例，并按加州法律解決糾紛。

4、小結(jié)：

* 合理的開源基金會(huì)管理辦法可以規(guī)避美國(guó)出口管制

* 開源協(xié)議與出口管制無關(guān)

*代碼托管平臺(tái)是開源的最大風(fēng)險(xiǎn)

5、關(guān)于RISC-V

RISC-V基金會(huì)隸屬于Linux基金會(huì)，沒有特別聲明受美國(guó)出口管制，因此RISC-V基金會(huì)擁有的RISC-V開放指令集標(biāo)準(zhǔn)并不會(huì)受美國(guó)出口管制。這一點(diǎn)上周和RISC-V基金會(huì)的現(xiàn)任CEO專門進(jìn)行了討論并得到確認(rèn)。后續(xù)我們也會(huì)再進(jìn)一步確認(rèn)。

開源自立迫在眉睫

這次華為事件促使我們思考：當(dāng)我們?nèi)粘Ｋ褂玫?a target="_blank">編程語(yǔ)言、操作系統(tǒng)、開發(fā)框架與工具、服務(wù)，被注入了國(guó)家政府或是商業(yè)集團(tuán)的意志時(shí)，究竟該怎么辦？

科技自立、開源自立是唯一的出路。

科技行業(yè)在政治和商業(yè)的壓力下，也早已不是曾經(jīng)的“烏托邦”。

近年來，高通收購(gòu)案、Facebook“數(shù)據(jù)門”、去年的中興事件、今年的華為事件，都可以看到，科技界并不是完全自由開放的，背后也同樣有各個(gè)國(guó)家政府或是商業(yè)集團(tuán)的意志。

這給國(guó)內(nèi)的廣大用戶、廠商敲響了警鐘：基礎(chǔ)軟件不能過分依賴開源，需要自主研發(fā)，開源自立已迫在眉睫！

正如包云崗在文中所說，“我們應(yīng)盡快建立已有托管平臺(tái)在美國(guó)以外的鏡像平臺(tái)，長(zhǎng)遠(yuǎn)來看，中國(guó)必須建立起自己的開源項(xiàng)目托管平臺(tái)，并以更開放的方式吸引全世界的開源愛好者?！?/p>