开源软件也要遭禁？专家：无需恐慌

安卓遭禁风波未平，Apache许可证分发的软件也将受美国出口管制？专家解读：无需恐慌，但要警醒了！

开源软件也要遭禁？专家：无需恐慌。

昨日，安卓遭禁的新闻引发轩然大波。随后，开源中国在其博客中指出：Apache 许可证分发的软件也受美国出口管制。

此消息一出，众多网友呼吁程序员们：请尽快将代码在国内备份！

Apache 软件基金会这个全球最大的开源软件基金会官网上有这样的内容：

这段话的大概意思是除非经美国政府正式授权，否则 ASF 软件或技术不得直接或间接出口或再出口到受美国禁运或贸易制裁的任何地方。

除此之外，GitHub 这个全球最大的开源代码托管平台官网上也赫然写着：

GitHub.com、GitHub Enterprise Server 以及您上传到任一产品的信息可能受美国出口管制法律的约束，包括美国出口管理条例（EAR）。

该条款指出，GitHub Enterprise Server 不得出售、出口或再出口到清单中的国家，清单目前已经包含古巴、伊朗、朝鲜、苏丹与叙利亚，并且随时可能会发生变化。

细思极恐，开源软件何去何从

除了GitHub之外，知名公众号博主魏永明指出还有一个至关重要的开源软件也值得关注 ：Linux 内核。Linux 内核是由来自世界各地的开发者一同协作完成的，知识产权所有者遍布全球。然而，Linux 基金会是在美国注册的，且 Linux 内核的分发服务器（www.kernel.org）、git 仓库服务器也都在美国的，所以美国如果说 Linux 内核也受美国的出口法律法规管辖，我们也无法反驳。

其实还远不止这些！

人工智能领域的同学应该对当前最火的开源框架TensorFlow并不陌生，但余凯（原百度研究院副院长、深度学习实验室主任）早前就曾在朋友圈发表呼吁大家用 caffe、mxnet 等框架，避免使用 TensorFlow。

他表示：“任TensorFlow成为世界上占统治地位的人工智能开发平台对世界是危险的。尽管这个平台目前是开源的，但是随着时间的推移，人工智能变得越来越强大，这个系统会变得极端复杂到失去透明性，而且会很可怕的变成全世界数据，计算，硬件，编译器等的标准制定者。这样会导致一个不健康的生态，阻碍年轻人掌握技术的自由，让个人，公司甚至国家在人工智能领域的自主发展，最终被一家商业公司所控制。这不是危言耸听。可惜现在绝大部分人都还意识不到这点。“

此言论一出就曾引发众多网友讨论。

现在看来，确实不无道理。

开源软件不涉及加解密技术，就不会被管制？

根据林诚夏先生（***开放文化基金会法制顾问，开源社法律咨询委员会成员）的分析与说明，“开源软件，只要不涉加解密技术，不会被美国 EAR( Export Administration Regulation , EAR )管制，但涉及加解密者则会被管制。“

以下为详细说明：

依美国 EAR (Export Administration Regulation, EAR)，美国人、美国公司将软件出口至美国境外，或在美国境内提供给外国人作为出口的预备行为，必须申请取得许可。

但符合「公开可及(Publicly available)」定义的软件，不在 EAR 管制范围，亦即不需要申请许可；也就是说，多数的开源软件，皆为公开可及并能后续散布，符合这条但书，出口上不需要申请许可。（EAR 734.7 (a)）

但 EAR 734.7 (b) 同时说明，公开可及软件虽不需许可，但若涉及加解密技术，仍然必须申请许可。

除非是这个加解密技术，除了代码本身公开可及外，其加密方式原则上也是公开可及的，那就可以再主张它在 ECCN 5D002 的列表里，可以采 EAR 742.15(b) 款提供源代码或揭露源代码来源的方式，来登录备查。

或是更简要的说，在美国：

软件出口必须申请许可。

除非该软件是公开可及的，那就不需要申请许可。

但公开可及的软件，若涉及信息加密技术仍然要申请许可。

除非该公开可及的软件，除了代码公开可及外，连加密技术本身也公开可及，那就再进入例外不需要申请许可。

虽然不需要申请许可，但这样的代码公开可及、加密技术公开可及的软件仍然要向美国 BIS 汇报备查，并提供相关讯息供其事前事后查验。

像Red Hat及Mozilla是有定期提供备查清单出来给美国政府的。亦即有列备查清单者的，原则不能被管制出口。

注：Part 734 章节里的 734.7 对于何谓「公开可及(§ 734.7 PUBLISHED )做了定义说明及例示，简要来说：「技术或软件已经是被一般公众可以接触，并不限及其后续散布者( when it has been made available to the public without restrictions upon its further dissemination ）。

概念辨析

Apache License 与 Apache 基金会项目

有很多开源软件，都会选择使用 Apache License 2.0，但是这并不代表这个开源项目已经属于 Apache 基金会，只有当项目被明确的捐赠给 Apache 基金会，才是属于 Apache 基金会的项目，受到美国法律的监管。但是，只要这个项目不涉及加密，同样不在 EAR 管制范围。

开源软件不等于美国的软件

有很多人担心，美国一声令下，会禁止所有的开源软件被中国使用。这样的担忧是不必要的。有太多的自由软件/开源软件，不属于任何一个公司，也不属于任何一家开源基金会，或者属于美国之外的组织，这些都是美国管不到的地方。

Github.com，Github 上托管的开源项目，与 Github 企业版

针对开源中国上述的文章，我们担心存在一些混淆。Github 是一家美国公司，当然受美国法律的约束。Github.com 上托管的项目，却未必受美国法律的约束。Github 企业版是 Github 公司的一个产品，而且是一个闭源的产品，这个产品不属于「公开可及( Publicly available )」的范围，因此会受到 EAR 管制。确实可能存在无法出口的问题。但是，这个产品，大多数情况下是企业采购之后，在本公司内部部署并使用的产品，对于开源社区，几乎没有任何影响。

因此，我们认为除了 EAR 限制的加密技术之外，由于开源软件在网络公开下载传播的属性，ASF 软件基金会或是其他开源软件项目不会也很难被美国政府限制出口。您的看法如何呢？欢迎评论！

专家解读：不必过度恐慌

开源项目是否受美国出口管制？是否有可能全线“闭源“？知名科技博主@包云岗 进行了相关调查，并在微博上发表了调查结论，以下内容援引自其博文：

针对开源的几个基本要素：开源基金会、开源协议、开源项目、开源代码托管平台。我们对12个知名开源基金会、6个常用的开源协议、3个代码托管平台进行了调研与分析，得出以下初步结论：

1、开源基金会管理开源项目，但基金会的管理办法差异较大，而基金会旗下的开源项目也可以选择不同管理办法。例如：

Linux基金会自身的管理办法不受美国出口管制，所以旗下的项目包括Linux Kernel等默认遵循该管理办法，但虚拟化项目Xen明确说明遵循美国出口管制，就属于Linux基金会中的特例；

Apache基金会的管理办法明确说明遵循美国出口管制，所以它旗下所有项目如Hadoop、Spark都将受到出口管制。

Mozilla基金会明确声明遵守加州法律，出现各类纠纷将必须到Santa Clara的法庭裁决。

2、目前调研的开源许可协议族（GPL、LGPL、BSD、MIT、Mozilla、Apache 2.0）均未涉及与政府出口管制无关的声明。

3、目前调研的3个代码托管平台GitHub、SourceForge、Google Code均明确声明遵守美国出口管制条例，并按加州法律解决纠纷。

4、小结：

* 合理的开源基金会管理办法可以规避美国出口管制

* 开源协议与出口管制无关

*代码托管平台是开源的最大风险

5、关于RISC-V

RISC-V基金会隶属于Linux基金会，没有特别声明受美国出口管制，因此RISC-V基金会拥有的RISC-V开放指令集标准并不会受美国出口管制。这一点上周和RISC-V基金会的现任CEO专门进行了讨论并得到确认。后续我们也会再进一步确认。

开源自立迫在眉睫

这次华为事件促使我们思考：当我们日常所使用的编程语言、操作系统、开发框架与工具、服务，被注入了国家政府或是商业集团的意志时，究竟该怎么办？

科技自立、开源自立是唯一的出路。

科技行业在政治和商业的压力下，也早已不是曾经的“乌托邦”。

近年来，高通收购案、Facebook“数据门”、去年的中兴事件、今年的华为事件，都可以看到，科技界并不是完全自由开放的，背后也同样有各个国家政府或是商业集团的意志。

这给国内的广大用户、厂商敲响了警钟：基础软件不能过分依赖开源，需要自主研发，开源自立已迫在眉睫！

正如包云岗在文中所说，“我们应尽快建立已有托管平台在美国以外的镜像平台，长远来看，中国必须建立起自己的开源项目托管平台，并以更开放的方式吸引全世界的开源爱好者。”