企业使用「开源软件」知识产权保护指引

  为贯彻落实中央决策部署,进一步提升我国创新主体,尤其是企业的知识产权保护能力和水平,发挥知识产权保护在推动我国经济高质量发展中的作用,国家知识产权局知识产权保护司组织编制《企业知识产权保护指南》,在调查我国企业知识产权保护现状和需求的基础上,整理树立企业知识产权保护意识、建立企业知识产权保护机制等理论知识,梳理企业进行知识产权风险风控、高效应对纠纷等保护策略,形成帮助我国企业有意识、有方法、高水平开展知识产权保护的行动指南,从意识培养、机制建设、实务操作等方面提升我国企业知识产权保护能力和水平。以下为《企业知识产权保护指南》第五章和第七章中关于[开源软件]知识产权保护内容摘编。

  开源软件由于其内在的源代码公开、组件丰富等属性,在软件开发过程中逐渐占据了重要的位置。《Veracode 2017年软件安全报告》曾提到“如今一个软件中平均75%的软件代码都来自开源组件”。

  基于开源许可证的不担保责任条款,开源组件提供者往往不承担源代码带来的任何责任,因此企业利用开源组件开发商业软件时,有可能无意中使用了权属不清的源代码。一旦事实被炒作,可能会对企业商业声誉造成影响。

  不同的开源许可证有不同的知识产权保护要求。开发人员容易忽略某些许可证的条款或者很难兼顾多个许可证竞合的要求,使得企业面临违约风险。

  开源软件是具体的代码,代码背后的数据处理逻辑可能涉及独立第三方在先申请的专利。企业在利用开源软件开发时可能面临侵犯第三方专利权的风险。

  有的开源许可证会限制开源代码修改过程产出专利,或者约定产出的专利视为免费提供给开源软件的所有使用者,因此企业在申请专利时需提前了解有关规则并予以统筹考虑,避免增加不必要的专利申请成本。

  有的开源软件要求必须经过开源软件商标的认证,甚至要求开发者付费后才能使用。例如,OSI(Open Source Initiative)组织要求经其认证的开源软件务必在其复制件上附上商标“OSI Certified”;没经过OSI认证的软件不能擅自使用该认证商标,否则会面临侵犯集体商标的诉讼。

  ①明确管理归口。在研发部门或知识产权部门设立专门的管理岗位统筹企业的开源软件管理工作,其工作职责包括代码审核、制定开源策略、拟定风控机制、内部使用备案。

  ②制订许可证使用指引。将开发中可能涉及的许可证进行分级管理,形成《开源许可证使用指引》,明确哪些属于严苛许可证,禁止使用;哪些属于慎用许可证,应谨慎使用;哪些属于宽松许可证,推荐使用。

  ③软件代码扫描。对于将作为商业软件使用的开发项目,应当对软件源代码进行扫描,目的是确保软件产品不包含风险较高许可证的源代码段。如发现包含高风险源代码段,应当退回开发人员修改或征求研发高管意见以确定处理措施。对经过扫描的源代码,对其开源许可证进行备案。

  开源软件在企业研发活动中得到了越来越多的使用。开源的精神在于使用者可以使用、复制、散布、研究和改进软件。目前,诸如Linux、Apache、Eclipse等众多开源项目已被大众所知悉,而且由于其节省开发成本、易于实时改进、高质量等优势在业界被广泛使用。

  但开源并不意味着完全免费,开源软件仍然会涉及专利、商标、著作权、商业秘密等方面的法律保护。企业如果使用了开源软件但并未遵守其合规义务的话,可能会面临以下法律风险:

  ①巨额赔偿。2003年,美国圣克鲁斯(Santa Cruz Operation,SCO)对国际商业机器公司(International Business Machines Corporation,IBM)提起诉讼,控告IBM将其尤尼斯(Unix)操作系统中的某程序代码移植到林纳斯(Linux),要求IBM就不正当竞争、违反合同和侵犯商业秘密等给予10亿美元的赔偿。

  ②赔礼道歉。2017年,某企业宣布将其微服务框架开源。2018年,某人在某开源软件托管平台上提到自己开发的代码被改头换面做成了一个新的微服务框架。随后,该微服务框架项目的相关开发人员在平台进行回复,并就“照搬”代码的问题向原作者道歉。

  ③数据泄露。2018年,某集团旗下酒店开房记录疑似泄露,并被在黑市进行售卖。这些信息中包含姓名、身份证号码、手机号,甚至家庭住址。造成该集团数据库泄露的原因是,其工作人员将公司代码上传到某开源软件托管平台上时,数据库配置信息也被同时传上,黑客利用此信息实施攻击并成功拖库。

  ②根据不同发展阶段设置不同的开源软件管理组织;对中小企业而言,建议设置专职或兼职的开源管理组织或岗位。九游娱乐