范吳斌：軟件開發(fā)過程中使用開源軟件的潛在侵權風險分析

#本文僅代表作者觀點，不代表IPRdaily立場，未經作者許可，禁止轉載#

“企業(yè)在使用開源軟件進行自主研發(fā)的過程中，需要尤其注意是否符合開源許可協(xié)議的規(guī)定，應當仔細閱讀相應的許可條款，針對使用過程進行必要的合規(guī)審查，以規(guī)避潛在的侵權風險。”

來源：IPRdaily中文網（iprdaily.cn）

作者：范吳斌

1、什么是開源軟件？

開源軟件的字面意思是：開放源代碼的軟件。源代碼（也叫源程序）是指一系列人類可讀的計算機語言指令。直觀理解就是碼農們所“碼“出來的一行行代碼就是源代碼。與源代碼相對應的概念是目標代碼。源代碼是人類程序員根據(jù)高級語言規(guī)則（例如：C語言）所寫出來的便于人類理解和認知的代碼，而將源代碼通過編譯器進行編譯，生成的可供計算機識別和執(zhí)行的二進制指令就是目標代碼。

與開源軟件相對應的是閉源軟件，也就是源代碼封閉不公開的軟件。目前市面上絕大部分的商業(yè)版權軟件都是閉源軟件，即源代碼只有作者或者權利人能夠看到。這也就導致在軟件出了問題或者在實際運行中發(fā)現(xiàn)了BUG（漏洞）時，也只有權利人能夠通過查看、修改源代碼來對軟件進行修正和更新。相應的，其不公開的源代碼也會構成權利人的商業(yè)秘密被法律所保護。而如果一個軟件是開源的話，則意味著其源代碼面向社會公眾是公開的，任何人都可以去查看、修改以及使用該源代碼。

有關開源思想的誕生，背后有一個有趣的故事。理查德·斯托曼（Richard Stallman）是有史以來最偉大的幾名黑客之一，也是世界上寫代碼最多的人之一。他曾經買過一個商業(yè)軟件，結果使用的過程中發(fā)現(xiàn)一點小問題，于是他去找軟件公司，問他們能不能幫忙修復一下，軟件公司說不行，Richard 于是說，那能不能把源代碼給我，我來修復一下，公司也說不行。于是Richard很生氣，創(chuàng)立了著名的自由軟件基金會（FSF），發(fā)布了大名鼎鼎的GPL（通用公共許可協(xié)議），GPL至今為止依然是最著名的開源許可協(xié)議。

2、什么是開源許可協(xié)議？

開源許可協(xié)議又稱開源許可證（Open Source License），通俗來說就是軟件權利人在選擇將軟件的源代碼面向社會公眾進行公開時所附加的授權許可條款。這里需要強調的是，開源軟件即不等于免費軟件，也不等于沒有著作權的公共軟件。一款軟件的著作權人雖然面向社會公眾公開了該軟件的源代碼，但是在沒有明確的意思表示的情況下，該種公開行為只能代表權利人放棄了以商業(yè)秘密的形式來保護其源代碼，并不代表權利人放棄了被公開的源代碼上的著作權。而開源許可證的作用就是充當了被公開源代碼的著作權授權許可協(xié)議的角色，權利人可以通過自己擬定許可條款，或者選擇特定類型的開源許可證來向準備使用該源代碼的不特定用戶明確使用的規(guī)則和限制。目前已知的開源許可證已經有上百種，常見有GPL、LGPL、Apache、MIT、BSD、MPL、SSPL 等。不同類型的許可證中，針對源代碼的復制、使用、修改、傳播、再發(fā)布等行為的許可與限制條件也不同。

總的來說，開源許可協(xié)議就是保證開源軟件及源代碼按照約定使用的一個法律文件，目的在于規(guī)范受著作權保護的軟件及源代碼的使用、分發(fā)等行為。開源許可證是開源軟件生態(tài)系統(tǒng)的基礎，可以極大的促進軟件的協(xié)同開發(fā)。

3、開源許可協(xié)議的法律性質

廣州知識產權法院在（2019）粵73知民初207號案的判決書中對許可協(xié)議的性質做了詳細論述，法院認為開源許可協(xié)議具有合同性質，是授權方和用戶訂立的格式化著作權協(xié)議，屬于廣義的合同范疇，受合同相關法律法規(guī)的調整。而具體到某一特定的開源許可協(xié)議（例如：GPL），在法律上視為針對某一特定的項目，預先設定好格式化條款的協(xié)議。只要權利人作為授權方為其開放的源代碼選定了該協(xié)議，那么使用該開放源代碼的不特定用戶就必須遵守該協(xié)議中所約定的內容。上述行為視為是授權方和用戶之間形成的以開源軟件源代碼為目的的一種民事法律行為。在此基礎之上，授權方通過開源許可協(xié)議授予不特定的用戶復制、修改、再發(fā)行等權利，是設立、變更、終止民事法律權利義務關系的協(xié)議。同時，當不特定用戶針對該源代碼采取了實際的復制、修改、發(fā)行等行為時，那么上述協(xié)議便在權利人和用戶之間成立并生效。

其次，法院認為開源許可協(xié)議為非典型合同。與我國著作權法有關著作權許可使用和轉讓合同的規(guī)定相比較，開源許可協(xié)議中不存在權利轉讓的對價或許可使用需要支付的報酬等典型著作權許可合同的主要條款。開源許可協(xié)議是開源軟件的權利人向不特定的使用者讓渡其著作權中部分或全部的人身權利和財產權利，從而換取使用者承諾遵守開源許可協(xié)議的許可條件和義務。例如，GPL協(xié)議中要求使用者基于開放源代碼修改后產生的新的源代碼也必須面向社會公眾進行公開。

第三，開源許可協(xié)議在合同性質上是格式合同，是由著作權人向軟件程序及源代碼使用者提出的合同條款。該格式化條款保持承繼性，且不屬于格式合同條款無效的情形，其授權內容符合我國著作權法的規(guī)定，合法有效。

第四，不特定用戶針對開源許可協(xié)議的承諾是通過行為作出。例如，GPL協(xié)議第9條規(guī)定：一旦修改和傳播一個受保護作品，就表明你接受本協(xié)議。該要約內容表明以實踐行為作出承諾，無須再另行簽訂書面的合同。因此，開源許可協(xié)議中有關承諾可以用行為完成的條款符合合同法關于要約和承諾的規(guī)定，應為有效。

綜上，法院認為開源許可協(xié)議具有合同性質，是授權方與用戶訂立的格式化著作權協(xié)議，屬于我國合同相關法律法規(guī)調整的范圍。

4、用戶違反開源許可協(xié)議的約定使用開源軟件及源代碼的法律后果

如上所述，開源許可協(xié)議在法律上可以看作是開源軟件及源代碼的著作權授權許可協(xié)議，那么超出授權許可協(xié)議范圍的使用行為便同時構成了違約行為和侵權行為，進而相應產生了違約責任和侵權責任。但考慮到用戶只有一個違法行為，因此兩種責任構成民事責任競合，根據(jù)《民法典》第186條的規(guī)定，權利人需要擇一主張，針對用戶違反開源軟件許可協(xié)議的行為要么采取違約救濟，主張違約損害賠償請求權；要么采取侵權救濟，主張侵權損害賠償請求權。

1、選擇違約救濟與選擇侵權救濟之間的區(qū)別

實務中，很多企業(yè)類用戶通常會在開源軟件及源代碼基礎之上衍生開發(fā)出新的商業(yè)軟件，通過售賣商業(yè)軟件作為企業(yè)的盈利模式。這種情況下企業(yè)就天然不愿意去面向公眾開放新開發(fā)商業(yè)軟件的源代碼，而是傾向于通過商業(yè)秘密的形式來保護其源代碼。但是如果新的商業(yè)軟件所使用的開源軟件采用了GPL開源許可協(xié)議，那么根據(jù)GPL協(xié)議的約定，使用者基于開源代碼修改后產生的新的源代碼也必須面向社會公眾進行公開。這時候企業(yè)最擔心的往往是權利人能不能基于開源許可協(xié)議的約定，強制要求企業(yè)公開新開發(fā)軟件的源代碼？

在違約救濟中，由于其訴訟基礎是用戶違反了合同的約定，理論上權利人是可以向法院提出公開源代碼的訴訟請求，即要求作為違約方的用戶按照開源許可協(xié)議的約定繼續(xù)履行合同，公開新開發(fā)軟件的全部源代碼。但筆者認為如果用戶明確表示拒絕公開相應源代碼時，實務中法院大概率不會直接判決用戶強制公開，法院會傾向于適用《民法典》第580條，以合同目的不能實現(xiàn)為由，終止雙方的合同權利義務關系，判決違約方承擔違約損害賠償責任。另一方面，考慮到我國法律中有關合同違約的賠償標準是以實際造成的損失為限，當開源許可協(xié)議中并沒有約定具體的違約條款及損害賠償額的計算方法時，權利人想要證明用戶的違約行為給自己造成的實際損失，筆者認為會存在不小的舉證困難。

再來看侵權救濟，由于開源許可協(xié)議在法律上可以被視為附解除條件的許可合同，那么用戶由于違反了開源許可協(xié)議中的限制性條款，則視為著作權的許可前提條件已經不復存在，權利人和用戶之間已經達成的授權許可協(xié)議終止適用，用戶獲得的授權也將自動終止。此時用戶繼續(xù)使用開源軟件及代碼的行為構成無權使用，屬于著作權侵權行為。在著作權侵權損害賠償程序中，權利人可以向公司主張停止侵權，即要求公司停止新開發(fā)商業(yè)軟件的下載、安裝和運營服務，同時可以要求公司賠償經濟損失。需要說明的是，在知識產權侵權糾紛中，損害賠償?shù)挠嬎惴绞娇梢允嵌鄻拥?。根?jù)《著作權法》第54條的規(guī)定“侵權人應當按照權利人因此受到的實際損失或者侵權人的違法所得給予賠償；權利人的實際損失或者侵權人的違法所得難以計算的，可以參照該權利使用費給予賠償。對故意侵犯著作權或者與著作權有關的權利，情節(jié)嚴重的，可以在按照上述方法確定數(shù)額的一倍以上五倍以下給予賠償；權利人的實際損失、侵權人的違法所得、權利使用費難以計算的，由人民法院根據(jù)侵權行為的情節(jié)，判決給予五百元以上五百萬元以下的賠償。賠償數(shù)額還應當包括權利人為制止侵權行為所支付的合理開支?！?br/>

由此可見，采用侵權救濟途徑時，賠償額的計算方式更為多樣，且能夠向作為侵權方的用戶主張律師費等維權合理開支，筆者認為應當是權利人維權的首選方案。

2、誰可以作為適格的起訴主體發(fā)起訴訟？

上文提到，開源軟件生態(tài)系統(tǒng)的優(yōu)勢在于通過向社會公眾免費開放軟件的源代碼，使得遍布世界各地的程序員都可以共同維護開發(fā)該開源軟件，極大的促進了軟件的協(xié)同開發(fā)。但同時也導致了一款開源軟件的作者并不唯一，甚至可能出現(xiàn)根本無法完全統(tǒng)計所有參與軟件開發(fā)的作者。這就導致了針對合作作品，當存在多個主體共同享有著作權的情況下，如何確定適格的起訴主體。根據(jù)《北京市高級人民法院侵害著作權案件審理指南》第一章1.14中規(guī)定：“對于不可分割使用的合作作品，如果能夠查清權利人基本情況，以全部權利人作為共同原告。明確表示放棄實體權利的權利人，可不予追加；不愿意參加訴訟，又不放棄實體權利的，將其列為共同原告，其不參加訴訟，不影響對案件的審理。如果結合在案證據(jù)難以查清權利人基本情況，可以將已查清的部分權利人作為共同原告，但在判決論理部分為未參加訴訟的權利人保留相應的權利份額。”

由此可見，對于像開源軟件這種無法查清所有權利人的情況，法院可以將已查清的部分權力人作為共同原告。同時，廣州知識產權法院在（2019）粵73知民初207號案的判決書中也認為：開源軟件項目的貢獻者往往人數(shù)眾多，互不相識且散布于全球各地，只要項目保持開源，則貢獻者數(shù)量會持續(xù)動態(tài)地增加。即使涉案軟件屬合作作品，就在案證據(jù)難以查清所有權利人的基本情況下，若開源項目要求必須經過所有貢獻者的授權才能提起訴訟，那么將導致開源軟件維權無從提起。因此，作為提交了絕大部分代碼量的項目管理者，有權單獨提起訴訟。

5、企業(yè)在商業(yè)軟件開發(fā)過程中使用了開源軟件時，存在哪些潛在的侵權法律風險？

此處筆者以執(zhí)業(yè)中處理的一起涉及Qt開源軟件潛在侵權風險排查的案例，來具體探討下企業(yè)在使用開源軟件過程中需要注意哪些合規(guī)問題。

A企業(yè)為一家從事工業(yè)制造領域智能化改造相關技術研發(fā)和應用的公司，產品涉及到軟件與硬件相結合的領域，擬進行科創(chuàng)板上市。其中，A企業(yè)的軟件部分均為自主研發(fā)，軟件的源代碼中包括多項自主研發(fā)的核心算法，因此其所有自研軟件均為閉源軟件，相應的源代碼均是作為企業(yè)的核心商業(yè)秘密在進行保護。

A企業(yè)在軟件開發(fā)的過程中不可避免的需要用到一款著名的開源軟件Qt。Qt軟件是一款跨平臺圖形用戶界面應用程序開發(fā)框架軟件，包括兩個版本，商業(yè)版本和開源版本。商業(yè)版本中采用的是商業(yè)協(xié)議，該協(xié)議中針對用戶基于Qt軟件自主開發(fā)閉源商業(yè)軟件不做任何限制，但商業(yè)版本需要收取價格不菲的授權使用費。開源版本則使用了LGPL開源許可協(xié)議。

此處先針對LGPL開源許可協(xié)議做簡要介紹，LGPL全稱LESSER GENERAL PUBLIC LICENSE，中文名稱為“較寬松公共許可證”或“函數(shù)庫公共許可證”。LGPL許可證是文章開頭提到的自由軟件基金會（FSF）創(chuàng)立的開源軟件許可證中的一種，是從GPL許可證的基礎上發(fā)展而來。前文提到，GPL（通用公共許可協(xié)議）許可證是最著名的開源許可協(xié)議，協(xié)議中對衍生軟件的開源做了非常嚴苛的要求，簡單來說就是凡是使用了帶有GPL許可證的軟件，衍生出的軟件必須也使用GPL許可證發(fā)布，也即是行業(yè)內所說的GPL具備高傳染性。早期版本的Qt軟件使用的也是GPL許可證，那么針對在GPL許可證下的Qt軟件，用戶無論是使用了Qt中的程序代碼，還是修改了Qt類庫代碼，由此新開發(fā)出的軟件也必須使用GPL許可證來發(fā)布，即保持開源性。然而開源在很多情況下對商業(yè)軟件來說是不可接受的。因此Qt在后續(xù)的開源版本中增加了LGPL許可證。使用 LGPL許可證下的Qt軟件開發(fā)新的軟件時，用戶只要不修改Qt的源代碼或者定制Qt類庫，而僅使用Qt官方發(fā)布的動態(tài)鏈接庫時，是可以選擇不開源的。因此LGPL協(xié)議也被稱為商業(yè)友好型開源協(xié)議。

再回過頭來看A企業(yè)，由于在創(chuàng)業(yè)初期企業(yè)現(xiàn)金流緊張，不具備實力購買價格昂貴的Qt軟件商業(yè)版，因此企業(yè)選擇了使用LGPL許可協(xié)議下的開源版本。同時，隨著研發(fā)的不斷投入，基于Qt軟件開發(fā)的新的商業(yè)軟件中包含大量具備自主知識產權的核心算法，該算法以源代碼為載體，一旦源代碼被公開，其核心算法也會被隨之公開。因此企業(yè)將開發(fā)的幾十款商業(yè)軟件都定位為閉源軟件。那么隨之而來的問題就是，如果軟件選擇以閉源的形式發(fā)布，是否會存在潛在的侵權風險。

筆者在詳細了解了A企業(yè)的商業(yè)模式以后認為，A企業(yè)所開發(fā)的數(shù)十款商業(yè)軟件是否構成軟件著作權侵權，其核心就在于每一款軟件在開發(fā)過程中是否符合LGPL授權許可協(xié)議的要求。如前文所述，如果A企業(yè)在開發(fā)某一款軟件的過程中違背了LGPL授權許可協(xié)議的約定，例如：新開發(fā)的商業(yè)軟件修改了Qt軟件中的部分源代碼，但并沒有依據(jù)LGPL協(xié)議的約定針對新軟件進行開源發(fā)布，那么上述違約行為視為著作權的許可前提條件已經不復存在，Qt軟件的權利人和A企業(yè)之間基于LGPL許可證已經達成的授權許可協(xié)議終止適用，A企業(yè)獲得的授權也將自動終止。此時A企業(yè)針對新軟件提供復制、下載、安裝、運營等商業(yè)服務的行為即構成著作權侵權行為。Qt軟件的權利人可以隨時起訴A企業(yè)，要求其停止侵權并賠償經濟損失。

基于上述分析，我們?yōu)锳企業(yè)制定了詳細的侵權風險排查計劃，其中包括：與A企業(yè)軟件開發(fā)人員詳細溝通，了解新開發(fā)軟件的架構；了解A企業(yè)軟件與Qt軟件類庫調用關系；逐一梳理比對新開發(fā)軟件是否滿足LGPL授權許可協(xié)議中的要求；在此基礎上提供關于相關軟件或設備是否符合LGPL授權許可協(xié)議要求的法律指導，出具相應的法律風險評估報告等。

6、小結

隨著互聯(lián)網的普及，開源軟件迎來了前所未有的蓬勃發(fā)展，開源已經成為分布式協(xié)作開發(fā)模式的典范和推動者。然而很多企業(yè)對開源軟件的認識存在誤區(qū)，認為開源軟件等于免費軟件，開源軟件是沒有著作權可以任意使用的軟件。事實上，開源軟件不但與上述概念不能等同，甚至也不能等同于其字面意思：開放源代碼的軟件。開源軟件更準確的定義應該是：源代碼在一個開源協(xié)議下被公開，并且授予其他人修改和持續(xù)演進的自由。因此對修改后軟件再分發(fā)的規(guī)定上的差異，形成了不同的開源軟件許可體系。企業(yè)在使用開源軟件進行自主研發(fā)的過程中，需要尤其注意是否符合開源許可協(xié)議的規(guī)定，應當仔細閱讀相應的許可條款，針對使用過程進行必要的合規(guī)審查，以規(guī)避潛在的侵權風險。

（原標題：軟件開發(fā)過程中使用開源軟件的潛在侵權風險分析——以Qt開源軟件為例）

來源：IPRdaily中文網（iprdaily.cn）

作者：范吳斌

編輯：IPRdaily趙甄          校對：IPRdaily縱橫君

注：原文鏈接：范吳斌：軟件開發(fā)過程中使用開源軟件的潛在侵權風險分析（點擊標題查看原文）

「關于IPRdaily」

IPRdaily是全球領先的知識產權綜合信息服務提供商，致力于連接全球知識產權與科技創(chuàng)新人才。匯聚了來自于中國、美國、歐洲、俄羅斯、以色列、澳大利亞、新加坡、日本、韓國等15個國家和地區(qū)的高科技公司及成長型科技企業(yè)的管理者及科技研發(fā)或知識產權負責人，還有來自政府、律師及代理事務所、研發(fā)或服務機構的全球近100萬用戶（國內70余萬+海外近30萬），2019年全年全網頁面瀏覽量已經突破過億次傳播。

（英文官網：iprdaily.com  中文官網：iprdaily.cn） 

本文來自IPRdaily中文網（iprdaily.cn）并經IPRdaily.cn中文網編輯。轉載此文章須經權利人同意，并附上出處與作者信息。文章不代表IPRdaily.cn立場，如若轉載，請注明出處：“http://m.globalwellnesspartner.com”