欢迎访问来到第一主机,开始互联网之旅!
正文

开放文化基金会法制顾问 林诚夏:开源合规工程与权利管理2017-04-27

W020170420552782563369

感谢各位来宾的参与,也感谢大会的邀请,这次我是从台湾过来参与这个盛会,也跟各位先说一声抱歉,如果有些词汇听得不太习惯,可能是一开始我还转不过来,这一点请多包含,我简单自我介绍一下,我的名字很好记,叫兵临城下,下面的三个字就是我的名字,我在台湾参与开源协议大概有十几年的时间里,台湾在很多商业公司,切入开源市场这一块,其实还蛮早的,也比较有趣跟各位报告一下,刚刚毕老师有说明在美国第一个诉讼案非常有趣,可是全世界第一个开源授权的败诉案件其实是由台湾公司,在德国的一家公司,是首先第一个快速的一个案件。所以在处理相关的一些方式,大概已经有一套了解的,然后除以的模式,接下来我就会重点跟各位介绍一下,怎么用一个比较简便,程序员可以了解的方式来进行一个所谓的开源授权,开源许可证的一个管理方式。所以我这个题目定为开源合规工程与权利管理。那一开始给大家看的这一份是禁止令的文件,是美国的联邦地方法院所谓的保存措施,要求一些厂商要求他们的商品下架,对于所谓它的知识产权的部分,完全没有做任何的揭露,也没有提供源代码,这个其实是2009年在美国一个非常知名的诉讼案,大家可以看到有非常大的品牌公司包含三星,三星电子,也在背后,2009年有一个知名的开源专案,在美国一次告了十四家蛮大的一个品牌商,甚至其中有一家是因为诉讼最后宣告破产。这些案子陆陆续续已经和解了,重点大家可以看到这是三星的网站,三星后来因为诉讼的一个和解,建设了一个平台,而这个平台叫做Open Source,他们通过这个平台提供给消费端,提供给客户,主要就是因为2009年的这次诉讼。

那这个页面是跟各位讲,目前在德国一个全世界都在关注的,重要的跟许可证相关的诉讼,因为它的对象是一个非常大的虚拟软件的提供公司,目前正在德国的地方法院进行审理,那其中有一个重要的开发者,他认为在核心系统的一个过程里面,引用了很多conseruancy。这几年我协助很多台湾厂商,我知道大概有蛮多中国大陆的厂商也陆续有收到,在德国收到Patrick Mchardy,过往是核心成员,这几年在德国提出了非常多跟开源许可证有关的诉讼案,过往的这些所谓的社群的执行者,他们的做法是比较正向的,就是说他会把他所质疑的点,跟这些商业公司很公开的进行商谈,甚至会在网络里面,他认为可以弥补或改进的做法,但是它是透过私下的联系,要求一个庭外和解,它这个庭外和解的内容,你会要求这个公司必须要签署保密协议,不能把相关的咨询再泄露出去,所以它可以各个击破,一个一个进行沟通。而且很多商业公司没有意料到的是它这个和解条件,甚至可能包含部分民事,或者合同式的惩罚性的赔偿金,就是它告诉你说,这一次它可以用比较低廉的赔偿金做和解,下一次可能会把这个赔偿金提高好几倍,我目前看到的最高的一个和解,惩罚性的赔偿金,大概有六百万人民币的一个状况,当然一家公司已经退出德国市场了,他认为他们在德国市场上获利并没有达到那么高的程度。所以在过往的一些源代码的诉讼,最大的差异,以前源代码的诉讼,聚焦在源代码的提供,如果它有提供的话,其实后续的一些和解条件都比较好去做处理,但是PatrickMchardy这一系列的软件有争执,在署名方面的完善性,就是说你用到它的源代码,在后续的产品里面,有没有把它的姓名,把它的贡献,在一些地方做一个完整的揭露。所以提供的这个说明,我帮大家梳理一下,目前如果你不要你的商业产品,有发生所谓的开源源代码相关法律的诉讼,或者争议的话,原则上有三个要件,这三个简单来说就是源代码,有些开源软件的源代码,延伸的源代码是必须要提供的,可是接下来要讲的,其实在毕老师讲述中也有讲解,作为CopyrightNotice必须要去做一个罗列,第二第三点是过去比较少提到的,过去不管在美国还是德国的诉讼案,这些权利人并没有要求到这么细节的责任,但是CopyrightNotice确实已经往所谓的开源遵循的一个程序,提升到第二跟第三点的重点。那这几年在台湾的经验,我想开源的争议,必须要跟各位说明一下,它相关涉及的赔偿金,没有所谓的专利侵权跟一般的侵权金的数量这么大,其实如果你去看它金额没有那么大,但是它蛮不好去防堵的,为什么呢?因为基本上开源源代码的使用,对于很多的商业品牌公司跟过往所谓的一般私有软件有很大的不同,所以变成说这件事情非常难用一个传统把握的思想,因为传统的私有软体,应该是洽谈授权,几乎之后所有的平台铺路都没有太大的问题,可是开源源代码的,常常是商业公司的这些开发团队,它可能先在网络上找到了解决方案,而去使用的,最后产品要铺货才去做一个实验,但是这个时候再更正已经比较难解决了。

我用很简单的方式,跟各位介绍一下开源许可证的基本处理方式,但是必须要跟各位说明一下,这是我过去十二年来主要进行的方式,它并不是非常的精准,可是却可以协助这个软体程序员,用很短的时间内,大约掌握到开源授权的一个更改,所以大家可以看到这个页面上面的一个线形图,颜色从红色转成绿色,大家就可以知道它所富有的情感,中间的部分是融合的区块,最左边黄色的类别是一个火焰的颜色,它代表了热情,它也代表很多理性的驱动,所以我们基本上可以把开源授权,开源许可证分成三个比较大的分类,第一个分类我换成用绿色的方式来显示,因为绿色是比较自然界,比如说树木跟草,它是比较有亲和力的颜色,这个我通常统称它叫BSD类别,在这个里面有安卓阿帕许可证,为什么用绿色表示?因为它提供使用者的使用权限是非常久的,所以它是一个比较舒缓宽松的方式。大家可以看到在桌面端比较多人使用的系统,其实它在它的著作权声明告诉你,它用了非常多的BSD跟MIT授权的软件,但是并没有主动提供这些源代码,因为它用的是BSD跟MIT授权的,所以它没有必要一定要提供源代码。

另外一个重要的分类就是毕老师演讲里面有再三提到,GPL类别,这块我用红色来表示,火烧连串船的意思就是你把很多的软件,放在一起运作,彼此密不可分的时候,如果没有一个特别理由的话,很多的开发者就会认为说,你这整个软体,或者项目会是GPL这个软件延伸的一个作用,这时候它会要求你后续必须要提供源代码给后续的使用者。所以基本上来说,用最简单的方式帮各位讲解这个所谓的协议的话,它就是两个最大的要点,第一个它告诉你说,修改GPL的这个程序,你会产出一个改编的程序,后续这个改编的程序必须只能用GPL许可证来做后续的利用,那GPL的许可证,它最大的特性就是告诉你,你提供GPL的这个程序的时候,你给了改编程序的这个目的,说是可执行的一个代码,也必须要依照它来提供可以再修改的源代码,所以这个最大的要点就是两点,第一点work based on这个部分,前面两个分类我们可以再提一下,中间第三个大分类,第三个分类我通常会叫它为其他类,其他类它在所谓的商业产品,它是比较偏向于BAC,允许你把商业公司自己的一个署名,标识到整个产品里面,但是在所谓的源代码的部分,它是比较偏向于GPL的,整包商品里面,如果有其它类别授权的话,必须要分别隔离的提供这些所谓的原来的源代码,重点是原来的源代码并没有要求你整个商业产品的源代码都必须要提供出来,这是其他的类别。其它类别有这样的一个许可证。所以基本上我们在面对这么多的授权许可证的话,如果你有三个大分类的概念来理解它,你就比较好去梳理这个产品,进行后续贩售的时候,有那些必须要去做到。所以这是第一个跟各位说明源代码的部分。第二个重点再是署名的部分,这也是台湾这部分的厂商,这几年在德国的市场上面比较做得不好的地方,所以它在德国市场有蛮多的争议,一般这几年的顾问咨询,建议可以把所使用到的开源软件,先署名上面的一些重要资讯,然后透过三个文档再进行一个内部的管理。这三个文档第一个你可以叫它Legal,第二个可以叫它NOTICE,第三个可以叫LICENSE,左边的这个表达方式是比较接近阿帕许可证,右边的表达方式是比较接近于GPL的许可证,因为GPL你的答案结构,它的目录你会看到右边,所以基本上在GPL的授权,这个档名会叫COPYING,可是在阿帕区里面,它会叫LICENSE,所以基本上可以做好一个署名的管理。