開源軟件的網(wǎng)絡(luò)安全問題

1背景2019年5月，公開信息顯示Linux基金會就列入美國商務(wù)部實體名單實體的開源軟件適用性和是否限制出口作出了聲明，其主要觀點涉及四點：（1）當(dāng)前在法律上對名單實體的限制主要圍繞出口監(jiān)管規(guī)則（EAR）進(jìn)行；（2）對于開源軟件中的開源加密軟件的源碼，已經(jīng)屬于“可公開獲取”的物項，因此不受EAR監(jiān)管；（3）單獨的開源（軟件）項目（按照公開信息顯示目前維護(hù)數(shù)量大致在123個）仍然應(yīng)當(dāng)向商務(wù)部工業(yè)與安全局（BIS）和國家安全局（NSA）履行EAR規(guī)定通知要求，方能滿足“可公開獲取”的條件；（4）開源軟件、開源代碼協(xié)作、會議、培訓(xùn)、會員資格或贊助屬于不受EAR約束的活動。結(jié)合該聲明及其前后的各方解讀，產(chǎn)生了以下幾個主要問題：一是開源協(xié)議是否能夠抗辯出口監(jiān)管；二是如果開源協(xié)議不能或不足以抗辯出口監(jiān)管，如何在出口監(jiān)管規(guī)則中尋求開源出口的合規(guī)，或者說例外適用；三是如果已知案例認(rèn)定開源（代碼）作為言論自由的表達(dá)，這些既有的經(jīng)典案例是否足以繼續(xù)支撐“表達(dá)的出口”，是否可能只需一個案例就可顛覆經(jīng)典，還是需要通過修改EAR才能限制“表達(dá)的出口”；四是一些技術(shù)救濟(jì)方式，例如同步、鏡像、分支等等是否可采、可行；五是是否還有更為有效的激發(fā)開源活力和提升安全的機制。本文嘗試對上述問題進(jìn)行一些粗淺的分析，以期深入業(yè)界對開源的長遠(yuǎn)思考和布局，繁榮開源發(fā)展。為了聚焦本意，本文不再嚴(yán)格區(qū)分自由軟件等概念。

2開源軟件網(wǎng)絡(luò)安全的法律問題

2.1開源協(xié)議及其脆弱性所謂的開源協(xié)議，實際上主要指包括開源軟件在內(nèi)的著作權(quán)許可協(xié)議，例如典型的GNUGeneralPublicLicense等。在許可協(xié)議中，通過將著作權(quán)法下規(guī)定的著作權(quán)人的發(fā)表權(quán)、署名權(quán)、修改權(quán)、復(fù)制權(quán)、發(fā)行權(quán)、傳播權(quán)等權(quán)利按照《計算機軟件保護(hù)條例》第18條“許可他人行使軟件著作權(quán)的，應(yīng)當(dāng)訂立許可使用合同。許可使用合同中軟件著作權(quán)人未明確許可的權(quán)利，被許可人不得行使”等規(guī)定，進(jìn)行部分或全部的讓渡，吸納和鼓勵更多的人員參與軟件開發(fā)與維護(hù)，如漏洞脆弱性發(fā)掘等。因此在著作權(quán)法與合同法的民事法律中，開源協(xié)議是合同各方當(dāng)事人對權(quán)利義務(wù)不違反強制性法律規(guī)定的自行安排，其體現(xiàn)的是民事主體的意思自治。但也正因為合同的意思自治和相對性等法律特性，導(dǎo)致開源協(xié)議具有某些可以類比為“脆弱性”的限制，這些限制主要體現(xiàn)在三個方面：（1）協(xié)議本身可以通過協(xié)商、修訂、補充等方式進(jìn)行修改，乃至在不同的語種翻譯過程中都可能導(dǎo)致語義變化，這也是為何在不同語言版本的協(xié)議中，需要設(shè)定以何種語言為準(zhǔn)的原因（因此GNUGeneralPublicLicense的許可協(xié)議以英文為準(zhǔn)，中文翻譯僅供參考，這也不同于在國際公法中，多邊或雙邊協(xié)議的多種語言等同適用）；（2）違約責(zé)任的設(shè)置可能導(dǎo)致當(dāng)事人在權(quán)衡各種可能責(zé)任之后做出主動或者“惡意”的違約，特別是可以終止許可，禁止開源分支等；（3）從根本上，意思自治和相對性約束了開源協(xié)議僅對協(xié)議各方發(fā)生效力，其與開源軟件進(jìn)出口監(jiān)管屬于不同的法律部門。當(dāng)發(fā)生國家安全、社會公眾利益和個人（合同方）利益競合時，就會產(chǎn)生事實上的法益沖突和優(yōu)先劣后等問題。因此，在回答“開源協(xié)議是否抗辯出口監(jiān)管”的基本問題上，不應(yīng)對開源協(xié)議施以過高要求或期待，這一訴求已經(jīng)超過了開源社區(qū)所能承受的范圍。例如GNU聲明：有時某些政府的出口管制法規(guī)或者貿(mào)易制裁會限制您在國際上分發(fā)程序副本的自由。軟件開發(fā)者沒有能力消除這種限制或者凌駕于這些限制之上，但開發(fā)者可以且必須做的是拒絕將此種限制作為（用戶）使用程序的條件。如此，這些限制將不會影響這類政府管轄權(quán)之外的行為或行為人。因此，自由軟件許可證不得要求用戶遵守任何重要的出口法規(guī)作為先決條件來行使賦予用戶的任何基本自由。然而，它仍然是一個潛在的問題：因為一旦出口法規(guī)在未來做出變化，就可能使某個限制變成重要的，從而無法實現(xiàn)我們期望的軟件自由。當(dāng)然對于開源社區(qū)而言，其所能作出的反應(yīng)不僅限于開源協(xié)議本身。2.2開源的進(jìn)出口監(jiān)管——以美國出口監(jiān)管為例在進(jìn)出口監(jiān)管法律的清單管理模式中，軟件、技術(shù)、系統(tǒng)、設(shè)備、商品、組件和代碼可以屬于不同的物項（items）并予以不同的監(jiān)管編碼，因此盡管《計算機軟件保護(hù)條例》規(guī)定“同一計算機程序的源程序和目標(biāo)程序為同一作品”，但從進(jìn)出口監(jiān)管視角，其所體現(xiàn)和承載的物項形式、內(nèi)容、階段、功能等均有不同，進(jìn)而也適用不同的進(jìn)出口監(jiān)管規(guī)則。也正是基于軟件和代碼的分離，使得開源軟件、開源代碼能夠作為分別的物項出口最終成為可能，使得開源代碼本身可以作為“言論自由”表達(dá)的一種形式進(jìn)入司法審視的范圍（有關(guān)言論自由的相關(guān)案例及評價，見下文贅述）。對于判斷是否構(gòu)成開源的“可公開獲取”而言，還是以EAR對Linux基金會所關(guān)注的“加密軟件”為例，就包括了可公開獲取的大宗市場加密目標(biāo)代碼軟件（Massmarketencryptionobjectcodesoftware）、履行了EAR《控制策略——基于CCL的控制》742.15(b)郵件通知義務(wù)的可公開獲取的加密源碼（encryptionsourcecode）、履行了EAR《控制策略——基于CCL的控制》742.15(b)郵件通知義務(wù)的可公開獲取的加密目標(biāo)代碼（encryptionobjectcode，其相應(yīng)的源碼也符合前述“可公開獲取”）。但是當(dāng)代碼、軟件、系統(tǒng)在形式上統(tǒng)合于某一物項時，例如以開源軟件，或者包括了開源軟件的應(yīng)用軟件形式出口時，該物項將作為獨立的物項進(jìn)行EAR的適用性評估，而不能僅以其包括或宣稱為可公開獲取的源碼（merelybecauseitincorporatesorcallstopubliclyavailableopensourcecode）而認(rèn)為其不適用EAR監(jiān)管。這也是EAR明確提出的監(jiān)管原則，因此不能想當(dāng)然地認(rèn)為只要或主要為開源代碼，即不適用EAR監(jiān)管，還應(yīng)當(dāng)考慮其體現(xiàn)為的物項，以及所承載的介質(zhì)（典型的如托管平臺和離線介質(zhì)）。也正因如此，即使在開源協(xié)議中對適用法律和爭議解決不作約定，都無法完全規(guī)避進(jìn)出口監(jiān)管中對開源主體（基金、平臺等）適用屬地的服務(wù)器主義（代碼托管服務(wù)器）管轄權(quán)。開源協(xié)議難以做到與出口管制無關(guān)。2.3源碼與言論自由表達(dá)的確認(rèn)性問題在對美國1990年代三大經(jīng)典案例分析的基礎(chǔ)上，一種觀點認(rèn)為“從此之后，美國政府再也不能試圖限制軟件源碼流通了”。2.3.1PGP案PGP（PrettyGoodPrivacy）案件和對其作者PhilipZimmermann長達(dá)三年之久的調(diào)查為1990年代第一次“密碼戰(zhàn)爭”（cryptowars）時期的巔峰之作。最終司法部撤銷了起訴而非敗訴，因此也留下對美國第一修正案是否和多大程度上保護(hù)軟件/代碼作為一種言論自由表達(dá)的持續(xù)疑問。這一訴訟不僅沒有針對性的解決源碼與言論自由表達(dá)的問題，事實上還最終導(dǎo)致了1998年之后PGP的分化（為基于GNU的OpenPGP和商業(yè)版）。2014年開始，隨著美國等國家的網(wǎng)絡(luò)服務(wù)提供商開始監(jiān)聽和在郵件流量中移除STARTTLS標(biāo)記，PGP及其與它加密協(xié)議的關(guān)系和脆弱性也進(jìn)一步得到發(fā)掘——可出口的PGP反而可能成為監(jiān)聽的有效工具。2.3.2Snuffle案伊利諾斯州立大學(xué)Bernstein副教授開發(fā)的Snuffle軟件試圖通過紙質(zhì)期刊和網(wǎng)絡(luò)發(fā)布，但政府要求其按照軍火出口控制法的規(guī)定注冊為“軍火商”并取得出口許可證。Bernstein認(rèn)為政府禁令違反了第一修正案。司法部作為被告認(rèn)為如果Bernstein的軟件通過計算機語言（源代碼）表達(dá)，則不受第一修正案保護(hù)。1996年和1997年（重申），法官Patel駁回了政府觀點，“第一次”明確計算機源代碼屬于受第一修正案保護(hù)的言論表達(dá)。法院援引了1971年五角大樓文件案等判例后認(rèn)為，ArmsExportControlAct和EAR的規(guī)定屬于預(yù)先設(shè)定的言論限制，因為法案要求Bernstein在發(fā)表其言論之前申請并獲得許可證屬于事先審查機制，“僅以國家安全利益為由不應(yīng)設(shè)定預(yù)先限制”，還應(yīng)當(dāng)至少考慮第一修正案相關(guān)案例所反復(fù)提及的威脅的直接性和緊迫性，并強調(diào)出口控制所限制自由表達(dá)的言論是基于言論的“內(nèi)容”，而非政府所認(rèn)為的“功能”。對該案的正確解讀應(yīng)當(dāng)包括：（1）該案主要限制了EAR出口監(jiān)管的事先審查機制，即以國家安全為由設(shè)定出口限制時，應(yīng)符合直接性（必要性）、緊迫性（緊急性）的條件，并應(yīng)給予當(dāng)事方其他救濟(jì)，因此屬于個案裁決不能作為一般情形。（2）盡管1999年5月第九巡回上訴法院維持了一審判決，明確Bernstein有權(quán)發(fā)布源代碼，重述了EAR的違憲性，但并非一致通過，Nelson法官發(fā)表了反對意見認(rèn)為，Bernstein必須事實上使用源代碼（文本）進(jìn)行討論或教授密碼學(xué)，只有在此情形下才是其科學(xué)方法和想法的表達(dá)。因此案例并非一致性無爭議地裁決。（3）盡管一審法院支持了Bernstein，但該案持續(xù)長達(dá)4年之久，期間很多的密碼技術(shù)發(fā)展受到影響，如服務(wù)器軟件Apache。事實上，政府的目的部分得到了實現(xiàn)。2.3.3榮格（Junger）案凱斯西儲大學(xué)法學(xué)（注意，實際上在法學(xué)教授的計算機法課程中披露和討論的加密技術(shù)細(xì)節(jié)相對有限）教授Junger在克利夫蘭聯(lián)邦地方法院起訴政府（國務(wù)院，區(qū)別于第2個案子的司法部、NSA），認(rèn)為對方限制其在計算機法課程教授密碼學(xué)——爭議的焦點在于美國《國際武器貿(mào)易條例》（ITAR）所定義的“出口”是否包括與外國人討論非分級（non-classified）的加密軟件的技術(shù)信息，如注冊Junger課程的外籍學(xué)生。該案有別于前兩個案例的關(guān)注包括：（1）1996年8月，Junger通過代理律師多次向法院申請臨時禁令，要求禁止政府阻礙其與外國人討論或發(fā)布一般加密信息，但被法院駁回；（2）法院裁判中認(rèn)為，加密軟件源代碼具有固有的功能屬性，不能僅解釋為表達(dá)加密理論或描述軟件功能，加密軟件主要用于實現(xiàn)加密功能，并與實施加密的計算機硬件緊密結(jié)合。因此，盡管2000年中，第六巡回上訴法院維持了ITAR的限制規(guī)定應(yīng)接受第一修正案審查的觀點，但在2000年之后隨著密碼技術(shù)的發(fā)展和課程的更新，其效用性已經(jīng)不能完全適用。綜合上述已經(jīng)略顯久遠(yuǎn)的案例，實際上不能得出“從此之后，美國政府再也不能試圖限制軟件源碼流通了”的結(jié)論。首先，前述案例并非最高法院案例，其論證和援引效力的權(quán)威程度并不足夠；其次，在案件分析中，核心焦點在于前置審查程序的有效性與否，這就導(dǎo)致了個案差異會導(dǎo)致不同結(jié)果的可能，特別是前述案例均更接近于美國“內(nèi)部矛盾”，而一旦涉及與別國爭議，就進(jìn)一步加大了裁決結(jié)果的不確定性；再次，源碼本身的“雙重屬性”，不同個案將會在軟件的功能性與表達(dá)性之間搖擺，在未來可能只需一個相反案例就會導(dǎo)致對出口監(jiān)管態(tài)度的“重置”。3提升開源軟件的網(wǎng)絡(luò)安全價值建議3.1開源的市場和版權(quán)法價值事實上，我們關(guān)注開源軟件的協(xié)議安全，正是開源軟件對整體安全市場的價值體現(xiàn)。這就從根本上決定了開源可以通過協(xié)議適當(dāng)規(guī)避商業(yè)軟件市場和傳統(tǒng)版權(quán)法的某些限制，從而給出了維護(hù)國家安全、社會公眾利益和公民個人信息和隱私的多一重審視維度，也就決定了進(jìn)出口監(jiān)管職能也需要以例外的方式給予其適度的自由。美國2018年國防預(yù)算法案（NationalDefenseAuthorizationActforFiscalYear2018）明確規(guī)定，國防部長應(yīng)啟動2016年8月OMB備忘錄（M-16-21）制訂的為期三年的開源軟件試點計劃（opensourcesoftwarepilotprogram），其目標(biāo)要求政府機構(gòu)將至少20%的新定制開發(fā)的代碼作為開源軟件發(fā)布。①在該法案的語境下，以減少重復(fù)的技術(shù)開發(fā)合同為理由顯然只是其字面意思。從版權(quán)法角度，即使拋開版權(quán)法保護(hù)軟件的早期爭議，目前以版權(quán)保護(hù)計算機軟件也略顯疲態(tài)和“腐朽”。開源協(xié)議正是撕開了版權(quán)法保護(hù)計算機軟件的一道裂口，以軟件許可的約定形式轉(zhuǎn)移了著作權(quán)人的部分財產(chǎn)，乃至人身權(quán)利（按照著作權(quán)法，發(fā)表權(quán)、署名權(quán)、修改權(quán)、保護(hù)作品完整權(quán)屬于有人身依附性的人身權(quán)利），直接挑戰(zhàn)了商業(yè)軟件的壟斷性利益。也正是在這層意思下，開源軟件的作者并不如開源管理者自由，后者才是真正的自由，可以規(guī)定開源協(xié)議的自由，可以引入審查和設(shè)定分支的自由，直至決定是否與商業(yè)軟件競爭或是并購的自由。從開源軟件的發(fā)展看，確實經(jīng)歷著從早期的作為商業(yè)軟件的補充與競爭，到更趨于“開閉”靈活和相互融合的艱難蛻變。特別是在云計算產(chǎn)業(yè)下，開源軟件和開源社區(qū)的定位和發(fā)展面臨重大挑戰(zhàn)。3.2提升開源軟件安全應(yīng)避免的誤區(qū)在2018年12月的第九屆中國信息安全法律大會上，我們提出開源的安全不僅是從物理層到應(yīng)用層的協(xié)議安全，還包括法律協(xié)議的安全。開源代碼和開源協(xié)議都需要通過某種形式的審核或?qū)彶?，并在所受限的軟件市場、版?quán)法和進(jìn)出口監(jiān)管下“輾轉(zhuǎn)騰挪”，通過特定的制度建設(shè)與安排，方能逐步、漸進(jìn)地提升安全。3.2.1為何有的開源項目關(guān)停而有的繁榮以GitHub為例，其上也存有大量停止開發(fā)維護(hù)的項目，除了項目本身的技術(shù)和需求之外，代碼審查和閉源被認(rèn)為是部分項目消亡的原因。例如早期的據(jù)稱2013年約翰霍普金斯大學(xué)的MatthewGreen教授組織了對TrueCrypt的安全審計，得出的不安全結(jié)論部分導(dǎo)致了開發(fā)者退出。毫無疑問，盡管有別于中國《網(wǎng)絡(luò)安全法》（或美國類似等同的審查機制）等下的國家安全審查，第三方的額外（從開源初衷而言，開源軟件的社區(qū)模式自帶審視）審查機制限制了開源的某些自由，抑制了（或加速了）市場自身的優(yōu)勝劣汰。另外，云計算廠商與開源社區(qū)的合作模式也極具爭議?；谏鲜龇治?，實際上得出了一個提升開源軟件安全的適度性結(jié)論，即對于開源軟件而言，應(yīng)審慎引入代碼審查機制，并應(yīng)嚴(yán)格限制國家安全審查的適用性。但如此一來，則與《網(wǎng)絡(luò)安全法》第35條規(guī)定的“關(guān)鍵信息基礎(chǔ)設(shè)施的運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，可能影響國家安全的，應(yīng)當(dāng)通過國家網(wǎng)信部門會同國務(wù)院有關(guān)部門組織的國家安全審查”發(fā)生沖突，從而可能導(dǎo)致要么將開源軟件限制在關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域之外，要么因國家安全審查而抑制了開源軟件的研發(fā)。3.2.2同步備份和設(shè)立分支為何不能解決發(fā)展和安全問題對于托管在境外服務(wù)器（如GitHub）上的開源代碼，是否作為分發(fā)（對應(yīng)于版權(quán)法的發(fā)行權(quán)）平臺還是只作為備份鏡像（對應(yīng)于版權(quán)法的傳播權(quán)），進(jìn)一步而言是否考慮在現(xiàn)有的開源軟件之上設(shè)立分支，本質(zhì)上應(yīng)作為技術(shù)問題處理而不應(yīng)作為應(yīng)對進(jìn)出口監(jiān)管的終極解決思路。以強行引入的外部機制將可能導(dǎo)致開源項目的蕭條直至關(guān)停，因為其違背了開源社區(qū)發(fā)展的弱中心化而非去中心化的規(guī)律，而承認(rèn)分支的存在即意味著可以向上回溯。更何況，分支實際在很大程度上是作為開源協(xié)議沖突的安排，并不直接與發(fā)展和安全有關(guān)。例如2018年11月，自由軟件基金會（FSF）更新軟件許可證評論認(rèn)為，如果既有項目增加了禁止商業(yè)性使用的商業(yè)條款（CommonsClause），應(yīng)當(dāng)重新設(shè)立分支。3.3提升開源軟件安全與繁榮的著力點3.3.1從維護(hù)現(xiàn)有開源項目開始無論是本文引述的Linux基金會的開源項目，還是境內(nèi)企業(yè)已經(jīng)廣泛參與和貢獻(xiàn)的開源社區(qū)，在提供代碼輸出的同時，也應(yīng)當(dāng)對其所適用的開源協(xié)議給予適當(dāng)?shù)年P(guān)注。正如本文認(rèn)為的開源安全不僅是從物理層到應(yīng)用層的協(xié)議安全，還包括法律協(xié)議安全所言，開源協(xié)議的安全不僅涉及各類許可證條款的差異，也包括不同許可證混用的沖突，還包括在商業(yè)化應(yīng)用中對傳統(tǒng)版權(quán)法著作權(quán)人權(quán)利的“逆轉(zhuǎn)”和“強化”，即對開源協(xié)議的關(guān)注和爭議不應(yīng)停留在divx和xvid的協(xié)議轉(zhuǎn)換，而需從微軟收購GitHub的市場和產(chǎn)業(yè)高度重新審視。應(yīng)當(dāng)借鑒FSF“評論”的軟件許可證的做法，給予開源軟件多一重維度關(guān)注，不僅聚焦在源碼本身，也注重代碼的“外圍”和“周邊”。3.3.2與《網(wǎng)絡(luò)安全法》若干問題的協(xié)調(diào)目前開源軟件與《網(wǎng)絡(luò)安全法》體系的協(xié)調(diào)可能包括以下問題：（1）按照《網(wǎng)絡(luò)安全法》第22條，網(wǎng)絡(luò)產(chǎn)品、服務(wù)的提供者應(yīng)當(dāng)為其產(chǎn)品、服務(wù)持續(xù)提供安全維護(hù)；在規(guī)定或者當(dāng)事人約定的期限內(nèi)，不得終止提供安全維護(hù)。對于開源軟件產(chǎn)品或服務(wù)而言（按照著作權(quán)法和計算機軟件保護(hù)條例，對開源軟件產(chǎn)品或服務(wù)的認(rèn)定應(yīng)基于產(chǎn)品或服務(wù)的“完成”），如果直接關(guān)?；蛟O(shè)立分支，可能構(gòu)成對該條的違反，但如果按照該條規(guī)定也不符合開源軟件的發(fā)展規(guī)律，同時也可能導(dǎo)致對開源社區(qū)追責(zé)的“落空”。因此應(yīng)考慮在開源協(xié)議中設(shè)計與該條有關(guān)的內(nèi)容，特別是完善開源協(xié)議的權(quán)利義務(wù)轉(zhuǎn)讓、第三方承受維護(hù)機制等，以促成開源軟件的完成與發(fā)行，減少不必要的分支和碎片化。（2）在開源軟件的全球參與下，開源社區(qū)的協(xié)同必然產(chǎn)生數(shù)據(jù)出境的問題，按照《網(wǎng)絡(luò)安全法》和熱議中的數(shù)據(jù)安全管理辦法、重要數(shù)據(jù)出境安全評估辦法所規(guī)定的以網(wǎng)絡(luò)運營者為主要責(zé)任方，以合同審查（數(shù)據(jù)出境安全評估審核）為制度設(shè)計的安全模式下，源碼的出入境應(yīng)當(dāng)作為協(xié)議安全的特殊情形予以充分的論證和除外規(guī)定，否則可能無法滿足開源軟件的寬松研發(fā)模式。（3）至于《網(wǎng)絡(luò)安全法》第22條規(guī)定的“網(wǎng)絡(luò)產(chǎn)品、服務(wù)應(yīng)當(dāng)符合相關(guān)國家標(biāo)準(zhǔn)的強制性要求。網(wǎng)絡(luò)產(chǎn)品、服務(wù)的提供者不得設(shè)置惡意程序；發(fā)現(xiàn)其網(wǎng)絡(luò)產(chǎn)品、服務(wù)存在安全缺陷