安卓遭禁風波未平，Apache許可證分發(fā)的軟件也將受美國出口管制？專家解讀：無需恐慌，但要警醒了！

開源軟件也要遭禁？專家：無需恐慌。

昨日，安卓遭禁的新聞引發(fā)軒然大波。隨后，開源中國在其博客中指出：Apache 許可證分發(fā)的軟件也受美國出口管制。

此消息一出，眾多網(wǎng)友呼吁程序員們：請盡快將代碼在國內(nèi)備份！

Apache 軟件基金會這個全球最大的開源軟件基金會官網(wǎng)上有這樣的內(nèi)容：

這段話的大概意思是除非經(jīng)美國政府正式授權(quán)，否則 ASF 軟件或技術(shù)不得直接或間接出口或再出口到受美國禁運或貿(mào)易制裁的任何地方。

除此之外，GitHub 這個全球最大的開源代碼托管平臺官網(wǎng)上也赫然寫著：

GitHub.com、GitHub Enterprise Server 以及您上傳到任一產(chǎn)品的信息可能受美國出口管制法律的約束，包括美國出口管理條例（EAR）。

該條款指出，GitHub Enterprise Server 不得出售、出口或再出口到清單中的國家，清單目前已經(jīng)包含古巴、伊朗、朝鮮、蘇丹與敘利亞，并且隨時可能會發(fā)生變化。

細思極恐，開源軟件何去何從

除了GitHub之外，知名公眾號博主魏永明指出還有一個至關(guān)重要的開源軟件也值得關(guān)注 ：Linux 內(nèi)核。Linux 內(nèi)核是由來自世界各地的開發(fā)者一同協(xié)作完成的，知識產(chǎn)權(quán)所有者遍布全球。然而，Linux 基金會是在美國注冊的，且 Linux 內(nèi)核的分發(fā)服務器（www.kernel.org）、git 倉庫服務器也都在美國的，所以美國如果說 Linux 內(nèi)核也受美國的出口法律法規(guī)管轄，我們也無法反駁。

其實還遠不止這些！

人工智能領(lǐng)域的同學應該對當前最火的開源框架TensorFlow并不陌生，但余凱（原百度研究院副院長、深度學習實驗室主任）早前就曾在朋友圈發(fā)表呼吁大家用 caffe、mxnet 等框架，避免使用 TensorFlow。

他表示：“任TensorFlow成為世界上占統(tǒng)治地位的人工智能開發(fā)平臺對世界是危險的。盡管這個平臺目前是開源的，但是隨著時間的推移，人工智能變得越來越強大，這個系統(tǒng)會變得極端復雜到失去透明性，而且會很可怕的變成全世界數(shù)據(jù)，計算，硬件，編譯器等的標準制定者。這樣會導致一個不健康的生態(tài)，阻礙年輕人掌握技術(shù)的自由，讓個人，公司甚至國家在人工智能領(lǐng)域的自主發(fā)展，最終被一家商業(yè)公司所控制。這不是危言聳聽?？上КF(xiàn)在絕大部分人都還意識不到這點?！?/p>

此言論一出就曾引發(fā)眾多網(wǎng)友討論。

現(xiàn)在看來，確實不無道理。

開源軟件不涉及加解密技術(shù)，就不會被管制？

根據(jù)林誠夏先生（***開放文化基金會法制顧問，開源社法律咨詢委員會成員）的分析與說明，“開源軟件，只要不涉加解密技術(shù)，不會被美國 EAR( Export Administration Regulation , EAR )管制，但涉及加解密者則會被管制?！?/p>

以下為詳細說明：

依美國 EAR (Export Administration Regulation, EAR)，美國人、美國公司將軟件出口至美國境外，或在美國境內(nèi)提供給外國人作為出口的預備行為，必須申請取得許可。

但符合「公開可及(Publicly available)」定義的軟件，不在 EAR 管制范圍，亦即不需要申請許可；也就是說，多數(shù)的開源軟件，皆為公開可及并能后續(xù)散布，符合這條但書，出口上不需要申請許可。（EAR 734.7 (a)）

但 EAR 734.7 (b) 同時說明，公開可及軟件雖不需許可，但若涉及加解密技術(shù)，仍然必須申請許可。

除非是這個加解密技術(shù)，除了代碼本身公開可及外，其加密方式原則上也是公開可及的，那就可以再主張它在 ECCN 5D002 的列表里，可以采 EAR 742.15(b) 款提供源代碼或揭露源代碼來源的方式，來登錄備查。

或是更簡要的說，在美國：

軟件出口必須申請許可。

除非該軟件是公開可及的，那就不需要申請許可。

但公開可及的軟件，若涉及信息加密技術(shù)仍然要申請許可。

除非該公開可及的軟件，除了代碼公開可及外，連加密技術(shù)本身也公開可及，那就再進入例外不需要申請許可。

雖然不需要申請許可，但這樣的代碼公開可及、加密技術(shù)公開可及的軟件仍然要向美國 BIS 匯報備查，并提供相關(guān)訊息供其事前事后查驗。

像Red Hat及Mozilla是有定期提供備查清單出來給美國政府的。亦即有列備查清單者的，原則不能被管制出口。

注：Part 734 章節(jié)里的 734.7 對于何謂「公開可及(§ 734.7 PUBLISHED )做了定義說明及例示，簡要來說：「技術(shù)或軟件已經(jīng)是被一般公眾可以接觸，并不限及其后續(xù)散布者( when it has been made available to the public without restrictions upon its further dissemination ）。

概念辨析

Apache License 與 Apache 基金會項目

有很多開源軟件，都會選擇使用 Apache License 2.0，但是這并不代表這個開源項目已經(jīng)屬于 Apache 基金會，只有當項目被明確的捐贈給 Apache 基金會，才是屬于 Apache 基金會的項目，受到美國法律的監(jiān)管。但是，只要這個項目不涉及加密，同樣不在 EAR 管制范圍。

開源軟件不等于美國的軟件

有很多人擔心，美國一聲令下，會禁止所有的開源軟件被中國使用。這樣的擔憂是不必要的。有太多的自由軟件/開源軟件，不屬于任何一個公司，也不屬于任何一家開源基金會，或者屬于美國之外的組織，這些都是美國管不到的地方。

Github.com，Github 上托管的開源項目，與 Github 企業(yè)版

針對開源中國上述的文章，我們擔心存在一些混淆。Github 是一家美國公司，當然受美國法律的約束。Github.com 上托管的項目，卻未必受美國法律的約束。Github 企業(yè)版是 Github 公司的一個產(chǎn)品，而且是一個閉源的產(chǎn)品，這個產(chǎn)品不屬于「公開可及( Publicly available )」的范圍，因此會受到 EAR 管制。確實可能存在無法出口的問題。但是，這個產(chǎn)品，大多數(shù)情況下是企業(yè)采購之后，在本公司內(nèi)部部署并使用的產(chǎn)品，對于開源社區(qū)，幾乎沒有任何影響。

因此，我們認為除了 EAR 限制的加密技術(shù)之外，由于開源軟件在網(wǎng)絡公開下載傳播的屬性，ASF 軟件基金會或是其他開源軟件項目不會也很難被美國政府限制出口。您的看法如何呢？歡迎評論！

專家解讀：不必過度恐慌

開源項目是否受美國出口管制？是否有可能全線“閉源“？知名科技博主@包云崗 進行了相關(guān)調(diào)查，并在微博上發(fā)表了調(diào)查結(jié)論，以下內(nèi)容援引自其博文：

針對開源的幾個基本要素：開源基金會、開源協(xié)議、開源項目、開源代碼托管平臺。我們對12個知名開源基金會、6個常用的開源協(xié)議、3個代碼托管平臺進行了調(diào)研與分析，得出以下初步結(jié)論：

1、開源基金會管理開源項目，但基金會的管理辦法差異較大，而基金會旗下的開源項目也可以選擇不同管理辦法。例如：

Linux基金會自身的管理辦法不受美國出口管制，所以旗下的項目包括Linux Kernel等默認遵循該管理辦法，但虛擬化項目Xen明確說明遵循美國出口管制，就屬于Linux基金會中的特例；

Apache基金會的管理辦法明確說明遵循美國出口管制，所以它旗下所有項目如Hadoop、Spark都將受到出口管制。

Mozilla基金會明確聲明遵守加州法律，出現(xiàn)各類糾紛將必須到Santa Clara的法庭裁決。

2、目前調(diào)研的開源許可協(xié)議族（GPL、LGPL、BSD、MIT、Mozilla、Apache 2.0）均未涉及與政府出口管制無關(guān)的聲明。

3、目前調(diào)研的3個代碼托管平臺GitHub、SourceForge、Google Code均明確聲明遵守美國出口管制條例，并按加州法律解決糾紛。

4、小結(jié)：

* 合理的開源基金會管理辦法可以規(guī)避美國出口管制

* 開源協(xié)議與出口管制無關(guān)

*代碼托管平臺是開源的最大風險

5、關(guān)于RISC-V

RISC-V基金會隸屬于Linux基金會，沒有特別聲明受美國出口管制，因此RISC-V基金會擁有的RISC-V開放指令集標準并不會受美國出口管制。這一點上周和RISC-V基金會的現(xiàn)任CEO專門進行了討論并得到確認。后續(xù)我們也會再進一步確認。

開源自立迫在眉睫

這次華為事件促使我們思考：當我們?nèi)粘Ｋ褂玫?a target="_blank">編程語言、操作系統(tǒng)、開發(fā)框架與工具、服務，被注入了國家政府或是商業(yè)集團的意志時，究竟該怎么辦？

科技自立、開源自立是唯一的出路。

科技行業(yè)在政治和商業(yè)的壓力下，也早已不是曾經(jīng)的“烏托邦”。

近年來，高通收購案、Facebook“數(shù)據(jù)門”、去年的中興事件、今年的華為事件，都可以看到，科技界并不是完全自由開放的，背后也同樣有各個國家政府或是商業(yè)集團的意志。

這給國內(nèi)的廣大用戶、廠商敲響了警鐘：基礎(chǔ)軟件不能過分依賴開源，需要自主研發(fā)，開源自立已迫在眉睫！

正如包云崗在文中所說，“我們應盡快建立已有托管平臺在美國以外的鏡像平臺，長遠來看，中國必須建立起自己的開源項目托管平臺，并以更開放的方式吸引全世界的開源愛好者?！?/p>