马民虎：开源革命的法律融合观察 (PPT及全注解)

第九届中国信息安全法律大会12月17-18日在北京万寿宾馆举行，大会以“网络安全法治：过去、现在、未来”为主题，设主论坛和“网络社会创新治理”、“数据治理与安全合规”、“安全漏洞治理”、“开源软件与供应链安全”、“网络犯罪治理”、“密码法”（闭门）六个分论坛。大会回顾我国网络安全法治30年的成果，关注新一代信息技术背景下的突出问题和事件，探讨未来网络空间安全治理规则构建。

马民虎教授在开源软件与供应链安全分论坛做了关于《（2018）开源革命的法律融合观察》的主题发言，马老师分别从开源业合规遵从面临法律风险、开源业自由精神面临严重挑战、开源业创新发展的法律威胁三个方面对开源革命法律融合进行了剖析。

以下为完整PPT及全注解，供大家学习参考~

---

开源是自由的象征，是创新的符号。商业软件法律保护，特别是版权保护，四代版权问题，开源作为新的商业模式和产业革命一直在挑战传统财产权体系。

但发展现实是产业爆发增长，不断冲破法律禁区。法律仍然没有正视开源业的发展，只是各国产业政策有所反应。

“2018年开源革命的法律融合观察“这一主题，主要集中在三个问题上，第一、开源业合规遵从面临法律风险；第二、开源业自由精神面临严重挑战；第三、开源业创新发展的法律威胁。

目前开源社区有很多，围绕不同开源项目就有不同的社区，这些社区涉及到了许多方面。开源协议也五花八门，有可以随意利用的，有不能修改的，有禁止商用的等等。这些交叉起来，合规风险控制所要考虑的维度便数倍增长，这使得合规工作变得相当的困难。

GDPR第25条规定的设计和默认的数据保护，给开源利用方的合规苛加了更高的要求。如果在设计开始嵌入含有漏洞的代码，需要承担数据保护责任。这还包括几个层面，发现漏洞72小时通报；建立的应用不能包含任何漏洞，且不能被后来恶意利用。

Equifax 案，黑客“未经许可”获取了 Equifax 服务器的访问权限，导致1.43亿用户信息泄露，被认为损害发生的原因即在最初环节未尽到该有的义务。

Apache Struts框架漏洞，三月份已经打过补丁，并且关闭了该问题，但是五月份泄露，七月份才发现，国内也有类似案例。

GDPR第32条规定的处理过程安全，要求：要定期检测、评估、评测自身的技术保护措施和组织措施的有效性，能够做到开源监测分析自动化。

当然，监测评估必须达到善意的要求，剑桥分析公司“恶意”获取facebook用户数据，通过分析用户行为，甚至被认为影响到了美国大选，这样的监测分析是应当避免的。

网络监测预警责任的设立，可以督促企业做好保障处理过程安全的工作，主动识别不安全风险，并进行及时预警，来防范损害的发生和扩大。另一个角度，这一责任的设立还可以起到社会监督的作用。

处理过程的安全还应当包括安全工具调试责任，防止在安全工具调试工作中的违规行为。例如，对于自身的漏洞如何测试、发现和处理。

开源业自由是一项较高的价值追求，但其实开源管理者才是真正的自由方，其可以自主掌控一个开源项目的开源许可协议是什么、是否继续维护和完善项目等等。

这样的自由，使得开源软件的维护和完善效果较好，也能够发展壮大与专有软件竞争。如前面所提到的，甲骨文与谷歌的8年诉讼，我们可以看到开源软件与专有软件存在着较激烈的竞争，当前，开源与专有软件已经呈现从对立走向融合的趋势，例如微软收购GitHub，IBM收购redhead。这种趋势是否有利创新发展，还有待进一步观察。

不仅开源追求自由，自由价值还是开源本身的最高价值。当前，开源业自由精神正在面临严重的挑战：质疑自由精神的声音认为，开源技术应当支持平等、反对歧视和伤害，而不是绝对的自由。

第一个例子是，2018年7月，国际计算机协会ACM发布了最新修订的计算机道德与职业行为准则，提出要遵循避免歧视、伤害等原则。但是，从1966年到今年这一准则经历了从“命令”到“原则”的转变，这是自由精神与道德规制斗争的成果。

第二个例子是，前不久Linux创始人签发名为CoC的行为规范，支持自由精神，反对这一行为准则的声音认为，技术就应当自由，不应受到与技术无关事项的影响，且在技术角度，许多词语并不存在看上去歧视的意思。不少技术人员也指出如果支持行为准则并修改已经普遍应用的现有技术用语，成本非常高，甚至反应激烈者黑掉了Linux官网。

在自由精神遭到严重挑战的同时，社区技术交流和代做托管控制跨界流动，使得开源继续保有活力和创新。像2018年由ODF、MariaDB基金会主办的开源数据库论坛，就是交流与跨界的代表之一。

开源自由的背后不免有其他力量的渗透，例如， NSA被曝通过项目对开源社区渗透严重。Tor开源项目最早是由美国海军建设，一直以来由美国政府资助。有报道称尽管NSA试图破坏Tor，但美国政府对Tor的资助每年都在增加。

美国开源软件进出口控制，严重危害供应链安全。美国还发布了两项关于中国的报告： “美国联邦信息和通信技术中国供应链漏洞”和“关于中国在技术转让、知识产权与创新方面的法律、政策及实践的最新情况”。

开源是一个非常大的创新，它不同于专有软件的封闭性，其诞生就是为了挑战专有软件。这样创新的焦点不得不说就是人才。美国国防授权法案中明确规定要做好开源软件计划。20%开源软件的占比，有助于改进安全LINUS’s LAW，这源自奥巴马2016年的开源软件备忘录。2014年美国的DATA act ，奥巴马主张的共享政府，这是数据共享存取数据接口的法律杰作。

美国国防部在发展落实开源计划、降低成本的同时，更重要的是笼络人才，重视保护人才的法律权益，从而实现创新性发展的保障。

重视社区保护及人才保护，完善相应的法律与政策，也是我们未来的工作重点。

综合来讲，开源业的繁荣发展对创新意义非常重大。需要开源业尝试符合开源自由精神又符合社会发展的自律规范；需要保护保障创新的关键，即保护人才的权益，不断尝试开拓。例如，开源交流人员权利法案；需要规范开源业的竞争行为，制定开源业反垄断反制策略；需要尝试出台针对开源业的振兴纲要，以应对数字化变革的国家战略。

声明：本文来自新丝路安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。