从MongoDB替代开源许可协议谈开源软件的法律风险企业也越来越成为开源的主要推动力。开源不仅是一种可以汇聚产业力量协同发展的生产模式,更是企业竞争的重要手段。一些维护开源项目的公司修改开源项目的许可协议,以降低产品风险和打击竞争对手。2018年10月,MongoDB宣布其开源许可协议从AGPLv3切换到服务器端公共许可(SSPL)。2018年10月16日前发布的MongoDB社区服务器版本采用AGPLv3许可协议。2018年10月16日及之后发布的所有MongoDB社区服务器补丁和新版本均采用SSPL许可协议,包括老版本Future补丁。(二)SSPL许可协议解读1、SSPL许可协议基本介绍SSPL许可协议是在GPLv3的基础上修改而来的。SSPL许可协议一共17条,除第13条与GPLv3不同外,其余条款与GPLv3大致相同。SSPL许可协议具有以下特点:***、SSPL与GPL等开源许可协议一样,授予被许可人四项基本权利,包括:自由运行程序、自由获取源代码、自由发布复制程序,自由修改程序并向公众发布和传播自己制作的改进版本。其次,SSPL是一种具有高度传染性的许可协议。这意味着:如果用户重新分发根据SSPL许可的软件或基于根据SSPL许可的软件工作,他们必须根据SSPL许可协议进行重新分发。第三,在SSPL许可证下重新分发程序或将程序作为服务提供时,必须提供源代码。当以目标代码或可执行程序的形式复制和分发受SSPL约束的软件时,必须提供源代码。第四,SSPL明示专利授权。与GPLv3完全一样,SSPL许可协议的第11条明确表达了专利授权。即使程序发布者为发布的贡献申请了专利,在获得专利授权后,相关的专利授权也必须免费许可给所有使用该程序的人。第五,SSPL有非保证条款。几乎所有开源许可协议都有免责条款,否认所有明示或暗示的保证,包括但不限于对适销性和特定用途适用性的保证。对于因使用开源程序而造成的任何损害,版权所有者或其他第三方均不承担任何责任。由于开源软件已经获得自由许可,因此软件版权所有者不承担任何保证义务。2.SSPL、GPLv3、AGPLv3的对比分析GPLv3、AGPLv3、SSPL的区别主要体现在第13条,GPLv3的第13条是“usewithAGPL”的相关条款。AGPLv3第13条是“远程网络交互:使用GPL许可协议”的相关条款。SSPL第13条是关于“将程序作为服务提供”。通过对比这三个许可协议第13条的规定,可以发现:***,AGPL和SSPL许可协议的规定比GPL更为严格。根据GPL许可协议的规定,任何人都可以运行以提供技术服务为目的的私人修改过的GPL许可下的程序,只要软件未发布,源代码就不需要公开。但是,AGPL许可协议将Copyleft的概念扩展到Internet上由免费软件提供的服务。在AGPL的规定中,如果许可程序通过网络与用户进行远程交互,那么需要向用户提供源代码,所有的修改也需要提供给用户。“通过计算机进行远程网络交互”的常见场景包括:网络和邮件服务器、基于交互的Web应用程序、在线玩的游戏服务器。在SSPL许可协议中明确规定,将程序的功能或程序的修改版本作为服务提供给第三方时,需要提供“服务源代码”。最典型的场景是云平台提供商将软件托管产品打包成服务。其次,GPL、AGPL、SSPL都是版权类型的许可协议。GPL和AGPL许可协议第13条分别规定GPL许可下的程序和AGPL许可下的程序一起使用。因此,GPL和AGPL许可协议是兼容的。但是,SSPL许可协议与GPL和AGPL不兼容,即SSPL许可的代码不能与GPL或AGPL许可的代码形成程序版本。二、MangoDB变更许可协议的原因分析(一)法律分析AGPLv3许可协议的模糊性让很多公司开始试探AGPL的边界。AGPLv3第13条规定了对“远程网络交互”的限制。但对于AGPL远程网络交互的触发条件和范围,业内存在争议。因此,SSPL明确规定了程序作为服务提供的条件和限制。AGPLv3的传染范围判断也比较模糊。GPLv3/AGPLv3提出了“聚合”的概念,认为将GPL许可的程序纳入聚合不会导致GPLv3/AGPLv3许可协议适用于聚合的其他部分,也就是说,不会有“传染”。性”。然而,对于这两种程序是否构成“合计”,业内仍存在诸多争议,司法界也没有相关先例。这直接导致不少企业游走在“合计”的灰色地带。违反AGPL许可协议。(2)业务层面分析“软件即服务”的兴起对MangoDB的商业模式产生了冲击,开源不仅是一种软件开发模式,更代表着一种独特的商业模式。MangoDB开源软件采用双授权商业模式,MangoDB分为企业版和开源社区版两个版本,开源社??区版根据SSPL许可协议免费授权给用户,方便测试软件,获取改进信息,得到开发者的支持,赢得口碑,助力市场推广,企业版使用商业授权,为企业用户提供丰富的r功能、技术支持、保障等服务。MangoDB通过向企业用户收取许可费来赚钱。采用双重许可模式的开源公司的社区版本通常会选择GPL、AGPL等强版权类型的许可协议,这在一定程度上限制了其他公司在社区版本的基础上修改和销售软件。近年来,“软件即服务”的理念深入人心,IT行业逐渐向服务化转型。用户无需购买软件和硬件,而是通过互联网向厂商订购自己的应用软件服务。IT供应商越来越倾向于按服务收费,而不是按销售软件和硬件收费。一些云服务提供商修改MangoDB的社区版本,为用户提供其数据库的托管商业版本,而不公开将修改后的源代码返还给社区。这样一来,这些云服务厂商就相当于从MangoDB企业版的销量中分一杯羹,抢占其销量份额。MangoDB的替换许可协议是为了遏制云服务提供商攫取开源软件价值而不给开源社区任何回报的行为。三、MangoDB许可协议变更影响分析(一)许可协议变更对开源社区的影响许可协议变更不影响MangoDB社区服务器的普通用户。在开源社区中,SSPL在AGPL许可下给予用户与MongoDB相同的自由——用户仍然可以自由使用、审查、修改和重新分发源代码。如果一家公司仅在公司内部使用MangoDB,或将其作为服务提供给其子公司,则不属于向第三方提供服务的情况,无需受第13条的约束,也不受第13条的影响。更换许可协议。此外,许可协议变更后,要求云服务商将对MangoDB的修改反馈给开源社区,有助于开源软件的不断完善,对开源的发展具有长远意义。源社区。(2)许可协议变更对云服务商的影响MangoDB变更许可协议后,云服务商若要销售基于MangoDB的云服务,要么完全公开其服务源代码,要么向MangoDB购买商业许可。在MangoDB许可协议中,“服务源代码”的范围非常广泛,不仅包括MangoDB或其修改版本对应的源代码,还包括管理软件、用户界面、应用程序界面、自动化软件、监控软件、备份软件,存储软件的源代码和托管软件。这些“服务源代码”的完全公开,意味着这些云服务厂商已经失去了产品差异化的能力。因此,其他云服务厂商可能没有积极性去销售基于MangoDB的云服务。四、MangoDB变更许可协议对中国企业开源的启示(一)理解开源游戏规则随着商业公司逐渐成为开源的主力军,开源越来越不“纯粹”,逐渐成为为企业赚取利润的一种方式。开源软件开发模式的选择、开源许可协议的选择、开源软件盈利模式的选择都是密切相关的。例如,以开源基金会为主导的开源软件往往会选择Apache、BSD、MIT等松散的开源许可协议,以吸引更多的商业公司参与。商业企业主导的开源软件往往会选择GPL等强版权许可协议来保证其双重许可商业模式的实现。企业只有了解开源的游戏规则,才能从开源中获利,有效降低知识产权侵权风险。(2)谨慎选择开源软件开源不是“免费的午餐”,企业主导的开源项目往往陷阱重重。如果一个开源软件由一个企业主导,这个企业拥有所有开源代码的版权,那么这个企业可以随时更改这个开源软件的开源许可协议,甚至变成闭源.例如,Redis将其自建的Redis模块RediSearch、RedisGraph、ReJSON、ReBloom和Redis-ML的许可协议从AGPLv3更改为Apachev2和CommonsClause相结合的许可协议。事实上,这些自建模块已经没有开源软件,只是提供了源代码。如此突然的许可协议变更,将使使用这些开源软件的企业陷入进退两难的境地。如果在自己的产品中更换开源软件,更换成本非常高;如果不更换开源软件,新的许可协议往往要求将私有代码公开甚至不允许商业销售。因此,企业从一开始就慎重选择开源软件,不仅要测试其性能,还要充分考虑其知识产权风险。(3)使用开源软件应遵守开源许可协议。开源软件不是公共领域的软件,不能随意使用。大多数开源软件都拥有版权并受版权法保护。开源软件的著作权人通过开源许可协议将开源软件的复制权、修改权、发行权等部分权利转让给被许可人,被许可人只能在遵守的前提下行使这些权利与开源许可协议的规定。如果企业不按照开源许可协议的规定使用开源软件,则存在很大的版权侵权风险。(四)做好开源软件风险防控工作。开源许可协议通常有“无保证”条款,这意味着企业需要自行承担使用开源软件的风险。在这种情况下,企业防控开源软件的风险就显得尤为重要。一方面,要完善企业开源软件管理流程,规范企业内部开源软件的使用,降低不合规使用开源软件带来的法律风险;另一方面,要关注与使用开源软件相关的法律纠纷,建立风险预警机制,及时更换产品中存在风险的开源代码。作者简介傅娜:中国信息通信研究院技术与标准研究所知识产权中心中级经济师。研究领域包括互联网新兴业态、开源、科研项目管理等领域的知识产权研究。作为项目负责人或研究员承担数十项研究项目,主要包括《网络版权指数指标体系研究》、《互联网新兴业态知识产权评估分析》、《开源模式的知识产权保护》、《4G智能终端市场中的NPE风险分析及应对策略》等。《智库观察》系列报告由中国科学院高级研究员撰写信息通信技术专业,聚焦电信、互联网、信息化和智能制造领域,利用中国信息通信研究院掌握的国内外最新ICT管控政策、市场热点、新技术、新业务动态等待内外部情报,快速反馈,洞察原因,评估影响。本期《智库观察》选择《从MongoDB更换开源许可协议谈开源软件法律风险》与大家分享。联系方式:funa@caict.ac.cn本文发表于《智库观察》2018年第24期
