站長資訊網(wǎng)Linux 基金會近期發(fā)布了一份有關(guān)開源社區(qū)注意事項的白皮書《了解開源科技和美國出口管制》,并發(fā)文概述了開源社區(qū)應(yīng)該了解并遵循的與美國出口管制要求和開源加密相關(guān)的一般性原則。
EAR(Export Administration Regulations,出口管理條例)是美國聯(lián)邦政府限制出口的主要條例,由美國商務(wù)部下的產(chǎn)業(yè)與安全局(Bureau of Industry and Security,BIS)發(fā)布并定期修訂。EAR 適用于所有受《出口管制條例》管制的物品,并可管制這些物品的出口、再出口與轉(zhuǎn)讓。
EAR 下 “出口”的定義較為寬泛。出口不僅包括從美國境內(nèi)向境外輸送實物產(chǎn)品,還包括其它行為,例如向在美國居住的非美國公民或非美國合法永久居民傳送技術(shù),以及向美國境外人員提供用于電子傳輸?shù)能浖?/p>
而如果開源技術(shù)是公開的,不受進(jìn)一步傳播的限制的,那么它是 “已發(fā)布的”,因此不受制于 EAR。具體來說,EAR 明確豁免了大多數(shù)以開源形式呈現(xiàn)的軟件和技術(shù)。有一些事項被明確列為不受制于 EAR,意味著它們被置于 EAR 法規(guī)管轄外并不受這些法規(guī)的約束。
EAR 第 734.3(b)條規(guī)定了一些事項不受制于 EAR,“如第 734.7 條所述的,(i)已經(jīng)發(fā)布的信息及‘軟件’”,該部分規(guī)定 “已發(fā)布”的事項不受到 EAR 的管轄。具體來說,其規(guī)定 “當(dāng)可被公眾獲取且無進(jìn)一步傳播限制時,未被歸類為密級事項的‘技術(shù)’或‘軟件’屬于‘已發(fā)布’,因此不屬于受 EAR 管轄的‘技術(shù)’或‘軟件’”。
所以 “已發(fā)布”(published)是關(guān)鍵要素,如果開源技術(shù)不受進(jìn)一步傳播的限制且可被公開獲取,那么它將被視為 “已發(fā)布”了的開源事項,并將因此不受制于 EAR,亦即 “open source technologies that are published and made publicly available to the world are not subject to the EAR(公開發(fā)布給全世界的開源技術(shù)不受 EAR 約束)”。
Linux 基金會表示:來自 Linux 基金會以及與我們合作的項目社區(qū)的開源軟件均滿足 EAR 第 734.7 條中 “已發(fā)布”的要求。同時還列舉了部分典型情況:
- 已公開發(fā)布的開源軟件不受制于 EAR
- 已公開發(fā)布的開源規(guī)格不受制于 EAR
- 已公開發(fā)布的,說明硬件設(shè)計的開源文檔不受制于 EAR
- 已公開發(fā)布的開源軟件二進(jìn)制不受制于 EAR
不過在項目涉及加密技術(shù)時,則需要考慮更多:
- “加密軟件”的定義非常廣泛,并可能包括僅激活或創(chuàng)設(shè)其它軟硬件產(chǎn)品的加密功能的軟件。對于具備標(biāo)準(zhǔn)加密功能的軟件,包括在軟件設(shè)計文檔中呈現(xiàn)的加密硬件。
- 首先要確認(rèn)的是:該加密軟件是否在 EAR 的管轄范圍內(nèi)。
- 屬于 ECCN 5D002 的加密源代碼如符合以下兩個條件,則不在 EAR 的管轄范圍內(nèi):
· 該源代碼是 “可公開獲取”(publicly available)的:指的是在 EAR 定義的 “已發(fā)布”(published),包括通過在公開的網(wǎng)頁上進(jìn)行發(fā)表(即公開傳播)。如果項目的源代碼可在互聯(lián)網(wǎng)上公開獲取,則應(yīng)被視為 “可公開獲取”。
· 已向 EAR 第 742.15(b)條所載的電子郵箱地址發(fā)送了電子郵件以示通知:需要向兩個指定的郵箱地址發(fā)送郵件:一個是 BIS 的郵箱地址,另外一個是國家安全局(National Security Agency,NSA)的郵箱地址。郵件內(nèi)容需要包括可公開獲取的源代碼的 URL 地址(或源代碼本身)。如 URL 或源代碼發(fā)生任何變更,則需要再次以郵件形式通知上述郵箱地址。
在通過了上述兩項衡量標(biāo)準(zhǔn)后,相應(yīng)的代碼也將不受 EAR 管轄。
Linux 基金會表示其所有項目源代碼,包括加密軟件,均可公開獲取,也已經(jīng)提供了所要求的電子郵件通知,并在官網(wǎng)上公開了電子郵件通知的內(nèi)容。“所以,Linux 基金會的項目源代碼及對應(yīng)的目標(biāo)代碼均不受 EAR 關(guān)于加密的限制”。
需要注意的是,上述情況只適用于開源項目本身,修改項目代碼或其衍生產(chǎn)品的下游再分銷商在源碼并未公開時,仍然需要評估其是否符合 EAR 的規(guī)定。
Linux 基金會的文章中還對 BIS 于 2020 年 1 月 6 日宣布的一項新的關(guān)于 “訓(xùn)練深度卷識神經(jīng)網(wǎng)絡(luò)自動分析地理空間圖像和點云(point cloud)能力的特殊地理空間圖像軟件的管控權(quán)”的 EAR 規(guī)定進(jìn)行了解讀。
本文僅為幫助國內(nèi)開發(fā)者理解對 Linux 基金會的原文作了簡單介紹,不構(gòu)成任何法律意見,詳細(xì)情況請查看原博文:https://www.linuxfoundation.org/blog/2020/07/understanding-us-export-controls-with-open-source-projects
特別提醒:本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體,目的在于傳遞更多信息,并不代表本網(wǎng)贊同其觀點。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實,對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾,并請自行核實相關(guān)內(nèi)容。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益,請及時聯(lián)系我們,本站將會在24小時內(nèi)處理完畢。
