本文轉(zhuǎn)自雷鋒網(wǎng)，如需轉(zhuǎn)載請至雷鋒網(wǎng)官網(wǎng)申請授權(quán)。

近日，谷歌旗下安卓將對華為進行系統(tǒng)「封鎖」的報道，給國內(nèi)科技界投下了一枚震撼彈?！父渤仓聫?fù)有完卵乎」，一時間人人感到自危，尤其當(dāng)大家發(fā)現(xiàn)，向來以「開源」著稱的開源基金會及開源代碼托管平臺，實際上也受美國出口管理條例 ( Export Administration Regulation , EAR ) 管制，過去深信「開源無國界」的國內(nèi)開發(fā)者們開始擔(dān)心，類似的「封鎖」事件也會在這個領(lǐng)域上演。

[[266128]]

在 5 月 20 日的一篇《開源界也要注意，Apache 基金會與 GitHub 都受美國法律約束》文中，「開源中國」通過展示 Apache 軟件基金會以及 GitHub 官網(wǎng)中涉及出口限制部分的內(nèi)容，表示對開源項目在未來的「自由度」會否受到限制感到擔(dān)憂。

Apache 軟件基金會官網(wǎng)上的「產(chǎn)品出口須知」

Github 官網(wǎng)上的「出口管制規(guī)定」

文中指出，條款明確表明 GitHub Enterprise Server 不被允許出口至 EAR 限制清單中的國家，當(dāng)中包括古巴、伊朗、朝鮮、蘇丹和敘利亞：

「GitHub Enterprise Server may not be sold to, exported, or re-exported to any country listed in Country Group E:1 in Supplement No. 1 to part 740 of the EAR or to the Crimea region of Ukraine. This list currently contains Cuba, Iran, North Korea, Sudan & Syria, but is subject to change.」

「那幾時突然再加進來一個中國呢？」「開源中國」在文中反問道。

開源項目受不受美國出口管制？

該文出來后，話題迅速發(fā)酵。其中，來自中科院計算所的包云崗研究員反應(yīng)最為迅速，他立馬組織人員開展調(diào)研，對 12 個知名開源基金會、6 個常用的開源協(xié)議、3 個代碼托管平臺進行了調(diào)研與分析，并向海外朋友進行咨詢，最終得出以下結(jié)論：

1. 開源基金會管理開源項目，但基金會的管理辦法差異較大，而基金會旗下的開源項目也可以選擇不同管理辦法。例如：一、Linux 基金會自身的管理辦法不受美國出口管制，所以旗下的項目包括 Linux Kernel 等默認遵循該管理辦法，但虛擬化項目 Xen 明確說明遵循美國出口管制，就屬于 Linux 基金會中的特例；二、Apache 基金會的管理辦法明確說明遵循美國出口管制，所以它旗下所有項目如 Hadoop、Spark 都將受到出口管制。三、Mozilla 基金會明確聲明遵守加州法律，出現(xiàn)各類糾紛將必須到 Santa Clara 的法庭裁決。

2. 目前調(diào)研的開源許可協(xié)議族（GPL、LGPL、BSD、MIT、Mozilla、Apache 2.0）均未涉及與政府出口管制無關(guān)的聲明。

3. 目前調(diào)研的 3 個代碼托管平臺 GitHub、SourceForge、Google Code 均明確聲明遵守美國出口管制條例，并按加州法律解決糾紛。

 小結(jié)：

    合理的開源基金會管理辦法可以規(guī)避美國出口管制

    開源協(xié)議與出口管制無關(guān)

    代碼托管平臺是開源的***風(fēng)險

雷鋒網(wǎng) AI 科技評論認為，如果單就平臺/協(xié)議聲明進行解讀的話，一切依然存在模糊性。

截至下午 6 點為止，該條微博已獲得 482 個轉(zhuǎn)發(fā)與 150 個點贊

如果從美國出口管理條例入手解讀，會不會對我們有更多啟發(fā)？

在個人微博上，包云崗?fù)扑]了一篇由臺灣開放文化基金會法制顧問、開源社法律咨詢委員會成員林誠夏先生撰寫的解讀文章《專家解讀：開源軟件項目是否會被限制出口？》，雷鋒網(wǎng) AI 科技評論對原文進行了不改變原義的總結(jié)： 

根據(jù)美國出口管理條例 EAR 734.7 (a) 條款，只要符合「公開可及 (Publicly available)」定義的軟件，就不在 EAR 的管制范圍內(nèi)，也就不需要申請相關(guān)許可。

注：Part 734 章節(jié)里的 734.7 對于何謂「公開可及 (§ 734.7 PUBLISHED ) 做了定義說明及例示，簡要來說：「技術(shù)或軟件已經(jīng)是被一般公眾可以接觸，并不限及其后續(xù)散布者 ( when it has been made available to the public without restrictions upon its further dissemination）。

目前看來，這個解讀基本上可以打消大部分人的顧慮，不過文中也強調(diào)一點：

EAR 734.7 (b) 說明「公開可及」的軟件雖然不要取得許可，可一旦軟件涉及加解密技術(shù)，申請許可就成為必要的流程。除非是這個加解密技術(shù)也是「公開可及」的，那么只需要向美國 BIS 匯報備查即可。

只要不涉及加解密技術(shù)，我們就安全了嗎？

「開源中國」隨后發(fā)布的一篇文章《所以 Apache 基金會不受美國法律約束？》指出，經(jīng)過與同行專家討論后，他們認為 Apache 軟件基金會官網(wǎng)關(guān)于產(chǎn)品出口說明的內(nèi)容「表達的含義其實模棱兩可，充滿了不確定性?！梗?/p>

Therefore, U.S. export laws and regulations apply to our distributions and remain in force as products and technology are re-exported to different parties and places around the world. 

美國的出口法律和法規(guī)適用于我們的分發(fā)，并且隨著產(chǎn)品和技術(shù)再出口到不同的地方依舊保持有效。

再者，基金會的聲明是否會直接影響項目的開源情況？兩者之間究竟是一個什么樣的關(guān)系？這些我們依然未有明確答案。

來自網(wǎng)友的解讀

這應(yīng)該也是包云崗研究員在個人微博上呼吁「盡快建立已有托管平臺在美國以外的鏡像平臺」的原因：

雖然這個建議受到一些網(wǎng)友的質(zhì)疑：

無論如何，從長遠來看，他認為「中國必須建立起自己的開源項目托管平臺」，這個措施的必要性，相信是毋庸置疑的。

對于此事，你又是怎么看的？歡迎在下方留言與我們交流