2019云计算开源产业大会丨毕春丽:开源软件知识产权风险防控

这个事件出来以后，对开源社区一般使用者到底有没有风险，我们对整个开源社区来说，整个使用MangoDB的用户来说，仍然可以自由地使用、审查、修改、再发布源代码等等。这里影响最大的是云服务商，云服务商在进行使用过程中只有这两种选择，要么公开源代码，要么购买MangoDB的商业版本。

这个事件就是更改开源许可协议的事件，但这个协议给予我们的启示很重要，首先大家要理解开源的游戏规则，就是一个软件代码或一个稍微成熟的大家都能接受的软件背后会付出很多劳动，不仅是开发员、程序员的劳动，还有涉及到开源社区的管理等等。这么多劳动很多不是纯粹的义务劳动，大家要有逐利的可能性，在这里要进行斟酌，不可能完全免费得到自己的利益，我们理解了它，就会选择开源软件应用自己产品过程中谨慎选择哪些可以用，哪些不可以用。

  开源软件知识产权风险。

包括版权、专利、商标、商业秘密，从涉及到的开源许可协议里，讲的比较多的是版权的内容，这里还会涉及到第三方版权瑕疵，不经意间会流入到开源软件过程当中的风险。

这个专利有时候是防不胜防的东西，根据你所选择的开源协议、所选择的开源社区也有很大的关系，有可能会进行规避。其风险来自于内部的，根据开源社区做的过程中申请一些专利，外部是不受约束的第三方申请专利可能会受到将来索取权利的收费等风险。尤其大家在自己进行开源过程中也需要特别注意，把自己代码开放之前还是要注意先把代码相关内容如果能转化成专利，先转化成专利，然后再去开源，这些也是大家在开源过程中需要特别注意的。

商标也存在一些风险，使用未授权商标，如开源许可协议没有经OSI认证，不按开源许可规定，不该进行公开或披露的一些商标、商号在开源代码里体现进行宣传等等。

开源知识产权风险分析无外乎就三个维度，这三个维度来源于最基础的开源生态里的三个方面：

开源协议。在构建开源整个过程中的基本规则。商业运营模式，商业运营模式不同带来资产风险也不同，比如就做科研研究，就做内部研究，不进行对外商业，可能风险就很小或没有。但如果一旦进行商业化使用时，这里风险性可能就比较大。

开源社区管理。有些开源许可协议本身规定没那么多，有些开源社区希望把开源内容进行扩大化或进行更广泛的使用，它自己会做一些更详细的规定。

影响因素之一：开源许可协议

举例，开源许可协议版权专利商标和其他规避内容，从强传染性到弱传染性开源许可协议的内容中，强传染性GPL风险就很大呢？这和商业规模有一定关系，MangoDB等这些软件代码在一家公司或几家比较大的权利人所拥有时，可能为了保证整个软件一致性，选择GPL更多一些，一般选择双证的软件使用GPL也比较多一些，是为了更多卖商业的软件。给了强传染性，也给了其他知识产权的保证。BSD，用商业化软件是比较多的，但是专利、版权、商标都没有规定，相当于风险性非常大，因为不知道哪一天就会有人告你，所以大家使用时是一个辩证角度来看待这个问题。

影响因素之二：开源软件使用方式

是否访问源代码，如果不访问源代码，仅仅观看的话，风险很小。如果访问源代码，是否要进行修改？如果进行修改，还要考虑是否要进行传播，进行传播的话，将其原封不动或仅仅是将部分或修改一部分内容进行发布的话，这里也有很大风险的。进行商业化使用过程中，其风险性是我们需要着重进行考虑的。

这里还加上一条：是否对外提供服务。就牵涉到MangoDB的问题，要对它提供一些服务，这些也是需要考虑他的许可协议的规定。

影响因素之三：开源社区知识产权规定

除了开源许可协议知识产权规定以外，也会进行额外知识产权的规定，比如在Apache里，额外要求贡献者必须提交贡献者协议，贡献者协议目的是要保障提供进来的代码是纯洁的，不受侵权困扰的代码。在商标规定里也进行细化的内容，哪些可以使用，哪些不可以使用。这些开源社区的规定我们也在开源进行治理过程中需要着重看的一些内容。

开源知识产权风险大的框架从三个维度来看，一些比较细的内容还是需要我们根据自己商业用途和使用情况来进行选择。

  建议。

 要增强风险防范意识。

我们在调研过程中发现一些比较小的软件公司认为既然已经开源了，就没有任何风险或风险性很小。当然现在发生的这些纠纷，尤其在中国发生的纠纷还比较少，但并不排除这里就没有相关风险。当然我们也不要进行无谓扩大，现在80%以上的纠纷案例都会进行私底下的和解，所以我们要正确看待开源的知识产权风险。还要加强风险意识，不仅是知识产权的管理人员，更重要的是技术开发人员、管理者的风险意识。

进行风险防控体系里需要战略协同，我们要和产品、策略、成本控制等策略进行协同。还有部门之间进行协同，需要法务、技术、采购等多个部门一起协作，共同配合来工作。

在建立开源软件风险防控全流程管理体系里，从开源软件引入、开源软件开发、开源产品发布，都要按照流程来做，这些内容都需要大家在进行开源管理中注意的一些点。

企业开源进行风险防控内容中离不开法务工作者的工作，首先在准确解读开源许可协议规则里，因为很多开源许可协议都是英文版非常晦涩的法律术语，往往一个开源许可协议规定以后，后面有时候弄不清楚到底讲的是什么内容，就要看它的问答内容，而且有些内容需要结合技术术语、法律术语一起来理解，所以需要专门人员来做。

跟踪一些开源相关司法案例，了解现有法官或不同国家对开源的理解，如我们国家能否用合同法，在版权法里如何进行使用的。对于这些案件大家都要及时跟踪、及时了解。

风险防控建议，从意识体系到开源防控全流程管理到最后研究工作，我们也在做很多工作，已经和一些企业做相关服务，大家如果有相关问题的话，也可以和我们联系，大家一起进行解决。

《开源知识产权风险防控研究报告》马上会发布，我今天所讲的大部分内容在这个报告中都有，如果大家感兴趣的话可以关注一下我们中心的公众号，一旦我们院里审批通过以后，就会发布在公众号上，希望大家给我们提出一些宝贵的意见，大家共同营造开源生态健康的发展。

谢谢大家！

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!