梦见抓鱼是什么意思2019年5月16日,特朗普签署行政命令,同意BIS将华为列入Entity List,华为在未经美国批准的情况下从美国购买零部件。其后,谷歌、因特尔、高通纷纷宣布暂停与华为商业往来的消息使得疯狂发酵,更有人发现Apache基金会与GitHub也疑似受美国出口法律法规管制,开源软件可能被闭源的声音一时间甚嚣尘上,引起开发者恐慌。汇业网络与数据法团队注意到,之所以引发上述猜测,是因为有人发现GitHub公布的服务条款中含有如下表述:
GitHub Enterprise Server 不得出售、出口或再出口到EAR第740部分补充文件的国家组E:1中列出的任何国家或乌克兰克里米亚地区,该清单目前包含古巴、伊朗、朝鲜、苏丹与叙利亚,并且随时可能会发生变化。
有评论,中国在不久的将来可能登上EAR管制国家清单,因此按照GitHub公布的上述服务条款,届时中国开发者将被使用GitHub有关开源代码服务,进而代码闭源。
汇业网络与数据法团队本着冷静客观看待热点事件的原则,简单整理了美国出口管制法律的逻辑次序,并具体分析了相关代码使用及出口行为是否受制于EAR等法规,并据此提出相关合规。
出口管制作为美国针对特定国家实施经济制裁的手段之一,是美国财政部海外资产控制办公室(OFAC)、美国商务部工业与安全局(BIS)和美国司法部(DOJ)等部门出于、反恐以及高新技术等目的,或向某些特定目的地出口含有美国成分产品的制度。上述法律管辖的范围包括以下四个方面:
美国出口管制规则直接管辖的是所有的“US Persons”,包括美国、非美籍的美国永久居民、根据美国法设立的任何组织形式的实体、美国实体在美国以外的分支机构、身处美国的任何个人、分支机构、代表处或办事处。基本涵盖了与美国产生任何属人或属地连接点的一切实体。
根据EAR的,所有“源自美国”的产品均受制于出口管制,包括直接来源于美国的物品、出口前位于美国境内的产品、外国制造但含有25%以上美国成分的产品,以及外国制造但是源自美国的技术的产品。
关于某类产品是否受限于美国出口管制规则,需结合EAR项下两份清单《商业清单》(CCL)和《商业国家表格》(CCC)进行判断,即根据CCL确认的产品受限原因,对照CCC中关于拟出口国在该原因项下的,确定是否允许将该产品向该国出口。而就CCC中列明的美国经济制裁对象而言(包括伊朗、朝鲜、古巴、塞尔维亚和俄罗斯等国),则受到更为严格的。以朝鲜为例,除食品和药品外,任何美国产品均不得向该国进行出口。目前CCL列出的10大类产品目录包括核材料,设施和设备以及杂项、材料,化学品,微生物和毒素、材料加工、电子产品、电脑、电信和信息安全、激光和传感器、和航空电子设备、海洋以及推进系统,航天器和相关设备。
OFAC会不定期更新《特别指定国家和被人员清单》(SDN List)。如果交易对象列明于SDN List的,其所有财产及财产权益均应被美国冻结,而财产和财产权益的范围常广泛的,甚至包括列入者的应付账款。
与列入SDN List者的交易将面临极大的不便利。所有US Persons均被与任何SDN List中列明的企业或个人进行交易,而该等的范围则可以称得上是事无巨细,例如,如果某提单项下货物是由列入者拥有的船只装载的,则US Persons将不得执行该提单。
不同于SDN List的绝对,被列入BIS Entity List受限于BIS License(如华为),任何有意与其就特定产品进行直接或间接出口贸易的US Persons均需获得BIS License,否则不得进行任何贸易活动。
被列入BIS Entity List的主体可以通过向ERC递交书面申请以请求修改或删除其条目,不允许第三方代表清单上公司提出申请。但是从名单上移除的困难是相当大的。根据Entity List管理制度,删除或修改实体清单上的条目需要ERC各机构的一致同意而非简单多数,并且ERC的决定是该申请的终局决定,申请人不享有上诉权。此外,BIS会不定期更新实体清单。
至于加解密技术,即使是开源软件,仍必须经过BIS认同其为「公开可用」的加解密技术,才完全不受到EAR拘束,但这并不意味着开源软件涉及出口时必须取得BIS License。实际上,所出口的软件涉及加解密技术时,由出口者向BIS和美国局(NSA)发送通知,也即向BIS和NSA备案,但该加解密技术确实符合EAR 15 CFR § 742.15(b)款中「公开可用」的标准。
据透社的报道,谷歌无法再提供Google Apps给华为,是因为这些Apps并非开源软件,不能满足EAR「可以接触,并不限及其后续」的条件,才会有可能被美国择日停止出口给华为,与此相较,安卓源代码项目(AOSP),则并不在拟出口清单之列,主因就是AOSP是采「公开可用」的开源模式发布。
无独有偶,Apache基金会5月22日发表了一篇声明(《Apache 软件基金会关于非美国子公司已添加到美国联邦登记公告实体清单裁决中的声明》)。声明强调了前文所述的「公开可用」例外:“BIS于2016年9月20日重新将开源公开可用加密软件源代码归类为「公开可用(publicly available)」和「已发布(published)」的,并且「不受EAR约束(not subject to EAR )」。
同样的,声明阐明涉及加密软件源代码的开源项目仍然需要向BIS和NSA发送URL通知,以满足 EAR§742.15(b) 中的「公开可用(publicly available)」通知要求。
最后,Apache进一步声明,开源软件、开源代码协作、参加公开电话会议或私人会议以及提供赞助资金都是不受EAR约束的活动,因此不应对社区产生影响。
因此,若一个开源项目是透过国际协作的模式来进行,原则上国际间协作、网络公开可下载的开源项目,没有太多EAR方面的疑虑,只是说,像红帽或谷歌这样的公司,其实是公开网络上提供开源项目的基础版本,商业合作上会提供「开源项目+额外元件」。例如AOSP是开源基础版,加上的Google Apps是额外元件,在这些「额外非开源元件」上就比较会有受到EAR管制的可能。实际上,若是开源项目和其商业项目的内容完全一致,理论上受EAR规制的空间并不大。
GitHub之所以做出如文首所示的声明,用意在于提醒开源软件的使用者,相关的出口管制涉及软件从美国出口时,仍是有效的,发布者必须就个案自行斟酌,是否主动向BIS及NSA进行EAR要求的通知。此外,EAR此项原则尚有例外的解释空间,例如加解密技术必须通报备查等。
由于GitHub Enterprise Server的代码是私有的,所以将会受EAR管制。如GitHub Enterprise Server协议上写道:“不得出售、出口或再出口到EAR第740部分补充文件的国家组E:1中列出的任何国家或乌克兰克里米亚地区,该清单目前包含古巴、伊朗、朝鲜、苏丹和叙利亚,并且随时可能会发生变化。”
汇业网络与数据法团队仔细核对了EAR第740部分补充文件E:1的国家组,目前包括古巴、伊朗、朝鲜、苏丹和叙利亚,这些国家被EAR定义为支持国家(Terrorist Supporting Countries)。从目前的国际关系和格局来看,中国进入E:1国家组的可能性极小,否则全球经济秩序将发生令人难以想象的巨变。
对于中国的软件开发者,如果希望开源项目未来在使用上,在法律或管辖解释上不被限缩,低度使用以下有内嵌准据法或指定地区性的管辖法院的许可证有关的软件项目:
综上,美国出口管制法律虽然是其制定的国内法,但在经济贸易全球化的今天,其管辖范围之广、法规之多、制度之繁杂,全世界任何国家和地区的企业在贸易活动中都无法避免。就开源代码而言,在公开可用例外的基础上存在向有关主管机关报备的要求和出口到特定国家组的等。虽然服务提供商在条款中提示可能受制于美国有关出口管制的规制,但具体受到管制的条件和情形亦不尽相同,不可仅从服务条款的只言片语就断章取得出中国将受代码闭源的结论。
除此之外,此次开源界的疑似“华为之劫”带给中国代码开发者一个更为重要的,与其依靠开源社区,不如自己成为优秀的代码审核者、代码守护者,甚至开源社区的领导者,这样才能在未来的战场上掌握更有力的主动权。
网友评论 ()条 查看