企業使用「開源軟件」知識產權保護指引

爲貫徹落實中央決策部署,進一步提升我國創新主體,尤其是企業的知識產權保護能力和水平,發揮知識產權保護在推動我國經濟高質量發展中的作用,國家知識產權局知識產權保護司組織編制《企業知識產權保護指南》,在調查我國企業知識產權保護現狀和需求的基礎上,整理樹立企業知識產權保護意識、建立企業知識產權保護機制等理論知識,梳理企業進行知識產權風險風控、高效應對糾紛等保護策略,形成幫助我國企業有意識、有方法、高水平開展知識產權保護的行動指南,從意識培養、機制建設、實務操作等方面提升我國企業知識產權保護能力和水平。以下爲《企業知識產權保護指南》第五章和第七章中關於[開源軟件]知識產權保護內容摘編。

使用開源軟件的知識產權風險

開源軟件由於其內在的源代碼公開、組件豐富等屬性,在軟件開發過程中逐漸佔據了重要的位置。《Veracode 2017年軟件安全報告》曾提到“如今一個軟件中平均75%的軟件代碼都來自開源組件”。

在企業日常經營活動中,如果未重視開源軟件合規管理,將面臨以下五方面潛在風險。

1.商業聲譽風險

基於開源許可證的不擔保責任條款,開源組件提供者往往不承擔源代碼帶來的任何責任,因此企業利用開源組件開發商業軟件時,有可能無意中使用了權屬不清的源代碼。一旦事實被炒作,可能會對企業商業聲譽造成影響。

2.許可證違約風險

不同的開源許可證有不同的知識產權保護要求。開發人員容易忽略某些許可證的條款或者很難兼顧多個許可證競合的要求,使得企業面臨違約風險。

3.第三方專利風險

開源軟件是具體的代碼,代碼背後的數據處理邏輯可能涉及獨立第三方在先申請的專利。企業在利用開源軟件開發時可能面臨侵犯第三方專利權的風險。

4.專利申請成本風險

有的開源許可證會限制開源代碼修改過程產出專利,或者約定產出的專利視爲免費提供給開源軟件的所有使用者,因此企業在申請專利時需提前瞭解有關規則並予以統籌考慮,避免增加不必要的專利申請成本。

5.未獲得商標授權風險

有的開源軟件要求必須經過開源軟件商標的認證,甚至要求開發者付費後才能使用。例如,OSI(Open Source Initiative)組織要求經其認證的開源軟件務必在其複製件上附上商標“OSI Certified”;沒經過OSI認證的軟件不能擅自使用該認證商標,否則會面臨侵犯集體商標的訴訟。

對長期開展此類工作的企業的內部管理建議包括:

①明確管理歸口。在研發部門或知識產權部門設立專門的管理崗位統籌企業的開源軟件管理工作,其工作職責包括代碼審覈、制定開源策略、擬定風控機制、內部使用備案。

②制訂許可證使用指引。將開發中可能涉及的許可證進行分級管理,形成《開源許可證使用指引》,明確哪些屬於嚴苛許可證,禁止使用;哪些屬於慎用許可證,應謹慎使用;哪些屬於寬鬆許可證,推薦使用。

③軟件代碼掃描。對於將作爲商業軟件使用的開發項目,應當對軟件源代碼進行掃描,目的是確保軟件產品不包含風險較高許可證的源代碼段。如發現包含高風險源代碼段,應當退回開發人員修改或徵求研發高管意見以確定處理措施。對經過掃描的源代碼,對其開源許可證進行備案。

產品開發涉及的開源軟件是否可免費使用

開源軟件在企業研發活動中得到了越來越多的使用。開源的精神在於使用者可以使用、複製、散佈、研究和改進軟件。目前,諸如Linux、Apache、Eclipse等衆多開源項目已被大衆所知悉,而且由於其節省開發成本、易於實時改進、高質量等優勢在業界被廣泛使用。

但開源並不意味着完全免費,開源軟件仍然會涉及專利、商標、著作權、商業秘密等方面的法律保護。企業如果使用了開源軟件但並未遵守其合規義務的話,可能會面臨以下法律風險:

①鉅額賠償。2003年,美國聖克魯斯(Santa Cruz Operation,SCO)對國際商業機器公司(International Business Machines Corporation,IBM)提起訴訟,控告IBM將其尤尼斯(Unix)操作系統中的某程序代碼移植到林納斯(Linux),要求IBM就不正當競爭、違反合同和侵犯商業秘密等給予10億美元的賠償。

②賠禮道歉。2017年,某企業宣佈將其微服務框架開源。2018年,某人在某開源軟件託管平臺上提到自己開發的代碼被改頭換面做成了一個新的微服務框架。隨後,該微服務框架項目的相關開發人員在平臺進行回覆,並就“照搬”代碼的問題向原作者道歉。

③數據泄露。2018年,某集團旗下酒店開房記錄疑似泄露,並被在黑市進行售賣。這些信息中包含姓名、身份證號碼、手機號,甚至家庭住址。造成該集團數據庫泄露的原因是,其工作人員將公司代碼上傳到某開源軟件託管平臺上時,數據庫配置信息也被同時傳上,黑客利用此信息實施攻擊併成功拖庫。

對產品開發涉及開源軟件的企業,建議建立必要的相關工作機制,包括:

①加強對所涉及的各類開源許可證的解讀和理解。

②根據不同發展階段設置不同的開源軟件管理組織;對中小企業而言,建議設置專職或兼職的開源管理組織或崗位。

③建立源代碼審查機制,對開源軟件進行必要的流程管理。

END

來源:國家知識產權局《企業知識產權保護指南》

本公衆號定期推送知識產權及競爭政策相關的法律政策與政府文件、最新全球行業信息、國外國防產權動態、原創文章與專家觀點、業內高端活動消息、《電子知識產權》(月刊)&《競爭政策研究》(雙月刊)文章節選及重磅全文、專利態勢發佈、中心最新成果發佈及相關新聞報道等諸多內容,歡迎各界人士關注!