搜索
目录(不再重复演讲预告中的问题清单了)1.企业开源软件和合规管理的背景讨论2.软件企业运用开源软件的常见问题3.软件企业形成开源侵权的主要内容和策略4.企业开源软件的合规管理及律所合作之路5.归纳和总结21.企业开源软件和合规管理的背景讨论开源软件引发的法律问题及企业合规管理是一个复杂的话题,但是背景主要有两个要素构成,即开源软件和合规管理,分别反映问题主体和解决之道,所以在背景说明时,我们主要以这两条主线进行。1.1开源软件综述1.2合规发展综述31.1开源软件综述1.1.1开源的简单定义1.1.2开源的经典定义(界定)1.1.3开源定义(界定)下的各种协议1.1.4单个开源软件整体结构图分析1.1.5开源软件法律侵权问题分析图1.1.6开源软件侵权的主要后果(损失)1.1.7涉及开源软件的经典案例1.1.8开源软件的发展趋势和地位41.企业开源软件和合规管理的背景讨论1.1开源软件综述1.1.1开源软件的简单定义开源软件也称开放源代码软件(OpenSource),它是源代码可以被公众使用的软件,并且此软件在相对宽松的许可证限制下,可以进行修改和分发。开源软件的定义描述也有很多版本,最著名的还是开源软件的经典定义,它本质上是开源软件的界定。具体如下:51.企业开源软件和合规管理的背景讨论(略)1.1开源软件综述1.1.2开源的经典定义(界定)开源软件倡议组织对开源软件的界定标准(十大点解释):1.任何人有权自由再发布这样的软件,一般并不收取费用。2.程序发布必须包含源代码,且源代码必须是清晰和易修改的。3.许可证必须允许对源代码进行修改,并可形成衍生作品。4.必须保证作者源代码的完整性,可用补丁文件和版本号对修改内容加以区分。5.开源软件不得歧视任何个人或团体。61.企业开源软件和合规管理的背景讨论(略)1.1开源软件综述1.1.2开源的经典定义(界定)6.开源软件不得歧视任何应用领域,例如,无论是商业还是科研。7.许可证条款的发布须适用于当前和再分发的对象,没有额外的附加许可。8.许可证条款不能具体列产品,适用于软件整体的条款也适用于该软件的一部分。9.在其它软件和开源软件混合发布时,许可证不能限制其它软件。10.许可证必须保持技术中立,不能建立在个别技术或接口风格基础上。其中,下划线上的内容一般表示本条标准的“标题”。有了这些定义(界定)开源组织就可以认证开源软件了。71.企业开源软件和合规管理的背景讨论(略)1.1开源软件综述1.1.3开源定义(界定)下的各种协议(许可证)开源软件在上述定义(界定)基础上,产生了很多种类的许可证,典型的代表性许可证特点如下:1.GPL许可证(GNUGeneralPublieLicense,通用公共许可证):GPL许可证要求使用其再发布的软件,必须以相同方式回馈开源社区,也称其为Copyleft,由于这种所谓的“传染性”条款,侵权的可能性很大。2.LGPL许可证(LesserGeneralPublicLicense,宽通用公共许可证):LGPL是放宽了约束的GPL协议,商业软件只要以类库方式引用开源GPL协议的软件,则不用再发布回馈开源社区的“传染性”条款,但对类库中的开源软件修改仍要遵守GPL协议,由此看出侵权的关键在于开源与商业软件的关系。3.BSD许可证(BerkeleySoftworeDistributionLicense,伯克利软件发布许可证):BSD许可证的特点是,只保留著作权声明,并加入免责声明,即可任意使用和修改,是最宽容的许可证条款,也是侵权程度最小、商业软件最喜欢的许可证条款。4.由于许可证的类型很多,我们只是大体上分成三个类型,如下图:81.企业开源软件和合规管理的背景讨论(略)我们也可以把开源协议分成如下类型1.1开源软件综述1.1.3开源定义(界定)下的各种协议(许可证)9开源软件具体协议和类型关系图其中,GPL、LGPL和BSD也是三种类型协议的代表。1.企业开源软件和合规管理的背景讨论(略)归纳:1.开源软件的侵权反映在许可证约束的范围内,有类似传统知识产权的法律约束,根据许可证条款可以分为宽容型、弱限制型和强限制型,从发展的趋势看,宽容型正变得更加流行和重要。2.开源软件的侵权也会来源于它所依赖的环境软件,环境软件的知识产权会不同程度影响开源软件本身的知识产权。3.开源软件的侵权更主要是,讨论它与其相联系的商业软件的关系描述上,这也是因为商业软件与开源软件经常的混合使用,这种混合运用也是目前软件发展的重要方向。1.1开源软件综述1.1.3开源定义(界定)下的各种协议(许可证)101.企业开源软件和合规管理的背景讨论1.1开源软件综述1.1.4单个开源软件整体结构图分析1.单个开源软件在被商业软件混合应用前是独立的,但是它往往依赖一个环境层软件。2.开源软件本身可以分成两大部分,即开源软件通用部分、开源脚本和功能层部分,如上图。3.开源通用部分是公共基础,而开源脚本和功能部分是对外接口,是与其他软件衔接的部分,也是我们讨论侵权问题的关键部分。11开源脚本和功能层开源软件通用部分环境层功能开源软件整体具体一个开源软件结构说明图1.企业开源软件和合规管理的背景讨论(略)开源脚本和功能层开源软件通用部分环境层1.1开源软件综述1.1.5开源软件法律侵权问题分析图开源软件整体商业软件/附属设备1.开源的侵权问题从下面看是对环境层的侵权,因为环境层可能很复杂,包含其它有知识产权要求的软件,如:专利软件、商业软件、其它开源软件等。2.对图中间的本开源软件部分,可能的侵权是,直接采用本开源软件,但是没有按本开源软件协议进行约束。3.最上层,商业软件在与本开源软件混合使用时,没有遵守相应的本开源软件的许可证协议表述的方法,侵犯了开源软件作者的权利。附属设备也可看成是一个与开源软件密切相关的设备,如手机等。4.上述三个层次的软件,其实现的功能和使用的算法可能被他人申请了专利,也会出现软件方法或者功能侵犯专利权的情形。12开源软件与商业软件关系图1.企业开源软件和合规管理的背景讨论1.1开源软件综述1.1.6开源软件侵权的主要后果(损失)商业信誉(含担保)和名誉损失。停止使用相关开源软件及混合软件造成的停业损失。投入诉讼和仲裁的直接/间接成本及赔偿原告经济损失。由于侵权停止使用本开源软件,而寻找替代产品并重建系统的时间和经济成本。由于侵权而造成整体软件服务和集成合同引发的各种承诺造成的损失。131.企业开源软件和合规管理的背景讨论1.1开源软件综述1.1.7涉及开源软件的经典案例(一)2003年3月,SCO公司诉IBM公司(它成为世界科技诉讼十大经典案例)。起因:SCO公司诉称:IBM公司将SCO拥有知识产权(IP)的Unix软件的一些组件用在了开源的Linux中。诉讼标的从最初的10亿美金上升至30亿美金。诉讼引发了媒体的空前报导,SCO的CEO迈克布瑞德成为了新闻人物。诉讼引发了群体诉讼和反诉,也引发了开源软件的法律地位之争,导致了软件及相关企业对开源软件合规的高度重视。诉讼在2013年以IBM初步获胜告一段落。141.企业开源软件和合规管理的背景讨论151.企业开源软件和合规管理的背景讨论1.1开源软件综述1.1.7涉及开源软件的经典案例(一)微软公司风投公司SCO公司媒体中立体诉讼阵营形势图盟友对手Novell公司IBM公司最终用户红帽公司法院开源社区部分小型机公司1.1开源软件综述1.1.7涉及开源软件的经典案例(二)2007年Oracle收购了SUN公司,它延续了SUN公司和Google公司的关于Java语言相关的知识产权(IP)之争,在此之前,Google计划从SUN公司购买全部知识产权(IP),价格在1-5亿美元。Oracle诉讼从2010年8月开始。起因:Google在开源Android操作系统中侵权了Oracle的专利和著作权,其关键是软件开发者提供API(应用程序接口)是否受版权法保护。诉讼标的10亿美金。其中涉及大量开源相关内容,本文后面会介绍,主要是SUN公司开源时的知识产权IP授权、及衍生物所属权力,GPL协议要求等。161.企业开源软件和合规管理的背景讨论1.1开源软件综述1.1.7涉及开源软件的经典案例(二)2012年旧金山地方法院判决Google胜诉,称这种情况不受版权法保护。类似侵权案例:2011年Oracle针对SAP的刑事诉讼获胜,标的从13亿美元锁定为2.7亿美元,此事严重警告国际化的软件企业。Oracle的关键证据就9行代码,都是Bloch写的,他2004年加入Google,仍为SUN公司控制的OpenJDK贡献代码,他2012年离开了Google。2014年美国上诉法院判决对Oracle有利,称受版权法保护,诉讼再次引发媒体的报导,引发开源软件衍生物的知识产权(IP)关注,引发Java软件运用的IP风险关注,使软件企业及相关企业对合规管理高度关注。171.企业开源软件和合规管理的背景讨论1.1开源软件综述1.1.8开源软件的发展趋势和地位开源软件正在成为软件发展的主要方向和重要基础,开源软件有替代全部系统软件的趋势,开源软件也在成为应用软件开发的最重要的第三方支撑软件,也是当前“互联网+”的主要技术支撑。开源软件开辟了新的软件商业模式,由于开源软件的低成本获取方式及普及,使整个软件行业从高额的版权产品型态,转向专业化的服务型态,在这个转型过程中,开源软件及其商业模式起到了决定性的作用。软件产业从来就是整个信息化产业的灵魂和核心,它是关系着国家经济、科技和安全的战略性产业。开源软件兴起是我国软件业崛起的重要契机。由于开源软件引发的法律问题越来越多,它正成为新的软件行业关注的热点,它也引领着新的软件专业化服务和管理的方向。181.企业开源软件和合规管理的背景讨论1.2合规发展综述1.2.1合规的简单定义1.2.2合规的发展要点说明1.2.3用户企业的组织及与软件开发企业的关系1.2.4合规发展的趋势总结191.企业开源软件和合规管理的背景讨论1.2合规发展综述1.2.1合规的简单定义合规(Compliance)一般是指企业遵守法律、法规,监管规则或标准的管理行为。合规管理是从巴塞尔银行监管委员会最初从金融业推行而来的,并以金融业标准的形式发展,目前已扩展至金融行业之外的各类服务行业和制造行业。在生产制造行业,相似的内容反映在食品和药品的监管过程中。合规管理除了在金融服务行业以外的行业应用外,在具体企业内部风险管理过程中,也包括本企业内部的各种管理约定和要求。从而形成了企业内部管理的一体化管理体系。目前的合规管理的内容正从“以财务审计”(内控)为中心,转向兼顾“以法务检查”(风控)为中心的双中心管理。法务机构的作用日渐明显。201.企业开源软件和合规管理的背景讨论(略)1.2合规发展综述1.2.2合规发展要点说明合规风险监控内容归纳违法——违反法律、行政管理规定违规——违反行业监管规定、规则,行业协会组织准则和规定违纪——违反企业内部的制度和规定合规管理风险重点转移方向从简单的操作风险向企业流程管理和人员意识培养转移从以财务部门驱动向以法务部门驱动方式转移从单一职能部门牵头向各部门协同机制转移从各部门独立管理向企业内各部门协同化、一体化管理转移211.企业开源软件和合规管理的背景讨论(略)1.2合规发展综述1.2.2合规发展要点说明合规风险管理机制建设要点。建立企业全面的合规风险管理制度、流程、意识和文化。完善和集成企业内已有的、分散的管理制度,并进行跨部门的流程梳理……以法务部驱动的、各部门协同的,针对各种违法、违规、违纪的内容,形成一套可操作的管理协同机制……在已建立的合规风险管理体系框架上,确定各流程点上的任务和内容,进行相应的评估、决策处理和改进……221.企业开源软件和合规管理的背景讨论(略)1.2合规发展综述1.2.3用户企业的组织及与软件开发企业的关系合规管理要区分定义两类企业:软件开发企业:提供软件产品和服务的企业。如: