Linux 基金會(huì)宣布：公開(kāi)發(fā)布給全世界的開(kāi)源技術(shù)不受美國(guó)《出口管制條例》約束

Linux 基金會(huì)近期發(fā)布了一份有關(guān)開(kāi)源社區(qū)注意事項(xiàng)的白皮書(shū)《了解開(kāi)源科技和美國(guó)出口管制》，并發(fā)文概述了開(kāi)源社區(qū)應(yīng)該了解并遵循的與美國(guó)出口管制要求和開(kāi)源加密相關(guān)的一般性原則。

EAR(Export Administration Regulations，出口管理?xiàng)l例)是美國(guó)聯(lián)邦政府限制出口的主要條例，由美國(guó)商務(wù)部下的產(chǎn)業(yè)與安全局(Bureau of Industry and Security，BIS)發(fā)布并定期修訂。EAR 適用于所有受《出口管制條例》管制的物品，并可管制這些物品的出口、再出口與轉(zhuǎn)讓。

EAR 下 “出口”的定義較為寬泛。出口不僅包括從美國(guó)境內(nèi)向境外輸送實(shí)物產(chǎn)品，還包括其它行為，例如向在美國(guó)居住的非美國(guó)公民或非美國(guó)合法永久居民傳送技術(shù)，以及向美國(guó)境外人員提供用于電子傳輸?shù)能浖?/p>

而如果開(kāi)源技術(shù)是公開(kāi)的，不受進(jìn)一步傳播的限制的，那么它是 “已發(fā)布的”，因此不受制于 EAR。具體來(lái)說(shuō)，EAR 明確豁免了大多數(shù)以開(kāi)源形式呈現(xiàn)的軟件和技術(shù)。有一些事項(xiàng)被明確列為不受制于 EAR，意味著它們被置于 EAR 法規(guī)管轄外并不受這些法規(guī)的約束。

EAR 第 734.3(b)條規(guī)定了一些事項(xiàng)不受制于 EAR，“如第 734.7 條所述的，(i)已經(jīng)發(fā)布的信息及‘軟件’”，該部分規(guī)定 “已發(fā)布”的事項(xiàng)不受到 EAR 的管轄。具體來(lái)說(shuō)，其規(guī)定 “當(dāng)可被公眾獲取且無(wú)進(jìn)一步傳播限制時(shí)，未被歸類(lèi)為密級(jí)事項(xiàng)的‘技術(shù)’或‘軟件’屬于‘已發(fā)布’，因此不屬于受 EAR 管轄的‘技術(shù)’或‘軟件’”。

所以 “已發(fā)布”(published)是關(guān)鍵要素，如果開(kāi)源技術(shù)不受進(jìn)一步傳播的限制且可被公開(kāi)獲取，那么它將被視為 “已發(fā)布”了的開(kāi)源事項(xiàng)，并將因此不受制于 EAR，亦即 “open source technologies that are published and made publicly available to the world are not subject to the EAR(公開(kāi)發(fā)布給全世界的開(kāi)源技術(shù)不受 EAR 約束)”。

Linux 基金會(huì)表示：來(lái)自 Linux 基金會(huì)以及與我們合作的項(xiàng)目社區(qū)的開(kāi)源軟件均滿(mǎn)足 EAR 第 734.7 條中 “已發(fā)布”的要求。同時(shí)還列舉了部分典型情況：

• 已公開(kāi)發(fā)布的開(kāi)源軟件不受制于 EAR
• 已公開(kāi)發(fā)布的開(kāi)源規(guī)格不受制于 EAR
• 已公開(kāi)發(fā)布的，說(shuō)明硬件設(shè)計(jì)的開(kāi)源文檔不受制于 EAR
• 已公開(kāi)發(fā)布的開(kāi)源軟件二進(jìn)制不受制于 EAR

不過(guò)在項(xiàng)目涉及加密技術(shù)時(shí)，則需要考慮更多：

• “加密軟件”的定義非常廣泛，并可能包括僅激活或創(chuàng)設(shè)其它軟硬件產(chǎn)品的加密功能的軟件。對(duì)于具備標(biāo)準(zhǔn)加密功能的軟件，包括在軟件設(shè)計(jì)文檔中呈現(xiàn)的加密硬件。
• 首先要確認(rèn)的是：該加密軟件是否在 EAR 的管轄范圍內(nèi)。
• 屬于 ECCN 5D002 的加密源代碼如符合以下兩個(gè)條件，則不在 EAR 的管轄范圍內(nèi)：

· 該源代碼是 “可公開(kāi)獲取”(publicly available)的：指的是在 EAR 定義的 “已發(fā)布”(published)，包括通過(guò)在公開(kāi)的網(wǎng)頁(yè)上進(jìn)行發(fā)表(即公開(kāi)傳播)。如果項(xiàng)目的源代碼可在互聯(lián)網(wǎng)上公開(kāi)獲取，則應(yīng)被視為 “可公開(kāi)獲取”。

· 已向 EAR 第 742.15(b)條所載的電子郵箱地址發(fā)送了電子郵件以示通知：需要向兩個(gè)指定的郵箱地址發(fā)送郵件：一個(gè)是 BIS 的郵箱地址，另外一個(gè)是國(guó)家安全局(National Security Agency，NSA)的郵箱地址。郵件內(nèi)容需要包括可公開(kāi)獲取的源代碼的 URL 地址(或源代碼本身)。如 URL 或源代碼發(fā)生任何變更，則需要再次以郵件形式通知上述郵箱地址。

在通過(guò)了上述兩項(xiàng)衡量標(biāo)準(zhǔn)后，相應(yīng)的代碼也將不受 EAR 管轄。

Linux 基金會(huì)表示其所有項(xiàng)目源代碼，包括加密軟件，均可公開(kāi)獲取，也已經(jīng)提供了所要求的電子郵件通知，并在官網(wǎng)上公開(kāi)了電子郵件通知的內(nèi)容。“所以，Linux 基金會(huì)的項(xiàng)目源代碼及對(duì)應(yīng)的目標(biāo)代碼均不受 EAR 關(guān)于加密的限制”。

需要注意的是，上述情況只適用于開(kāi)源項(xiàng)目本身，修改項(xiàng)目代碼或其衍生產(chǎn)品的下游再分銷(xiāo)商在源碼并未公開(kāi)時(shí)，仍然需要評(píng)估其是否符合 EAR 的規(guī)定。

Linux 基金會(huì)的文章中還對(duì) BIS 于 2020 年 1 月 6 日宣布的一項(xiàng)新的關(guān)于 “訓(xùn)練深度卷識(shí)神經(jīng)網(wǎng)絡(luò)自動(dòng)分析地理空間圖像和點(diǎn)云(point cloud)能力的特殊地理空間圖像軟件的管控權(quán)”的 EAR 規(guī)定進(jìn)行了解讀。

本文僅為幫助國(guó)內(nèi)開(kāi)發(fā)者理解對(duì) Linux 基金會(huì)的原文作了簡(jiǎn)單介紹，不構(gòu)成任何法律意見(jiàn)，詳細(xì)情況請(qǐng)查看原博文：https://www.linuxfoundation.org/blog/2020/07/understanding-us-export-controls-with-open-source-projects