CRA專題介紹

“如果萬物互聯，則萬物皆可被攻擊。”2022年9月15日，歐盟委員會的《網絡韌性法案（CRA）》提案應運而生。CRA提案引發了全球開源圈的熱議，特別是今年7月份歐盟議會對Recital 第10條“開源豁免條款”的修正意見，更是激起了多家開源基金會及社區的擔憂甚至是譴責。但直至11月30日，歐盟理事會與歐盟議會就CRA提案達成臨時議定，也未就開源界的建議予以積極反饋。在此，我們開設CRA專題，旨在從不同維度出發共同探討在全球視野下，開源軟件在現行/擬議的網絡安全立法中是否受到調整、如何界定調整邊界以及將造成何種影響等議題。

?

作者：陶冶

國浩律師（南京）事務所律師 南京市律協知識產權法律專業委員會、數字經濟法律專業委員會委員 taoye@grandall.com.cn

摘要

開源項目是否受到《網絡安全法》調整一直備受關注。從《網絡安全法》的基本定位、具體規范，結合歐盟立法例來看，開源項目應當落入《網絡安全法》的調整范圍。開源軟件的直接對外提供者，以及開源代碼倉庫或某一分支的控制者應當承擔網絡安全義務。但承擔義務并不意味著網絡安全問題上的無限責任，其義務仍以《網絡安全法》的明文規定為限。同時，開源項目的普通貢獻者因不構成《網絡安全法》上的提供者，并不在前述義務主體之列。

關鍵詞：網絡安全法，開源，CRA

一、引言

《網絡安全法》是我國網絡空間治理的“基本法”¹ ，其以“保障網絡安全，維護網絡空間主權和國家安全、社會公共利益，保護公民、法人和其他組織的合法權益，促進經濟社會信息化健康發展”為根本立法目的，對在境內建設、運營、維護和使用網絡的主體做出了一系列規范。對于開源開發者來說，最為重要的條款當屬《網絡安全法》第22條第1、2款的規定。

前述2款為“網絡產品的提供者”設定了以下4項義務：第一，網絡產品、服務應當符合相關國家標準的強制性要求；第二，網絡產品、服務的提供者不得設置惡意程序；第三，發現其網絡產品、服務存在安全缺陷、漏洞等風險時，應當立即采取補救措施，按照規定及時告知用戶并向有關主管部門報告；第四，網絡產品、服務的提供者應當為其產品、服務持續提供安全維護；在規定或者當事人約定的期限內，不得終止提供安全維護。

但由于《網絡安全法》基礎性法律的定位，不可避免會出現法律表述上的原則性² ，因此對于開源軟件的開發者是否負有《網絡安全法》上的義務這一問題，仍有模糊之處，有待進一步的澄清。

鑒于網絡安全問題的國際性，以及《網絡安全法》立法時主要制度與國外通行做法保持一致的基本理念³ ，域外立法例對理解《網絡安全法》的具體制度有著重要的借鑒作用。因此，本文擬結合以《網絡韌性法案（草案）》（Cyber Resilience Act，以下簡稱CRA）為代表的歐盟立法為例，通過比較法的視角對這一問題展開研究。

二、什么是“網絡產品”

《網絡安全法》并未對何為“網絡產品”做出明確規定，但理解“網絡產品”這一概念的定義，對明確“網絡產品的提供者”這一義務主體至關重要。

對于這一概念的爭議主要集中在兩個方面，第一，免費提供的開源軟件，是否構成產品；第二，對于不直接面向用戶的中間件以及系統軟件，是否屬于“網絡產品”。本文圍繞前述兩個問題展開詳述。

（一）“網絡產品”應當包含免費提供的開源軟件

從文意上理解，“產品”二字并不能與“收費”直接掛鉤。根據《產品質量法》第二條第二款的規定：“本法所稱產品是指經過加工、制作，用于銷售的產品”。《產品質量法》該款看似循環定義，其實質為根據《產品質量法》規范的范圍對“產品”概念在該法范圍內進行限縮，即僅限于“用于銷售”的產品。通過該限縮性規定可以看出的一個基本邏輯是，“產品”這一概念本身即包含“用于銷售”和“非用于銷售”兩種。也就是說，除非有明文規定進行限縮，“網絡產品”這一概念不能排除免費提供的開源軟件。

歐盟的網絡安全立法例中，2019年的《歐盟網絡安全法案》（Cybersecurity Act ，REGULATION (EU) 2019/881）中，將ICT產品（ICT Product）定義為：“網絡或信息系統的一個要素或一組要素。”（‘ICT product’ means an element or a group of elements of a network or information system）⁴ ，在對“產品”進行定義時也未區分收費亦或是免費。

在CRA中，雖然目前歐洲議會以及歐盟理事會的提案的措辭略有不同，但大意基本一致，以歐洲議會2023年7月提案為例（本文以下部分除非特別提及，對CRA的引用均以歐洲議會版本為準），其對“帶有數字元素的產品”（product with digital elements）的定義為：“任何軟件或硬件產品以及其遠程數據處理解決方案，包括單獨投入市場的軟件或硬件組件。”（any software or hardware product and its remote data processing solutions, including software or hardware components to be placed on the market separately）⁵ ，僅從該條看來，似乎是對軟件或硬件組件做了特別規定，只有投入市場（be placed on the market separately）方才構成“產品”或被擬制為“產品”，而非組件的軟硬件，無論是否投入市場均構成“產品”。但這樣的單獨限縮并沒有任何立法目的上的支撐，在邏輯上也顯得不甚協調，因此并不能急于得出結論。對CRA文本進一步分析可以發現，CRA第3條第（18）款進一步將“制造者”（manufacturer）定義為：“任何自然人或法人，他們開發或制造帶有數字元素的產品，或者讓其他人設計、開發或制造這類產品，并以其名字或商標將這些產品投放市場，無論是出于收費、商業化還是免費的目的。”（any natural or legal person who develops or manufactures products with digital elements or has products with digital elements designed, developed or manufactured, and markets them under his or her name or trademark, whether for payment, monetisation or free of charge）⁶ ，即同一主體必須同時滿足制造了“帶有數字元素的產品”并且實施了“投放市場”的兩種行為時方才構成CRA中規定的制造者，進而落入CRA的規制范圍。而第3條第（23）款則將“在市場上提供”（making available on the market）定義為：“在商業活動過程中，為了在歐盟市場上的分銷或使用而提供帶有數字元素的產品，無論是作為有償還是免費” ⁷，結合前言（preamble）第（10）款的表述，前述一系列定義的目的在于將非以商業目的免費和開源軟件排除在CRA的規制范圍之外。基于這樣的定義，如若“產品”一詞當然包含“商業化”的前提的話，那么“制造者”定義中的制造“產品”+“投放市場”的表述則將構成循環定義，額外以“投放市場”對“制造者”概念進行限縮也就不再有任何意義，這種解釋顯然與CRA的體系相矛盾。因此，在CRA的語境下，構成“產品”也不以商業化為前提。

至于前文“帶有數字元素的產品”定義中的“單獨上市”，考慮到當前CRA仍未正式頒布，本文認為該定義應理解為“單獨對外提供”，而非強調其在市場上進行的商業化投放。

因此，我國《網絡安全法》中，一方面即沒有像《產品質量法》中一樣對產品一詞直接進行限縮，另一方面也沒有像CRA一樣通過其他方式排除免費軟件。結合“產品”一詞的一般意思，《網絡安全法》中的“網絡產品”應當包含了免費提供的開源軟件。

（二）“網絡產品”應當包含中間件

首先，根據國家標準《信息安全技術 網絡產品和服務安全通用要求》（GB/T 39276—2020）的定義，網絡產品的定義為：“作為網絡組成部分以及實現網絡功能的硬件、軟件或系統,按照一定的規則和程序實現信息的收集、存儲、傳輸、交換和處理。”該定義并未將網絡產品限定為系統軟件和應用軟件。且實踐中大量的網絡安全漏洞就存在于中間件之中（如Log4j2漏洞），從立法目的上也無排除中間件的可能。

從歐盟立法例看，前述《歐盟網絡安全法案》中ICT產品的定義顯然包括中間件。CRA的定義中，則是專門強調了“組件”（components）也屬于CRA的規制范圍。

據此，結合國內標準以及域外立法里的有關定義，《網絡安全法》中的“網絡產品”應當被解釋為：包括免費以及中間件在內的，一切作為網絡組成部分以及實現網絡功能的硬件、軟件或系統。

三、“網絡產品的提供者”的范圍

在《網絡安全法》中網絡產品的定義明確后，還需進一步分析“提供者”的范圍。此處的“提供”行為可分兩種情形討論，第一種情形為某一主體直接對外提供軟件，如對外銷售或以其名義提供副本，這種情況中的提供者下文中統稱為名義提供人。另一種情形則為通過開源平臺對外開放的情形。前者的名義提供人毋庸置疑屬于提供者。但對于后者，每一個如此對外提供的開源軟件都至少涉及一個控制者（控制者可以是個人、組織或社區）和若干貢獻者等多重主體。此時如何界定《網絡安全法》語境下的“提供者”就顯得至關重要。

本文認為，基于“法不強人所難”的基本法理，法律不應超出主體的能力范圍去給某一主體設定義務，即只有可能履行《網絡安全法》賦予的義務的主體方才可能構成《網絡安全法》下的提供者。結合本文開頭提到的四項義務，在通過開源平臺開放軟件的場景下，“提供者”至少應為某分支的控制者，即有權決定是否合并某些代碼進入分支乃至決定是否刪除該分支的主體方才可能構成該分支對應的網絡產品的提供者，而倉庫的控制者因權限更高，也應屬于此處的提供者。但普通的貢獻者因無權決定網絡產品的具體特性、惡意程序的排除和加入以及是否繼續維護等事項，并不會僅僅因其貢獻的軟件系開源軟件而落入“提供者”范疇。

在CRA中，對“制造者”則是提供了更為明確的釋義，將其限于“以其名字或商標將這些產品投放市場”的主體，即投入市場的名義人，這一定義因未包含了未采取任何商業行為的分支或者倉庫控制者，其范圍相較《網絡安全法》更窄。

據此，我國《網絡安全法》中的網絡產品提供者即應當包括直接對外提供網絡產品的名義人，也包括開源社區中某一具體分支的控制者或整個倉庫的控制者。

四、結論

如前所述，無論是免費的開源項目亦或是收費軟件，也無論其是應用軟件、操作系統亦或是中間件，均落入了《網絡安全法》的規制范圍，而此類軟件名義提供者，或是開源平臺上某倉庫或分支的控制者則需履行《網絡安全法》上的有關義務。

但這不意味著無限的義務，也并不意味著會對開源生態造成毀滅性的打擊。正如本文開篇所列明的產品提供者的四項義務，其中有強制性標準的貫標義務，有得知漏洞后的報告和采取措施的義務也有提供維護服務的義務，各項義務均有明確的范圍以及期限，包括開源領域中常見的“AS IS”條款也有通過《網絡安全法》第22條第2款后段進入公法領域的可能，本文限于篇幅無法一一展開。

對于開源參與者來說，了解和遵守《網絡安全法》規定的義務邊界至關重要，這不僅有助于他們更好地維護網絡空間的安全和秩序，同時也能更有信心和明確性地參與到開源生態的建設和發展中。

¹參見中國網信網：《<網絡安全法>的立法定位、立法框架和制度設計》, http://www.cac.gov.cn/2016-11/07/c_1119866606.htm,最后訪問時間：2023年11月19日。

²前引1。

³參見全國人大常委會法制工作委員會副主任 郎勝：《關于《中華人民共和國網絡安全法（草案）》的說明》，2015年6月24日。

⁴REGULATION (EU) 2019/881, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32019R0881&qid=1700381003823，last visited: 19 November 2023.

⁵AMENDMENTS BY THE EUROPEAN PARLIAMENT to the Commission proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/1020 and Directive 2020/1828/EC (Cyber Resilience Act)，https://www.europarl.europa.eu/doceo/document/A-9-2023-0253_EN.html, last visited: 19 November 2023.

⁶前引5

⁷前引5

免責聲明：

本文僅僅是從個人角度出發，對法律做的一般性研究，僅代表個人意見，請讀者審慎閱讀并自行甄別, 作者不就讀者對任何依據本文采取的任何作為或不作為承擔責任。本文不代表開放原子開源基金會觀點。

更多解讀

《開源態勢洞察》全新改版，首期正式發布！ CRA專題｜面對法律，開源應負什么安全責任

點擊文末“閱讀原文”

訪問AtomGit

下載《開源態勢洞察》電子版

閱讀原文，下載閱讀和一起洞察～