安卓遭禁風波未平，Apache許可證分發的軟件也將受美國出口管制？專家解讀：無需恐慌，但要警醒了！

開源軟件也要遭禁？專家：無需恐慌。

昨日，安卓遭禁的新聞引發軒然大波。隨后，開源中國在其博客中指出：Apache 許可證分發的軟件也受美國出口管制。

此消息一出，眾多網友呼吁程序員們：請盡快將代碼在國內備份！

Apache 軟件基金會這個全球最大的開源軟件基金會官網上有這樣的內容：

這段話的大概意思是除非經美國政府正式授權，否則 ASF 軟件或技術不得直接或間接出口或再出口到受美國禁運或貿易制裁的任何地方。

除此之外，GitHub 這個全球最大的開源代碼托管平臺官網上也赫然寫著：

GitHub.com、GitHub Enterprise Server 以及您上傳到任一產品的信息可能受美國出口管制法律的約束，包括美國出口管理條例（EAR）。

該條款指出，GitHub Enterprise Server 不得出售、出口或再出口到清單中的國家，清單目前已經包含古巴、伊朗、朝鮮、蘇丹與敘利亞，并且隨時可能會發生變化。

細思極恐，開源軟件何去何從

除了GitHub之外，知名公眾號博主魏永明指出還有一個至關重要的開源軟件也值得關注 ：Linux 內核。Linux 內核是由來自世界各地的開發者一同協作完成的，知識產權所有者遍布全球。然而，Linux 基金會是在美國注冊的，且 Linux 內核的分發服務器（www.kernel.org）、git 倉庫服務器也都在美國的，所以美國如果說 Linux 內核也受美國的出口法律法規管轄，我們也無法反駁。

其實還遠不止這些！

人工智能領域的同學應該對當前最火的開源框架TensorFlow并不陌生，但余凱（原百度研究院副院長、深度學習實驗室主任）早前就曾在朋友圈發表呼吁大家用 caffe、mxnet 等框架，避免使用 TensorFlow。

他表示：“任TensorFlow成為世界上占統治地位的人工智能開發平臺對世界是危險的。盡管這個平臺目前是開源的，但是隨著時間的推移，人工智能變得越來越強大，這個系統會變得極端復雜到失去透明性，而且會很可怕的變成全世界數據，計算，硬件，編譯器等的標準制定者。這樣會導致一個不健康的生態，阻礙年輕人掌握技術的自由，讓個人，公司甚至國家在人工智能領域的自主發展，最終被一家商業公司所控制。這不是危言聳聽。可惜現在絕大部分人都還意識不到這點。“

此言論一出就曾引發眾多網友討論。

現在看來，確實不無道理。

開源軟件不涉及加解密技術，就不會被管制？

根據林誠夏先生（***開放文化基金會法制顧問，開源社法律咨詢委員會成員）的分析與說明，“開源軟件，只要不涉加解密技術，不會被美國 EAR( Export Administration Regulation , EAR )管制，但涉及加解密者則會被管制。“

以下為詳細說明：

依美國 EAR (Export Administration Regulation, EAR)，美國人、美國公司將軟件出口至美國境外，或在美國境內提供給外國人作為出口的預備行為，必須申請取得許可。

但符合「公開可及(Publicly available)」定義的軟件，不在 EAR 管制范圍，亦即不需要申請許可；也就是說，多數的開源軟件，皆為公開可及并能后續散布，符合這條但書，出口上不需要申請許可。（EAR 734.7 (a)）

但 EAR 734.7 (b) 同時說明，公開可及軟件雖不需許可，但若涉及加解密技術，仍然必須申請許可。

除非是這個加解密技術，除了代碼本身公開可及外，其加密方式原則上也是公開可及的，那就可以再主張它在 ECCN 5D002 的列表里，可以采 EAR 742.15(b) 款提供源代碼或揭露源代碼來源的方式，來登錄備查。

或是更簡要的說，在美國：

軟件出口必須申請許可。

除非該軟件是公開可及的，那就不需要申請許可。

但公開可及的軟件，若涉及信息加密技術仍然要申請許可。

除非該公開可及的軟件，除了代碼公開可及外，連加密技術本身也公開可及，那就再進入例外不需要申請許可。

雖然不需要申請許可，但這樣的代碼公開可及、加密技術公開可及的軟件仍然要向美國 BIS 匯報備查，并提供相關訊息供其事前事后查驗。

像Red Hat及Mozilla是有定期提供備查清單出來給美國政府的。亦即有列備查清單者的，原則不能被管制出口。

注：Part 734 章節里的 734.7 對于何謂「公開可及(§ 734.7 PUBLISHED )做了定義說明及例示，簡要來說：「技術或軟件已經是被一般公眾可以接觸，并不限及其后續散布者( when it has been made available to the public without restrictions upon its further dissemination ）。

概念辨析

Apache License 與 Apache 基金會項目

有很多開源軟件，都會選擇使用 Apache License 2.0，但是這并不代表這個開源項目已經屬于 Apache 基金會，只有當項目被明確的捐贈給 Apache 基金會，才是屬于 Apache 基金會的項目，受到美國法律的監管。但是，只要這個項目不涉及加密，同樣不在 EAR 管制范圍。

開源軟件不等于美國的軟件

有很多人擔心，美國一聲令下，會禁止所有的開源軟件被中國使用。這樣的擔憂是不必要的。有太多的自由軟件/開源軟件，不屬于任何一個公司，也不屬于任何一家開源基金會，或者屬于美國之外的組織，這些都是美國管不到的地方。

Github.com，Github 上托管的開源項目，與 Github 企業版

針對開源中國上述的文章，我們擔心存在一些混淆。Github 是一家美國公司，當然受美國法律的約束。Github.com 上托管的項目，卻未必受美國法律的約束。Github 企業版是 Github 公司的一個產品，而且是一個閉源的產品，這個產品不屬于「公開可及( Publicly available )」的范圍，因此會受到 EAR 管制。確實可能存在無法出口的問題。但是，這個產品，大多數情況下是企業采購之后，在本公司內部部署并使用的產品，對于開源社區，幾乎沒有任何影響。

因此，我們認為除了 EAR 限制的加密技術之外，由于開源軟件在網絡公開下載傳播的屬性，ASF 軟件基金會或是其他開源軟件項目不會也很難被美國政府限制出口。您的看法如何呢？歡迎評論！

專家解讀：不必過度恐慌

開源項目是否受美國出口管制？是否有可能全線“閉源“？知名科技博主@包云崗 進行了相關調查，并在微博上發表了調查結論，以下內容援引自其博文：

針對開源的幾個基本要素：開源基金會、開源協議、開源項目、開源代碼托管平臺。我們對12個知名開源基金會、6個常用的開源協議、3個代碼托管平臺進行了調研與分析，得出以下初步結論：

1、開源基金會管理開源項目，但基金會的管理辦法差異較大，而基金會旗下的開源項目也可以選擇不同管理辦法。例如：

Linux基金會自身的管理辦法不受美國出口管制，所以旗下的項目包括Linux Kernel等默認遵循該管理辦法，但虛擬化項目Xen明確說明遵循美國出口管制，就屬于Linux基金會中的特例；

Apache基金會的管理辦法明確說明遵循美國出口管制，所以它旗下所有項目如Hadoop、Spark都將受到出口管制。

Mozilla基金會明確聲明遵守加州法律，出現各類糾紛將必須到Santa Clara的法庭裁決。

2、目前調研的開源許可協議族（GPL、LGPL、BSD、MIT、Mozilla、Apache 2.0）均未涉及與政府出口管制無關的聲明。

3、目前調研的3個代碼托管平臺GitHub、SourceForge、Google Code均明確聲明遵守美國出口管制條例，并按加州法律解決糾紛。

4、小結：

* 合理的開源基金會管理辦法可以規避美國出口管制

* 開源協議與出口管制無關

*代碼托管平臺是開源的最大風險

5、關于RISC-V

RISC-V基金會隸屬于Linux基金會，沒有特別聲明受美國出口管制，因此RISC-V基金會擁有的RISC-V開放指令集標準并不會受美國出口管制。這一點上周和RISC-V基金會的現任CEO專門進行了討論并得到確認。后續我們也會再進一步確認。

開源自立迫在眉睫

這次華為事件促使我們思考：當我們日常所使用的編程語言、操作系統、開發框架與工具、服務，被注入了國家政府或是商業集團的意志時，究竟該怎么辦？

科技自立、開源自立是唯一的出路。

科技行業在政治和商業的壓力下，也早已不是曾經的“烏托邦”。

近年來，高通收購案、Facebook“數據門”、去年的中興事件、今年的華為事件，都可以看到，科技界并不是完全自由開放的，背后也同樣有各個國家政府或是商業集團的意志。

這給國內的廣大用戶、廠商敲響了警鐘：基礎軟件不能過分依賴開源，需要自主研發，開源自立已迫在眉睫！

正如包云崗在文中所說，“我們應盡快建立已有托管平臺在美國以外的鏡像平臺，長遠來看，中國必須建立起自己的開源項目托管平臺，并以更開放的方式吸引全世界的開源愛好者。”