論開源社區合規與知識產權保護

文 / 朱慶 李慧騰

一、引言：開源社區合規在中國

開源是開放源代碼的簡稱，融產品形態和協同機制為一體，其核心是許可方提供源代碼并允許用戶制作衍生作品，以實現自由訪問、使用和修改軟件。開放源碼軟件直接助力開源社區的形成：許可證授予的權利允許通過互聯網（特別是從Sourceforge或GoogleCode等存儲庫）密集和大規模地傳播自由和開放源碼軟件，并鼓勵圍繞開源社區建設項目。開源社區又稱“開放源代碼社區”，既是根據相應的許可證協議，由地緣空間分散但擁有共同興趣愛好的開發者，協商共同開發、維護、增強軟件等知識創造與傳播的網絡平臺，同時又是成員學習交流和共治的網絡組織。1參見齊佳音、張國鋒、王偉：《開源數字經濟的創新邏輯：大數據合作資產視角》，載《北京交通大學學報(社會科學版)》2021年第3期，第37-49頁。我國的開源社區已從初期爬坡過渡到快速上升期。正如國外學者所言：如果不注重合作社區的建設，自由和開源項目可能會成為“孤兒”。

從廣義上講，開源合規為開源知識產權的合規，涵蓋著作權、專利、商標和商業秘密多方面。從狹義上講，則指對于開源許可證的遵守，具體而言是對開源許可證中所附義務之遵守。該類義務往往隨軟件的對外交付和服務而引起，可以分為兩類：一是向軟件提供者列明軟件所使用的開源組件，包含各組件的版權和許可證信息（常見的形式為：在APP端“關于”部分列明；或是提供開源組件清單供用戶參考）；二是提供軟件的源碼，包括對源碼所做的修改、控制建構的腳本等。囿于常見的開源許可證文本均無法脫離著作權、專利、商標和商業秘密等知識產權范疇，故本文從廣義層面來分析開源社區合規的適用。

近年來，關于建設開源社區與構建相關法律體系已成為國家與社會關注的焦點。2021年國務院頒布《國民經濟和社會發展第十四個五年規劃和2035年遠景目標綱要》《知識產權強國建設綱要》等，明確提出完善開源知識產權和法律體系，鼓勵企業開放軟件源代碼、硬件設施和應用服務；同年由工業和信息化部頒布的《“十四五”軟件和信息技術服務業發展規劃》中也提出到2025年要建設兩到三個具有國際影響力的開源社區。此外，工業和信息化部還下發《關于加快推動區塊鏈技術應用和產業發展的指導意見》，強調要探索建立開源技術公共服務平臺，加強開源技術及應用標準化建設等。基于此，我國已將開源社區的合規建設提升至國家戰略層面。

開源社區合規性管理是開源生態建設的必要一環，需要重視知識產權保護：一是，合規的軟件產品組合易于測試、升級和維護，促進軟件生命周期的發展。二是，確定關鍵多個產品中使用的開源軟件，對企業參與開源具有戰略意義，增加對可用開源解決方案的了解。三是，管理并減少侵權風險，增強研發選擇開源軟件的便利。四是，幫助組織投入某些開源軟件/開源社區的建設，以此發展并完善開源生態。

但同時，開源軟件在分發、使用和再開發過程中的各環節存在“卡脖子風險”：新思科技統計的代碼庫中53%存在許可證沖突，81%的代碼至少包含一個漏洞。2參見新思科技：《開源安全和風險分析報告》(OSSRA) ，2022年版。開源代碼的供應鏈安全風險大，同時治理生態環境差，確權審查不健全，維權機制不完善等，導致相關侵權案例頻發。據美國專利組織Unified Patents統計，2012年到2018年底，美國地區法院共產生了約260個開源項目（平臺）的專利訴訟案例。3參見中國信息通信研究院：《開源生態白皮書》 ，2020年版。中國自2019年也出現數起涉及開源的知識產權訴訟。4如北京數字天堂網絡技術有限公司訴北京柚子科技有限公司侵犯計算機軟件著作權糾紛案，羅盒網絡科技有限公司訴玩友網絡科技有限公司等侵害開源軟件著作權糾紛案。

目前，中國現有的開源社區鮮有提供合規管理服務，大多面臨知識產權注冊不及時、權屬界定不清晰、共享規則不健全以及知識產權侵權等問題。5《全國首個開源社區知識產權管理規則指引發布》，載中國質量新聞網，https://m.cqn.com.cn/zj/content/2021-11/02/content_8748305.htm，最后訪問日期：2021年11月2日。而開源算法的使用需求量大，為了保障公司信譽、避免違法侵權訴訟的發生，互聯網公司極其重視開源算法合規。理論上的探討多停留在開源軟件著作權與專利權、開源許可協議的研究，雖然也有學者關注到了開源軟件開發過程中許可證合規使用的問題，但國內學者對開源社區合規方面的研究存在空白。基于此，筆者擬結合我國開源社區發展的實際情況，對開源社區的合規性管理與知識產權保護進行詳細闡述。

二、開源社區的人文精神及與知識產權之厘析

開源社區最初由虛擬社區衍生而來，是基于Web2.0環境滋生出來的具有黑客6黑客（英文Haker）是指對設計、編程和計算機科學方面具有高度理解的人（來源維基百科）。《辭海》中解釋為：“泛指擅長信息技術尤其是網絡技術且常從事惡意行為的人群。”精神的開源現象，進而孵化出具有典型黑客特征的虛擬社區。開源社區中的群體身份使成員找到共同的原則、目標和價值觀。作為開放式創新社區7開放式創新是指企業通過協調內部和外部創新資源實現技術、產品或服務創新的發展模式，開放式創新社區則是指企業實施開放式創新過程中所應用的平臺。眾包服務平臺、開源社區和企業開放式創新平臺是三種類型的開放式創新社區。參見張克永：《開放式創新社區知識共享研究》，吉林大學2017年博士學位論文。之一，開源社區可分為企業主導型、基金會主導型、政府主導型和非盈利組織主導型。8張克永：《開放式創新社區知識共享研究》，吉林大學2017年博士學位論文。

開源精神與保護軟件作品的法律精神都旨在“鼓勵創作，促進創新，推動軟件文化進步”，但開源的產生和發展表現出對知識產權的依賴性，同時也與知識產權存在沖突之處。

（一）開源社區中的人文精神

1.自由共享

開源運動之父理查德·斯托曼(Richard Stallman)提出，“GNU不是UNIX”，即為了共同利益軟件代碼應該共享，認為所有計算機用戶不僅能自由修改所有軟件以滿足其需求，還能自由共享軟件。他認為，對源代碼采用專有方法進行封閉違反了“黃金法則”。9.Vetter, G.R.The Collaborative Integrity of Open-Source Software.Computer Science.University of Houston Law Center No. 2004-A-11.管理GNU操作系統的自由軟件基金會將“自由軟件”定義為：尊重用戶自由和社區的軟件，這意味著用戶可以自由運行、復制、分發、研究、更改與改進軟件。因此“自由軟件”是一個“自由”問題，而不是價格問題。GNU的目標是給予用戶自由，因此需要分發條款，以防止GNU軟件變成專有軟件。斯托曼為GNU軟件開發了一個許可系統，他稱之為“copyleft”。copyleft的核心思想是允許每個人運行、復制和修改程序，并分發修改后的版本，用戶不得添加自己的限制，同時修改后的版本也必須免費。共享理念是開源軟件區別與其他軟件的核心：思想共享、知識共享、源碼共享。

2.知識協同

開源社區是一個由貢獻者和使用者聯合起來的群體，從最初單一的組成來源，后通過不斷運營吸引各類型、各地域參與者加入，形成多元化社區。10參見中國信息通信研究院：《開源生態白皮書》，2021年版。由于開放源碼軟件的編程者來自世界各地，因此開源社區就成為他們溝通和交流的必要途徑，為成員提供了一個自由交流和學習的空間。新興科技的出現和翻新推動著共享式合作的發展，催生創新并產生知識外溢現象；協同意味著非競爭性，也由此造就了知識的延續。

3.集體生產

當前隨著開源規模的擴大，軟件自行開發的難度越來越大，為避免重復“造輪子”，開發過程中引入開源組件已經成為軟件開發的趨勢和主流解決方案。開發者通常不從頭寫代碼，而是通過各種方式集成開源代碼，主要為：（1）使用整個開源軟件；（2）使用開源軟件的某些文件；（3）使用開源軟件中的某些代碼片段；（4）依賴某些開源軟件；（5）使用以上各種組合。

“禮物文化”影響下，程序員非常重視開源社區中持續存在的理想：知識共享和同行評審。當程序員最初加入開源社區時，其首要動機是學習新技能，而留在該社區的主要原因是分享他們從社區內獲得的知識和技能，發生著由個人需求到致力于集體貢獻的有趣轉變。11.See Maher M . Open Source Software the Success of an Alternative Intellectual Property Incentive Paradigm[J]. fordham intell.prop.media & ent.l.j, 2000.現代發明改變了傳統的公司生產專有或私人經濟模式，生產過程以公開和公開的方式處理被認為是較好的方式，這種“集體生產”現象在開源軟件的開發中尤為突出。但集體生產也帶來財產產權的歸屬問題，美國聯邦巡回上訴法院審理的原告雅各布森訴被告卡茲爾及卡明德聯合公司一案，表明這種“集體開發”“合作創新”的開放性開發模式所引起的現象：集體生產下的產權歸屬成為不容忽視的難題。12.See Justin Pappas Johnson. Open Source Software: Private Provision of a Public Good.11J.ECON.&MGMT.STRATEGY637,637-62(2002).

（二）開源對知識產權的依賴性

版權既約束又解放開源開發，是唯一可以依賴的知識產權法律工具。13.Walsh K, Wallace A, Pavis M , et al. Intellectual Property Rights and Access in Crisis. IIC - International Review of Intellectual Property and Competition Law, 2021(7).開源理念的誕生是為了利用版權來促進軟件代碼共享，以此作為使用作品的條件 。這一問題導致軟件行業的一小部分人用copyleft作為替代方案，其基本思想是用版權來促進受版權保護內容的共享和重用。這一理念以及其他因素導致了 1983 年自由軟件基金會 ( Free Software Foundation，“FSF”) 的成立和通用公共許可證的創建。

軟件作為“非戲劇性文學作品”受版權保護 。著作權法旨在保護作者的獨創性表達，軟件作者的知識產權保護適用同樣的法律邏輯。大多數情況下，具有足夠的獨創性、完成代碼開發的同時，作者便獲得就這些代碼行使署名權、復制權、修改權、發表權等著作權專有權利，這也是專有軟件許可和開源許可證存在的基礎和前提。14參見肖建華、柴芳墨：《論開源軟件的著作權風險及相應對策》，載《河北法學》2017年第6期，第2-11頁。開源許可證和著作權人在附終止條件的前提下，就著作權進行部分讓步。開源軟件仍然基于現有法律框架獲得保護，對知識產權具有依賴性。

（三）開源與知識產權的沖突性

知識產權具有專有性15知識產權只能歸權利人所有，具有獨占性和排他性，即必須經過知識產權權利人的同意，其他人才能獲得使用。、無形性與可復制性16相對于有形財產，知識產權具有無形性。同時，作為無形財產的知識產權，必須經過一定的載體表現出來，具有可復制性，即無法僅通過占有知識產權載體表征權屬。、地域性17知識產權的維護與保護是依照某個國家或地區的法律進行，在特定的法域內獲得保護。、時效性18在法定保護期限內，知識產權受到法律的保護，超過此期限任何人都可以以任何方式使用而不侵權。等特點。加強產權能使已經擁有高度知識資產的個人和組織確保占有未來收益，提高公眾智識文化。若實現受知識產權保護的產品商業化，將涉及大量的專利和版權，使談判、交涉成本提高，許可費用飆升，因此加強產權也會阻礙整個社會發展新知識。因此，當版權保護被運用到極致時，后續創新和再利用就會受到阻礙。這種情況下，一些學者發起了共享協議運動，19如斯托曼倡導的開源軟件、萊斯格發起的創作共用。表達對著作權人權利擴張的不滿：以自由傳播和共享為理念，通過對傳統著作權保護模式的改革，使公眾能夠便捷地使用他人作品，提升社會創新能力。20參見姚鶴徽：《數字網絡時代著作權保護模式研究》，中國人民大學出版社2018年版。這一沖突的典型表現為“公地悲劇”和“搭便車行為”。

1.開源社區中的“公地悲劇”

法律經濟學家將知識視為一種“公共產品”。21經濟學中指出公共產品具有兩大屬性：非排他性和非競爭性。轉引自Mark A.Lemley, 杜穎, 蘭振國：《財產權、知識產權和搭便車》，載《私法》2012年第1期，第123-162頁。與傳統物權不同之處是知識產權具有公共性，開源代碼也是如此。雖然開源代碼的“排他性”不及物權的“排他性”純粹，但這并不否認“排他性”的適用。同時“公共性”淡化了“排他性”的強度。原因在于，公共性資源或資產由于外部經濟效應和搭便車等情況，其產權不容易私有，但若不對知識產品加以版權合理界定，配置法律資源，設計強有力的使用規則，無節制、無成本、開放式地過度利用會造成公地悲劇（tragedy of the commons）。

2022年初，Marak Squires主動刪除了faker.js和colors.js項目倉庫的所有代碼，并故意提交錯誤代碼，導致用戶打開電腦時發現應用程序正在輸出亂碼數據。faker.js周下載量達200多萬，colors.js周下載量更是達2000多萬，開源作者絕望銷庫跑路這一事件對開源社區造成重大影響。開源社區作為一種虛擬空間，開源軟件的公地悲劇不同于有體物，即并不是像羊吃草那樣帶來資源的枯竭與荒蕪，而是在于每個使用者未能承擔相應的個人使用成本，所有成本均為權利人承擔，外部性沒有完全內在化，支出規定投資成本后，若不能獲得任何收益，預期收益的減弱會相應地降低開源作者的投資意愿，影響整個開源社區的生產投資效應。22參見【美】克萊·舍基（Clay Shirky）：《人人時代：無組織的組織力量》，浙江人民出版社2015年版。

2.開源社區中的搭便車行為

搭便車理論最早由奧爾森提出，意即集體行動中的人越多，每個人參與集體行動的可能性就越少。法經濟學中將沒有為“公共產品”出資的人稱為“搭便車者”，因開源社區使用者在遵循許可證的前提下，享有包括但不限于使用、復制、修改、合并、發布、分發、再許可和/或出售軟件副本的權利，并允許向其提供軟件的人這樣做，如此看來公開的代碼在社區中具有了“公共物品屬性”，更容易出現搭便車行為（the free riding）。某種意義上開源就是建立在“搭便車”基礎之上的。然而知識產權

開源軟件因公開、免費、開放性，加劇了開源社區中搭便車行為，為群體內的知識主體提供一種獲取外部知識的途徑，產生知識溢出效應，其實某種程度上不僅不會產生有形損耗，反而可能會擴張社會的知識總量。23參見時元龍：《知識產權領域反壟斷問題研究》，山東大學2013年碩士學位論文。知識產權禁令救濟與“搭便車”規則的邊界是一致的。24參見Mark A.Lemley, 杜穎, 蘭振國：《財產權、知識產權和搭便車》，載《私法》2012年第1期，第123-162頁。按照這一邏輯，若搭便車行為存在合理之處，開源中是否啟動禁令救濟以及如何實現就成為一個問題，也就是知識產權必須要尋求一種平衡而不是找出搭便車者。從傳統功利主義角度看，開源社區的出現嘗試在開發者、創造者控制之下，在知識產權領域尤其是IT行業的競爭規則底線之上創造一種平衡，并不拘泥于單純的法律文本，而是強調法律效果與社會效果的統一，以此符合知識產權實用主義之要求。

開源與知識產權之間的沖突，實質上為開放獲取與強化私有制之間的沖突：一種觀點認為，應當重點加強知識的私人所有權，并制定鼓勵其發展或創造的激勵措施。25代表性著述如：孫海龍等：《知識產權公權化理論的解讀和反思》，載《法律科學》2007年第5期，第76-85頁。另一種觀點認為，應放寬對知識產權獲取的技術和制度限制，以實現更廣泛的公眾獲取，即主張“知識產權的公權化”。26代表性著述如：鄒波：《知識產權公權屬性簡探》，載《河南社會科學》2010年第3期，第77-80頁；馮曉青等：《試論知識產權的私權屬性及其公權化趨向》，載《中國法學》2004年第1期，第63-70頁。但學界基本達成一致的觀點即：基于知識產權的“高危”特性,必然要求公權力的介入，以維護公共利益。27嚴新龍：《知識產權權利屬性再思考——一種對“私權公權化”的反思》，載《科技管理研究》2017年第2期，第151-155頁。可見作為私法的知識產權也兼具一定社會公共利益的承擔。不可否認的是，開源的公開、公知、公用精神與知識產權私權特性仍存在一定沖突，共享理念與知識產權強保護的理念也有沖突。但開源并非放棄知識產權，而是在知識產權的框架下搭建的，對代碼保留所有權，并附許可合同要求使用開源軟件，開源中既涉及作者權利的讓渡（如修改權、復制權），又涉及部分權利的保護（如署名權），那么如何平衡共享與知識產權保護便成為開源不可回避的法律問題。我們需要在保護和自由之間找到適度的平衡，以促進創新。

三、開源社區合規面臨的知識產權風險

開源軟件并非無限制地自由使用，必須在遵守所附許可證的基礎上注重知識產權的保護。28參見王曉冬：《我國開源軟件產業面臨的突出風險及對策研究》，載《信息安全研究》2021年第10期，第973-976頁。開源軟件在著作權、專利權、商標權、商業秘密泄露上面臨的侵權風險較大，概括而言主要為：一方面，開源軟件應用中存在違反開源許可證的知識產權風險。另一方面，開源軟件還可能存在侵權的知識產權風險。這影響了社區用戶對開源軟件的使用，從而影響知識傳播，阻礙知識共享，違背開源的初衷。

（一）提供者角度

1.缺乏全鏈條的完整保護

提供者在提供開源軟件后會遭受各種風險，但目前的市場中對于這些風險缺乏全鏈條式完整保護。開源精神旨在保護每一個參與作者的署名權，同時也保證開源軟件有繼續向下延伸發展和傳遞的可能性。29肖建華、柴芳墨：《論開源軟件的著作權風險及相應對策》，載《河北法學》2017年第6期，第2-11頁。出于對開源軟件提供者精神權利的尊重，在對軟件進行原始發布或者再發布時，大部分的開源許可證均在要求以顯著的方式標注版權人信息，若使用者在對開源軟件進行發布或者再次發布時，未能保留原始版權信息，明確標記出處，則提供者作為著作權人的署名權就會受到侵犯。此外提供者也會存在被違約、被侵權的風險。但針對提供者面臨如此多的風險，目前一個完整的保護機制匱乏，遑論幫助提供者維權。

2.侵權證據難以獲取

難以獲取侵權證據的表現主要有兩方面。一方面，由于開源許可證類型多樣，且部分許可證存在權力邊界不明的適用問題，同時許可證之間也存在交叉適用而產生的不兼容問題，導致權屬界定不清晰、共享規則不健全。另一方面，在開源軟件的使用過程中，一個開源軟件中有眾多開源代碼，所以提供者若被侵權后，提供者難以明確是哪一段代碼被人侵權，并且在互聯網使用的過程中，證據較為分散，不易收集。按照我國《民事訴訟法》的規定，舉證責任分配遵循“誰主張，誰舉證”的基本原則。30《民事訴訟法》第六十七條規定：“當事人對自己提出的主張，有責任提供證據。當事人及其訴訟代理人因客觀原因不能自行收集的證據，或者人民法院認為審理案件需要的證據，人民法院應當調查收集。人民法院應當按照法定程序，全面地、客觀地審查核實證據。”若提供者未能就相應事實負擔舉證，以及在事實不明的情形下，可能會面臨敗訴的風險。

（二）使用者角度

1.權利來源不穩定

第一種情況是未保留原始版權信息，導致來源不穩定。大多數開源許可證均要求在對軟件進行原始發布或者再發布時，以顯著的方式標注版權人信息。若在上游使用者對代碼進行再加工后未能明確標明出處、保留原始版權信息，后續使用者便無法識別該段代碼是否存在權利瑕疵。這將導致下游使用者難以明確該開源軟件的權利來源，可能會出現違反開源許可證的行為，擴大違約或侵權的風險。這種情況下，對于使用者來說，若在來自世界各地提供者們貢獻的代碼中混雜了含有權利來源不穩定的代碼，則會加劇違法風險的可能性。

第二種情況是開源軟件與職務作品權屬不明，導致來源不穩定。當開發時間緊迫、任務要求復雜時，從開源社區直接獲取源代碼使開發進展更為便利。但這樣會導致職務作品流入開源社區中，或者開源社區代碼流入職務作品中，出現開源軟件與職務作品的權屬不明。以GPL 許可證為例，要求演繹作品也必須以 GPL 許可證發布，此時會出現一個兩難困境：程序員若將作品源代碼發布至開源社區，便不當行使了法人的權利；反之若將源代碼閉源處理則違反了開源許可證的規定。若程序員將參與開發的職務作品源代碼貢獻至開源社區，其他用戶使用該源代碼開發出其他開源軟件，從代碼鏈源頭起便缺乏權屬正當性，則面臨侵權風險。31參見駱英宏：《開源軟件著作權保護制度研究》，吉林大學2013年碩士學位論文。

2.許可證沖突不兼容

開源許可證兼容是指不同許可證的開源項目，能在同時不違反所有開源項目許可證的前提下進行合并或者融合，反之則為許可證不兼容。許可證沖突不兼容的風險是使用開源軟件時面臨的常見風險。開源軟件或依賴組件在混合使用時，由于不同的開源軟件或依賴組件具有不同的開源許可證，因此可能有許可證沖突不兼容的情況出現。若在使用或引入開源軟件時，未注意兼容性風險，則可能導致違反相應的開源許可證義務或要求。為解決許可證不兼容這一問題，也可采用一定的方式使其兼容：如LGPL2.1和GPL3.0是不兼容的，但如果兩方的許可證協議中都包含“可以升級到更高版本”的條款，那么LGPL2.1就可以升級到LGPL3.0，LGPL3.0和GPL3.0、AGPL3.0是 兼容的。 這一情況適用的前提是許可證協議本身允許版本的升級。

四、開源社區合規運行下的化解路徑

（一）區塊鏈存證

區塊鏈可以通過哈希算法32哈希算法，又被稱作散列函數，能夠將任意長度的消息m轉化為固定長度的二進制串，其輸出值被稱為哈希值，記作H(m)，可用于驗證數據完整性和防篡改檢驗。作為區塊鏈的核心技術之一，哈希算法被廣泛應用在構建區塊和確認交易的完整性上。資料來源于：《2022年區塊鏈技術在元宇宙中的應用研究系列報告（五）：哈希算法及時間戳》https://www.baogaoting.com/info/142451。和時間戳33時間戳是一份能夠表示某項數據在一個特定時間前就已經存在的，且完整的可驗證的字符序列，其證明力基于哈希函數的數學原理。時間戳可以扮演“公證人”的角色，為區塊鏈上的每一個區塊打上一個時間印記，確保它們依時間順序相連，且無法被篡改。資料來源于：《2022年區塊鏈技術在元宇宙中的應用研究系列報告（五）：哈希算法及時間戳》https://www.baogaoting.com/info/142451。證明某個文件或者數字內容在特定時間的存在，加之其公開、不可篡改、可溯源等特性為司法鑒定、身份證明、產權保護、防偽溯源等提供了解決方案。34張培培：《區塊鏈技術的五大應用場景》，載求是網2019年11月1日，http://www.qstheory.cn/llwx/2019-11/01/c_1125179604.htm。傳統的軟件開發模式盡管可以保證軟件的持續更新迭代，但是無法確定軟件的各種權利歸屬。和區塊鏈相比，Git缺少一個共識算法，它要求用戶自己來達成共識（解決合并時的沖突），這個沖突會導致無法確定到底選取哪次提交連接到主鏈上，從而難以對代碼確權，并且項目的管理者對軟件具有絕對的權利，而忽視了其他軟件貢獻者們的意愿，也不利于軟件的完善和功能的增強。現在以太坊已經能夠托管代碼，而且托管的代碼還可以運行，只是目前只能支持智能合約的代碼托管。

2018年最高人民法院發布《互聯網法院審理案件若干問題的規定》，首次對以區塊鏈技術進行存證的電子數據真實性作出司法解釋，由此區塊鏈存證的法律效力得到確認。35《互聯網法院審理案件若干問題的規定》第十一條第二款規定：“當事人提交的電子數據，通過電子簽名、可信時間戳、哈希值校驗、區塊鏈等證據收集、固定和防篡改的技術手段或者通過電子取證存證平臺認證，能夠證明其真實性的，互聯網法院應當確認。”同時，最高人民法院發布了《人民法院在線訴訟規則》，明確了區塊鏈存證的提交、質證、采信認定等操作規則。利用區塊鏈能夠建立軟件開發記錄的機制：將使用開源軟件的情況記錄在案，以便根據開源許可證確認權利義務。

（二）著作權與專利權：完善權利審查流程

在我國，開源軟件受到《著作權法》《專利法》等法律法規的保護。根據《著作權法》第三條第一款之規定，符合作品構成要件的計算機軟件受到我國著作權法保護。同時，以我國《專利法》第二條（即可專利性主題）和第二十五條（即專利排除條款）規定為基礎，通過規范解釋、學理闡述和時間總結，我國對軟件專利保護實現了從排斥到開放的制度轉變。一方面對于開發者所貢獻的源代碼本身，因其無地域性、集市化的開發特點，使得開源軟件難以履行一定的知識產權的形式要素，而可能缺乏法律保障，從而增添侵權的可能性；另一方面開源社區也有可能因為發布了含有侵權內容的源代碼而本身也間接侵權。36熊瑞萍、萬江平：《開源軟件的突圍之路——關于開源運動的若干思考》，載《科技管理研究》2009年第3期，第252-255頁。因此，在引入開源軟件前審查軟件開發者的權利歸屬至關重要。基于此，開源社區應提供了一個全面、科學的審查體系，以確保平臺內部軟件資源的權屬明確，從源頭斬斷知識產權侵權可能性，從而營造良好的開源社區生態環境。

1.形式審查

（1）專利審查

審查內容：證明專利權真實有效的文件，包括專利證書、權利要求書、說明書和最新專利年費交納憑證。

形式審查：根據我國《專利法》第三十五條之規定，軟件發明專利經過形式審查與實質審查后才予以受理，即指專利局不僅要對申請案的形式要件進行審查，還要對申請案中的發明創造是否符合新穎性、創造性和實用性等實質性要件進行審查。由于專利實質審查內容全面、結果可信，為節省技術資源和提高效率，因此建議開源社區對于軟件發明專利僅作形式審查。

（2）著作權審查

審查內容：計算機軟件著作權登記證書、發明專利證書。

審查方式：建議開源社區對著作權進行實質審查。軟件版權登記作為軟件版權保護的一項輔助機制在世界各國普遍存在，但不同國家對待軟件版權登記的態度不盡相同。在美國，軟件的版權登記被當作提出侵權訴訟或者就某些侵權行為獲取補償的前提條件，但進行軟件版權登記并不是取得版權的前提。在巴西，軟件的版權登記雖然是自愿的行為，但卻是提出有關軟件的任何司法訴訟的先決條件，鑒于該國的金融狀況，巴西甚至將軟件的版權登記作為完成有關財務行為和外匯匯兌的必備條件。就我國而言，根據著作權的自動取得制度以及《計算機軟件保護條例》的規定，版權登記不決定著作權產生與否。37《著作權法》第二條第1款規定：“中國公民、法人或者非法人組織的作品，不論是否發表，依照本法享有著作權。”《計算機軟件保護條例》第五條規定：“中國公民、法人或者其他組織對其所開發的軟件，不論是否發表，依照本條例享有著作權。”但根據《計算機軟件保護條例》第七條之規定，軟件登記機構發放的登記證明文件是登記事項的初步證明。除非有反證，否則以登記證書所載明的事項為準。因此，已登記的軟件版權證書可以作為形式審查的判斷標準。但開源社區平臺判斷提供者是否為真正的著作權人還需要通過實質審查排除反證可能性。

因此總結來說，開源社區將對已經獲得專利授權的發明專利（由于專利法已對其進行實質審查）僅進行形式審查。對于已獲得著作權保護的軟件作品，由于其獲得計算機軟件登記證書時的審查力度較低，因此建議開源平臺對該軟件作品仍需進行實質性審查以排除侵權可能性。

2.實質審查

非全面覆蓋：通過將軟件開發者提供的已享有版權的軟件與國家知識產權局專利庫內的發明專利進行全方位比對，判斷是否侵權。若專利庫中不存在被該軟件全面覆蓋的專利，則實質審查通過，可將該作品收入開源社區平臺中。

全面覆蓋：若版權軟件落入專利庫中專利的保護范圍中，根據登記先后順序由開源社區平臺判斷權利歸屬。（1）著作權登記先于專利權的，則將該作品納入開源社區中。該侵權專利獲得授權可能是專利審查部門在專利新穎性審查過程中出了差錯等原因，但不管何種緣由，在后的專利權人均構成對該提供者的著作權侵權。38開發者可依據《專利法》第四十五條和《專利法實施細則》第六十五條之規定，以不符合專利法第二十二條被授予專利權的發明或者實用新型專利不具有新穎性、創造性和適用性的情況，請求宣告該專利權無效。（2）著作權登記晚于專利權授權的，不予納入開源社區。由于發明專利權的獲取需要形式審查與實質審查，審查流程相較于著作權登記更加嚴格與全面，權利歸屬結果具有更高的信賴利益，因此對于著作權登記晚于專利權獲得的軟件，可推定其不享有相應的著作權。

（三）公共商標許可模式

商標通常為社區提供權威性和凝聚力。如果一個開源社區失去對其名稱或徽標的商標保護，不僅可能會失去消費者的信任，還會失去為項目招募新貢獻者的能力。在開源社區中，貢獻者可以自由共享或重新混合協作項目的代碼或內容，相應地也會期望相同條件下自由使用項目的名稱或商標。但開源許可證往往并不授權使用許可方的商標轉售或重新分發開源軟件。大多數情況下，開源許可證甚至不提及商標（如GPL許可證只涉及依著作權和專利權授予的權利），提及時通常也會明確限制或禁止使用商標的權利。沒有商標許可，使用者便無權在重新分發中使用許可人的商標，便會出現開源項目的衍生產品無權使用與原項目相同的商標。這會產生一個需求矛盾：商標法中的某些原則與開源協作文化產生沖突。

賦予開源社區商標申請權便成為必要。為了注冊目的，商標所有者必須是自然人、法人或其他組織，如公司或協會，但不得是一個未定義的團體。39《中華人民共和國商標法》第四條規定，自然人、法人或者其他組織在生產經營活動中，對其商品或者服務需要取得商標專用權的，應當向商標局申請商標注冊。不以使用為目的的惡意商標注冊申請，應當予以駁回。目前我國對開源社區的法律定位尚不清晰，這成為開源社區注冊商標主體上的困難，尤其是松散的開源社區。40參見張平、馬曉：《共享智慧：開源軟件知識產權問題解析》，北京大學出版社2005年版，第414頁。一方面，共有商標是兩個以上自然人、法人或其他組織共同向商標申請局申請注冊同一商標，共有人共同享有商標使用權。同時需要明確在開源社區中商標共有人在未特別約定的情況下，可以普通許可的方式許可他人使用，而獨占許可和排他許可則需要社區商標共有人協商一致。

（四）商業秘密保護

開源軟件的商業秘密保護往往因開源代碼的分發而喪失。實踐中大部分被告以案涉計算機軟件系開源作為抗辯事由主張不侵犯商業秘密。41.如恒生電子股份有限公司、杭州恒生網絡技術服務有限公司與天驕文韻軟件（天津）有限責任公司、王某某等侵害商業秘密糾紛一審民事判決書。開源軟件的源代碼公開，但工程化實現技術則不公開，如技術訣竅、熟練技巧、工程經驗、測試分析等，往往是不公開的。開源軟件使用者如果從非正常渠道獲得此類未公開的工程化實現技術，滿足“不為公眾所知悉”的條件，要注意侵犯商業秘密的可能性。42李岳、黃濤：《開源軟件的知識產權問題概述》，載康信知識產權網2018年6月12日，http://www.kangxin.com/html/1/173/174/353/8661.html。侵犯商業秘密的風險有兩種類：一是被迫公開商業秘密的風險；二是泄露商業秘密的風險。前者情形為：私有軟件或代碼中包含商業秘密，加入使用GPL等具有傳染性的許可證，私有軟件因被迫開源而引起商業秘密的被迫公開。后者是未經批準擅自將含有商業秘密的代碼公開在開源社區平臺，以此導致泄露商業秘密。此外，若開源軟件存在惡意代碼、病毒或其他安全漏洞等情形，則可能引起內部系統商業秘密的泄露風險。基于此，使用者應合理甄選更加契合自身商業需求的許可證，開發過程中對源代碼的流入進行排查，保證代碼的合法性。

計算機軟件雖然可以利用商業秘密予以保護，但并不意味著軟件整體上都能受到保護，尤其是基于開源軟件修改、擴展的衍生品，更應當回避此種保護模式。更妥當的做法是，針對衍生軟件中包含的算法、架構、設計思路等符合商業秘密構成要件的技術信息單獨提取出來，作為專有技術予以保護，而不是將上述信息的載體整個地認定為商業秘密。

（五）完善開源社區合規服務

在開源社區基礎的上傳、下載服務之外，建議增加為使用開源代碼的企業提供合規審查功能，對開源代碼及其使用的許可證進行篩選與分類，同時根據使用者的需求提供個性化合規服務，匹配、篩選出合適的許可協議，并明確該許可證所允許企業對于代碼進行修改與使用的范圍，梳理其在使用過程中的限制與要求。與此同時，利用互聯網、區塊鏈和人工智能等技術對提供者的軟件進行審查對比，并要求使用者遵守開源合規平臺守則，在使用前保證進入開源社區的開源軟件無權利瑕疵，在使用中確保使用的公開透明，在侵權后可以迅速保證權利救濟。

具體而言，可分為三個階段。第一，事前的精準確權。通過建立完備的權利審查機制，保障社區對軟件均享有合法權益，保證入場權利無瑕疵。從分類源代碼許可證、識別許可證與源代碼、權利證書核實三個方面來實施。第二，事中的個性合規。通過對用戶源代碼的使用過程的監督檢驗，針對風險操作予以實時提醒以及記錄，以應對可能的合規風險，同時針對用戶需求，通過人工客服，留言板等形式，越過許可證限制，尋求形成符合用戶需求的個性化合約；第三，事后的幫助維權。在不慎侵權之后，通過對侵權問題的檢測鎖定侵權主體，并提供相關建議與證據，來謀求侵權的最小損失。

大型開源項目（如 Linux）常常涉及眾多主體的利益，但大多數人認為維權應該是非正式的（即非通過訴訟），而且主要目標應該是合規而不是懲罰。例如，軟件自由保護組織（Software Freedom Conservancy，SFC）已 經 頒布了一些社區維權原則，其中優選合規，而不是尋求訴訟或賠償金。Linux 社區的大多數開發成員將訴訟視為最后的手段，并不太愿意采取法律行動，而是希望與合規的用戶進行合作。針對違約行為，社區平臺應及時采取措施，如停止使用、替換代碼、下架、召回。

五、結語

隨著知識體系的增長和信息檢索技術的發展，社會及其創造變得愈加復雜，在全球范圍內進行創新和競爭不再僅靠一己之力，尋求合作開展項目也至關重要。開源正是在此基礎上應運而生。開源社區作為資源集聚的平臺，全球的開發者與使用者、合作伙伴在這里開展思想碰撞、技術建設、孵化項目、商業運作等活動。如果僅僅只是開放源碼，忽視開源社區建設，將引發眾多不良后果。開源軟件為我們帶來開放、共享、協作、自由與反壟斷的開源文化，其與知識產權是一種共生關系——依賴與沖突。依賴面向開源軟件仍然基于現有法律框架獲得保護，消弭了知識產權過度強化的弊端，成為一種牽制其擴張的力量，推動著知識產權的修正和推新；沖突面向開放獲取與私有制之間的沖突。我們需要在保護和自由之間找到適度的平衡，以促進創新。這是一種實踐邏輯，亦是一種建構邏輯。

開源社區的開放和分散性需要由道德和法律驅動，應重視開源社區中存在的知識產權風險，以確保項目平等或獨立。利用區塊鏈的不可篡改特性，對社區中的開源軟件每一次修改進行追蹤，以解決侵權證據難以獲取的問題，實現知識產權確權功能。將形式審查與實質審查相結合，完善著作權與專利權的權利審查流程。同時引入公共商標許可模式，并注重商業秘密保護。在此基礎上，完善開源社區合規服務。

正如對我國法治發展趨勢所作的前瞻性判斷不可能滿足完全的理性，而只可能是滿足一定程度的理性。本文對開源社區合規性的分析與設想亦必定存在偏頗或缺漏，這一問題還有諸多細致、具體的問題待進一步深入研究，也需要更多實踐積累與實證考察。