軟件源代碼強制披露制度建構的中國方案

張韜略

關鍵詞：源代碼 強制披露 算法公開 知識產權 數字貿易談判 源代碼規則

一、引言

軟件源代碼是軟件開發者使用接近人類可讀語言的高級編程語言（例如C、JAVA或Fortran等）編寫的計算機程序。源代碼可以經由編譯程序，轉換成為機器可讀、可執行的目標代碼，從而實現軟件開發者在代碼指令之中設置的操控硬件的功能。作為現代信息技術的創新產物，軟件源代碼不僅開發成本高，還有復制成本低且無排他力的特點。為了激勵軟件產業的投資，各國政府一般都向源代碼提供了多種知識產權的保護。

但源代碼的重要性不能僅從私主體創新成果的知識產權保護角度進行理解。從信息技術安全的角度看，由于人類無法正常讀取和理解以二進制機器語言方式表達的目標代碼，源代碼實際代表了人類和信息技術設備之間進行信息交換的最后節點，對源代碼的訪問也就成為人類理解、修改軟件進而操控信息技術設備的先決條件。許多國家為了確保關鍵信息技術的安全利用，保障某些公共政策的實現，或者出于反競爭、反歧視和反欺詐等目的，支持監管部門訪問相關源代碼。有的國家為了提升本國相關產業的技術水平，促進本土創新，可能將披露源代碼作為市場準入的前提條件，由此引發貿易保護主義與自由貿易競爭的沖突，將圍繞源代碼的利益博弈帶入更為敏感、復雜的全球“南北”政治經濟問題之下。

由于系統性的全球數字貿易規則缺位，既有的世界貿易組織（WTO）貿易規則難以有效規制各成員方強制披露源代碼的措施，一些發達國家開始通過雙邊、多邊或區域貿易協定，在數字貿易章節之中輸出符合自身利益的規則，禁止締約方采取強制披露源代碼的措施。在WTO的電子商務討論中，限制披露源代碼的規則（以下簡稱源代碼規則）設計，也成為各方博弈的焦點之一。但是，我國至今沒有在國際數字貿易談判中提出自己的源代碼規則。這與我國尚未建立系統的軟件源代碼強制披露制度，相關理論研究和實踐經驗的不足有關。

盡管軟件源代碼與軟件算法之間存在密切聯系，但兩者之間存在顯著差異。第一，算法與源代碼在性質、形式和特點上存在明顯區別。算法是解決問題的思路、步驟和邏輯，一般表現為半形式化的語言，可以由不同的編程語言和不同的代碼來實現。而源代碼組成的計算機程序則是實際解決問題的具體執行指令，由完全形式化的計算機語言加以描述。第二，算法與源代碼承載了“厚度”不同的知識產權。算法可以享有商業秘密保護，但著作權法和專利法一般排除算法本身的可保護性。相比之下，軟件源代碼雖是以算法為靈魂和思想，但卻具有多樣的表達方式，由此形成多層級的包括著作權、商業秘密乃至專利技術方案的財產權。因此，就同款軟件而言，算法的公開和備案并不等于軟件源代碼的披露，也不必然導致源代碼商業秘密和可能的專利申請權的喪失；但源代碼的完整披露通常會導致源代碼包含的算法和技術方案的公開。申言之，相比算法公開可能引發的知識產權侵權問題，源代碼的強制披露對軟件權利人的知識產權施加了更強更深的干涉，可能引發更大的利益沖突。這也意味著，我國源代碼披露制度在借鑒現有算法公開和備案制度時必須加以甄別。

本文認為，我國應在積極吸收國際數字貿易談判成果和算法規制研究成果的基礎上，建構國內源代碼強制披露制度，并盡快形成自己的源代碼規則，以爭取更多的國際話語權。接下來，文章首先分析我國源代碼強制披露制度建構所面臨的內部矛盾，該矛盾在國際經貿層面的異化，以及國際經貿協定談判的協調成果。緊接著以此為鑒，從思路、原則和方法等角度，搭建我國軟件源代碼強制披露制度的國內法制度。最后，文章分析WTO主流提案對我國的影響，并嘗試以國內制度建構為基礎，提出我國設計源代碼規則時應堅持的立場和內容。

二、在封閉與披露之間：制度建構的內部矛盾

（一）源代碼封閉的正當性

建構軟件源代碼強制披露制度所面臨的最大阻力是封閉的軟件源代碼具有知識產權屬性，且其正當性在軟件行業和國際社會都得到普遍認可。

首先，從知識產權保護的理論角度來看，無論是基于洛克的勞動價值論，還是基于促進投資的邊沁的功利主義學說，將需要大量勞動和資本投入的軟件開發活動所產生的智力成果———包含有算法和技術方案的源代碼———視為知識產權的保護客體，具有正當性的基礎。正是在這種正當性之上，從20世紀60年代起，源代碼逐步在各國獲得不同類型知識產權的保護。商業秘密是最早用以保護源代碼的法律方式，而封閉源代碼正是取得商業秘密保護的關鍵：只有不為公眾所知悉、具有商業價值且采取了合理保密措施的源代碼，才可以獲得商業秘密保護。著作權法保護具有獨創性的源代碼，但該保護不以登記和審查為前提，即便自愿進行版權登記，也無須披露所有源代碼特別是關鍵的源代碼。以“公開換壟斷”的專利法貌似可以用來打破源代碼的封閉狀態，但軟件開發者在申請專利時，只需要在說明書之中清楚、完整地披露權利要求所主張的技術方案的構思、結構或算法，使所屬領域技術人員能夠實現該技術方案即可。軟件專利公開通常不涉及源代碼層面的公開。軟件權利人通常還借助合同對軟件源代碼進行專有排他權之外的保護，例如在許可合同中特別約定軟件用戶不得反向工程獲取源代碼。

其次，軟件開發行業的慣例和軟件技術應用的特點，使封閉軟件源代碼的做法從產業運營和成本視角看來顯得自然而合理。在開源軟件運動興起之前，商業軟件開發的環境和成果通常是封閉的，軟件企業采取各類手段防止源代碼的泄露。大眾市場軟件也不需要披露源代碼，用戶并不需要閱讀源代碼，用戶電腦生成的二進制目標碼也不會導致源代碼的公開。盡管用戶理論上可以采取反編譯等技術逆向獲取軟件的構思、內容乃至源代碼，但成本巨大且容易出錯，在面對復雜軟件時并不具有現實操作性。在源代碼不泄露的情況下，軟件權利人在理論上可以永遠保有商業秘密，既沒有類似專利、著作權的保護期限制，也不產生任何注冊、維持權利的成本。封閉源代碼的種種優勢和被知識產權保護所強化的軟件行業慣例，意味著強制披露源代碼往往面對來自產業的巨大阻力，需要政府具有更優先保護的公共利益，且需要投入更多的執法成本。

最后，在全球貿易體系之下，國際社會對封閉源代碼享有知識產權保護的普遍認可，同樣成為國內法構建源代碼強制披露制度所無法回避的阻力。封閉源代碼的知識產權保護已經隨著WTO所搭建的國際貿易法律體系推行到全球絕大多數國家。作為WTO成員，我國有國際條約義務對其提供知識產權保護。這意味著，如果我國政府缺乏正當理由實施強行披露源代碼的措施，將違反WTO規則，可能引發WTO訴訟和國際營商環境評價降低等連鎖反應。

（二）源代碼披露的正當性

與此同時，由于軟件在各行各業的滲透和公私性質混合的超級平臺的出現，源代碼已經成為社會組織活動的底層技術之一，在許多場合甚至替代法律，成為人們日常活動的實際規制手段。但“代碼即法”（code%is%law）時代的來臨，要求我們確保源代碼能像“善法”一樣，承載公平、正義、平等、自由等價值，而不是成為作惡的工具。為此，在特定場景下，為確保公共政策目的之實現，政府有權進行監管，強制打破某些源代碼的封閉狀態。根據德國憲法“財產學說”和德國基本法的規定，作為私人財產的源代碼在這種情況下必須承擔起“財產權的社會義務”?？梢?，政府在這種情況之下對源代碼的披露和監管，同樣具有憲法的正當性。

首先，政府為了保障國家政治、能源、金融等領域的安全，有必要對源代碼進行監管，強制要求軟件權利人披露源代碼，以查明軟件產品或服務的設計和運營是否符合國家相關法律的要求。例如，一些政府擔心其采購的信息技術產品安裝有“后門”，給他國間諜獲取本國重要信息創造技術條件，故而在允許外國科技公司產品進口國內和銷售之前，要求審查其防火墻、防病毒應用程序和包含加密軟件等安全產品的源代碼。為保護核電站、智能交通系統、物聯網等關鍵基礎設施和民眾安全，一些政府加大對相關設備源代碼的監管，包括對安裝在移動或有線服務提供商網絡的數據包和代碼進行審計，檢查設備的過濾或監控能力。在金融財稅領域，美國稅務機關為保障系統的穩定運行，在無法合理確定稅務申報表項目的正確性時，有權按照“計算機軟件傳票的特殊程序”的規定，訪問和分析用于會計、納稅申報或稅務規劃的軟件源代碼；美國證券交易委員會和商品期貨交易委員會有權訪問“高頻交易”（HFT）的源代碼，因為這類交易會加劇突發事件，破壞股市的穩定。

其次，為保障軟件產品設計符合健康、環保、平權等標準，政府有必要監管源代碼，在某些場景下要求軟件權利人披露源代碼。例如，監管部門及其委托的外部專家可能需要檢查智能汽車等可能產生高危風險的產品的源代碼，以確定導致交通事故的原因，或檢查設備排污控制系統是否存在“規避測試”軟件。即便在沒有安全隱患的博彩行業，許多外國政府為防止經營者的欺詐行為，也會對賭場進行監管，要求訪問游戲機的源代碼，確保參賭者有一定概率能夠獲勝。在可能涉及性別或種族歧視的社交媒體、推薦廣告、住房、信貸、就業、司法量刑等領域，政府必須能夠檢查底層的源代碼和數據，否則無法檢測并規制可能存在的歧視行為。為了使民主投票過程更加安全和透明，許多國家或者國際組織要求向公眾披露投票軟件的源代碼，或者直接使用開源軟件。

最后，在與軟件知識產權和競爭行為相關的行政審查、司法裁判和執法活動之中，法院和相關主管部門為查明相關權利是否可獲得授權，是否存在侵權或反壟斷行為，可能需要軟件權利人披露源代碼。例如，根據專利申請公開制度，如果軟件發明某些技術特征涉及源代碼的執行，而專利局對其能否實現具有疑問，申請人可能必須披露部分源代碼以說服專利局。又如，在美國谷歌Waymo和Uber涉及自動駕駛商業秘密和專利侵權的訴訟中， 加利福尼亞州北區聯邦地方法院為了確認Uber是否存在竊秘行為，授權Waymo的律師和一名專家審查Uber的LiDAR項目的內容，包括但不限于原理圖、工作單、源代碼、注釋文檔和電子郵件。此外，如果競爭主管部門認定企業合并/收購的市場行為構成限制競爭的，還可以命令該企業將源代碼或包含源代碼的產品、服務或技術轉讓給競爭對手作為補救措施。

三、從內國法到國際經貿協定：內部矛盾的異化與協調

政府基于前述特定公共政策目標有要求企業披露源代碼的正當需求， 但在國際競爭的環境下，這類措施有時容易夾雜產業保護的考慮，甚至可能異化為貿易保護主義幌子，客觀上產生了設置市場準入障礙、限制自由貿易的負面效果。由此，內國法制度設計所遭遇的封閉與披露源代碼的內部矛盾，在國際經貿視野下就以一種新的形態出現，成為新一輪國際自由貿易談判與協調的焦點之一。

（一）從區域經貿協定到WTO商務談判

由于現有國際經貿規則沒有提供有效約束國家強制披露源代碼的制度設計，一些發達國家嘗試在區域經貿協定的數字貿易專章里設立獨立的限制強制披露源代碼的條款（以下簡稱源代碼規則），從而形成了以日本、美國和歐盟為代表的不同模板。2016年之后，隨著啟動WTO電子商務談判的意愿漸高，某些成員方呼吁確立“保護源代碼”的規則，禁止締約方將源代碼轉讓或獲取作為市場準入的條件。例如，美國2016年的電子商務工作方案提出原則性建議：“保護關鍵源代碼：創新者不應將其源代碼或專有算法交給競爭對手或監管機構，然后由監管機構轉交給國有企業。重要的是要確保公司不必為了進入新市場而共享源代碼、商業秘密或將本地技術替代到其產品和服務中，但同時保持監管當局獲取源代碼的能力，以保護健康、安全或其他合法監管目標?！比毡境h，“披露重要信息諸如商業機密（包括源代碼）不應成為在成員方領土內進口、分銷、銷售或使用相關產品（包括數字編碼產品）的條件”。哥倫比亞、科特迪瓦、歐盟、韓國、墨西哥和新加坡也紛紛建議采取措施，“避免將軟件源代碼的轉讓或獲取作為市場準入條件”，以“確保電子商務市場的開放性”。

2019年1月，76個成員方共同發起電子商務諸邊談判，2020年12月達成的合并文本（C節“信任和電子商務”第C.3條“商業信任”第1款）的“源代碼”規則共有5項規定，包含了來自美國、日本、歐盟、英國、墨西哥、韓國等十一個國家和地區的提案。從參與成員的代表性來看，發達國家基本到位，但發展中國家數量太少，且中國、印度、俄羅斯、澳大利亞等大國尚未表態，因此現有提案還無法完全代表所有WTO成員方的意愿。

（二）源代碼規則國際協調的特點

從區域經貿協定談判到WTO商務談判，盡管出現了不同的源代碼規則的模板和提案，但國家間的分歧其實很小，已經呈現趨同化特征。

第一，國際社會已經基本達成了規制源代碼的基本共識，形成了以保護封閉源代碼的知識產權為原則，以強制披露源代碼為例外的“原則+例外+配套保護措施”模式，并且將源代碼規則所規制的對象從源代碼擴展到源代碼所表達的算法，以彰顯對私權的尊重。例如，根據WTO提案，成員們皆贊同，禁止締約方以市場準入為條件，強制要求轉讓、訪問源代碼，而且源代碼所表達的算法同樣納入規制對象。國內有研究認為，成員之間就是否將算法納入原則性規定仍存在分歧，并將原因部分歸結為美國和歐盟不同的算法規制導向。這種觀點并不準確：算法知識產權保護的基本原則與特殊公共政策目的之下的算法透明度要求并不總是沖突的，美歐在算法保護與規制的立場方面，并不存在根本的分歧。

第二，例外情況由少到多，以確保締約方政府有效監管源代碼，實現合理的公共政策目標。例如，最早提出源代碼規則的2010年《日本—蒙古經濟伙伴協議》（EPA）只包含了關鍵基礎設施軟件等并非屬于“大眾市場軟件”的例外。后來美日主導的《跨太平洋伙伴關系協定》（TPP）的源代碼規則開始擴大例外情況，增設了商業談判合同例外、遵守法律要求修改源代碼的例外以及專利申請、授權或司法活動例外。2018年的《歐盟日本經濟伙伴關系協定》（EPA）規定了范圍更加寬泛的例外情況：（1）在商業談判合同中包含與源代碼轉讓或授予使用權相關的條款；（2） 在政府采購中自愿轉讓或授予源代碼使用權；（3）法院、行政法庭或競爭主管部門要求糾正違反競爭法的行為；（4）法院、行政法庭或行政當局在源代碼受知識產權保護的范圍內保護和執行知識產權的要求；（5）締約方根據《政府采購協定》（GPA）第3條采取措施的權利；（6）締約方根據安全例外、許可和資格條件，以及金融服務審慎例外所采取的措施。而且，針對這些例外情況，成員強調不應影響源代碼的商業秘密狀態，必須配套防止泄露的保護措施。

第三，禁止源代碼強制披露制度的異化，也即禁止政府以合理公共政策目標為名，采取限制市場準入、破壞自由貿易等貿易保護主義做法。實際上，源代碼規則首次出現在區域經貿協定之中，就是為了抑制源這類異化。例如，《日本-蒙古經濟伙伴協議》（EPA）中明確要求限制政府轉讓、訪問“他國企業”源代碼，同時期的《服務貿易協定》（TiSA）談判中，日本同樣提議“任何一方不得要求轉讓或訪問另一方人員擁有的軟件源代碼，作為在其境內提供與該軟件相關服務的條件”。

第四，WTO的源代碼規則提案具有鮮明的TRIPS+、TRIMS+特征， 對軟件產業不發達的締約國或發展中國家可能會有負面影響?！暗谌澜缇W絡”的法律專家Sanya.Reid.Smith就認為，WTO源代碼規則提案對成員方提出了更高的知識產權保護義務，限制了成員方在技術轉讓方面的自由度。印度學者Neeraj.R.S. 認為，WTO擬議的新電子商務規則沒有包括對發展中國家或最不發達國家的任何例外或特殊差別待遇，源代碼規則將助長發達國家的軟件鎖定效應，抑制開源軟件的使用，加深南北之間的數據不平等。

四、從國際協調回到內國法：制度建構的思路、原則與方法

（一）化解矛盾沖突的基本思路

我國源代碼強制披露制度的建構必須妥善化解源代碼封閉與披露的正當性沖突問題， 就此而言，源代碼規則國際協調的成果，特別是其“原則+例外+配套保護措施”的模式，為我國的制度構建提供了有益的思路。

首先，將封閉源代碼的知識產權保護作為基本原則，把強制披露措施作為特殊例外并輔以保障不泄密的措施，既符合現代民主社會保護知識產權、促進創新的精神，也契合軟件行業的慣例和國際規則，不會在執行環節面臨來自軟件產業和國際社會的巨大阻力。

其次，遵循保護知識產權的精神，國家在源代碼監管的思路上可以大力倡導符合自由市場和行業慣例的源代碼披露，盡量弱化和避免“強制披露”的做法。例如，政府采購時可以偏向開源軟件，或者是為了便利維護軟件，避免出現技術鎖定困境而獲得源代碼，這些都是國際社會廣泛認可的“例外場景”。在爭議較多的外來直接投資審核領域，如果政府希望幫助國內供應商提升軟件技術，促成源代碼的技術轉讓，則必須確保符合WTO的規則，在平等、自由的基礎上進行磋商。相反，如果要挾外國企業以源代碼披露換取非關鍵基礎設施領域的市場準入，則明顯違背WTO規則。

最后，將強制披露源代碼作為例外情況而非普遍模式，有助于將有限的監管資源集中到特定場景之中，確?！皥鼍肮薄鼍肮碚撛趥€人數據保護和算法規制的場合都有不同程度的應用。根據該理論，由于場景的不同，行為人、行為對象和行為目的、規制結果都會有所差異，因此無論數據保護，還是算法規制，都應當結合不同的場景進行不同的規則設置，才能夠實現具體場景之下的公正。源代碼披露措施也應該遵循場景化規制的方式，才能確保國家監管權公正、有效地行使。

（二）落實場景公正的主要原則

根據我國行政法的原則和理論，我國在建構強制披露源代碼制度的“例外場景”時，可以主要借助合法行政原則和比例原則來落實“場景公正”。

根據合法行政原則，法無規定不可為，法無授權即禁止。政府在“例外場景”實施強制披露源代碼的措施必須基于法律的明確授權，不能超出法律授權范圍，并應當遵守相關的實體法規范和程序法規范。據此，我國必須立足于現有各個領域的監管立法，參照國際經貿協定和WTO源代碼規則的提案，結合我國的實踐需求，從法律文本上逐項落實我國政府有權強制披露源代碼的“例外場景”。從程序合法角度，政府依據法定事由強制披露源代碼時，還應符合行政公開、公眾參與等原則，確保信息公開以實現軟件權利人的知情權，并聽取軟件權利人的陳述和申辯。

根據比例原則，政府在采取具體行政行為，要求軟件權利人披露源代碼時，必須遵循必要性、適當性和最小損害三項要求。首先，除非源代碼披露對政府監管目的的實現是必要的，否則政府沒有必要強求源代碼披露。這種解釋也與算法公開所強調的“有意義和有特定指向的決策體系的公開，而非一般性的算法架構或源代碼的公開與解釋”是相一致的。其次，政府在要求披露源代碼之前，必須進行利益衡量，只有確認行為對于實現相應的監管目的是適當的，并且可能取得的利益大于可能損害的利益時，才能夠實施。最后，政府必須在多種方案之中，選擇對軟件權利人權益損害最小的方案加以實施。

遵循比例原則的前述要求，我國在建構源代碼披露制度時要特別注意區分源代碼與算法的監管和規制。雖然WTO源代碼規則提案將源代碼所包含的算法也納入規制范圍，而且現有的算法規制理論和措施也提供了某些積極的借鑒，但前文特別提到，源代碼與算法具有明顯的區別。目前域外和國內都開始對算法設置范圍不等的備案義務，但并無對應的一般性的源代碼備案制度。國家互聯網信息辦公室2023年4月發布的《生成式人工智能服務管理辦法》（征求意見稿）同樣只要求服務提供者根據國家網信部門和有關主管部門的要求提供“基礎算法和技術體系”， 不需要提供相關的源代碼。這種區分規制的原因，除了源代碼披露會給軟件權利人造成更大的財產性損害，更主要在于缺乏必要性，因為大部分場合只需從算法層面加以監管，就可以實現風險防控的政策目的。

（三）落實場景公正的“分類分級”方法

在我國，分級分類的思想和方法已經被廣泛應用到網絡、信息系統和數據的安全治理。早年的“信息安全等級保護制度”就是對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和處理這些信息的信息系統分等級實行安全保護，對相關信息安全產品實行按等級管理，對相關信息安全事件分等級響應、處置。網絡安全法將其升級為“網絡安全等級保護制度”，根據等級保護對象在國家安全、經濟建設、社會生活中的重要程度，以及一旦遭到破壞、泄露之后對各類權益的侵害程度等因素，劃分出五個級別，不同級別的等級保護對象應具備不同的基本安全保護能力。數據安全法則提出“自上而下”的數據分類分級路徑，規定由“國家建立數據分類分級保護制度”，該制度也成為我國開展數據安全治理的起始點。分級分類的思想和方法同樣可用以建構我國的源代碼強制披露制度，協助落實場景公正。

1.源代碼強制披露制度的分級

源代碼強制披露制度的分級主要指政府依據不同公共政策目的之需要和源代碼披露可能產生的后果，確定不同強度的“披露”措施，并配套相應的保障措施。在實踐之中，披露強度存在由低到高的三種情形：一是“訪問”源代碼，二是“轉讓”源代碼，三是“公開”源代碼。

政府為了對國家安全、金融財稅、產品安全與合規進行監管，或者為了司法和執法活動的順利開展，可能需要訪問、檢查軟件源代碼以確認產品或服務設計是否符合國家相關法律的要求。在“訪問”型披露之下，源代碼披露的對象范圍僅局限在數量有限的執法官員或者訴訟代理人，不涉及向競爭對手或者公眾的披露，軟件權利人的財產利益受損較小。此時制度設計的重點應聚焦在源代碼披露程序的保密規則和對披露對象的保密責任設置上。例如，審計、核查相關產品源代碼的政府官員或中介組織或技術專家，在訴訟過程之中接觸源代碼的法官、代理律師和專家證人等，負有法定或約定的保密義務，違反該保密義務將承擔相應的法律責任。

轉讓或許可源代碼的披露力度更強，對軟件權利人財產權的影響也更大。如果政府將轉讓、許可源代碼作為反競爭行為的救濟措施的，必須嚴格遵照競爭法，對適用競爭法規制的相關要件進行審查，確保程序的公正。例如，競爭對手是否事先與源代碼權利人進行合理的許可磋商，源代碼知識產權是否構成標準必要專利或必要設施的組成部分，權利人拒絕許可行為是否構成濫用市場支配地位的不合理限制競爭行為，權利人開放源代碼是否具有可行性等。轉讓源代碼措施如果發生在政府批準外商投資或者政府采購的場合，必須確保程序公開透明，合同自由締結，對價公平合理，以遵守WTO規則和國際慣例。

如果政府的強制披露措施涉及將軟件權利人的源代碼向公眾披露，則帶有“征用”的色彩，因為這種披露意味著商業秘密的徹底喪失。從現代民主國家保護私人財產權的角度來看，除非具有值得保護的公共利益并經過正當程序，否則不應該采取這種特殊的強制征用方式?！肮_”模式必須配備更加嚴格的程序保障，政府應向權利人提供爭辯與聽審的機會，且確保公開的范圍僅在服務公共利益所必需的范圍之內。例如，專利申請時源代碼公開只要達到足以解釋專利申請方案的可專利性即可，涉及技術標準的源代碼公開也以服務軟件的互操作性為限。根據個案的情況，這類公開通常不需要覆蓋整個軟件的源代碼。

2.源代碼強制披露制度的分類

源代碼強制披露制度的分類可以從源代碼擁有者的性質入手，將代碼擁有者分為具有壟斷性質的公權力機構、純粹商業性質的非壟斷機構及其中間樣態，進而判斷采取強制披露源代碼的必要性高低。

通常而言，具有壟斷性質的公權力機構所掌控的算法和源代碼應當以公開為原則，以非公開為例外。因為這類機構借助源代碼所作出的決定往往會對不特定的大多數個人產生重大影響，如果允許其決策的黑箱狀態不受監督，不僅可能產生各類不公、歧視、偏見和腐敗，而且權利受損也無從知曉、難以救濟。許多國家或者國際組織為了使民主投票過程更加安全和透明，就要求政府向公眾披露投票軟件的源代碼，或者直接使用開源軟件。例如，根據日內瓦法律，日內瓦互聯網投票系統的源代碼必須向選舉委員會或其指定的任何專家開放以供審查，而且任何對源代碼有研究興趣的人都可以訪問該代碼。然而，如果源代碼的公開無助于人們理解自動化決策，甚至產生有害的效果，例如因干擾性披露所導致的另類黑箱，或者出現針對源代碼和算法的“算計”現象，或者涉及危害國家安全等關鍵基礎設施領域的系統，則屬于不宜公開源代碼的例外。

相比而言，如果源代碼擁有者是純粹商業性質的非壟斷機構，則應當以源代碼的非公開為原則，以強制披露為例外。普通企業的軟件系統或產品如果僅是內部使用，則完全缺乏對外披露的必要性，此時強調源代碼的知識產權保護也是對企業自主經營權和私權的尊重。這類企業即便在對外提供軟件產品和服務時存在個人信息處理行為， 其算法和源代碼通常也只是起到信息甄別的作用而已，在平等主體市場交易環境之中，不會產生需要強制披露的監管理由。但是，如果企業在經營過程中逐漸成為半公共的壟斷組織（例如超級平臺），或者對外提供安全風險級別較高的產品（例如智能汽車），或者向社會弱勢群體提供特殊服務（例如老年人醫療保險）等，那么針對特定事項采取符合比例原則的強制披露措施，可能就是必要的。

五、重回數字貿易談判：中國源代碼規則的提出

在建構國內源代碼強制披露制度的基礎上，我們可以重新審視WTO的提案，檢討其源代碼規則對我國是否產生負面影響，是否契合我國內國法制度建構的精神，進而在國際舞臺提出中國的源代碼規則，這也是我國內國法制度由內而外的自然延伸。

（一）WTO提案對我國的潛在影響

1.WTO提案的TRIPS+特征對我國軟件知識產權保護的影響

TRIPS協議第39條僅要求WTO成員方保護“未披露信息”，允許商業秘密所有者起訴以不誠實商業方式獲取、使用該等信息的人，并對藥品、農業化學物質產品的試驗數據提供特別保護。WTO提案的源代碼規則提出了更高的要求，特別明確了政府人員在履行職責時的保密義務。但該要求不會對我國產生負面影響。一方面，我國國內法對商業秘密的保護早已覆蓋國家公職人員的職務行為，認可該保護標準不會給我國添加額外的負擔。另一方面，該源代碼規則對我國軟件海外知識產權保護具有積極影響。目前我國軟件產業發展迅速且積極參與海外競爭。隨著我國軟件互聯網企業的“走出去”，“抖音”海外發展遭遇強制披露源代碼或轉售業務的類似情況可能會一再出現。雖然源代碼規則提議最初源自發達國家，但總體符合自由貿易基本原則，有助于激勵軟件產業創新及該領域的國際貿易，這與我國軟件產業發展的長遠訴求是一致的。

2.WTO提案的TRIMS+特征對我國技術轉讓和自主創新政策的影響

根據TRIMS協定，WTO成員方在外國投資的情況下可以靈活要求技術轉讓， 但WTO提案原則上禁止、限制成員方要求轉讓源代碼的能力，似乎不利于我國獲取外國技術、培養本土企業。但客觀地看，我國獲取外國軟件源代碼技術的渠道并不會受到根本性的影響。根據“原則+例外”的基本模式，締約國仍然可以在政府采購、競爭法救濟等例外情況之下強制訪問、轉讓或許可源代碼。

有疑問的是，WTO提案會否對我國軟件行業自主創新政策產生負面影響？ 國內有研究指出，我國將促進自主創新和安全可控等目標與政府采購掛鉤的做法，可能暗含了要求外方轉讓或提供源代碼的意圖。國外也有研究認為，日本最初在區域貿易協定中提出源代碼規則，就是針對我國之前采取的措施。但這類觀點失之偏頗。我國自主創新的政策目標同樣必須放在自由貿易與國家安全的平衡視角和具體個案中進行理解?；谛畔⒓夹g安全可控的目標，我國提出國產自主可控替代計劃，加大政府采購中開源軟件和國產軟件的比重。這類做法完全可以根據具體場景，適用WTO提案的例外規則，原則上不會導致源代碼規則與我國自主創新政策之間的根本沖突。但我國政府在實施此類政策時，要盡量避免采取歧視性的市場準入壁壘。

3.WTO提案不會抑制我國的開源戰略

另有研究擔心，WTO提案會對締約方實施開源軟件政策造成不利影響， 其核心論點是開源軟件許可并非基于商業談判達成，不適用商業談判合同例外，一旦有違反開源許可協議的情況，受限于WTO提案源代碼規則的限制，締約方就無法要求強制披露源代碼了。這種擔憂完全誤讀了開源軟件許可運作機制及其與源代碼規則的關聯。首先，開源軟件許可依然是私人之間自愿達成的協議，如果出現軟件用戶違約的情況，依照許可協議將解除許可合同，軟件權利人可以向法院請求停止侵權的救濟，或者繼續履行即披露源代碼的救濟。這里如果真正涉及披露源代碼的救濟，可以訴諸源代碼規則的司法活動的例外或者法律救濟的例外。只不過，受限于成本和合理性的考慮，實踐之中司法機關支持繼續履行的可能性極小。其次，源代碼規則主要針對締約方以市場準入換取源代碼技術轉讓的貿易保護措施， 而實踐之中違反開源許可協議的做法主要發生在技術引進方故意將外部開源的代碼封閉起來包裝為自己軟件產品的情況。在這種情況下，要求披露源代碼的維權方更多是來自發達國家的開源軟件權利人。這與東道國（技術引進方）通過要求披露源代碼來實施貿易保護主義的做法完全是相反且沒有關聯的。正因為如此，一直致力于推動開源軟件的軟件自由法律中心（SFLC）認為，TPP第14.17條的源代碼規則對自由軟件、開源許可協議以及政府開源采購不會產生任何影響。

（二）國內制度建構的自然延伸：源代碼規則的中國方案

鑒于WTO提案在總體上對我國具有潛在積極意義，而且與國內制度建構的精神一致，我國應當改變之前消極回避的態度，積極參與國際社會的規則制訂，力爭將國內法的制度設計映射到新一輪的國際規則之中。

就規則設計的立場，我國應旗幟鮮明地支持國際社會公認的私權保護、貿易自由和開放創新的原則，同時謹守安全可控的基準。國內有研究認為，我國可以將安全可控和開放創新并重的原則作為規制源代碼的基本立場：一方面將自主可控作為我國信息技術安全的必然要求，在核心技術領域擺脫對外國的依賴；另一方面順應信息網絡產業的特點，堅持源代碼領域的開放創新。筆者不否定“安全可控”對國家規制源代碼的關鍵意義，也承認國家安全在任何場合之下的重要性，但在以打破貿易保護主義為主旨的數字貿易談判之中，推動自由貿易和自由競爭秩序的建立，必然是締約國追求的首要目標。為服務該目標及背后的國家利益，締約國需要對各自的安全利益作某種程度的、可控范圍之內的妥協。如果各方一味強調安全問題而不作任何妥協，國際協調將難有建設性的進展。就此而言，我國的源代碼規則立場可以設計得更加的平衡：第一，堅持將私權保護和貿易自由作為基準之一，確保無論是我國“走出去”還是國外“走進來”的軟件企業都能獲得較高的知識產權保護，有信心其投資和創新成果不會被東道國政府肆意剝奪，成為市場準入和貿易保護主義的犧牲品。第二，將安全可控作為另一基準，確保國家對源代碼的監管權可以正當行使，締約國的核心安全利益不會受到損害。換而言之，新生的數字貿易秩序必須同時保障源代碼的知識產權保護和締約國的監管權，維系這兩組重大利益的平衡，確保軟件國際貿易秩序的健康持續發展。

就規則設計的具體模式和內容， 我國可以廣泛吸收現有區域經貿協定和WTO合并文本的方案，提出中國特色的“原則+例外+配套保障措施”模板。首先，為了貫徹上述立場，我國同樣應當明確締約國在原則上不得以市場準入為條件，強制要求訪問、轉讓、公開他國企業的源代碼及當中的算法。算法同樣應當納入調整對象，因為從私權保護視角，算法的商業秘密可保護性與源代碼是一樣的。其次，為保障締約國尤其是數量龐大的發展中國家的安全利益，我國提議的方案應當盡可能多地涵蓋“例外場景”，確保國家監管的順利開展。就此而言，美日歐模板、WTO提案所列舉的例外，都可以考慮納入我國提議的源代碼規則之中。最后，締約國在行使國家監管權，在“例外場景”采取強制披露源代碼的措施時，必須遵循依法行政原則和比例原則，依據不同政策需要，針對不同的源代碼擁有者和軟件應用場景，確定不同強度的“披露”措施，并配套相應的保障措施，給軟件權利人提供相應的救濟。