開源軟體的出口管制法出台了！

　　權利：作者 詹毅，上海執業律師，華東政法大學兼職教授，微信ZhanyiAttorney。

　　聲明：傳播本文時，請于文首呈現權利及聲明。本律師個人觀點，僅供參考，不構成法律意見書。

　　2021年10月17日，第十三屆全國人大常委會第二十二次會議通過《中華人民共和國出口管制法》（以下簡稱《出口管制法》），自2021年12月1日起施行[1]。出口管制法共計5章49條，包括管制政策、管制清單、管制措施，監督管理、法律責任等内容。

　　開源是資訊社會的生産方式之一，特點是大次元的協作與網絡服務化[2]。是以全球範圍的源代碼開放，是開源軟體的一個特征[3]。我國的開源軟體技術已經全面進軍作業系統、雲原生、人工智能、大資料等主要領域，例如在容器技術、微服務技術、DevOps技術上，均有中國的開源貢獻。

　　那麼我國企業做軟體技術開源，需不需進行《出口管制法》合規呢？

　　一、開源軟體是否落入《出口管制法》的管制範圍？

　　這取決于開源軟體[4]是否屬于《出口管制法》管制的對象，即管制物項。由于開源是軟體的一種生産方式，是以這個問題實際上就是軟體是否屬于管制物項？根據《出口管制法》第二條的規定，管制物項包括四類：軍民兩用物項、軍品、核、其他與維護國家安全和利益、履行防擴散等國際義務相關的貨物、技術、服務等物項。軟體應屬于技術的範疇，與服務貿易也有關，當然也可能存在于裝置、産品裡面。

　　但要具體知道自己的軟體技術是否落入《出口管制法》的範圍，根據《出口管制法》的第四條、第九條的規定，還需要看在不在“管制清單”或者“臨時管制清單”裡面。

　　參考借鑒一下2021年8月的“《中國禁止出口限制出口技術目錄》調整内容”[5]，根據這份檔案的規定，下列軟體屬于限制出口技術：語音合成技術（包括語料庫設計、錄制和标注技術，語音信号特征分析和提取技術，文本特征分析和預測技術，語音特征機率統計模型建構技術等）、人工智能互動界面技術（包括語音識别技術，麥克風陣列技術，語音喚醒技術，互動了解技術等）、語音評測技術（包括朗讀自動評分技術，口語表達自動評分技術，發音檢錯技術等）、基于資料分析的個性化資訊推送服務技術、資料庫系統安全增強技術等。

　　是以，如果你的軟體能夠在管制清單裡找到，就屬于管制物項。這時，你可能會說，你隻是遵循了國際通行的開源法則，将軟體代碼開源，并沒有向特定的外國組織或者個人提供，是以《出口管制法》管不着？你還有可能說，你是對GNU GPLv3開源許可證項下開源社群上的已有代碼，做了技術上的改進，根據該許可證對産生的新代碼應當繼續開源，否則就違反了開源法則，是以《出口管制法》也管不着？本文第二部分将讨論這些問題。

　　需要說明是，在《出口管制法》立法讨論時，曾有明确建議将“源代碼、算法一并列入管制物項”[6]，這既表明軟體作為資訊社會的核心關鍵技術，無疑是《出口管制法》關注、管制的範疇，也表明軟體出口的管制怎麼來落實，包括哪些細節，還有待細則檔案來認定。

　　二、開源是否屬于《出口管制法》上的“出口”？

　　先來看什麼是《出口管制法》上的“出口”。

　　根據《出口管制法》第二條的規定，從中華人民共和國境内向境外轉移管制物項的，屬于“出口”；中華人民共和國公民、法人和非法人組織向外國組織和個人提供管制物項也屬于“出口”（也稱之為“視同出口”（deemed export））。第四十五條還規定有“再出口”，但具體含義尚待細則檔案來明确。

　　我們根據這一規定，通過幾個假想例，來分析幾種常見的開源行為是否算《出口管制法》上的“出口”。

　　第一種情況，國内某企業決定開源其研發的一個軟體，在標明開源許可證後，将GitHub作為代碼托管、後續協作的平台。我們知道在2021年6月，微軟宣布 75 億美元收購GitHub，微軟是一家美國公司，而GitHub的具體營運公司也是位于舊金山的美國公司，

二手手遊賬号轉讓

均屬于外國組織，而GitHub的代碼存儲空間主要也在美國。實際上，GitHub也提及了GitHub網站、企業伺服器以及使用者上傳的産品、資訊可能受貿易管制法規包括美國出口管理法規（EAR）的限制，并詳細規定了使用者隻能根據适用法律（包括美國出口管制和制裁法律）通路、使用GitHub[7]。是以，這種形式的源代碼開源，如果涉及禁止或者限制出口的軟體技術，有很大可能被主管部門認定屬于“出口”。

　　第二種情況，國内某企業決定将其研發的機器學習程式捐贈給Linux基金會。假設這項機器學習程式有着先進的算法，屬于禁止出口的技術，而Linux基金會是根據美國聯邦稅法501（c）(3)成立的非盈利機構，屬于外國組織。是以該企業向Linux基金會捐贈源代碼及相關材料的行為，也有很大的可能被主管部門認定屬于“出口”。

　　第三種情況，國内某企業對GPL許可證項下的Linux核心，作出了重大技術貢獻，該項創新屬于禁止出口的技術。根據GPL開源許可證，該企業的創新應當在相應的國外社群公開源代碼，那麼這種情況下，也有很大的可能被主管部門認定屬于“出口”。這裡涉及到的國内法與開源許可證的沖突及解決，将找時間再撰文讨論。

　　第四種情況，國内某企業決定将其軟體開源到gitee上，但該軟體屬于限制出口技術。gitee營運公司是位于深圳的中國注冊公司[8]，而源代碼的存儲空間也應在我國境内，雖然網絡具有全球可通路性，但不應認定為“出口”。需要指出的是，如果該軟體涉及國家保密規定的，應遵守相關的要求。

　　當然，在開源生态日益豐富的今天，做開源涉及到《出口管制法》的情況，還有很多，為了做到合規開源，企業應有充分的法律與制度準備。

　　三、做開源應有的合規動作

　　做開源的企業應注意合規動作，這裡給出以下的幾個建議：

　　一是設立合規部門或專員，制定合規流程。這也是《出口管制法》所鼓勵的，該法第十四條規定，出口經營者建立出口管制内部合規制度，且運作情況良好的，國家出口管制管理部門可以對其出口有關管制物項給予通用許可等便利措施。合規專員的工作，包括做好風險評估，在開源前對照“管制清單”“臨時管制清單”等檔案，對于需要出口的管制物項，應當送出國家有關部門準許。

　　二是運用好咨詢機制。《出口管制法》第十二條規定，無法确定拟出口的貨物、技術和服務是否屬于本法規定的管制物項，向國家出口管制管理部門提出咨詢的，國家出口管制管理部門應當及時答複。根據該條規定，如果無法确定應不應開源的，可以依照法定程式提出咨詢。

　　三是建立最終使用者與最終用途監控制度。包括關注國家公布的“管控名單”“不可靠實體清單”。還應及時送出送出管制物項的最終使用者、最終用途證明檔案。根據《出口管制法》第十五條的規定，有關證明檔案由最終使用者或者最終使用者所在國家和地區政府機構出具。

　　四是增強風險識别能力，對于《出口管制法》第四十八條規定的“對等措施”[9]，應準備好預案。

　　開源在多大程度涉及出口管制，還需要進一步的觀察。相信随着《出口管制法》及其細則的實施，涉及軟體開源的諸多法律疑問，會得到清晰的答案。

　　注釋：

　　[1] 《出口管制法》全文見全國人大網：

　　npc/npc/c30834/202110/cf4e0455f6424a38b5aecf8001712c43.shtml，2021年10月19日最近一次通路。

　　[2] 《定義未來：開源法》：

　　sohu/a/359358470_99915568，2021年10月19日最近一次通路。

　　[3] 怎麼了解開源技術領域的“開放”原則，可以參考《定義未來：開源法》一文，（

　　sohu/a/359358470_99915568，2021年10月19日最近一次通路），我在該文裡提出，開放、商業是開源法的原則。

　　[4] 怎麼了解“開源”即Open Source在法律上的含義，可以參考以下兩文《“木蘭”許可證專家評論》：

　　cloud.tencent/developer/article/1487822，《做開源應知道的三個法律要點》：

　　sohu/a/350892075_827544，我在這兩篇文章裡，提及了對“開源軟體”“開源許可證”内涵的認識。

　　[5]《中國禁止出口限制出口技術目錄》調整内容：

　　most/tztg/202108/W020210828781000006753.pdf，2021年10月19日最近一次通路。

　　[6] 鳳凰網“《出口管制法》12月起實施：三審稿源代碼和算法列入管制範圍”：

　　finance.ifeng/c/80eRhqkDakK，2021年10月19日最近一次通路。

　　[7] Github and Trade Controls：

　　docs.github/en/free-pro-team@

　　latest/github/site-policy/github-and-trade-controls#export-overview，2021年10月19日最近一次通路。

　　[8] 關于我們：

　　gitee/about_us，2021年10月19日最近一次通路。

　　[9]《出口管制法》第四十八條規定：任何國家或者地區濫用出口管制措施危害中華人民共和國國家安全和利益的，中華人民共和國可以根據實際情況對該國家或者地區對等采取措施。