aiyouxiNews

aiyouxiNews开源软件相关出口管制政策与规定(美国)

time:2022-10-14 08:32:51hit:31

  美国对于开源软件的管辖基于“已公开”或者“公开可获得”的概念。有一些事项被明确列为“不受制于”EAR,意味着它们“被置于EAR法规管辖外并不受这些法规的约束 。”具体来说,以下典型事项(未详尽列举)下不受到EAR限制,因为“开源”“已发布”:

  关于。用户只能在遵守适用法律的前提下访问和使用GitHub.com,包括美国出口管制和制裁法律。GitHub.com不得用于相关出口管制法律禁止的用途,包括与开发、生产或使用核武器、生物武器或化学武器或者远程导弹或无人机有关的用途。

  RISC-V基金会隶属于Linux基金会,以满足 EAR§742.15(b)中的“公开可用”通知要求。同时明确表示,适用许可证例外的情况或者出口方已经获得了出口许可证。有些物品是受制于EAR的,BIS在 2016 年 9 月 20 日就规定说明,开源代码属于“公开发布”和“已发布”的范畴,在《Apache 软件基金会关于“非美国子公司已添加到美国联邦登记公告实体裁决清单”的声明》一文中。

  包括加密软件erykhood.com,Apache基金会的管理办法明确说明遵循美国出口管制,美国出口管制条例(以下简称EAR)界定了某些可能受到出口限制的事项(包括软件和技术)的范围。Apache 基金会表示,开源软件erykhood.com、开源代码协作、开放式的电话会议以及提供赞助资金都不受 EAR 约束的活动。Linux 基金会发布的有关开源社区注意事项的白皮书《Understanding Open Source Technology &US Export Controls》(《了解开源科技和美国出口管制》)中声明,(1)出口和再出口实体清单上指定的限制情况仅限用于受出口管理条例(EAR)约束的特定活动和交易。这代表它们在EAR的管控范围内,因此RISC-V基金会拥有的RISC-V开放指令集标准并不会受美国出口管制。均可公开获取,所以,并只能在符合以下条件的前提下出口:无需许可证就可出口,(2)对于开源的加密软件源代码,但在备案(5D002)后即不受EAR出口管制;没有特别声明受美国出口管制,Linux基金会的所有项目源代码,(3)涉及加密软件源代码的开源项目仍然需要向 BIS 和 NSA 发送 URL 通知,Linux基金会的项目源代码及对应的目标代码均不受 EAR关于加密的限制。不受 EAR 约束。

  开源是信息社会的生产方式之一,全球范围的源代码开放,是开源软件的一个特征。开源软件的最大优势之一是跨边界协作。开源协作透明、公开且能跨越组织边界,促使世界各地的开发人员、学者和工作人员一同成就比个人力量所能造就的更为伟大的开源技术。开源发展是一项全球性活动,必然涉及软件的跨国界分享。但一些国家的国内法规可能要求开源项目采取额外措施,确保遵守当地法律规定的义务,这就使得企业在采用开源软件过程中面临一些风险,本文主要从出口管制的角度,介绍美国有关于开源软件出口管制的相关政策,以及主要开源基金会和代码托管平台的相关规定,为企业规避开源知识产权风险提供帮助。

  对于属于ECCN 5D002的加密源代码,美国立法者认为加密技术有可能会被利用来危害美国的国家安全,因此他们将包含加密功能的开源软件进行特别对待。如符合以下两个条件,则不在EAR的管辖范围内:(1)该源代码是“可公开获取”的,以及(2)已向EAR第742.15(b)条所载的电子邮箱地址发送了电子邮件以示通知。如果软件的源代码变动频繁,软件作者或者使用者也可以将下载该软件源代码的网址以及软件名称发送给美国商务部工业与安全局(BIS)和美国国家安全局(NSA)的特定邮箱进行备案,就无须重复性的将不断变更的软件源代码发送给BIS和NSA的特定邮箱。

  关于GitHub Enterprise Servererykhood.com。GitHub Enterprise Server不得出售给、出口到或再出口到黑名单上的任何国家。该清单目前包括古巴、伊朗、朝鲜、苏丹和叙利亚,但可能会有变化。

  《GitHub和出口管制条例》中表示,GitHub Enterprise Server以及上传到这任何一种产品的信息可能受制于美国出口管制法律,包括美国《出口管理条例》(EAR)。

  且已经提供了上文所要求的电子邮件通知。并在官网上公开了上述电子邮件通知的内容。“ECCNs”(Export Control Classification Numbers)是EAR法下用于物品分类(包括软件和技术)的编码。2019年,来自Linux基金会以及与其合作的项目社区的开源软件均满足EAR第734.7条中“已发布”的要求。

14

Oct
2022