?

開源軟件對人工智能技術(shù)發(fā)展的影響

?

人工智能技術(shù)的發(fā)展離不開基礎(chǔ)研究的深入，這一技術(shù)的發(fā)展非常迅速，科技巨頭們都在著眼于構(gòu)建具有活力的開源社區(qū)，以便拓展自身的開源生態(tài)圈。2015年，谷歌推出了其開源框架解決方案TensorFlow，它是一個用于機(jī)器智能的開源軟件庫，吸引了不同的企業(yè)到這個平臺訓(xùn)練他們的模型，這個系統(tǒng)的通用性使其也可廣泛用于其他計算領(lǐng)域。Facebook也推出了Caffe2框架，旨在讓微軟和亞馬遜等主要市場參與者和社交網(wǎng)絡(luò)的PyTorch框架一起使用這個平臺。[2]開源平臺的發(fā)展確實讓企業(yè)獲得了更多創(chuàng)新力量，他們推出的深度學(xué)習(xí)開源平臺在全球人工智能領(lǐng)域占有很大的份額。截至目前，知名開源社區(qū)GitHub上已經(jīng)匯集了6500多萬的開發(fā)者、300多萬家公司和機(jī)構(gòu)，擁有超過2億的代碼庫，其中人工智能項目的占比很高，人工智能代碼開源已經(jīng)成為了發(fā)展的主要趨勢之一。[3]2021年7月8日，中國科學(xué)院院士梅宏在世界人工智能大會上提出，人工智能的快速發(fā)展離不開代碼開源和數(shù)據(jù)開放，高質(zhì)量的開放數(shù)據(jù)促進(jìn)了深度學(xué)習(xí)算法突飛猛進(jìn)，深度學(xué)習(xí)框架極大提升了算法開發(fā)的效率，兩者相輔相成。[4]

?

在大數(shù)據(jù)產(chǎn)品領(lǐng)域中，基本上所有的數(shù)據(jù)庫產(chǎn)品都繞不過使用 MariaDB 、PostgreSQL 和 MongoDB等開源數(shù)據(jù)庫的核心代碼。著名手機(jī)系統(tǒng)安卓系統(tǒng)也采用了Linux內(nèi)核項目，而該項目本身也是開源軟件。開源軟件的運用使得其他使用者不用從頭開始開發(fā)一個全新的系統(tǒng)，只需要在已有的開源項目的基礎(chǔ)上進(jìn)行修改和定制即可，最重要的是，開源軟件通常是免費的，這在很大程度上刺激了行業(yè)創(chuàng)新的積極性。

?

我國的人工智能開源項目正處于起步階段，2018年中國人工智能開源軟件發(fā)展聯(lián)盟發(fā)布的《中國人工智能開源軟件發(fā)展白皮書（2018）》中指出，人工智能開源軟件是驅(qū)動人工智能技術(shù)創(chuàng)新和應(yīng)用的重要支撐力量。2021年兩會期間發(fā)布的《中華人民共和國國民經(jīng)濟(jì)和社會發(fā)展第十四個五年規(guī)劃和2035年遠(yuǎn)景目標(biāo)綱要》中也指出，"支持?jǐn)?shù)字技術(shù)開源社區(qū)等創(chuàng)新聯(lián)合體發(fā)展，完善開源知識產(chǎn)權(quán)和法律體系，鼓勵企業(yè)開放軟件源代碼、硬件設(shè)計和應(yīng)用服務(wù)。"目前，我國已經(jīng)打造了OpenI啟智平臺、之江天樞人工智能開源平臺等項目，為人工智能行業(yè)的發(fā)展提供新動力。

?

開源軟件的特點

?

?

開源軟件對人工智能技術(shù)的發(fā)展至關(guān)重要，那么了解開源軟件的法律性質(zhì)就成為使用開源軟件的前提。開源軟件通常被認(rèn)為是指開放源代碼的軟件，任何人可以查看、修改或者增加其源代碼。開源軟件與專有軟件不同，專有軟件的使用需要經(jīng)過作者的同意或者獲得授權(quán)，一般情況下還需要支付費用。而開源軟件是由其作者將源代碼公開在網(wǎng)絡(luò)上，任何人可依據(jù)開源協(xié)議的要求使用相應(yīng)的源代碼。開源軟件仍然屬于作品，受到著作權(quán)的保護(hù)，開源軟件的作者仍然對其公開的源代碼享有著作權(quán)。需要明確的是，在沒有任何前提地公開源代碼并不意味著任何人可以隨意使用，相反，根據(jù)各國著作權(quán)法一般的規(guī)定，著作權(quán)人對源代碼享有權(quán)利，任何人不得未經(jīng)同意復(fù)制、使用、傳播其作品。因此，如果作者希望更多的人能夠來使用、修改、完善自己發(fā)布的代碼，其可以通過選擇相應(yīng)的開源協(xié)議，通過建立作者與使用者之間的授權(quán)許可關(guān)系，免除使用者的侵權(quán)責(zé)任。

?

?

既然開源協(xié)議對使用者的行為提出了相應(yīng)的要求，那么又由誰來保證使用者實際遵循了這些要求呢？1985年，理查德·斯托曼發(fā)起成立了自由軟件基金會（Free Software Foundation，F(xiàn)SF），它是一個致力于促進(jìn)計算機(jī)用戶自由的非營利組織。最初成立該組織的目的是為了促進(jìn)自由軟件的開發(fā)，目前該協(xié)會自身就擁有GNU操作系統(tǒng)的版權(quán)。除此之外，通過協(xié)議簽署，F(xiàn)SF已經(jīng)擁有大多數(shù)GNU軟件和其他一些自由軟件的版權(quán)，以便FSF可以通過訴訟要求使用者履行開源協(xié)議項下的義務(wù)。

?

早在2008年，思科公司曾因為其銷售的無線路由器Linksys WRT54G的固件中使用了GNU/Linux系統(tǒng)但未向用戶發(fā)布所有的源代碼而遭到FSF的起訴。在此之前的幾年中，F(xiàn)SF一直嘗試與思科公司溝通希望說服其主動發(fā)布產(chǎn)品源代碼，但是并沒有得到有效的回復(fù)。在訴訟過程中，雙方最終達(dá)成和解，思科公司將任命一名免費軟件總監(jiān)，負(fù)責(zé)使Linksys品牌產(chǎn)品符合GPL授權(quán)方式，并向FSF匯報相關(guān)情況。思科公司還將告知現(xiàn)有Linksys客戶他們的權(quán)利，并在網(wǎng)站上發(fā)布產(chǎn)品源代碼，將源代碼反饋給FSF。

?

除了擁有開源軟件版權(quán)的機(jī)構(gòu)，開源軟件的作者自身也可以依據(jù)開源協(xié)議的內(nèi)容進(jìn)行維權(quán)。社區(qū)維權(quán)[5]被認(rèn)為是更理想的維權(quán)方式，不過在開源社區(qū)中，大多數(shù)人認(rèn)為更主要的努力方向是促使使用人合規(guī)，而不是懲罰。[6]

?

?

（1）開源協(xié)議的主要內(nèi)容

?

開源協(xié)議是軟件開源時使用了許可證，其主要作用是規(guī)定了許可內(nèi)容，以便使用人能夠自由地使用作者發(fā)布的源代碼，而不必?fù)?dān)心侵權(quán)他人版權(quán)的問題。一般的軟件許可協(xié)議中會規(guī)定許可使用的期間、地域范圍，權(quán)利類型，許可的具體權(quán)利，如復(fù)制、修改、傳播、收費等權(quán)利。某些開源協(xié)議中還會對代碼有關(guān)的專利許可進(jìn)行約定。

?

（2）常見的開源協(xié)議

?

目前比較常用的開源協(xié)議有GNU General Public License (GPL)、Apache License 2.0、BSD licenses、 "Lesser" General Public License (LGPL)、MIT license、Mozilla Public License 1.1 (MPL)和Common Public License 1.0等，已有的開源協(xié)議已經(jīng)多達(dá)八十幾種。

?

?

使用開源軟件的主要風(fēng)險

?

?

在開源協(xié)議的背景下，選擇適合企業(yè)情況的許可證至關(guān)重要，這決定了軟件使用者的自由程度。如果選擇得當(dāng)，企業(yè)可以享受開源社區(qū)便利的同時提高自身產(chǎn)品的適應(yīng)性。但是選擇不當(dāng)，則有可能為衍生產(chǎn)品的使用埋下隱患。

?

（1）GPL許可中的強制開源

?

GPL協(xié)議具有高度的"傳染性"，其允許第三方對開源的代碼進(jìn)行免費使用、修改，但是不允許將修改后的代碼作為閉源的商業(yè)軟件發(fā)布和銷售。著名的Linux內(nèi)核開源項目就是使用的GPL協(xié)議，由于使用Linux內(nèi)核開源項目的上層服務(wù)不可避免地會涉及到調(diào)用Linux內(nèi)核的文件，如果將該行為視為創(chuàng)作了衍生產(chǎn)品，那么將導(dǎo)致上層服務(wù)的源代碼將會被受GPL協(xié)議控制的Linux內(nèi)核開源項目所"傳染"，從而需要接受GPL協(xié)議。這就形成了一個以Linux內(nèi)核開源項目為核心的傳染源，任何基于Linux開發(fā)的內(nèi)核到驅(qū)動到中間服務(wù)到上層應(yīng)用都受到GPL協(xié)議的控制，在符合發(fā)布軟件的條件下需要向大眾開放源碼。不過Linux內(nèi)核的作者Linus Torvalds以及內(nèi)核開發(fā)人員多次澄清普通系統(tǒng)調(diào)用為非GPL的作用范圍，也就是允許 Linux 用戶空間的程序使用其他許可證。

?

2018年，軟件自由保護(hù)協(xié)會（Software Freedom Conservancy）罕見地在其博客對某知名車企的GPL合規(guī)問題的細(xì)節(jié)進(jìn)行了披露。SFC指出，其從2013年6月以來就收到多起有關(guān)S車型的GPL違規(guī)報告，該車型搭載的車載系統(tǒng)中含有BusyBox和Linux項目，但是該公司卻遲遲沒有向用戶公開該系統(tǒng)的源碼。SFC就此問題一直在督促其盡快提供完整的，但是在漫長的溝通過程中，該公司至今仍然沒有向SFC或者公眾提供符合GPL協(xié)議要求的源碼。

?

另一個值得注意的點是，GPL協(xié)議要求使用者在分發(fā)軟件時提供源代碼，這意味著如果使用者在修改代碼后不以分發(fā)的方式向用戶提供程序，那么就沒有必要向用戶提供代碼。例如目前Saas模式下，供應(yīng)商將應(yīng)用軟件部署在自己的服務(wù)器上，用戶通過互聯(lián)網(wǎng)獲得供應(yīng)商提供的服務(wù)，而不需要供應(yīng)商發(fā)布任何的源碼或者目標(biāo)代碼。在這種情況下，供應(yīng)商不存在代碼發(fā)布行為，因此不需要將修改后的代碼予以開源。

?

（2）雙重許可

?

雙重許可是指版權(quán)方既把產(chǎn)品作為商業(yè)軟件銷售，又適用開源協(xié)議供公眾使用。一方面，版權(quán)方可以通過商業(yè)銷售獲得利潤，另一方面，又可以利用開源社區(qū)的優(yōu)勢為軟件更新增添活力。例如許可人可以選擇同時使用專有許可和GPL協(xié)議，GPL協(xié)議保證了被許可人如果要發(fā)布修改后的產(chǎn)品，其必須一并提供產(chǎn)品的源代碼。當(dāng)然許可人也可以選擇更為寬松的許可證，這樣可以利用開源社區(qū)強大的研發(fā)力量更新自己的產(chǎn)品，將衍生代碼合并到自己的產(chǎn)品中。MySQL數(shù)據(jù)庫管理系統(tǒng)使用的就是雙重許可的模式，一邊以專有許可的模式滿足用戶的使用需求，一邊以GPL許可證的優(yōu)勢來獲得更新的軟件。[7]

?

（3）違反開源協(xié)議后的法律風(fēng)險

?

歐洲自由軟件基金會的FTF部門與GPL維護(hù)組織（GPL-Violations.org）在2008年發(fā)布了一份《舉報和修復(fù)違反許可證行為指南》，該指南主要是對常見的開源軟件合規(guī)性問題進(jìn)行解釋。例如任何人都可以向基金會或者GPL維護(hù)組織舉報企業(yè)的違規(guī)行為，當(dāng)收到舉報通知之后，歐洲自由軟件基金會與GPL-Violations.org會通過郵件或信件方式與違規(guī)者協(xié)商，協(xié)商不成可能會采取訴訟方式達(dá)成庭外和解或者申請法院禁令。根據(jù)GPL-Violations.org的經(jīng)驗，其已在德國和美國獲得了成功的案件判決。

?

?

開源軟件僅是就軟件授予著作權(quán)方面的許可，在某些開源協(xié)議項下并不包含專利許可，因此如果軟件包含已申請的專利，使用該開源軟件就有可能存在專利侵權(quán)的風(fēng)險。例如，BSD、MIT許可證就不包括專利許可，而Apache-2.0和GPL協(xié)議則包含了專利的普通授權(quán)許可，使用人在獲得著作權(quán)許可的同時也不必?fù)?dān)心存在專利侵權(quán)的風(fēng)險。對于沒有明示有專利授權(quán)的開源軟件，在使用前應(yīng)當(dāng)進(jìn)行相關(guān)的專利檢索，如存在有效的專利，使用該開源軟件則存在專利侵權(quán)的風(fēng)險。

?

?

在使用開源軟件時，一旦開源軟件的代碼存在安全缺陷，人工智能企業(yè)將面臨著嚴(yán)重的安全問題。據(jù)調(diào)查，針對人工智能行業(yè)在開源軟件代碼安全缺陷分析中，項目主要的安全缺陷就來自于API誤用和代碼質(zhì)量問題，其比例占所有安全問題的94%。[8]而使用開源軟件因其缺陷問題受到網(wǎng)絡(luò)攻擊的后果只能由使用者自行承擔(dān)，無法向開源軟件的提供者進(jìn)行追償。例如RealAI發(fā)布的RealSafe人工智能安全平臺通過測試得出微軟、亞馬遜云服務(wù)的人臉比對演示平臺存在巨大安全漏洞。目前，人臉識別技術(shù)廣泛應(yīng)用于金融遠(yuǎn)程開戶、手機(jī)解鎖、支付驗證等場景，如果這一漏洞被不法分子所利用，將會對用戶的人身財產(chǎn)安全造成巨大影響，屆時可能會產(chǎn)生用戶向產(chǎn)品供應(yīng)商進(jìn)行索賠的情況。

?

?

隨著中美關(guān)系的日益緊張，美國對中國實行的技術(shù)進(jìn)出口管制政策趨于嚴(yán)厲，美國聯(lián)邦政府發(fā)布的《出口管理條例》（Export Administration Regulations，以下簡稱"EAR"）不但可以管制從美國境內(nèi)向境外輸送實物產(chǎn)品，還包括向美國境外人員提供用于電子傳輸?shù)能浖Ｔ谌蜃畲蟮拇a托管平臺Github的用戶協(xié)議上明確表示，其網(wǎng)站上的信息都可能受美國出口管制法律的約束，包括美國出口管理條例（EAR）。Apache基金會開發(fā)的產(chǎn)品是通過公開論壇在線協(xié)作完成的，通過美國的中心服務(wù)器進(jìn)行分發(fā)，因此Apache開源協(xié)議也同樣需要受到美國出口法律法規(guī)的管轄。

?

不過，根據(jù)EAR的規(guī)定，大部分已發(fā)布的開源代碼并不會受到進(jìn)出口的限制。例如，已公開發(fā)布的開源軟件、已公開發(fā)布的開源規(guī)范、已公開發(fā)布的，說明硬件設(shè)計的開源文檔和已公開發(fā)布的開源軟件二進(jìn)制均不受EAR的限制。但是，EAR規(guī)制了特定加密軟件和技術(shù)的出口，包括僅激活或啟用其他軟硬件產(chǎn)品的加密功能的軟件。[9]因此，在使用開源軟件時還應(yīng)當(dāng)結(jié)合當(dāng)?shù)氐募夹g(shù)進(jìn)出口管制措施，如相關(guān)技術(shù)落入管制范圍，則需要按照當(dāng)?shù)氐姆煞ㄒ?guī)進(jìn)行申報獲得許可后才能引入，否則可能引發(fā)不必要的法律風(fēng)險。

?

人工智能企業(yè)合規(guī)建議

?

?

為避免在使用開源軟件過程中發(fā)生的風(fēng)險，建議企業(yè)在內(nèi)部管理機(jī)制上增設(shè)開源項目管理流程或者部門，以便對開源軟件的使用安全性、合法性進(jìn)行評估。隨著國際化程度的不斷加深，中國產(chǎn)品越來越多出口到國外，開源軟件風(fēng)險問題也日益突出。企業(yè)可能會遇到用戶個人或者軟件自由保護(hù)協(xié)會的通知，要求其履行開源協(xié)議的義務(wù)。雖然目前在國內(nèi)環(huán)境下，開源協(xié)議的履行尚未得到司法確認(rèn)，但是已經(jīng)有了承認(rèn)開源協(xié)議效力的判例。企業(yè)應(yīng)當(dāng)盡早了解風(fēng)險，做好風(fēng)險預(yù)防，在面臨相關(guān)風(fēng)險前培養(yǎng)自身抵抗風(fēng)險的能力。

?

?

除了開源軟件的進(jìn)出口限制，企業(yè)還應(yīng)當(dāng)依據(jù)購買軟件時技術(shù)出口方國家的技術(shù)進(jìn)出口措施進(jìn)行合規(guī)審核。在目前復(fù)雜多變的國際政治經(jīng)濟(jì)形勢下，大國之間的博弈也常常體現(xiàn)在對技術(shù)進(jìn)出口的限制上。美國曾發(fā)布相關(guān)措施限制人工智能軟件的出口，限制出口的軟件包括應(yīng)用于智能化傳感器、無人機(jī)、衛(wèi)星和其他自動化設(shè)備的目標(biāo)識別軟件（無論民用或軍用）等。企業(yè)一旦落入或者違反相關(guān)規(guī)范，可能導(dǎo)致被制裁的后果，對未來在該國從事商業(yè)活動造成嚴(yán)重影響。

?

?

由于開源軟件的許可證不一定明示了專利許可，因此，在使用他人的開源代碼前，應(yīng)當(dāng)根據(jù)使用地域?qū)Ξ?dāng)?shù)氐膶＠郧闆r進(jìn)行檢索。如果權(quán)利人已經(jīng)在先注冊專利，那么該開源代碼使用方式就受到了限制，企業(yè)應(yīng)當(dāng)根據(jù)自身需求，判斷是否能夠繼續(xù)利用該開源代碼以及如何利用。

?

?

選擇合適的許可方式是保證可持續(xù)性發(fā)展的前提，企業(yè)可以以專有許可、開源許可證或者雙重許可的方式選擇是否對公眾發(fā)布產(chǎn)品的源代碼，以及后續(xù)以何種方式更新。如果一項成果是基于已有作品修改完成的，那么它最好符合原作品許可協(xié)議的要求，因為協(xié)議中有可能要求它遵從相同的許可證發(fā)布。對于不值得更新的小程序來說，使用GPL是不適宜的，因為它無法發(fā)揮自身傳遞性的優(yōu)勢，刺激后人對開源的軟件進(jìn)行補充、修改或者更新。

?

?

如前所述，人工智能技術(shù)離不開開源軟件的支持，在并購交易中，如涉及人工智能企業(yè)或者其他軟件研發(fā)企業(yè)，對其軟件進(jìn)行開源風(fēng)險核查是十分必要的。通過對軟件使用的開源軟件、開源協(xié)議的調(diào)查可以識別相應(yīng)的商業(yè)軟件本身是否存在開源風(fēng)險、安全漏洞或者質(zhì)量問題，使用方是否已經(jīng)履行了許可協(xié)議相關(guān)的義務(wù)，為交易雙方的安全交易提供法律保障。

?