開源軟件網(wǎng)絡(luò)安全的法律問題受到境外的進(jìn)出口監(jiān)管和境內(nèi)《網(wǎng)絡(luò)安全法》的雙重考驗(yàn)。境外國家基于主權(quán)的出口規(guī)則穿透并從軟件、源碼、人員、平臺等角度分別對開源進(jìn)行監(jiān)管，本國《網(wǎng)絡(luò)安全法》的體系規(guī)則則對開源的繁榮與安全之間的平衡重新設(shè)定了評價(jià)機(jī)制。在兩者多因素作用下， 開源軟件的網(wǎng)絡(luò)安全實(shí)踐活動(dòng)需要審慎調(diào)整以迎合或規(guī)避監(jiān)管規(guī)則變化帶來的深刻挑戰(zhàn)。

　　本文分析了開源軟件的協(xié)議安全問題，以事件導(dǎo)向引入并回答了合同與進(jìn)出口監(jiān)管沖突的若干問題，并以此為契機(jī)對開源軟件的網(wǎng)絡(luò)安全法律問題進(jìn)行了梳理，提出了相應(yīng)建議。

　　1 背景

　　2019 年 5 月， 公開信息顯示 Linux 基金會就列入美國商務(wù)部實(shí)體名單實(shí)體的開源軟件適用性和是否限制出口作出了聲明，其主要觀點(diǎn)涉及四點(diǎn)：

　　（1）當(dāng)前在法律上對名單實(shí)體的限制主要圍繞出口監(jiān)管規(guī)則（EAR）進(jìn)行；

　?。?）對于開源軟件中的開源加密軟件的源碼，已經(jīng)屬于“可公開獲取”的物項(xiàng)，因此不受EAR 監(jiān)管；

　　（3）單獨(dú)的開源（軟件）項(xiàng)目（按照公開信息顯示目前維護(hù)數(shù)量大致在 123 個(gè)）仍然應(yīng)當(dāng)向商務(wù)部工業(yè)與安全局（BIS）和國家安全局（NSA） 履行EAR 規(guī)定通知要求，方能滿足“可公開獲取” 的條件；

　?。?）開源軟件、開源代碼協(xié)作、會議、培訓(xùn)、會員資格或贊助屬于不受 EAR 約束的活動(dòng)。

　　結(jié)合該聲明及其前后的各方解讀，產(chǎn)生了以下幾個(gè)主要問題：

　　一是開源協(xié)議是否能夠抗辯出口監(jiān)管；

　　二是如果開源協(xié)議不能或不足以抗辯出口監(jiān)管，如何在出口監(jiān)管規(guī)則中尋求開源出口的合規(guī)，或者說例外適用；

　　三是如果已知案例認(rèn)定開源（代碼）作為言論自由的表達(dá)， 這些既有的經(jīng)典案例是否足以繼續(xù)支撐“表達(dá)的出口”，是否可能只需一個(gè)案例就可顛覆經(jīng)典， 還是需要通過修改EAR 才能限制“表達(dá)的出口”；四是一些技術(shù)救濟(jì)方式，例如同步、鏡像、分支等等是否可采、可行；五是是否還有更為有效的激發(fā)開源活力和提升安全的機(jī)制。

　　本文嘗試對上述問題進(jìn)行一些粗淺的分析， 以期深入業(yè)界對開源的長遠(yuǎn)思考和布局，繁榮開源發(fā)展。為了聚焦本意，本文不再嚴(yán)格區(qū)分自由軟件等概念。

　　2開源軟件網(wǎng)絡(luò)安全的法律問題

　　2.1開源協(xié)議及其脆弱性

　　所謂的開源協(xié)議，實(shí)際上主要指包括開源軟件在內(nèi)的著作權(quán)許可協(xié)議，例如典型的 GNU General Public License 等。在許可協(xié)議中，通過將著作權(quán)法下規(guī)定的著作權(quán)人的發(fā)表權(quán)、署名權(quán)、修改權(quán)、復(fù)制權(quán)、發(fā)行權(quán)、傳播權(quán)等權(quán)利按照《計(jì)算機(jī)軟件保護(hù)條例》第 18 條“許可他人行使軟件著作權(quán)的，應(yīng)當(dāng)訂立許可使用合同。許可使用合同中軟件著作權(quán)人未明確許可的權(quán)利，被許可人不得行使”等規(guī)定，進(jìn)行部分或全部的讓渡，吸納和鼓勵(lì)更多的人員參與軟件開發(fā)與維護(hù)，如漏洞脆弱性發(fā)掘等。

　　因此在著作權(quán)法與合同法的民事法律中， 開源協(xié)議是合同各方當(dāng)事人對權(quán)利義務(wù)不違反強(qiáng)制性法律規(guī)定的自行安排，其體現(xiàn)的是民事主體的意思自治。

　　但也正因?yàn)楹贤囊馑甲灾魏拖鄬π缘确商匦?，?dǎo)致開源協(xié)議具有某些可以類比為“脆弱性”的限制，這些限制主要體現(xiàn)在三個(gè)方面：

　?。?）協(xié)議本身可以通過協(xié)商、修訂、補(bǔ)充等方式進(jìn)行修改，乃至在不同的語種翻譯過程中都可能導(dǎo)致語義變化，這也是為何在不同語言版本的協(xié)議中，需要設(shè)定以何種語言為準(zhǔn)的原因（因此 GNU General Public License 的許可協(xié)議以英文為準(zhǔn)，中文翻譯僅供參考，這也不同于在國際公法中，多邊或雙邊協(xié)議的多種語言等同適用 ）；

　　（2）違約責(zé)任的設(shè)置可能導(dǎo)致當(dāng)事人在權(quán)衡各種可能責(zé)任之后做出主動(dòng)或者“惡意”的違約，特別是可以終止許可，禁止開源分支等；

　?。?）從根本上，意思自治和相對性約束了開源協(xié)議僅對協(xié)議各方發(fā)生效力，其與開源軟件進(jìn)出口監(jiān)管屬于不同的法律部門。當(dāng)發(fā)生國家安全、社會公眾利益和個(gè)人（合同方）利益競合時(shí)，就會產(chǎn)生事實(shí)上的法益沖突和優(yōu)先劣后等問題。

　　因此，在回答“開源協(xié)議是否抗辯出口監(jiān)管” 的基本問題上，不應(yīng)對開源協(xié)議施以過高要求或期待，這一訴求已經(jīng)超過了開源社區(qū)所能承受的范圍。例如 GNU 聲明：有時(shí)某些政府的出口管制法規(guī)或者貿(mào)易制裁會限制您在國際上分發(fā)程序副本的自由。軟件開發(fā)者沒有能力消除這種限制或者凌駕于這些限制之上，但開發(fā)者可以且必須做的是拒絕將此種限制作為（用戶） 使用程序的條件。如此，這些限制將不會影響這類政府管轄權(quán)之外的行為或行為人。

　　因此， 自由軟件許可證不得要求用戶遵守任何重要的出口法規(guī)作為先決條件來行使賦予用戶的任何基本自由。然而，它仍然是一個(gè)潛在的問題：因?yàn)橐坏┏隹诜ㄒ?guī)在未來做出變化，就可能使某個(gè)限制變成重要的，從而無法實(shí)現(xiàn)我們期望的軟件自由。當(dāng)然對于開源社區(qū)而言，其所能作出的反應(yīng)不僅限于開源協(xié)議本身。

　　2.2開源的進(jìn)出口監(jiān)管——以美國出口監(jiān)管為例

　　在進(jìn)出口監(jiān)管法律的清單管理模式中，軟件、技術(shù)、系統(tǒng)、設(shè)備、商品、組件和代碼可以屬于不同的物項(xiàng)（items）并予以不同的監(jiān)管編碼，因此盡管《計(jì)算機(jī)軟件保護(hù)條例》規(guī)定“同一計(jì)算機(jī)程序的源程序和目標(biāo)程序?yàn)橥蛔髌贰保珡倪M(jìn)出口監(jiān)管視角，其所體現(xiàn)和承載的物項(xiàng)形式、內(nèi)容、階段、功能等均有不同， 進(jìn)而也適用不同的進(jìn)出口監(jiān)管規(guī)則。

　　也正是基于軟件和代碼的分離，使得開源軟件、開源代碼能夠作為分別的物項(xiàng)出口最終成為可能，使得開源代碼本身可以作為“言論自由”表達(dá)的一種形式進(jìn)入司法審視的范圍（有關(guān)言論自由的相關(guān)案例及評價(jià)，見下文贅述）。

　　對于判斷是否構(gòu)成開源的“可公開獲取” 而言，還是以 EAR 對Linux 基金會所關(guān)注的“加密軟件”為例，就包括了可公開獲取的大宗市場加密目標(biāo)代碼軟件（Mass market encryption object code software）、履行了 EAR《控制策略——基于 CCL 的控制》742.15（b） 郵件通知義務(wù)的可公開獲取的加密源碼（encryption source code）、履行了 EAR《控制策略——基于 CCL 的控制》742.15（b） 郵件通知義務(wù)的可公開獲取的加密目標(biāo)代碼（encryption object code，其相應(yīng)的源碼也符合前述“可公開獲取”）。

　　但是當(dāng)代碼、軟件、系統(tǒng)在形式上統(tǒng)合于某一物項(xiàng)時(shí)，例如以開源軟件，或者包括了開源軟件的應(yīng)用軟件形式出口時(shí)，該物項(xiàng)將作為獨(dú)立的物項(xiàng)進(jìn)行 EAR 的適用性評估，而不能僅以其包括或宣稱為可公開獲取的源碼（merely because it incorporates or calls to publicly available open source code）而認(rèn)為其不適用 EAR 監(jiān)管。

　　這也是 EAR 明確提出的監(jiān)管原則，因此不能想當(dāng)然地認(rèn)為只要或主要為開源代碼，即不適用EAR 監(jiān)管，還應(yīng)當(dāng)考慮其體現(xiàn)為的物項(xiàng)，以及所承載的介質(zhì)（典型的如托管平臺和離線介質(zhì)）。

　　也正因如此，即使在開源協(xié)議中對適用法律和爭議解決不作約定，都無法完全規(guī)避進(jìn)出口監(jiān)管中對開源主體（基金、平臺等）適用屬地的服務(wù)器主義（代碼托管服務(wù)器）管轄權(quán)。開源協(xié)議難以做到與出口管制無關(guān)。

　　2.3源碼與言論自由表達(dá)的確認(rèn)性問題

　　在對美國 1990 年代三大經(jīng)典案例分析的基礎(chǔ)上，一種觀點(diǎn)認(rèn)為“從此之后，美國政府再也不能試圖限制軟件源碼流通了”。

　　2.3.1PGP 案

　　PGP（Pretty Good Privacy）案件和對其作者Philip Zimmermann 長達(dá)三年之久的調(diào)查為 1990 年代第一次“密碼戰(zhàn)爭”（crypto wars）時(shí)期的巔峰之作。最終司法部撤銷了起訴而非敗訴，因此也留下對美國第一修正案是否和多大程度上保護(hù)軟件 / 代碼作為一種言論自由表達(dá)的持續(xù)疑問。

　　這一訴訟不僅沒有針對性的解決源碼與言論自由表達(dá)的問題，事實(shí)上還最終導(dǎo)致了 1998 年之后 PGP 的分化（ 為基于 GNU 的 OpenPGP 和商業(yè)版）。2014 年開始，隨著美國等國家的網(wǎng)絡(luò)服務(wù)提供商開始監(jiān)聽和在郵件流量中移除STARTTLS 標(biāo)記，PGP 及其與它加密協(xié)議的關(guān)系和脆弱性也進(jìn)一步得到發(fā)掘——可出口的 PGP 反而可能成為監(jiān)聽的有效工具。

　　2.3.2Snuffle 案

　　伊利諾斯州立大學(xué) Bernstein 副教授開發(fā)的 Snuffle 軟件試圖通過紙質(zhì)期刊和網(wǎng)絡(luò)發(fā)布，但政府要求其按照軍火出口控制法的規(guī)定注冊為“軍火商”并取得出口許可證。

　　Bernstein 認(rèn)為政府禁令違反了第一修正案。司法部作為被告認(rèn)為如果 Bernstein 的軟件通過計(jì)算機(jī)語言（源代碼）表達(dá)，則不受第一修正案保護(hù)。1996 年和 1997 年（重申），法官 Patel 駁回了政府觀點(diǎn)， “第一次”明確計(jì)算機(jī)源代碼屬于受第一修正案保護(hù)的言論表達(dá)。

　　法院援引了 1971 年五角大樓文件案等判例后認(rèn)為，Arms Export Control Act 和 EAR 的規(guī)定屬于預(yù)先設(shè)定的言論限制，因?yàn)榉ò敢?Bernstein 在發(fā)表其言論之前申請并獲得許可證屬于事先審查機(jī)制，“僅以國家安全利益為由不應(yīng)設(shè)定預(yù)先限制”，還應(yīng)當(dāng)至少考慮第一修正案相關(guān)案例所反復(fù)提及的威脅的直接性和緊迫性，并強(qiáng)調(diào)出口控制所限制自由表達(dá)的言論是基于言論的“內(nèi)容”，而非政府所認(rèn)為的“功能”。

　　對該案的正確解讀應(yīng)當(dāng)包括：

　?。?）該案主要限制了 EAR 出口監(jiān)管的事先審查機(jī)制，即以國家安全為由設(shè)定出口限制時(shí)，應(yīng)符合直接性（必要性）、緊迫性（緊急性）的條件，并應(yīng)給予當(dāng)事方其他救濟(jì)，因此屬于個(gè)案裁決不能作為一般情形。

　?。?）盡管 1999 年 5 月第九巡回上訴法院維持了一審判決，明確 Bernstein 有權(quán)發(fā)布源代碼，重述了EAR 的違憲性，但并非一致通過，Nelson 法官發(fā)表了反對意見認(rèn)為， Bernstein 必須事實(shí)上使用源代碼（文本）進(jìn)行討論或教授密碼學(xué)，只有在此情形下才是其科學(xué)方法和想法的表達(dá)。因此案例并非一致性無爭議地裁決。

　?。?）盡管一審法院支持了 Bernstein，但該案持續(xù)長達(dá) 4 年之久，期間很多的密碼技術(shù)發(fā)展受到影響，如服務(wù)器軟件 Apache。事實(shí)上，政府的目的部分得到了實(shí)現(xiàn)。

　　2.3.3榮格（Junger）案

　　凱斯西儲大學(xué)法學(xué)（注意，實(shí)際上在法學(xué)教授的計(jì)算機(jī)法課程中披露和討論的加密技術(shù)細(xì)節(jié)相對有限）教授 Junger 在克利夫蘭聯(lián)邦地方法院起訴政府（國務(wù)院，區(qū)別于第 2 個(gè)案子的司法部、NSA），認(rèn)為對方限制其在計(jì)算機(jī)法課程教授密碼學(xué)——爭議的焦點(diǎn)在于美國《國際武器貿(mào)易條例》（ITAR） 所定義的“出口”是否包括與外國人討論非分級（non-classified） 的加密軟件的技術(shù)信息，如注冊 Junger 課程的外籍學(xué)生。該案有別于前兩個(gè)案例的關(guān)注包括：

　?。?）1996 年 8 月，Junger 通過代理律師多次向法院申請臨時(shí)禁令，要求禁止政府阻礙其與外國人討論或發(fā)布一般加密信息，但被法院駁回；

　?。?）法院裁判中認(rèn)為，加密軟件源代碼具有固有的功能屬性，不能僅解釋為表達(dá)加密理論或描述軟件功能，加密軟件主要用于實(shí)現(xiàn)加密功能，并與實(shí)施加密的計(jì)算機(jī)硬件緊密結(jié)合。

　　因此，盡管 2000 年中，第六巡回上訴法院維持了 ITAR 的限制規(guī)定應(yīng)接受第一修正案審查的觀點(diǎn)，但在 2000 年之后隨著密碼技術(shù)的發(fā)展和課程的更新，其效用性已經(jīng)不能完全適用。

　　綜合上述已經(jīng)略顯久遠(yuǎn)的案例，實(shí)際上不能得出“從此之后，美國政府再也不能試圖限制軟件源碼流通了”的結(jié)論。

　　首先，前述案例并非最高法院案例，其論證和援引效力的權(quán)威程度并不足夠；

　　其次，在案件分析中，核心焦點(diǎn)在于前置審查程序的有效性與否，這就導(dǎo)致了個(gè)案差異會導(dǎo)致不同結(jié)果的可能，特別是前述案例均更接近于美國“內(nèi)部矛盾”，而一旦涉及與別國爭議，就進(jìn)一步加大了裁決結(jié)果的不確定性；

　　再次，源碼本身的“雙重屬性”， 不同個(gè)案將會在軟件的功能性與表達(dá)性之間搖擺，在未來可能只需一個(gè)相反案例就會導(dǎo)致對出口監(jiān)管態(tài)度的“重置”。

　　3提升開源軟件的網(wǎng)絡(luò)安全價(jià)值建議

　　3.1開源的市場和版權(quán)法價(jià)值

　　事實(shí)上，我們關(guān)注開源軟件的協(xié)議安全， 正是開源軟件對整體安全市場的價(jià)值體現(xiàn)。這就從根本上決定了開源可以通過協(xié)議適當(dāng)規(guī)避商業(yè)軟件市場和傳統(tǒng)版權(quán)法的某些限制，從而給出了維護(hù)國家安全、社會公眾利益和公民個(gè)人信息和隱私的多一重審視維度，也就決定了進(jìn)出口監(jiān)管職能也需要以例外的方式給予其適度的自由。

　　美 國 2018 年 國 防 預(yù) 算 法 案（National Defense Authorization Act for Fiscal Year 2018）明確規(guī)定，國防部長應(yīng)啟動(dòng) 2016 年 8 月 OMB 備忘錄（M-16-21）制訂的為期三年的開源軟件試點(diǎn)計(jì)劃（open source software pilot program），其目標(biāo)要求政府機(jī)構(gòu)將至少 20% 的新定制開發(fā)的代碼作為開源軟件發(fā)布。①在該法案的語境下， 以減少重復(fù)的技術(shù)開發(fā)合同為理由顯然只是其字面意思。

　　從版權(quán)法角度，即使拋開版權(quán)法保護(hù)軟件的早期爭議，目前以版權(quán)保護(hù)計(jì)算機(jī)軟件也略顯疲態(tài)和“腐朽”。開源協(xié)議正是撕開了版權(quán)法保護(hù)計(jì)算機(jī)軟件的一道裂口，以軟件許可的約定形式轉(zhuǎn)移了著作權(quán)人的部分財(cái)產(chǎn)，乃至人身權(quán)利（按照著作權(quán)法，發(fā)表權(quán)、署名權(quán)、修改權(quán)、保護(hù)作品完整權(quán)屬于有人身依附性的人身權(quán)利），直接挑戰(zhàn)了商業(yè)軟件的壟斷性利益。

　　也正是在這層意思下，開源軟件的作者并不如開源管理者自由，后者才是真正的自由，可以規(guī)定開源協(xié)議的自由，可以引入審查和設(shè)定分支的自由，直至決定是否與商業(yè)軟件競爭或是并購的自由。

　　從開源軟件的發(fā)展看，確實(shí)經(jīng)歷著從早期的作為商業(yè)軟件的補(bǔ)充與競爭，到更趨于“開閉” 靈活和相互融合的艱難蛻變。特別是在云計(jì)算產(chǎn)業(yè)下，開源軟件和開源社區(qū)的定位和發(fā)展面臨重大挑戰(zhàn)。

　　3.2提升開源軟件安全應(yīng)避免的誤區(qū)

　　在 2018 年 12 月的第九屆中國信息安全法律大會上，我們提出開源的安全不僅是從物理層到應(yīng)用層的協(xié)議安全，還包括法律協(xié)議的安全。開源代碼和開源協(xié)議都需要通過某種形式的審核或?qū)彶椋⒃谒芟薜能浖袌?、版?quán)法和進(jìn)出口監(jiān)管下“輾轉(zhuǎn)騰挪”，通過特定的制度建設(shè)與安排，方能逐步、漸進(jìn)地提升安全。

　　3.2.1為何有的開源項(xiàng)目關(guān)停而有的繁榮

　　以 GitHub 為例，其上也存有大量停止開發(fā)維護(hù)的項(xiàng)目，除了項(xiàng)目本身的技術(shù)和需求之外， 代碼審查和閉源被認(rèn)為是部分項(xiàng)目消亡的原因。例如早期的據(jù)稱 2013 年約翰霍普金斯大學(xué)的Matthew Green 教授組織了對 TrueCrypt 的安全審計(jì)，得出的不安全結(jié)論部分導(dǎo)致了開發(fā)者退出。毫無疑問，盡管有別于中國《網(wǎng)絡(luò)安全法》（或美國類似等同的審查機(jī)制）等下的國家安全審查，第三方的額外（從開源初衷而言，開源軟件的社區(qū)模式自帶審視）審查機(jī)制限制了開源的某些自由，抑制了（或加速了）市場自身的優(yōu)勝劣汰。另外，云計(jì)算廠商與開源社區(qū)的合作模式也極具爭議。

　　基于上述分析，實(shí)際上得出了一個(gè)提升開源軟件安全的適度性結(jié)論，即對于開源軟件而言，應(yīng)審慎引入代碼審查機(jī)制，并應(yīng)嚴(yán)格限制國家安全審查的適用性。

　　但如此一來，則與《網(wǎng)絡(luò)安全法》第 35 條規(guī)定的“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，可能影響國家安全的，應(yīng)當(dāng)通過國家網(wǎng)信部門會同國務(wù)院有關(guān)部門組織的國家安全審查”發(fā)生沖突，從而可能導(dǎo)致要么將開源軟件限制在關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域之外，要么因國家安全審查而抑制了開源軟件的研發(fā)。

　　3.2.2同步備份和設(shè)立分支為何不能解決發(fā)展和安全問題

　　對于托管在境外服務(wù)器（如 GitHub）上的開源代碼，是否作為分發(fā)（對應(yīng)于版權(quán)法的發(fā)行權(quán)）平臺還是只作為備份鏡像（對應(yīng)于版權(quán)法的傳播權(quán)），進(jìn)一步而言是否考慮在現(xiàn)有的開源軟件之上設(shè)立分支，本質(zhì)上應(yīng)作為技術(shù)問題處理而不應(yīng)作為應(yīng)對進(jìn)出口監(jiān)管的終極解決思路。

　　以強(qiáng)行引入的外部機(jī)制將可能導(dǎo)致開源項(xiàng)目的蕭條直至關(guān)停，因?yàn)槠溥`背了開源社區(qū)發(fā)展的弱中心化而非去中心化的規(guī)律，而承認(rèn)分支的存在即意味著可以向上回溯。更何況， 分支實(shí)際在很大程度上是作為開源協(xié)議沖突的安排，并不直接與發(fā)展和安全有關(guān)。例如 2018年 11 月，自由軟件基金會（FSF）更新軟件許可證評論認(rèn)為，如果既有項(xiàng)目增加了禁止商業(yè)性使用的商業(yè)條款（Commons Clause），應(yīng)當(dāng)重新設(shè)立分支。

　　3.3提升開源軟件安全與繁榮的著力點(diǎn)

　　3.3.1從維護(hù)現(xiàn)有開源項(xiàng)目開始

　　無論是本文引述的 Linux 基金會的開源項(xiàng)目，還是境內(nèi)企業(yè)已經(jīng)廣泛參與和貢獻(xiàn)的開源社區(qū)，在提供代碼輸出的同時(shí)，也應(yīng)當(dāng)對其所適用的開源協(xié)議給予適當(dāng)?shù)年P(guān)注。

　　正如本文認(rèn)為的開源安全不僅是從物理層到應(yīng)用層的協(xié)議安全，還包括法律協(xié)議安全所言，開源協(xié)議的安全不僅涉及各類許可證條款的差異，也包括不同許可證混用的沖突，還包括在商業(yè)化應(yīng)用中對傳統(tǒng)版權(quán)法著作權(quán)人權(quán)利的“逆轉(zhuǎn)”和“強(qiáng)化”， 即對開源協(xié)議的關(guān)注和爭議不應(yīng)停留在 divx 和xvid 的協(xié)議轉(zhuǎn)換，而需從微軟收購 GitHub 的市場和產(chǎn)業(yè)高度重新審視。

　　應(yīng)當(dāng)借鑒 FSF“評論”的軟件許可證的做法，給予開源軟件多一重維度關(guān)注，不僅聚焦在源碼本身，也注重代碼的“外圍”和“周邊”。

　　3.3.2與《網(wǎng)絡(luò)安全法》若干問題的協(xié)調(diào)

　　目前開源軟件與《網(wǎng)絡(luò)安全法》體系的協(xié)調(diào)可能包括以下問題：

　?。?）按照《網(wǎng)絡(luò)安全法》第22 條，網(wǎng)絡(luò)產(chǎn)品、服務(wù)的提供者應(yīng)當(dāng)為其產(chǎn)品、服務(wù)持續(xù)提供安全維護(hù)；在規(guī)定或者當(dāng)事人約定的期限內(nèi)， 不得終止提供安全維護(hù)。對于開源軟件產(chǎn)品或服務(wù)而言（按照著作權(quán)法和計(jì)算機(jī)軟件保護(hù)條例，對開源軟件產(chǎn)品或服務(wù)的認(rèn)定應(yīng)基于產(chǎn)品或服務(wù)的“完成”），如果直接關(guān)?；蛟O(shè)立分支，可能構(gòu)成對該條的違反，但如果按照該條規(guī)定也不符合開源軟件的發(fā)展規(guī)律，同時(shí)也可能導(dǎo)致對開源社區(qū)追責(zé)的“落空”。

　　因此應(yīng)考慮在開源協(xié)議中設(shè)計(jì)與該條有關(guān)的內(nèi)容，特別是完善開源協(xié)議的權(quán)利義務(wù)轉(zhuǎn)讓、第三方承受維護(hù)機(jī)制等，以促成開源軟件的完成與發(fā)行，減少不必要的分支和碎片化。

　?。?）在開源軟件的全球參與下，開源社區(qū)的協(xié)同必然產(chǎn)生數(shù)據(jù)出境的問題，按照《網(wǎng)絡(luò)安全法》和熱議中的數(shù)據(jù)安全管理辦法、重要數(shù)據(jù)出境安全評估辦法所規(guī)定的以網(wǎng)絡(luò)運(yùn)營者為主要責(zé)任方，以合同審查（數(shù)據(jù)出境安全評估審核）為制度設(shè)計(jì)的安全模式下，源碼的出入境應(yīng)當(dāng)作為協(xié)議安全的特殊情形予以充分的論證和除外規(guī)定，否則可能無法滿足開源軟件的寬松研發(fā)模式。

　　（3）至于《網(wǎng)絡(luò)安全法》第 22 條規(guī)定的“ 網(wǎng)絡(luò)產(chǎn)品、服務(wù)應(yīng)當(dāng)符合相關(guān)國家標(biāo)準(zhǔn)的強(qiáng)制性要求。網(wǎng)絡(luò)產(chǎn)品、服務(wù)的提供者不得設(shè)置惡意程序；發(fā)現(xiàn)其網(wǎng)絡(luò)產(chǎn)品、服務(wù)存在安全缺陷、漏洞等風(fēng)險(xiǎn)時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施， 按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告”，第 35 條規(guī)定的“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)， 可能影響國家安全的，應(yīng)當(dāng)通過國家網(wǎng)信部門會同國務(wù)院有關(guān)部門組織的國家安全審查”和目前熱議的網(wǎng)絡(luò)安全漏洞管理規(guī)定，必要和適度的代碼審查是網(wǎng)絡(luò)安全等級保護(hù)和關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的必要組成，其實(shí)現(xiàn)的重要路徑即是代碼審查。

　　對于代碼審查，可以認(rèn)為其一方面受到了開源的啟發(fā)和影響，另一方面審查也會抑制和終止某些開源項(xiàng)目的持續(xù)。同時(shí)《網(wǎng)絡(luò)安全法》的規(guī)定會增加開源社區(qū)審核、審計(jì)開源安全的義務(wù)和成本， 因此也需要在脆弱性與漏洞管理中，對開源軟件作為一種特殊類型進(jìn)行制度和協(xié)議設(shè)計(jì)，并特別限定國家安全審查的適用范圍，充分評估審查對開源軟件的影響。

　　4結(jié)論

　　開源軟件作為傳統(tǒng)版權(quán)法規(guī)定下的代碼分離與等同的必然產(chǎn)物，其制度設(shè)計(jì)在于解決類似“多場耦合”問題從而直接在軟件開發(fā)者（作者）與著作權(quán)之間建立關(guān)聯(lián)，與傳統(tǒng)版權(quán)法的規(guī)定相比，具有某些天然的外部性和自適應(yīng)優(yōu)勢，特別是第五代移動(dòng)通信技術(shù)的發(fā)展可能再次提升開源軟件的應(yīng)用，各國均對開源軟件予以高度重視和密切關(guān)注。

　　整體而言，從開源軟件的協(xié)議安全（并促進(jìn)繁榮）角度，至少應(yīng)當(dāng)從以下幾個(gè)方面進(jìn)行綜合考慮：

　?。?）在版權(quán)法下設(shè)計(jì)軟件權(quán)益機(jī)制，體現(xiàn)開源屬性權(quán)利的獨(dú)立性；

　　（2）從服務(wù)協(xié)議、許可協(xié)議等視角規(guī)范開源軟件的合同法下規(guī)范；

　?。?）協(xié)調(diào)進(jìn)出口監(jiān)管法與版權(quán)法，規(guī)范審查和評估對開源的影響；

　?。?）從網(wǎng)絡(luò)安全法的基本法出發(fā)，將其作為一類特殊的安全審查和出境評估類型。

　　最后，開源的核心在于軟件開發(fā)者的著作權(quán)利義務(wù)設(shè)計(jì)與分配，應(yīng)從宏觀與微觀上給予開源軟件開發(fā)以充分支援。這些支援不在于簡單的資金投入或文件指引，而在于通過降低人員流動(dòng)的成本，并特別注重未被定義為高端人才的人員價(jià)值和促進(jìn)開源繁榮的作用，以開源代碼和開源協(xié)議的參與度作為評價(jià)開源安全與繁榮的主要機(jī)制。