开源合规指南（企业版）.pdf

开源合规指南 （企业篇） 可信开源合规计划（TWOS-C） 云计算开源产业联盟 2022年5月 版权声明 本白皮书版权属于可信开源合规计划，并受法律保护。 转载、摘编或利用其它方式使用本白皮书文字或者观点的， 应注明“来源：可信开源合规计划”。违反上述声明者，本院 将追究其相关法律责任。 本指南采用知识共享署名-非商业性使用-禁止演绎 4.0 国际许可协议进行许可 编制说明 本白皮书由可信开源合规计划撰写，并由金融行业开源技术应用 社区、通信行业开源社区与科技制造开源社区提供支持，限于撰写组 时间、知识局限等因素，内容恐有疏漏，烦请各位读者不吝指正。 在编写过程中得到多家单位的大力支持，在此特别致谢中国信息 通信研究院、华为技术有限公司、北京火山引擎科技有限公司、国浩 律师（北京）事务所、建信金融科技有限责任公司、中移动信息技术 有限公司、中移（苏州）软件技术有限公司、京东集团股份有限公司、 上海哔哩哔哩科技有限公司、度小满科技（北京）有限公司、蚂蚁科 技集团股份有限公司、阿里巴巴集团控股有限公司、中国移动杭州研 发中心、杭州网易数帆科技有限公司、北京小米科技有限责任公司、 新思科技股份有限公司、苏州棱镜七彩信息科技有限公司、北京安普 诺信息技术有限公司、深圳开源互联网安全技术有限公司、百度在线 网络技术(北京)有限公司、江苏省农村信用社联合社、北京市商汤科 技开发有限公司、浙江极氪智能科技有限公司等单位的各位专家，感 谢各位秉承开源精神，协同共创，从多个视角提出了对于开源的理解， 最终完成本指南的撰写工作。 主要撰稿人：俊哲、郭雪、李自、胡静、孙振华、孙珊珊、刘苏、 李雪、白国涛、宋罗娜、刘昊、彭峥、梁大功、易焕腾、王媛媛、窦 玉娟、钱岭、杨静、孙福洲、邓超、李欣博、唐铎铭、易涛、朱尧、 杨国梁、王永雷、贺文轩、郑明、李佳雯、程宝妹、谢磊涛、李鑫、 牟宁波、袁巍、康正德、李欣瞻、张荣香、刘美平、董毅、李嫄、付 辉、卢苑、郭万红、李鹏、钱佳煜、成英凯、龚嘉庆、黄久远、周建 丁、张晓龙、付钦伟、马红伟、张伟玲 前 言 近年来，开源生态发展势头迅猛，在推动技术创新、促进产业协 作、加快各行业数字化进程方面发挥的作用日益凸显。企业或个人在 使用、参与或主导开源项目的过程中，一般都会涉及开源许可证的相 关问题。开源许可证授予了被许可人广泛的权利，但同时也要求其应 承担一定的合规义务。企业忽视开源合规中的某些细节，会为自身带 来不可预知的法律风险，如被迫开放源代码的风险、许可证的兼容性 风险、违约风险及知识产权风险等。在坚持开源合规方面，企业应当 遵循开源软件相关许可要求，合规使用开源软件，明确开源软件的使 用范围和使用的权利与义务，保障开源软件作者或权利人的合法权益， 同时保护自身与第三方供应商免受合规风险。 本指南结合中国信通院开源研究工作，分析总结开源合规发展特 点，重点围绕开源软件与数据合规风险、开源许可协议规定、企业开 源合规风险防控三大环节展开研究，为推动我国开源合规建设提供参 考。 目 录 一、开源概述1 （一）开源本质内涵1 （二）开源发展态势1 二、开源软件合规风险4 （一）知识产权风险5 （二）数据保护风险15 （三）出口管制风险16 三、开放数据合规风险19 （一）如何定义“使用” 20 （二）商业使用与非商业使用20 （三）许可规定缺乏一致性22 四、开源许可协议规定分析22 （一）开源许可证分类与风险判断22 （二）开源许可证兼容性介绍30 五、企业开源合规风险防控建议33 （一）企业开源合规组成元素33 （二）企业开源使用合规流程41 （三）企业对外开源合规流程43 六、总结46 图 目 录 图1 美国2012-2018 年开源项目/平台的专利诉讼案例数量3 图2 宽松型开源许可证占比4