Недавно статья основателя Zen Tao Ван Чуньшэна об открытом исходном коде в Китае привлекла внимание многих коллег, поскольку он поделился ошибкой, с которой сталкиваются соглашения с открытым исходным кодом в Китае: в лицензионных соглашениях на программное обеспечение с открытым исходным кодом обычно указывается, что автор не будет использовать открытый исходный код. программное обеспечение для пользователей.Ответственность за любые возникшие проблемы. но! Подобные положения являются незаконными в Китае.
«Закон о кибербезопасности Китайской Народной Республики», обнародованный в 2017 году.
Статья 22 предусматривает:
Сетевые продукты и услуги должны соответствовать обязательным требованиям соответствующих национальных стандартов. Поставщикам сетевых продуктов и услуг не разрешается устанавливать вредоносные программы; когда они обнаруживают, что их сетевые продукты и услуги имеют недостатки безопасности, уязвимости и другие риски, они должны немедленно принять меры по исправлению ситуации, оперативно уведомить пользователей в соответствии с правилами и сообщить об этом . в соответствующие компетентные органы.
Поставщики сетевых продуктов и услуг должны продолжать обеспечивать обеспечение безопасности своих продуктов и услуг; они не должны прекращать обеспечение безопасности в течение срока, установленного нормативными актами или согласованного сторонами.
Если сетевые продукты или услуги имеют функцию сбора информации о пользователях, их поставщики должны разъяснить это пользователям и получить согласие; если речь идет о личной информации пользователей, они также должны соблюдать положения настоящего Закона и соответствующих законов и административных правил о защита личной информации.
Статья 60 предусматривает:
Лицо, нарушившее положения пунктов 1 и 2 статьи 22 и пункта 1 статьи 48 настоящего Закона и совершившее любое из следующих действий, должно быть привлечено к исправлению ситуации и предупреждено соответствующими компетентными органами; лицо, отказывающееся совершить исправления или причинение вреда сети. В случае возникновения последствий для безопасности и других последствий налагается штраф в размере не менее 50 000 юаней, но не более 500 000 юаней, а непосредственно ответственное лицо должно быть оштрафовано на сумму не менее 10 000 юаней, но не более 500 000 юаней. более 100 000 юаней:
(1) Установка вредоносных программ;
(2) Непринятие немедленных мер по устранению дефектов безопасности, уязвимостей и других рисков в своих продуктах и услугах или неспособность оперативно уведомить пользователей и сообщить об этом соответствующим компетентным органам в соответствии с правилами;
(3) Прекращение поддержки безопасности, предусмотренной для ее продуктов и услуг, без разрешения.
Другими словами, независимо от того, является ли написанное вами программное обеспечение программным обеспечением с открытым исходным кодом , пока вы предоставляете его другим, вы должны нести ответственность до конца.
Это, несомненно, противоречит знакомому нам соглашению об открытом исходном коде, а также противоречит правилам открытого исходного кода, к которым мы привыкли:
Поскольку это программное обеспечение с открытым исходным кодом, я конфискую ваши деньги. Открытый исходный код предназначен исключительно для общественного благосостояния. Почему вы хотите, чтобы я предоставил вам бесплатное послепродажное обслуживание? Не значит ли это, что я работаю напрасно?
При таких условиях осмеливаются ли люди еще участвовать в open source?
Что касается подобных опасений, Open Source China специально пригласила Дэн Чао, профессионального юриста в индустрии программного обеспечения, послушать его рассказы и интерпретации~
Вопрос: Какие соображения лежат в основе статьи 22 Закона о кибербезопасности?
Дэн Чао: В нашей стране строительство, эксплуатация и использование сетей регулируются ограничениями Закона о кибербезопасности. От интернет-безопасности обычных людей до информационной безопасности страны — все они являются целями защиты закона о сетевой безопасности. Для этого необходимо, чтобы наши сетевые продукты, сетевые службы и различные программы не имели дыр в безопасности.
Для программного обеспечения с открытым исходным кодом обычно есть некоторые положения об отказе от ответственности, в которых говорится, что в случае возникновения проблемы с программным обеспечением автор будет освобожден от ответственности. Однако это положение об освобождении является положением об освобождении от ответственности между равными субъектами. Например, поставщик программного обеспечения с открытым исходным кодом и пользователь программного обеспечения с открытым исходным кодом являются равноправными субъектами, поэтому в гражданско-правовом смысле они освобождаются от ответственности. Однако Закон о кибербезопасности не направлен на ответственность между равными субъектами. Это требование для всех операторов сетевых продуктов/услуг на национальном и правительственном уровнях. Это не противоречит положению об освобождении от ответственности в соглашении об открытом исходном коде.
Например, предположим, что в программном обеспечении с открытым исходным кодом существует уязвимость, из-за которой происходит утечка информации 100 пользователей. В настоящее время из-за положения об освобождении вы, пользователь, не можете привлечь меня к ответственности в соответствии с этой лицензией с открытым исходным кодом, а также вы не можете подать на меня в суд и заставить меня потерять деньги. Однако отсутствие гражданско-правовой ответственности не означает отсутствия административно-правовой или даже уголовно-правовой ответственности. Если вы слили информацию о пользователях, страна вас обязательно накажет: вас могут оштрафовать, потребовать внести исправления или закрыть. Таким образом, между ними нет противоречия.
Закон о кибербезопасности не предоставляет никакого иммунитета к программному обеспечению с открытым исходным кодом. Сделаем шаг назад: программное обеспечение с открытым исходным кодом предоставляет только бесплатный код, что не означает, что оно не приносит прибыли на протяжении всего процесса. Точно так же, как WeChat бесплатен, но продает рекламу, чтобы заработать деньги. То же самое касается программного обеспечения с открытым исходным кодом, у которого также есть своя модель получения прибыли. В любом случае, с юридической точки зрения, открытый исходный код не имеет особых характеристик по сравнению с другими формами программного обеспечения и в конечном итоге будет подлежать надзору законов о кибербезопасности.
Вопрос: Предположим, это просто бесплатный проект с открытым исходным кодом, например библиотека инструментов, который размещен в Code Cloud и используется другой компанией для создания коммерческих продуктов. Теперь в продукте, связанном с этой библиотекой инструментов, обнаружена уязвимость. будет нести ответственность?
Дэн Чао: Согласно статье 7 уведомления «Правил управления уязвимостями безопасности сетевых продуктов», выпущенного Министерством промышленности и информационных технологий, Интернет-офисом и Министерством общественной безопасности, ответственной стороной должен быть поставщик сетевого продукта . . Включая законы о сетевой безопасности, о которых я только что упомянул, они в основном нацелены на тех, кто использует сетевые продукты и предоставляет сетевые услуги. Вы сказали, что я всего лишь написал промежуточное программное обеспечение и выложил его в Интернет. Может ли оно предоставлять сетевые услуги? С моей личной точки зрения, я мог бы думать об этом как о полуфабрикате или компоненте, а не как о конечном продукте. С этой точки зрения, если вы разрабатываете промежуточное программное обеспечение в одиночку, его нельзя использовать в одиночку, и у вас нет возможности предоставлять продукты и услуги внешнему миру, поэтому ответственность будет намного меньше.
Возвращаясь к статье 7 уведомления «Правил управления уязвимостями безопасности сетевых продуктов», в ней оговаривается, что в случае возникновения проблемы с уязвимостью безопасности оператор сетевого продукта сначала будет нести ответственность, а также уведомит ваши восходящие и нисходящие сети и сообщит об этом. его в Министерство промышленности и информационных технологий своевременно.
Поэтому я думаю, что нам, разработчикам, возможно, потребуется уточнить , разрабатываем ли мы полноценный сетевой продукт, предоставляющий полные сетевые сервисы, или мы просто отдельный разработчик, который не может предоставлять полные сетевые сервисы.Сетевой компонент сервиса.
В первом случае ограничения, налагаемые Законом о кибербезопасности и соответствующими нормативными актами, определенно более строгие. Хотя мы не предъявляем прямых обвинений, сложно обеспечить юридическую защиту, если вы не управляете некоммерческой организацией. Но вот корпоративное поведение, компания, которая сама ради прибыли. Даже если вы говорите, что теряете деньги сейчас или что вы не взимаете плату за само программное обеспечение, это не влияет на его метод получения прибыли. Оно может приносить деньги в будущем, и вы можете зарабатывать деньги другими способами, так что это так. сложно организовать защиту.
Напротив, если вы предоставляете промежуточное программное обеспечение, которое не предоставляет полную сетевую услугу, а только предоставляет плагин или фрагмент кода, то я думаю, что ответственность может быть легче, и это может не представлять собой предоставление сетевых услуг. или предоставление сетевых услуг, как описано в Законе о кибербезопасности. Предоставлять сетевые продукты.
Вопрос: Например, если отечественная система с открытым исходным кодом теперь выпущена и используется производителями мобильных телефонов в качестве коммерческих продуктов, к кому вам следует обратиться в первую очередь, если возникнут проблемы с этой системой?
Дэн Чао: Найдите производителя мобильного телефона, а затем производитель мобильного телефона должен связаться с системой с открытым исходным кодом и позволить ей справиться с этим. Системы с открытым исходным кодом относятся к вышестоящим. Но в любом случае первым ответственным лицом является производитель мобильного телефона. Кто ближе к пользователю, тот и больше ответственности.
Вопрос: Если в программном обеспечении с открытым исходным кодом есть ошибки , кто вообще будет следить за такими ошибками?
Дэн Чао: Интернет-полиция будет отвечать за время от времени выборочные проверки некоторых сетевых продуктов. Они не будут ждать, пока что-то пойдет не так, прежде чем начать их преследовать.
Вопрос: Если это некоммерческий индивидуальный разработчик с открытым исходным кодом, то если вы не взимаете плату, вы должны нести ответственность за поддержание программного обеспечения в течение всей жизни.Не слишком ли тяжело и несправедливо это бремя?
Дэн Чао: На самом деле это ценная вещь. Хотя все думают, что я использую любовь для выработки электроэнергии и за это не взимается плата. Но, по крайней мере, судя по нынешним законодательным положениям, страна определенно по-прежнему ставит безопасность на более важное место. Тот факт, что то, что я делаю, бесплатно, не означает, что я могу получить некоторый иммунитет или какие-то привилегии. Если произойдет какая-то авария в области информационной безопасности, это определенно будет небольшой выгодой, но большой потерей. Таким образом, в нашей индустрии с открытым исходным кодом, даже для разработчиков с открытым исходным кодом, если вы предоставляете полный сетевой сервис и полные сетевые продукты, вы также обязаны поддерживать сетевую безопасность.
Вопрос: Какие требования, по вашему мнению, налагают такие условия на индустрию открытого исходного кода? Каково влияние?
Дэн Чао: Я думаю, что пока каждый будет выполнять некоторые основные обязательства по предотвращению сбоев в сетевой безопасности, я думаю, этого будет достаточно. Хотя на этом пути и есть ограничения, он определенно более «препятствующий», чем когда ограничений нет. Лучше всего вообще не иметь никаких ограничений или обязательств, что способствует развитию открытого исходного кода. Но, как мы только что сказали, это не реальность. Более того, поддержание сетевой безопасности не является особенно строгим обязательством. Поэтому я думаю, что для этих компаний не является особенно строгим требованием проверять уязвимости безопасности и повышать уровень сетевой безопасности. Напротив, отдельный разработчик может не иметь возможности предоставлять полные сетевые услуги или сетевые продукты и не может подпадать под действие закона о кибербезопасности.
Что касается развития открытого исходного кода, то с точки зрения сетевой безопасности это гарантирует, что информация каждого не будет украдена, а бизнес-тайны компании не будут раскрыты, что выгодно всему обществу. Что касается открытого исходного кода, вы сказали, что это налагает обязательства на открытый исходный код, поэтому я думаю, что это тоже хорошее обязательство. Могут возникнуть мысли, что наложение обязательств будет иметь некоторые негативные последствия. Но я хочу сказать, что это зависит от того, смотрите ли вы на маленькую картину или на общую картину: с маленькой картины пользователи также должны обращать внимание на сетевую безопасность и иметь опасения при использовании программного обеспечения с открытым исходным кодом; с большой картины убедитесь, что после от улучшения сетевой безопасности выиграет все наше сетевое общество, и оно может быть более дружелюбным к продвижению открытого исходного кода.
Гость этого выпуска: Дэн Чао|Юрист (идентификатор WeChat: dengchao)
Он имеет степени бакалавра наук и доктора права, имеет глубокую теоретическую юридическую базу, более десяти лет работает в сфере интеллектуальной собственности и имеет богатый практический опыт.
Он уже давно занимается исследованиями и практикой передовых вопросов интеллектуальной собственности в области технологий и средств массовой информации, а также представляет интересы клиентов в решении связанных с ними судебных и несудебных юридических вопросов.
Прежде чем поступить в юридическую фирму, он работал в юридическом отделе компании из списка Fortune 500 и ведущей отечественной фирмы, занимающейся интеллектуальной собственностью, предоставляя юридические услуги в области интеллектуальной собственности многим транснациональным компаниям и отечественным компаниям, акции которых котируются на бирже.
Официально выпущен Qt 6.6. Всплывающее окно на странице лотереи приложения Gome App оскорбляет его основателя . Официально выпущена Ubuntu 23.10. С таким же успехом вы можете воспользоваться пятницей для обновления! RISC-V: не контролируется какой-либо отдельной компанией или страной. Эпизод выпуска Ubuntu 23.10: ISO-образ был срочно «отозван» из-за содержания разжигания ненависти. Российские компании производят компьютеры и серверы на базе процессоров Loongson. ChromeOS — дистрибутив Linux с использованием Google Desktop. Окружающая среда 23-летний аспирант исправляет 22-летнюю «призрачную ошибку» в Firefox Выпущена TiDB 7.4: официально совместима с MySQL 8.0 Microsoft запускает версию Windows Terminal Canary