最近、Zen Tao の創設者である Wang Chunsheng 氏がオープンソース中国に関する記事を発表し、多くの同業者の注目を集めました。なぜなら、彼は中国のオープンソース契約が直面するバグを共有したからです。オープンソース ソフトウェアのライセンス契約には、通常、作成者がオープンソースを使用しないことが示されています。ユーザーのためのソフトウェアであり、発生した問題については責任を負います。しかし!この種の条項は中国では違法だ——
2017年に公布された「中華人民共和国サイバーセキュリティ法」
第 22 条では次のように規定されています。
ネットワーク製品とサービスは、関連する国家規格の必須要件に準拠する必要があります。ネットワーク製品およびサービスのプロバイダーは、悪意のあるプログラムをセットアップすることは許可されておらず、ネットワーク製品およびサービスにセキュリティ上の欠陥、脆弱性、その他のリスクがあることを発見した場合、直ちに是正措置を講じ、規定に従って速やかにユーザーに通知し、報告する必要があります。関係管轄当局に通知します。
ネットワーク製品およびサービスのプロバイダーは、自社の製品およびサービスのセキュリティ保守を提供し続けるものとし、規制で指定された期間または当事者が合意した期間内にセキュリティ保守の提供を終了してはならないものとします。
ネットワーク製品またはサービスにユーザー情報を収集する機能がある場合、そのプロバイダーはユーザーにその旨を明示し同意を得なければならず、ユーザーの個人情報が関与する場合には、本法および関連法令、行政法規の規定も遵守しなければなりません。個人情報の保護。
第 60 条では次のように規定されています。
本法第 22 条第 1 項、第 2 項および第 48 条第 1 項の規定に違反し、以下の行為を行った者は、関係管轄当局から是正を命じられ、警告を受けるものとする。修正を行った場合、またはネットワークに損害を与えた場合、安全性およびその他の影響がある場合は、50,000 元以上 500,000 元以下の罰金が課され、直接責任のある責任者は 10,000 元以上 500,000 元以下の罰金が課せられます。 100,000人民元以上:
(1) 悪意のあるプログラムをセットアップする。
(2)当社の製品およびサービスのセキュリティ上の欠陥、脆弱性、その他のリスクに対して即時是正措置を講じない場合、または規定に従ってユーザーに速やかに通知し関連管轄当局に報告することを怠った場合。
(3)当社の製品およびサービスに対して提供されているセキュリティ保守を無断で終了すること。
つまり、自分が書いたソフトウェアがオープンソースソフトウェアであるかどうかに関わらず、他人に提供する以上は最後まで責任を持たなければなりません。
これは間違いなく、私たちがよく知っているオープンソース契約に反しており、また、私たちが慣れ親しんでいるオープンソースのルールとも矛盾します。
オープンソース ソフトウェアとして、あなたのお金を没収します。オープンソースは純粋に公共の福祉のためです。なぜ無料のアフターサービスを提供してほしいのですか? それは私が無駄に働いているということではありませんか?
このような条件があるにもかかわらず、人々はまだオープンソースに参加しようとするでしょうか?
このような懸念に関して、オープンソースチャイナは、ソフトウェア業界の専門弁護士であるデン・チャオ氏を特別に招待し、彼の共有と解釈に耳を傾けました〜
Q: サイバーセキュリティ法第 22 条の背後にある考慮事項は何ですか?
鄧超氏: 我が国では、ネットワークの構築、運用、利用はサイバーセキュリティ法の制約を受けています。一般の人々のインターネット セキュリティから国の情報セキュリティまで、それらはすべてネットワーク セキュリティ法の保護目標です。そのためには、当社のネットワーク製品、ネットワークサービス、各種プログラムにセキュリティホールがないことが求められます。
オープンソース ソフトウェアの場合、通常、ソフトウェアに問題があった場合に作者は責任を免除されるという免責条項が含まれています。ただし、この免除条項は対等な主体間の免除条項です。たとえば、オープンソース ソフトウェアの提供者とオープンソース ソフトウェアの使用者は同等の主体であるため、民事上の責任は免除されます。ただし、サイバーセキュリティ法は対等な主体間の責任を目的としたものではなく、国および政府レベルのすべてのネットワーク製品/サービス運営者に対する義務であり、オープンソース契約の免除条項には抵触しません。
たとえば、オープンソース ソフトウェアに脆弱性があり、100 人のユーザーの情報が漏洩したとします。現時点では、免除条項により、ユーザーであるあなたは、このオープンソース ライセンスに従って私に責任を負わせることはできませんし、私を訴えて損失を与えることもできません。ただし、民法上の責任がないからといって、行政法上の責任がないこと、さらには刑法上の責任がないことを意味するものではありません。ユーザー情報を漏洩した場合、国は必ず罰則を課し、罰金、是正勧告、閉鎖などの可能性があります。したがって、両者の間に矛盾はありません。
サイバーセキュリティ法は、オープンソース ソフトウェアに対する免除を規定していません。一歩下がって言うと、オープンソース ソフトウェアはコードを無料で提供するだけであり、プロセス全体で利益が得られないという意味ではありません。WeChat は無料ですが、広告を販売してお金を稼ぐのと同じです。オープンソース ソフトウェアにも同様のことが言え、オープンソース ソフトウェアにも独自の収益モデルがあります。いずれにせよ、法的な観点から見ると、オープンソースは他の形式のソフトウェアと比較して特別な特徴を持たず、最終的にはサイバーセキュリティ法の監督を受けることになります。
Q: これが、Code Cloud に置かれ、商用製品を作成するために別の企業によって使用されているツール ライブラリなどの単なる無料のオープン ソース プロジェクトであるとします。このツール ライブラリに関連する製品に脆弱性が見つかりました。責任を負うだろうか?
鄧超氏:工業情報化部、インターネット局、公安部が発行する「ネットワーク製品セキュリティ脆弱性管理規則」通知の第 7 条によると、責任者はネットワーク製品プロバイダーである必要があります。 。先ほど申し上げたネットワークセキュリティ法も含めて、主にネットワーク製品を運用したり、ネットワークサービスを提供したりする者が対象となっております。ミドルウェアを書いてインターネットにアップロードしただけとのことですが、これでネットワークサービスは提供できるのでしょうか?私の個人的な観点から言えば、これは最終製品ではなく、半完成品またはコンポーネントであると考えるかもしれません。この観点から見ると、ミドルウェアを単独で開発した場合、単独で使用することはできず、製品やサービスを外部に提供する可能性もないため、責任ははるかに小さくなります。
「ネットワーク製品セキュリティ脆弱性管理規程」の告示第7条に戻りますが、セキュリティ上の脆弱性に関する問題が発生した場合、まずネットワーク製品の運用者が責任を負い、上流、下流への通知、報告を行うと規定されています。タイムリーに産業情報技術省に提出してください。
したがって、私たち開発者は、完全なネットワーク サービスを提供する完全なネットワーク製品を開発しているのか、それとも完全なネットワーク サービスを提供できない単なる個人の開発者であるのかを明確にする必要があると思います。
前者の場合、サイバーセキュリティ法や関連規制による制約は確実に厳しくなります。直接請求はしませんが、非営利団体が運営している場合を除き、法的防御を確立することは困難です。しかし、ここには企業行動、会社があり、それ自体が利益を目的としています。今は赤字だと言っても、ソフト自体に課金しないと言っても、その収益方法には影響はなく、将来儲かるかもしれないし、別の方法で儲かるかもしれないので、防御を確立するのは困難です。
逆に、完全なネットワークサービスを提供するのではなく、プラグインやコードの一部を提供するだけのミドルウェアを提供する場合は、責任が軽くなり、ネットワークサービスの提供に当たらない可能性があると思います。サイバーセキュリティ法に基づくネットワークサービスの提供やネットワーク製品の提供。
Q:例えば、国産のオープンソースシステムが公開され、携帯電話メーカーが商用製品として利用している場合、このシステムに問題があった場合、まずどこに連絡すればよいのでしょうか?
鄧超氏: 携帯電話メーカーを見つけてください。そうすれば、携帯電話メーカーはオープンソース システムに連絡して、対応させなければなりません。オープンソース システムは上流に属します。しかし、いずれにしても、最初の責任者は携帯電話メーカーです。ユーザーに近い人ほど、より多くの責任を負います。
Q:オープンソース ソフトウェアにバグがある場合、通常、誰がそのようなバグを監視しますか?
鄧超氏: インターネット警察は、一部のネットワーク製品の抜き取り検査を随時実施する予定で、何か問題が発生するまで待って追跡することはありません。
Q: 非営利の個人オープンソース開発者で無償の場合、ソフトウェアの保守は生涯にわたって責任を負わなければなりませんが、その負担は重すぎて不公平ではないでしょうか。
鄧超:これは実は貴重なものなんです。皆さんは私が愛を使って発電していると思っていますが、料金はかかりません。しかし、少なくとも現在の法規定から判断すると、この国は依然として安全をより重要な位置に置いているのは間違いありません。私が作ったものが無料だからといって、何らかの免疫を得たり、何らかの特権を与えられるわけではありません。情報セキュリティ事故が起きれば、得はするものの、損失は大きくなるのは間違いありません。したがって、オープンソース業界にとって、オープンソース開発者であっても、完全なネットワーク サービスと完全なネットワーク製品を提供する場合、ネットワーク セキュリティを維持する義務もあります。
Q: このような条件はオープンソース業界にどのような要件を課すと思いますか? 影響は何ですか?
鄧超氏: ネットワーク セキュリティ事故を避けるための基本的な義務を全員が満たしていれば、十分だと思います。このように制限はありますが、制限がない場合に比べて「邪魔」であることは間違いなく、制限や義務はまったくない方がオープンソースの開発に有利です。しかし、先ほども言いましたが、結局のところ、これは現実ではありません。また、ネットワークセキュリティの維持は特に厳しい義務ではなく、完全なネットワーク製品やネットワークサービスを提供する企業のみがネットワークセキュリティ法の適用対象となります。したがって、これらの企業にとって、セキュリティの脆弱性を調査し、ネットワーク セキュリティのレベルを向上させることは、特に厳しい要件ではないと思います。逆に、個人の開発者の場合、完全なネットワーク サービスやネットワーク製品を提供する能力がない可能性があり、サイバーセキュリティ法の対象にならない可能性があります。
オープンソースの開発については、ネットワークセキュリティの観点から、誰もが情報を盗まれたり、企業の営業秘密が漏洩したりすることがなく、社会全体に利益をもたらします。オープンソースに特化して、これはオープンソースに義務を課すものだとおっしゃいましたが、これも良い義務だと思います。義務を課すことはマイナスの結果をもたらすのではないかと考える人もいるかもしれません。しかし、私が言いたいのは、それは全体像を見るか、全体像を見るかによって決まるということです。小さな全体像から見ると、ユーザーはネットワーク セキュリティにも注意を払い、オープン ソース ソフトウェアを使用する際には懸念を抱くべきです。全体像から見ると、次のことを確認する必要があります。ネットワークのセキュリティを向上させると、ネットワーク社会全体が恩恵を受け、オープンソースの推進にもより有利になる可能性があります。
今回のゲスト:鄧超|弁護士 (WeChat ID: dengchao)
彼は理学士号と法学博士号を取得しており、深い法的理論的基礎を有しており、知的財産業界で 10 年以上働いており、豊富な実務経験を持っています。
彼は長年、テクノロジーとメディアの分野における最先端の知的財産問題の研究と実践に注力しており、関連する訴訟および訴訟以外の法的問題の処理においてクライアントの代理を務めています。
法律事務所に入社する前は、フォーチュン 500 企業および国内トップクラスの知的財産事務所の法務部門に勤務し、多くの多国籍企業や国内上場企業に知的財産法務サービスを提供していました。
Qt 6.6が正式リリース Gomeアプリの抽選ページのポップアップウィンドウが創設者を侮辱 Ubuntu 23.10が正式リリース 金曜日を利用してアップグレードするのもいいかもしれません! RISC-V: 単一の企業や国によって管理されていない Ubuntu 23.10 リリース エピソード: ヘイトスピーチが含まれているため ISO イメージが緊急に「リコール」された ロシアの企業は Loongson プロセッサをベースにしたコンピュータとサーバーを製造している ChromeOS は Google デスクトップを使用する Linux ディストリビューション環境 23 歳の 博士課程学生が Firefox の 22 年前の「ゴーストバグ」を修正 TiDB 7.4 リリース: MySQL 8.0 と正式互換 Microsoft が Windows Terminal Canary バージョンを発表