近日,禅道创始人王春生在开源中国发布的一篇文章引起了众多同行的围观,原因是他分享了一个开源协议在中国面临的 bug:开源软件许可协议通常会表明作者不对用户使用该开源软件所造成的任何问题负责。但是!这种条款,在中国,是违法的 ——
2017 年发布的《中华人民共和国网络安全法》第二十二条规定:网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。
网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。
第六十条规定:违反本法第二十二条第一款、第二款和第四十八条第一款规定,有下列行为之一的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处五万元以上五十万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款:
(一)设置恶意程序的;
(二)对其产品、服务存在的安全缺陷、漏洞等风险未立即采取补救措施,或者未按照规定及时告知用户并向有关主管部门报告的;
(三)擅自终止为其产品、服务提供安全维护的。
也就是说,不管你写的这个是不是开源软件,只要你提供给别人用了,那你就得负责到底。
这无疑是跟我们熟悉的开源协议相违背了,也跟我们习惯的开源规则相抵触:
作为开源软件,我本身就没收你钱了,开源出来纯属做公益,怎么你还要我给你免费搞售后啊?那岂不是让我打白工吗?
这样的条款,让人还敢参与开源吗?
对于这样的担忧,开源中国特地邀请了软件行业的专业律师邓超,来听听他的分享和解读~
Q:《网络安全法》第二十二条规定是出于怎样的考量?
邓超:在我国,建设、运营和使用网络,都要受到网络安全法的约束。小到普通人的上网安全,大到国家的信息安全,都是网络安全法的维护目标。这就要求我们的网络产品和网络服务、各种程序,都不能有安全漏洞。
对于开源软件的话,一般它都会有一些