物联网开源软件知识产权风险研究

2018-02-14

信息通信技术与政策 2018年1期

高隽工业和信息化部产业发展促进中心经济师

秦乐中国信息通信研究院技术与标准研究所知识产权中心工程师

1 引言

万物互联时代，物联网应用范围广，将带来巨大市场利润，国际巨头公司竞相布局物联网，以争夺物联网产业的主导地位。开源模式对于物联网发展来说非常重要，因为开源模式符合消费者、物联网设备制造商、物联网平台厂商、应用开发者等多方利益的诉求。然而，开源模式存在较大的知识产权风险，理清物联网领域开源软硬件的知识产权问题，对规避物联网产业的知识产权风险具有重要作用。

2 物联网开源现状

物联网市场呈现碎片化、无定形、不断变化的特点，对连接互通性要求高；而在物联网发展初期，需降低技术门槛加速技术产品普及，因此，开源模式对于物联网发展来说非常重要。据OMA的调查显示，60%物联网企业认为物联网产品推行依赖开源；Vision Mobile调查显示，91%物联网开发者曾使用过开源软件、开源硬件。

欧盟物联网创新联盟（AIOIT）梳理了全球重要物联网开源软件，发现开源软件涵盖了物联网端系统、短距离连接、物联网架构、物联网应用、物联网安全和隐私等重要方面。其中，物联网平台层、操作系统等方面开源项目较为集中。

通过梳理物联网开源现状，发现物联网开源几个特点：

一是开源参与主体已经由少数的狂热的开发者转变为企业。据统计，全球最大的代码托管平台Github上的贡献者80%都是受企业雇佣参加，物联网开源社区的参与者也大都是企业。

二是开源模式成为大公司构建和扩大物联网生态的重要手段。国内外ICT企业巨头纷纷通过开源方式构建和扩大物联网生态，以争夺物联网生态主导权。谷歌2015年宣布了其物联网战略，将Brillo的操作系统，以及一个物联网通信框架Weave开源。2016年，高通主导的AllSeenAlliance和英特尔主导的OCF合并，打造一个共通的开放性物联网架构。微软也将其嵌入式平台.NET开发框架开源。我国企业华为推出的物联网操作系统LiteOS采取开源策略，构建包括芯片、模块、开源硬件、创客以及软件开发者等玩家的开源社区。

三是技术、标准、开源协同发展，开源逐步成为事实标准。技术创新在开源社区与标准组织中同步进行，标准制定与开源项目开发相互促进，技术更新更为频繁。例如，IoTivity开源项目与OCF标准有密切联系；OM2M开源项目与SmartM2M、OneM2M标准紧密相关；WRAP10开源项目与W3C标准紧密相关。

四是开源生态参与主体更加多元化，竞争状况更为复杂。之前开源项目的参与者主要是IT厂商、互联网厂商，物联网开源项目，很多电信运营商、家电厂商、制造业厂商等纷纷加入，竞争更为复杂。

3 物联网典型开源软件知识产权问题研究

开源软件知识产权风险主要受3个因素影响：开源软件所遵循的许可协议、开源社区知识产权管理、开源软件的使用方式。为了深入分析物联网开源软件的知识产权风险，本文选取IoTivity、Contiki这两个比较活跃的物联网开源项目，对开源社区的情况、开源许可协议进行梳理分析。

3.1 IoTivity开源项目分析

IoTivity是一个物联网设备、产品及服务的开源软件框架，该开源项目结合了ICO标准。该标准和开源软件将可实现物联网产品及服务的相通性，可跨越任何厂商，及包括智慧家庭、汽车、生产自动化与健康照护等多个产业。IoTivity开源项目由Linux基金会主持，负责开源项目的管理，并提供法律、财务等支持。

3.1.1 IoTivity开源许可协议分析

IoTivity开源软件采用了Apache-2.0开源许可协议。Apache-2.0开源许可协议有以下几个重要规定：

（1）版权规定

根据Apache-2.0第二条款的规定，每个贡献者授予用户永久性的、全球性的、非专有性的、免费的、无版权费的、不可撤销的版权许可证以源程序形式或目标形式复制、准备衍生作品、公开展示、公开执行、授予分许可证、以及分发作品和上述衍生作品。

Apache-2.0是没有“传染性”的许可协议，Apache-2.0对于修改后代码的许可方式并无任何要求，用户可以在Apache代码上进行私人、内部及商业等多种用途的开发，也可以对自己修改后的代码选择非Apache许可协议。因此，Apache-2.0商业非常友好。

（2）专利规定

Apache-2.0专利规定包括两个方面：明示了专利许可，且存在专利报复条款。

Apache-2.0第三条款规定：根据本许可证的条款，每个贡献者授予用户永久性的、全球性的、非排他的、免费的、无许可费的、不可撤销的（除非在本部分另行声明）专利许可证，以允许使用者制造、让人制造、使用、许诺销售、销售、进口和以其它方式转让相关软件，且这样的许可证仅适用于对贡献者而言可以给予许可的专利权利要求，且必须是单独使用其贡献或一并使用其贡献和贡献所依据的作品可能构成侵权的专利权利要求。如果用户就作品或作品中所涉及的贡献对任何使用该软件的实体发起专利诉讼（包括交互诉讼或反诉），指控其构成直接或间接侵权，那么这个作品根据本许可协议授予用户的所有专利许可将在提起上述诉讼之日起终止。

这意味着：Apache协议允许贡献者就其贡献申请软件专利，但是同时也要求贡献者给予使用者以专利授权。如果用户针对Apache软件发起诉讼，该软件根据Apache许可协议赋予该用户的专利许可终止，用户再发布Apache软件，就会侵犯他人专利权，导致用户不能使用该Apache软件X。因此，使用Apache许可的软件被同为该软件的其他用户诉讼的风险很低。

（3）商标规定

Apache-2.0第六条款规定：本许可协议并未授予用户使用许可证颁发者的商号、商标、服务标记或产品名称，除非将这些名称用于合理和惯例性描述作品起源和复制通知文件的内容。

Apache-2.0对商标使用进行限制，只有在描述程序的原作者或者复制声明通知的时候才可以使用许可证颁发者的商标，否则其他情况下的使用需获得许可证颁发者的额外授权。

3.1.2 IoTivity开源社区知识产权规定

IoTivity开源社区规定：每一个贡献者在贡献前需签署《开发者原始版权证书》，证书的内容包括以下几点：

一是贡献全部或部分由贡献者创建，且贡献者有权利将这些贡献使用开源许可协议提交。

二是贡献是基于前人的工作，这些贡献是以合适的开源许可协议发布的；我有权利在该许可协议下修改软件，并以相同的许可协议进行发布。

三是贡献者的贡献记录（包括个人信息）无限期保留。

贡献者在向IoTivity开源社区贡献代码时，签署该许可协议，能保证自己拥有所贡献代码的版权，在一定程度上可以降低整个开源项目版权瑕疵的风险。

3.1.3 IoTivity开源软件知识产权风险综合分析

从版权侵权方面来看，侵权风险较小。一方面，Apache-2.0许可协议无传染性，许可协议合规较为容易，只要按要求进行声明即可；另一方面，开源社区要求每个贡献者签署贡献协议，开源项目版权瑕疵风险较小。

从专利侵权风险来看，Apache明示了专利许可，且存在专利报复条款。因此，被同为该软件的使用者专利诉讼的风险较低，但不排除第三方专利诉讼风险。

从商标侵权风险来看，Apache对商标使用作出明确规定，不能任意使用，存在一定商标使用风险。

3.2 Contiki开源项目分析

Contiki是一个适用于有内存的嵌入式系统的开源的、高可移植的、支持网络的多任务操作系统。包括一个多任务核心、TCP/IP堆栈、程序集以及低能耗的无线通讯堆栈。Contiki为小型OS，运行只需要几K的内存，采用C语言，入门容易，在各领域都有广泛应用。Contiki的内核以及大部分的核心功能是瑞典计算机科学研究所的网络内嵌系统小组的Adam Dunkels开发的，2012年成立了Thingsquare公司，为Contiki设备提供基于云的后端服务。

3.2.1 Contiki开源许可协议分析

Contiki采用3-Clause BSD开源许可协议。

（1）版权规定

同Apache-2.0许可协议一样，BSD许可协议也是没有“传染性”的许可协议。BSD许可协议对已修改代码的许可方式没有任何要求，可以任意地修改或扩展源代码得到一个演绎作品，然后以二进制形式发布，同时不需要公开这些修改或扩展，即可以把BSD许可的代码作为商业软件再发布。这使得很多企业选用开源产品时首选BSD协议，因为企业可以很方便地重用BSD许可的代码，在必要的时候修改或二次开发。

（2）专利规定

（3）商标规定

3.2.2 Contiki开源社区知识产权规定

Contiki开源社区对开源知识产权问题没有额外规定。

3.2.3 Contiki开源软件知识产权风险综合分析

从版权侵权风险来看，BSD许可协议无传染性，只要按要求进行声明，版权侵权风险较小。但是，Contiki社区没有要求版权贡献人做出保证，因此存在版权瑕疵风险。

从专利侵权风险来看，BSD没有明示专利许可条款，也没有专利报复条款，因此开源软件用户被贡献者起诉专利侵权风险较大。

4 物联网企业规避开源知识产权风险策略

4.1 物联网企业选择开源软件建议

物联网企业在使用开源软件时需要首先明确该开源软件的知识产权风险，结合企业对开源软件的使用方式，根据开源许可协议规定、开源社区知识产权规定，选择合适的开源软件。

在开源许可协议选择上，要综合考虑版权、专利、商标等方面的综合风险。

从版权规定来看，尽量选择无传染性或弱传染性等商业较为友好的开源许可协议，以降低版权侵权风险。常见的没有传染性的许可协议包括：Apache、BSD、MIT等；常见的弱传染性许可协议包括：LGPL、EPL、CDDL、MPL。像AGPL、GPL这样的强传染性的许可协议，再使用时要特别谨慎。

从专利规定来看，尽量选择明示专利授权，且有专利报复条款的许可协议，以降低专利侵权风险。明示专利授权且有专利报复条款的许可协议包括：AGPL-3.0、GPL-3.0、LGPL-3.0、EPL-1.0、Apache-2.0等。

从商标规定来看，要特别注意开源许可协议是否有明确的商标使用规定，如果有，需要按许可协议的规定执行。常见的有商标规定的许可协议包括：Apache-2.0、3-ClauseBSD等。

在选择开源软件时，除了要考虑开源许可协议外，开源社区管理规定也不容忽视。从开源社区管理来看，尽量选择需要贡献者或其雇主承诺人签署“承诺协议”的开源项目，这样开源软件版权瑕疵风险较小。除此之外，要特别关注开源社区对开源软件商标使用有规定，如规定不得擅自使用开源软件的商标，则需要严格按照规定执行。

4.2 开源企业规避知识产权风险策略

开源软件不是免费的午餐，不恰当的方式使用开源软件，会给企业带来很大的知识产权风险。引入开源软件的物联网企业需要从多个方面发力规避开源软件知识产权风险。

第一，要增强开源软件知识产权保护的意识。目前，国内很多开源相关企业没有认识到开源软件知识产权风险防控的重要性，认为开源软件既然公开了源代码就可以免费使用。因此，要做好开源风险防控，需要公司高层、法务工作人员、技术开发人员加深对开源软件的理解，增强对开源软件知识产权保护的意识。

第二，完善开源软件管理，将风险管控贯穿产品整个生命周期。开源风险防控是个系统工程，企业需要建立完善的开源合规管理流程，对开源软件的各个关键阶段进行审查。比如，引入开源软件之前，需要核实该开源软件的许可协议及开源社区的相关知识产权规定，法务人员需要综合判断企业使用该开源软件所带来的法律风险。比如，在推出开源相关的产品时，需要法务人员核实开源相关声明是否齐全。在此过程中，尤其需要加强技术人员、法务人员的协调配合。

第三，加强开源许可协议培训，严格执行许可协议规定。开源许可协议涉及法律、软件开发技术等多方面的知识，有些开源许可协议条款复杂，开源开发人员很难完全理解。因此，需要法务人员对公司常用开源许可协议进行解读，并对开发人员进行培训，要求开发人员严格按照许可协议的规定使用开源软件。

第四，重视专利布局，严防专利侵权风险。开源软件的版权风险可以通过黑鸭子等软件扫描来确定。但是，使用开源软件专利侵权风险不确定因素非常大。但是，往往专利侵权判赔额度更高，因此开源软件需要重视专利侵权风险。一方面，向开源社区贡献代码之前，需要提前进行专利布局，按发布地区的专利法律法规申请专利，以应对未来的开源风险。另一方面，如遇开源相关专利侵权诉讼，与开源社区其他参与者达成联盟积极应对，并以专利报复等条款进行抗辩。