文 / 朱庆 李慧腾

一、引言：开源社区合规在中国

开源是开放源代码的简称，融产品形态和协同机制为一体，其核心是许可方提供源代码并允许用户制作衍生作品，以实现自由访问、使用和修改软件。开放源码软件直接助力开源社区的形成：许可证授予的权利允许通过互联网（特别是从Sourceforge或GoogleCode等存储库）密集和大规模地传播自由和开放源码软件，并鼓励围绕开源社区建设项目。开源社区又称“开放源代码社区”，既是根据相应的许可证协议，由地缘空间分散但拥有共同兴趣爱好的开发者，协商共同开发、维护、增强软件等知识创造与传播的网络平台，同时又是成员学习交流和共治的网络组织。1参见齐佳音、张国锋、王伟：《开源数字经济的创新逻辑：大数据合作资产视角》，载《北京交通大学学报(社会科学版)》2021年第3期，第37-49页。我国的开源社区已从初期爬坡过渡到快速上升期。正如国外学者所言：如果不注重合作社区的建设，自由和开源项目可能会成为“孤儿”。

从广义上讲，开源合规为开源知识产权的合规，涵盖著作权、专利、商标和商业秘密多方面。从狭义上讲，则指对于开源许可证的遵守，具体而言是对开源许可证中所附义务之遵守。该类义务往往随软件的对外交付和服务而引起，可以分为两类：一是向软件提供者列明软件所使用的开源组件，包含各组件的版权和许可证信息（常见的形式为：在APP端“关于”部分列明；或是提供开源组件清单供用户参考）；二是提供软件的源码，包括对源码所做的修改、控制建构的脚本等。囿于常见的开源许可证文本均无法脱离著作权、专利、商标和商业秘密等知识产权范畴，故本文从广义层面来分析开源社区合规的适用。

近年来，关于建设开源社区与构建相关法律体系已成为国家与社会关注的焦点。2021年国务院颁布《国民经济和社会发展第十四个五年规划和2035年远景目标纲要》《知识产权强国建设纲要》等，明确提出完善开源知识产权和法律体系，鼓励企业开放软件源代码、硬件设施和应用服务；同年由工业和信息化部颁布的《“十四五”软件和信息技术服务业发展规划》中也提出到2025年要建设两到三个具有国际影响力的开源社区。此外，工业和信息化部还下发《关于加快推动区块链技术应用和产业发展的指导意见》，强调要探索建立开源技术公共服务平台，加强开源技术及应用标准化建设等。基于此，我国已将开源社区的合规建设提升至国家战略层面。

开源社区合规性管理是开源生态建设的必要一环，需要重视知识产权保护：一是，合规的软件产品组合易于测试、升级和维护，促进软件生命周期的发展。二是，确定关键多个产品中使用的开源软件，对企业参与开源具有战略意义，增加对可用开源解决方案的了解。三是，管理并减少侵权风险，增强研发选择开源软件的便利。四是，帮助组织投入某些开源软件/开源社区的建设，以此发展并完善开源生态。

但同时，开源软件在分发、使用和再开发过程中的各环节存在“卡脖子风险”：新思科技统计的代码库中53%存在许可证冲突，81%的代码至少包含一个漏洞。2参见新思科技：《开源安全和风险分析报告》(OSSRA) ，2022年版。开源代码的供应链安全风险大，同时治理生态环境差，确权审查不健全，维权机制不完善等，导致相关侵权案例频发。据美国专利组织Unified Patents统计，2012年到2018年底，美国地区法院共产生了约260个开源项目（平台）的专利诉讼案例。3参见中国信息通信研究院：《开源生态白皮书》 ，2020年版。中国自2019年也出现数起涉及开源的知识产权诉讼。4如北京数字天堂网络技术有限公司诉北京柚子科技有限公司侵犯计算机软件著作权纠纷案，罗盒网络科技有限公司诉玩友网络科技有限公司等侵害开源软件著作权纠纷案。

目前，中国现有的开源社区鲜有提供合规管理服务，大多面临知识产权注册不及时、权属界定不清晰、共享规则不健全以及知识产权侵权等问题。5《全国首个开源社区知识产权管理规则指引发布》，载中国质量新闻网，https://m.cqn.com.cn/zj/content/2021-11/02/content_8748305.htm，最后访问日期：2021年11月2日。而开源算法的使用需求量大，为了保障公司信誉、避免违法侵权诉讼的发生，互联网公司极其重视开源算法合规。理论上的探讨多停留在开源软件著作权与专利权、开源许可协议的研究，虽然也有学者关注到了开源软件开发过程中许可证合规使用的问题，但国内学者对开源社区合规方面的研究存在空白。基于此，笔者拟结合我国开源社区发展的实际情况，对开源社区的合规性管理与知识产权保护进行详细阐述。

二、开源社区的人文精神及与知识产权之厘析

开源社区最初由虚拟社区衍生而来，是基于Web2.0环境滋生出来的具有黑客6黑客（英文Haker）是指对设计、编程和计算机科学方面具有高度理解的人（来源维基百科）。《辞海》中解释为：“泛指擅长信息技术尤其是网络技术且常从事恶意行为的人群。”精神的开源现象，进而孵化出具有典型黑客特征的虚拟社区。开源社区中的群体身份使成员找到共同的原则、目标和价值观。作为开放式创新社区7开放式创新是指企业通过协调内部和外部创新资源实现技术、产品或服务创新的发展模式，开放式创新社区则是指企业实施开放式创新过程中所应用的平台。众包服务平台、开源社区和企业开放式创新平台是三种类型的开放式创新社区。参见张克永：《开放式创新社区知识共享研究》，吉林大学2017年博士学位论文。之一，开源社区可分为企业主导型、基金会主导型、政府主导型和非盈利组织主导型。8张克永：《开放式创新社区知识共享研究》，吉林大学2017年博士学位论文。

开源精神与保护软件作品的法律精神都旨在“鼓励创作，促进创新，推动软件文化进步”，但开源的产生和发展表现出对知识产权的依赖性，同时也与知识产权存在冲突之处。

（一）开源社区中的人文精神

1.自由共享

开源运动之父理查德·斯托曼(Richard Stallman)提出，“GNU不是UNIX”，即为了共同利益软件代码应该共享，认为所有计算机用户不仅能自由修改所有软件以满足其需求，还能自由共享软件。他认为，对源代码采用专有方法进行封闭违反了“黄金法则”。9.Vetter, G.R.The Collaborative Integrity of Open-Source Software.Computer Science.University of Houston Law Center No. 2004-A-11.管理GNU操作系统的自由软件基金会将“自由软件”定义为：尊重用户自由和社区的软件，这意味着用户可以自由运行、复制、分发、研究、更改与改进软件。因此“自由软件”是一个“自由”问题，而不是价格问题。GNU的目标是给予用户自由，因此需要分发条款，以防止GNU软件变成专有软件。斯托曼为GNU软件开发了一个许可系统，他称之为“copyleft”。copyleft的核心思想是允许每个人运行、复制和修改程序，并分发修改后的版本，用户不得添加自己的限制，同时修改后的版本也必须免费。共享理念是开源软件区别与其他软件的核心：思想共享、知识共享、源码共享。

2.知识协同

开源社区是一个由贡献者和使用者联合起来的群体，从最初单一的组成来源，后通过不断运营吸引各类型、各地域参与者加入，形成多元化社区。10参见中国信息通信研究院：《开源生态白皮书》，2021年版。由于开放源码软件的编程者来自世界各地，因此开源社区就成为他们沟通和交流的必要途径，为成员提供了一个自由交流和学习的空间。新兴科技的出现和翻新推动着共享式合作的发展，催生创新并产生知识外溢现象；协同意味着非竞争性，也由此造就了知识的延续。

3.集体生产

当前随着开源规模的扩大，软件自行开发的难度越来越大，为避免重复“造轮子”，开发过程中引入开源组件已经成为软件开发的趋势和主流解决方案。开发者通常不从头写代码，而是通过各种方式集成开源代码，主要为：（1）使用整个开源软件；（2）使用开源软件的某些文件；（3）使用开源软件中的某些代码片段；（4）依赖某些开源软件；（5）使用以上各种组合。

“礼物文化”影响下，程序员非常重视开源社区中持续存在的理想：知识共享和同行评审。当程序员最初加入开源社区时，其首要动机是学习新技能，而留在该社区的主要原因是分享他们从社区内获得的知识和技能，发生着由个人需求到致力于集体贡献的有趣转变。11.See Maher M . Open Source Software the Success of an Alternative Intellectual Property Incentive Paradigm[J]. fordham intell.prop.media & ent.l.j, 2000.现代发明改变了传统的公司生产专有或私人经济模式，生产过程以公开和公开的方式处理被认为是较好的方式，这种“集体生产”现象在开源软件的开发中尤为突出。但集体生产也带来财产产权的归属问题，美国联邦巡回上诉法院审理的原告雅各布森诉被告卡兹尔及卡明德联合公司一案，表明这种“集体开发”“合作创新”的开放性开发模式所引起的现象：集体生产下的产权归属成为不容忽视的难题。12.See Justin Pappas Johnson. Open Source Software: Private Provision of a Public Good.11J.ECON.&MGMT.STRATEGY637,637-62(2002).

（二）开源对知识产权的依赖性

版权既约束又解放开源开发，是唯一可以依赖的知识产权法律工具。13.Walsh K, Wallace A, Pavis M , et al. Intellectual Property Rights and Access in Crisis. IIC - International Review of Intellectual Property and Competition Law, 2021(7).开源理念的诞生是为了利用版权来促进软件代码共享，以此作为使用作品的条件 。这一问题导致软件行业的一小部分人用copyleft作为替代方案，其基本思想是用版权来促进受版权保护内容的共享和重用。这一理念以及其他因素导致了 1983 年自由软件基金会 ( Free Software Foundation，“FSF”) 的成立和通用公共许可证的创建。

软件作为“非戏剧性文学作品”受版权保护 。著作权法旨在保护作者的独创性表达，软件作者的知识产权保护适用同样的法律逻辑。大多数情况下，具有足够的独创性、完成代码开发的同时，作者便获得就这些代码行使署名权、复制权、修改权、发表权等著作权专有权利，这也是专有软件许可和开源许可证存在的基础和前提。14参见肖建华、柴芳墨：《论开源软件的著作权风险及相应对策》，载《河北法学》2017年第6期，第2-11页。开源许可证和著作权人在附终止条件的前提下，就著作权进行部分让步。开源软件仍然基于现有法律框架获得保护，对知识产权具有依赖性。

（三）开源与知识产权的冲突性

知识产权具有专有性15知识产权只能归权利人所有，具有独占性和排他性，即必须经过知识产权权利人的同意，其他人才能获得使用。、无形性与可复制性16相对于有形财产，知识产权具有无形性。同时，作为无形财产的知识产权，必须经过一定的载体表现出来，具有可复制性，即无法仅通过占有知识产权载体表征权属。、地域性17知识产权的维护与保护是依照某个国家或地区的法律进行，在特定的法域内获得保护。、时效性18在法定保护期限内，知识产权受到法律的保护，超过此期限任何人都可以以任何方式使用而不侵权。等特点。加强产权能使已经拥有高度知识资产的个人和组织确保占有未来收益，提高公众智识文化。若实现受知识产权保护的产品商业化，将涉及大量的专利和版权，使谈判、交涉成本提高，许可费用飙升，因此加强产权也会阻碍整个社会发展新知识。因此，当版权保护被运用到极致时，后续创新和再利用就会受到阻碍。这种情况下，一些学者发起了共享协议运动，19如斯托曼倡导的开源软件、莱斯格发起的创作共用。表达对著作权人权利扩张的不满：以自由传播和共享为理念，通过对传统著作权保护模式的改革，使公众能够便捷地使用他人作品，提升社会创新能力。20参见姚鹤徽：《数字网络时代著作权保护模式研究》，中国人民大学出版社2018年版。这一冲突的典型表现为“公地悲剧”和“搭便车行为”。

1.开源社区中的“公地悲剧”

法律经济学家将知识视为一种“公共产品”。21经济学中指出公共产品具有两大属性：非排他性和非竞争性。转引自Mark A.Lemley, 杜颖, 兰振国：《财产权、知识产权和搭便车》，载《私法》2012年第1期，第123-162页。与传统物权不同之处是知识产权具有公共性，开源代码也是如此。虽然开源代码的“排他性”不及物权的“排他性”纯粹，但这并不否认“排他性”的适用。同时“公共性”淡化了“排他性”的强度。原因在于，公共性资源或资产由于外部经济效应和搭便车等情况，其产权不容易私有，但若不对知识产品加以版权合理界定，配置法律资源，设计强有力的使用规则，无节制、无成本、开放式地过度利用会造成公地悲剧（tragedy of the commons）。

2022年初，Marak Squires主动删除了faker.js和colors.js项目仓库的所有代码，并故意提交错误代码，导致用户打开电脑时发现应用程序正在输出乱码数据。faker.js周下载量达200多万，colors.js周下载量更是达2000多万，开源作者绝望销库跑路这一事件对开源社区造成重大影响。开源社区作为一种虚拟空间，开源软件的公地悲剧不同于有体物，即并不是像羊吃草那样带来资源的枯竭与荒芜，而是在于每个使用者未能承担相应的个人使用成本，所有成本均为权利人承担，外部性没有完全内在化，支出规定投资成本后，若不能获得任何收益，预期收益的减弱会相应地降低开源作者的投资意愿，影响整个开源社区的生产投资效应。22参见【美】克莱·舍基（Clay Shirky）：《人人时代：无组织的组织力量》，浙江人民出版社2015年版。

2.开源社区中的搭便车行为

搭便车理论最早由奥尔森提出，意即集体行动中的人越多，每个人参与集体行动的可能性就越少。法经济学中将没有为“公共产品”出资的人称为“搭便车者”，因开源社区使用者在遵循许可证的前提下，享有包括但不限于使用、复制、修改、合并、发布、分发、再许可和/或出售软件副本的权利，并允许向其提供软件的人这样做，如此看来公开的代码在社区中具有了“公共物品属性”，更容易出现搭便车行为（the free riding）。某种意义上开源就是建立在“搭便车”基础之上的。然而知识产权

开源软件因公开、免费、开放性，加剧了开源社区中搭便车行为，为群体内的知识主体提供一种获取外部知识的途径，产生知识溢出效应，其实某种程度上不仅不会产生有形损耗，反而可能会扩张社会的知识总量。23参见时元龙：《知识产权领域反垄断问题研究》，山东大学2013年硕士学位论文。知识产权禁令救济与“搭便车”规则的边界是一致的。24参见Mark A.Lemley, 杜颖, 兰振国：《财产权、知识产权和搭便车》，载《私法》2012年第1期，第123-162页。按照这一逻辑，若搭便车行为存在合理之处，开源中是否启动禁令救济以及如何实现就成为一个问题，也就是知识产权必须要寻求一种平衡而不是找出搭便车者。从传统功利主义角度看，开源社区的出现尝试在开发者、创造者控制之下，在知识产权领域尤其是IT行业的竞争规则底线之上创造一种平衡，并不拘泥于单纯的法律文本，而是强调法律效果与社会效果的统一，以此符合知识产权实用主义之要求。

开源与知识产权之间的冲突，实质上为开放获取与强化私有制之间的冲突：一种观点认为，应当重点加强知识的私人所有权，并制定鼓励其发展或创造的激励措施。25代表性著述如：孙海龙等：《知识产权公权化理论的解读和反思》，载《法律科学》2007年第5期，第76-85页。另一种观点认为，应放宽对知识产权获取的技术和制度限制，以实现更广泛的公众获取，即主张“知识产权的公权化”。26代表性著述如：邹波：《知识产权公权属性简探》，载《河南社会科学》2010年第3期，第77-80页；冯晓青等：《试论知识产权的私权属性及其公权化趋向》，载《中国法学》2004年第1期，第63-70页。但学界基本达成一致的观点即：基于知识产权的“高危”特性,必然要求公权力的介入，以维护公共利益。27严新龙：《知识产权权利属性再思考——一种对“私权公权化”的反思》，载《科技管理研究》2017年第2期，第151-155页。可见作为私法的知识产权也兼具一定社会公共利益的承担。不可否认的是，开源的公开、公知、公用精神与知识产权私权特性仍存在一定冲突，共享理念与知识产权强保护的理念也有冲突。但开源并非放弃知识产权，而是在知识产权的框架下搭建的，对代码保留所有权，并附许可合同要求使用开源软件，开源中既涉及作者权利的让渡（如修改权、复制权），又涉及部分权利的保护（如署名权），那么如何平衡共享与知识产权保护便成为开源不可回避的法律问题。我们需要在保护和自由之间找到适度的平衡，以促进创新。

三、开源社区合规面临的知识产权风险

开源软件并非无限制地自由使用，必须在遵守所附许可证的基础上注重知识产权的保护。28参见王晓冬：《我国开源软件产业面临的突出风险及对策研究》，载《信息安全研究》2021年第10期，第973-976页。开源软件在著作权、专利权、商标权、商业秘密泄露上面临的侵权风险较大，概括而言主要为：一方面，开源软件应用中存在违反开源许可证的知识产权风险。另一方面，开源软件还可能存在侵权的知识产权风险。这影响了社区用户对开源软件的使用，从而影响知识传播，阻碍知识共享，违背开源的初衷。

（一）提供者角度

1.缺乏全链条的完整保护

提供者在提供开源软件后会遭受各种风险，但目前的市场中对于这些风险缺乏全链条式完整保护。开源精神旨在保护每一个参与作者的署名权，同时也保证开源软件有继续向下延伸发展和传递的可能性。29肖建华、柴芳墨：《论开源软件的著作权风险及相应对策》，载《河北法学》2017年第6期，第2-11页。出于对开源软件提供者精神权利的尊重，在对软件进行原始发布或者再发布时，大部分的开源许可证均在要求以显著的方式标注版权人信息，若使用者在对开源软件进行发布或者再次发布时，未能保留原始版权信息，明确标记出处，则提供者作为著作权人的署名权就会受到侵犯。此外提供者也会存在被违约、被侵权的风险。但针对提供者面临如此多的风险，目前一个完整的保护机制匮乏，遑论帮助提供者维权。

2.侵权证据难以获取

难以获取侵权证据的表现主要有两方面。一方面，由于开源许可证类型多样，且部分许可证存在权力边界不明的适用问题，同时许可证之间也存在交叉适用而产生的不兼容问题，导致权属界定不清晰、共享规则不健全。另一方面，在开源软件的使用过程中，一个开源软件中有众多开源代码，所以提供者若被侵权后，提供者难以明确是哪一段代码被人侵权，并且在互联网使用的过程中，证据较为分散，不易收集。按照我国《民事诉讼法》的规定，举证责任分配遵循“谁主张，谁举证”的基本原则。30《民事诉讼法》第六十七条规定：“当事人对自己提出的主张，有责任提供证据。当事人及其诉讼代理人因客观原因不能自行收集的证据，或者人民法院认为审理案件需要的证据，人民法院应当调查收集。人民法院应当按照法定程序，全面地、客观地审查核实证据。”若提供者未能就相应事实负担举证，以及在事实不明的情形下，可能会面临败诉的风险。

（二）使用者角度

1.权利来源不稳定

第一种情况是未保留原始版权信息，导致来源不稳定。大多数开源许可证均要求在对软件进行原始发布或者再发布时，以显著的方式标注版权人信息。若在上游使用者对代码进行再加工后未能明确标明出处、保留原始版权信息，后续使用者便无法识别该段代码是否存在权利瑕疵。这将导致下游使用者难以明确该开源软件的权利来源，可能会出现违反开源许可证的行为，扩大违约或侵权的风险。这种情况下，对于使用者来说，若在来自世界各地提供者们贡献的代码中混杂了含有权利来源不稳定的代码，则会加剧违法风险的可能性。

第二种情况是开源软件与职务作品权属不明，导致来源不稳定。当开发时间紧迫、任务要求复杂时，从开源社区直接获取源代码使开发进展更为便利。但这样会导致职务作品流入开源社区中，或者开源社区代码流入职务作品中，出现开源软件与职务作品的权属不明。以GPL 许可证为例，要求演绎作品也必须以 GPL 许可证发布，此时会出现一个两难困境：程序员若将作品源代码发布至开源社区，便不当行使了法人的权利；反之若将源代码闭源处理则违反了开源许可证的规定。若程序员将参与开发的职务作品源代码贡献至开源社区，其他用户使用该源代码开发出其他开源软件，从代码链源头起便缺乏权属正当性，则面临侵权风险。31参见骆英宏：《开源软件著作权保护制度研究》，吉林大学2013年硕士学位论文。

2.许可证冲突不兼容

开源许可证兼容是指不同许可证的开源项目，能在同时不违反所有开源项目许可证的前提下进行合并或者融合，反之则为许可证不兼容。许可证冲突不兼容的风险是使用开源软件时面临的常见风险。开源软件或依赖组件在混合使用时，由于不同的开源软件或依赖组件具有不同的开源许可证，因此可能有许可证冲突不兼容的情况出现。若在使用或引入开源软件时，未注意兼容性风险，则可能导致违反相应的开源许可证义务或要求。为解决许可证不兼容这一问题，也可采用一定的方式使其兼容：如LGPL2.1和GPL3.0是不兼容的，但如果两方的许可证协议中都包含“可以升级到更高版本”的条款，那么LGPL2.1就可以升级到LGPL3.0，LGPL3.0和GPL3.0、AGPL3.0是 兼容的。 这一情况适用的前提是许可证协议本身允许版本的升级。

四、开源社区合规运行下的化解路径

（一）区块链存证

区块链可以通过哈希算法32哈希算法，又被称作散列函数，能够将任意长度的消息m转化为固定长度的二进制串，其输出值被称为哈希值，记作H(m)，可用于验证数据完整性和防篡改检验。作为区块链的核心技术之一，哈希算法被广泛应用在构建区块和确认交易的完整性上。资料来源于：《2022年区块链技术在元宇宙中的应用研究系列报告（五）：哈希算法及时间戳》https://www.baogaoting.com/info/142451。和时间戳33时间戳是一份能够表示某项数据在一个特定时间前就已经存在的，且完整的可验证的字符序列，其证明力基于哈希函数的数学原理。时间戳可以扮演“公证人”的角色，为区块链上的每一个区块打上一个时间印记，确保它们依时间顺序相连，且无法被篡改。资料来源于：《2022年区块链技术在元宇宙中的应用研究系列报告（五）：哈希算法及时间戳》https://www.baogaoting.com/info/142451。证明某个文件或者数字内容在特定时间的存在，加之其公开、不可篡改、可溯源等特性为司法鉴定、身份证明、产权保护、防伪溯源等提供了解决方案。34张培培：《区块链技术的五大应用场景》，载求是网2019年11月1日，http://www.qstheory.cn/llwx/2019-11/01/c_1125179604.htm。传统的软件开发模式尽管可以保证软件的持续更新迭代，但是无法确定软件的各种权利归属。和区块链相比，Git缺少一个共识算法，它要求用户自己来达成共识（解决合并时的冲突），这个冲突会导致无法确定到底选取哪次提交连接到主链上，从而难以对代码确权，并且项目的管理者对软件具有绝对的权利，而忽视了其他软件贡献者们的意愿，也不利于软件的完善和功能的增强。现在以太坊已经能够托管代码，而且托管的代码还可以运行，只是目前只能支持智能合约的代码托管。

2018年最高人民法院发布《互联网法院审理案件若干问题的规定》，首次对以区块链技术进行存证的电子数据真实性作出司法解释，由此区块链存证的法律效力得到确认。35《互联网法院审理案件若干问题的规定》第十一条第二款规定：“当事人提交的电子数据，通过电子签名、可信时间戳、哈希值校验、区块链等证据收集、固定和防篡改的技术手段或者通过电子取证存证平台认证，能够证明其真实性的，互联网法院应当确认。”同时，最高人民法院发布了《人民法院在线诉讼规则》，明确了区块链存证的提交、质证、采信认定等操作规则。利用区块链能够建立软件开发记录的机制：将使用开源软件的情况记录在案，以便根据开源许可证确认权利义务。

（二）著作权与专利权：完善权利审查流程

在我国，开源软件受到《著作权法》《专利法》等法律法规的保护。根据《著作权法》第三条第一款之规定，符合作品构成要件的计算机软件受到我国著作权法保护。同时，以我国《专利法》第二条（即可专利性主题）和第二十五条（即专利排除条款）规定为基础，通过规范解释、学理阐述和时间总结，我国对软件专利保护实现了从排斥到开放的制度转变。一方面对于开发者所贡献的源代码本身，因其无地域性、集市化的开发特点，使得开源软件难以履行一定的知识产权的形式要素，而可能缺乏法律保障，从而增添侵权的可能性；另一方面开源社区也有可能因为发布了含有侵权内容的源代码而本身也间接侵权。36熊瑞萍、万江平：《开源软件的突围之路——关于开源运动的若干思考》，载《科技管理研究》2009年第3期，第252-255页。因此，在引入开源软件前审查软件开发者的权利归属至关重要。基于此，开源社区应提供了一个全面、科学的审查体系，以确保平台内部软件资源的权属明确，从源头斩断知识产权侵权可能性，从而营造良好的开源社区生态环境。

1.形式审查

（1）专利审查

审查内容：证明专利权真实有效的文件，包括专利证书、权利要求书、说明书和最新专利年费交纳凭证。

形式审查：根据我国《专利法》第三十五条之规定，软件发明专利经过形式审查与实质审查后才予以受理，即指专利局不仅要对申请案的形式要件进行审查，还要对申请案中的发明创造是否符合新颖性、创造性和实用性等实质性要件进行审查。由于专利实质审查内容全面、结果可信，为节省技术资源和提高效率，因此建议开源社区对于软件发明专利仅作形式审查。

（2）著作权审查

审查内容：计算机软件著作权登记证书、发明专利证书。

审查方式：建议开源社区对著作权进行实质审查。软件版权登记作为软件版权保护的一项辅助机制在世界各国普遍存在，但不同国家对待软件版权登记的态度不尽相同。在美国，软件的版权登记被当作提出侵权诉讼或者就某些侵权行为获取补偿的前提条件，但进行软件版权登记并不是取得版权的前提。在巴西，软件的版权登记虽然是自愿的行为，但却是提出有关软件的任何司法诉讼的先决条件，鉴于该国的金融状况，巴西甚至将软件的版权登记作为完成有关财务行为和外汇汇兑的必备条件。就我国而言，根据著作权的自动取得制度以及《计算机软件保护条例》的规定，版权登记不决定著作权产生与否。37《著作权法》第二条第1款规定：“中国公民、法人或者非法人组织的作品，不论是否发表，依照本法享有著作权。”《计算机软件保护条例》第五条规定：“中国公民、法人或者其他组织对其所开发的软件，不论是否发表，依照本条例享有著作权。”但根据《计算机软件保护条例》第七条之规定，软件登记机构发放的登记证明文件是登记事项的初步证明。除非有反证，否则以登记证书所载明的事项为准。因此，已登记的软件版权证书可以作为形式审查的判断标准。但开源社区平台判断提供者是否为真正的著作权人还需要通过实质审查排除反证可能性。

因此总结来说，开源社区将对已经获得专利授权的发明专利（由于专利法已对其进行实质审查）仅进行形式审查。对于已获得著作权保护的软件作品，由于其获得计算机软件登记证书时的审查力度较低，因此建议开源平台对该软件作品仍需进行实质性审查以排除侵权可能性。

2.实质审查

非全面覆盖：通过将软件开发者提供的已享有版权的软件与国家知识产权局专利库内的发明专利进行全方位比对，判断是否侵权。若专利库中不存在被该软件全面覆盖的专利，则实质审查通过，可将该作品收入开源社区平台中。

全面覆盖：若版权软件落入专利库中专利的保护范围中，根据登记先后顺序由开源社区平台判断权利归属。（1）著作权登记先于专利权的，则将该作品纳入开源社区中。该侵权专利获得授权可能是专利审查部门在专利新颖性审查过程中出了差错等原因，但不管何种缘由，在后的专利权人均构成对该提供者的著作权侵权。38开发者可依据《专利法》第四十五条和《专利法实施细则》第六十五条之规定，以不符合专利法第二十二条被授予专利权的发明或者实用新型专利不具有新颖性、创造性和适用性的情况，请求宣告该专利权无效。（2）著作权登记晚于专利权授权的，不予纳入开源社区。由于发明专利权的获取需要形式审查与实质审查，审查流程相较于著作权登记更加严格与全面，权利归属结果具有更高的信赖利益，因此对于著作权登记晚于专利权获得的软件，可推定其不享有相应的著作权。

（三）公共商标许可模式

商标通常为社区提供权威性和凝聚力。如果一个开源社区失去对其名称或徽标的商标保护，不仅可能会失去消费者的信任，还会失去为项目招募新贡献者的能力。在开源社区中，贡献者可以自由共享或重新混合协作项目的代码或内容，相应地也会期望相同条件下自由使用项目的名称或商标。但开源许可证往往并不授权使用许可方的商标转售或重新分发开源软件。大多数情况下，开源许可证甚至不提及商标（如GPL许可证只涉及依著作权和专利权授予的权利），提及时通常也会明确限制或禁止使用商标的权利。没有商标许可，使用者便无权在重新分发中使用许可人的商标，便会出现开源项目的衍生产品无权使用与原项目相同的商标。这会产生一个需求矛盾：商标法中的某些原则与开源协作文化产生冲突。

赋予开源社区商标申请权便成为必要。为了注册目的，商标所有者必须是自然人、法人或其他组织，如公司或协会，但不得是一个未定义的团体。39《中华人民共和国商标法》第四条规定，自然人、法人或者其他组织在生产经营活动中，对其商品或者服务需要取得商标专用权的，应当向商标局申请商标注册。不以使用为目的的恶意商标注册申请，应当予以驳回。目前我国对开源社区的法律定位尚不清晰，这成为开源社区注册商标主体上的困难，尤其是松散的开源社区。40参见张平、马晓：《共享智慧：开源软件知识产权问题解析》，北京大学出版社2005年版，第414页。一方面，共有商标是两个以上自然人、法人或其他组织共同向商标申请局申请注册同一商标，共有人共同享有商标使用权。同时需要明确在开源社区中商标共有人在未特别约定的情况下，可以普通许可的方式许可他人使用，而独占许可和排他许可则需要社区商标共有人协商一致。

（四）商业秘密保护

开源软件的商业秘密保护往往因开源代码的分发而丧失。实践中大部分被告以案涉计算机软件系开源作为抗辩事由主张不侵犯商业秘密。41.如恒生电子股份有限公司、杭州恒生网络技术服务有限公司与天骄文韵软件（天津）有限责任公司、王某某等侵害商业秘密纠纷一审民事判决书。开源软件的源代码公开，但工程化实现技术则不公开，如技术诀窍、熟练技巧、工程经验、测试分析等，往往是不公开的。开源软件使用者如果从非正常渠道获得此类未公开的工程化实现技术，满足“不为公众所知悉”的条件，要注意侵犯商业秘密的可能性。42李岳、黄涛：《开源软件的知识产权问题概述》，载康信知识产权网2018年6月12日，http://www.kangxin.com/html/1/173/174/353/8661.html。侵犯商业秘密的风险有两种类：一是被迫公开商业秘密的风险；二是泄露商业秘密的风险。前者情形为：私有软件或代码中包含商业秘密，加入使用GPL等具有传染性的许可证，私有软件因被迫开源而引起商业秘密的被迫公开。后者是未经批准擅自将含有商业秘密的代码公开在开源社区平台，以此导致泄露商业秘密。此外，若开源软件存在恶意代码、病毒或其他安全漏洞等情形，则可能引起内部系统商业秘密的泄露风险。基于此，使用者应合理甄选更加契合自身商业需求的许可证，开发过程中对源代码的流入进行排查，保证代码的合法性。

计算机软件虽然可以利用商业秘密予以保护，但并不意味着软件整体上都能受到保护，尤其是基于开源软件修改、扩展的衍生品，更应当回避此种保护模式。更妥当的做法是，针对衍生软件中包含的算法、架构、设计思路等符合商业秘密构成要件的技术信息单独提取出来，作为专有技术予以保护，而不是将上述信息的载体整个地认定为商业秘密。

（五）完善开源社区合规服务

在开源社区基础的上传、下载服务之外，建议增加为使用开源代码的企业提供合规审查功能，对开源代码及其使用的许可证进行筛选与分类，同时根据使用者的需求提供个性化合规服务，匹配、筛选出合适的许可协议，并明确该许可证所允许企业对于代码进行修改与使用的范围，梳理其在使用过程中的限制与要求。与此同时，利用互联网、区块链和人工智能等技术对提供者的软件进行审查对比，并要求使用者遵守开源合规平台守则，在使用前保证进入开源社区的开源软件无权利瑕疵，在使用中确保使用的公开透明，在侵权后可以迅速保证权利救济。

具体而言，可分为三个阶段。第一，事前的精准确权。通过建立完备的权利审查机制，保障社区对软件均享有合法权益，保证入场权利无瑕疵。从分类源代码许可证、识别许可证与源代码、权利证书核实三个方面来实施。第二，事中的个性合规。通过对用户源代码的使用过程的监督检验，针对风险操作予以实时提醒以及记录，以应对可能的合规风险，同时针对用户需求，通过人工客服，留言板等形式，越过许可证限制，寻求形成符合用户需求的个性化合约；第三，事后的帮助维权。在不慎侵权之后，通过对侵权问题的检测锁定侵权主体，并提供相关建议与证据，来谋求侵权的最小损失。

大型开源项目（如 Linux）常常涉及众多主体的利益，但大多数人认为维权应该是非正式的（即非通过诉讼），而且主要目标应该是合规而不是惩罚。例如，软件自由保护组织（Software Freedom Conservancy，SFC）已 经 颁布了一些社区维权原则，其中优选合规，而不是寻求诉讼或赔偿金。Linux 社区的大多数开发成员将诉讼视为最后的手段，并不太愿意采取法律行动，而是希望与合规的用户进行合作。针对违约行为，社区平台应及时采取措施，如停止使用、替换代码、下架、召回。

五、结语

随着知识体系的增长和信息检索技术的发展，社会及其创造变得愈加复杂，在全球范围内进行创新和竞争不再仅靠一己之力，寻求合作开展项目也至关重要。开源正是在此基础上应运而生。开源社区作为资源集聚的平台，全球的开发者与使用者、合作伙伴在这里开展思想碰撞、技术建设、孵化项目、商业运作等活动。如果仅仅只是开放源码，忽视开源社区建设，将引发众多不良后果。开源软件为我们带来开放、共享、协作、自由与反垄断的开源文化，其与知识产权是一种共生关系——依赖与冲突。依赖面向开源软件仍然基于现有法律框架获得保护，消弭了知识产权过度强化的弊端，成为一种牵制其扩张的力量，推动着知识产权的修正和推新；冲突面向开放获取与私有制之间的冲突。我们需要在保护和自由之间找到适度的平衡，以促进创新。这是一种实践逻辑，亦是一种建构逻辑。

开源社区的开放和分散性需要由道德和法律驱动，应重视开源社区中存在的知识产权风险，以确保项目平等或独立。利用区块链的不可篡改特性，对社区中的开源软件每一次修改进行追踪，以解决侵权证据难以获取的问题，实现知识产权确权功能。将形式审查与实质审查相结合，完善著作权与专利权的权利审查流程。同时引入公共商标许可模式，并注重商业秘密保护。在此基础上，完善开源社区合规服务。

正如对我国法治发展趋势所作的前瞻性判断不可能满足完全的理性，而只可能是满足一定程度的理性。本文对开源社区合规性的分析与设想亦必定存在偏颇或缺漏，这一问题还有诸多细致、具体的问题待进一步深入研究，也需要更多实践积累与实证考察。