欧盟开源法律与政策
欧盟 EU
Cyber Resilience Act(网络韧性法案)
立法进度:2024年10月欧盟理事会(Council)批准,待最终签署生效
目前版本: Text-Cyber Resilience Act
官方简要介绍:Cyber Resilience Act
该法案核心目标是: (1)确保所有投放到欧盟市场的具有数字元素的产品[ “具有数字元素的产品” 是指任何软件或硬件产品及其远程数据处理解决方案,包括单独投放市场的软件或硬件组件;](任何软件或者硬件产品)的网络安全; (2)对具有数字元素的产品的设计、开发和生产环节设置重要要求,并对此类产品的经济运营体设定有关网络安全的义务; (3)对于制造商应遵守对此类产品的安全漏洞处理流程以确保全生命周期确保安全以及对于其他经济运营体设定与此流程相关的义务; (4)对前述要求设定市场监管及执法的规则。
欧委会(Commission)的CRA草案在下述Recital 10中对软件开源设置了例外条款,称“为了防止阻碍创新和研究,在“商业活动”过程之外开发和提供的自由和开源软件将不被该草案覆盖”,并提别提示,“商业活动”不仅是对软件收费,对于对技术支持收费、提供软件平台对其他服务收费,或者在提高软件安全性、兼容性或互操作性目的之外使用个人数据,均为商业活动。
欧盟议会(Parliament)的反馈:欧盟议会中的ITRE committee在Report[2023-7-26]、Draft Report[2023-5-3(1)]、Draft Report[2023-5-3(2)]新增几个观点:(1)开源产品是否作为商业活动的一部分提供应个案评估,关注具有数字元素的开源产品的开发模式及供应阶段。例如:1.开源项目的主要开发者是来自单一主体的的雇员或committer来自于单一主体,那么被视为商业活动,除非其是“完全去中心化/fully decentralised”的开发模型(即没有单一公司主导项目代码);2. 任何经常性地接受了商业公司资金捐赠的开源项目将被视为商业活动;3.绝大多数打包管理器、代码托管协作平台不被视为本法案的分销商[Whereas10-10e];(2)对于开源软件, 制造商中立的非营利组织、独立开发者通常不受法案管辖,但鼓励按照Annex1进行合规 [Recital 9a];(3) 仅在商业活动中被用为商业产品的自由开源软件受到管辖, 制造商被视为向市场商业性供应产品的的主体 [Recital 10];(4)制造商应对引入的三方来源组件形式尽职调查,在引入并非换取经济价值的三方开源软件情形下,制造商也确保尽调合规 [Recital 32a];(5)无论是否能修复,所有安全漏洞必须及时(24h)报告给ENISA(欧盟网络安全机构)及该组件的维护方 [Recital 35],但这只是制造商的义务并非开发者的义务 [Art11 p.7];(6)数字元素产品的每个组件(含开源软件组件)均应确保安全,其后才能被认证为CE标识[Art.10 p4];(7)欧委会应成立专家组对特别是开源软件进行非约束力的产品评估和NLF to software的指引,且专家组中应特别包含开源组织背景的专家[Art.6a, Art.41a]。
欧盟理事会(Council)的反馈:欧盟理事会在其Negotiating Mandate[2023-7-13] 中新增几个观点:(1)“商业活动”指的对产品收费、对技术支持服务收费、通过其他收费平台等,且在确定活动的商业或非商业性质时,不应考虑产品开发的情况或开发的融资方式。此外,促进软件开发和供应的软件包管理器、代码托管或协作平台只有在将该软件投放到市场上并因此在欧盟市场上提供分发或使用时才被视为分销商。基于前述要素,在“商业活动”中提供开源软件则将受法案管辖[Recital 10];(2)制造商应识别数字元素产品的组件(包括开源组件)中的安全漏洞,并向组件维护者通报[Art11.7]。通常开源项目和基金会被排除在“商业活动中”。
Product Liability Directive(产品责任指令)
立法进度:Awaiting Council's 1st reading position
目前版本(经过欧盟议会批准):Texts adopted - Liability for defective products - Tuesday, 12 March 2024 (europa.eu)
该法案理清了在转售前对产品进行实质修改的公司所受到的责任规则并扩充了产品周期,旨在改进当前对于缺陷产品制造商的无过错责任,并作为现存欧盟责任立法和欧盟安全立法的补充。
该法案Recital第13条明确提到,该法案不适用于商业活动之外开发或供应的自由和开源软件。但如果软件是为了收费而提供的,或者使用个人数据并非专门用于提高软件的安全性、兼容性或互操作性,因此是在商业活动过程中提供的,则应适用该指令。
Parliament并未关注到开源议题,Council的妥协稿中仅对排除的商业活动开源软件作出限定:“因为如此开发或供应的产品在定义上不视为向市场上投放”。
该指令正确地要求软件供应商和制造商全面了解其软件的构成(例如:SBOM),且要求对受漏洞影响的软件能够召回,这就要求供应商必须积极管理它们的整个供应链。但Brian Fox评论称,PLD使用模棱两可的语言表述,可能会中和这些积极因素,从而无意中针对Maven Central、Pypi、npm甚至是GitHub等开源软件分发商。Eclipse基金会的Mike同样认为,新PLD并未明确将开源基金会、开源项目排除在外,相反可能作为制造商承担产品责任,Mike认为担责方应该是将开源软件纳入产品并分发给消费者的主体,而非发布开源软件的主体(如开源基金会)。
【2024】AI Act(人工智能法案)
《人工智能法案》重点引入了以风险为导向,对于AI系统的分类分级监管制度。该法案提出了四种风险类型的AI系统:不可接受的风险、高风险、有限风险和极低风险。该法案对于不可接受的风险以及高风险等级的AI系统提出了严格的规制措施,同时为人工智能设计了全生命周期的规制措施,要求人工智能产品入市前评估和入市后监测,以便从事前、事中和事后共同治理。 根据自由和开源许可证发布的人工智能系统不适用本法案,除非该模型(1)作为高风险AI系统投放市场或提供服务;或(2)属于本法案第5条(禁止的AI实践)或50条(某些AI系统的提供者和部署者的透明度义务)规定的范围。 自由和开源的人工智能组件(component)涵盖人工智能系统(AI system)的软件和数据,包括人工智能系统的模型和通用人工智能模型、工具、服务或流程。...有偿提供或以其他方式商业化的人工智能组件,包括通过软件平台提供与人工智能组件相关的技术支持或其他服务,或出于改善软件安全性、兼容性或互操作性以外的原因使用个人数据,不应享受自由和开源人工智能组件的例外规定(微型企业之间的交易除外)。 在自由和开源许可证(Free and open source license)下发布的通用(general-purpose)人工智能模型(模型属于人工智能组件),如果其参数(包括权重)、模型架构信息和模型使用信息都是公开的,则应被视为具有高透明度和公开性,无需适用通用人工智能模型提供者需遵守的某些义务(第53条第1款的(a)和(b)项义务和第54条规定的义务)。但是这一例外不适用于具有系统风险的通用人工智能模型。
【2024】Interoperable Europe Act(互操作欧洲法案)
该提案引入一个“强制性合作框架”(mandatory cooperation framework),提出在公共部门,联盟的政府机构间共享某些互操作性解决方案(如开源软件)和数据的义务。另外,该提案还建议设立一个免费的欧洲可交互门户网站(interoperable Europe portal),作为网络和信息系统跨境互操作性信息的单一入口点。门户网站将以开放、机器可读、可访问、可查找和可重用的方式公开提供互操作性解决方案。提案中特别提及“部署开源战略对创新效率和联盟具有积极溢出效应。开源和开放标准一起可以促进互操作性。在这种情况下,适当的许可证尤为重要。目前的欧盟公共许可证(EUPL)的版本(1.2版),是由欧洲委员会执行决定(EU)2017/863通过的标准开源许可证。” EUPL-1.2是由欧盟委员会制定的欧洲联盟公共许可证,是一个“interoperable copyleft”的自由软件许可证。EUPL最初用于分发在IDABC技术框架内开发的软件,在2008年欧盟发布OSOR平台后,欧盟行政机构创建的软件大多在EUPL下许可;2021年欧盟委员会专门为EUPL做出Decision (2021/C 495 I/01), 欧盟委员会发布的软件应在EUPL下许可分发(除非受三方软件许可证影响无法变更为EUPL,或排除EUPL适用情形下优先选择宽松型许可证)。鉴于其通用范围,EUPL可用于全部公用和私用的软件。
【2021】 The 2021 Commission Decision on open source licensing(2021欧盟委员会针对开源许可的决定)
2021年12月欧洲委员会通过了一项关于分发开源软件的新决定,该决定遵循欧洲委员会的2020-2023开源软件战略,将使委员会减少发布其软件源代码所需的时间和文书工作。这一变化将使公共服务机构、公司、初创企业以及公民能够使用和进一步开发委员会发布的软件,也便利了知识和专业知识的共享。
【2020】The EC's Open Source Strategy 2020-2023(欧盟委员会开源战略2020-2023)
欧盟委员会2020年10月21日批准并发布了其2020-2023开源软件战略。该战略旨在通过鼓励和利用开放源代码促进软件解决方案、知识和专业技能的共享和再利用,以提供更好的欧洲服务,造福社会并降低社会成本。欧盟委员会承诺,不仅在信息技术等实际领域,而且在其可以发挥战略作用的领域增加对开放源码的使用。
【2019】 The Open Data Directive(开放数据指令)
作为欧洲数据战略的一部分,《开放数据指令》是适用于政府持有数据(公共部门信息)的法律框架,并体现欧洲市场的两个关键概念:透明度和公平竞争。该指令将在未来几年内在国家层面实施,并最终将:(1)刺激动态数据的发布和应用程序接口(api)的采用;(2)减少目前使公共机构能够对数据再利用收取超过边际传播成本的例外情况;(3)将该指令的范围扩大到包括公共企业在一套特定规则下持有的数据和由公共资助产生的研究数据;(4)加强公共和私营当事方之间涉及公共部门信息的协议的透明度要求,从而避免排他性交易。
【2016】 European Cloud Initiative(欧洲云倡议)
《欧洲云倡议》是一个宏大的欧盟策略,旨在促进欧洲的科研、创新和经济发展,特别是在数据驱动的研究和高性能计算领域。这项计划于2016年首次提出,旨在通过构建一个综合性的欧洲云基础架构来支持数据共享、分析和存储,加强欧洲在云计算和大数据领域的竞争力。该计划:(1)鼓励采用开放标准和接口以促进互操作性和数据的自由流动;(2)支持和利用开源软件和服务来构建云基础设施,这样可以降低技术依赖,增加透明度,鼓励技术创新,并且允许更多组织参与到云服务的开发和改进中来;(3)鼓励学术界、工业界和开源社区之间的合作,共同开发和维护云服务和工具;()支持开放数据原则,鼓励科研成果的开放获取。