CRA專(zhuān)題｜面對(duì)法律，開(kāi)源應(yīng)負(fù)什么安全責(zé)任

CRA專(zhuān)題介紹

“如果萬(wàn)物互聯(lián)，則萬(wàn)物皆可被攻擊?！?022年9月15日，歐盟委員會(huì)的《網(wǎng)絡(luò)韌性法案（CRA）》提案應(yīng)運(yùn)而生。CRA提案引發(fā)了全球開(kāi)源圈的熱議，特別是今年7月份歐盟議會(huì)對(duì)Recital 第10條“開(kāi)源豁免條款”的修正意見(jiàn)，更是激起了多家開(kāi)源基金會(huì)及社區(qū)的擔(dān)憂(yōu)甚至是譴責(zé)。但直至11月30日，歐盟理事會(huì)與歐盟議會(huì)就CRA提案達(dá)成臨時(shí)議定，也未就開(kāi)源界的建議予以積極反饋。在此，我們開(kāi)設(shè)CRA專(zhuān)題，旨在從不同維度出發(fā)共同探討在全球視野下，開(kāi)源軟件在現(xiàn)行/擬議的網(wǎng)絡(luò)安全立法中是否受到調(diào)整、如何界定調(diào)整邊界以及將造成何種影響等議題。

本文轉(zhuǎn)載自【衛(wèi)sir說(shuō)｜ID：man-mind】作者：衛(wèi)劍釩 本文主要考慮兩個(gè)法律，我國(guó)的《網(wǎng)絡(luò)安全法》¹（以下簡(jiǎn)稱(chēng)網(wǎng)安法）和歐盟的《網(wǎng)絡(luò)韌性法案》（以下簡(jiǎn)稱(chēng)CRA，歐盟議會(huì)修正案版本²），另外，還會(huì)涉及我國(guó)的《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》³（以下簡(jiǎn)稱(chēng)漏洞管理規(guī)定）。 本文主要就以下幾個(gè)問(wèn)題做討論： 【問(wèn)題1】 在開(kāi)源產(chǎn)生之日起就有“開(kāi)源開(kāi)發(fā)者免責(zé)” 還能否、或在何種程度上行得通？ 【問(wèn)題2】開(kāi)源項(xiàng)目是否要適用網(wǎng)絡(luò)安全相關(guān)法律？特別是發(fā)現(xiàn)安全漏洞是否要履行上報(bào)義務(wù)？ 【問(wèn)題3】有涉歐業(yè)務(wù)的非歐盟企業(yè)發(fā)現(xiàn)漏洞先上報(bào)歐盟還是本國(guó)，本國(guó)不允許對(duì)外披露漏洞怎么辦？ 【問(wèn)題4】開(kāi)源基金會(huì)應(yīng)當(dāng)承擔(dān)什么樣的責(zé)任？ 此外，我在文末給出兩個(gè)具體例子，請(qǐng)大家思考研判。

一、開(kāi)源到底要不要負(fù)責(zé)任？

了解過(guò)開(kāi)源許可證的人都知道，幾乎所有的開(kāi)源許可證，都明明白白說(shuō)了“不負(fù)責(zé)任”。 比如最常見(jiàn)的MIT協(xié)議⁴，是這么說(shuō)的：

本軟件系“按原樣”提供，不包含任何形式的明示或默示保證，包括但不限于適銷(xiāo)性、特定目的適用性及不侵權(quán)的保證。在任何情況下，無(wú)論是在合同、侵權(quán)或其他案件中，作者或版權(quán)持有人均不對(duì)因本軟件、或因本軟件的使用或其他利用而引起的、引發(fā)的或與之相關(guān)的任何權(quán)利主張、損害賠償或其他責(zé)任承擔(dān)責(zé)任。

開(kāi)源項(xiàng)目作者是不是認(rèn)為這樣，就不會(huì)有任何外部麻煩了呢？ 未必。 因?yàn)樗性S可證，都得遵從法律，并不能突破法律的約束。如果有不一致的地方，以法律為準(zhǔn)。 通常而言，開(kāi)源項(xiàng)目的產(chǎn)出是軟硬件，我們看看法律對(duì)軟硬件規(guī)定了哪些安全要求。

二、法律怎么要求的？

在網(wǎng)安法中，最相關(guān)的是第二十二條：

第二十二條網(wǎng)絡(luò)產(chǎn)品、服務(wù)應(yīng)當(dāng)符合相關(guān)國(guó)家標(biāo)準(zhǔn)的強(qiáng)制性要求。網(wǎng)絡(luò)產(chǎn)品、服務(wù)的提供者不得設(shè)置惡意程序；發(fā)現(xiàn)其網(wǎng)絡(luò)產(chǎn)品、服務(wù)存在安全缺陷、漏洞等風(fēng)險(xiǎn)時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施，按照規(guī)定及時(shí)告知用戶(hù)并向有關(guān)主管部門(mén)報(bào)告。網(wǎng)絡(luò)產(chǎn)品、服務(wù)的提供者應(yīng)當(dāng)為其產(chǎn)品、服務(wù)持續(xù)提供安全維護(hù)；在規(guī)定或者當(dāng)事人約定的期限內(nèi)，不得終止提供安全維護(hù)。網(wǎng)絡(luò)產(chǎn)品、服務(wù)具有收集用戶(hù)信息功能的，其提供者應(yīng)當(dāng)向用戶(hù)明示并取得同意；涉及用戶(hù)個(gè)人信息的，還應(yīng)當(dāng)遵守本法和有關(guān)法律、行政法規(guī)關(guān)于個(gè)人信息保護(hù)的規(guī)定。

在CRA中，最為概括性說(shuō)明的是第1條：

本法規(guī)規(guī)定了（a） 具有數(shù)字元素的產(chǎn)品在市場(chǎng)上的銷(xiāo)售規(guī)則，以確保此類(lèi)產(chǎn)品的網(wǎng)絡(luò)安全；（b） 具有數(shù)字元素的產(chǎn)品的設(shè)計(jì)、開(kāi)發(fā)和生產(chǎn)的基本要求，以及與這些產(chǎn)品相關(guān)的經(jīng)濟(jì)運(yùn)營(yíng)者在網(wǎng)絡(luò)安全方面的義務(wù)；（c） 具有數(shù)字元素的產(chǎn)品的制造商關(guān)于漏洞處理流程的基本要求，以確保產(chǎn)品在整個(gè)生命周期內(nèi)的網(wǎng)絡(luò)安全，以及經(jīng)濟(jì)運(yùn)營(yíng)者對(duì)這些流程的義務(wù)；(d) 對(duì)上述規(guī)則和要求進(jìn)行市場(chǎng)監(jiān)控、監(jiān)督和執(zhí)行的規(guī)則。

當(dāng)然，在其后的條款中，有著更為詳細(xì)和具體的安全規(guī)定與要求。 仔細(xì)閱讀，可以看出，這些法律法規(guī)，主要是說(shuō)網(wǎng)絡(luò)產(chǎn)品的制造者、提供者這些主體，應(yīng)該保證產(chǎn)品是安全的，并且在發(fā)現(xiàn)漏洞后，要及時(shí)報(bào)告和處置。 那么，開(kāi)源項(xiàng)目的產(chǎn)出是不是“網(wǎng)絡(luò)產(chǎn)品”，是不是“具有數(shù)字元素的產(chǎn)品”呢？ 尤其是，作為一種最常見(jiàn)的情況，那些放在GitHub上的開(kāi)源項(xiàng)目的產(chǎn)出，是不是法律所關(guān)注的產(chǎn)品？ 這就需要細(xì)究對(duì)“產(chǎn)品”的定義。 然而，這并不容易。

三、令人頭疼的關(guān)于“產(chǎn)品”的定義

網(wǎng)安法并沒(méi)有給出“網(wǎng)絡(luò)產(chǎn)品”的定義。 在國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù) 網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全通用要求》（GB/T 39276—2020）中，對(duì)“網(wǎng)絡(luò)產(chǎn)品”有定義，定義為：

網(wǎng)絡(luò)產(chǎn)品：作為網(wǎng)絡(luò)組成部分以及實(shí)現(xiàn)網(wǎng)絡(luò)功能的硬件、軟件或系統(tǒng)，按照一定的規(guī)則和程序?qū)崿F(xiàn)信息的收集、存儲(chǔ)、傳輸、交換和處理。

那么，不賣(mài)的是不是產(chǎn)品？我自己在家里做一個(gè)小的網(wǎng)絡(luò)軟件自己玩，算不算網(wǎng)絡(luò)產(chǎn)品？ 畢竟，開(kāi)源項(xiàng)目中，絕大多數(shù)都是自己玩玩的，并沒(méi)有考慮商業(yè)化。 在《現(xiàn)代漢語(yǔ)詞典》⁵中，“產(chǎn)品”是“生產(chǎn)出來(lái)的物品”，而“生產(chǎn)”是指“人們使用工具來(lái)創(chuàng)造各種生產(chǎn)資料和生活資料”，從這些定義上看，他們關(guān)注的是產(chǎn)品這個(gè)東西的最本質(zhì)屬性，并沒(méi)有關(guān)注這個(gè)東西是否用于銷(xiāo)售。 《牛津高階英漢雙解詞典》倒是說(shuō)product通常是用來(lái)銷(xiāo)售的。

Product：a thing that is grown or produced, usually for sale

在大多數(shù)人的直覺(jué)感受上，法律所關(guān)心的“產(chǎn)品”，應(yīng)該是制作出來(lái)用于銷(xiāo)售的那些“產(chǎn)品”。 我翻了翻《民法典》，也沒(méi)有找到對(duì)“產(chǎn)品”的定義，但在《中華人民共和國(guó)產(chǎn)品質(zhì)量法》⁶中，發(fā)現(xiàn)了對(duì)“產(chǎn)品”的定義，它在第二條中，明確寫(xiě)道：

本法所稱(chēng)產(chǎn)品是指經(jīng)過(guò)加工、制作，用于銷(xiāo)售的產(chǎn)品。

雖然我不知道《產(chǎn)品質(zhì)量法》中對(duì)產(chǎn)品的定義能否用在《網(wǎng)安法》中，但我認(rèn)為大體上可以類(lèi)比，在民法典和網(wǎng)安法中，也確實(shí)都提到了產(chǎn)品的“銷(xiāo)售”，也都沒(méi)有提及不用于銷(xiāo)售的產(chǎn)品如何規(guī)范，所以，我個(gè)人認(rèn)為，網(wǎng)安法中的產(chǎn)品，應(yīng)該不是泛指所有制作出來(lái)的物品，而更多是說(shuō)指商業(yè)活動(dòng)中的產(chǎn)品。 現(xiàn)在看看CRA。 CRA全文都是在描述對(duì)“具有數(shù)字元素的產(chǎn)品”（product with digital elements）的要求，并在第3條給出了定義：

‘product with digital elements’ means any software or hardware productand its remote data processing solutions, including software or hardware components to be placed on the market separately;

翻譯：“具有數(shù)字元素的產(chǎn)品”是指任何軟件或硬件產(chǎn)品及其遠(yuǎn)程數(shù)據(jù)處理解決方案，包括單獨(dú)投放市場(chǎng)的軟件或硬件組件；

一樣地，CRA對(duì)產(chǎn)品的定義，也是關(guān)心它的本質(zhì)屬性，而沒(méi)有說(shuō)是否用于銷(xiāo)售。 但CRA在第2條明確說(shuō)明了適用范圍：

本法規(guī)適用于市場(chǎng)上提供的具有數(shù)字元素的產(chǎn)品，這些產(chǎn)品可以與設(shè)備或網(wǎng)絡(luò)直接或間接數(shù)據(jù)連接。

這里明確了一點(diǎn)，但還是不夠，因?yàn)椤笆袌?chǎng)”未必一定是商業(yè)的，“市場(chǎng)”是需求和供給相遇并通過(guò)某種機(jī)制達(dá)成交換的場(chǎng)所，完全可以把GitHub認(rèn)為是一個(gè)代碼市場(chǎng)，程序員和用戶(hù)在這里實(shí)現(xiàn)需求和供給的交換：有人需要代碼，有人提供代碼。 幸好，CRA在第3條中對(duì)“在市場(chǎng)上提供”也做了定義：

“在市場(chǎng)上提供”是指在商業(yè)活動(dòng)中，無(wú)論是有償還是免費(fèi)，將帶有數(shù)字元素的產(chǎn)品提供給聯(lián)盟市場(chǎng)以供分發(fā)或使用。

這樣，疑惑就完全解開(kāi)了。法律中所說(shuō)的“網(wǎng)絡(luò)產(chǎn)品”、“具有數(shù)字元素的產(chǎn)品”，我認(rèn)為，都明示或暗示了這樣的條件： 所謂產(chǎn)品，是指用于商業(yè)活動(dòng)的產(chǎn)品。 所以，對(duì)于那些并不參與任何商業(yè)活動(dòng)，僅僅是放在GitHub或是類(lèi)似的代碼托管平臺(tái)上的開(kāi)源項(xiàng)目，法律是不管的。 但，開(kāi)源項(xiàng)目一旦涉及商業(yè)活動(dòng)，相關(guān)主體就要受到約束。 這就是開(kāi)源商業(yè)化的代價(jià)。

四、哪些主體受到法律約束？

在《網(wǎng)安法》中，最主要的受到約束的兩個(gè)主體是“網(wǎng)絡(luò)運(yùn)營(yíng)者”和“網(wǎng)絡(luò)產(chǎn)品、服務(wù)的提供者”。 在網(wǎng)安法的附則中，對(duì)“網(wǎng)絡(luò)運(yùn)營(yíng)者”有定義，“是指網(wǎng)絡(luò)的所有者、管理者和網(wǎng)絡(luò)服務(wù)提供者。”網(wǎng)安法對(duì)“提供者”沒(méi)有定義，但這相對(duì)容易理解，提供者應(yīng)該是指產(chǎn)品的生產(chǎn)者、經(jīng)銷(xiāo)者、集成者等。 在CRA中，涉及的主體主要是“經(jīng)濟(jì)運(yùn)營(yíng)者”，主要是指制造商、進(jìn)口商、分銷(xiāo)商等，每個(gè)主體在CRA第3條中有定義。 這些主體的義務(wù)，正如本文前面所提到的，在法律條文中有明確而詳細(xì)的規(guī)定。 綜上，開(kāi)源項(xiàng)目只有涉及商業(yè)活動(dòng)，其相關(guān)主體才受到法律約束。 這就是對(duì)【問(wèn)題1】的回答。 然而，現(xiàn)實(shí)要更復(fù)雜一點(diǎn)，什么是涉及商業(yè)活動(dòng)? 舉個(gè)例子，一個(gè)開(kāi)源軟件，同時(shí)提供社區(qū)版和企業(yè)版，那么其社區(qū)版是否涉及商業(yè)活動(dòng)？

五、如何判別開(kāi)源涉及商業(yè)活動(dòng)？

網(wǎng)安法沒(méi)有明確提及這些，但CRA有說(shuō)。 CRA不僅說(shuō)了，而且把這個(gè)說(shuō)得很清楚。 在其序言部分的第10條中，明確說(shuō)道：

(10) 只有在商業(yè)活動(dòng)過(guò)程中在市場(chǎng)上提供的自由和開(kāi)源軟件才應(yīng)受本法規(guī)管轄。自由開(kāi)源產(chǎn)品是否作為商業(yè)活動(dòng)的一部分提供，應(yīng)根據(jù)每個(gè)產(chǎn)品進(jìn)行評(píng)估，同時(shí)考慮免費(fèi)開(kāi)源產(chǎn)品的開(kāi)發(fā)模式和供應(yīng)階段。

(10a) 例如，在完全去中心化的開(kāi)發(fā)模式中，沒(méi)有任何一個(gè)商業(yè)實(shí)體對(duì)項(xiàng)目代碼庫(kù)中接受的內(nèi)容進(jìn)行控制，這應(yīng)該被視為該產(chǎn)品是在非商業(yè)環(huán)境中開(kāi)發(fā)的。另一方面，如果自由和開(kāi)源軟件是由單個(gè)組織或不對(duì)等社區(qū)開(kāi)發(fā)的，并且單個(gè)組織通過(guò)對(duì)其使用（與商業(yè)有關(guān)聯(lián)）產(chǎn)生了收入，則應(yīng)將其視為商業(yè)活動(dòng)。同樣，如果自由和開(kāi)源項(xiàng)目的主要貢獻(xiàn)者是商業(yè)實(shí)體雇用的開(kāi)發(fā)人員，并且當(dāng)這些開(kāi)發(fā)人員或雇主可以控制代碼庫(kù)中接受哪些修改時(shí)，該項(xiàng)目通常應(yīng)被視為商業(yè)性質(zhì)。

(10b) 在供應(yīng)階段，自由和開(kāi)源軟件的商業(yè)活動(dòng)可不只是對(duì)產(chǎn)品收費(fèi)，對(duì)技術(shù)支持收費(fèi)也是商業(yè)活動(dòng)，除非該收費(fèi)只是為了收回實(shí)際成本；自由和開(kāi)源軟件的制造商提供一個(gè)軟件平臺(tái)并通過(guò)其他服務(wù)收費(fèi)也是商業(yè)活動(dòng)；出于除專(zhuān)門(mén)提高軟件的安全性、兼容性或互操作性以外其他原因而使用個(gè)人數(shù)據(jù)也是商業(yè)活動(dòng)；不以營(yíng)利為目的接受捐贈(zèng)不應(yīng)被視為商業(yè)活動(dòng)，除非此類(lèi)捐贈(zèng)是由商業(yè)實(shí)體提供的并且具有經(jīng)常性。

(10c) 單獨(dú)為自由和開(kāi)源項(xiàng)目做出貢獻(xiàn)的開(kāi)發(fā)人員不應(yīng)承擔(dān)本法規(guī)規(guī)定的義務(wù)。

(10d) 僅僅在開(kāi)放式代碼庫(kù)上提供對(duì)自由和開(kāi)源軟件的托管，該行為并不構(gòu)成在市場(chǎng)上提供具有數(shù)字元素的產(chǎn)品。因此，大多數(shù)軟件包管理器、代碼托管和協(xié)作平臺(tái)不應(yīng)被視為本法規(guī)含義內(nèi)的分銷(xiāo)商。

(10e) ……如果產(chǎn)品制造商發(fā)現(xiàn)組件（包括免費(fèi)和開(kāi)源組件）中存在漏洞，則應(yīng)通知該組件的開(kāi)發(fā)人員，解決并修復(fù)該漏洞，并且在適用的情況下，為開(kāi)發(fā)人員提供應(yīng)用的安全修復(fù)。一旦制造商將產(chǎn)品投放市場(chǎng)，就應(yīng)負(fù)責(zé)確保在整個(gè)支持期內(nèi)處理產(chǎn)品中漏洞，包括其中集成的自由和開(kāi)源組件。

以上幾條，足以解決絕大多數(shù)關(guān)于開(kāi)源項(xiàng)目是否涉及商業(yè)活動(dòng)的困惑了。 比如，按照以上定義，GitHub不是市場(chǎng)，GitHub公司也不是分銷(xiāo)商，無(wú)需承擔(dān)CRA中所述的分銷(xiāo)商義務(wù)。再比如，谷歌提供了Andriod平臺(tái)但通過(guò)服務(wù)收費(fèi)，屬于受管轄范圍；RedHat收取技術(shù)支持費(fèi)，屬于受管轄范圍；XX社區(qū)版有助于XX企業(yè)版的銷(xiāo)售，所以XX社區(qū)版被認(rèn)定為涉及商業(yè)活動(dòng)。當(dāng)然，這個(gè)認(rèn)定，需要“根據(jù)每個(gè)產(chǎn)品進(jìn)行評(píng)估”。 如果僅僅是對(duì)開(kāi)源項(xiàng)目作出個(gè)人貢獻(xiàn)，不適用CRA。 沒(méi)有任何商業(yè)化行為的開(kāi)源項(xiàng)目，也不受管束。 之所以這樣做，原因很簡(jiǎn)單，也很符合常識(shí)，在序言第9a里面說(shuō)，這是“為了促進(jìn)自由和開(kāi)源軟件的開(kāi)發(fā)和應(yīng)用”。如果人家又不賺錢(qián)，你還要求人家做這個(gè)做那個(gè)，是不是太過(guò)分，以至于沒(méi)人愿意再搞開(kāi)源？ 所以，我相信，不管是中國(guó)的立法者還是國(guó)外的立法者，都不至于真的強(qiáng)人所難。 多說(shuō)一句，如果你是用別人的非商業(yè)化開(kāi)源軟件搞自己的商業(yè)化，別人不用負(fù)責(zé)，但你要為那個(gè)開(kāi)源軟件負(fù)責(zé)任。 簡(jiǎn)單地講，誰(shuí)掙錢(qián)誰(shuí)負(fù)責(zé)任。 以上就是對(duì)【問(wèn)題2】的回答。

六、發(fā)現(xiàn)漏洞后如何報(bào)告？

這并不是個(gè)問(wèn)題，因?yàn)樵趺磮?bào)、報(bào)給誰(shuí)，法律或相關(guān)規(guī)定都有寫(xiě)得很明確，沒(méi)有歧義。 比如在我國(guó)的《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》中，第七條說(shuō)明了產(chǎn)品提供者的義務(wù)：

第七條 網(wǎng)絡(luò)產(chǎn)品提供者應(yīng)當(dāng)履行下列網(wǎng)絡(luò)產(chǎn)品安全漏洞管理義務(wù)，確保其產(chǎn)品安全漏洞得到及時(shí)修補(bǔ)和合理發(fā)布，并指導(dǎo)支持產(chǎn)品用戶(hù)采取防范措施：

（一）發(fā)現(xiàn)或者獲知所提供網(wǎng)絡(luò)產(chǎn)品存在安全漏洞后，應(yīng)當(dāng)立即采取措施并組織對(duì)安全漏洞進(jìn)行驗(yàn)證，評(píng)估安全漏洞的危害程度和影響范圍；對(duì)屬于其上游產(chǎn)品或者組件存在的安全漏洞，應(yīng)當(dāng)立即通知相關(guān)產(chǎn)品提供者。

（二）應(yīng)當(dāng)在2日內(nèi)向工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)報(bào)送相關(guān)漏洞信息。報(bào)送內(nèi)容應(yīng)當(dāng)包括存在網(wǎng)絡(luò)產(chǎn)品安全漏洞的產(chǎn)品名稱(chēng)、型號(hào)、版本以及漏洞的技術(shù)特點(diǎn)、危害和影響范圍等。

（三）應(yīng)當(dāng)及時(shí)組織對(duì)網(wǎng)絡(luò)產(chǎn)品安全漏洞進(jìn)行修補(bǔ)，對(duì)于需要產(chǎn)品用戶(hù)（含下游廠(chǎng)商）采取軟件、固件升級(jí)等措施的，應(yīng)當(dāng)及時(shí)將網(wǎng)絡(luò)產(chǎn)品安全漏洞風(fēng)險(xiǎn)及修補(bǔ)方式告知可能受影響的產(chǎn)品用戶(hù)，并提供必要的技術(shù)支持。……

CRA中則在第十一條的1a中說(shuō)明了制造商的義務(wù)：

(a) 在制造商意識(shí)到存在被積極利用的漏洞后的 24 小時(shí)內(nèi)發(fā)出早期警告，不得無(wú)故拖延，包括是否有任何已知的糾正措施或建議的風(fēng)險(xiǎn)緩解措施可用；

(b) 制造商應(yīng)在意識(shí)到存在被積極利用的漏洞后 72 小時(shí)內(nèi)發(fā)出漏洞通知，不得無(wú)故拖延，如果適用，應(yīng)更新 (a)中的信息，包括采取的任何糾正措施或緩解措施，并指出漏洞的危害程度，包括其嚴(yán)重性和影響；

(c) 當(dāng)糾正措施或緩解措施可用時(shí)，或當(dāng)(b)發(fā)出后一個(gè)月內(nèi)，應(yīng)提交漏洞最終報(bào)告，至少應(yīng)包括以下內(nèi)容：

(1) 對(duì)漏洞的描述，包括其嚴(yán)重性和影響；(2) 如果有的話(huà)，給出已利用或正在利用漏洞的行為者的信息；(3) 為修復(fù)漏洞而提供的安全更新或其他糾正措施的詳細(xì)信息。

其中，所謂“被積極利用的漏洞”，是指“有可靠證據(jù)表明攻擊者在未經(jīng)系統(tǒng)所有者許可的情況下在系統(tǒng)上執(zhí)行了惡意代碼的漏洞”。 對(duì)于有涉歐業(yè)務(wù)的中國(guó)企業(yè)，要注意學(xué)習(xí)CRA，按照如上要求及時(shí)報(bào)告，報(bào)告對(duì)象是ENISA（歐盟網(wǎng)絡(luò)安全局）。 有人說(shuō)，“對(duì)于有涉歐業(yè)務(wù)的中國(guó)企業(yè)，發(fā)現(xiàn)漏洞先上報(bào)歐盟還是我國(guó)，我國(guó)不允許對(duì)外披露漏洞怎么辦？”這看似是一個(gè)難題，實(shí)則不然，處理起來(lái)也很簡(jiǎn)單。 第一，對(duì)于我國(guó)，要在2日內(nèi)報(bào)。對(duì)于歐盟，要在24小時(shí)、72小時(shí)、一個(gè)月內(nèi)報(bào)。 第二，并不沖突，漏洞管理規(guī)定只是說(shuō)在第九條里說(shuō)，“從事網(wǎng)絡(luò)產(chǎn)品安全漏洞發(fā)現(xiàn)、收集的組織或者個(gè)人”“不得將未公開(kāi)的網(wǎng)絡(luò)產(chǎn)品安全漏洞信息向網(wǎng)絡(luò)產(chǎn)品提供者之外的境外組織或者個(gè)人提供。”這里的被約束主體是專(zhuān)門(mén)從事漏洞發(fā)現(xiàn)和收集的組織和個(gè)人，而非“網(wǎng)絡(luò)產(chǎn)品提供者”。在對(duì)提供者的要求中（見(jiàn)第七條），沒(méi)有類(lèi)似的約束。 也就是說(shuō)，從漏洞管理規(guī)定上看，對(duì)于未公開(kāi)的漏洞，發(fā)現(xiàn)者可以告訴產(chǎn)品提供者，但未公開(kāi)前不能告訴產(chǎn)品提供者之外的境外組織和個(gè)人；有涉歐業(yè)務(wù)的產(chǎn)品提供者，一旦發(fā)現(xiàn)漏洞，不管是否已公開(kāi)，沒(méi)有說(shuō)不能報(bào)告ENISA（歐盟網(wǎng)安局）。 因?yàn)椋l(fā)現(xiàn)者可能遠(yuǎn)早于制造商知道漏洞，如果告訴境外某些組織或個(gè)人，可能給敵對(duì)方帶來(lái)極大便利。而制造商知道漏洞后，必須第一時(shí)間告訴監(jiān)管機(jī)構(gòu)（不管境內(nèi)境外），并抓緊給出修復(fù)或緩解方案，禁止制造商報(bào)告境外監(jiān)管機(jī)構(gòu)意義不大，除非我們不信任ENISA（比如認(rèn)為ENISA會(huì)濫用漏洞信息）。 在這方面，這兩個(gè)法規(guī)并不沖突。 這是對(duì)【問(wèn)題3】的回答。

七、法律對(duì)基金會(huì)的約束是什么？

對(duì)這個(gè)問(wèn)題，也要一事一議，要具體看一下某基金會(huì)的性質(zhì)。 我們知道，基金會(huì)旗下有很多開(kāi)源項(xiàng)目，基金會(huì)為其提供組織、法律和資金上的支持，那么，能否認(rèn)為基金會(huì)就是開(kāi)源軟件的制造商或分銷(xiāo)商？ 對(duì)此，有人很焦慮，覺(jué)得一旦落入XX商，基金會(huì)可能無(wú)法承擔(dān)起如此沉重的安全義務(wù)。 其實(shí)，我覺(jué)得并不難，雖然CRA并沒(méi)有具體說(shuō)基金會(huì)算什么性質(zhì)，但在序言第10條中其實(shí)已經(jīng)說(shuō)明了：

如果“沒(méi)有任何一個(gè)商業(yè)實(shí)體對(duì)項(xiàng)目代碼庫(kù)中接受的內(nèi)容進(jìn)行控制，這應(yīng)該被視為該產(chǎn)品是在非商業(yè)環(huán)境中開(kāi)發(fā)的?！?/strong>

“不以營(yíng)利為目的接受捐贈(zèng)不應(yīng)被視為商業(yè)活動(dòng)，除非此類(lèi)捐贈(zèng)是由商業(yè)實(shí)體提供的并且具有經(jīng)常性?！?/strong>

一個(gè)基金會(huì)的項(xiàng)目，是不是有商業(yè)實(shí)體在對(duì)項(xiàng)目進(jìn)行控制，基金會(huì)是不是以營(yíng)利為目的接受捐贈(zèng)，若涉及具體的案子，相信不難做出調(diào)查和判斷。 比如ASF（Apache軟件基金會(huì)），其宗旨⁷之一就是： “項(xiàng)目獨(dú)立于任何公司或組織的影響” 如果ASF真的是這樣做的，那就顯然不在CRA管束范圍之內(nèi)。 但有的基金會(huì)顯然不是這樣，這里就不點(diǎn)名了。 這是對(duì)【問(wèn)題4】的回答。

文末思考

下面提出兩個(gè)具體問(wèn)題，請(qǐng)讀者思考： 1、“禪道”是一款研發(fā)項(xiàng)目管理軟件，它有開(kāi)源版和企業(yè)版，如果開(kāi)源版發(fā)現(xiàn)了安全漏洞，禪道軟件有限公司是否要履行法律中所規(guī)定的漏洞報(bào)告和漏洞修復(fù)義務(wù)？ 2、2023年11月23日，特斯拉CEO埃隆·馬斯克在個(gè)人微博上發(fā)布消息，宣布公司旗下初代特斯拉Roadster的原始設(shè)計(jì)和工程現(xiàn)已完全開(kāi)源。那么，如果某公司用了這些開(kāi)源技術(shù)出了嚴(yán)重事故，從法律上講，馬斯克要負(fù)責(zé)任嗎?

免責(zé)聲明：

本文僅僅是從個(gè)人角度出發(fā)，對(duì)法律做的一般性研究，僅代表個(gè)人意見(jiàn)，請(qǐng)讀者審慎閱讀并自行甄別, 作者不就讀者對(duì)任何依據(jù)本文采取的任何作為或不作為承擔(dān)責(zé)任。本文不代表開(kāi)放原子開(kāi)源基金會(huì)觀(guān)點(diǎn)。

---

1. 《中華人民共和國(guó)網(wǎng)絡(luò)安全法》(https://baike.baidu.com/item/中華人民共和國(guó)網(wǎng)絡(luò)安全法/16843044?fr=ge_ala)

2. 歐盟議會(huì)的CRA修正案(2023年7月)(https://www.europarl.europa.eu/doceo/document/A-9-2023-0253_EN.html)

3. 《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》(https://baike.baidu.com/item/網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定/57980910?fr=ge_ala)

4. 認(rèn)識(shí)開(kāi)源許可證—MIT

5. 《現(xiàn)代漢語(yǔ)詞典》(第 7 版）

6. 《中華人民共和國(guó)產(chǎn)品質(zhì)量法》(http://www.npc.gov.cn/zgrdw/npc/xinwen/2019-01/07/content_2070255.htm)

7. Apache 項(xiàng)目成熟度模型

點(diǎn)擊文末“閱讀原文”

訪(fǎng)問(wèn)AtomGit

下載《開(kāi)源態(tài)勢(shì)洞察》電子版

閱讀原文，下載閱讀和一起洞察～