去年開始，受地緣政治的影響，開源界已經發生了一些大動蕩，引發了圍繞“開源是否有國界”的討論，也有組織用行動站隊——RISC-V 將基金會遷到瑞士，以保護中立性。今年緊張的局勢并沒有緩解，關于開源軟件傳播的問題正引起更為廣泛的討論。

　　前陣子 Linux 基金會發布《了解開源科技和美國出口管制》白皮書，文中說明：美國出口管制條例 EAR 明確豁免了大多數以開源形式呈現的軟件和技術。不過白皮書的呈現并不十分直觀，關于開源與進出口管制背后的原因、一些相關歷史背景也沒有足夠多的說明。鄧超律師近日發表了以下他關于“開源與美國出口管制”的見解，或可幫助讀者通俗了解相關法律問題。

　　文章主要解答一個問題：開源能否突破美國出口管制條例的限制？文章還解釋了國家層面對加密、解密技術進行管控的原因；介紹美國出口管制法規 EAR；并指出我們為何要了解遵守美國的出口管制法規。

　　作者：鄧超（微信：tmtlvshi），北京合弘威宇律師事務所律師，法學博士。行業領域為 TMT 領域，專業領域為知識產權。為 TMT 領域的客戶提供知識產權與合同相關的訴訟以及非訴類法律服務。

　　為何我們要了解并遵守美國的出口管制法規

　　對于中國公司來講，自然應該遵守中國的法律法規，這是公司運營的基礎。不遵守美國關于出口管制的法規雖然并不構成違法，但是針對違反美國出口管制法的公司，美國可以對其進行處罰（例如列入拒絕交易清單（Denied Persons List，DPL）），從而使得該公司無法獲得源自美國的產品和技術。對于某些行業（例如食品飲料、家具裝修）來講，切斷源自美國的產品和技術并無大礙；但是對于高科技行業（例如信息通信技術、ICT）來講，這種處罰是致命性的。

　　當然，在更廣泛的層面上，遵守美國的出口管制法規也是企業樹立誠信經營和負責任的國際形象的重要措施。畢竟，美國出口管制法規的最重要目的之一就是防止受關注國家或者恐怖組織獲得相關的技術從而對人類和平造成威脅。

　　以中興事件為例，2010 年，聯合國決定對伊朗展開第四輪制裁。隨后，美國公布對伊朗實施出口禁令。2012 年，中興通訊將帶有美國公司軟硬件的產品出售給伊朗電信營運商，違反了美國對伊朗的出口禁令，遭到美國商務部調查。2016 年 3 月，美國商務部公布調查結果，以違反美國出口管制法規為由將中興通訊等企業列入“實體清單”，對中興采取限制出口措施。2017 年 3 月，中興通訊同意支付 8.9 億美元罰金，從而與美國商務部達成和解。2018 年 4 月，美國商務部以中興通訊虛假陳述等為由，再次啟動禁令。2018 年 5 月，中興通訊發布公告，表示“受拒絕令影響，本公司主要經營活動已無法進行”。2018 年 6 月，美國商務部與中興通訊達成新的和解協議，中興通訊將支付 14 億美元的罰款來換取禁令的解除。

　　不同于世界絕大多數國家的出口管制只針對本國產品的出口，美國的出口管制法規非常長臂，它適用于所有位于美國的物項，無論原產地為何處；以及所有源自美國的物項，無論現在位于何處。對于前者，意味著巴西公司通過海運向中國公司出口產品時，船舶如果在美國停靠就要受到美國的出口管制。對于后者，意味著美國公司向中國公司出口芯片后，中國公司將裝有該芯片的產品再出口到其他國家時，也要受到美國的出口管制（當然，中國公司同時還要遵守中國的進出口管制法規）。

　　另外，出口是一種特權（privilege），而不是權利（right）。特權是有條件的，可以被撤消；而權利是固有的（與生俱來的），不能被撤消。因此，政府可以禁止公司或個人進行出口（再出口）。

　　開源能否突破美國出口管制條例的限制？

　　本節主要解答如下問題：開源能否突破美國出口管制條例的限制？

　　一個廣為流傳的爭議是，軟件的源代碼是否應受到言論自由的保護，所以不能被管制。此爭議根據 1995 年伯恩斯坦訴美國司法部（Bernstein v. Department of Justice）案，軟件源代碼屬于言論自由的范疇，不能被政府部門管制。但很少有人提到，該案的裁決都未生效。因此，伯恩斯坦案并非有法律效力的判例。

　　伯恩斯坦案有個大背景——加密技術被視為軍事技術或者準軍事技術而被嚴格管制，之后的章節也會再談這個背景。

　　伯恩斯坦案的基本案情為：1990 年，丹尼爾·伯恩斯坦（Daniel Bernstein）在加州大學伯克利分校攻讀數學博士期間，撰寫了有關加密的論文并編寫了一種零延遲的私鑰加密軟件——Snuffle。根據當時美國《國際武器貿易條例》ITAR 的規定，加密軟件相當于軍用物項的“彈藥”。為了能夠自由地與學術界交流該加密技術，伯恩斯坦于 1992 年向國務院提出請求，以確認該加密軟件的源代碼和相關信息是否受 ITAR 管制。美國國務院認為是的，并且要求伯恩斯坦在將該加密軟件的源代碼給外國人查看（出口）時獲得批準（許可證）。伯恩斯坦認為這構成對其言論的限制，于是在 1995 年 2 月提起了訴訟。

　　該案法律問題在于：美國政府基于 ITAR（后為 EAR）限制伯恩斯坦出口強加密軟件的源代碼，是否違反了美國憲法第一修正案規定的言論自由。

• 1996 年底，地方法院的法官認為，禁止出口強加密軟件的 ITAR 在憲法上是模糊的，構成了第一修正案禁止的對言論的限制。
• 隨即，克林頓總統修改了法規，將對非軍事加密物項的管制從國務院下的 ITAR 移交給了商務部下屬 BIS 下的 EAR。監管變更后，伯恩斯坦修改了他的訴訟請求。
• 1997 年 8 月，地方法院的法官裁判，無論由哪個聯邦政府機構負責加密物項的管制，加密源代碼都受到憲法第一修正案的保護，于是裁決 EAR 違憲。美國政府針對這一裁決向第九巡回上訴法院提出上訴。
• 1999 年 5 月，第九巡回上訴法院合議庭的 3 名法官以 2 比 1 維持了地方法院的裁決。但上訴法院并未完全拒絕政府方的理由，例如持反對意見的法官就認為源代碼不是言論，而是控制計算機的方法，法院也強調“我們不認為所有軟件都屬于言論。當然，很多都不是。”
• 上訴法院作出裁決后，美國司法部請求法院對該案進行全席重審（由 11 名，而不是 3 名法官審理），從而撤銷了該裁判。
• 在全席審理之前，美國政府放寬了加密管制法規。因此，該案被發回地方法院。
• 2002 年 10 月，政府在一次庭審中承諾放棄部分規則，地方法院隨后以沒有發生實際損失為由駁回了伯恩斯坦的訴請。

　　綜上，不能簡單地得出結論認為軟件的源代碼受到言論自由的保護，所以不能被管制。實際上恰恰相反，軟件的源代碼只要沒有實現可公開獲取（publicly available），仍然要受到 EAR 的管制。換言之，開源軟件由于已公布給公眾，因此一般不受 EAR 的管制。例外仍然是加密解密代碼，此類代碼為了不受 EAR 的管制，除了通常的公布外，還需要向工業安全局 BIS 和國家安全局 NSA 發送電子郵件進行報備。

　　因此，（非加密類）開源軟件不受 EAR 管制的關鍵在于開源軟件是任何人都可以公開獲取的，自然不存在管制的意義，而非在于軟件屬于言論自由的范疇，因為未公布的源代碼仍然可能受到 EAR 的管制。

　　另外一個廣為流傳的觀點是源代碼屬于言論自由的范疇（我們已經討論過這在很大程度上是個偽命題）因此不受管制，而軟件產品（目標代碼）則受管制。

　　但眾所周知的是目標代碼都是由源代碼生成的，并且該編譯過程是一種常規勞動，并不需要天才的火花才能完成。上述觀點類似于對涼水進行管制，但是卻不管制熱水。如果熱水可以不受管制地任意獲得，那么將熱水放置一陣就能得到涼水，對涼水進行管制又有什么意義呢？這是該觀點難以自圓其說之處：只管制目標代碼卻不管制源代碼，那么將源代碼進行編譯就可以得到目標代碼并生成軟件產品，如何能進行有效管制？

　　實際上，從 EAR 的具體條文來看，其并未對源代碼和目標代碼進行區分，是否進行管制的關鍵仍然在于代碼是否可公開獲取（publicly available）。因此，開源軟件的源代碼和二進制目標代碼是一視同仁的，一般都不受 EAR 的管制。但在使用目標代碼時，要注意判斷目標代碼是否有相應的可公開獲取的源代碼，如果源代碼沒有開源，那么目標代碼不能被認為滿足 EAR 所規定的“可公開獲取”，因此就會受到管制。

　　管制與加密解密——從 HashiCorp 談起

　　前文提及，開源軟件由于已公布給公眾，因此一般不受 EAR 的管制，例外仍然是加密解密代碼。本節介紹一起案例，談談管制與加密解密。

　　HashiCorp 是一家總部位于美國舊金山的軟件公司，由 Mitchell Hashimoto 和 Armon Dadgar 于 2012 年創立。業務模式主要為免費增值（freemium），即同時提供免費的開源版和收費的企業版。產品線包括 2015 年 4 月首次發布的 Vault，該工具可以向應用程序、系統和用戶提供機密管理，基于身份的訪問，對應用程序數據加密以及對機密審核等功能。

　　2020 年 5 月底，HashiCorp Vault 的企業版軟件被禁止在中國國內使用，其開源版（OSS）不受影響。HashiCorp 隨之更新了評估條款，并在官網聲明：

請注意，中國出口管控條例禁止 HASHICORP 在中華人民共和國境內銷售或以其他方式提供企業版 VAULT。鑒于此原因，未經 HASHICORP 的書面同意，不得在中華人民共和國境內使用、部署或安裝 HASHICORP 的 VAULT 企業版本軟件。

　　HashiCorp 這個聲明的內容本身并沒有什么問題，因為無論是中國還是美國或者世界上任何其他國家，都對加密解密技術、尤其是高強度的加密解密技術進行不同程度的管控。只是這個聲明的法律依據讓人有些摸不著頭腦。一個美國的公司將源于美國的加密解密軟件出口到中國，應該適用的是美國的出口管制法、或者中國的進口管制法。中國的出口管制法不能約束美國公司將美國技術出口到中國。

　　并且，目前我國的出口管制法仍然在審議當中，并未施行。根據最新消息，2020 年 6 月 28 日，出口管制法草案二次審議稿提請了十三屆全國人大常委會第二十次會議審議。2019 年 12 月，十三屆全國人大常委會第十五次會議初次審議了出口管制法草案。

　　我國在法律層面上缺乏進行進出口管制的依據，目前的管制主要依賴于商務部和海關總署于 2005 年發布的《兩用物項和技術進出口許可證管理辦法》，此外，國務院還制定并批準了一些與進出口管制相關的條例和辦法。

　　根據最新版的《兩用物項和技術進出口許可證管理目錄》，我國主要對以下三類物項進行進口管制：監控化學品、易制毒化學品以及放射性同位素。出口管制的物項數量更多且更復雜，本文難以一一列出。總而言之，根據上述管理目錄，我國對于加密解密技術的進口并不實行進口管制。

　　但是對加密解密技術進行進口管制仍然是有法律依據的，就是我國 2020 年 1 月 1 日起施行的密碼法。根據密碼法第 28 條第 1 款，

國務院商務主管部門、國家密碼管理部門依法對涉及國家安全、社會公共利益且具有加密保護功能的商用密碼實施進口許可，對涉及國家安全、社會公共利益或者中國承擔國際義務的商用密碼實施出口管制。商用密碼進口許可清單和出口管制清單由國務院商務主管部門會同國家密碼管理部門和海關總署制定并公布。

　　同時，國家密碼管理局、商務部、海關總署于 2019 年 12 月 31 日聯合發布公告，稱將制定并公布商用密碼進口許可清單和出口管制清單（截止目前，該清單并未公布）。算是給 HashiCorp 的上述聲明找到了法律依據。

　　再簡單說一說各國為何要對加密解密技術進行管控。其原因很簡單，正如拿破侖所說，“戰爭的 90% 是信息”。

　　換言之，掌握己方和對方信息的一方往往能夠做出更準確的判斷，從而贏得戰爭的勝利。這類例子在歷史上不勝枚舉。比如在中途島戰役前夕，美軍就利用了已經截獲的日軍電報密碼，破獲了日軍進攻中途島的全部情報，對日軍的行動了如指掌。盡管日軍在海戰中調集兵力占有絕對優勢，但美軍早有準備，最終取得了勝利。此外，關于二戰期間的歐洲戰爭，許多評論家認為，由于英國的 Ultra 計劃成功破解了德國的加密機 Enigma，德國通信情報向盟軍的流動大大縮短了二戰的時間，甚至可能改變了戰爭的結果。再以最近美國擊斃本拉登為例，美國也是從開始監聽本拉登的信使艾哈邁德開始的。美國發現該人總是在某個地方重復出現，經過逐一排查，最終確定了本拉登的藏身之處。

　　不難看出，在戰爭中，確保己方通信的安全并且破解對方的通信往往能夠左右戰爭的結果，而這就一定會涉及到加密和解密的技術。除戰爭外，加密和解密技術由于廣泛應用于金融、科技、商業等幾乎所有領域，一旦使用的技術不夠安全可靠，其后果不堪設想。正因為如此，各國都對高強度的加密解密技術進行不同程度的管控。

　　拓展：美國出口管制與 EAR 介紹

　　最后，補充一下美國的出口管制法規介紹，感興趣的讀者可以深入了解。

　　美國現行的聯邦法大致可以分為法律（act）和法規（regulation）兩個部分，前者被編纂為美國法典（United States Code, USC），后者被編纂為聯邦行政法典（Code of Federal Regulations, CFR）。法律由美國國會制定，但是一般規定得比較籠統。由于國會沒有時間和精力制定過于細化的操作規則，因此，需要由聯邦政府的行政部門基于相關的法律制定更詳細、更具有可操作性的法規（條例）。

　　與出口管制相關的法規主要是《國際武器貿易條例》（International Traffic in Arms Regulations, ITAR）和《出口管制條例》（Export Administration Regulations, EAR）。

　　ITAR 由美國國務院基于 1994 年的《武器出口管制法》（Arms Export Control Act, AECA）編寫，管控軍用物項的出口；EAR 由美國商務部下屬的工業安全局編寫，主要管控兩用物項和敏感度低的軍用物項的出口和再出口，其目前的法律基礎是 2018 年的《出口管制改革法》（Export Control Reform Act, ECRA）。物項是商品、技術和軟件的統稱。顧名思義，軍用物項是指主要用途為軍事的物項，而兩用物項則是指既有商業用途也有軍事應用的物項。

　　由于我國一直以來都是 ITAR 的禁運國，并且兩用物項的出口受 EAR 管控，因此本節主要介紹 EAR。如前所述，美國的 EAR 施行長臂管轄，它適用于所有位于美國的物項，無論原產地為何處；以及所有源自美國的物項，無論現在位于何處。美國企業將技術和產品銷售給中國公司后（出口），中國公司將含有該美國技術和產品的新技術和新產品再次銷售到其他國家時（再出口），除了要符合中國的進出口管制法規外，還會受到美國 EAR 的管控，因此要特別注意。

　　為了明確具體的管制物項，美國商務部制定了《商業管制清單》（Commerce Control List, CCL）和《商業國家列表》（Commerce Country Chart, CCC）。在 CCL 中，用 5 位數的 ECCN（Export Control Classification Number）編碼對所有管控物項進行歸類，沒有 ECCN 的物項被歸類 EAR99。但要注意的是 EAR99 并非出口白名單，對 EAR99 物項進行再出口時，仍然要確認出口目的地等相關信息。

　　5 位 ECCN 編碼的第一位代表類別，第二位代表物項的形態，第三位代表管制原因，第四位用于識別是否是美國獨自管制，第五位代表一般的數字。

　　在了解了物項的 ECCN 編碼后，需要在 CCL 中確認該物項的管制原因和管制級別。接下來，根據得到的管制原因和管制級別在 CCC 中確認是否需要許可。如果需要許可，再判斷是否能夠適用許可例外。如果不能的話，那么對該物項進行再出口時，需要得到美國商務部的許可。而美國商務部對于許可的態度一般是默認拒絕。

總結

以上是生活随笔為你收集整理的开源与美国出口管制的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。