CLA:減少開源社群合規風險的銀彈?

語言: CN / TW / HK



| 作者:陳一雄、鄭志鵬

| 編輯:沈於藍

| 設計:楊敏



什麼是CLA, 業界使用CLA的實踐介紹



CL A(Contributor License Agreement)顧名思義,是具有法律效應的貢獻者許可協議。 其目的是確保貢獻者擁有的著作權與專利許可權被合理、充分、不可撤銷的授權給專案管理組織以及專案的使用者。

目前社群裡的CLA大部分是根據 ASF( Apache Sofware Foundation )的CLA 衍生的,各個專案管理組織根據自身需求進行定製化。以下是部分社群的CLA對照表格:

(點選檢視大圖)

從表格裡我們可以看出:大部分CLA都是對License中的核心的名詞定義、授權的範圍、貢獻是否原創進行了明確。但也有一些有趣的區別,Mozilla與Fedora社群的貢獻者協議相對於其他的CLA,他們定義了貢獻內容的License範圍,有利於減少社群License的種類。同時, Fedora 認為非貢獻者原創作品都不包括在“貢獻“的定義中,因此需要採用不同的方式提交非原創內容。
 

我們對CLA的理解,以及為什麼需要CLA?

我們都知道開源社群裡版權、專利等合規問題無處不在。對於一個專案,您將需要確保所有相關方都受到版權和智慧財產權法的保護。

但對於版權專利的保護通常不是依靠開源的License,如著名的Apache-2.0、 MIT、 GNU GPLv2嗎?CLA與License之間是什麼關係?

我們認為:CLA是License的明確和補充。它降低很多措辭的模糊性帶來相關法律風險,同時對License未覆蓋到部分的權利義務關係進行了補充。


很多流行的開源License,它們依賴職業禮貌、道德和黑客價值觀對著作權和專利權的授權進行說明,並沒有清晰的定義。如MIT總共只有167個詞。

而使用CLA,可以在保留使用流行License的基礎上,對License中沒有明確說明的部分加以明確,大大減少以下法律爭議發生概率:

  • 貢獻者的貢獻內容是否是永久的不可以撤銷的

  • 貢獻者是否在版權授權的同時進行了專利授權

  • 貢獻者在貢獻時如果侵犯了第三方的版權,作為專案的分發方,能否減少和轉移自己需要承擔法律責任和風險

  • 其他內容可參考前文表格


實踐中時常能看到業界有各種版權/專利糾紛案,CLA在版權/專利糾紛案中往往能起到關鍵性作用。

  • 對於組織:雖然大部分貢獻內容都帶有License(檔案的頭部註釋),但大部分License並未明確表明許可是永久的,CLA補充了授權的永久性,和不可撤銷性。明確的專利的許可能避免組織陷入專利侵權案,原創宣告幫助組織在發生對第三方的版權侵權時,轉移責任和降低風險。同時,簽署CLA也能留下所有貢獻者的聯絡方式,在某些情況下可以更容易地聯絡到所有貢獻者。這些對組織來說都是有利的。


  • 對於貢獻者:明確了自己是否轉移了版權還是隻是進行了授權,明確了貢獻被授權的範圍(如:不能用在非法用途上),同時再次明確貢獻者無需對貢獻內容提供支援,承擔責任(雖然這部分內容一般也會被大多數License包含)。



我們對CLA應用的潛力的思考

既然CLA是對License的補充,我們認為除了在License之內的其他約定都可以放入CLA中,包括:

  • License中模糊和有爭議的內容的清晰定義和進一步明確。

  • 版權轉移規則:通常來說對開源專案的貢獻無論大小,都將使貢獻者成為專案的版權人之一。但副作用是某一個專案的版權人數量激增,這個在實踐中會給除了版權授權(License的主要內容)以外的其他版權活動(如版權維權,版權轉移等)帶來很大的困難。可以制定少量貢獻的版權轉移給主要版權人的規則,CLA就是最適合放置該規則的地方。

  • License變更規則:在傳統上,License變更需要獲取全體版權人一致同意,這在開源專案實踐中往往也非常困難,可以在CLA 中增加License變更的相關規則,如超過80%的“主要貢獻者”同意,並定義主流貢獻者來解決這個問題。

  • License維權規則:面對License遵從侵權,可以預先定義一套維權的規則,保證整個維權行為符合專案主要版權人的共同利益和專案價值觀。如同前不久 Patrick McHardy 事件裡,McHardy 與 Netfilter 達成的和解協議裡:要求任何與 Netfilter 相關的版本維權活動的決策都應該基於該核心團隊成員的多數投票。這樣的內容如果提前出現在CLA裡面,就可以避免整個爭議事件,減少事件產生的不良影響。

 
目前業界對CLA的應用主要還是集中在第1點,伴隨著開源開發模式流行,我們認為CLA作為其有力的開源法律工具,有極大的潛力可挖掘,必將為開源世界的發展繁榮發揮更大的作用!
 

我們對CLA在開源社群實踐

openEuler作為國內基礎軟體的根社群之一,也率先構建了CLA能力並進行了實踐。當然我們希望進一步發展挖掘CLA的潛力,優化CLA簽署和管理的體驗。有興趣的讀者可以聯絡openEuler合規SIG組和基礎設施SIG組參與討論和後續優化。



相關閱讀 | Related Reading


開源共同體--程式設計師的烏托邦



程式碼穿流-迷失的開源烏托邦之三


大話開源|作業系統十年磨一劍,幕後的堅挺、不懈與客戶第一 @龍蜥社群·馬濤


開源社簡介

開源社成立於 2014 年,是由志願貢獻於開源事業的個人成員,依 “貢獻、共識、共治” 原則所組成,始終維持廠商中立、公益、非營利的特點,是最早以 “開源治理、國際接軌、社群發展、開源專案” 為使命的開源社群聯合體。開源社積極與支援開源的社群、企業以及政府相關單位緊密合作,以 “立足中國、貢獻全球” 為願景,旨在共創健康可持續發展的開源生態,推動中國開源社群成為全球開源體系的積極參與及貢獻者。


2017 年,開源社轉型為完全由個人成員組成,參照 ASF 等國際頂級開源基金會的治理模式運作。近七年來,連結了數萬名開源人,集聚了上千名社群成員及志願者、海內外數百位講師,合作了近百家贊助、媒體、社群夥伴。



本文分享自微信公眾號 - 開源社KAIYUANSHE(kaiyuanshe)。
如有侵權,請聯絡 [email protected] 刪除。
本文參與“OSC源創計劃”,歡迎正在閱讀的你也加入,一起分享。