CRA專題 | 以CRA為視角看開源項(xiàng)目的《網(wǎng)絡(luò)安全法》適用

CRA專題介紹

“如果萬物互聯(lián)，則萬物皆可被攻擊。”2022年9月15日，歐盟委員會(huì)的《網(wǎng)絡(luò)韌性法案（CRA）》提案應(yīng)運(yùn)而生。CRA提案引發(fā)了全球開源圈的熱議，特別是今年7月份歐盟議會(huì)對(duì)Recital 第10條“開源豁免條款”的修正意見，更是激起了多家開源基金會(huì)及社區(qū)的擔(dān)憂甚至是譴責(zé)。但直至11月30日，歐盟理事會(huì)與歐盟議會(huì)就CRA提案達(dá)成臨時(shí)議定，也未就開源界的建議予以積極反饋。在此，我們開設(shè)CRA專題，旨在從不同維度出發(fā)共同探討在全球視野下，開源軟件在現(xiàn)行/擬議的網(wǎng)絡(luò)安全立法中是否受到調(diào)整、如何界定調(diào)整邊界以及將造成何種影響等議題。

?

作者：陶冶

國浩律師（南京）事務(wù)所律師 南京市律協(xié)知識(shí)產(chǎn)權(quán)法律專業(yè)委員會(huì)、數(shù)字經(jīng)濟(jì)法律專業(yè)委員會(huì)委員 taoye@grandall.com.cn

摘要

開源項(xiàng)目是否受到《網(wǎng)絡(luò)安全法》調(diào)整一直備受關(guān)注。從《網(wǎng)絡(luò)安全法》的基本定位、具體規(guī)范，結(jié)合歐盟立法例來看，開源項(xiàng)目應(yīng)當(dāng)落入《網(wǎng)絡(luò)安全法》的調(diào)整范圍。開源軟件的直接對(duì)外提供者，以及開源代碼倉庫或某一分支的控制者應(yīng)當(dāng)承擔(dān)網(wǎng)絡(luò)安全義務(wù)。但承擔(dān)義務(wù)并不意味著網(wǎng)絡(luò)安全問題上的無限責(zé)任，其義務(wù)仍以《網(wǎng)絡(luò)安全法》的明文規(guī)定為限。同時(shí)，開源項(xiàng)目的普通貢獻(xiàn)者因不構(gòu)成《網(wǎng)絡(luò)安全法》上的提供者，并不在前述義務(wù)主體之列。

關(guān)鍵詞：網(wǎng)絡(luò)安全法，開源，CRA

一、引言

《網(wǎng)絡(luò)安全法》是我國網(wǎng)絡(luò)空間治理的“基本法”¹ ，其以“保障網(wǎng)絡(luò)安全，維護(hù)網(wǎng)絡(luò)空間主權(quán)和國家安全、社會(huì)公共利益，保護(hù)公民、法人和其他組織的合法權(quán)益，促進(jìn)經(jīng)濟(jì)社會(huì)信息化健康發(fā)展”為根本立法目的，對(duì)在境內(nèi)建設(shè)、運(yùn)營、維護(hù)和使用網(wǎng)絡(luò)的主體做出了一系列規(guī)范。對(duì)于開源開發(fā)者來說，最為重要的條款當(dāng)屬《網(wǎng)絡(luò)安全法》第22條第1、2款的規(guī)定。

前述2款為“網(wǎng)絡(luò)產(chǎn)品的提供者”設(shè)定了以下4項(xiàng)義務(wù)：第一，網(wǎng)絡(luò)產(chǎn)品、服務(wù)應(yīng)當(dāng)符合相關(guān)國家標(biāo)準(zhǔn)的強(qiáng)制性要求；第二，網(wǎng)絡(luò)產(chǎn)品、服務(wù)的提供者不得設(shè)置惡意程序；第三，發(fā)現(xiàn)其網(wǎng)絡(luò)產(chǎn)品、服務(wù)存在安全缺陷、漏洞等風(fēng)險(xiǎn)時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施，按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告；第四，網(wǎng)絡(luò)產(chǎn)品、服務(wù)的提供者應(yīng)當(dāng)為其產(chǎn)品、服務(wù)持續(xù)提供安全維護(hù)；在規(guī)定或者當(dāng)事人約定的期限內(nèi)，不得終止提供安全維護(hù)。

但由于《網(wǎng)絡(luò)安全法》基礎(chǔ)性法律的定位，不可避免會(huì)出現(xiàn)法律表述上的原則性² ，因此對(duì)于開源軟件的開發(fā)者是否負(fù)有《網(wǎng)絡(luò)安全法》上的義務(wù)這一問題，仍有模糊之處，有待進(jìn)一步的澄清。

鑒于網(wǎng)絡(luò)安全問題的國際性，以及《網(wǎng)絡(luò)安全法》立法時(shí)主要制度與國外通行做法保持一致的基本理念³ ，域外立法例對(duì)理解《網(wǎng)絡(luò)安全法》的具體制度有著重要的借鑒作用。因此，本文擬結(jié)合以《網(wǎng)絡(luò)韌性法案（草案）》（Cyber Resilience Act，以下簡(jiǎn)稱CRA）為代表的歐盟立法為例，通過比較法的視角對(duì)這一問題展開研究。

二、什么是“網(wǎng)絡(luò)產(chǎn)品”

《網(wǎng)絡(luò)安全法》并未對(duì)何為“網(wǎng)絡(luò)產(chǎn)品”做出明確規(guī)定，但理解“網(wǎng)絡(luò)產(chǎn)品”這一概念的定義，對(duì)明確“網(wǎng)絡(luò)產(chǎn)品的提供者”這一義務(wù)主體至關(guān)重要。

對(duì)于這一概念的爭(zhēng)議主要集中在兩個(gè)方面，第一，免費(fèi)提供的開源軟件，是否構(gòu)成產(chǎn)品；第二，對(duì)于不直接面向用戶的中間件以及系統(tǒng)軟件，是否屬于“網(wǎng)絡(luò)產(chǎn)品”。本文圍繞前述兩個(gè)問題展開詳述。

（一）“網(wǎng)絡(luò)產(chǎn)品”應(yīng)當(dāng)包含免費(fèi)提供的開源軟件

從文意上理解，“產(chǎn)品”二字并不能與“收費(fèi)”直接掛鉤。根據(jù)《產(chǎn)品質(zhì)量法》第二條第二款的規(guī)定：“本法所稱產(chǎn)品是指經(jīng)過加工、制作，用于銷售的產(chǎn)品”。《產(chǎn)品質(zhì)量法》該款看似循環(huán)定義，其實(shí)質(zhì)為根據(jù)《產(chǎn)品質(zhì)量法》規(guī)范的范圍對(duì)“產(chǎn)品”概念在該法范圍內(nèi)進(jìn)行限縮，即僅限于“用于銷售”的產(chǎn)品。通過該限縮性規(guī)定可以看出的一個(gè)基本邏輯是，“產(chǎn)品”這一概念本身即包含“用于銷售”和“非用于銷售”兩種。也就是說，除非有明文規(guī)定進(jìn)行限縮，“網(wǎng)絡(luò)產(chǎn)品”這一概念不能排除免費(fèi)提供的開源軟件。

歐盟的網(wǎng)絡(luò)安全立法例中，2019年的《歐盟網(wǎng)絡(luò)安全法案》（Cybersecurity Act ，REGULATION (EU) 2019/881）中，將ICT產(chǎn)品（ICT Product）定義為：“網(wǎng)絡(luò)或信息系統(tǒng)的一個(gè)要素或一組要素?！保ā甀CT product’ means an element or a group of elements of a network or information system）⁴ ，在對(duì)“產(chǎn)品”進(jìn)行定義時(shí)也未區(qū)分收費(fèi)亦或是免費(fèi)。

在CRA中，雖然目前歐洲議會(huì)以及歐盟理事會(huì)的提案的措辭略有不同，但大意基本一致，以歐洲議會(huì)2023年7月提案為例（本文以下部分除非特別提及，對(duì)CRA的引用均以歐洲議會(huì)版本為準(zhǔn)），其對(duì)“帶有數(shù)字元素的產(chǎn)品”（product with digital elements）的定義為：“任何軟件或硬件產(chǎn)品以及其遠(yuǎn)程數(shù)據(jù)處理解決方案，包括單獨(dú)投入市場(chǎng)的軟件或硬件組件?！保╝ny software or hardware product and its remote data processing solutions, including software or hardware components to be placed on the market separately）⁵ ，僅從該條看來，似乎是對(duì)軟件或硬件組件做了特別規(guī)定，只有投入市場(chǎng)（be placed on the market separately）方才構(gòu)成“產(chǎn)品”或被擬制為“產(chǎn)品”，而非組件的軟硬件，無論是否投入市場(chǎng)均構(gòu)成“產(chǎn)品”。但這樣的單獨(dú)限縮并沒有任何立法目的上的支撐，在邏輯上也顯得不甚協(xié)調(diào)，因此并不能急于得出結(jié)論。對(duì)CRA文本進(jìn)一步分析可以發(fā)現(xiàn)，CRA第3條第（18）款進(jìn)一步將“制造者”（manufacturer）定義為：“任何自然人或法人，他們開發(fā)或制造帶有數(shù)字元素的產(chǎn)品，或者讓其他人設(shè)計(jì)、開發(fā)或制造這類產(chǎn)品，并以其名字或商標(biāo)將這些產(chǎn)品投放市場(chǎng)，無論是出于收費(fèi)、商業(yè)化還是免費(fèi)的目的。”（any natural or legal person who develops or manufactures products with digital elements or has products with digital elements designed, developed or manufactured, and markets them under his or her name or trademark, whether for payment, monetisation or free of charge）⁶ ，即同一主體必須同時(shí)滿足制造了“帶有數(shù)字元素的產(chǎn)品”并且實(shí)施了“投放市場(chǎng)”的兩種行為時(shí)方才構(gòu)成CRA中規(guī)定的制造者，進(jìn)而落入CRA的規(guī)制范圍。而第3條第（23）款則將“在市場(chǎng)上提供”（making available on the market）定義為：“在商業(yè)活動(dòng)過程中，為了在歐盟市場(chǎng)上的分銷或使用而提供帶有數(shù)字元素的產(chǎn)品，無論是作為有償還是免費(fèi)” ⁷，結(jié)合前言（preamble）第（10）款的表述，前述一系列定義的目的在于將非以商業(yè)目的免費(fèi)和開源軟件排除在CRA的規(guī)制范圍之外?；谶@樣的定義，如若“產(chǎn)品”一詞當(dāng)然包含“商業(yè)化”的前提的話，那么“制造者”定義中的制造“產(chǎn)品”+“投放市場(chǎng)”的表述則將構(gòu)成循環(huán)定義，額外以“投放市場(chǎng)”對(duì)“制造者”概念進(jìn)行限縮也就不再有任何意義，這種解釋顯然與CRA的體系相矛盾。因此，在CRA的語境下，構(gòu)成“產(chǎn)品”也不以商業(yè)化為前提。

至于前文“帶有數(shù)字元素的產(chǎn)品”定義中的“單獨(dú)上市”，考慮到當(dāng)前CRA仍未正式頒布，本文認(rèn)為該定義應(yīng)理解為“單獨(dú)對(duì)外提供”，而非強(qiáng)調(diào)其在市場(chǎng)上進(jìn)行的商業(yè)化投放。

因此，我國《網(wǎng)絡(luò)安全法》中，一方面即沒有像《產(chǎn)品質(zhì)量法》中一樣對(duì)產(chǎn)品一詞直接進(jìn)行限縮，另一方面也沒有像CRA一樣通過其他方式排除免費(fèi)軟件。結(jié)合“產(chǎn)品”一詞的一般意思，《網(wǎng)絡(luò)安全法》中的“網(wǎng)絡(luò)產(chǎn)品”應(yīng)當(dāng)包含了免費(fèi)提供的開源軟件。

（二）“網(wǎng)絡(luò)產(chǎn)品”應(yīng)當(dāng)包含中間件

首先，根據(jù)國家標(biāo)準(zhǔn)《信息安全技術(shù) 網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全通用要求》（GB/T 39276—2020）的定義，網(wǎng)絡(luò)產(chǎn)品的定義為：“作為網(wǎng)絡(luò)組成部分以及實(shí)現(xiàn)網(wǎng)絡(luò)功能的硬件、軟件或系統(tǒng),按照一定的規(guī)則和程序?qū)崿F(xiàn)信息的收集、存儲(chǔ)、傳輸、交換和處理?！痹摱x并未將網(wǎng)絡(luò)產(chǎn)品限定為系統(tǒng)軟件和應(yīng)用軟件。且實(shí)踐中大量的網(wǎng)絡(luò)安全漏洞就存在于中間件之中（如Log4j2漏洞），從立法目的上也無排除中間件的可能。

從歐盟立法例看，前述《歐盟網(wǎng)絡(luò)安全法案》中ICT產(chǎn)品的定義顯然包括中間件。CRA的定義中，則是專門強(qiáng)調(diào)了“組件”（components）也屬于CRA的規(guī)制范圍。

據(jù)此，結(jié)合國內(nèi)標(biāo)準(zhǔn)以及域外立法里的有關(guān)定義，《網(wǎng)絡(luò)安全法》中的“網(wǎng)絡(luò)產(chǎn)品”應(yīng)當(dāng)被解釋為：包括免費(fèi)以及中間件在內(nèi)的，一切作為網(wǎng)絡(luò)組成部分以及實(shí)現(xiàn)網(wǎng)絡(luò)功能的硬件、軟件或系統(tǒng)。

三、“網(wǎng)絡(luò)產(chǎn)品的提供者”的范圍

在《網(wǎng)絡(luò)安全法》中網(wǎng)絡(luò)產(chǎn)品的定義明確后，還需進(jìn)一步分析“提供者”的范圍。此處的“提供”行為可分兩種情形討論，第一種情形為某一主體直接對(duì)外提供軟件，如對(duì)外銷售或以其名義提供副本，這種情況中的提供者下文中統(tǒng)稱為名義提供人。另一種情形則為通過開源平臺(tái)對(duì)外開放的情形。前者的名義提供人毋庸置疑屬于提供者。但對(duì)于后者，每一個(gè)如此對(duì)外提供的開源軟件都至少涉及一個(gè)控制者（控制者可以是個(gè)人、組織或社區(qū)）和若干貢獻(xiàn)者等多重主體。此時(shí)如何界定《網(wǎng)絡(luò)安全法》語境下的“提供者”就顯得至關(guān)重要。

本文認(rèn)為，基于“法不強(qiáng)人所難”的基本法理，法律不應(yīng)超出主體的能力范圍去給某一主體設(shè)定義務(wù)，即只有可能履行《網(wǎng)絡(luò)安全法》賦予的義務(wù)的主體方才可能構(gòu)成《網(wǎng)絡(luò)安全法》下的提供者。結(jié)合本文開頭提到的四項(xiàng)義務(wù)，在通過開源平臺(tái)開放軟件的場(chǎng)景下，“提供者”至少應(yīng)為某分支的控制者，即有權(quán)決定是否合并某些代碼進(jìn)入分支乃至決定是否刪除該分支的主體方才可能構(gòu)成該分支對(duì)應(yīng)的網(wǎng)絡(luò)產(chǎn)品的提供者，而倉庫的控制者因權(quán)限更高，也應(yīng)屬于此處的提供者。但普通的貢獻(xiàn)者因無權(quán)決定網(wǎng)絡(luò)產(chǎn)品的具體特性、惡意程序的排除和加入以及是否繼續(xù)維護(hù)等事項(xiàng)，并不會(huì)僅僅因其貢獻(xiàn)的軟件系開源軟件而落入“提供者”范疇。

在CRA中，對(duì)“制造者”則是提供了更為明確的釋義，將其限于“以其名字或商標(biāo)將這些產(chǎn)品投放市場(chǎng)”的主體，即投入市場(chǎng)的名義人，這一定義因未包含了未采取任何商業(yè)行為的分支或者倉庫控制者，其范圍相較《網(wǎng)絡(luò)安全法》更窄。

據(jù)此，我國《網(wǎng)絡(luò)安全法》中的網(wǎng)絡(luò)產(chǎn)品提供者即應(yīng)當(dāng)包括直接對(duì)外提供網(wǎng)絡(luò)產(chǎn)品的名義人，也包括開源社區(qū)中某一具體分支的控制者或整個(gè)倉庫的控制者。

四、結(jié)論

如前所述，無論是免費(fèi)的開源項(xiàng)目亦或是收費(fèi)軟件，也無論其是應(yīng)用軟件、操作系統(tǒng)亦或是中間件，均落入了《網(wǎng)絡(luò)安全法》的規(guī)制范圍，而此類軟件名義提供者，或是開源平臺(tái)上某倉庫或分支的控制者則需履行《網(wǎng)絡(luò)安全法》上的有關(guān)義務(wù)。

但這不意味著無限的義務(wù)，也并不意味著會(huì)對(duì)開源生態(tài)造成毀滅性的打擊。正如本文開篇所列明的產(chǎn)品提供者的四項(xiàng)義務(wù)，其中有強(qiáng)制性標(biāo)準(zhǔn)的貫標(biāo)義務(wù)，有得知漏洞后的報(bào)告和采取措施的義務(wù)也有提供維護(hù)服務(wù)的義務(wù)，各項(xiàng)義務(wù)均有明確的范圍以及期限，包括開源領(lǐng)域中常見的“AS IS”條款也有通過《網(wǎng)絡(luò)安全法》第22條第2款后段進(jìn)入公法領(lǐng)域的可能，本文限于篇幅無法一一展開。

對(duì)于開源參與者來說，了解和遵守《網(wǎng)絡(luò)安全法》規(guī)定的義務(wù)邊界至關(guān)重要，這不僅有助于他們更好地維護(hù)網(wǎng)絡(luò)空間的安全和秩序，同時(shí)也能更有信心和明確性地參與到開源生態(tài)的建設(shè)和發(fā)展中。

¹參見中國網(wǎng)信網(wǎng)：《<網(wǎng)絡(luò)安全法>的立法定位、立法框架和制度設(shè)計(jì)》, http://www.cac.gov.cn/2016-11/07/c_1119866606.htm,最后訪問時(shí)間：2023年11月19日。

²前引1。

³參見全國人大常委會(huì)法制工作委員會(huì)副主任 郎勝：《關(guān)于《中華人民共和國網(wǎng)絡(luò)安全法（草案）》的說明》，2015年6月24日。

⁴REGULATION (EU) 2019/881, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32019R0881&qid=1700381003823，last visited: 19 November 2023.

⁵AMENDMENTS BY THE EUROPEAN PARLIAMENT to the Commission proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/1020 and Directive 2020/1828/EC (Cyber Resilience Act)，https://www.europarl.europa.eu/doceo/document/A-9-2023-0253_EN.html, last visited: 19 November 2023.

⁶前引5

⁷前引5

免責(zé)聲明：

本文僅僅是從個(gè)人角度出發(fā)，對(duì)法律做的一般性研究，僅代表個(gè)人意見，請(qǐng)讀者審慎閱讀并自行甄別, 作者不就讀者對(duì)任何依據(jù)本文采取的任何作為或不作為承擔(dān)責(zé)任。本文不代表開放原子開源基金會(huì)觀點(diǎn)。

更多解讀

《開源態(tài)勢(shì)洞察》全新改版，首期正式發(fā)布！ CRA專題｜面對(duì)法律，開源應(yīng)負(fù)什么安全責(zé)任

點(diǎn)擊文末“閱讀原文”

訪問AtomGit

下載《開源態(tài)勢(shì)洞察》電子版

閱讀原文，下載閱讀和一起洞察～