CRA專題介紹

“如果萬物互聯(lián)，則萬物皆可被攻擊。”2022年9月15日，歐盟委員會的《網(wǎng)絡韌性法案（CRA）》提案應運而生。CRA提案引發(fā)了全球開源圈的熱議，特別是今年7月份歐盟議會對Recital 第10條“開源豁免條款”的修正意見，更是激起了多家開源基金會及社區(qū)的擔憂甚至是譴責。但直至11月30日，歐盟理事會與歐盟議會就CRA提案達成臨時議定，也未就開源界的建議予以積極反饋。在此，我們開設(shè)CRA專題，旨在從不同維度出發(fā)共同探討在全球視野下，開源軟件在現(xiàn)行/擬議的網(wǎng)絡安全立法中是否受到調(diào)整、如何界定調(diào)整邊界以及將造成何種影響等議題。

?

作者：陶冶

國浩律師（南京）事務所律師 南京市律協(xié)知識產(chǎn)權(quán)法律專業(yè)委員會、數(shù)字經(jīng)濟法律專業(yè)委員會委員 taoye@grandall.com.cn

摘要

開源項目是否受到《網(wǎng)絡安全法》調(diào)整一直備受關(guān)注。從《網(wǎng)絡安全法》的基本定位、具體規(guī)范，結(jié)合歐盟立法例來看，開源項目應當落入《網(wǎng)絡安全法》的調(diào)整范圍。開源軟件的直接對外提供者，以及開源代碼倉庫或某一分支的控制者應當承擔網(wǎng)絡安全義務。但承擔義務并不意味著網(wǎng)絡安全問題上的無限責任，其義務仍以《網(wǎng)絡安全法》的明文規(guī)定為限。同時，開源項目的普通貢獻者因不構(gòu)成《網(wǎng)絡安全法》上的提供者，并不在前述義務主體之列。

關(guān)鍵詞：網(wǎng)絡安全法，開源，CRA

一、引言

《網(wǎng)絡安全法》是我國網(wǎng)絡空間治理的“基本法”¹ ，其以“保障網(wǎng)絡安全，維護網(wǎng)絡空間主權(quán)和國家安全、社會公共利益，保護公民、法人和其他組織的合法權(quán)益，促進經(jīng)濟社會信息化健康發(fā)展”為根本立法目的，對在境內(nèi)建設(shè)、運營、維護和使用網(wǎng)絡的主體做出了一系列規(guī)范。對于開源開發(fā)者來說，最為重要的條款當屬《網(wǎng)絡安全法》第22條第1、2款的規(guī)定。

前述2款為“網(wǎng)絡產(chǎn)品的提供者”設(shè)定了以下4項義務：第一，網(wǎng)絡產(chǎn)品、服務應當符合相關(guān)國家標準的強制性要求；第二，網(wǎng)絡產(chǎn)品、服務的提供者不得設(shè)置惡意程序；第三，發(fā)現(xiàn)其網(wǎng)絡產(chǎn)品、服務存在安全缺陷、漏洞等風險時，應當立即采取補救措施，按照規(guī)定及時告知用戶并向有關(guān)主管部門報告；第四，網(wǎng)絡產(chǎn)品、服務的提供者應當為其產(chǎn)品、服務持續(xù)提供安全維護；在規(guī)定或者當事人約定的期限內(nèi)，不得終止提供安全維護。

但由于《網(wǎng)絡安全法》基礎(chǔ)性法律的定位，不可避免會出現(xiàn)法律表述上的原則性² ，因此對于開源軟件的開發(fā)者是否負有《網(wǎng)絡安全法》上的義務這一問題，仍有模糊之處，有待進一步的澄清。

鑒于網(wǎng)絡安全問題的國際性，以及《網(wǎng)絡安全法》立法時主要制度與國外通行做法保持一致的基本理念³ ，域外立法例對理解《網(wǎng)絡安全法》的具體制度有著重要的借鑒作用。因此，本文擬結(jié)合以《網(wǎng)絡韌性法案（草案）》（Cyber Resilience Act，以下簡稱CRA）為代表的歐盟立法為例，通過比較法的視角對這一問題展開研究。

二、什么是“網(wǎng)絡產(chǎn)品”

《網(wǎng)絡安全法》并未對何為“網(wǎng)絡產(chǎn)品”做出明確規(guī)定，但理解“網(wǎng)絡產(chǎn)品”這一概念的定義，對明確“網(wǎng)絡產(chǎn)品的提供者”這一義務主體至關(guān)重要。

對于這一概念的爭議主要集中在兩個方面，第一，免費提供的開源軟件，是否構(gòu)成產(chǎn)品；第二，對于不直接面向用戶的中間件以及系統(tǒng)軟件，是否屬于“網(wǎng)絡產(chǎn)品”。本文圍繞前述兩個問題展開詳述。

（一）“網(wǎng)絡產(chǎn)品”應當包含免費提供的開源軟件

從文意上理解，“產(chǎn)品”二字并不能與“收費”直接掛鉤。根據(jù)《產(chǎn)品質(zhì)量法》第二條第二款的規(guī)定：“本法所稱產(chǎn)品是指經(jīng)過加工、制作，用于銷售的產(chǎn)品”。《產(chǎn)品質(zhì)量法》該款看似循環(huán)定義，其實質(zhì)為根據(jù)《產(chǎn)品質(zhì)量法》規(guī)范的范圍對“產(chǎn)品”概念在該法范圍內(nèi)進行限縮，即僅限于“用于銷售”的產(chǎn)品。通過該限縮性規(guī)定可以看出的一個基本邏輯是，“產(chǎn)品”這一概念本身即包含“用于銷售”和“非用于銷售”兩種。也就是說，除非有明文規(guī)定進行限縮，“網(wǎng)絡產(chǎn)品”這一概念不能排除免費提供的開源軟件。

歐盟的網(wǎng)絡安全立法例中，2019年的《歐盟網(wǎng)絡安全法案》（Cybersecurity Act ，REGULATION (EU) 2019/881）中，將ICT產(chǎn)品（ICT Product）定義為：“網(wǎng)絡或信息系統(tǒng)的一個要素或一組要素。”（‘ICT product’ means an element or a group of elements of a network or information system）⁴ ，在對“產(chǎn)品”進行定義時也未區(qū)分收費亦或是免費。

在CRA中，雖然目前歐洲議會以及歐盟理事會的提案的措辭略有不同，但大意基本一致，以歐洲議會2023年7月提案為例（本文以下部分除非特別提及，對CRA的引用均以歐洲議會版本為準），其對“帶有數(shù)字元素的產(chǎn)品”（product with digital elements）的定義為：“任何軟件或硬件產(chǎn)品以及其遠程數(shù)據(jù)處理解決方案，包括單獨投入市場的軟件或硬件組件。”（any software or hardware product and its remote data processing solutions, including software or hardware components to be placed on the market separately）⁵ ，僅從該條看來，似乎是對軟件或硬件組件做了特別規(guī)定，只有投入市場（be placed on the market separately）方才構(gòu)成“產(chǎn)品”或被擬制為“產(chǎn)品”，而非組件的軟硬件，無論是否投入市場均構(gòu)成“產(chǎn)品”。但這樣的單獨限縮并沒有任何立法目的上的支撐，在邏輯上也顯得不甚協(xié)調(diào)，因此并不能急于得出結(jié)論。對CRA文本進一步分析可以發(fā)現(xiàn)，CRA第3條第（18）款進一步將“制造者”（manufacturer）定義為：“任何自然人或法人，他們開發(fā)或制造帶有數(shù)字元素的產(chǎn)品，或者讓其他人設(shè)計、開發(fā)或制造這類產(chǎn)品，并以其名字或商標將這些產(chǎn)品投放市場，無論是出于收費、商業(yè)化還是免費的目的。”（any natural or legal person who develops or manufactures products with digital elements or has products with digital elements designed, developed or manufactured, and markets them under his or her name or trademark, whether for payment, monetisation or free of charge）⁶ ，即同一主體必須同時滿足制造了“帶有數(shù)字元素的產(chǎn)品”并且實施了“投放市場”的兩種行為時方才構(gòu)成CRA中規(guī)定的制造者，進而落入CRA的規(guī)制范圍。而第3條第（23）款則將“在市場上提供”（making available on the market）定義為：“在商業(yè)活動過程中，為了在歐盟市場上的分銷或使用而提供帶有數(shù)字元素的產(chǎn)品，無論是作為有償還是免費” ⁷，結(jié)合前言（preamble）第（10）款的表述，前述一系列定義的目的在于將非以商業(yè)目的免費和開源軟件排除在CRA的規(guī)制范圍之外。基于這樣的定義，如若“產(chǎn)品”一詞當然包含“商業(yè)化”的前提的話，那么“制造者”定義中的制造“產(chǎn)品”+“投放市場”的表述則將構(gòu)成循環(huán)定義，額外以“投放市場”對“制造者”概念進行限縮也就不再有任何意義，這種解釋顯然與CRA的體系相矛盾。因此，在CRA的語境下，構(gòu)成“產(chǎn)品”也不以商業(yè)化為前提。

至于前文“帶有數(shù)字元素的產(chǎn)品”定義中的“單獨上市”，考慮到當前CRA仍未正式頒布，本文認為該定義應理解為“單獨對外提供”，而非強調(diào)其在市場上進行的商業(yè)化投放。

因此，我國《網(wǎng)絡安全法》中，一方面即沒有像《產(chǎn)品質(zhì)量法》中一樣對產(chǎn)品一詞直接進行限縮，另一方面也沒有像CRA一樣通過其他方式排除免費軟件。結(jié)合“產(chǎn)品”一詞的一般意思，《網(wǎng)絡安全法》中的“網(wǎng)絡產(chǎn)品”應當包含了免費提供的開源軟件。

（二）“網(wǎng)絡產(chǎn)品”應當包含中間件

首先，根據(jù)國家標準《信息安全技術(shù) 網(wǎng)絡產(chǎn)品和服務安全通用要求》（GB/T 39276—2020）的定義，網(wǎng)絡產(chǎn)品的定義為：“作為網(wǎng)絡組成部分以及實現(xiàn)網(wǎng)絡功能的硬件、軟件或系統(tǒng),按照一定的規(guī)則和程序?qū)崿F(xiàn)信息的收集、存儲、傳輸、交換和處理。”該定義并未將網(wǎng)絡產(chǎn)品限定為系統(tǒng)軟件和應用軟件。且實踐中大量的網(wǎng)絡安全漏洞就存在于中間件之中（如Log4j2漏洞），從立法目的上也無排除中間件的可能。

從歐盟立法例看，前述《歐盟網(wǎng)絡安全法案》中ICT產(chǎn)品的定義顯然包括中間件。CRA的定義中，則是專門強調(diào)了“組件”（components）也屬于CRA的規(guī)制范圍。

據(jù)此，結(jié)合國內(nèi)標準以及域外立法里的有關(guān)定義，《網(wǎng)絡安全法》中的“網(wǎng)絡產(chǎn)品”應當被解釋為：包括免費以及中間件在內(nèi)的，一切作為網(wǎng)絡組成部分以及實現(xiàn)網(wǎng)絡功能的硬件、軟件或系統(tǒng)。

三、“網(wǎng)絡產(chǎn)品的提供者”的范圍

在《網(wǎng)絡安全法》中網(wǎng)絡產(chǎn)品的定義明確后，還需進一步分析“提供者”的范圍。此處的“提供”行為可分兩種情形討論，第一種情形為某一主體直接對外提供軟件，如對外銷售或以其名義提供副本，這種情況中的提供者下文中統(tǒng)稱為名義提供人。另一種情形則為通過開源平臺對外開放的情形。前者的名義提供人毋庸置疑屬于提供者。但對于后者，每一個如此對外提供的開源軟件都至少涉及一個控制者（控制者可以是個人、組織或社區(qū)）和若干貢獻者等多重主體。此時如何界定《網(wǎng)絡安全法》語境下的“提供者”就顯得至關(guān)重要。

本文認為，基于“法不強人所難”的基本法理，法律不應超出主體的能力范圍去給某一主體設(shè)定義務，即只有可能履行《網(wǎng)絡安全法》賦予的義務的主體方才可能構(gòu)成《網(wǎng)絡安全法》下的提供者。結(jié)合本文開頭提到的四項義務，在通過開源平臺開放軟件的場景下，“提供者”至少應為某分支的控制者，即有權(quán)決定是否合并某些代碼進入分支乃至決定是否刪除該分支的主體方才可能構(gòu)成該分支對應的網(wǎng)絡產(chǎn)品的提供者，而倉庫的控制者因權(quán)限更高，也應屬于此處的提供者。但普通的貢獻者因無權(quán)決定網(wǎng)絡產(chǎn)品的具體特性、惡意程序的排除和加入以及是否繼續(xù)維護等事項，并不會僅僅因其貢獻的軟件系開源軟件而落入“提供者”范疇。

在CRA中，對“制造者”則是提供了更為明確的釋義，將其限于“以其名字或商標將這些產(chǎn)品投放市場”的主體，即投入市場的名義人，這一定義因未包含了未采取任何商業(yè)行為的分支或者倉庫控制者，其范圍相較《網(wǎng)絡安全法》更窄。

據(jù)此，我國《網(wǎng)絡安全法》中的網(wǎng)絡產(chǎn)品提供者即應當包括直接對外提供網(wǎng)絡產(chǎn)品的名義人，也包括開源社區(qū)中某一具體分支的控制者或整個倉庫的控制者。

四、結(jié)論

如前所述，無論是免費的開源項目亦或是收費軟件，也無論其是應用軟件、操作系統(tǒng)亦或是中間件，均落入了《網(wǎng)絡安全法》的規(guī)制范圍，而此類軟件名義提供者，或是開源平臺上某倉庫或分支的控制者則需履行《網(wǎng)絡安全法》上的有關(guān)義務。

但這不意味著無限的義務，也并不意味著會對開源生態(tài)造成毀滅性的打擊。正如本文開篇所列明的產(chǎn)品提供者的四項義務，其中有強制性標準的貫標義務，有得知漏洞后的報告和采取措施的義務也有提供維護服務的義務，各項義務均有明確的范圍以及期限，包括開源領(lǐng)域中常見的“AS IS”條款也有通過《網(wǎng)絡安全法》第22條第2款后段進入公法領(lǐng)域的可能，本文限于篇幅無法一一展開。

對于開源參與者來說，了解和遵守《網(wǎng)絡安全法》規(guī)定的義務邊界至關(guān)重要，這不僅有助于他們更好地維護網(wǎng)絡空間的安全和秩序，同時也能更有信心和明確性地參與到開源生態(tài)的建設(shè)和發(fā)展中。

¹參見中國網(wǎng)信網(wǎng)：《<網(wǎng)絡安全法>的立法定位、立法框架和制度設(shè)計》, http://www.cac.gov.cn/2016-11/07/c_1119866606.htm,最后訪問時間：2023年11月19日。

²前引1。

³參見全國人大常委會法制工作委員會副主任 郎勝：《關(guān)于《中華人民共和國網(wǎng)絡安全法（草案）》的說明》，2015年6月24日。

⁴REGULATION (EU) 2019/881, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32019R0881&qid=1700381003823，last visited: 19 November 2023.

⁵AMENDMENTS BY THE EUROPEAN PARLIAMENT to the Commission proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/1020 and Directive 2020/1828/EC (Cyber Resilience Act)，https://www.europarl.europa.eu/doceo/document/A-9-2023-0253_EN.html, last visited: 19 November 2023.

⁶前引5

⁷前引5

免責聲明：

本文僅僅是從個人角度出發(fā)，對法律做的一般性研究，僅代表個人意見，請讀者審慎閱讀并自行甄別, 作者不就讀者對任何依據(jù)本文采取的任何作為或不作為承擔責任。本文不代表開放原子開源基金會觀點。

更多解讀

《開源態(tài)勢洞察》全新改版，首期正式發(fā)布！ CRA專題｜面對法律，開源應負什么安全責任

點擊文末“閱讀原文”

訪問AtomGit

下載《開源態(tài)勢洞察》電子版

閱讀原文，下載閱讀和一起洞察～