合作作者:Thomas Jansen 和 Hannes Meyle
GPLv2 仍然是最广泛使用的 FOSS 许可证,但很少被法院解释。大多数此类判决都来自德国,这是 Harold Welte 执行行动的结果。最近德国的 Fantec 判决是此类最新的判决,并为公司管理其 FOSS 使用以及无法依赖供应商声明的要求提供了指导。
Fantec 是一家欧洲公司,分销内置基于 Linux 固件的媒体播放器。与许多公司一样,Fantec 使用了来自第三方的软件。媒体播放器的固件包含根据 GPLv2 许可的 iptables 软件。Fantec 提供了从其中国制造商处收到的固件源代码版本供下载。Harald Welte 是 iptables 软件的作者之一,并且多次提起诉讼以执行该软件的 GPLv2。Welte 已经解决了 Fantec 先前违反 GPLv2 的行为。因此,Fantec 在 2010 年签署了停止和终止声明,并且 Fantec 在合同上有义务避免进一步违反 GPLv2(否则支付合同罚款)。
在欧洲自由软件基金会于 2012 年在柏林组织的“合规性黑客研讨会”期间,对 Fantec 产品可供下载的软件进行了审查。黑客发现 Fantec 提供的源代码不包含 iptables 软件的源代码,并且某些其他组件的源代码与用于编译固件二进制代码的版本不匹配。
2012 年,原告向 Fantec 发出了另一起 GPLv2 违规行为的通知,并告诫 Fantec 停止侵权行为,并支付合同罚款和庭外法律诉讼费用。Fantec 反驳说,其中国供应商向其保证,从供应商处收到的源代码是完整的。Fantec 声称,他们已经调查了与第三方进行源代码分析的选项,并被告知此类审查非常昂贵且并非完全可靠。Welte 提出了两个论点。首先,Fantec 提供的源代码不完整。其次,源代码不是正确的版本。
2013 年 6 月 14 日,汉堡地区法院 裁定 Fantec 违反了 GPLv2 中的义务,即向其客户提供软件的“完整对应源代码”。法院确认违反了 GPLv2 许可条件,因为 iptables 代码未包含在 Fantec 提供的源代码中。但是,法院没有对源代码不是最新版本的第二个论点作出裁决。因此,该判决未对“完整对应源代码”一词的定义提供重要的指导。
法院要求 Fantec 根据先前的和解协议支付 5,100 欧元的合同罚款。此外,法院判给原告执行 GPLv2 的费用。(根据德国法律,此项裁决是标准的,并且基于德国版权法第 97a (1)、31、69c 条第 3 项和第 4 项,该法条规定,对于受到警告的一方发出的合理警告,可以判给费用。)法院通过将违规行为归类为疏忽来确认 Fantec 违规行为的可责性:固件销售商不得依赖供应商关于合规性的声明。GPLv2 软件的分销商必须进行评估或委托专家进行评估,即使他们产生了额外费用。
未能遵守 GPLv2 不能以额外费用为由进行辩护。 不幸的是,事实的特殊性意味着开源社区没有获得关于其他重要问题的指导,例如如何衡量损害赔偿以及未能提供源代码中模块的最新版本是否违反了提供“完整对应源代码”的要求。损害赔偿是基于 Welte 和 Fantec 之间先前的停止和终止声明的违约,其中 Fantec 同意不违反 GPLv2,而不是版权损害赔偿。此外,法院选择不对 Welte 关于“源代码中模块的旧版本”的指控作出裁决。
考虑到现有的关于 GPLv2 的德国案例,该判决并不令人意外。但是,该案例强调了每家公司都需要有自己的 FOSS 合规流程。公司不能简单地依赖第三方的声明。 我们建议每家公司确保他们拥有正式流程来处理其员工和第三方对 FOSS 的使用。此流程应包括
- FOSS 使用政策(“FOSS 使用政策”)
- 员工使用 FOSS 的请求和审批流程
- 批准和审计从第三方使用 FOSS 的流程,包括通过第三方产品和公司收购
- 符合 FOSS 使用政策的审计流程
鉴于产品开发的快速性和大多数产品中第三方软件的广泛使用,FOSS 使用政策必须侧重于管理与第三方供应商的关系。公司必须确保他们对第三方供应商的 FOSS 合规性有一套明确的标准。这些标准应包括了解此类第三方供应商的 FOSS 管理流程。建立受信任的第三方供应商网络是任何 FOSS 合规策略的关键部分。欧洲自由软件基金会就遵守 GPLv2 义务提供了 有用的建议。
许多公司将决定他们需要通过使用软件扫描第三方代码和管理流程来自动化该流程。公司可能还希望使用 软件数据包交换 框架来帮助沟通特定产品中的 FOSS。
总之,Fantec 提醒公司应采用正式的 FOSS 使用政策,该政策应融入软件开发流程。公司还应准备好对任何关于违反 FOSS 许可的主张做出及时回应,并迅速纠正问题。
3 条评论