如何履行合规义务
根据我们与构建 GPL 合规计划的商业伙伴的合作经验,以及作为 GPL 许可人的代理律师处理违规后果的经验,我们注意到企业所认为的合规与出现的问题、引发纠纷的原因和化解这些纠纷的方式等事实之间严重不符。我们经常发现公司准备斥巨资来规避不太可能出现的风险(在过去出现频率很低,且补救成本也不高),却疏于管理过去已引发诉讼和其他不良后果的风险。在此节中,我们会从广义上讲解如何使企业花最少的精力、以最低的成本履行合规义务,以防患于未然的精神讨论企业真正面临的合规风险。
根据我们的经验,曲解许可人的意图是导致实际合规风险与合规风险管理之间存在不符的原因所在。商业实体通常以为 Copyleft 项目社区将合规视作版权货币化方法,或意识形态上的努力来使私有软件按 Copyleft 条款再许可。假设许可人希望利用 Copyleft 违约谋取版税或使企业的私有产品以 Copyleft 协议分发代码,则企业需要管理此类风险:Copyleft 代码“片段”因“意外”或个别程序员疏于监督被复制到私有软件代码中。因此,在进行风险管理时,需要购买昂贵的“代码扫描”服务以检测此类意外的代码引入,而且应将精力集中在如何防止私有软件在编写过程中被自由软件“传染”。
但事实上,使用 Copyleft 的开发社区将违规视为改善合规性的契机。每次下游违规都代表用户权利的损失。项目开发者正如版权持有人一样,都需保障用户的权利。他们的行为目的正是恢复用户的权利,保障项目贡献者编写软件的意图实现。项目开发者寻求合规时更多是因为软件交付方式受挫,而不是私有软件和自由软件的组合方式。尤其是:
未向用户提供购买产品中存在 Copyleft 软件及适用许可条款等必要信息;或
针对分发者已知正在使用且打算按照许可条款使用的 Copyleft 软件,用户无法通过可靠方式获取完整对应源码;或
用户按企业公布的地址联系企业请求其履行义务时,未得到任何回应。
在上述及类似场景中,项目目标在于确保严格履行对下游用户的义务,从而确保主动使用 Copyleft 软件所引发的合规义务得以履行。世界各地 Copyleft 社区曾提起的所有诉讼均可归因于此类违规,或是因为未实现合规,或者扫描程序或其他类似服务未能捕捉到此类违规行为。
将自由软件引入商业私有产品的做法时有发生。作为 Copyleft 开发社区的代理律师,我们确实隔段时间就会遇到此类问题,但并不是很频繁。据我们所知,社区方面未曾就任何此类问题提起过合规性诉讼。这些问题通常以友好合作的方式得到解决。