Linux 基金会发布白皮书：公开发布给全世界的开源技术不受 EAR 约束

Linux 基金会近期发布了一份有关开源社区注意事项的白皮书《了解开源科技和美国出口管制》，并发文概述了开源社区应该了解并遵循的与美国出口管制要求和开源加密相关的一般性原则。

EAR（Export Administration Regulations，出口管理条例）是美国联邦政府限制出口的主要条例，由美国商务部下的产业与安全局（Bureau of Industry and Security，BIS）发布并定期修订。EAR 适用于所有受《出口管制条例》管制的物品，并可管制这些物品的出口、再出口与转让。

EAR下“出口”的定义较为宽泛。出口不仅包括从美国境内向境外输送实物产品，还包括其它行为，例如向在美国居住的非美国公民或非美国合法永久居民传送技术，以及向美国境外人员提供用于电子传输的软件。

而如果开源技术是公开的，不受进一步传播的限制的，那么它是“已发布的”，因此不受制于 EAR。具体来说，EAR 明确豁免了大多数以开源形式呈现的软件和技术。有一些事项被明确列为不受制于 EAR，意味着它们被置于 EAR 法规管辖外并不受这些法规的约束。

EAR 第 734.3（b）条规定了一些事项不受制于 EAR，“如第 734.7 条所述的，（i）已经发布的信息及‘软件’”，该部分规定“已发布”的事项不受到 EAR 的管辖。具体来说，其规定“当可被公众获取且无进一步传播限制时，未被归类为密级事项的‘技术’或‘软件’属于‘已发布’，因此不属于受 EAR 管辖的‘技术’或‘软件’”。

所以“已发布”（published）是关键要素，如果开源技术不受进一步传播的限制且可被公开获取，那么它将被视为“已发布”了的开源事项，并将因此不受制于 EAR，亦即“open source technologies that are published and made publicly available to the world are not subject to the EAR（公开发布给全世界的开源技术不受 EAR 约束）”。

Linux 基金会表示：来自 Linux 基金会以及与我们合作的项目社区的开源软件均满足 EAR 第 734.7 条中“已发布”的要求。同时还列举了部分典型情况：

• 已公开发布的开源软件不受制于 EAR
• 已公开发布的开源规格不受制于 EAR
• 已公开发布的，说明硬件设计的开源文档不受制于 EAR
• 已公开发布的开源软件二进制不受制于 EAR

不过在项目涉及加密技术时，则需要考虑更多：

• “加密软件”的定义非常广泛，并可能包括仅激活或创设其它软硬件产品的加密功能的软件。对于具备标准加密功能的软件，包括在软件设计文档中呈现的加密硬件。
• 首先要确认的是：该加密软件是否在 EAR 的管辖范围内。
• 属于 ECCN 5D002 的加密源代码如符合以下两个条件，则不在 EAR 的管辖范围内：
  • 该源代码是“可公开获取”（publicly available）的：指的是在 EAR 定义的“已发布”（published），包括通过在公开的网页上进行发表（即公开传播）。如果项目的源代码可在互联网上公开获取，则应被视为“可公开获取”。
  • 已向 EAR 第 742.15（b）条所载的电子邮箱地址发送了电子邮件以示通知：需要向两个指定的邮箱地址发送邮件：一个是 BIS 的邮箱地址，另外一个是国家安全局（National Security Agency，NSA）的邮箱地址。邮件内容需要包括可公开获取的源代码的 URL 地址（或源代码本身）。如 URL 或源代码发生任何变更，则需要再次以邮件形式通知上述邮箱地址。

在通过了上述两项衡量标准后，相应的代码也将不受 EAR 管辖。

Linux 基金会表示其所有项目源代码，包括加密软件，均可公开获取，也已经提供了所要求的电子邮件通知，并在官网上公开了电子邮件通知的内容。“所以，Linux 基金会的项目源代码及对应的目标代码均不受 EAR 关于加密的限制”。

需要注意的是，上述情况只适用于开源项目本身，修改项目代码或其衍生产品的下游再分销商在源码并未公开时，仍然需要评估其是否符合 EAR 的规定。

Linux 基金会的文章中还对 BIS 于 2020 年 1 月 6 日宣布的一项新的关于“训练深度卷识神经网络自动分析地理空间图像和点云（point cloud）能力的特殊地理空间图像软件的管控权”的 EAR 规定进行了解读。