开云体育APP
开云网址
电话:020-08980898
邮箱:admin@youweb.com
地址:广东省广州市
杜微科、张平开云体育- 开云体育官方网站- APP下载、孙海龙、陈兵、王鑫、辜凌云:人工智能时代开源治理的法律回应
开云体育,开云体育官方网站,开云体育APP下载
“十五五”规划纲要强调,“深入推进数字中国建设,提升数智化发展水平。”当前,以人工智能为代表的数智技术加速演进、生产方式发生深层次变革,开源已从社群内部的技术协作机制,逐步成长为关涉创新生态、产业发展与社会治理的重要议题。开源在实践中的演进速度持续加快,亟需加强制度供给。
人工智能时代的开源,治理对象从单一代码扩展为模型、数据、权重、工具链的复合体,治理场景从本土协作延伸至全球合作与竞争。在这样一个生态日趋丰富、场景更加多元、科技快速进化的前沿领域,知识产权法律制度应当如何适应与回应?
2026年1月,最高人民法院将“开源技术知识产权法律问题研究”列入年度司法研究重大课题。我们邀请相关课题组专家与技术专家,从知识产权法、竞争法、数据法、司法实践与人工智能技术等不同视角,围绕开源治理中的知识产权核心议题展开讨论。讨论中既有对基本概念的理论澄清,也有对制度滞后的敏锐洞察,更有对中国方案的建构思考。希望这些讨论能够为开源治理的制度完善提供学理支撑,为数字时代的法治建设贡献一份智识力量。
张 平(北京大学法学院教授、北京大学人工智能研究院AI安全与治理中心主任、北京大学武汉人工智能研究院副院长)
孙海龙(重庆市高级人民法院党组成员、副院长,一级高级法官,首届全国法院审判业务专家,西南政法大学教授)
陈 兵(南开大学竞争法研究中心主任、法学院教授,中国新一代人工智能发展战略研究院特约研究员)
王 鑫(北京航空航天大学人工智能学院副教授、工业和信息化智慧法治工信部重点实验室研究员)
辜凌云(北京大学智能学院助理研究员,跨媒体通用人工智能全国重点实验室研究员,北律信息网签约作者)
杜微科:我国正在全面实施“人工智能+”行动,全面推动数字经济与实体经济深度融合、产业创新与科技创新深度融合。在这个显著变革的过程中,如何理解开源技术的新的时代内涵与重要意义?相较于传统意义上的“开源”有何异同?
王鑫:传统语境下,开源主要指源代码的公开与协同开发,旨在消除软件工程中的信息不对称,提高代码质量并加速迭代。在人工智能与数字经济时代,开源已演变为一种“去中心化”的资源配置与创新组织机制。它以许可证(License)为契约基础,突破了科层制企业和传统市场交易的边界,通过降低知识产权的交易成本,实现了全球智力资源、算力资源与数据要素的高效汇聚,是数字时代构建智能经济公共基础设施的核心生产关系。
这种以标准化法律契约(许可证)来降低知识产权交易成本的制度设计,使得原本分散在全球的智力资源、算力资源与数据要素,能够以“去中心化”或“弱中心化”的方式高效汇聚,从而克服了传统企业边界的局限,形成了创新联合体。以开源为代表的公共数字基础设施——包括基础模型、深度学习框架(如PyTorch、TensorFlow)以及各类中间件——作为一种具有极高“正外部性”的非竞争性产品,通过开源方式释放给全社会,直接消除了各行各业在数字化转型中“重复造轮子”的沉没成本。
陈兵:从表层技术功能观之,开源表现为一种独特的技术协作方式。它依托代码托管平台、协作工具和社区治理,突破了地理边界与组织壁垒,使全球范围内的开发者能够围绕共同的技术底座开展分布式、异步化的协同生产。这种协作方式具有三个显著特征:其一,投入的分散化与产出的集中化;其二,过程的透明化与可追溯性;其三,成果的可共享性与可累积性。
从深层组织结构审视,开源也可视为一种颠覆传统中心化科层制组织形态的新型分散式扁平化的创新组织方式。它以分散式创新替代了中心化研发,以大规模并行协作替代了线性工序推进,从根本上改变了知识生产和创新的组织形态。一是创新主体的去中心化。任何具备能力的个体或组织,无须经过中心化的准入审批,均可基于自身兴趣和专长参与项目贡献,创新不再被少数大企业的研发部门所主导。二是创新激励的内生性。在开源社区中,贡献者的驱动力是技术声誉、社区认同、自我实现等非货币化激励,这种内生激励机制在特定领域比金钱激励更持久有效。三是创新成果的共享属性。开源构建了一种“私有投入、共享产出”的新型创新组织形态,能够优化配置创新资源。
开源的技术属性与组织属性相互嵌套、互为支撑。对于我国而言,准确把握开源的双重属性具有重要的政策意涵。一方面,应当将开源视为提升科技创新体系整体效能的重要抓手,通过支持开源社区建设,释放分散式创新潜能;另一方面,也应当认识到开源在组织运行中,同样可能产生扭曲竞争秩序、诱发不正当竞争或垄断的风险,需要予以规范引导。
辜凌云:理解开源的内涵有必要从其制度身份的历史转变切入。早期自由软件运动以“反叛著作权”的姿态出现,1989年GNU通用公共许可证(General Public License,简称GPL)的“传染性”条款意在消解传统排他逻辑;而四十余年的演化却走出了一条出人意料的道路,即开源借助知识产权来实现开放。MIT、Apache2.0等宽松许可证坦然承认版权归属,以“部分权利保留”的方法换取共享秩序的稳定;GPL自身也依赖著作权法作为违约救济的基础。这一转向揭示了一个常被忽略的事实:开源并非游离于知识产权制度之外,而是其内部的一次制度适用创新。
从技术协作的面向看,开源突破了地理与组织的双重约束,使分布式、异步化的协同生产成为可能。从Linux到近年来的DeepSeek-V3/R1,开源以一次次成功项目证明了群智汇聚的生产力远超传统科层组织。
从资源配置的面向看,开源是一种类数字公共品的供给机制。它同时具备非竞争性与低排他性的特征——一份代码或权重被千万人使用并不减损其价值,而许可证的设计又使其低排他性得到制度保障。这种机制有效缓解了知识产权制度在过度私有化情境下的“反公地悲剧”,使知识溢出效应最大化。
从治理安排的面向看,开源构成了一种私人秩序嵌入公共制度的创新范式。社区章程、贡献者协议、许可证规范、治理委员会等共同构成了一套独立运作的分布式治理体系,与国家法律形成既补充又对接的关系。在这层意义上,开源不仅是生产协作方式,也是一种制度生产机制。
在我国,上述面向还叠加了第四重面向,即国家战略基础设施的属性。“十四五”规划明确“支持数字技术开源社区等创新联合体发展”并要求“完善开源知识产权和法律体系”,2025年《关于深入实施“人工智能+”行动的意见》进一步将“促进开源生态繁荣”列为人工智能基础支撑能力的核心举措,“十五五”规划纲要再度强调“推进开源体系建设,完善开源运行机制”。这些政策轨迹使得开源在我国已不仅仅是产业工具,更是被赋予了承接科技自立自强战略的制度载体功能。因此,对“开源是技术协作还是创新组织机制”这一问题的回答,在我国语境下必须更进一步——开源既是协作方式,也是组织机制,还是公共品供给安排,更是具有主权意涵的数字基础设施。这四重面向并非相互排斥,而是从不同层次相互叠合、彼此支撑。
孙海龙:虽然开源的内涵根植于自由软件运动,但其边界与价值已随数字时代全面拓展。开源概念源于1983年理查德·斯托尔曼(Richard Stallman)发起的“GNU计划”,初衷是通过源代码的自由获取、修改与分发打破专有软件垄断,但它并未完全否定知识产权制度,反而依托版权制度保障源代码开放共享的可持续性,即采用Copyleft形式进行版权保护。埃里克·雷蒙德(Eric Raymond)在《大教堂与集市》一书中深刻揭示了开源去中心化、分布式协作的特质,这构成了开源最基础的技术协作属性。随着商业机构深度参与、开源基金会模式成熟,开源从软件开发方法延伸为覆盖AI模型、训练数据、芯片架构等全要素的开放创新体系,在我国更成为培育新质生产力、应对外部技术封锁、保障产业链自主可控的重要路径选择。
在国家战略层面,开源成为科技创新与产业升级的重要支撑。我国已将开源纳入数字化发展顶层设计,“十五五”规划明确推进开源体系建设;司法实践也通过典型案例逐步确立统一裁判规则,在既鼓励协作又保障秩序的平衡路径下不断优化开源生态,形成政策引领与法治保障协同推进的格局。
张平:理解开源在当代的内涵与作用,需要将其置于知识产权制度三百余年的发展史中加以审视,而不能停留于技术协作或组织形态的表层观察。
现代版权制度自1710年英国《安妮法令》确立起,始终以“排他性换取公开性”作为核心机制,通过赋予创作者有期限的垄断权益激励创新,再经由保护期的届满使作品最终进入公共领域。专利制度在这一根本逻辑上并无二致。这套知识产权制度在工业时代运行良好,其前提在于规则所处理的对象——印刷出版物与机械装置——具有清晰的客体边界与权利归属。软件的兴起打破了这种清晰性。自由软件运动秉持的初衷是通过挑战传统版权的排他逻辑,重建一个软件资源自由流通的知识公域。然而,经过制度博弈,开源的实际走向并非“废除版权”,而是借助版权制度的排他性机制来保障开放本身。2008年美国联邦巡回上诉法院在Jacobsen v. Katzer案中作出的裁判,将违反开源许可证明确认定为版权侵权而非单纯合同违约,即这一制度定位在司法层面的正式确认。MIT、BSD、Apache2.0等宽松许可证的广泛采用进一步表明,承认版权归属与实现开放共享之间不仅不构成矛盾,而且后者恰恰需要前者作为制度基础。
这一转向的真正意义,在于它揭示了知识产权制度内部生长出的一个此前不存在的制度空间——介于纯粹私权与纯粹公有之间的第三空间。版权集体管理组织、专利联盟等传统机制是将分散的排他权集中行使以降低交易成本;开源采取的是方向相反的制度策略,即将集中的排他权以合约方式分散让渡,通过共同遵守的规则维持秩序稳定。两种路径的制度目标实则一致,意在共同解决权利碎片化在数字环境下带来的制度效率问题,但开源所提供的答案是知识产权制度版权集体管理以来最具创造性的一次结构性自我更新。
在我国语境下,开源的制度定位已经明确超出了产业工具层面,被纳入国家科技战略的基础架构。从开放原子开源基金会的成立,到“十四五”“十五五”规划及系列政策文件的连续部署,我国对开源制度功能的认识正在经历一次深化:从作为协作工具的开源,到作为生态基础的开源,再到作为科技战略承载的开源。
由此回应本题所设之问:开源究竟是技术协作方式还是创新组织机制?答案不应停留于非此即彼的选择。它确实是一种突破组织边界的分布式协作方式,四十年来反复证明了这种生产形态在技术密集领域的产出能力;它也确实是一种制度实验场,社区章程、贡献者协议、治理委员会等自发演化的规则体系,为传统法人制度之外的协作形态提供了制度参照。但比这两个层面更具根本意义的是:开源在知识产权制度内部完成了从“外部反叛者”到“内部新物种”的历史性身份转换,并在我国被确立为承载国家科技自立自强战略的制度载体。三重功能层层叠加,构成开源在我国数字时代的真实定位。任何缩减为单一维度的理解,无论是降格为纯粹的技术协作现象,还是仅视为一种组织形态,都难以把握开源在当下所承担的制度重量。
杜微科:从技术演进的视角观察,开源已从传统软件领域扩展至人工智能等新兴领域,其所涵盖的客体日趋复杂,如参数权重、模型框架、工具包等。这种变化会给开源的对象、方式与传播链条带来哪些改变,将给既有的规则体系带来哪些新挑战?
王鑫:人工智能的高速发展对开源生态形成深刻的技术冲击。开源的核心客体、生产方式和传播链条发生了根本性的质变。传统软件开源的客体是“源代码”,即由人类编写的、基于演绎逻辑的文本,开发者原则上可以阅读、审查并在许可证允许范围内修改源代码。然而,深度学习时代的AI模型,其核心不再是逻辑代码,而是通过海量数据训练得出的“参数权重”。在这一过程中,开源社区真正渴求的不再仅仅是模型架构的描述,而是经过万亿次梯度下降迭代后收敛的参数矩阵(权重),以及训练这些参数所用的海量数据集。权重矩阵是一个由数十亿乃至万亿个浮点数构成的高维张量,具有难以解释的“黑盒”特征。
由此,开源界产生了严重的分歧。以开放源代码促进会(Open Source Initiative,简称OSI)为代表的严格主义者坚持认为,仅开源“权重”而不开源“预训练数据”和“训练代码”,就不符合开源定义,因为开发者无法从根本上复现或修改模型。然而,产业界(如Meta、Google及国内大厂)基于数据版权、隐私保护与商业秘密的考量,认为完全开源预训练数据并不现实。他们提出了“开放权重”的概念,主张只要开放模型参数,就足以赋能生态。这种“开源”与“开放权重”的认知差异,使得现有法律治理对象难以界定。
陈兵:从传统软件开源到人工智能开源的演进,是开源模式在客体性质、技术架构、价值实现方式上的变革。这种变革使既有的开源治理框架面临挑战。
开源对象从“源代码”扩展为“模型权重—训练数据—架构设计”的技术复合体,意味着开源核心客体性质的转变。传统软件开源中,源代码是人类可读的指令集合,其功能实现遵循确定性逻辑,给定相同输入必然产生相同输出。源代码开源,意味着任何具备编程能力的人均可理解、审查并修改其运行逻辑。然而,人工智能开源的核心客体是模型权重,即神经网络在海量数据训练后形成的参数矩阵。权重是涌现性的知识载体,蕴含了模型从训练数据中习得的统计规律与模式抽象,但无法被简化为可逐行解读的逻辑规则。这种性质差异带来治理难题:传统开源许可证的核心义务建立在源代码可完整定义、可独立复现的基础上,而模型权重一旦开源,其衍生关系的认定将变得极为困难——对权重的微调是否构成“衍生作品”?基于同一架构但使用不同数据训练出的权重,与原项目之间是否存在传染关系?这些问题在传统版权法框架下缺乏明确的依据。
更进一步,人工智能开源还涉及模型架构设计、预训练方法、微调技术乃至部分训练数据集的开源。这些要素性质各异、相互交织,难以适用统一的许可规则,由此引发的侵权认定也变得十分复杂,难以建立周延的逻辑因果关系,这对侵权归责原则及推理方法都带来了挑战。
开源方式从源代码发布演进为“模型托管—微调分发”的多元模式,开源行为的技术实现路径发生改变。传统软件开源的行为是复制与分发,用户下载源代码副本并在本地环境编译运行。人工智能开源中,模型的规模使传统分发方式面临物理极限,由此催生了以下新型交互方式:其一,模型托管式开源。开发者将模型权重上传至 Hugging Face 等专门平台,用户通过平台接口按需下载,平台本身成为开源生态的关键基础设施。其二,微调式分发。用户在开源模型基础上使用自有数据进行微调适配,产出增量成果。这些新型方式的出现,使“开源”的边界变得模糊不清。特别是:通过API调用模型但未获取权重,是否属于“使用”开源技术?微调后仅发布增量权重而未发布基座模型,是否满足开源许可证的“完整对应源代码”要求?这些问题的答案都决定了许可证条款的可执行性,以及对开源模型及其衍生物的权利认定,但现行规则体系对此缺乏明确规定。
开源传播链条从“开发者→用户”的线性关系演变为“基座模型提供者→微调者→应用开发者→终端用户”的多层级交互网络关系,这意味着责任归属与义务传导的复杂性呈指数级增长。传统软件开源中,传播链条相对清晰:上游项目→下游修改→再分发,每个节点的权利义务相对明确。然而,人工智能开源的传播链条呈现出中心辐射特征:一个基座模型可能衍生出成百上千个微调变体,每个变体又可能被嵌入不同应用场景,形成多层嵌套的依赖关系;加之回传效应的出现,使得嵌套关系愈发复杂,中心辐射逐渐演化为多点强化。这种结构带来两个层面的挑战:其一,许可证义务的向下传导困境。?Copyleft型许可证要求衍生作品须以相同条款开源,但当衍生链条达到四层、五层深度时,原始许可证的约束力是否依然有效?下游开发者是否知晓其所依赖的模型版本所附带的许可义务?其二,责任归属的向上追溯难题。当某个微调模型被用于侵权或有害用途时,受害方能否向基座模型提供者追责?基座模型提供者是否负有监督下游应用的注意义务?传统开源许可证中的免责条款能否在AI场景下继续获得司法认可?这些问题涉及开源治理的根本逻辑,亟待回应。
辜凌云:从软件开源迈入人工智能开源,不只是一个简单的治理对象扩展,更是客体性质、开放形态、传播结构的三重改变。这意味着,将传统开源规则等比例放大至人工智能场景,几乎必然产生制度错配。
关于人工智能开源客体的界定,已引发一系列争议。对此,行业机构率先回应。OSI于2024年10月28日发布的《开源人工智能定义1.0》提出,“开源AI”须同时满足“使用、研究、修改、分享”四项自由,并要求开放“数据信息、代码、参数”三要素;但这一标准尚未形成行业共识——Meta等主要模型发布者发布的Llama虽自称“开源”,其实际许可条件与该定义存在距离,由此引出所谓“开源洗白”(open-washing)的讨论。
面对开放形态多元化带来的规则适配难题,LFAI&Data基金会下属Generative AI Commons项目发布的模型开放框架(Model Openness Framework, MOF)作出了重要的方法论调整:放弃“开源/非开源”的二元判断,代之以16项指标的三级开放度分类,承认AI开源本质上是一个连续光谱。这种光谱化思维对我国未来的治理设计有直接启发,即规则须对应不同开放度档位,而非“一刀切”。
立足于三重变革的整体治理逻辑,还应当认清人工智能开源内部的本质差异。尤其需要强调的是:人工智能开源不是一个整体性概念——权重开放和接口开放在技术架构与社会后果上的差异,可能比它们与闭源之间的差异还要深刻。权重开放一旦发布便无法撤回,控制权的让渡伴随着能力扩散的不可逆;接口开放则相反,表面的使用便利背后是核心能力的闭合。若治理规则无视这一分野,就难以真正对症下药。
张平:从传统软件开源向人工智能开源扩展,并非同一制度框架下的范围扩展,而是客体构造、开放形态与责任结构同时发生重构的一次范式跃迁。要准确把握这一跃迁对现行规则的冲击,首先必须澄清当前产业界与部分学界对“开源”存在的两种影响深远的误读。第一种误读认为,训练数据一旦被纳入开源模型的训练流程便自动丧失版权保护、进入公共领域;第二种误读则从相反方向得出类似结论,认为模型开源必然要求同步公开训练数据,不符合这一要求者即为“伪开源”。两种认识均偏离法律本意。开源许可证调节的是代码与模型本身的使用条件,它既不消灭训练数据上原有的版权,也不额外创设公开训练数据的法定义务。唯有将这一前提厘清,后续关于新规则需求的讨论才具有稳固基础。
真正的制度冲击发生在训练数据层面。传统软件开源的客体为源代码,法律属性相对简单;人工智能开源所涉客体至少包括模型架构、训练代码、模型权重与训练数据等多种类型,而训练数据这一层的法律属性又呈现前所未有的复合性。同一批训练数据中,可能同时包含受《著作权法》保护的作品、受《个人信息保护法》约束的个人信息、须遵循公共数据开放规定的政府(政务)数据、受《反不正当竞争法》保护的商业秘密等。这四重法律身份并非可供择一适用的替代关系,而是叠加适用的并存关系——同一条数据既要通过版权合规的审查,也要经受个人信息合规的评估,还要回应公共数据规则与商业秘密义务。合规成本因这一叠加效应而呈几何级数增长,产业界所感受到的“合规困境”,实质上是知识产权法与数据法之间边界模糊所折射的制度供给不足。
模型本身的法律定性同样悬置。《计算机软件保护条例》所保护的“计算机程序”指向确定的指令序列,而模型权重是神经网络训练中根据损失函数自动形成的统计参数,其形成过程中并无自然人直接投入独创性的编排劳动;《著作权法》所规定的汇编作品以内容选择或编排的独创性为前提,模型权重同样难以对应。这一定性真空使得司法实务不得不转向《反不正当竞争法》寻求救济。北京互联网法院在(2023)京0491民初11279号“AI文生图著作权案”中认定,使用生成式人工智能工具创作的图片若体现自然人的独创性智力投入,可构成著作权法意义上的作品。该判决的制度价值,在于将“AI能否成为作者”这一学理层面难以厘清的深层追问,回归为“自然人是否投入独创性智力劳动”这一传统教义命题——这是著作权法自《安妮法令》起一以贯之的判断标准,在人工智能场景下依旧具备法律规范效力。但该裁判仅针对AI生成内容输出端的权属定性,对于作为输入端客体的AI模型本身,其法律保护路径尚未得到司法层面的正面回应。
综合以上分析,人工智能开源对现行治理规则提出的挑战可归纳为三项:其一,客体定性的制度真空。模型权重与训练数据应当归入何种法律类别、受何种规则调整,亟待在立法与司法层面给出明确答案。其二,责任分配的结构重构。多层嵌套下各环节主体的注意义务与免责条件,需要在规范层面清晰界定。其三,合规成本的制度平衡。规则过严将抑制开源所承载的公共价值,过松则纵容风险在不可追溯的链条中扩散。任何负责任的人工智能开源治理方案,都必须在这三项挑战上作出正面回应。
杜微科:在开源有关的整体法律架构中,如何理解许可证的性质和作用?面对不断涌现的新技术、新场景与新商业模式,现有的许可证体系要如何变革,才能更好地做到与时俱进,顺势而为?
王鑫:许可证是维系开源生态运转的法律基石,其实质是著作权人与不特定公众之间订立的格式合同。传统的开源许可证(如GPL、MIT、Apache2.0)的核心诉求是“知识产权的让渡与免责”,其重要原则之一是“不歧视使用者、不歧视使用领域”。这意味着,真正的开源软件必须允许被用于任何合法甚至存在争议的目的。随着生成式AI展现出强大的双重用途风险(如生成虚假信息、指导生化武器制造等),各大AI研发机构为了规避潜在的侵权责任和伦理风险,开始在许可证中植入“行为约束”条款。与此同时,面对庞大的研发成本,科技巨头也开始加入“商业限制条款”,如规定月活用户超过一定阈值的企业使用其开源模型必须另行付费申请商业授权。这种演变引发了激烈的学术与行业争论。支持者认为,在各国和地区AI立法尚未成熟的阶段,通过许可证进行“私人监管”是防范AI滥用最敏捷、最有效的防线。反对者则严厉批评这是一种“开源洗白”行为。他们认为,将道德和商业门槛写入许可证,破坏了开源生态最核心的自由与开放精神;安全与伦理底线应当由国家的公权力通过正式法律(如刑法、行政法)来划定,而非由几家科技寡头通过私权性质的许可证来垄断裁判权。
陈兵:如今,许可证已经从授权工具演化为兼具行为约束与秩序塑造功能的“制度基础设施”,其在开源治理中的地位远超传统合同范畴。
从功能维度审视,许可证承担着开源社区的行为约束功能。开源社区是去中心化、成员身份流动、利益诉求多元的分布式协作网络,在这种弱组织化环境中,许可证成为维系社区秩序的规范来源。一是义务设定功能。许可证通过具体条款明确使用者的行为边界:是否允许商业使用、修改后是否必须公开、衍生作品是否须采用相同许可等。二是权利界定功能。许可证不仅授予权利,更划定权利边界。
从结构维度审视,许可证承担着开源生态的秩序塑造功能。其一,降低交易成本。如果没有标准化的许可证体系,每个开源项目都需要单独谈判授权条款,这将使大规模分布式协作陷入不可承受的交易成本泥潭。MIT、GPL、Apache等标准许可证的出现,使开发者无须逐案磋商即可清晰知晓权利义务,极大地促进了代码的流通与复用。其二,构建信任机制。开源协作的前提是参与者对代码来源、使用限制、后续权利的确定性预期。许可证通过公开、透明的条款设计,使这种预期得以稳定形成。当开发者选择使用GPL代码时,他可以确信后续接收者同样会受到开源义务的约束,从而放心地将自己的工作建立在前人成果之上。其三,规范生态演化。许可证的选择本身就传递了项目的治理理念与协作模式,在规范中推进创新,引导创新的生态系统不断形成,进而持续激励创新。
然而,承认许可证的行为约束与秩序塑造功能,并不意味着现有许可证体系足以应对新时代的挑战。
第一,许可证的客体覆盖范围存在显著盲区。人工智能开源的核心客体——模型权重——与源代码存在本质差异,导致许可证的关键概念难以直接适用。例如,“完整对应源代码”是GPL许可证的核心要求,意在确保接收者能够修改程序并将其重新编译为可执行版本。但对于模型权重而言,何谓“完整对应”?仅提供权重矩阵是否足够?是否需要同时提供训练代码、数据预处理脚本、超参数配置乃至训练数据集?
第二,许可证的执行机制面临困境。传统许可证的执行依赖于版权侵权诉讼:使用者违反许可证条款,有可能构成版权侵权;在难以准确确权的情势下,也可以通过违反合同条款,或者违反诚信原则或公认的商业道德等不正当竞争条款来予以救济。这一机制的前提假设是被许可的客体受版权法、合同法或者反不正当竞争法的保护。然而,模型权重是否具备版权法要求的独创性尚存争议。若权重不被认定为作品,则许可证将丧失版权法上的效力基础,权利人只能依据合同法主张违约救济,而合同法在管辖范围、救济方式、第三人效力等方面均与版权法存在显著差距。即便选择合同法救济,更棘手的是:人工智能开源的传播链条高度复杂,一个模型可能经由多次微调、嵌入不同应用,合同条款的确定性和相对性也难以得到确证。权利人追查违规使用的成本极高,传统的事后诉讼模式难以有效应对规模化违约行为。如果选择反不正当竞争法予以救济,也面临着算法黑箱困境。模型在本质上也是一种算法,输入与输出之间难以一一映射,一因多果和多因一果均有可能。行为与结果之间的直接或间接因果关系的判断,在模型开源场景下,传统的法律因果关系认定方式基本失灵,结构性分析模式同样难以适用,更多倾向于整体性的概括判断。这对现行反不正当竞争法的适用带来了极大挑战,因为至少无法准确判断损害的程度,以及应当给予的适当救济措施。此外,在参数调校与验证方面,也很难取证固证,现有的证据规则难以适用。
第三,许可证与商业模式的互动关系日趋复杂。许可证不仅是授权工具,更是商业竞争的战略性资产。部分企业可能策略性地利用许可证:初期以宽松许可证培育开发者生态,待市场地位稳固后通过许可证变更或功能边界调整实现“锁定效应”。例如,HashiCorp将Terraform从Mozilla公共许可证(Mozilla Public License,简称MPL)变更为商业源代码许可证(Business Source License,简称BSL),实质上限制了云服务商提供竞争性托管服务的权利。这种许可证的事后变更是否符合开源定义?现有许可证体系缺乏对这类行为的约束机制,需要在反垄断法层面予以回应。
孙海龙:开源许可证在开源治理中处于基础性、前提性地位,是优化开源生态的制度根基。没有许可证明确各方权利义务,开源的开放、共享、协作便失去法律依托,社区治理与商业应用也会陷入无序状态。它从根本上定义了开源生态中权利流转、行为约束、秩序塑造与风险防范的基本框架,是连接开发者、使用者、企业与社区的核心规则载体。
立足这一制度根基,开源许可证已全面承担起权利授予、行为约束、秩序塑造、风险防控四大核心治理功能。其一,许可证是权利流转的根本依据。作为格式合同,它将知识产权人的权利有条件授予使用者,用户下载、安装、使用行为即构成承诺,形成合法有效的许可法律关系。其二,许可证是行为约束的刚性工具。其法律性质通常被认定为附解除条件的合同,使用者违反许可证载明的义务将直接导致授权终止,后续使用行为构成侵权,从而形成强有力的行为约束。其三,许可证是生态秩序的塑造杠杆。通过“传染性”条款与分类授权机制,它构建起持续共享或商业兼容的不同生态秩序,司法实践也已对“传染性”边界作出精细界定,维护开源生态的稳定性。其四,许可证是风险防控的底线规则。许可证明确各方权利义务、规范主体行为,防范因对外披露信息与许可条款不符、擅自修改版权标记等行为产生的合规风险。
在开源生态从自发走向规范、从单一代码走向多元要素的过程中,尽管许可证已在上述维度发挥了重要作用,但面对新技术架构、新应用场景与新商业模式,现有体系仍存在明显不足,难以完全适配发展需求。一方面,许可证本身存在复杂性与兼容性难题,条款晦涩难懂、不同许可之间冲突频发,现有选择工具无法支撑复杂场景下的合规判断;另一方面,在微服务、容器化、API调用、SaaS模式、AI大模型训练等新场景下,传统许可证出现规则空白,“衍生作品”“分发”等核心概念界定模糊,直接引发司法争议与合规困惑。与此同时,“开源核心+闭源增值”的混合商业模式,容易因条款设计不当导致违反许可证的约定,而过度依赖许可证的契约自治模式,又存在格式条款风险与合同相对性困境,无法满足多元共治的治理需求,必须向章程自治、权利共享与多元协同的治理模式升级。
辜凌云:从既有实践看,许可证在我国的法律性质与地位已逐步明朗。广州知识产权法院在(2019)粤73知民初207号案中首次明确,GPLv3许可证具有“附解除条件的著作权合同”性质——许可条款即版权授权条件,违反条款即授权终止,进而构成著作权侵权。最高人民法院知识产权法庭(2021)最高法知民终51号案进一步指出:开发者自身是否违反GPLv2许可证,与其对第三方是否享有著作权,是两个相互独立的法律问题,违反许可证产生的权利瑕疵不阻却对第三方侵权的救济。这两个判决合起来,为我国确立了开源许可证司法认定的三项核心命题:合同性质、违约即授权终止、违约与侵权二分。北京知识产权法院在(2023)京73民终3802号案中援引反不正当竞争法,认定“直接使用他人AI模型结构和参数构成违反商业道德的不正当竞争”,这反映出司法实务在新客体面前倾向于选择以反不正当竞争法兜底。
其一,许可证的客体适用性问题。传统许可证是为源代码设计的——核心动作是复制、修改、再分发。而AI模型的使用链条是“获取权重、微调推理、部署服务”,传统许可证对模型行为的伦理后果、API调用下的行为追溯、权重微调后的合规传导,几乎没有直接的制度工具。“完整对应源代码”这样的经典GPL要求在权重语境下甚至难以解释。
其二,执行机制对客体可版权性的依赖问题。传统许可证执行依赖版权侵权诉讼的威慑,这要求被许可客体本身受版权法保护。而模型权重是否满足著作权法的独创性要求,在学理与司法上均存在争议。若权重不被认定为作品,则许可证作为版权许可工具的效力基础将受到侵蚀,权利人只能退而求其次地主张合同违约或反不正当竞争救济。陈兵教授对此已有详细分析,二者在管辖范围、救济强度、第三人效力等方面均存在显著差别。
其三,许可证与商业模式互动的新情境问题。许可证正从授权工具演变为商业竞争的战略性资产,HashiCorp等案例已充分展现了这一趋势。与此同时,Hugging Face等平台推动的RAIL(Responsible AI License)、OpenRAIL(Open Responsible AI License)许可体系,则从相反方向尝试在开放授权中嵌入使用限制(如禁止特定有害用途)。OSI以其违背“不歧视使用者、不歧视使用领域”的开源基本原则为由,拒绝将其纳入开源之列。这些实践引出了一个更深层的问题:当AI能力本身可能成为风险源时,“自由即无限制”的传统内核是否需要调整?
基于这些观察,强烈建议许可证体系以“许可证+”的组合方式去扩展,而不是以破坏既有秩序的方式去重建。一方面,应延续既有司法立场,继续充实许可证的合同法基础与违约认定规则;另一方面,应承认权重开放与接口开放在治理需求上的根本不同:对权重开放,可以探索以负责任许可为源头约束、以尽职审查为责任豁免的组合安排;对接口开放,可以引入模型卡、数据声明、能力披露、第三方审计等程序性义务作为许可证的补充,以透明度换取信任。传统许可证仍是不可或缺的制度基石,但也需要在其周围建构新的支撑结构。
张平:许可证是开源社区的“基本法”,知识产权政策则是开源产品的竞争力。这一对判断合起来,界定了许可证在开源治理中的双重制度地位:它既是分布式协作网络的规则母体,也是开源项目参与市场竞争的制度工具。开源协作体系与传统科层组织形成鲜明对照——它既没有政府权威作为权力来源,成员资格也依贡献而非契约建立,参与主体还持有高度异质的利益诉求。在这样一种缺乏正式治理架构的协作形态中,许可证所承担的功能并非单一的授权授予,而是将授权、行为约束、秩序塑造、争议解决四项功能集于一身。其制度分量远远超出一份普通授权文件,实为分布式创新生态赖以维系的根本规范。
许可证体系的形成是一个伴随技术形态与商业模式演进而持续分化的历史过程,迄今大致经历了四个阶段。第一阶段以1989年GPL许可证为代表,回应的是“软件能否免于被私有化”这一自由软件运动的核心追问,所采取的制度工具是具有“传染性”的Copyleft条款,要求下游衍生作品继续以同等条款开源;第二阶段以2004年Apache许可证2.0版(Apache 2.0)为代表,回应的是“开源能否与商业共生”的现实需求,所采取的制度安排是在承认版权归属的前提下允许商业闭源使用,并显式处理专利授权问题;第三阶段以2012年Mozilla公共许可证2.0版(MPL 2.0)为代表,回应的是“Copyleft义务能否限缩以避免过度传染”的制度协调问题,所作出的调整是将开源义务限定于被直接修改的单个文件;第四阶段以2007年GNU Affero通用公共许可证(AGPL)及近年来出现的商业源代码许可证、服务器端公共许可证(Server Side Public License,简称SSPL)为代表,回应的是“云服务商搭便车如何规制”的新型利益分配问题,所引入的制度工具是在许可证中设置时限或场景限制。HashiCorp于2023年将Terraform的许可证由MPL 2.0变更为商业源代码许可证,Elastic于2021年将Elasticsearch变更为服务器端公共许可证,Redis于2024年跟进这一策略,均属第四阶段演化的典型案例。
这四代许可证的更迭折射出一个规律性的现象:每当技术形态与商业模式出现能够重塑利益格局的结构性变迁,原有许可证的制度供给不再足以应对,新一代许可证便被创造出来以弥补规范缺口。当前人工智能开源所提出的问题——模型权重的客体属性、训练数据义务的许可证传导、模型输出责任的分配——已经明显超出前四代许可证的回应能力,催生第五代许可证已成为制度演进的必然要求。Hugging Face等平台推出的RAIL、OpenRAIL,试图在传统开源授权基础上增设禁止有害使用场景等约束性条款,正是第五代许可制度的早期探索。该类许可规则与OSI一贯恪守的“不歧视使用者、不歧视使用领域”原则之间存在张力,不宜简单视为正统与异端之争,而应理解为开源在人工智能时代面临价值内核重估的必要信号——当技术能力本身可能构成风险源时,“自由即无限制”作为开源伦理前提的正当性需要被审视与界定。
从司法层面看,许可证的法律效力已在全球主要法域获得确认。2008年Jacobsen v. Katzer案确立开源许可证条款具有“可执行的版权条件”性质,违反许可证所产生的责任不受合同相对性的限制,可直接援引版权侵权的停止侵害与损害赔偿机制。相较而言,我国司法在救济机制的衔接上仍有进一步发展的空间。在基础性判决之外,一批具体规则问题仍在等待回应:单个贡献者能否事后单方撤销其对特定代码的许可?贡献者离职后原雇主能否追溯主张权利?多许可证项目的兼容性冲突如何处理?外国开源许可证的中文译本在我国法院诉讼中是否具有约束力?2023年HashiCorp将Terraform由MPL2.0变更为BSL还引发了一个新议题:社区成员基于旧许可证所作出的贡献,能否被项目主导者单方面转换至新许可证之下?该问题在美国已催生OpenTofu分叉诉讼的持续讨论,我国尚无相应案例与规则。
面对这些结构性挑战,许可证体系的未来演进方向应当遵循“层累补充”而非“推倒重来”的制度原则,在传统许可证基础上叠加三层配套机制。其一,合规披露义务。要求模型发布者以标准化的模型卡与数据声明,保障数据来源合法性,将合规信息显性化。其二,尽职审查抗辩机制。对已履行合理审查义务的贡献者,在下游出现违规时提供责任豁免空间,避免其因承担过度风险而被抑制。其三,争议解决通道。由开放原子开源基金会等本土机构牵头建立开源许可证纠纷的调解或仲裁机制,弥补诉讼在成本与时效上的不足。三者与传统许可证相结合,方能使开源秩序在技术变迁中持续稳固运行。
杜微科:在专利、软件著作权等不同的知识产权领域,开源引发了哪些新的问题?知识产权的“排他”如何与“开源”的开放和共享进行兼容,相关权利边界如何划分才能更好地实现权利保护与公共利益兼得?在开源生态的构建和发展中,知识产权制度应当发挥怎样的作用?
王鑫:开源生态繁荣的背后,是对传统知识产权制度的系统性挑战与压力测试。AI模型的开源,实际上建立在对海量互联网非开源数据的吸收之上。开发者未经授权抓取受版权保护的作品用于模型训练,是否构成侵权?欧盟通过《数字单一市场版权指令》引入了文本和数据挖掘的例外条款,美国则试图将其纳入“合理使用”(Fair Use)的抗辩框架。我国目前采取更为审慎的立法立场,主要依托既有法律框架进行个案裁量。与此同时,开源模型若使用了受污染的数据,将导致整个下游生态面临侵权诉讼的系统性风险。
除却训练数据层面的著作权争议,AI生成成果的权利归属同样面临法理难题。利用开源模型生成的代码或艺术作品是否享有著作权?当前全球主流的法理倾向是,“人类作者身份”不可或缺。这也使得开源生态中产生的大量AI辅助代码,陷入公有领域与私有产权的模糊地带。
著作权之外,开源领域的专利规则同样存在矛盾。尽管许多现代开源许可证包含了显式的专利授权与专利报复条款,如果使用者对开源项目发起专利诉讼,其获得的授权将被终止。但在AI芯片底层指令集、复杂算法框架等核心领域,大型科技公司依然通过密集布局专利池,构建起技术壁垒。开源社区出于风险防护需要,不得不组建类似于OIN(Open Invention Network)的专利防御共享网络,由此形成开放代码与专利保护相互割裂的现实格局。
孙海龙:开源运动从诞生之初就与知识产权制度形成特殊关系:它在理念上反思传统知识产权的过度垄断,在实践中又必须依靠知识产权搭建规则体系。这种“批判性依赖”关系,使得开源在版权、专利、商标保护中引发一系列新问题,同时也要求我们进一步厘清开放与保护的边界,明确知识产权在开源生态中的制度功能。
第一,开源在版权、专利、商标三大知识产权领域均引发系列争议与现实风险。在版权领域,问题最为突出:一是开源软件作品定性与权利归属模糊,多人分散贡献导致合作作品与独著作品的界定困难,直接影响维权主体资格认定;二是开源许可证的法律性质存在争议——它属于合同、著作权许可还是混合形态,直接决定违规行为的责任定性;三是“开源抗辩”的司法适用标准不统一,同案不同判现象影响规则确定性。在专利领域,开源与专利存在结构性冲突:专利权保护的是技术方案而非代码表达,独立开发仍可能落入专利保护范围,造成“无意侵权”;专利以“公开换保护”但不要求公开源代码,与开源代码透明相悖,导致开源项目难以规避“未知专利风险”。在商标领域,开源软件可自由修改、分发的特性,与商标法质量控制要求相冲突,容易造成商标滥用与淡化,且贡献者与商标使用权相互分离,侵权风险高发。
第二,划定开源场景下知识产权开放利用与制度保护的边界,必须坚守利益平衡这一核心原则。知识产权制度的本质是激励创新与促进利用的平衡,开源正是这一平衡精神的另类实践——它反对的是权利过度垄断,而非知识产权制度本身。在具体边界划定上:版权层面,应强化署名权等人身权利保护,通过许可证灵活调整复制、修改、分发等财产权范围;专利层面,应探索建立开源防御性专利池,采用公平、合理、无歧视(Fair, Reasonable and Non-Discriminatory,简称FRAND)原则开展专利许可;商标层面,应在坚守核心质量标准与社区监督的前提下,允许规范使用并制定清晰的使用指南。总体而言,知识产权保护不是开放利用源代码的障碍,而是保障开放有序、安全、可持续的创新“护航者”。
第三,在开源生态中,知识产权制度应当承担基础保障、规则塑造、创新激励这三重核心功能。其一,基础保障功能。开源主要依托版权制度而存在,没有知识产权提供的初始权利基础,许可证治理便无从谈起。其二,规则塑造与合规指引功能。知识产权立法与司法实践持续塑造开源社区规则,为主体提供清晰的行为指引,帮助识别与防控代码复用、集成等环节的知识产权风险。其三,创新激励与利益平衡功能。知识产权不仅是排他性制度工具,更要促进知识的高效流通,在私人权益、社区共享与公共利益之间实现动态平衡,保障贡献者获得合理激励,支撑开源创新的可持续发展。
辜凌云:知识产权是开源的“护航者”,这意味着知识产权制度不应成为开放的对立面,而应成为开放的制度保障。理解这一点的关键,在于看清开源涉及的知识产权难题在版权、专利、商标三个维度上的具体形态。
版权层面,最突出的是权属归集与保护路径的双重困境。大型开源项目汇聚千万贡献者的代码片段,“创作即享有”的传统规则难以独立处理权属问题。贡献者许可协议(Contributor License Agreement,简称CLA)与开发者原创证书(Developer Certificate of Origin,简称DCO)机制,本质上是以意定安排弥补公法空缺,但这种意定的法律效力在我国仍需通过司法检验才能稳固。更棘手的是AI模型的保护路径选择:模型本身并非软件,难以直接受著作权法保护;专利法仅对特定场景下的算法部分要素进行有限保护;商业秘密更难以适用于开源场景;而反不正当竞争法则成为最具弹性的保护工具。这四条路径各有局限,以反不正当竞争法兜底的规范格局,本身就是现行制度在新客体面前力有不逮的直接表征。
专利层面,主要矛盾在于专利互不主张机制的效力边界。相关承诺的法律效力,如职务发明的约束力、权利转让后的延续性等问题,至今缺乏清晰的司法答案。与此同时,特斯拉开放电动车专利、华为捐赠欧拉与鸿蒙等“逆向回转授权”实践,推动专利与开源的关系从对抗走向兼容,但相应的制度供给仍显滞后。
商标层面,开源项目的名称与标识归属常被低估。Meta Llama、Google Android 等主流项目均设置严格的商标使用政策,即使代码完全开放,商标权仍可用于维护项目的来源识别与质量控制功能。但我国当下仍面临两个具体问题:项目商标通常由发起人注册,项目发展积累的商誉应归属于发起人还是社区?许可证中的商标使用限制条款与商标法规则如何协调?这些问题的答案将直接影响社区激励与贡献者权益的平衡。
基于上述分析,权利边界划定可在功能差异与比例原则的框架下寻求合理平衡。知识产权制度在开源生态中真正应承担的角色,是以有限的确定性换取开放的稳定,使贡献者敢于开放、使用者敢于采用、开发者敢于衍生。
陈兵:知识产权制度在开源生态中的功能定位,应当是赋权与限权的平衡:既通过赋权为开源许可证提供效力基础,又通过权利限制安排为开放利用保留空间。
以开源知识产权核心场域——版权为例,其中的主要问题可归纳为以下三组关系的再平衡。
第一组关系是原作者与后续贡献者之间的权利分配。传统版权法遵循“创作即享有”原则,每个贡献者对其创作的部分享有独立的著作权。但在开源协作中,代码往往经历无数次修改、重构与合并,在缺乏完备贡献者协议和治理结构的项目中,贡献者的身份难以追溯,各自贡献的边界模糊不清。这带来了两个层面的法律风险:一方面,如果某个贡献者事后主张其贡献的代码被不当使用,整个项目的合法性将受到质疑;另一方面,当项目需要整体变更许可证时,较高的同意成本成为其操作障碍。
第二组关系是开源代码与闭源衍生代码之间的边界划定。许可证条款要求衍生作品须同样开源,但衍生作品的认定标准并不清晰:动态链接是否构成衍生?聚合体与衍生作品如何区分?这些问题的答案直接决定了企业能否在开源基础之上开发闭源商业产品。
第三组关系是开源贡献者与被许可人之间的权利义务平衡。许可证既是权利授予书,也是义务设定书。但贡献者往往对下游使用者的实际行为缺乏监督能力,权利被过度使用、义务被忽视,最终损害开源生态的可持续性。
在上述问题的基础上,需要进一步追问:相关权利应如何在开放利用与制度保护之间划定边界?建议遵循功能区分与比例原则双重标准。
所谓功能区分,是指不同类型知识产权在开源生态中发挥的功能不同,应当适用差异化的保护强度。著作权保护的是表达形式而非思想功能,对开源代码的保护不应妨碍对其中蕴含的技术思想的自由使用;专利权保护的是技术方案,但若专利权覆盖的技术方案已成为标准必要专利,则可能触发强制许可或FRAND承诺义务;商标权保护的是来源识别功能,商标使用限制不应不合理地阻碍下游开发者描述其产品与开源项目之间的技术关系。
所谓比例原则,是指权利保护的范围与强度,应与开源模式对排他权的依赖程度相匹配。权利人主动将代码开源的,应当视为其自愿放弃了部分排他权,不应再依据这些权利对使用者施加超出许可证约定的限制。
张平:讨论开源对知识产权制度所带来的挑战,不宜陷入权利类型的机械枚举,而应当回到著作权法的三项基础教义——独创性、合理使用、避风港——着重考察它们在人工智能时代遭遇的结构性挑战,并以此为基点重新审视知识产权制度在开源生态中的功能定位。
独创性作为著作权保护的门槛条件,其内涵自1991年美国联邦最高法院 Feist Publications v. Rural Telephone Service案确立“最低限度创造性”标准起,已成为国际通行的判断基准。该案明确否定了“辛勤搜集”原则,宣示仅凭时间与金钱的投入不足以获得著作权保护,作品须体现创造性的选择或编排。这一标准其后被《伯尔尼公约》、TRIPS协定广泛吸收。在人工智能开源语境下,独创性问题在两个层面同时呈现:在训练数据层面,被用于训练的作品本身仍具有独创性,其版权不因被纳入机器学习流程而消灭;在模型输出层面,生成内容是否构成独创性作品须作个案判断——前述北京互联网法院的判决即这一路径的典型司法表达:判决关注的并非“人工智能是否具有作者身份”这一在学理上难以得解的问题,而是“自然人是否在提示词设计、参数调整、结果筛选中投入了实质性的智力劳动”这一教义学问题。真正复杂的是模型权重层面。权重作为训练过程中根据损失函数自动形成的统计参数,其形成并无自然人直接参与独创性劳动,以独创性为门槛的著作权保护路径因此面临根本困难。这一教义学困境决定了模型权重的保护必须另辟路径:或通过反不正当竞争法过渡性填补,或通过专门立法新设客体类型。
合理使用作为著作权排他性的内部制衡机制,其传统四要素标准——使用的目的与性质、原作品的性质、使用的数量与实质程度、对原作品潜在市场的影响——至今仍是基本分析框架,但人工智能训练对版权作品的大规模使用,对这一框架的适用性构成前所未有的考验。美国近年来通过司法途径逐案积累判例:在Thomson Reuters v. Ross Intelligence案中,联邦地区法院认定,使用受版权保护的数据库训练人工智能不构成合理使用;Bartz v. Anthropic案已于2025年进入和解阶段,该案凸显了训练数据使用与其来源合法性之间的区分;而NYT v. OpenAI等案件尚在推进,这表明美国的相关判例仍在快速演化。欧盟选择的是立法路径:2019年《数字单一市场版权指令》第3条为科研目的设立了文本与数据挖掘的强制例外,第4条为一般性文本与数据挖掘设立例外但允许权利人以机器可读方式声明保留;后来欧盟《人工智能法案》进一步明确引用前述第4条作为人工智能训练数据的法律基础。日本则在2018年修订著作权法时采取更为宽松的立场,允许以“非享受性使用”为目的的作品使用,为机器学习提供了较宽的合规通道。三种路径各有其制度逻辑——美国依赖判例积累,欧盟采行法定例外配合权利保留机制,日本走向宽容例外。我国《著作权法》第24条采取封闭式列举,12项例外均未涵盖机器学习情形。这一立法留白短期内可通过司法解释填补,中长期则需在下一轮著作权法修订中设置专门条款。借鉴欧盟“法定例外加权利保留”的折中路径,既保障科研与产业发展的基本需要,又为权利人留出行使选择的空间,不失为一种可考虑的方向。
“避风港”规则所处理的是网络服务提供者的责任边界。1998年美国《数字千年版权法》第512条所确立的“通知—删除”规则,支撑了此后二十余年互联网平台生态的运转,其基本逻辑是在服务提供者与权利人之间建立起一种“事后触发式”的责任分配机制。开源平台如GitHub、Gitee、Hugging Face 等,与传统互联网平台共享“用户上传内容承载者”的基本属性,但其特殊性在于开源项目的高度依赖性:一个包含侵权代码或权利瑕疵内容的项目,可能被数以千计的下游项目所引用,简单的“删除上游”操作将触发大面积下游断链,形成超出原侵权行为范围的连带损害。传统“避风港”规则在开源场景下的适用方式,需要结合项目依赖结构作实质性调整,不宜直接套用。
除上述三项基础教义外,开源还催生了若干新型权利义务关系,亟待规则回应。贡献者许可协议与开发者原创证书是开源社区自发形成的权属管理工具,其在我国法律框架下的性质——究竟属于合同、单方允诺还是其他——尚无明确司法定性。开源项目的商标归属同样缺乏规则:商标多由发起人注册,而商誉则由社区共同积累,二者在项目社区化之后的归属关系,需要专门规则加以明晰。这些议题共同指向一个方向:著作权法、商标法、反不正当竞争法等既有权利体系,在开源生态中需要协同演化,方能维持对新型权利义务关系的规范能力。
知识产权制度在开源生态中的功能定位,可归结为“以有限的确定性支撑开放的稳定性”。它既不应成为开放的障碍,亦不应被“开源”这一标签所架空。立法者需在四个维度上守住制度底线:保护创作者的基本利益,支持公有领域的合理扩展,维护市场竞争的基础秩序,及时回应新兴客体的规则供给。这四个维度协同推进,知识产权制度才能在开源时代继续发挥创新基础设施的制度功能。
杜微科:开源在促进开放合作的同时,也可能伴随平台控制、技术路径依赖、生态锁定,以及由此引发的市场支配地位与排除、限制竞争等问题。面对这些隐忧,法律治理应当如何回应?
王鑫:人们往往将开源与反垄断划上等号,认为开源天然促进竞争。然而,在当前的平台经济与算力集中背景下,开源正在催生新型的市场竞争与垄断问题。科技巨头将投入数千万美元训练的基础大模型开源,其目的可能出于公益,但客观上对商业模型公司的盈利基础形成压力。与此同时,巨头通过开源吸引全球数百万开发者基于其特定框架(如CUDA生态)和特定API接口进行开发,形成极其庞大的网络效应。一旦开发者习惯了这套生态,高昂的迁移成本将导致严重的技术路径依赖与生态锁定。部分平台可能打着开源的旗号,吸引社区贡献者免费贡献代码,在吸收了大量创新思路和外围代码后,将其核心的高级功能、企业级服务或算力调度通道予以闭源收费。这种“开源洗白”行为,实际上利用了开发者的群体智慧,最终却将社区引向了单一厂商的市场支配地位。
面对这种隐形的垄断风险,传统的反垄断分析工具(如相关市场界定、价格垄断等)显得力不从心。反垄断法与反不正当竞争法的介入应当更加精细化:重点审查大企业是否滥用其开源生态主导地位拒绝提供兼容性API,是否在云服务捆绑中实施排他性限制,以及是否通过设置隐蔽的许可证商业门槛来打压潜在竞争对手。
陈兵:随着开源从边缘的技术分享运动演进为主流的产业协作范式,其在运行过程中也暴露出新型竞争风险。
一是开源生态中的“守门人”风险。随着开源项目的成长,少数关键项目逐渐演化为整个数字基础设施的核心组件,其项目治理机构实际上掌握了影响下游产业创新的“守门人”权力。这种权力可能被滥用于排斥竞争对手:主导企业通过在技术委员会中占据多数席位,推动采纳仅适配自身硬件架构的技术标准,系统性地抬高其他厂商的适配成本;或者通过控制代码合并权限,无故拒绝竞争对手的合理贡献,使其被迫保持技术落后;或者在许可证层面设置不对称条款,给予关联企业更优待遇。特别是,某些具有市场力量的硬件厂商作为开源生态的直接受益者,在零成本获取开源代码并实现商业盈利后,不仅未能遵循开源生态“共享、协作、互利”的核心准则,反而滥用自身优势地位,通过设置安装拦截、限制上架等行为,侵害了为开源生态作出实际贡献的软件开发者的合法权益,严重打击了开发者的投入意愿,削弱了整个生态的创新活力与多样性。
二是“先开源后闭源”的路径转换风险。部分企业在市场培育初期采取开源策略,以降低技术门槛、吸引开发者、快速积累用户基础;待网络效应形成、转换成本高企后,策略性地收紧许可条件,甚至全面转向闭源。企业利用开源阶段建立的生态优势,在后续阶段通过限缩开放程度攫取超额市场利益,前期开源积累的生态优势由此转化为闭源阶段的竞争壁垒。
三是开源协议作为协同行为载体的风险。开源社区天然具有协调性特征,开发者围绕共同的技术路线开展协作,在邮件列表、技术会议等场景中频繁沟通。这种协调在促进技术创新的同时,也可能成为竞争者之间交换敏感信息、实施隐性合谋的载体。
一是反垄断法的直接适用。当开源项目治理机构或主导企业的行为产生排除、限制竞争的实际效果时,应当依据《反垄断法》进行审查。对于“守门人”行为,可依据滥用市场支配地位条款予以规制,关键在于界定开源项目治理权是否构成独立的市场或必需设施;对于路径转换行为,需审查转换时点是否具备市场支配地位、转换行为是否缺乏正当理由、是否产生排他性效果;对于协同行为,可依据垄断协议条款进行查处,关键在于将技术协调与商业合谋加以区分。
二是反不正当竞争法的补充适用。对于尚未达到垄断程度但仍有损公平竞争的行为,可依据《反不正当竞争法》进行规制。例如,利用开源社区治理权对竞争者实施差别待遇、借助许可证条款进行不合理的交易限制等,可依据“互联网专条”或一般条款进行审查。相较于反垄断法的高门槛,反不正当竞争法提供了更为灵活、低门槛的救济路径,在开源场景下具有独特的制度优势。
三是竞争倡导与软法治理。建议反垄断执法机构研究制定开源协作反垄断合规指引,明确高危行为的类型与合规边界,为企业提供可预期的行为指南。同时,鼓励开源社区建立开放、透明、无歧视的治理章程,通过程序性约束防范“守门人”风险。
辜凌云:开源天然具有促进竞争的基因——降低进入门槛、打破技术壁垒、扩大参与主体。但这并不等于它能够自动免疫于反竞争风险。在人工智能时代,开源反而可能以更隐蔽的方式塑造新型竞争障碍。以下三类风险值得法律治理重点关注。
第一类是技术治理权的集中化。开源项目技术委员会席位、代码合并权、标准制定权的分配,实质上构成了一种准监管权力。这就是开源生态中的“守门人”风险。我国学界对此已有明确关注:开源虽可打破封闭模型的垄断,但仍受制于“关键生产要素控制—分发渠道路径依赖—生态集中化”这三重限制,建议反垄断行为识别应从“价格导向”转向“生态导向”。
第二类是开源模式的战略性转换风险。这类风险在实践中主要表现为两种形态:一是“先开源后闭源”,既有前期积累的生态惯性作为抵押,也有后期限缩的超额利润作为目标;二是“先开源后限用”,通过许可证变更实质性限制特定竞争者的使用空间。这类战略性转换难以被传统反垄断分析直接覆盖——转换时点可能尚未形成支配地位,转换行为可能被“商业可持续性”等理由所包装。这需要反垄断法在此类情形中发展出更精细的识别工具。
第三类是权重开放与接口开放的差异化锁定风险。两种开源模式各自面对不同的竞争问题。权重开放看似最为彻底,但其“不可逆扩散”特性也使“生态俘获”成为可能:通过大规模免费权重发布打开下游生态,再通过算力、分发平台、上层应用等互补资源形成新的锁定。DeepSeek等中国模型的开源,在客观上挑战了OpenAI、Google的主导地位,但也提出了“开源模型的反垄断规则能否跨境适用”这一新问题。接口开放则相反——模型能力越强,接口背后的控制权越集中,所谓开放仅停留在使用便利层面,核心能力的审视仍然是闭合的。两种路径对应的治理工具应有区分:权重开放需要防范“生态俘获”,接口开放需要防范黑箱控制。
就法律治理而言,开源的标签不应成为逃避审查的“避风港”,只要行为实质上产生了限制竞争效果,就应当纳入规制范围。反垄断法与反不正当竞争法各有侧重,柔性治理与刚性规制的有机结合,方能在开源场景下真正奏效。
孙海龙:开源以开放、协作、普惠为核心价值,极大释放了创新活力,但在资本介入、平台主导、商业理性的现实逻辑下,开源完全可能异化并引发新型市场竞争问题。在开放合作与平台控制并存的格局下,技术依赖、生态锁定、市场支配地位滥用等风险会层层传导、相互强化,亟须法律治理精准介入、有效规制。
第一,开源模式在实践中异化出三类典型的新型市场竞争问题。除了王鑫研究员所分析的“开源洗白”行为之外,还有以下两类:首先是零价格掩护下的跨市场排挤行为。开源基础软件以零价格提供,突破了传统反垄断的分析框架,大型科技企业通过补贴开源项目实施掠夺性定价,在挤压竞争对手之后,于云服务、硬件、API等相邻市场获取垄断收益,形成“免费底层+收费顶层”的闭环壁垒。其次是协同限制竞争行为。少数巨头主导开源基金会与技术标准制定,通过技术规范、接口设计将中小主体排除出主流生态,形成形式开放、实质封闭的排他性格局。
第二,开放合作与平台控制相结合,必然形成技术依赖、生态锁定、市场支配地位滥用这三大传导式风险。其一,技术依赖。在商业开源模式下,核心代码版权被主导企业垄断,代码分发的制衡机制失效;我国关键基础设施对国外开源项目高度依赖,在核心技术上面临一定外部约束,同时企业转换技术生态的成本极高,自主创新动力被抑制。其二,生态锁定。底层代码开放并不代表生态开放,平台通过反碎片化协议、接口控制、互补品搭售等手段,将开发者、厂商、用户锁定在单一技术体系内,形成封闭生态。其三,市场支配地位滥用。平台兼具生态规则制定者与市场竞争者的双重身份,实施杀熟并购、擅自终止API访问、自我优待、拒绝交易等行为,依托底层支配地位挤压竞争对手,构成典型的滥用行为。
第三,面对开源生态中隐蔽的竞争风险,法律治理必须穿透形式、协同规则、精准规制,构建适配数字时代的治理体系。一是完善相关市场界定规则。针对开源零价格特征,采用质量下降测试,考量跨边网络效应,必要时减轻原告在市场界定上的举证责任。二是重构必需设施理论的适用规则。适度放宽认定标准,将核心算法接口、数据、基础设施纳入规制范围,严厉打击拒绝交易行为。三是强化经营者集中的实质控制力审查。突破营业额申报门槛,重点审查生态控制力、核心版权与社区资源的控制权,防范杀熟并购。四是建立生成式AI的实质开源认定标准。拒绝形式化的伪开源,遏制对公共创新资源的不当攫取。通过知识产权法、反垄断法、反不正当竞争法的协同发力,实现开放创新与公平竞争的有机统一。
张平:开源与市场竞争的关系是一个容易被简化处理的议题。主流讨论倾向于将开源视为打破垄断、降低进入门槛的天然力量,从而忽略了它在新型市场结构中可能形成的新型竞争风险。更具分析价值的进路,是将开源与竞争法中的传统议题——包括专利联盟、标准必要专利、FRAND承诺——置于同一观察视野内,考察其在人工智能产业结构下可能产生的交叉与张力。
专利联盟自20世纪90年代起在全球范围内持续运作,以MPEG-LA、Via Licensing等为代表,其基本模式是将分散于多家企业的标准必要专利集中授权,并以统一费率对外许可。反垄断机构对此类联盟的审查所确立的核心标准有三:专利的必要性、费率的非歧视性、整体安排的合理性。开源项目在功能形态上与专利联盟具有可比性——参与者将其持有的专利以默示或明示方式许可给所有使用该项目的主体——但二者在关键维度上存在制度差异:开源的许可对象不限定于特定成员范围,许可费率为零,许可期限为永久。这种特殊形态是否应当接受与专利联盟同等标准的反垄断审查,目前尚无明确的规则回应,而这一空白在人工智能基础模型的竞争格局中将日益显现其规范意义。
标准必要专利与开源的关系更为复杂。当开源项目采纳了标准必要专利所覆盖的技术时,原有FRAND承诺的适用性需要重新审视;当一个主导企业既控制着开源项目又持有相关标准必要专利时,其双重身份在反垄断法上的评价同样需要新的分析工具。欧盟在2023年讨论《关于标准必要专利及修订欧盟2007/1001条例》的提案时,已出现将开源项目作为FRAND义务例外情形处理的立法意见,但至今未形成定论。国内在标准必要专利领域已通过华为诉交互数字(IDC)、华为诉三星、诺基亚诉小米等一系列案件积累了较为丰富的司法经验,确立了FRAND承诺的合同性质与违反后果,但这些经验尚未延伸至开源场景。这一空白需要在未来的反垄断执法与司法实践中逐步填补。
市场集中是必须正视的另一维度。开源在制度形态上具有打破垄断的潜能,但在人工智能基础模型这一具体市场中,实际结构远较理论模型复杂。有能力从零训练大型基座模型的企业,在全球范围内屈指可数。这些企业将部分模型以权重开放的形式开源,在获取社区声誉与生态影响力的同时,仍然保持对算力、训练数据、分发渠道等关键互补资源的高度集中控制,由此形成的是一种“表层开源、底层集中”的新型市场结构。传统的反垄断分析工具以价格与市场份额为核心变量,难以有效识别此类结构中的竞争风险,需要引入对互补资源控制力、生态依赖程度、下游切换成本等新要素的综合评估。
反不正当竞争法在这一领域具有独特的补充适用空间。借助许可证条款实施差别待遇、借助社区治理权阻碍竞争者合理贡献、借助开源声誉积累用户之后单方转向闭源等行为,未必达到反垄断法的规制门槛,但可纳入反不正当竞争法的调整范围。目前主要依据《反不正当竞争法》第2条一般条款与第12条“互联网专条”处理,个案判断的成分较大,稳定性不足。若能通过典型案例的积累,将开源场景下的不正当竞争行为予以类型化,将为产业提供更为清晰的合规预期。
综上,法律治理在开源竞争问题上应沿三条路径协同展开。其一,专利联盟与标准必要专利的既有规则,应对照开源场景作出适应性调整,明确FRAND义务与开源许可证的衔接方式。其二,反垄断执法应发展以“生态集中度”为核心的新型评估工具,将互补资源控制纳入审查视野。其三,反不正当竞争法应通过典型案例的积累,形成开源场景下的行为类型化规则,为企业提供可预期的合规边界。单一制度工具不足以应对开源竞争问题的复合性,制度组合才是符合产业实际的治理路径。
杜微科:随着我国人工智能开源模型的跨境使用和国际影响不断增强,开源对现有的技术进出口管理、数据跨境流动与安全治理等提出哪些挑战?如何更好地统筹发展与安全?
王鑫:传统的技术进出口往往是点对点的商业交易,主体明确。但开源发布是一种广播式、去中心化且不可撤回的行为:一旦某项先进的AI模型或核心代码被推送到GitHub等公共平台,瞬间即可被全球任意地点的用户下载。美国试图将开源AI模型纳入其《出口管理条例》(EAR)的管辖范围,但在实际操作中面临巨大的执法困境——无法阻止一个被列入实体清单的机构匿名下载开源权重,也无法在浩如烟海的衍生开源项目中追踪底层技术的流向。这种基于静态实体清单的阻断式监管,难以适应开源的动态网状生态。
AI开源模型跨境流动的特殊性在于,模型权重中潜藏着训练数据的特征。一方面,我国开发者在使用境外开源大模型进行二次开发时,面临模型被预埋后门、植入恶意指令以及隐含特定价值取向等隐蔽的供应链安全风险;另一方面,当我国具有优势的开源项目出海时,如何防范其中蕴含的我国公民隐私数据或核心地理、经济数据被境外势力通过逆向工程还原,构成了《数据安全法》视域下的新型数据出境风险。传统的“数据不出境”策略,必须演变为对“模型权重安全出境”的精细化技术审计。
辜凌云:人工智能开源的跨境传播与传统技术转让在行为结构、可控程度、救济可能三个维度上均存在根本差异,既不能简单套用既有管制框架,也不能听任其处于规则真空。
差异之一是传播行为的不可逆性。传统技术出口以“可识别、可控制”为前提,假设出口方对技术流向保有相当程度的掌控能力。但开源——尤其是权重开放——一旦上传便即时全球可得,GitHub、Hugging Face等境外平台的自动同步机制,使得“从第0秒起技术流向已不可撤回”成为常态。传统管制的“事前审批—事中跟踪—事后追责”链条在此几近失效。
这一事实也深刻影响了主要国家的应对策略。美国2023年10月的行政令(EO14110)将“权重广泛可得的两用基础模型”作为新问题单独提出,责成美国国家电信和信息管理局(National Telecommunications and Information Administration,简称NTIA)进行专题研究。NTIA于2024年7月30日发布的《权重广泛可得的两用基础模型》报告得出了一个审慎的结论:目前证据尚不足以判断对开放权重模型施加限制是必要的,建议采取“监测为主”的策略,通过标准、披露、审计等工具构建风险监测组合,保留未来调整的空间。欧盟《人工智能法案》的处理略有不同——该法第2条第12款对以自由开源许可证发布的AI系统给予了原则性豁免,序言第102条进一步阐明豁免条件为“参数(包括权重)、模型架构信息、模型使用信息公开可得”;但这一豁免不适用于高风险AI系统、禁止用途AI与通用人工智能模型(GPAI),后者依据第53条须提供“训练数据的充分详细摘要”。美欧两种路径并无优劣之分,但共同体现了一个事实:开源跨境治理必须建立在对“不可逆性”的诚实承认之上。
差异之二是客体在多部法律框架下存在定性冲突。开源的跨境流动不仅涉及代码,还涉及模型权重、训练数据集乃至用户交互数据。这些客体在《数据安全法》《个人信息保护法》《数据出境安全评估办法》等框架下,均可能被归入重要数据或个人信息范畴。问题在于,模型权重内化了训练数据的敏感信息,即便原始训练数据并未出境,权重跨境传输也可能构成事实上的数据出境。严守文义解释会使开源贡献者面临过高的合规成本,阻碍我国开发者参与全球协作;完全豁免又可能造成实质性的安全风险。这是规则设计上必须正面回应的两难。
差异之三是规则协调的必要性更强。开源是全球性现象,单边管制难以真正奏效。若我国对开源权重跨境流动加以严格管制,而其他主要司法管辖区不跟进,其实际效果可能仅是“自伤”——我国开发者将被迫在合规和参与之间艰难权衡,而境外模型的全球流动却不受影响。反过来,若国际规则对开源权重采取过严管制,对我国重要开源贡献国与应用市场的地位也会产生直接影响。
基于上述差异,我国的应对路径可从以下几个方向展开。其一,建立分级分类的开源技术出口管制清单。分级应具体到技术能力的可量化指标,如模型参数规模、能力评估分数、危险用途能力等,避免依赖模糊标准。其二,明确AI开源场景下数据出境的豁免条件。对经过严格匿名化处理且无法逆向还原原始数据的权重、非核心领域的开源数据集、已尽到合理数据合规审查义务的贡献者,应适用简化程序或“安全港”规则。其三,区分权重开放与接口开放的跨境规则。在接口开放模式下,服务提供者对访问仍保有控制权,现行数据跨境评估框架基本可以适用。在权重开放模式下,控制权让渡后即不可回收,治理重心必须前移至发布前的能力评估与发布后的监测响应,而非事后追溯。其四,深度参与国际规则制定。我国应在OSI等国际组织、WIPO等多边平台主动设置开源治理议题,并支持开放原子开源基金会等本土机构的国际化进程,推动形成反映发展中国家关切的开源跨境治理共识。
陈兵:我国《技术进出口管理条例》将“技术进出口”界定为“从中华人民共和国境内向境外,或者从境外向中华人民共和国境内,通过贸易、投资或者经济技术合作的方式转移技术的行为”。在开源场景下,开发者将代码上传至GitHub等境外平台的行为,是否构成技术出口?若构成,由于GitHub的自动同步机制,代码上传后即时可供全球访问,开发者是否需要在每次上传前逐次申请出口许可?这显然不具备操作可行性。当前实践中,监管部门采取了一种务实立场:将主动、重大、核心的开源行为纳入监管视野,对一般性开源行为采取备案管理或事后监管。但这种非正式安排缺乏明确的法律依据,给开发者带来了合规不确定性。
从功能视角看,对开源数据集施加过严的出境限制,可能阻碍我国开发者参与全球AI开源协作,反而不利于技术追赶。因此,制度回应需要在安全与开放之间寻求动态平衡。
在分级分类方面,可根据技术的敏感性、开源的主动性与规模性,建立差异化的管制要求:对于基础性、通用性开源技术,采取备案管理模式;对于战略性、前沿性开源技术,实施实质性出口管制,要求开源主体进行安全评估并履行报告义务;对于涉及国家安全的核心技术,原则上不应开源,或在严格可控范围内有限开源。
在国际合作层面,应积极参与G20、OECD等多边平台的规则讨论,同时加强与主要开源项目所在司法辖区的双边执法合作,建立信息共享与联合调查机制,共同应对跨境开源引发的安全风险。
张平:开源跨境传播所提出的核心问题,不应被简化为某一具体规则的修订需求,而应被理解为现行国际知识产权规则体系本身与开源形态之间的结构性张力。这一张力若不在多边与单边层面获得系统回应,开源的跨境治理将长期停留在碎片化的应急处置层面。
现行国际知识产权规则体系自1886年《伯尔尼公约》确立著作权最低保护标准起,经由1994年TRIPS协定、1996年WIPO版权条约与表演录音制品条约、2013年《马拉喀什条约》等一系列多边框架,形成了当代国际知识产权规则的制度支柱。这套体系建立在两个相互支撑的基本前提之上:其一,权利客体能够被清晰识别与归属——作品归属、权利内容、保护范围均须在各缔约国法域内得到可操作的界定;其二,跨境流动发生在可识别的主体之间——出口方与进口方的身份确定,是既有管制框架得以运行的前提。开源形态的兴起对这两个前提都构成了结构性挑战。
就客体识别而言,开源项目由分散在全球的贡献者共同完成,整体作品上的权利归属处于持续流动之中,与《伯尔尼公约》所设想的清晰作者身份存在显著落差。人工智能模型的权重则更为特殊——它既不完全符合《伯尔尼公约》所界定的“作品”构成要件,也不属于TRIPS协定所规范的“计算机程序”范畴。当客体本身无法在既有多边框架下获得清晰分类时,各成员方所承诺的“给予最惠国待遇”“提供有效救济”等具体义务,便失去了操作基础。
就主体识别而言,传统技术转让发生在可识别的出口方与进口方之间,《技术进出口管理条例》的监管框架正是建立在这一前提之上。开源传播则呈现出显著的广播式特征——代码或模型一经上传至GitHub、Hugging Face等全球平台,便即时全球可得,既不存在明确的出口方,也不存在明确的进口方,既有的出口管制逻辑因此面临适用困境。同样的问题也呈现在美国EAR框架与欧盟双用途物项出口管制体系中。
国际社会已经开始回应这一结构性挑战。WIPO自2019年起发起“人工智能与知识产权对线届会议,训练数据的版权边界、人工智能生成内容的权利归属、版权基础设施建设等议题均纳入讨论范围。欧盟《人工智能法案》对开源模型给予有限豁免,但对通用人工智能模型仍要求提供训练数据摘要,在尊重开源制度功能的同时坚持规则管辖。美国NTIA2024年发布的《权重广泛可得的两用基础模型》报告,则建议采取“监测为主”的审慎策略,不立即对开源权重施加强制管制。两种做法在制度逻辑上各有依托——欧盟以其单一市场规模作为规则输出的制度基础,美国以其技术领先地位维持政策弹性——但均不能简单为我国所照搬。我国需要形成与自身产业阶段相适应的第三种路径。
就国内应对而言,制度建设需要在四个层面同步推进。立法层面,《技术进出口管理条例》的修订应为开源设置独立分类,明确备案管理、实质评估与严格限制的三级机制;《数据安全法》《数据出境安全评估办法》应为经严格匿名化处理的模型权重与开源数据集设置“安全港”条款,降低贡献者面临的合规不确定性。司法层面,开源模型跨境传播所涉及的管辖权认定、境外许可证在我国法域内的效力、我国贡献者对境外开源项目的权利义务等问题,需要通过最高人民法院的典型案例与司法解释逐步明晰。行政层面,建议由国家互联网信息办公室会同工业和信息化部联合发布《开源人工智能合规指引》,对贡献者、平台、使用者的义务作分层规定。国际层面,我国应在WIPO人工智能与知识产权议程、WTO数字贸易谈判等关键场域主动提出规则建议,而非仅限于被动回应他方提案;开放原子开源基金会可作为民间渠道,承担与OSI、Apache基金会、Linux基金会等国际机构的对接职能。
需要特别强调的是,开源跨境治理不应停留于“守土防御”的层面。守土在短期内固然必要,但知识产权国际规则百余年的历史经验反复证明,持久的规则话语权来自规则的构建能力,而非规则的抵抗能力。我国已是全球最大的开源应用市场与最重要的贡献来源国之一,这一实力地位应当在规则塑造层面获得相应的制度表达。从被动守土转向主动构建,是我国在新一轮全球开源治理格局中应有的战略站位。
杜微科:新一轮科技革命加速演进,推动经济社会发展深刻变革,未来关于开源的治理应当注意哪些问题?政策规则、技术标准、行业规范与法律制度之间,如何才能更好地紧密衔接,形成更加契合行业发展特点和规律的制度合力?
王鑫:法律不宜过度介入开源社区的具体技术协作,而应聚焦于国家安全、生命伦理和重大侵权等底线问题。在《网络安全法》与生成式人工智能管理立法的框架下,应明确基础开源大模型的“提供者”责任,设立开源项目的“避风港”规则,对遵循安全标准的开源贡献者给予责任豁免。同时,建议由政府主导建立国家级AI开源评估与安全评级中心,并实施分级分类管理机制:对于百亿参数以下的低风险开源模型,实行备案豁免,充分释放市场活力;对于可能引发重大安全风险的超大规模基础模型,推行事前安全性测试。
辜凌云:面向未来的开源治理,应朝着差异化、分层化、协同化三个方向演进,在保持开源自治传统的同时,搭建起其与正式法律制度之间更清晰的桥梁。
差异化指向治理工具的选择。前述讨论贯穿始终的一条主线是:权重开放与接口开放应适用不同的治理工具——这一区分在未来架构中应被明确确立为基础原则。对权重开放,治理重心在源头:事前以负责任许可划定行为边界,以透明度与能力评估建立风险预警,以尽职审查作为责任豁免抗辩。对接口开放,治理重心在过程:以模型卡、数据声明履行程序性披露义务,以对称开放保障竞争秩序,以可追溯性分配使用责任。二者并非非此即彼的替代关系,而是彼此互补的治理组合。
分层化指向规则层次的衔接。正式法律制度承担底线功能,开源许可证的效力认定、垄断行为的识别标准、数据跨境合规要求等基础性制度安排,应通过专门立法或司法解释予以明确规定;政策规则承担引导功能,包括开源产业政策、财政税收支持、人才培养机制等;技术标准承担互操作功能,包括模型开放度分级、安全审计规程、跨项目兼容协议等;行业规范承担日常治理功能,包括社区章程、贡献者守则、争议解决机制等。这四个层面之间应形成自上而下的制度供给与自下而上的实践反馈双向贯通,避免正式法律对实践的滞后与僵化,也避免行业自律对公共价值的忽略。
协同化指向治理主体的分工。政府部门承担规则制定与底线监管职能;开源基金会与社区组织负责日常治理与标准实施;企业作为参与主体履行合规义务与自律承诺;学术界提供理论支撑与政策建议;公众与用户发挥监督与反馈作用。在开源这样一个天然分布式的生态中,任何单一主体主导的治理模式都难以持续。
第一,加快开源专门法律制度供给。当前我国关于开源的规则散见于《著作权法》《反不正当竞争法》《反垄断法》之中,缺乏系统性与针对性。建议在时机成熟时,研究制定专门的开源技术知识产权保护条例,或通过司法解释对许可证效力、贡献者权属、许可证兼容性、违约与侵权适用等基础性问题作出明确规定。同时,修订《技术进出口管理条例》与数据跨境相关规则,为AI开源场景提供清晰的合规指引。
第二,构建开源治理的“安全港”与“监管沙盒”机制。对满足特定条件(如匿名化权重、已尽到尽职审查的贡献者、非敏感领域等)的开源行为,给予“安全港”保护,降低合规不确定性;对合规路径尚不清晰的新型开源模式——如LoRA增量开源、合成数据训练模型的开源、多方协作训练的开源等——允许在监管沙盒中试点,由监管部门全程跟踪评估,形成规范方案后再行推广。这是我国已在金融科技领域验证过的治理智慧,在开源场景同样适用。
第三,支持本土开源基础设施建设。开放原子开源基金会自2020年成立起,已承担起统筹协调国内开源生态的关键角色。未来应推动其在法律治理上承担更多功能,包括开源许可证的本土化适配、贡献者权属登记、标准化合规评估、跨境合作对接等。必要时可探索建立开源软件与模型著作权集体管理组织,为分散贡献者提供集体化的权利保护与维权支持。
第四,积极参与全球开源治理格局重塑。我国既是全球最大的开源应用市场,也是重要的贡献来源国,但在国际规则制定中的话语权尚未与实力相匹配。应加强对国际开源议题的系统性研究,在OSI关于“开源AI”的定义争论、LFAI&Data关于模型开放度分级的讨论、WIPO关于开源知识产权的规则磋商等关键场域主动发声,讲好中国开源实践的故事,增强在全球开源治理中的塑造力。
站在当下前瞻,开源已经从少数极客的技术理想,成长为数字时代的产业基石;站在当下深思,开源治理也正经历一段不可回避的探索期——它既要守护开放的本源价值,又要回应AI时代带来的结构性新挑战。这一探索的成败,不仅关乎我国人工智能产业的发展空间,也关乎我国能否在新一轮科技革命中为全球贡献一种兼具开放性与责任性的治理范式。
陈兵:开源治理应当朝着“多元共治、分层施策、动态调适、开放协同”的方向演进,使政策规则、技术标准、行业规范与正式法律制度形成相互支撑、有机衔接的治理网络。开源生态本身具有跨主体协作、跨场景扩散、跨边界流动的鲜明特征,单纯依赖某一类规则形态,既难以回应技术快速迭代带来的新问题,也难以兼顾创新激励、秩序维护与安全保障等多重目标。
多元共治的核心,在于推动相关部门、行业组织、开源社区、平台企业、科研机构等主体围绕不同治理事项形成职责清晰、协同联动的制度安排。进一步,就分层施策而言,对于社会公共性强的核心开源项目,适用更高的透明度与可持续性要求。这类项目往往构成数字基础设施的重要组成部分,具有影响范围广、依赖程度深、替代成本高的特点,一旦在代码供应、治理机制、维护能力或安全响应方面出现问题,相关风险极易扩散,进而影响产业上下游与社会公共利益。对于市场化商业性强的开源项目,侧重合同自治与市场竞争机制,尊重经营主体围绕商业模式、服务供给和生态建设所形成的差异化安排,通过知识产权保护、竞争法规制和消费者保护等规则进行保障。对于涉及国家安全与重大公共利益的开源技术,实施必要的事前审查与事中事后监管,尤其是在数据跨境、敏感场景、基础设施等应用中,应当形成更具针对性的风险应对机制,使开放发展与安全可控之间保持平衡。
就动态调适而言,应通过授权执法机构制定指引、鼓励行业组织发布优秀实践案例、建立试点与评估机制等方式,实现规则的持续更新与优化,避免制度供给与治理需求之间的时滞与错配。开源技术的发展逻辑决定了其治理对象并非静止不变,源代码开放、接口开放、混合许可等新形态不断出现,传统规则中的既有概念、既有分类和既有救济路径在新场景下都可能面临适用张力。如果治理体系过度依赖单一立法或解释,往往难以及时回应实践中的复杂问题,也容易在规则供给与产业发展之间形成明显落差。动态调适的价值在于通过柔性规范、行业标准和典型案例等多种形式,逐步积累治理经验,在实践基础上推动成熟规则上升为更具普遍约束力的制度安排。
政策规则、技术标准、行业规范与法律制度的衔接,应当形成金字塔式的分层结构。法律制度位于金字塔底部,承担底线规制功能,确立基本原则与红线标准,解决“能不能做”的问题,即有关开源技术和生态的基础性制度安排应通过正式立法或司法解释予以明确。政策规则位于顶部,承担方向引导与激励约束功能;技术标准位于腰部(具体操作层),承担开源技术与生态在实际运行中的技术开发、创新应用及其功能实现的规范保障功能;行业规范位于下部(软法引导层),承担行业规范治理的柔性约束功能。四个层面有机衔接,形成软硬结合、刚柔并济的治理合力。
孙海龙:随着开源从软件走向AI、从社区走向全球、从技术协作上升为国家战略,开源治理也必须同步演进。其核心方向是从单一许可证自治,转向适配技术、多元协同、内外兼顾的现代化治理体系,同时实现政策、标准、行业规范与法律制度的高效衔接。在此基础上,我国应构建兼具自主性、国际性与前瞻性的开源治理“中国方案”。
第一,开源治理必须紧跟技术与生态发展。其一,治理对象从单一代码扩展至模型、数据、权重、工具链等全要素,针对不同属性要素建立分类治理规则;其二,治理结构从开发者自治升级为多方协同共治,形成基金会主导、企业参与、社区协同、政府引导、司法保障的稳定格局;其三,治理重点从单一创新激励转向创新发展与安全可控并重,强化供应链安全、漏洞防控、数据合规等安全维度;其四,治理规则从单一许可证拓展为多层规则体系,实现政策、标准、规范、法律的有机协同;其五,治理格局从单边本土治理转向全球开放与自主可控平衡,在融入全球生态的同时保障供应链安全与技术自主。
第二,实现有效治理的关键,是推动政策规则、技术标准、行业规范与正式法律制度的功能互补与高效衔接。国家政策负责顶层设计、战略引领与资源配置,应将开源纳入国家创新体系,提供财政、税收、人才等支持;技术标准负责统一接口、规范流程,推广软件物料清单(SBOM)等制度,实现规范化与国际接轨;行业规范由基金会、行业协会制定,发挥自律约束作用,填补法律与政策的衔接空隙;法律制度提供底线保障与强制救济,明确新型权益属性、责任边界与裁判规则。在运行中,司法应发挥价值引导作用,平衡各方权益、规范竞争秩序,为政策落地、标准执行、行业自律提供法治保障。
第三,我国应立足超大市场规模与开发者规模优势,构建更具前瞻性和可操作性的开源治理方案。其一,完善顶层战略设计,制定系统性的国家开源创新战略,建立中央层面协调机制,强化制度供给与政策合力;其二,健全规则衔接体系,明确开源全要素的知识产权属性,优化木兰开源许可证(Mulan),提升兼容性与国际认可度,完善数据、模型、训练等关键环节的规则;其三,夯实自主生态根基,支持本土开源基金会高质量发展,建设自主可控的代码托管平台,建立漏洞预警与风险防控机制,培育复合型开源人才;其四,深度参与全球治理,推动中国专家、中国规则、中国理念进入国际开源组织,推广包容普惠、安全开放的治理模式。最终形成既符合中国国情、又引领全球趋势,既充满创新活力、又安全自主可控的开源治理体系,为全球开源治理贡献中国智慧,为新质生产力培育与数字中国建设提供坚实支撑。
张平:面向未来,开源治理在顶层设计层面首先需要回应一个具有战略意义的立法选择问题:是以体系化立法的路径整体规制人工智能及其开源形态,还是以灵活适配的多层次立法体系分阶段回应具体问题?答案应当是后者。这一判断不是基于立法效率的技术性考虑,而是基于对人工智能技术特殊性与治理规律的根本认识。
人工智能技术迭代迅速,应用场景高度异质,不同领域的风险等级与治理需求差异显著。体系化立法的制度优势在于稳定性与整体性,但这两项优势在高速演进的技术环境中可能转化为治理劣势——稳定性意味着立法文本难以跟进技术演进,整体性意味着统一规则难以兼顾场景差异。强行制定一部大而全的人工智能法,其可预见的制度后果有两种:或因条款笼统缺乏可操作性而沦为宣示性立法,或因过早固化束缚产业创新而抑制技术演进。欧盟《人工智能法案》的实施经验已提供了清晰参照:该法案对通用人工智能模型义务的规定,在立法通过后即因技术演进多次补充解释,相关配套标准的制定明显落后于原定进度。我国在制定自身立法方案时,不必重复这一路径。
具体到开源立法,可供我国选择的路径大致有三条。第一条是产业促进法路径,即在未来可能出台的《数字经济促进法》或涉及人工智能产业促进法律中设置开源专章,以促进性规则为主,辅以必要的合规底线。其制度优势在于与既有产业政策的衔接顺畅,劣势在于规则密度不足以应对许可证效力、贡献者权益等复杂法律争议。第二条是著作权法修订路径,即在著作权法下一轮修订中增设“开源协议”与“开源贡献”的专门条款,同时配套文本与数据挖掘的合理使用例外。其制度优势在于能够从根本上回应开源的基础法律问题,劣势在于覆盖面有限——竞争、跨境、安全等议题难以在著作权法框架内得到系统处理。第三条是专门条例路径,即制定一部《开源促进与治理条例》,系统规定许可证效力、贡献者权益、平台责任、合规义务与争议解决机制。其制度优势在于针对性强,劣势在于立法成本较高、部门协调难度较大。三条路径并非相互排斥,而是具有阶段衔接的互补关系:短期可通过产业促进法路径与司法解释解决最紧迫的合规问题;中期推进著作权法修订以补强基础规则;长期视产业发展与规则成熟度,考虑制定专门条例。分阶段推进较之追求一步到位的体系化立法,更符合制度建设的现实条件。
其一为分层衔接的规则体系。正式法律制度、政策规则、技术标准、行业规范这四个层面之间,需要建立双向流动的衔接机制:上位规则向下形成制度供给的同时,下位实践向上提供反馈信号,方能兼顾正式规范的权威性与产业治理的灵敏性,使法律不至因脱离实践而失真,行业自律不至因脱离公共约束而偏离公共利益的底线要求。
其二为软硬结合的工具组合。硬法提供底线性规范,软法提供方向性引导,这是当前主要法域人工智能治理的共同经验。我国可由最高人民法院定期发布开源相关典型案例,由国家互联网信息办公室会同工业和信息化部发布开源合规指引,由开放原子开源基金会牵头发布社区治理最佳实践。三者配套运用,形成软硬结合的治理结构。
其三为场景分类的精细化治理。开源所涉场景差异显著,不宜以统一的规则全面覆盖:基础软件开源应保持宽松的规则供给以鼓励繁荣发展;模型权重开放应引入能力评估与披露义务,以平衡创新与安全;训练数据共享应构建分类管理、授权契约、技术防线与公共合规语料库的综合机制;涉及国家安全的敏感场景则应严格限定范围。分场景、分等级、分风险的精细化治理,是真正释放开源创新红利与守住安全底线的制度前提。
贯穿这一治理框架的价值内核是“可信”。可信人工智能的五个核心维度——可解释、可靠、可控、可溯源、向善——应当贯穿开源人工智能的全生命周期。开源并非免除可信义务的理由;恰恰相反,开源因其传播的广泛性,对可信属性提出了比闭源更高的要求。将可信作为开源治理的价值底座,不仅是技术伦理层面的要求,更是制度建设层面的基本共识。
从更长远的战略视角审视,我国开源治理的最终目标,应定位于在全球开源生态中形成具有影响力的中国规则贡献。这一贡献的制度内涵,既不应是对既有国际规则的简单追随,也不应是对外部规则的单向对抗,而应当建立在对开源本质的深入理解、对我国产业实际的准确把握、对数字时代知识产权制度演进方向的清晰判断之上。规则塑造能力不是一朝一夕可得的能力,它是产业实力、制度建设、学术积累与外交努力长期叠加的结果。在开源这一关涉数字时代根本制度秩序的关键议题上,我国既有能力也有责任作出与自身地位相称的制度贡献。
本文声明 本文章仅限学习交流使用,如遇侵权,我们会及时删除。本文章不代表北律信息网(北宝)和北京北大英华科技有限公司的法律意见或对相关法规/案件/事件等的解读。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
MacBook Pro键盘不是金属!用户贴膜用吹风机:按键直接熔化变形
投喂狮子时观光车车门突然打开!探访八达岭野生动物园:猛兽区投喂项目已关闭,同类观光车停运
27岁男子带4名未成年女孩去水库游泳致2人溺亡,被判4年、赔偿9.2万余元,判决书:潘某甲在水中嬉戏时做出危险动作,将女孩们逼向深水区
