Linux基金會近期發布了一份有關開源社區注意事項的白皮書《了解開源科技和美國出口管制》，並發文概述了開源社區應該了解並遵循的與美國出口管制要求和開源加密相關的一般性原則。EAR（Export Administration Regulations，出口管理條例）是美國聯邦政府限制出口的主要條例，由美國商務部下的產業與安全局（Bureau of Industry and Security，BIS）發布並定期修訂。

EAR 適用於所有受《出口管制條例》管制的物品，並可管制這些物品的出口、再出口與轉讓。

EAR下“出口”的定義較為寬泛。出口不僅包括從美國境內向境外輸送實物產品，還包括其它行為，例如向在美國居住的非美國公民或非美國合法永久居民傳送技術，以及向美國境外人員提供用於電子傳輸的軟件。

而如果開源技術是公開的，不受進一步傳播的限制的，那麼它是“已發布的”，因此不受制於EAR。具體來說，EAR 明確豁免了大多數以開源形式呈現的軟件和技術。有一些事項被明確列為不受制於EAR，意味著它們被置於EAR 法規管轄外並不受這些法規的約束。

EAR 第734.3（b）條規定了一些事項不受制於EAR，“如第734.7 條所述的，（i）已經發布的信息及’軟件’”，該部分規定“已發布”的事項不受到EAR的管轄。具體來說，其規定“當可被公眾獲取且無進一步傳播限制時，未被歸類為密級事項的’技術’或’軟件’屬於’已發布’，因此不屬於受EAR 管轄的’技術’或’軟件’”。

所以“已發布”（published）是關鍵要素，如果開源技術不受進一步傳播的限制且可被公開獲取，那麼它將被視為“已發布”了的開源事項，並將因此不受制於EAR，亦即“open source technologies that are published and made publicly available to the world are not subject to the EAR（公開發布給全世界的開源技術不受EAR 約束）”。

Linux 基金會表示：來自Linux 基金會以及與我們合作的項目社區的開源軟件均滿足EAR 第734.7 條中“已發布”的要求。同時還列舉了部分典型情況：

● 已公開發布的開源軟件不受制於EAR

● 已公開發布的開源規格不受制於EAR

● 已公開發布的，說明硬件設計的開源文檔不受制於EAR

● 已公開發布的開源軟件二進制不受制於EAR

不過在項目涉及加密技術時，則需要考慮更多：

●“加密軟件”的定義非常廣泛，並可能包括僅激活或創設其它軟硬件產品的加密功能的軟件。對於具備標準加密功能的軟件，包括在軟件設計文檔中呈現的加密硬件。

● 首先要確認的是：該加密軟件是否在EAR 的管轄範圍內。

屬於ECCN 5D002 的加密源代碼如符合以下兩個條件，則不在EAR 的管轄範圍內：

● 該源代碼是“可公開獲取”（publicly available）的：指的是在EAR 定義的“已發布”（published），包括通過在公開的網頁上進行發表（即公開傳播）。如果項目的源代碼可在互聯網上公開獲取，則應被視為“可公開獲取”。

● 已向EAR 第742.15（b）條所載的電子郵箱地址發送了電子郵件以示通知：需要向兩個指定的郵箱地址發送郵件：一個是BIS 的郵箱地址，另外一個是國家安全局（National Security Agency，NSA）的郵箱地址。郵件內容需要包括可公開獲取的源代碼的URL 地址（或源代碼本身）。如URL 或源代碼發生任何變更，則需要再次以郵件形式通知上述郵箱地址。

在通過了上述兩項衡量標准後，相應的代碼也將不受EAR 管轄。

Linux 基金會表示其所有項目源代碼，包括加密軟件，均可公開獲取，也已經提供了所要求的電子郵件通知，並在官網上公開了電子郵件通知的內容。“所以，Linux 基金會的項目源代碼及對應的目標代碼均不受EAR 關於加密的限制”。

需要注意的是，上述情況只適用於開源項目本身，修改項目代碼或其衍生產品的下游再分銷商在源碼並未公開時，仍然需要評估其是否符合EAR 的規定。

Linux 基金會的文章中還對BIS 於2020 年1 月6 日宣布的一項新的關於“訓練深度卷識神經網絡自動分析地理空間圖像和點雲（point cloud）能力的特殊地理空間圖像軟件的管控權”的EAR 規定進行了解讀。

本文僅為幫助國內開發者理解對Linux 基金會的原文作了簡單介紹，不構成任何法律意見，詳細情況請查看原博文：

https://www.linuxfoundation.org/blog/2020/07/understanding-us-export-controls-with-open-source-projects