美国出口管制法案与开源软件、开放知识的全球治理

• 电子科技大学公共管理学院 贾开

编者按：中美贸易冲突的影响正在持续发酵，近期围绕Google、Github、IEEE停止（或可能停止）与华为的业务、交流往来的消息，更是触动了全球神经。围绕开源软件、开放知识这些全球公共知识是否可能受到特定国家控制和影响的担忧逐渐浮现。本文旨在对此议题展开评论，通过回顾美国出口管制法案的变迁过程，以及历史上的“加密软件战争”，分析导致问题的根源，并提出可能的解决途径。

1、问题的缘起

2019年5月，特朗普签署行政命令，禁止美国公司向具有潜在风险的电信供应商采购设备；随后，美国商务部进一步出台政策，明确将华为公司列入国家安全风险名单，从而禁止美国公司向华为出口技术或产品，由此引发一系列连锁反应：5月20日，谷歌宣布暂停与华为的商业往来，具体包括停止华为手机Android操作系统的更新，以及华为Android智能手机上谷歌产品的使用；全球最大的开源代码托管网站Github公司以及全球最大的开源软件基金会Apache软件基金会（二者都注册在美国）被质疑可能切断华为工程师对相关开源代码的访问；5月29日，全球最大的技术专业组织IEEE（电气电子工程师学会）宣布暂时禁止华为担任旗下期刊编辑或同行评议审稿人，由此引发更为强烈的反弹和争议。

随后相关事件有了进一步发展：6月7日，谷歌公司向美国政府提交特别申请，要求继续为华为手机提供服务以避免国家安全风险；Github公司和Apache软件基金会发表声明，澄清虽然二者作为法人实体受到美国法律的管辖，但开源代码的全球访问不会受到影响；6月3日，IEEE发布合规性声明，声称在向商务部咨询后宣布解除对华为的管制，华为员工可以正常参与期刊编辑和同行评审工作。

此次风波看似已经平息，除了不能继续使用谷歌服务之外，华为对于开源软件和开放知识的贡献、获取与使用都恢复常态；但即使如此，该事件仍然对开源软件和开放知识的全球治理带来了冲击，使得人们不得不开始重新思考全球公共产品治理与特定国家管辖权的内在张力。在此次事件中，这又具体体现为美国出口管制法案对于开源软件、开放知识全球治理的影响。本篇评论即试图对此展开初步分析，解释美国出口管制方案的主要内容及其发展历程；并以历史上的“加密软件战争”为例，阐释技术发展和业态创新如何突破国家管制；最后，结合当前业态发展特点，分析开源软件、开放知识全球治理的新挑战。

2、美国出口管制法案及其发展

简而言之，“出口管制”具体是指为了国家安全及外交政策目标，对本国国民或国内生产的商品、信息、技术、软件、服务的出口、再出口及转移所施加的管制[1]。美国于1979年即制定了《出口管制法案（Export Administration Act，EAA）》，对相关管制行为作出了法律规定。围绕出口管制的合法性和合理性争议一直存在，批评者尤其认为其可能阻碍技术创新的步伐。但在2018年美国国会对出口管制法案进行修订的听证会上，美国商务部主管出口管制的前官员直截了当的指出，出口管制法案在制定及执行过程中从来都没有将国家安全风险和经济收益损失的平衡作为考量重点，“美国绝不希望一场公平的战争，美国要永远保持战略优势，而出口管制正是确保优势的关键”[2]。

也正是在此类思想的影响下，美国2018年改革后的出口管制法案体现了较为明显的宽泛性和主动性。事实上，1979年法案一直以来的执行效果都不甚理想。首先，其不得不通过总统行政命令以及宣布紧急状态才能得以实行；再者，其管制范围未能涵盖尚未成熟普及的新兴技术（例如当前的5G、人工智能），而后者才是未来技术竞争的关键。正因为此，2018年8月，作为《2019财年国家防务授权法案》的一部分，国会通过了《2018年出口管制改革法案（Export Control Reform Act of 2018，ECRA）》，并体现了三方面突出特点。

首先，ECRA的覆盖范围极为广泛，包括人工智能、生物技术、定位技术、量子计算等在内的14个大类技术被包括在内。有评论戏谑指出，“美国商务部应该采用排除法来界定ECRA的管制范围”[3]。再者，ECRA明确了管制流程，商务部被赋予了相应权力以落实执行相应职责，从而不必像EAA时期那样依赖总统行政命令和紧急状态；第三，ECRA并未对具体细节（例如需要纳入管制范围的新兴技术的具体标准）作出明确规定，而是更多依赖商务部“一事一议”的自由裁量权，在保证相应灵活度的同时也造成了灰色地带。

需要补充的是，国会在通过ECRA的同时，也通过了《外商投资风险评估现代化法案（Foreign Investment Risk Review Modernization Act of 2018，FIRRMA）》，二者共同作为维护国家安全的法律支撑。FIRRMA可被视为CFIUS的更新版本，使得投资监管机构可以将美国重要技术公司的海外投资纳入监管范围，其目的是使得美国政府能够否决可能造成影响国家安全的技术出口的相关投资行为。FIRRMA将间接影响技术出口管制，因为其必须与投资行为相绑定才可能被引用，因而ECRA的出台必不可少；但另一方面，FIRRMA又进一步扩大了美国政府对于技术出口管制的影响程度，将影响阶段甚至提前到了投资环节。

3、案例启示：“加密技术战争”及其演进

美国出口管制制度加重了技术发展的负担，因而自然引发科研工作者和企业的反弹，二者之间的斗争尤以历史上的“加密技术战争（Crypto War）”为典型。

加密技术起源于二战期间，且与核技术类似，战后初期仅被应用于军事领域，因而受到了严格出口管制——这种管制在冷战背景下尤为突出。伴随着信息技术革命的不断发展，特别是个人计算机的普及应用，将加密技术应用于通信领域的民用需求不断增长。但长期以来，加密技术仍然被归于军事技术范畴而受到严格限制，一方面民用申请需要耗费大量时间才能被管制部门通过，另一方面管制部门还要求申请人确认加密技术的终端用户。如果说前者对于信息技术公司而言还仅仅只是程序上的负担，后者则几乎是对新兴业态的全面否定。正是在此背景下，加密技术的出口管制和信息技术革命下的业态创新产生了越来越多的冲突。

1996年，美国国家科学院组织的调查委员会在经过18个月的调查研究之后，发布《加密技术在确保信息社会安全方面的作用（Cryptography’s Role in Securing the Information Society, CRISIS）》报告，认为“加密技术的广泛使用利大于弊”，而当时美国政府的强管制政策不利于信息社会的安全需要。受此报告的影响，美国政府逐渐放松了对于加密技术的严格管制，而这也自然包括出口管制。1999年，时任副总统戈尔宣布政府将不再以加密密码的长度作为决定加密技术或产品是否能够出口的判断标准，而这也事实上标志了政府对于加密技术军民两用性质的认可，以及对于相关出口限制的放松。

需要指出的是，推动美国政府放松加密技术监管的原因，除了信息技术及互联网业态的快速发展之外，开源软件运动的兴起也扮演了非常重要的角色。“开源”是相对于“闭源”而言的新型软件生产方式。“闭源”模式是指将软件封装在光盘或其他载体之中，申请版权保护并以产品的形式进行出售，典型代表例如微软公司售卖其“视窗”操作系统。相比之下，“开源”模式更加强调软件作为一种知识的自由传播，以及其他人根据需要而自主进行修订的再生产、再创新过程。就具体实践过程而言，程序员将源代码直接公开在网络，任何人都可以下载、使用、修改。这不仅促进了知识的传播，也在客观上加速了软件行业乃至整个网信领域的技术发展进程。

开源软件极大地影响了美国政府对于软件代码的控制能力，因而也降低了出口管制法律的执行效率。事实上，出口管制法律针对的对象是封装好的软件产品（也即闭源软件），但开源软件更类似于全球协作过程；更重要的，在网络上开放传播的软件代码更可能被视为“言论”而受到美国第一宪法修正案的保护，从而进一步引发出口管制措施的合宪性质疑。在上述因素的推动下，围绕加密技术出口限制的“加密技术战争”最终在技术发展和业态创新的双重冲击下而逐步放松。值得注意的是，当前所为人推崇的比特币及区块链技术实际上也是源自“加密技术战争”背景下技术社群的努力，其甚至演变形成了“加密朋克运动”。

4、开源软件与开放知识全球治理的新挑战

伴随着开源软件的快速发展，其一方面取代了闭源软件而成为整个网信技术的基础，另一方面也影响了其他领域的知识生产和传播模式。学术期刊从封闭的专家评审走向开放的同行评议，以及在此基础上形成的开放期刊、开放知识新业态即是其中一个体现。虽然IEEE并不能视为严格意义的开放期刊或开放知识（更典型的案例例如维基百科），但也体现了部分特点（例如同行评议模式）。事实上，在互联网的推动下，开源软件、开放知识已经超越了基于地域的民族国家而成为全球现象，分散在各个国家与地区的程序员、研究员乃至普通大众，都正在成为知识生产过程的一份子，而大家的共同努力最终推动了全球公共知识的形成。

但在此过程中，我们不得不注意到的却是以私人占有形式存在的平台组织的崛起。开源软件或开放知识运动在调动分散个体生产积极性的同时，也不免带来组织的混乱和集体行动的困境。平台作为生产的组织者，其能够更有效率的组织、管理分散生产者的知识生产行为，这也正是Google Android、Github的意义和价值所在。但另一方面，以公司形式存在的平台，必然受到所在国特定法律规制制度的限制和影响，而这也是Google公司、Github公司在美国政府政策变化的情况下针对华为采取行动的原因所在。由此，开源软件与开放知识，及其代表的全球科学与技术合作将面临新的变化与挑战。

一方面，在国际政治经济形势发生变化、全球化进程出现不确定性的背景下，全球公共知识的生产与获取将面临新的挑战，而挑战的原因则在于平台组织作为公共知识承载者或管理者的身份受到国家管辖的限制。需要指出的是，平台组织的私人占有身份与其承载的公共知识之间的内在张力，并不仅仅体现在出口限制这一点上。以Github为例，2018年6月微软收购Github之后，围绕Github是否会删除开源操作系统软件（或微软其他产品的竞争性代码）、是否会根据不同国家要求删除违法所在国法律要求的代码（例如比特币的源代码、伪造视频的源代码等）等争论便引发了焦点关注[4]。此次围绕出口限制的争议，只不过将此问题进一步放大到贸易冲突的大背景之下。如何推进与创新平台治理模式（尤其是全球性公共知识平台的全球治理）才是解决问题的关键。

另一方面，平台组织引发的新挑战并不代表全球科学与技术合作趋势的变化，更不意味着开源软件、开放知识运动的终结，反而意味着新的改革机遇和窗口的到来。“加密软件战争”历史带给我们的启发在于，技术发展和业态创新的步伐，以及分散个体生产者对于全球公共知识的贡献与获取，都将冲破不合理规制制度的限制并使其丧失效力。换言之，平台组织出于免责需求而发布的风险提示或者政策改变，虽然可能在短期内造成影响，但却不会从根本上改变全球公共知识的生产过程。即是对于全球最大的开源代码托管平台Github而言，程序员更换平台的可能性仍然存在——这也符合开源软件的“分叉”（Fork）原则。事实上正因为此，我们才需要注意到，Github发出的风险提示更多是出于平台免责的需求，而不会真正切断其他国家程序员的接入；否则其很可能面临新的替代平台的挑战。不过即使如此，推进不受特定国家影响、真正具有国际性的新平台（或国际组织）的形成，仍然是缓解乃至走出当前危机的必要措施。

[1]https://docs.house.gov/meetings/FA/FA00/20180314/107997/HHRG-115-FA00-Wstate-WolfK-20180314.pdf

[2]https://docs.house.gov/meetings/FA/FA00/20180314/107997/HHRG-115-FA00-Wstate-WolfK-20180314.pdf

[3]https://techliberation.com/2018/11/28/emerging-tech-export-controls-run-amok/

[4]https://www.wired.com/story/microsoft-github-code-moderation/

声明：本文来自实验主义治理，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。