夜雨聆风一、开源许可证的法律性质与效力基础
开源许可证的法律性质界定,是探讨其约束力的逻辑起点。在我国现行法律体系下,开源许可证应被认定为一种附条件解除的著作权许可合同,其成立与效力受《中华人民共和国民法典》(以下简称《民法典》)合同编及《中华人民共和国著作权法》(以下简称《著作权法》)的共同调整。从合同法的视角分析,开源许可证符合《民法典》第四百七十一条关于合同订立方式的规定:著作权人通过发布许可证向不特定的使用者发出授权要约,该要约内容明确、具体,且表明经使用者承诺后著作权人即受该意思表示约束;使用者通过实施“使用、复制、修改、分发”等许可证明示授权的行为,以默示方式作出承诺,双方之间依法成立著作权许可合同关系。此种以行为作出承诺的方式,在《民法典》第四百八十条所允许的承诺方式范围之内,且符合开源社区长期形成的交易习惯。与传统商业软件许可合同相比,开源许可证具有三个显著特征:一是格式条款性,即许可证条款由开源组织或著作权人单方预先拟定,面向不特定使用者统一适用,使用者无法就条款内容进行个别协商,符合《民法典》第四百九十六条关于格式条款的定义;二是接受方式的行为性,使用者无需签署书面文件,而是通过实际从事许可证所允许的行为表示同意,属于默示承诺;三是权利义务的附条件性,著作权人无偿授予使用者复制、修改、分发等权利,但使用者必须遵守许可证规定的义务(如保留版权声明、公开源代码等),该等义务是授权的前提条件,违反义务将导致授权自动终止。综上,开源许可证在我国法下具有明确的法律效力,其性质为附条件解除的、格式化的著作权许可合同,企业应将其作为具有法律约束力的合同予以尊重和遵守。
二、违反开源许可证的法律责任:违约与侵权的竞合及选择
当使用者违反开源许可证的条款(例如未按GPL许可证要求公开衍生作品的源代码)时,著作权人可能同时享有违约损害赔偿请求权和侵权损害赔偿请求权,构成《民法典》第一百八十六条规定的违约责任与侵权责任的竞合。一方面,违约责任的成立源于开源许可证作为合法有效的合同,使用者违反其中约定的义务(如开源义务、标注义务)即构成违约,依据《民法典》第五百七十七条,著作权人可以要求使用者承担继续履行(如公开源代码)、赔偿损失等违约责任。另一方面,著作权许可的本质是著作权人对其专有权利(复制权、发行权、修改权等)的有限豁免;使用者的行为一旦超出许可证授权的范围或违反许可证设定的条件,该授权即告失效,此后使用者继续实施复制、修改、分发等行为将缺乏合法授权,从而构成对著作权人享有的《著作权法》项下权利的侵害。依据《著作权法》第五十二条、第五十三条,著作权人可以请求停止侵害、消除影响、赔偿损失。在司法实践中,权利人可以选择以侵权责任或违约责任提起诉讼,但二者在举证责任、赔偿范围、诉讼时效等方面存在差异。一般而言,以著作权侵权作为主要请求权基础更为有利,理由在于:侵权之诉可直接针对“未经许可使用作品”这一核心行为,更贴合知识产权保护的本质;侵权之诉可主张停止侵害,更有效地制止使用者继续分发侵权软件;侵权之诉在部分情形下可适用惩罚性赔偿(依据《著作权法》第五十四条及《民法典》第一千一百八十五条),赔偿数额可能更高。我国法院在相关判例中倾向于将严重违反开源许可证的行为定性为著作权侵权,例如在(2019)粤73知民初207号济宁市罗盒网络科技有限公司诉广州市玩友网络科技有限公司等侵害计算机软件著作权纠纷案中,广州知识产权法院认定被告违反GPL许可证将开源代码用于闭源商业软件的行为构成著作权侵权。因此,建议权利人以侵权之诉为主诉由,同时将违约之诉作为备位诉由或补充诉由,以实现权利的最大化保护。
三、“强制开源”风险的来源:著佐权许可证的互惠机制
所谓“强制开源”风险,并非所有开源许可证均具有此特征,而是特指以GNU通用公共许可证(GPL)、GNU宽通用公共许可证(LGPL)及GNU Affero通用公共许可证(AGPL)为代表的“著佐权”(Copyleft)类许可证所内含的互惠性要求。著佐权许可证的核心设计在于:著作权人授予使用者复制、修改、分发软件的自由,但附加一个条件——若使用者分发基于该许可证下软件所创作的“衍生作品”,则必须将整个衍生作品以相同许可证的条款开放源代码。这一机制被称为“传染性”或“互惠性”,其目的在于确保开源软件的衍生作品同样保持开源,防止开源成果被专有软件吸收。在我国法律体系下,可参照《计算机软件保护条例》第三条对“软件改编”的定义,并结合著作权法关于“改编权”的理论对“衍生作品”进行认定。一般而言,若企业将GPL代码直接复制、修改后并入自己的软件中,二者形成紧密整合、难以分离的整体,该整体通常会被认定为GPL代码的“衍生作品”,从而整个软件需遵循GPL开源。若企业仅通过进程间通信、API调用等方式与GPL组件交互,且二者在地址空间、依赖关系上保持独立,则有可能不被认定为“衍生作品”,从而隔离传染风险。但该认定高度依赖具体技术实现方式,需个案判断。因此,企业面临的“强制开源”风险,其法律来源正是著佐权许可证的互惠条款,风险的有无与大小取决于企业使用了何种许可证的代码、如何整合以及是否对外分发。
四、企业使用开源代码后闭源是否构成不当得利
有观点认为,企业使用开源社区代码进行闭源开发,构成不当得利。对此,应依据《民法典》第九百八十五条关于不当得利的规定,结合具体情形进行分析。不当得利的构成要件为:一方获得利益,他方受到损失,获利与损失之间存在因果关系,且获利没有法律根据。若企业使用MIT、BSD、Apache 2.0等宽松许可证下的代码,该类许可证明确允许使用者将代码用于闭源商业软件,只需保留版权声明即可。在此情形下,企业的闭源行为完全在许可证授权范围内,其获利具有明确的“法律根据”,不满足不当得利的第四个要件,因此不构成不当得利。若企业使用了GPL代码却未履行开源义务,其闭源分发行为首先构成违约或侵权,而非典型的不当得利。理由在于:企业最初获取代码时具有法律根据(许可证的授权),只有在违反许可证条件后,授权失效,后续行为才丧失法律根据。但此时权利人遭受的损失主要是著作权许可费损失或商誉损失,而非企业所获得的“利益”可直接认定为不当得利。司法实践倾向于将此类纠纷纳入合同或侵权框架处理,以避免不当得利制度的滥用。因此,企业违反著佐权许可证的闭源行为,权利人应优先选择违约或侵权之诉,仅在特定情形下可考虑不当得利作为补充诉由,但不宜作为主要请求权基础。
五、开源社区的治理优化与企业合规路径
美国法律学者劳伦斯·莱斯格在《代码2.0》中提出的“法律、社群规范、市场、架构”四种规制力量,对构建企业开源合规体系具有重要借鉴意义。企业应从以下四个维度系统性地管理开源代码使用风险。在法律层面,企业应建立内部开源合规审查制度,制定《开源代码使用管理办法》,明确所有引入的开源代码必须经过法务或合规部门的许可证识别与分类,建立开源组件清单(SBOM),记录组件名称、版本、许可证类型及使用方式,并明确禁止在核心闭源产品中集成强著佐权代码(GPL、AGPL),除非经过特别审批并有开源预案。同时,企业应定期进行合规审计,保存许可证副本、修改记录及合规决策文件,以应对潜在的诉讼举证责任。在架构层面,对于必须使用GPL类组件的场景,企业可采取技术措施降低被认定为“衍生作品”的风险,例如将GPL组件以独立进程运行,通过进程间通信(IPC)、网络API或命令行参数与主程序交互,或采用微服务架构将GPL组件封装为独立的服务通过REST API调用。需要特别注意的是,对于GPL许可证,无论是静态链接还是动态链接,通常均会被认定为形成“衍生作品”,从而触发开源义务;只有在使用LGPL许可证的情况下,动态链接才被允许作为隔离手段。企业应审慎评估链接方式的法律后果,且上述技术措施并不能百分之百保证避免传染,最终认定权在法院,企业应结合许可证具体条款和司法判例审慎评估后实施。在社群规范层面,企业应尊重开源社区的共享文化,主动履行许可证义务,例如在分发软件时提供完整的源代码下载地址或书面要约,在软件“关于”页面或文档中清晰标注所使用开源组件的名称、作者及许可证信息,并适当将企业自研的非核心模块回馈给社区,以建立良好的行业声誉,降低被社区维权组织(如SFC、FSF)诉诸法律的风险。在市场层面,企业可在遵守许可证义务的前提下,采用“开放核心”等商业模式实现商业价值,例如将核心算法或关键功能保留为闭源,将外围组件、驱动程序或插件开源,或者通过提供付费的技术支持、企业级功能或SaaS服务盈利,但需注意AGPL许可证对SaaS使用有特殊开源要求。我国政策层面高度重视开源体系建设,《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》及《知识产权强国建设纲要(2021-2035年)》明确提出完善开源知识产权和法律体系。企业构建完善的开源治理体系,既是防范法律风险的现实需要,也是融入国家开源战略、实现高质量发展的必然要求。
六、开源大模型的新趋势与OpenClaw的合规启示
2025年以来,以DeepSeek为代表的开源大模型在全球范围内引发广泛关注。2025年5月28日,DeepSeek开源发布推理模型R1-0528,模型采用了MIT开源许可证。同日,腾讯混元亦推出语音数字人模型HunyuanVideo-Avatar,并基于自行拟定的《腾讯混元社区许可协议》正式开源。值得关注的是,虽然同为中国AI技术领军公司,腾讯与DeepSeek却并未选择相同的开源许可证。以腾讯、Meta、谷歌为代表的多家公司作为开源AI大模型的许可方,均不约而同地放弃沿用开源软件时期的MIT、Apache 2.0等格式化开源许可证,转而自拟大模型开源许可协议,重新起草协议条款。这一趋势反映出AI大模型许可方在开源光谱中寻求更精细化的权利安排,以加强商业控制、规避监管风险。
在国内大模型开源实践中,智谱于2025年4月宣布开源32B/9B系列GLM模型,包括基座、推理和沉思三大类模型,所有模型采用宽松的MIT许可协议,免费商用、分发,引发业内关注。这表明国内头部大模型企业倾向于选择宽松许可证以加速生态扩散,但同时也意味着企业使用这些模型时需要自行承担更多的合规责任。
与此同时,2026年初迅速走红的开源AI代理框架OpenClaw(昵称“龙虾”),为企业开源合规实践提供了新的警示。OpenClaw是一个开源的个人AI代理框架,其核心价值在于将大语言模型的推理能力与实际的系统操作权限相结合。关于其开源协议,OpenClaw采用了极为宽松的MIT许可证,允许开发者自由使用、修改、分发及商用,但需保留原始版权声明和许可声明。然而,MIT仅覆盖OpenClaw核心框架代码,不自动延伸至其依赖的第三方模型、API服务或预集成Skills插件。企业若将OpenClaw集成进商用产品,必须逐一核查预集成Skills与模型权重的独立授权状态,部分Skill可能明确标注“非商用”或“仅限个人学习”,直接集成将构成侵权。此外,工信部网络安全威胁和漏洞信息共享平台于2026年3月发布关于防范OpenClaw开源智能体安全风险的“六要六不要”建议,明确指出在智能办公、开发运维、个人助手、金融交易等典型应用场景下存在供应链攻击、内网渗透、敏感信息泄露等突出风险,并要求企业独立网段部署、最小化权限授予、留存完整操作和运行日志等。OpenClaw的案例表明,企业在使用开源AI代理框架时,不仅需要关注许可证合规问题,还需要同步落实安全部署与权限管理措施,确保在享受开源技术红利的同时,避免因技术架构风险引发数据安全与合规事故。
七、结论
综上所述,开源许可证具有法律约束力,其性质为附解除条件的著作权许可合同,受《民法典》及《著作权法》调整,违反许可证条款将导致违约与侵权责任的竞合。“强制开源”并非使用开源代码的必然结果,其发生前提是同时满足以下三个条件:使用了GPL等“著佐权”许可证的代码;企业对代码进行了修改或整合,形成了“衍生作品”;企业对外分发了该衍生作品。若仅内部使用、或使用MIT等宽松许可证、或未形成衍生作品,则一般无须开源。不当得利并非处理开源违约的主要法律工具,权利人应优先选择违约或侵权之诉,以更直接有效地维护权益。
在大模型与AI代理技术快速发展的背景下,开源许可证的法律分析框架正面临新的挑战。传统开源许可证以代码为中心,难以完全覆盖模型参数、训练数据和模型输出的授权需求,AI模型专用许可证的出现标志着行业进入新的治理阶段。企业在使用开源大模型时,须审慎评估训练数据中开源代码的许可证构成、模型权重是否构成衍生作品以及模型输出的潜在侵权风险。OpenClaw等开源AI代理框架的实践表明,许可证合规与安全部署须同步推进。企业必须摒弃“开源即免费任意使用”的陈旧观念,将开源合规纳入知识产权与法务管理的核心范畴,建立系统性的开源合规治理机制,从法律、架构、社群、市场四个维度综合施策,方能在充分享受开源红利的同时,有效规避法律风险,保障自身商业代码的安全与自主。
数字经济10大法律服务产品:
赣商律师事务所是一家专长于投融资领域的综合性律师事务所。设PPP&金融部(含建设工程房地矿产团队)、IPO&科创板新三板部(含知识产权团队)、并购重组&混合所有制部(含财税团队)、破产重整&争议解决部、常年法律顾问&财富传承部、品牌部和行政部。荣膺商法2021年全球“A-List法律精英”、商法全球2022、2020年杰出交易奖、首届中国律所百强、第二届中国律所百强、中国司法部商务部财政部贸促会涉外入库律师领军人才、商务部外资并购委副主席单位、通过中国证监会证券业务备案、中国商标代理业务备案、映山红行动·卓越上市服务奖、全球赣商法律服务中心、欧洲江西总商会法律服务中心、日本江西总商会法律服务中心,江西省外商投资企业协会战略合作单位、江西省陕西商会法律服务中心、江西省计算机用户协会法律服务中心,江西省科技型中小企业法律服务中心、江西省人民政府首届行政复议委员会委员、江西省企业合规第三方监督评估机制专家、江西省投资基金业协会创新服务专家、江西省数字经济专家、江西省智能网络汽车专家、江西省生态文明律师服务团成员、南昌市律协非诉专委副主任、仲裁委PPP仲裁中心。赣商律师作为江西首家云端智慧律所,填补了江西律师并购反垄断审查实务空白,是江西律师新三板和PPP业务零业绩突破人、PPP业务国内领先地位,在江西省债券市场具有领先地位,被“全球商事律所联盟”报道为:因为专注所以专业,因为专业所以信赖。
