夜雨聆风一家科技企业花了 80 万外包开发 SaaS 平台。项目交付三个月后,外包方解散。融资尽调时发现代码里混入了 GPL 开源组件——要么把整个平台开源,要么推翻重来。80 万打了水漂。
回头看这笔烂账,技术实现本身没出大问题,是合同漏掉了几个要命的地方。下面逐个拆开讲,每个风险后面都附了能直接拿去用的操作办法。
一、知识产权归属——不是"交了代码"就结束了
委托开发合同最常出现的一句话:"乙方交付全部源代码"。这话管不了知识产权究竟归谁。
民法典第 861 条和第 866 条对委托开发与合作开发分别设了不同的默认权利归属,两者方向相反。软件著作权处理的逻辑基本一致——合同有约定从约定,没约定或写得模糊时,法律默认的归属十有八九与甲方的预期对不上。
经手过的外包合同里,很大比例只是在付款条款底下塞了一句"乙方交付源代码",著作权的转让方式、登记时的配合义务、侵权发生后谁来主张权利,全都没展开。等项目用起来了,甲方要去申请软著、给投资人证明代码是自有资产、或者拦着外包方把同一套代码卖给竞品——翻出合同一看,发现该写的都没写。
还有件事经常被忽略:外包方做项目的过程中,会把通用模块、工具方法收进自己的代码库。开发上这么干很正常,但法律上得分清楚——哪些属于"本次委托产生的成果",哪些是乙方自己沉淀下来、以后还能接着用的积累。这一刀不切清楚,交付完两边对代码的使用边界大概率会产生矛盾。
怎么办:
知识产权条款的基准线写成"开发成果所含全部知识产权自甲方付清开发费用之日起转让至甲方"。用"转让",别用"授权""许可"这些词。 交付物别偷懒只写三个字"源代码"。附件里逐项列明:源代码、目标代码、技术文档、设计稿、接口说明、数据库结构、部署脚本。 把"乙方应配合甲方完成软件著作权登记"写进合同。登记申请表上需要开发方盖章的栏位不少,等项目交付完再回头找人盖章,难度和成本都比你想象的高。 外包方如果说某些通用模块自己要留着复用,可以谈,但前提是在附件里写清楚模块清单、使用范围和限制条件。
二、开源合规——别把雷留到融资尽调
外包团队在开发过程中引第三方开源代码,属于行内通行做法。要管的不在于"让不让用",而是"用了什么、甲方知不知道"。
常见的开源许可证按风险从高到低可以排成三个梯队:
GPL、AGPL 等强 copyleft 协议——都要求衍生作品以相同许可证开源,但触发门槛不一样:GPL 在你把软件分发给外部用户部署或安装时触发;AGPL 更进一步,只要你通过网络对外提供 SaaS 服务就算分发,也触发开源义务。外包开发中如果有人随手引入了这类组件,甲方不管是在客户现场部署还是以 SaaS 模式运营,都直接踩进合规风险区。
MPL、LGPL 等弱 copyleft 协议——条件相对温和,通常只要求把修改过的那个库或文件单独开源,不会顺着依赖链传染到整个产品。
MIT、Apache 2.0、BSD 等宽松协议——对商业使用和闭源分发基本不做限制,唯一的要求是保留原始版权声明。
融资尽调和上市审核时,审计机构会把整个代码仓库的第三方依赖扫一遍。扫出 GPL 的传染路径,出路只有两条:要么把受影响的模块整体换掉,要么从法律上论证你的代码不构成 GPL 代码的衍生作品。第二条路没有判例给出明确的边界。更换模块的成本取决于代码跟 GPL 组件之间的耦合有多深——轻则几周重构,重则动到架构层。打算融资的公司,这个问题越早解决代价越小。
怎么办:
合同里列明三层规则:GPL、AGPL 协议代码禁止使用;LGPL、MPL 协议的须经甲方评估后书面同意才能引入;MIT、BSD、Apache 2.0 等宽松协议的须事先报甲方备案。 要求外包方每次提交代码时附带一份第三方依赖清单——组件名称、版本号、许可证类型、在项目里的用途,这四列信息是后续审计的底稿。 开发过程中就用 SCA 工具持续扫描。FOSSA、Snyk 有免费额度可用,OWASP Dependency-Check 完全开源——别攒到项目交付再做一次性审计。 在 GitHub/GitLab 仓库的 CI 管道里挂上许可证合规检查这一步,提交代码时自动跑,不通过的合并请求直接拦截。堵在合入之前,比事后返工省太多事。
三、人员与转包——来谈合同的和来写代码的往往不是同一群人
签约之前甲方见的是外包方的商务对接人和挂名技术负责人。合同一签,实际坐到电脑前写代码的人可能是另一拨。
核心开发中途离开是外包项目停摆的第一大原因。接替的人要把前任的技术选型、代码结构、业务逻辑逆向啃一遍,学习成本直接反映在延期和加钱上。更要紧的是,离开的那个人带着对甲方业务的理解走了——合同里没写竞业和保密约束的话,这些认知他去哪家用都是自由的。
转包是另一个出镜率很高的问题。有的外包方签完之后把整个项目或者拆成几块转给其他团队。签约主体和执行主体分开了,出了质量问题追责路径拉长了好几环,信息泄露的节点也翻了倍。甲方连谁在写自己的代码都不清楚,谈什么过程管控。
怎么办:
选外包方的时候,别光看跟你沟通的那个人。要求项目实际的技术负责人和核心开发也到场聊一次。当着面讨论技术方案,能把"商务接单、后台转包"的团队筛掉。 合同附件把核心人员的姓名、角色、技术栈列清楚。写明更换须经甲方书面同意,接替的人经验和能力不能低于被换掉的人,且交接时间不少于两周。 禁止转包的条款写进合同,定性为"根本违约"——一旦甲方发现转包行为,不只是退款,可以单方解除合同并主张全部损失赔偿。 要求外包方为每一个接触项目的人单独签保密承诺书,效力约束到个人层面,不因这个人离职或换项目而终止,并约定个人违约责任。
四、验收标准——"功能正常运行"六个字值三年诉讼
合同验收条款里写"功能正常运行""符合行业标准""满足甲方需求"——法律上讲,这些话约等于没写。
交付争议吵的不是"功能做没做",而是"做成什么样算过关"。甲方觉得系统响应慢、代码组织乱,乙方觉得所有功能都能跑、合同约定的都做了。没有事先约定好可以量化的验收杠杠,两边对"合格"的认定南辕北辙,协商很难达成一致。真走到诉讼,甲方要举证"乙方交付的东西不合格",难度不小。
验收标准模糊还会直接影响付款话语权。钱怎么付跟验收怎么判脱了钩,甲方在质量争议里手里没牌。
怎么办:
签合同前把需求逐条拆成可以验证的交付物清单,作为合同附件。每条至少写三个要素:功能是什么、验收条件是什么、怎么测。拿两个实际例子来说:"用户登录功能" → "支持手机号+验证码方式登录,验证码有效期为发送后 60 秒,同一手机号单日发送上限 5 次,错误尝试连续 5 次后锁定 30 分钟""订单查询" → "支持按订单号精确查询、按手机号模糊查询、按日期区间查询三种方式,单次查询响应时间不超过 2 秒,支持结果导出为 CSV 文件" 验收流程在合同里走闭环:乙方提交验收申请及自测报告 → 甲方在约定工作日内做验收测试 → 通过则双方签署验收确认书,不通过则甲方出具书面问题清单 → 乙方限期修复后重新提测。 付款节点和验收结果咬合在一起。在没有拿到验收确认书之前,不要付清尾款。尾款比例起步设在 30%,合同金额越大、开发周期越长,这个比例要更高。 性能指标单独列一个附件或者在交付物清单里标注:核心接口的响应时间上限、系统需要承载的并发用户数量、数据处理准确率要求。不达标就不算验收通过。
五、商业秘密与数据安全——外包方掌握的信息比你估计的多
外包方在项目执行过程中能接触到的信息类型,经常超出甲方的想象:业务逻辑、定价机制、客户名录、技术路线、还没公开的产品规划,甚至包括甲方团队内部管理的薄弱环节。
保密协议签了字不等于保密义务落到了实处。几个需要对着合同逐字抠的点:保密信息的外延画得够不够实——"一切与本项目相关的信息"这种兜底写法在法庭上基本起不到保护效果;合作结束之后外包方有没有清除数据的义务,用什么方式证明数据已经删干净了;保密义务是只落到签约公司头上,还是穿透到了每一个实际接触信息的开发人员。
还有一个在实务里出镜率不低但容易被忽视的场景:外包方交完项目之后,凭着对甲方商业逻辑和技术架构的深度了解,转身就给甲方的同行业竞品做起了类似的系统。对方没抄一行代码——是用项目里积累下来的行业认知重新写了一套方案。合同里如果没写合作终止后的业务限制条款,甲方在这件事上几乎没有有效的法律抓手。
怎么办:
保密协议附一份保密信息范围清单,用列举代替概括。至少把这几类写进去:技术方案、源代码与目标代码、数据库结构设计、业务流程图、客户及供应商名单、定价策略与报价单、未公开产品路线图。 开发环境和生产环境从物理或网络层面隔开。外包方只给脱敏后的测试数据,生产数据库的访问权限不开放。如果必须接触生产数据排查问题,走审批流程、限时、限范围、操作留日志。 合同里约定:合作终止后 15 个工作日内,外包方须出具书面数据销毁确认函,涵盖本地存储、云端备份、邮件附件、即时通讯记录等载体。甲方保留远程检查或现场核实的权利。 所有接触项目信息的外包方人员签署个人保密承诺书,写明保密义务不随劳动关系变化或项目结束而终止,并载明个人层面的违约金或赔偿责任。 项目如果涉及核心技术或商业敏感度极高,考虑在合同里加入合作终止后 1-2 年的业务限制条款(禁止其为甲方直接竞品开发功能相同或高度近似的系统)。合理范围内支付补偿金提升条款的可执行性,别只写限制不给对价。
六、合同里最关键的六个条款
以下每条给了两样东西:甲方的底线写法和谈判桌上可以放出去的弹性。实际用的时候按项目情况调整。
1. 知识产权归属底线:开发成果(含源代码、目标代码、相关文档、设计文件等)所涉全部知识产权,自甲方付清合同约定的全部开发费用之日起转让至甲方。弹性:乙方可就其在项目外独立开发的、在本项目中仅做适配性引用的通用工具库保留非独占使用权,但须在合同附件中列明具体模块范围,且不得将前述工具库用于与甲方存在直接或间接竞争关系的产品。
2. 开源合规底线:乙方不得在项目任何部分引入 GPL、AGPL 许可证覆盖的代码;引入 LGPL、MPL 许可证代码须事先取得甲方书面同意;引入 MIT、BSD、Apache 2.0 等宽松许可证代码须事先向甲方书面备案。弹性:允许在甲方知情并书面确认的前提下使用宽松许可证组件,但乙方须在每次代码交付时同步更新第三方组件清单,交付最终版本时出具完整的 SBOM(软件物料清单)。
3. 核心人员底线:合同附件列明本项目核心开发人员姓名、承担角色及技术方向。乙方不得单方面更换,确有更换必要的,须经甲方书面同意,接替人员的技术能力和项目经验不应低于被替换人员,且交接期不少于十个工作日。弹性:认可因人员疾病、离职等客观原因导致的更换需求,但甲方对替换人选保留合理否决权。
4. 禁止转包底线:乙方不得将本合同项下开发工作的全部或任何部分转委托、分包或以其他方式交由第三方完成。违反本款约定构成根本违约,甲方有权单方解除合同,并要求乙方返还已收取的全部费用并赔偿因此造成的全部损失。弹性:经甲方事前书面同意的情形下,允许将个别非核心、非涉密模块(如 UI 静态页面制作、基础功能测试)交由第三方实施,但乙方就该第三方的履约行为和质量向甲方承担连带保证责任。
5. 付款与验收底线:合同款项按交付里程碑分期支付,尾款不低于合同总额的 30%,在全部交付成果验收合格且双方签署最终验收确认书后支付。弹性:可根据项目实际拆分的里程碑数量协商各期比例,但尾款所占比例和支付前提不纳入弹性谈判范围。
6. 源码管理底线:项目源代码自首次编写之日起即提交至甲方指定的代码托管平台,甲方在整个合同期内始终持有该代码仓库的最高管理权限。弹性:托管平台的具体选择可由双方协商,但须满足甲方对访问控制和数据存储位置的要求。如乙方有特殊顾虑,可用双方认可的第三方源码 escrow 服务替代,但甲方对托管源码的访问和审查权限不得弱于自建仓库模式。
结语
外包项目走到纠纷那一步,往回追溯,绝大多数的争议点在签合同那个时间点上本来是可以预见、也来得及管理的。合同里一个条款从起草到落地,有经验的律师可能花一两个小时就完成了。但它管住的东西——整套代码的知识产权状态、开源合规的干净程度、技术方案移交之后还能不能持续维护——时间跨度远远超出几个月的开发周期。
外包的法律风险管理拆开来看就两步:先搞清哪些地方可能出问题,再在合同条款和过程管控里提前把护栏装上。前者靠判断和经验积累,后者靠条款设计能力和执行纪律。判断可以在项目里慢慢打磨,但条款签下去之后再想翻盘代价就大了。值得在签合同之前把该想的事想清楚。
