Python 软件基金会 (PSF) 发布公告称,欧盟拟议的 CRA 法案可能给 Python 生态系统造成意想不到的后果。
该基金会在审查了拟议的《网络弹性法案》和《产品责任法案》之后发现,法案中的一些内容会将“组织的使命和开源软件社区的健康置于风险之中”,过于宽泛的政策可能会适得其反的伤害用户。“我们认为重要的是要考虑供应商中立的非营利组织,尤其是公共软件存储库在现代软件开发中的作用。”
事实上,自欧洲立法者于去年宣布推出两项立法来解决软件安全和责任问题之后,技术界就一直在对相关内容表示反对。PSF 和 Eclipse Foundation、NLnet Labs 等,都在敦促欧盟立法者针对拟议法案中的一些过于宽泛语句重新谨慎措辞,以便开源组织和开发人员不需为使用了其开源代码的商业产品担责。
![]()
现如今,许多现代软件公司会在软件作者不知情的情况下依赖公共资源库中的一些开源软件,当然也没有与这些作者建立任何形式的商业或合同关系。但如果按照目前拟议的法律,开源组件的作者就可能要为他们的组件被应用于别人的商业产品的方式承担法律和经济责任。PSF 指出,现有的法案内容没有将从未因提供软件而获得报酬的独立开发者、和销售产品以换取最终用户付款的企业技术巨头区分开来。他们认为,增加的责任应谨慎分配给与消费者达成协议的实体。
我们担心目前提议的一些政策语言对于像 Python 这样的生态系统来说不够清晰。根据当前的语言,PSF 可能对任何包含 Python 代码的产品承担经济责任,但 PSF 从未从这些产品中获得任何金钱收益。巨大潜在成本的风险将使我们在实践中无法继续向欧洲公众提供 Python 和 PyPI。当然,每个人都希望安全,让消费者有合理的保证,让软件行业对其客户负责。然而,至关重要的是,这些保证应该来自正确的实体,并且任何责任缺失的法律责任都由正确的实体承担......PSF 不应对碰巧包含某些 Python 代码的每个应用程序或设备负责。
并补充称,将责任分配给每个上游开发人员会降低安全性,而不是增加安全性。让个人和/或资源不足的开发者在向公共资源库做贡献时处于法律上的模糊状态,几乎肯定会造成寒蝉效应。“与其跟着代码一路往上走,我们更愿意看到政策制定者跟着钱走”。
PSF 还引用了两处他们认为过于宽泛的措辞来举例说明。譬如 Article 16,其中规定“制造商、进口商或分销商以外的自然人或法人,使用数字元素对产品进行实质性修改,应被视为本条例所指的制造商 “。该定义可以解释为任何对开源项目进行实质性更改的人都将对该更改的后果负责,但参与开源贡献的开发者有很多,而他们与最终可能在商业产品中使用该代码的实体没有任何合同或财务关系。
其次,在 Recital 10 中,“......通过提供一个软件平台,制造商通过该平台将其他服务货币化”这句话不够具体。公共代码存储库及其主办方可能会提供付费课程或出售有关共享开源代码的会议门票,但仍然无法控制商业实体在其产品中使用该代码的方式。抑制教育活动或减少来自第三方的公共补丁不会让欧洲软件消费者更安全。
PSF 认为,欧盟立法者应该为服务于公共利益的公共软件存储库以及在公共存储库上托管软件包的组织和开发人员提供明确的豁免。“我们需要非常清楚谁在为软件消费者应得的保证和责任承担责任......我们相信这些豁免将有助于消费者和开源生态系统,以及依赖它的经济参与者。我们希望欧盟的政策制定者在起草影响开源软件开发的具有里程碑意义的政策时,能够仔细考虑像 Python 这样复杂而重要的生态系统。”
对此,软件自由保护协会的政策研究员 Bradley Kuhn 则向外媒 The Register 表示,FOSS 社区应该仔细思考正在寻求的豁免范围。
“我担心在这个问题上,FOSS中的许多人正在落入营利性公司一直试图为我们设置的陷阱。虽然从表面上看, FOSS 的全面例外似乎对 FOSS 来说是一件好事;但实际上,这是公司试图让 FOSS 社区帮助他们规避普通产品责任的尝试。对于部署 FOSS 的营利性公司来说,应该与专有软件公司一样,对用户的安全性和确定性负有相同的义务。”
延伸阅读:
