企业选用开源软件需防范哪些法律风险？如何搭建开源合规体系？ | 柯律师

柯律师：

章女士

章女士：

您好，感谢您的来信。针对您的问题，现结合我国《著作权法》《计算机软件保护条例》及司法实践，回复如下：

     首先，企业需明确开源许可证的法律性质。开源许可证属于附条件的著作权许可合同，使用开源代码即视为接受其条款。常见许可证如GPL、MIT、Apache等，在“是否允许商用”“是否要求衍生代码开源”“是否需保留版权声明”等方面存在显著差异。若将GPL许可证代码嵌入封闭式商业软件中，可能触发“传染性”条款，要求整个软件对外开源。

其次，建议企业建立开源软件合规管理流程：一是建立开源代码引入清单，记录所用开源组件的名称、版本、许可证类型、来源及修改情况；二是在项目立项阶段进行许可证兼容性评估，避免不同许可证之间的义务冲突；三是制定开源使用政策，明确哪些许可证可商用、哪些需法务审批、哪些禁止使用；四是对外发布产品前，完成合规审查，确保履行署名、声明、提供源代码等义务。

第三，关于风险防范。若企业计划将开源代码用于核心产品，建议优先选择许可证义务较轻的MIT、BSD等宽松型许可证组件；如确需使用GPL等强传染性代码，应考虑将相关功能模块与主程序隔离，或整体采用开源策略。此外，企业应保留开发记录、引入决策文件、合规审查意见等，以应对未来可能的权利争议或尽职调查。

最后，建议企业定期开展开源合规培训，提升研发人员的法律意识，避免因“习惯性复制”引入高风险代码。开源是技术创新的重要驱动力，唯有在合规框架下使用，才能真正实现开源生态与商业价值的良性互动。

北京大成（上海）律师事务所

刘峰 律师