一、基础认知误区类(最普遍)
1. 无 LICENSE = 可免费商用(重大侵权)
代码创作完成自动受《著作权法》保护,仓库无协议≠公共版权,作者保留全部专有权利,复制、商用、分发直接构成侵权。
- 后果:下架产品、赔偿、停止使用、销毁软件副本;
- 典型踩坑:GitHub 直接 fork 无协议项目集成进商业 APP。
2. 误以为 “开源 = 免费无义务”
所有开源协议都附条件授权,违反条件则授权自动失效,行为转为著作权侵权(国内多起判例确认:违反 GPL 属于软件著作权侵权,可诉赔偿)。
- 最低义务:MIT/BSD/Apache 也必须完整保留版权声明、修改记录;删除头部版权属于加重侵权。
二、Copyleft “传染” 核心风险(企业最高发诉讼)
3. GPL 强传染,闭源软件分发被迫全盘开源
规则:静态链接、嵌入、打包分发二进制产品,整体衍生作品必须完整开源;仅内部自用不分发才豁免。
- 法律后果:法院可下发禁令,强制公开企业核心商业代码,泄露商业秘密;高额赔偿(国内判例 50 万~150 万);
- 典型场景:嵌入式设备、客户端 APP、打包售卖软件内置 GPL 库。
4. AGPL 云 SaaS 漏洞风险(线上服务也触发开源)
普通 GPL 仅管控分发,AGPL 只要对外提供网页 / API 云服务,就必须公开整套业务源码。
- 踩坑:自研 SaaS 后台引入 AGPL 组件却闭源运营;拓竹 3D 打印机案典型违规未开放联网模块源码。
5. LGPL 动态 / 静态链接边界混淆
- 动态链接(dll/so):主程序可完全闭源;
- 静态链接 / 修改库源码:库修改部分必须开源;
企业常静态编译 LGPL 库并打包分发,直接违规。
6. MPL 文件级开源规则误读
仅修改过的文件需要开源,未改动文件可闭源;很多企业直接全部闭源分发,违反协议。
三、专利相关法律风险(Apache/GPL 特有)
7. Apache 2.0 专利授权义务遗漏
Apache 自带专利豁免:
- 修改文件必须标注变更;
- 若使用者起诉原作者专利侵权,自动丧失开源使用权;
风险:企业使用 Apache 代码后拿自有专利起诉原项目,直接丧失授权、构成侵权。
8. GPLv3 专利防御条款冲突
GPLv3 禁止通过专利限制他人使用代码;企业持有专利却利用 GPL 代码构建产品,存在专利交叉诉讼风险。
9. MIT/BSD 无专利保护,极易卷入专利诉讼
宽松协议仅约束版权,不授予任何专利许可。即便合规使用代码,代码内含第三方专利仍会被专利权人起诉索赔。
四、代码权属与贡献法律纠纷
10. 员工私自上传公司闭源代码到开源仓库
员工将公司职务代码、自研算法、业务逻辑开源,直接灭失商业秘密;企业无法再主张保密,竞争对手可无偿复用核心技术。
- 反向风险:员工下载开源代码写入公司项目,企业不知情承担侵权责任。
11. 多贡献者权属不清、“版权钓鱼维权”
开源项目成百上千贡献者,任意一位作者均可单独起诉侵权;国外存在专门以 GPL 维权牟利的 “版权钓鱼者”,批量起诉中小企业索要和解金。
12. 项目中途变更开源协议(回溯效力争议)
项目前期 MIT,后期改为 GPL/AGPL;企业早期下载的旧版本仍按原协议,但持续更新依赖新版本会触发新协议约束,极易合规断裂(美团 Tabbit 事件)。
五、混合依赖、协议兼容冲突
13. 依赖树协议不兼容,整体被最严格协议约束
项目同时包含 MIT + GPLv3 并打包分发,整套软件强制遵循 GPLv3,企业核心代码被迫开源。
常见冲突组合:
- GPL 与专有闭源软件不兼容;
- AGPL 与所有闭源商业分发冲突;
- MIT 可并入 Apache,但 Apache 代码不能反向并入 MIT(专利条款不兼容)。
14. 传递依赖漏查(间接引入强 Copyleft 组件)
前端 npm、后端 maven/pip 多层依赖,表层库是 MIT,深层子依赖是 GPL/AGPL,企业未扫描依赖链,无意识触发传染条款。
六、发布、分发合规程序性义务(极易忽略)
15. 未提供源码、未附许可证文本
分发软件包、固件、APP 安装包时,未附带开源协议文本、版权清单、修改记录,是法院最常认定的侵权事实。
16. 修改代码不标注变更记录(Apache 强制要求)
Apache 2.0 明确要求改动文件添加修改说明,缺失属于违约,授权失效。
17. 对外宣传使用原作者名义牟利(BSD 3 条款禁止)
3 条款 BSD 协议:不得使用原作者、机构名称做产品营销宣传,违规可被起诉不正当竞争 + 著作权侵权。
七、商业特殊协议法律瑕疵(非 OSI 标准开源)
18. SSPL、BSL 等 “伪开源” 合规风险
MongoDB SSPL 未被 OSI 认定为开源协议,商用数据库、云厂商使用会被要求公开全部业务代码;BSL 限时开源,到期未付费则转为 GPL,企业容易忘记续费触发侵权。
19. 自定义限制类协议(禁止军工、禁止云商用)
自行添加限制条款不属于标准开源,跨地区出海、军工项目使用存在合同效力争议,跨境合规风险极高。
八、民事、行政、刑事多重法律后果
民事责任(主流)
- 停止侵权、下架产品、召回固件;
- 赔偿经济损失(按侵权获利、权利人损失酌定,50 万~数百万);
- 公开源代码、刊登声明消除影响;
- 销毁全部侵权软件副本。
行政风险
市场监管、版权局查处,没收违法所得、罚款;上市企业存在 IPO 合规障碍。
刑事边界(极端情形)
故意删除版权标识、大规模商用侵权、恶意篡改开源代码规避协议,情节严重可触及侵犯著作权罪;开源投毒、恶意植入漏洞造成重大损失,可能触犯破坏计算机信息系统罪。
九、跨境与出海特有风险
- 欧美对 GPL 合规监管极严,海外销售设备违规会被海关扣押、巨额和解;
- 开源代码涉及加密、AI、军工技术,同步触发出口管制合规;
- 不同国家著作权法对 “衍生作品” 认定标准不一致,同一份协议国内外裁判尺度不同。
十、典型企业踩坑总结(一句话避坑)
- 做闭源客户端 / 硬件分发:远离 GPLv2/v3 静态链接;
- 做 SaaS 云服务:谨慎引入 AGPL 组件;
- 企业商用首选 Apache2.0(专利防护);
- 所有发布产品必须输出开源清单、完整版权声明;
- CI/CD 自动化扫描全依赖协议,排查深层子依赖;
- 员工对外贡献代码前做内部代码脱敏审查。
