Распечатать
Оценить статью
(Голосов: 16, Рейтинг: 5)
 (16 голосов)
Поделиться статьей
Людмила Гонтарь

Эксперт International Cyber-Terrorism Regulation Project (ICTRP), руководитель Цифрового образовательного проекта «knowledge+», член ТРГ «Сколково», член Комиссии по высшему юридическому образованию МО АЮР

В условиях развития рынка программного обеспечения, Big data, решений ИИ и иных технологических решений инициатива Open Source (далее — OS) становится еще более актуальной. Автоматизация бизнес-процессов зависит от технологий, которые используются на международном, национальном рынках. С одной стороны, OS ускоряет процесс работы с различным программным обеспечением и делает автоматизацию бизнес-процессов доступной и удобной, а с другой стороны, данные меры и решения не лишены риск-факторов и слабых стратегических точек.

OS как информационно-идеологическая концепция и объект правового регулирования имеет специфический характер, и потому его важно рассматривать комплексно, а именно — с позиции национально-правового и международно-правового подходов (на уровне Европейского союза и крупных цифровых платформ).

Идея OS была сформулирована Ричардом Столлманом, основателем движения OS и автором концепции «копилефта». которая была предназначена для защиты вышеупомянутой технологии. В дальнейшем данный вид лицензии был представлен в американской практике как General Public License (GPL).

Идея внедрения OS базируется на четырех свободах:

  • свободное использование программного обеспечения («нулевая свобода»);
  • возможность свободно изучать принципы работы программного обеспечения и адаптировать их для собственных целей («первая свобода»);
  • свободное распространение копий программы («вторая свобода»);
  • программу можно улучшать и публиковать. Также допускаются модификации и исправления со стороны пользователей программного обеспечения («третья свобода»).

Американская практика создала массовость правовых режимов для OS, что позволило использовать данные правовые режимы на международном рынке программного обеспечения. Подобные практики предоставили возможность вендорам выходить на международный рынок цифровых услуг и иметь определенную международно-правовую защиту своих продуктов, так как лицензии получили соответствующее мировое признание, а их разнообразие позволило вендорам распоряжаться результатами интеллектуальной собственности.

Данные правовые режимы лицензирования вошли в общемировую практику и закрепились в качестве международно-правового средства защиты и гарантий прав на интеллектуальную собственность со стороны крупных цифровых платформ. Интересно, что начало подобной регуляторике положили интернет-компании, такие как Mozilla, Red Hat, Etherium и др. Создание лицензионных пакетов для OS стало основной регуляторной политики для многих государств, в том числе для интеграционных объединений (ЕС).

Также немаловажным и труднореализуемым аспектом выступает Стратегия OS в России (далее — Стратегия). Данная Стратегия носит информационный характер, так как используемые формулировки не содержат норм «прямого действия», а также способов реализации предлагаемых мер. Перечисленные меры содержат ряд юридических погрешностей, включая использование формулировки «финансовое стимулирование», которое, по существу, подразумевает меры налогового стимулирования, применяющиеся в российской практике. Не исключен и ряд логических нестыковок, например, описание риск-факторов и мер по их устранению — например, низкое качество программного обеспечения, наличие вкладок и уязвимостей. Отсутствует связка между риск-факторами и способами их устранения. Подобные погрешности требуют дополнительной проработки и анализа не только формального характера (в части юридической техники), но и содержательного, например, функциональных особенностей OS.

Стратегия — это общий документ, однако она должна носить не только информационный характер об OS, но также создавать рамочные нормы, для последующей реализации комплекса описываемых мер.

На уровне европейского регулирования, также существует документ идентичного характера «Стратегия OS 2020–2023». Безусловно, европейская стратегия выходит на наднациональный уровень регулирования и направлена на более широкий спектр для реализации OS-решений. В данном документе содержится гораздо больше предлагаемых установок, задач и их конкретизации, чем в российском документе.

OS — это более удобное и оптимальное smart-решение для развития цифровых экосистем, что позволяет развивать цифровой и технологический рынки, однако для более конструктивного внедрения данной технологии необходим учет правовых и технических оговорок. Международная коллаборация посредством данной технологии позволит развивать правовые механизмы и стратегии в сфере OS на международном и национальном уровне.

В условиях развития рынка программного обеспечения, Big data, решений ИИ и иных технологических решений инициатива Open Source (далее — OS) становится еще более актуальной. Автоматизация бизнес-процессов зависит от технологий, которые используются на международном, национальном рынках. Например, подбор персонала в рамках smart-HR позволяет использовать как проприетарное (несвободное), так и программное обеспечение с открытым исходным кодом, в рамках работы с документацией либо системы администрирования процессов и документации. С одной стороны, подобные тренды (OS) ускоряют процесс работы с различным программным обеспечением и делают автоматизацию бизнес-процессов (как часть цифровизации в рамках компаний) доступной и удобной, а с другой стороны, данные меры и решения не лишены риск-факторов и слабых стратегических точек.

OS как информационно-идеологическая концепция и объект правового регулирования имеет специфический характер, и потому его важно рассматривать комплексно, а именно — с позиции национально-правового и международно-правового подходов (на уровне Европейского союза и крупных цифровых платформ).

Целесообразно рассмотреть OS c позиции концептуального и правового анализа на международном и национальном уровнях.

Американские принципы OS: от идеи к риск-факторам и правовой регуляторике. Международные аспекты лицензирования OS

Идея OS была сформулирована Ричардом Столлманом, основателем движения OS и автором концепции «копилефта», которая была предназначена для защиты вышеупомянутой технологии. В дальнейшем данный вид лицензии был представлен в американской практике как General Public License (GPL).

Идея внедрения OS базируется на четырех свободах:

  • свободное использование программного обеспечения («нулевая свобода»);
  • возможность свободно изучать принципы работы программного обеспечения и адаптировать их для собственных целей («первая свобода»);
  • свободное распространение копий программы («вторая свобода»);
  • программу можно улучшать и публиковать. Также допускаются модификации и исправления со стороны пользователей программного обеспечения («третья свобода»).

В американской практике постепенно сформировалось несколько видов лицензий по OS. Это было продиктовано необходимостью формирования правового режима в этой сфере, а также международно-правовой защиты данного объекта интеллектуальной собственности. Можно выделить следующие виды лицензий:

  • Apache License 2.0 — основным отличительным признаком выступает «информационный» характер уведомления, а именно — текстовый файл как часть распространяемой OS-лицензии. Уведомление предназначено только для информационных целей;
  • BSD 3-Clause «New» — при повторном распространении должно сохраняться уведомление об авторском праве. При этом ни имя правообладателя, ни имена иных разработчиков не могут использоваться для продвижения продуктов, созданных на основе программного обеспечения;
  • BSD 2-Clause «Simplified» — не содержит обязательного условия об использовании имени правообладателя с целью продвижения продуктов OS);
  • GNU General Public License (GPL) — выделяются два формата лицензией GPLv2 (несовместима с Mozila Public License и некоторыми другими) и GPLv3 (также несовместима с Mozilla Public License). Кроме того, любая несвободная лицензия несовместима с GPL, несмотря на широкий спектр правообладания (все четыре свободы), которыми наделена лицензия;
  • GNU Library or «Lesser» General Public License (LGPL) — в лицензии отсутствует обязательное требование предоставления исходного кода собственных компонентов под вышеназванные копилефт лицензией;
  • MIT license — лицензия носит академический, характер и наиболее пригодна в научной сфере, она во многом схожа с BSD-лицензиями, за исключением пункта о запрете использовать «доброе имя»;
  • Mozilla Public License 2.0 — данный вид лицензии в отличие от других свободных лицензий могут быть объединены в одной программе с проприетарными файлами (платными);
  • Common Development and Distribution License — данный вид лицензии совместим с GPL;
  • Eclipse Public License version 2.0 — базируется на Common Public License, вместе с тем он не содержит некоторые понятия, относящиеся к спорам относительно патентов. Данный вид лицензии предоставляет более гибкие правила в части отказа от авторского права.

Американская практика создала массовость правовых режимов для OS, что позволило использовать данные правовые режимы на международном рынке программного обеспечения. Подобные практики предоставили возможность вендорам выходить на международный рынок цифровых услуг и иметь определенную международно-правовую защиту своих продуктов, так как лицензии получили соответствующее мировое признание, а их разнообразие позволило вендорам распоряжаться результатами интеллектуальной собственности.

Дополнительно отметим, что в зарубежной практике была создана система договоров-стратегий SLA (пришло из американского опыта, в том числе для целей регулирования OS). SLA (Service Level Agreement) представляет собой соглашение об уровне обслуживания. Данное соглашение заключается между заказчиком и поставщиком, а также служит правовой гарантией клиенту и минимизирует риск-факторы отсутствия обратной связи по использованию OS и проблем в связи с безопасностью программного обеспечения. Из опыта зарубежных сетевых провайдеров известно, что стоимость SLA добавляется к стоимости гарантийного обслуживания (и в ряде случаев может быть в несколько раз выше стоимости гарантийного обслуживания). В целом это соответствует стандартам Международного союза электросвязи.

Подобные правовые маневры позволяют создать дополнительные гарантии защиты OS, а также применить отсылку к американскому законодательству в случае возникновения споров.

Данные правовые режимы лицензирования вошли в общемировую практику и закрепились в качестве международно-правового средства защиты и гарантий прав на интеллектуальную собственность со стороны крупных цифровых платформ. Интересно, что начало подобной регуляторике положили интернет-компании, такие как Mozilla, Red Hat, Etherium и др. Создание лицензионных пакетов для OS стало основой регуляторной политики для многих государств, в том числе для интеграционных объединений (ЕС).

Можно выделить следующие признаки международно-правовой регуляторики OS:

  • правовой режим задается интернет-компанией, которая создала исходный код, либо его доработала (модифицировала);
  • субъектами отношений в сфере регистрации лицензий (международного уровня) выступают не государств, а интернет-компании (цифровые платформы);
  • правовой режим основывается на базовых принципах, которые были созданы OS-инициативой;
  • правовой режим лицензирования не требует дополнительного признания, а подразумевает добровольный договор.

Регуляторика Open Source в России и ЕС

Дополнительно следует рассмотреть не только правовые режимы лицензирования, но и попытки государств создать правовые рамки для OS на национальном и международном уровнях. Однако на международном уровне (ЕС) подобные рамки не столь категоричны, а наоборот гибкие, но в них содержатся правовые инструменты для реализации OS.

Также немаловажным и труднореализуемым аспектом выступает Стратегия OS в России (далее — Стратегия). Основные триггеры, которые в ней описываются:

  • принципы, которые рассмотрены через призму исторической справки на тему возникновения первых свободных лицензий (раздел 2 и 3). Также рассмотрены риски, препятствующие эффективному использованию OS;
  • кратко охарактеризованы меры, направленные на содействие цифровому развитию России, а именно — развитию OS;
  • меры по развитию отечественной ИТ-отрасли и ее кадрового потенциала, где указывается на определение классов ПО и финансовые меры поддержки OS;
  • выделен раздел по мерам, которые направлены на популяризацию программного обеспечения, включая проведение мероприятий и конференций, а также научных исследований по OS;
  • перечислены способы минимизации рисков в ходе реализации данной стратегии. К ним относятся: реализация механизмов стимулирования перехода с иностранных проприетарных решений на российские решения; внедрение системы единых стандартов и критериев оценки соответствия программного обеспечения «открытой модели»; стимулирование участия российских разработчиков в международных проектах, продукты которых используются в России и т.д.

Данная Стратегия носит информационный характер, так как используемые формулировки не содержат норм «прямого действия», а также способов реализации предлагаемых мер. Перечисленные меры содержат ряд юридических погрешностей, включая использование формулировки «финансовое стимулирование», которое, по существу, подразумевает меры налогового стимулирования, применяющиеся в российской практике. Не исключен и ряд логических нестыковок, например, описание риск-факторов и мер по их устранению — например, низкое качество программного обеспечения, наличие вкладок и уязвимостей. Отсутствует связка между риск-факторами и способами их устранения. Подобные погрешности требуют дополнительной проработки и анализа не только формального характера (в части юридической техники), но и содержательного, например, функциональных особенностей OS.

Стратегия — это общий документ, однако она должна носить не только информационный характер об OS, но также создавать рамочные нормы, для последующей реализации комплекса описываемых мер.

На уровне европейского регулирования, также существует документ идентичного характера «Стратегия OS 2020–2023». В европейской стратегии можно условно выделить следующие значимые аспекты:

  • связь OS с такими важными техническими объектами, как большие данные, цифровые технологии (инфраструктура), что обозначено в разделах Digital strategy (раздел 3.3) и Data strategy (раздел 3.5);
  • цифровая автономность открытого исходного кода (разделе 4.1) — авторы европейской стратегии обращают внимание на создание автономной информационной инфраструктуры (вне компаний и государств), что минимизирует риск монополизации вендорами цифрового рынка. Также создание оптимальной гибкой цифровой платформы;
  • подробно рассмотрен вопрос об имплементации европейской стратегии;
  • перечислены шесть основных принципов: открытость (идеям по софту и другим направлениям); трансформация (распространение принципов работы OS на всю информационную инфраструктуру); обмен (возможность делится программным кодом для других проектов OS); ассоциации и объединения по OS; кибербезопасность (использование технологий открытого кода для выявления киберугроз); принцип сертификации и лицензирования OS; имплементация стратегии.

Безусловно, европейская стратегия выходит на наднациональный уровень регулирования и направлена на более широкий спектр для реализации OS-решений. В данном документе содержится гораздо больше предлагаемых установок, задач и их конкретизации, чем в российском документе.

В части реализации стратегии упоминается отдельное мероприятие на европейском уровне — проект «EU-FOSSA 2». Он направлен на повышение безопасности и интеграции технологии открытого исходного кода в критической инфраструктуре. В рамках данного проекта предполагается расширение «кибераудита» OS следующими путями:

а) настройка программ «bug bounty»;

б) организация хакатонов и конференций;

в) взаимодействие с разработчиками.

Полагаем важным отметить, что программы-модели «bug bounty», в которых можно использовать хакеров для выявления непредвиденных издержек безопасности OS, позволяет повышать устойчивость кибербезопасности.

Подобные конструкции на европейском уровне могут послужить хорошим сравнительно-правовым примером для РФ в условиях создания наднациональных конструкций (например, в рамках ЕАЭС).

Отдельные аспекты правовой регуляторики в России. Правовой рецепт решения кейса OS

В России, в отличие от США, нет четкого понимания в области правовой регуляторики OS. В соответствии с частью 5 статьи 1233 ГК РФ правообладатель может заявить публично о предоставлении безвозмездного использования принадлежащих ему произведений науки, литературы, искусства, либо объекта смежных прав на определенных правообладателем условиях и в течение указанного им срока. Однако определение OS в настоящее время не введено в рамках ГК РФ.

Согласно статье 1261 ГК РФ, авторские права для ЭВМ, которые могут быть обозначены на любом языке и в любой форме, включая исходный текст и объектный код, охраняются также, как авторские права на произведения литературы. Под программой для ЭВМ понимается представленная в объективной форме совокупность данных и команд, предназначенных для функционирования ЭВМ и других компьютерных устройств в целях получения определенного результата, включая подготовительные материалы, полученные в ходе разработки программы для ЭВМ, и порождаемые ею аудиовизуальные отображения. Вышеназванная формулировка относится к программному обеспечению, но не относится к OS ввиду специфики последнего. В этой связи в рамках действующих объектов интеллектуальной собственности OS не относится ни к одному из объектов. Кроме того, соответствующий реестр программного обеспечения неприменим к OS ввиду отсутствия дефиниции и установленного режима его использования.

Вместе с тем в законодательстве Российской Федерации присутствуют отдельные акты, регламентирующие «наличие» OS на рынке, например, ГОСТ-Р-54593-2011, ГОСТ-Р-ИСО/МЭК 26300-2010 и т.д., но в данном случае правовая охрана и режим лицензирования остается вне поля норм данных актов.

Режим упрощенной лицензии, как следует из вышеназванных положений для OS, не предусмотрен. В этой связи требуется уточнение данного режима в законодательстве.

Существует множество правовых инструментов для закрепления OS и форм его использования, что может способствовать гарантии защиты прав разработчиков:

  • внесение изменений в Гражданский кодекс Российской Федерации, путем определения OS и видов лицензий, применимых к данным объектам. Нормы, регламентирующие ПО и OS различны прежде всего по объекту правового регулирования. В статье 1225 ГК РФ регламентирован перечень охраняемых результатов интеллектуальной деятельности и средств индивидуализации. Перечень является закрытым и, следовательно, OS находится вне объектов гражданских прав. На наш взгляд, при его определении следует руководствоваться правилами проекта Debian (проект в сфере OS), в которых подробно описан правовой режим OS (лицензия). На международном уровне существует Договор ВОИС по авторскому праву 1996 г., который заключен в рамках Бернской конвенции. Он направлен на защиту прав авторов в цифровой среде. В частности, объектами правового регулирования выступают: компьютерные программы; компиляции данных или другой информации («базы данных»). Таким образом, авторское право на OS признается в мировой практике и должно быть регламентировано;
  • включение соответствующей статьи в Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» по аналогии со статьей 12.1, устанавливающей особенности государственного регулирования в сфере использования российских программ для электронных вычислительных машин и баз данных с указанием правил формирования и ведения реестра российского OS.

Внесение соответствующих изменений и дополнений в действующее законодательство необходимо с точки зрения и возможных мер поддержки для разработчиков OS.

Подобные форматы правового закрепления в российском законодательстве позволят создать соответствующий правовой фундамент для признания таких объектов интеллектуальной собственности, как OS. Отсутствие признания на законодательном уровне международных лицензий на OS и каких-либо цивилистических оговорок о возможности их признания создают сложности. Трудности могут проявляться в следующих риск-факторах: экономическом, правовом и политическом. Признание OS и возможность использования иностранных лицензий необходимо для формирования рынка программного обеспечения, а также продвижения отечественного программного обеспечения на условиях постепенной унификации общих требований к OS на общих международных началах.

Проекты OS: опыт DARPA, NASA и зарубежных вендеров

Положительным фактором является устранение проблем продвижения разработчиков (вне компаний) на рынке и проведение мероприятий в сфере проектов OS в рамках кибербезопасности цифровых платформ государственных учреждений (DARPA [1] и т.д.).

Отношение разработчиков к проблемам OS не столь однозначно. Приоритетная проблема здесь — безопасность использования OS, которая связана с кибератаками и Heartbleed Bug (серьезная уязвимость в популярной библиотеке криптографического программного обеспечения OS). Этот недостаток позволяет украсть информацию, защищенную в нормальных условиях шифрованием SSL/TLS, используемым для защиты Интернета. В этой связи для разработчиков, которые внедряют данные системы, есть риск, что дополнительные компоненты к OS также могут быть похищены или использованы злоумышленниками, так как надлежащей правовой защиты не предусмотрено. Кроме того, в сфере риск-факторов —кража без использования какой-либо конфиденциальной информации или учетных данных секретных ключей.

Следует отметить, что из этого следует отсутствие интереса к подобным проектам. Однако проблема безопасности OS может создать риски копирования и дальнейшей финансовой поддержки со стороны заказчиков.

Вместе с тем существует ряд зарубежных проектов в формате OS, такие как DARPA Open Sources FETT Bug Bounty Hardware Evaluation Platform Tools и ряд проектов NASA (CODE-A Software Framework for control and Observation In Distributed Environments, Mission Stimulation Toolkit (MST) и т.д.)

DARPA шире подходит к понятию OS и объединяет программистов со всего мира, которые при помощи цифровой платформы прорабатывают соответствующие уязвимости в системе государственных цифровых платформ и т.д. Подобная деятельность финансируется из фондов DARPA и дает дополнительный стимул для разработчиков в поиске уязвимостей и их устранения (написание соответствующего OS).

Данные инициативы имеют гибкий подход к отбору проектов в сфере кибербезопасности, что полностью соответствует подходам и логике OS. Технология привлечения программистов и выявления слабостей системы на соответствующей цифровой платформе на OS — основная часть проекта, которая позволяет более точечно определить уязвимости, продвижение OS на цифровом рынке, а также построить карту риск-факторов. Технология OS базируется на новом процессоре RISC-V, который не требует специальной лицензии и подходит для всех уровней вычислительных систем (от микроконтроллеров до суперкомпьютеров) и был разработан в рамках SSITH (System Security Integrated Through Hardware and Firmware).

На базе NASA были созданы и функционируют следующие проекты (выделены наиболее интересные):

  • Программная среда CODE-A для управления и наблюдения в распределенных средах — безопасная передача полученной информации в другие программы, а также обеспечение безопасного выполнения задач в удаленных компьютерных системах;
  • Набор инструментов для моделирования миссий (MST) —платформа моделирования для поддержки исследования в автономном режиме (удаленного исследования). Система позволяет разработчикам тестировать модели в симуляции с высокой точностью, а затем оценивать производительность системы в сравнении с набором интегрированных и стандартизированных симуляций;
  • Система автоматизированной диагностики и дискретного управления сложными системами (Livingstone 2, L2) и набор вспомогательных функциональных средств разработки и выполнения программ (Skunkworks, S). L2 — система искусственного интеллекта (ИИ), предназначенная для помощи функционирования космических кораблей, систем жизнеобеспечения, химическим предприятиям или другим сложным системам при минимальном контроле со стороны операторов связи даже в случае экстренных ситуаций. S — это набор программных инструментов, которые поддерживают быстрое развертывание сложных систем для L2.
  • NASA создала общий гайд о том, каким образом следует публиковать и создавать OS в рамках собственной цифровой экосистемы. Для публикации и предложения OS-решения/проекта необходимо пройти ряд стадий: риск-анализ проекта; зарегистрироваться на специальном сетевом ресурсе; заполнить все дополнительные формы по проекту; импортировать OS-код на ресурсы NASA; зарегистрировать через форму мета-данные проекта; после одобрения проекта можно посмотреть его успешное размещение на ресурсах NASA. Однако при продвижении своего проекта в экосистему организации следует учесть ряд элитарных факторов, которые влияют на одобрение проекта OS и его успешное продвижение. Например, NASA имеет юридический мониторинг OS, который позволяет продуктам выходить на международный уровень. Все проекты в сфере OS должны быть протестированы на предмет прав разработчиков, которые его представляют, включая права на подкомпоненты OS. Если проект OS использует внешние заимствования, то необходимо предоставить подробную информацию о дополнительных пакетах OS-решений. Права подтверждаются патентным центром, либо юрисконсультом организации, либо в рамках юридического подразделения NASA.

    OS — это более удобное и оптимальное smart-решение для развития цифровых экосистем, что позволяет развивать цифровой и технологический рынки, однако для более конструктивного внедрения данной технологии необходим учет правовых и технических оговорок. Международная коллаборация посредством данной технологии позволит развивать правовые механизмы и стратегии в сфере OS на международном и национальном уровне.

    1. DARPA — агентство перспективных оборонных исследовательских проектов является агентством по исследованиям и разработкам Министерства обороны США, ответственным за разработку новых технологий для использования военными. В DARPA одним из приоритетных направлений являются OS разработки, которые работают на проектах по выявлению кибератак, взломах систем и прочее.

    Оценить статью
    (Голосов: 16, Рейтинг: 5)
     (16 голосов)
    Поделиться статьей
    Бизнесу
    Исследователям
    Учащимся