主持人语
“十五五”规划纲要强调,“深入推进数字中国建设,提升数智化发展水平。”当前,以人工智能为代表的数智技术加速演进、生产方式发生深层次变革,开源已从社群内部的技术协作机制,逐步成长为关涉创新生态、产业发展与社会治理的重要议题。开源在实践中的演进速度持续加快,亟需加强制度供给。
人工智能时代的开源,治理对象从单一代码扩展为模型、数据、权重、工具链的复合体,治理场景从本土协作延伸至全球合作与竞争。在这样一个生态日趋丰富、场景更加多元、科技快速进化的前沿领域,知识产权法律制度应当如何适应与回应?
2026年1月,最高人民法院将“开源技术知识产权法律问题研究”列入年度司法研究重大课题。我们邀请相关课题组专家与技术专家,从知识产权法、竞争法、数据法、司法实践与人工智能技术等不同视角,围绕开源治理中的知识产权核心议题展开讨论。讨论中既有对基本概念的理论澄清,也有对制度滞后的敏锐洞察,更有对中国方案的建构思考。希望这些讨论能够为开源治理的制度完善提供学理支撑,为数字时代的法治建设贡献一份智识力量。
【圆桌论坛】
从代码到规则:人工智能时代开源治理的法律回应(下)
主持人:
杜微科(最高人民法院知识产权法庭副庭长)
与谈人:
张平(北京大学法学院教授、北京大学人工智能研究院AI安全与治理中心主任、北京大学武汉人工智能研究院副院长)
孙海龙(重庆市高级人民法院党组成员、副院长,一级高级法官,首届全国法院审判业务专家,西南政法大学教授)
陈兵(南开大学竞争法研究中心主任、法学院教授,中国新一代人工智能发展战略研究院特约研究员)
王鑫(北京航空航天大学人工智能学院副教授、工业和信息化智慧法治工信部重点实验室研究员)
辜凌云(北京大学智能学院助理研究员,跨媒体通用人工智能全国重点实验室研究员)
五
杜微科:开源在促进开放合作的同时,也可能伴随平台控制、技术路径依赖、生态锁定,以及由此引发的市场支配地位与排除、限制竞争等问题。面对这些隐忧,法律治理应当如何回应?
王鑫:人们往往将开源与反垄断划上等号,认为开源天然促进竞争。然而,在当前的平台经济与算力集中背景下,开源正在催生新型的市场竞争与垄断问题。科技巨头将投入数千万美元训练的基础大模型开源,其目的可能出于公益,但客观上对商业模型公司的盈利基础形成压力。与此同时,巨头通过开源吸引全球数百万开发者基于其特定框架(如CUDA生态)和特定API接口进行开发,形成极其庞大的网络效应。一旦开发者习惯了这套生态,高昂的迁移成本将导致严重的技术路径依赖与生态锁定。部分平台可能打着开源的旗号,吸引社区贡献者免费贡献代码,在吸收了大量创新思路和外围代码后,将其核心的高级功能、企业级服务或算力调度通道予以闭源收费。这种“开源洗白”行为,实际上利用了开发者的群体智慧,最终却将社区引向了单一厂商的市场支配地位。
面对这种隐形的垄断风险,传统的反垄断分析工具(如相关市场界定、价格垄断等)显得力不从心。反垄断法与反不正当竞争法的介入应当更加精细化:重点审查大企业是否滥用其开源生态主导地位拒绝提供兼容性API,是否在云服务捆绑中实施排他性限制,以及是否通过设置隐蔽的许可证商业门槛来打压潜在竞争对手。
陈兵:随着开源从边缘的技术分享运动演进为主流的产业协作范式,其在运行过程中也暴露出新型竞争风险。
一是开源生态中的“守门人”风险。随着开源项目的成长,少数关键项目逐渐演化为整个数字基础设施的核心组件,其项目治理机构实际上掌握了影响下游产业创新的“守门人”权力。这种权力可能被滥用于排斥竞争对手:主导企业通过在技术委员会中占据多数席位,推动采纳仅适配自身硬件架构的技术标准,系统性地抬高其他厂商的适配成本;或者通过控制代码合并权限,无故拒绝竞争对手的合理贡献,使其被迫保持技术落后;或者在许可证层面设置不对称条款,给予关联企业更优待遇。特别是,某些具有市场力量的硬件厂商作为开源生态的直接受益者,在零成本获取开源代码并实现商业盈利后,不仅未能遵循开源生态“共享、协作、互利”的核心准则,反而滥用自身优势地位,通过设置安装拦截、限制上架等行为,侵害了为开源生态作出实际贡献的软件开发者的合法权益,严重打击了开发者的投入意愿,削弱了整个生态的创新活力与多样性。
二是“先开源后闭源”的路径转换风险。部分企业在市场培育初期采取开源策略,以降低技术门槛、吸引开发者、快速积累用户基础;待网络效应形成、转换成本高企后,策略性地收紧许可条件,甚至全面转向闭源。企业利用开源阶段建立的生态优势,在后续阶段通过限缩开放程度攫取超额市场利益,前期开源积累的生态优势由此转化为闭源阶段的竞争壁垒。
三是开源协议作为协同行为载体的风险。开源社区天然具有协调性特征,开发者围绕共同的技术路线开展协作,在邮件列表、技术会议等场景中频繁沟通。这种协调在促进技术创新的同时,也可能成为竞争者之间交换敏感信息、实施隐性合谋的载体。
面对上述风险,法律治理应遵循谦抑干预、精准施策的原则。
一是反垄断法的直接适用。当开源项目治理机构或主导企业的行为产生排除、限制竞争的实际效果时,应当依据《反垄断法》进行审查。对于“守门人”行为,可依据滥用市场支配地位条款予以规制,关键在于界定开源项目治理权是否构成独立的市场或必需设施;对于路径转换行为,需审查转换时点是否具备市场支配地位、转换行为是否缺乏正当理由、是否产生排他性效果;对于协同行为,可依据垄断协议条款进行查处,关键在于将技术协调与商业合谋加以区分。
二是反不正当竞争法的补充适用。对于尚未达到垄断程度但仍有损公平竞争的行为,可依据《反不正当竞争法》进行规制。例如,利用开源社区治理权对竞争者实施差别待遇、借助许可证条款进行不合理的交易限制等,可依据“互联网专条”或一般条款进行审查。相较于反垄断法的高门槛,反不正当竞争法提供了更为灵活、低门槛的救济路径,在开源场景下具有独特的制度优势。
三是竞争倡导与软法治理。建议反垄断执法机构研究制定开源协作反垄断合规指引,明确高危行为的类型与合规边界,为企业提供可预期的行为指南。同时,鼓励开源社区建立开放、透明、无歧视的治理章程,通过程序性约束防范“守门人”风险。
辜凌云:开源天然具有促进竞争的基因——降低进入门槛、打破技术壁垒、扩大参与主体。但这并不等于它能够自动免疫于反竞争风险。在人工智能时代,开源反而可能以更隐蔽的方式塑造新型竞争障碍。以下三类风险值得法律治理重点关注。
第一类是技术治理权的集中化。开源项目技术委员会席位、代码合并权、标准制定权的分配,实质上构成了一种准监管权力。这就是开源生态中的“守门人”风险。我国学界对此已有明确关注:开源虽可打破封闭模型的垄断,但仍受制于“关键生产要素控制—分发渠道路径依赖—生态集中化”这三重限制,建议反垄断行为识别应从“价格导向”转向“生态导向”。
第二类是开源模式的战略性转换风险。这类风险在实践中主要表现为两种形态:一是“先开源后闭源”,既有前期积累的生态惯性作为抵押,也有后期限缩的超额利润作为目标;二是“先开源后限用”,通过许可证变更实质性限制特定竞争者的使用空间。这类战略性转换难以被传统反垄断分析直接覆盖——转换时点可能尚未形成支配地位,转换行为可能被“商业可持续性”等理由所包装。这需要反垄断法在此类情形中发展出更精细的识别工具。
第三类是权重开放与接口开放的差异化锁定风险。两种开源模式各自面对不同的竞争问题。权重开放看似最为彻底,但其“不可逆扩散”特性也使“生态俘获”成为可能:通过大规模免费权重发布打开下游生态,再通过算力、分发平台、上层应用等互补资源形成新的锁定。DeepSeek等中国模型的开源,在客观上挑战了OpenAI、Google的主导地位,但也提出了“开源模型的反垄断规则能否跨境适用”这一新问题。接口开放则相反——模型能力越强,接口背后的控制权越集中,所谓开放仅停留在使用便利层面,核心能力的审视仍然是闭合的。两种路径对应的治理工具应有区分:权重开放需要防范“生态俘获”,接口开放需要防范黑箱控制。
就法律治理而言,开源的标签不应成为逃避审查的“避风港”,只要行为实质上产生了限制竞争效果,就应当纳入规制范围。反垄断法与反不正当竞争法各有侧重,柔性治理与刚性规制的有机结合,方能在开源场景下真正奏效。
孙海龙:开源以开放、协作、普惠为核心价值,极大释放了创新活力,但在资本介入、平台主导、商业理性的现实逻辑下,开源完全可能异化并引发新型市场竞争问题。在开放合作与平台控制并存的格局下,技术依赖、生态锁定、市场支配地位滥用等风险会层层传导、相互强化,亟须法律治理精准介入、有效规制。
第一,开源模式在实践中异化出三类典型的新型市场竞争问题。除了王鑫研究员所分析的“开源洗白”行为之外,还有以下两类:首先是零价格掩护下的跨市场排挤行为。开源基础软件以零价格提供,突破了传统反垄断的分析框架,大型科技企业通过补贴开源项目实施掠夺性定价,在挤压竞争对手之后,于云服务、硬件、API等相邻市场获取垄断收益,形成“免费底层+收费顶层”的闭环壁垒。其次是协同限制竞争行为。少数巨头主导开源基金会与技术标准制定,通过技术规范、接口设计将中小主体排除出主流生态,形成形式开放、实质封闭的排他性格局。
第二,开放合作与平台控制相结合,必然形成技术依赖、生态锁定、市场支配地位滥用这三大传导式风险。其一,技术依赖。在商业开源模式下,核心代码版权被主导企业垄断,代码分发的制衡机制失效;我国关键基础设施对国外开源项目高度依赖,在核心技术上面临一定外部约束,同时企业转换技术生态的成本极高,自主创新动力被抑制。其二,生态锁定。底层代码开放并不代表生态开放,平台通过反碎片化协议、接口控制、互补品搭售等手段,将开发者、厂商、用户锁定在单一技术体系内,形成封闭生态。其三,市场支配地位滥用。平台兼具生态规则制定者与市场竞争者的双重身份,实施杀熟并购、擅自终止API访问、自我优待、拒绝交易等行为,依托底层支配地位挤压竞争对手,构成典型的滥用行为。
第三,面对开源生态中隐蔽的竞争风险,法律治理必须穿透形式、协同规则、精准规制,构建适配数字时代的治理体系。一是完善相关市场界定规则。针对开源零价格特征,采用质量下降测试,考量跨边网络效应,必要时减轻原告在市场界定上的举证责任。二是重构必需设施理论的适用规则。适度放宽认定标准,将核心算法接口、数据、基础设施纳入规制范围,严厉打击拒绝交易行为。三是强化经营者集中的实质控制力审查。突破营业额申报门槛,重点审查生态控制力、核心版权与社区资源的控制权,防范杀熟并购。四是建立生成式AI的实质开源认定标准。拒绝形式化的伪开源,遏制对公共创新资源的不当攫取。通过知识产权法、反垄断法、反不正当竞争法的协同发力,实现开放创新与公平竞争的有机统一。
张平:开源与市场竞争的关系是一个容易被简化处理的议题。主流讨论倾向于将开源视为打破垄断、降低进入门槛的天然力量,从而忽略了它在新型市场结构中可能形成的新型竞争风险。更具分析价值的进路,是将开源与竞争法中的传统议题——包括专利联盟、标准必要专利、FRAND承诺——置于同一观察视野内,考察其在人工智能产业结构下可能产生的交叉与张力。
专利联盟自20世纪90年代起在全球范围内持续运作,以MPEG-LA、Via Licensing等为代表,其基本模式是将分散于多家企业的标准必要专利集中授权,并以统一费率对外许可。反垄断机构对此类联盟的审查所确立的核心标准有三:专利的必要性、费率的非歧视性、整体安排的合理性。开源项目在功能形态上与专利联盟具有可比性——参与者将其持有的专利以默示或明示方式许可给所有使用该项目的主体——但二者在关键维度上存在制度差异:开源的许可对象不限定于特定成员范围,许可费率为零,许可期限为永久。这种特殊形态是否应当接受与专利联盟同等标准的反垄断审查,目前尚无明确的规则回应,而这一空白在人工智能基础模型的竞争格局中将日益显现其规范意义。
标准必要专利与开源的关系更为复杂。当开源项目采纳了标准必要专利所覆盖的技术时,原有FRAND承诺的适用性需要重新审视;当一个主导企业既控制着开源项目又持有相关标准必要专利时,其双重身份在反垄断法上的评价同样需要新的分析工具。欧盟在2023年讨论《关于标准必要专利及修订欧盟2007/1001条例》的提案时,已出现将开源项目作为FRAND义务例外情形处理的立法意见,但至今未形成定论。国内在标准必要专利领域已通过华为诉交互数字(IDC)、华为诉三星、诺基亚诉小米等一系列案件积累了较为丰富的司法经验,确立了FRAND承诺的合同性质与违反后果,但这些经验尚未延伸至开源场景。这一空白需要在未来的反垄断执法与司法实践中逐步填补。
市场集中是必须正视的另一维度。开源在制度形态上具有打破垄断的潜能,但在人工智能基础模型这一具体市场中,实际结构远较理论模型复杂。有能力从零训练大型基座模型的企业,在全球范围内屈指可数。这些企业将部分模型以权重开放的形式开源,在获取社区声誉与生态影响力的同时,仍然保持对算力、训练数据、分发渠道等关键互补资源的高度集中控制,由此形成的是一种“表层开源、底层集中”的新型市场结构。传统的反垄断分析工具以价格与市场份额为核心变量,难以有效识别此类结构中的竞争风险,需要引入对互补资源控制力、生态依赖程度、下游切换成本等新要素的综合评估。
反不正当竞争法在这一领域具有独特的补充适用空间。借助许可证条款实施差别待遇、借助社区治理权阻碍竞争者合理贡献、借助开源声誉积累用户之后单方转向闭源等行为,未必达到反垄断法的规制门槛,但可纳入反不正当竞争法的调整范围。目前主要依据《反不正当竞争法》第2条一般条款与第12条“互联网专条”处理,个案判断的成分较大,稳定性不足。若能通过典型案例的积累,将开源场景下的不正当竞争行为予以类型化,将为产业提供更为清晰的合规预期。
综上,法律治理在开源竞争问题上应沿三条路径协同展开。其一,专利联盟与标准必要专利的既有规则,应对照开源场景作出适应性调整,明确FRAND义务与开源许可证的衔接方式。其二,反垄断执法应发展以“生态集中度”为核心的新型评估工具,将互补资源控制纳入审查视野。其三,反不正当竞争法应通过典型案例的积累,形成开源场景下的行为类型化规则,为企业提供可预期的合规边界。单一制度工具不足以应对开源竞争问题的复合性,制度组合才是符合产业实际的治理路径。
六
杜微科:随着我国人工智能开源模型的跨境使用和国际影响不断增强,开源对现有的技术进出口管理、数据跨境流动与安全治理等提出哪些挑战?如何更好地统筹发展与安全?
王鑫:传统的技术进出口往往是点对点的商业交易,主体明确。但开源发布是一种广播式、去中心化且不可撤回的行为:一旦某项先进的AI模型或核心代码被推送到GitHub等公共平台,瞬间即可被全球任意地点的用户下载。美国试图将开源AI模型纳入其《出口管理条例》(EAR)的管辖范围,但在实际操作中面临巨大的执法困境——无法阻止一个被列入实体清单的机构匿名下载开源权重,也无法在浩如烟海的衍生开源项目中追踪底层技术的流向。这种基于静态实体清单的阻断式监管,难以适应开源的动态网状生态。
AI开源模型跨境流动的特殊性在于,模型权重中潜藏着训练数据的特征。一方面,我国开发者在使用境外开源大模型进行二次开发时,面临模型被预埋后门、植入恶意指令以及隐含特定价值取向等隐蔽的供应链安全风险;另一方面,当我国具有优势的开源项目出海时,如何防范其中蕴含的我国公民隐私数据或核心地理、经济数据被境外势力通过逆向工程还原,构成了《数据安全法》视域下的新型数据出境风险。传统的“数据不出境”策略,必须演变为对“模型权重安全出境”的精细化技术审计。
辜凌云:人工智能开源的跨境传播与传统技术转让在行为结构、可控程度、救济可能三个维度上均存在根本差异,既不能简单套用既有管制框架,也不能听任其处于规则真空。
差异之一是传播行为的不可逆性。传统技术出口以“可识别、可控制”为前提,假设出口方对技术流向保有相当程度的掌控能力。但开源——尤其是权重开放——一旦上传便即时全球可得,GitHub、Hugging Face等境外平台的自动同步机制,使得“从第0秒起技术流向已不可撤回”成为常态。传统管制的“事前审批—事中跟踪—事后追责”链条在此几近失效。
这一事实也深刻影响了主要国家的应对策略。美国2023年10月的行政令(EO14110)将“权重广泛可得的两用基础模型”作为新问题单独提出,责成美国国家电信和信息管理局(National Telecommunications and Information Administration,简称NTIA)进行专题研究。NTIA于2024年7月30日发布的《权重广泛可得的两用基础模型》报告得出了一个审慎的结论:目前证据尚不足以判断对开放权重模型施加限制是必要的,建议采取“监测为主”的策略,通过标准、披露、审计等工具构建风险监测组合,保留未来调整的空间。欧盟《人工智能法案》的处理略有不同——该法第2条第12款对以自由开源许可证发布的AI系统给予了原则性豁免,序言第102条进一步阐明豁免条件为“参数(包括权重)、模型架构信息、模型使用信息公开可得”;但这一豁免不适用于高风险AI系统、禁止用途AI与通用人工智能模型(GPAI),后者依据第53条须提供“训练数据的充分详细摘要”。美欧两种路径并无优劣之分,但共同体现了一个事实:开源跨境治理必须建立在对“不可逆性”的诚实承认之上。
差异之二是客体在多部法律框架下存在定性冲突。开源的跨境流动不仅涉及代码,还涉及模型权重、训练数据集乃至用户交互数据。这些客体在《数据安全法》《个人信息保护法》《数据出境安全评估办法》等框架下,均可能被归入重要数据或个人信息范畴。问题在于,模型权重内化了训练数据的敏感信息,即便原始训练数据并未出境,权重跨境传输也可能构成事实上的数据出境。严守文义解释会使开源贡献者面临过高的合规成本,阻碍我国开发者参与全球协作;完全豁免又可能造成实质性的安全风险。这是规则设计上必须正面回应的两难。
差异之三是规则协调的必要性更强。开源是全球性现象,单边管制难以真正奏效。若我国对开源权重跨境流动加以严格管制,而其他主要司法管辖区不跟进,其实际效果可能仅是“自伤”——我国开发者将被迫在合规和参与之间艰难权衡,而境外模型的全球流动却不受影响。反过来,若国际规则对开源权重采取过严管制,对我国重要开源贡献国与应用市场的地位也会产生直接影响。
基于上述差异,我国的应对路径可从以下几个方向展开。其一,建立分级分类的开源技术出口管制清单。分级应具体到技术能力的可量化指标,如模型参数规模、能力评估分数、危险用途能力等,避免依赖模糊标准。其二,明确AI开源场景下数据出境的豁免条件。对经过严格匿名化处理且无法逆向还原原始数据的权重、非核心领域的开源数据集、已尽到合理数据合规审查义务的贡献者,应适用简化程序或“安全港”规则。其三,区分权重开放与接口开放的跨境规则。在接口开放模式下,服务提供者对访问仍保有控制权,现行数据跨境评估框架基本可以适用。在权重开放模式下,控制权让渡后即不可回收,治理重心必须前移至发布前的能力评估与发布后的监测响应,而非事后追溯。其四,深度参与国际规则制定。我国应在OSI等国际组织、WIPO等多边平台主动设置开源治理议题,并支持开放原子开源基金会等本土机构的国际化进程,推动形成反映发展中国家关切的开源跨境治理共识。
陈兵:我国《技术进出口管理条例》将“技术进出口”界定为“从中华人民共和国境内向境外,或者从境外向中华人民共和国境内,通过贸易、投资或者经济技术合作的方式转移技术的行为”。在开源场景下,开发者将代码上传至GitHub等境外平台的行为,是否构成技术出口?若构成,由于GitHub的自动同步机制,代码上传后即时可供全球访问,开发者是否需要在每次上传前逐次申请出口许可?这显然不具备操作可行性。当前实践中,监管部门采取了一种务实立场:将主动、重大、核心的开源行为纳入监管视野,对一般性开源行为采取备案管理或事后监管。但这种非正式安排缺乏明确的法律依据,给开发者带来了合规不确定性。
从功能视角看,对开源数据集施加过严的出境限制,可能阻碍我国开发者参与全球AI开源协作,反而不利于技术追赶。因此,制度回应需要在安全与开放之间寻求动态平衡。
在分级分类方面,可根据技术的敏感性、开源的主动性与规模性,建立差异化的管制要求:对于基础性、通用性开源技术,采取备案管理模式;对于战略性、前沿性开源技术,实施实质性出口管制,要求开源主体进行安全评估并履行报告义务;对于涉及国家安全的核心技术,原则上不应开源,或在严格可控范围内有限开源。
在国际合作层面,应积极参与G20、OECD等多边平台的规则讨论,同时加强与主要开源项目所在司法辖区的双边执法合作,建立信息共享与联合调查机制,共同应对跨境开源引发的安全风险。
张平:开源跨境传播所提出的核心问题,不应被简化为某一具体规则的修订需求,而应被理解为现行国际知识产权规则体系本身与开源形态之间的结构性张力。这一张力若不在多边与单边层面获得系统回应,开源的跨境治理将长期停留在碎片化的应急处置层面。
现行国际知识产权规则体系自1886年《伯尔尼公约》确立著作权最低保护标准起,经由1994年TRIPS协定、1996年WIPO版权条约与表演录音制品条约、2013年《马拉喀什条约》等一系列多边框架,形成了当代国际知识产权规则的制度支柱。这套体系建立在两个相互支撑的基本前提之上:其一,权利客体能够被清晰识别与归属——作品归属、权利内容、保护范围均须在各缔约国法域内得到可操作的界定;其二,跨境流动发生在可识别的主体之间——出口方与进口方的身份确定,是既有管制框架得以运行的前提。开源形态的兴起对这两个前提都构成了结构性挑战。
就客体识别而言,开源项目由分散在全球的贡献者共同完成,整体作品上的权利归属处于持续流动之中,与《伯尔尼公约》所设想的清晰作者身份存在显著落差。人工智能模型的权重则更为特殊——它既不完全符合《伯尔尼公约》所界定的“作品”构成要件,也不属于TRIPS协定所规范的“计算机程序”范畴。当客体本身无法在既有多边框架下获得清晰分类时,各成员方所承诺的“给予最惠国待遇”“提供有效救济”等具体义务,便失去了操作基础。
就主体识别而言,传统技术转让发生在可识别的出口方与进口方之间,《技术进出口管理条例》的监管框架正是建立在这一前提之上。开源传播则呈现出显著的广播式特征——代码或模型一经上传至GitHub、Hugging Face等全球平台,便即时全球可得,既不存在明确的出口方,也不存在明确的进口方,既有的出口管制逻辑因此面临适用困境。同样的问题也呈现在美国EAR框架与欧盟双用途物项出口管制体系中。
国际社会已经开始回应这一结构性挑战。WIPO自2019年起发起“人工智能与知识产权对话会议”,至2025年已召开11届会议,训练数据的版权边界、人工智能生成内容的权利归属、版权基础设施建设等议题均纳入讨论范围。欧盟《人工智能法案》对开源模型给予有限豁免,但对通用人工智能模型仍要求提供训练数据摘要,在尊重开源制度功能的同时坚持规则管辖。美国NTIA2024年发布的《权重广泛可得的两用基础模型》报告,则建议采取“监测为主”的审慎策略,不立即对开源权重施加强制管制。两种做法在制度逻辑上各有依托——欧盟以其单一市场规模作为规则输出的制度基础,美国以其技术领先地位维持政策弹性——但均不能简单为我国所照搬。我国需要形成与自身产业阶段相适应的第三种路径。
就国内应对而言,制度建设需要在四个层面同步推进。立法层面,《技术进出口管理条例》的修订应为开源设置独立分类,明确备案管理、实质评估与严格限制的三级机制;《数据安全法》《数据出境安全评估办法》应为经严格匿名化处理的模型权重与开源数据集设置“安全港”条款,降低贡献者面临的合规不确定性。司法层面,开源模型跨境传播所涉及的管辖权认定、境外许可证在我国法域内的效力、我国贡献者对境外开源项目的权利义务等问题,需要通过最高人民法院的典型案例与司法解释逐步明晰。行政层面,建议由国家互联网信息办公室会同工业和信息化部联合发布《开源人工智能合规指引》,对贡献者、平台、使用者的义务作分层规定。国际层面,我国应在WIPO人工智能与知识产权议程、WTO数字贸易谈判等关键场域主动提出规则建议,而非仅限于被动回应他方提案;开放原子开源基金会可作为民间渠道,承担与OSI、Apache基金会、Linux基金会等国际机构的对接职能。
需要特别强调的是,开源跨境治理不应停留于“守土防御”的层面。守土在短期内固然必要,但知识产权国际规则百余年的历史经验反复证明,持久的规则话语权来自规则的构建能力,而非规则的抵抗能力。我国已是全球最大的开源应用市场与最重要的贡献来源国之一,这一实力地位应当在规则塑造层面获得相应的制度表达。从被动守土转向主动构建,是我国在新一轮全球开源治理格局中应有的战略站位。
七
杜微科:新一轮科技革命加速演进,推动经济社会发展深刻变革,未来关于开源的治理应当注意哪些问题?政策规则、技术标准、行业规范与法律制度之间,如何才能更好地紧密衔接,形成更加契合行业发展特点和规律的制度合力?
王鑫:法律不宜过度介入开源社区的具体技术协作,而应聚焦于国家安全、生命伦理和重大侵权等底线问题。在《网络安全法》与生成式人工智能管理立法的框架下,应明确基础开源大模型的“提供者”责任,设立开源项目的“避风港”规则,对遵循安全标准的开源贡献者给予责任豁免。同时,建议由政府主导建立国家级AI开源评估与安全评级中心,并实施分级分类管理机制:对于百亿参数以下的低风险开源模型,实行备案豁免,充分释放市场活力;对于可能引发重大安全风险的超大规模基础模型,推行事前安全性测试。
辜凌云:面向未来的开源治理,应朝着差异化、分层化、协同化三个方向演进,在保持开源自治传统的同时,搭建起其与正式法律制度之间更清晰的桥梁。
差异化指向治理工具的选择。前述讨论贯穿始终的一条主线是:权重开放与接口开放应适用不同的治理工具——这一区分在未来架构中应被明确确立为基础原则。对权重开放,治理重心在源头:事前以负责任许可划定行为边界,以透明度与能力评估建立风险预警,以尽职审查作为责任豁免抗辩。对接口开放,治理重心在过程:以模型卡、数据声明履行程序性披露义务,以对称开放保障竞争秩序,以可追溯性分配使用责任。二者并非非此即彼的替代关系,而是彼此互补的治理组合。
分层化指向规则层次的衔接。正式法律制度承担底线功能,开源许可证的效力认定、垄断行为的识别标准、数据跨境合规要求等基础性制度安排,应通过专门立法或司法解释予以明确规定;政策规则承担引导功能,包括开源产业政策、财政税收支持、人才培养机制等;技术标准承担互操作功能,包括模型开放度分级、安全审计规程、跨项目兼容协议等;行业规范承担日常治理功能,包括社区章程、贡献者守则、争议解决机制等。这四个层面之间应形成自上而下的制度供给与自下而上的实践反馈双向贯通,避免正式法律对实践的滞后与僵化,也避免行业自律对公共价值的忽略。
协同化指向治理主体的分工。政府部门承担规则制定与底线监管职能;开源基金会与社区组织负责日常治理与标准实施;企业作为参与主体履行合规义务与自律承诺;学术界提供理论支撑与政策建议;公众与用户发挥监督与反馈作用。在开源这样一个天然分布式的生态中,任何单一主体主导的治理模式都难以持续。
就我国具体的制度建设路径而言,建议在以下四个方面着力推进:
第一,加快开源专门法律制度供给。当前我国关于开源的规则散见于《著作权法》《反不正当竞争法》《反垄断法》之中,缺乏系统性与针对性。建议在时机成熟时,研究制定专门的开源技术知识产权保护条例,或通过司法解释对许可证效力、贡献者权属、许可证兼容性、违约与侵权适用等基础性问题作出明确规定。同时,修订《技术进出口管理条例》与数据跨境相关规则,为AI开源场景提供清晰的合规指引。
第二,构建开源治理的“安全港”与“监管沙盒”机制。对满足特定条件(如匿名化权重、已尽到尽职审查的贡献者、非敏感领域等)的开源行为,给予“安全港”保护,降低合规不确定性;对合规路径尚不清晰的新型开源模式——如LoRA增量开源、合成数据训练模型的开源、多方协作训练的开源等——允许在监管沙盒中试点,由监管部门全程跟踪评估,形成规范方案后再行推广。这是我国已在金融科技领域验证过的治理智慧,在开源场景同样适用。
第三,支持本土开源基础设施建设。开放原子开源基金会自2020年成立起,已承担起统筹协调国内开源生态的关键角色。未来应推动其在法律治理上承担更多功能,包括开源许可证的本土化适配、贡献者权属登记、标准化合规评估、跨境合作对接等。必要时可探索建立开源软件与模型著作权集体管理组织,为分散贡献者提供集体化的权利保护与维权支持。
第四,积极参与全球开源治理格局重塑。我国既是全球最大的开源应用市场,也是重要的贡献来源国,但在国际规则制定中的话语权尚未与实力相匹配。应加强对国际开源议题的系统性研究,在OSI关于“开源AI”的定义争论、LFAI&Data关于模型开放度分级的讨论、WIPO关于开源知识产权的规则磋商等关键场域主动发声,讲好中国开源实践的故事,增强在全球开源治理中的塑造力。
站在当下前瞻,开源已经从少数极客的技术理想,成长为数字时代的产业基石;站在当下深思,开源治理也正经历一段不可回避的探索期——它既要守护开放的本源价值,又要回应AI时代带来的结构性新挑战。这一探索的成败,不仅关乎我国人工智能产业的发展空间,也关乎我国能否在新一轮科技革命中为全球贡献一种兼具开放性与责任性的治理范式。
陈兵:开源治理应当朝着“多元共治、分层施策、动态调适、开放协同”的方向演进,使政策规则、技术标准、行业规范与正式法律制度形成相互支撑、有机衔接的治理网络。开源生态本身具有跨主体协作、跨场景扩散、跨边界流动的鲜明特征,单纯依赖某一类规则形态,既难以回应技术快速迭代带来的新问题,也难以兼顾创新激励、秩序维护与安全保障等多重目标。
多元共治的核心,在于推动相关部门、行业组织、开源社区、平台企业、科研机构等主体围绕不同治理事项形成职责清晰、协同联动的制度安排。进一步,就分层施策而言,对于社会公共性强的核心开源项目,适用更高的透明度与可持续性要求。这类项目往往构成数字基础设施的重要组成部分,具有影响范围广、依赖程度深、替代成本高的特点,一旦在代码供应、治理机制、维护能力或安全响应方面出现问题,相关风险极易扩散,进而影响产业上下游与社会公共利益。对于市场化商业性强的开源项目,侧重合同自治与市场竞争机制,尊重经营主体围绕商业模式、服务供给和生态建设所形成的差异化安排,通过知识产权保护、竞争法规制和消费者保护等规则进行保障。对于涉及国家安全与重大公共利益的开源技术,实施必要的事前审查与事中事后监管,尤其是在数据跨境、敏感场景、基础设施等应用中,应当形成更具针对性的风险应对机制,使开放发展与安全可控之间保持平衡。
就动态调适而言,应通过授权执法机构制定指引、鼓励行业组织发布优秀实践案例、建立试点与评估机制等方式,实现规则的持续更新与优化,避免制度供给与治理需求之间的时滞与错配。开源技术的发展逻辑决定了其治理对象并非静止不变,源代码开放、接口开放、混合许可等新形态不断出现,传统规则中的既有概念、既有分类和既有救济路径在新场景下都可能面临适用张力。如果治理体系过度依赖单一立法或解释,往往难以及时回应实践中的复杂问题,也容易在规则供给与产业发展之间形成明显落差。动态调适的价值在于通过柔性规范、行业标准和典型案例等多种形式,逐步积累治理经验,在实践基础上推动成熟规则上升为更具普遍约束力的制度安排。
政策规则、技术标准、行业规范与法律制度的衔接,应当形成金字塔式的分层结构。法律制度位于金字塔底部,承担底线规制功能,确立基本原则与红线标准,解决“能不能做”的问题,即有关开源技术和生态的基础性制度安排应通过正式立法或司法解释予以明确。政策规则位于顶部,承担方向引导与激励约束功能;技术标准位于腰部(具体操作层),承担开源技术与生态在实际运行中的技术开发、创新应用及其功能实现的规范保障功能;行业规范位于下部(软法引导层),承担行业规范治理的柔性约束功能。四个层面有机衔接,形成软硬结合、刚柔并济的治理合力。
孙海龙:随着开源从软件走向AI、从社区走向全球、从技术协作上升为国家战略,开源治理也必须同步演进。其核心方向是从单一许可证自治,转向适配技术、多元协同、内外兼顾的现代化治理体系,同时实现政策、标准、行业规范与法律制度的高效衔接。在此基础上,我国应构建兼具自主性、国际性与前瞻性的开源治理“中国方案”。
第一,开源治理必须紧跟技术与生态发展。其一,治理对象从单一代码扩展至模型、数据、权重、工具链等全要素,针对不同属性要素建立分类治理规则;其二,治理结构从开发者自治升级为多方协同共治,形成基金会主导、企业参与、社区协同、政府引导、司法保障的稳定格局;其三,治理重点从单一创新激励转向创新发展与安全可控并重,强化供应链安全、漏洞防控、数据合规等安全维度;其四,治理规则从单一许可证拓展为多层规则体系,实现政策、标准、规范、法律的有机协同;其五,治理格局从单边本土治理转向全球开放与自主可控平衡,在融入全球生态的同时保障供应链安全与技术自主。
第二,实现有效治理的关键,是推动政策规则、技术标准、行业规范与正式法律制度的功能互补与高效衔接。国家政策负责顶层设计、战略引领与资源配置,应将开源纳入国家创新体系,提供财政、税收、人才等支持;技术标准负责统一接口、规范流程,推广软件物料清单(SBOM)等制度,实现规范化与国际接轨;行业规范由基金会、行业协会制定,发挥自律约束作用,填补法律与政策的衔接空隙;法律制度提供底线保障与强制救济,明确新型权益属性、责任边界与裁判规则。在运行中,司法应发挥价值引导作用,平衡各方权益、规范竞争秩序,为政策落地、标准执行、行业自律提供法治保障。
第三,我国应立足超大市场规模与开发者规模优势,构建更具前瞻性和可操作性的开源治理方案。其一,完善顶层战略设计,制定系统性的国家开源创新战略,建立中央层面协调机制,强化制度供给与政策合力;其二,健全规则衔接体系,明确开源全要素的知识产权属性,优化木兰开源许可证(Mulan),提升兼容性与国际认可度,完善数据、模型、训练等关键环节的规则;其三,夯实自主生态根基,支持本土开源基金会高质量发展,建设自主可控的代码托管平台,建立漏洞预警与风险防控机制,培育复合型开源人才;其四,深度参与全球治理,推动中国专家、中国规则、中国理念进入国际开源组织,推广包容普惠、安全开放的治理模式。最终形成既符合中国国情、又引领全球趋势,既充满创新活力、又安全自主可控的开源治理体系,为全球开源治理贡献中国智慧,为新质生产力培育与数字中国建设提供坚实支撑。
张平:面向未来,开源治理在顶层设计层面首先需要回应一个具有战略意义的立法选择问题:是以体系化立法的路径整体规制人工智能及其开源形态,还是以灵活适配的多层次立法体系分阶段回应具体问题?答案应当是后者。这一判断不是基于立法效率的技术性考虑,而是基于对人工智能技术特殊性与治理规律的根本认识。
人工智能技术迭代迅速,应用场景高度异质,不同领域的风险等级与治理需求差异显著。体系化立法的制度优势在于稳定性与整体性,但这两项优势在高速演进的技术环境中可能转化为治理劣势——稳定性意味着立法文本难以跟进技术演进,整体性意味着统一规则难以兼顾场景差异。强行制定一部大而全的人工智能法,其可预见的制度后果有两种:或因条款笼统缺乏可操作性而沦为宣示性立法,或因过早固化束缚产业创新而抑制技术演进。欧盟《人工智能法案》的实施经验已提供了清晰参照:该法案对通用人工智能模型义务的规定,在立法通过后即因技术演进多次补充解释,相关配套标准的制定明显落后于原定进度。我国在制定自身立法方案时,不必重复这一路径。
具体到开源立法,可供我国选择的路径大致有三条。第一条是产业促进法路径,即在未来可能出台的《数字经济促进法》或涉及人工智能产业促进法律中设置开源专章,以促进性规则为主,辅以必要的合规底线。其制度优势在于与既有产业政策的衔接顺畅,劣势在于规则密度不足以应对许可证效力、贡献者权益等复杂法律争议。第二条是著作权法修订路径,即在著作权法下一轮修订中增设“开源协议”与“开源贡献”的专门条款,同时配套文本与数据挖掘的合理使用例外。其制度优势在于能够从根本上回应开源的基础法律问题,劣势在于覆盖面有限——竞争、跨境、安全等议题难以在著作权法框架内得到系统处理。第三条是专门条例路径,即制定一部《开源促进与治理条例》,系统规定许可证效力、贡献者权益、平台责任、合规义务与争议解决机制。其制度优势在于针对性强,劣势在于立法成本较高、部门协调难度较大。三条路径并非相互排斥,而是具有阶段衔接的互补关系:短期可通过产业促进法路径与司法解释解决最紧迫的合规问题;中期推进著作权法修订以补强基础规则;长期视产业发展与规则成熟度,考虑制定专门条例。分阶段推进较之追求一步到位的体系化立法,更符合制度建设的现实条件。
在立法路径选择之上,治理框架层面需要把握三项相互支撑的基本原则。
其一为分层衔接的规则体系。正式法律制度、政策规则、技术标准、行业规范这四个层面之间,需要建立双向流动的衔接机制:上位规则向下形成制度供给的同时,下位实践向上提供反馈信号,方能兼顾正式规范的权威性与产业治理的灵敏性,使法律不至因脱离实践而失真,行业自律不至因脱离公共约束而偏离公共利益的底线要求。
其二为软硬结合的工具组合。硬法提供底线性规范,软法提供方向性引导,这是当前主要法域人工智能治理的共同经验。我国可由最高人民法院定期发布开源相关典型案例,由国家互联网信息办公室会同工业和信息化部发布开源合规指引,由开放原子开源基金会牵头发布社区治理最佳实践。三者配套运用,形成软硬结合的治理结构。
其三为场景分类的精细化治理。开源所涉场景差异显著,不宜以统一的规则全面覆盖:基础软件开源应保持宽松的规则供给以鼓励繁荣发展;模型权重开放应引入能力评估与披露义务,以平衡创新与安全;训练数据共享应构建分类管理、授权契约、技术防线与公共合规语料库的综合机制;涉及国家安全的敏感场景则应严格限定范围。分场景、分等级、分风险的精细化治理,是真正释放开源创新红利与守住安全底线的制度前提。
贯穿这一治理框架的价值内核是“可信”。可信人工智能的五个核心维度——可解释、可靠、可控、可溯源、向善——应当贯穿开源人工智能的全生命周期。开源并非免除可信义务的理由;恰恰相反,开源因其传播的广泛性,对可信属性提出了比闭源更高的要求。将可信作为开源治理的价值底座,不仅是技术伦理层面的要求,更是制度建设层面的基本共识。
从更长远的战略视角审视,我国开源治理的最终目标,应定位于在全球开源生态中形成具有影响力的中国规则贡献。这一贡献的制度内涵,既不应是对既有国际规则的简单追随,也不应是对外部规则的单向对抗,而应当建立在对开源本质的深入理解、对我国产业实际的准确把握、对数字时代知识产权制度演进方向的清晰判断之上。规则塑造能力不是一朝一夕可得的能力,它是产业实力、制度建设、学术积累与外交努力长期叠加的结果。在开源这一关涉数字时代根本制度秩序的关键议题上,我国既有能力也有责任作出与自身地位相称的制度贡献。
