文 | 万波

广州知产法院发布“罗盒公司v玩友公司”一案的核心是软件开源许可证（GPL v3），而数据开源与软件开源不同，并不适宜直接援引软件开源许可证，从目前的实践来看，数据开源平台较为普遍的是引用知识共享许可协议（Creative Commons License，通常简称“CC协议”）。

如上海人工智能实验室打造的OpenDataLab数据开放平台中，“蜜巢·花粉1.0开源数据集就整体采用了CC BY-SA 4.0许可协议：

又如，库帕思打造的语料运营公共服务统一门户中，也有较多开源数据集采用了CC 协议，如下述AlphaFold DB蛋白质结构预测数据集采用的就是CC-BY-4.0许可协议。

事实上，不仅在国内的开源社区中，在GitHub、Kaggle等国际开源社区中，使用CC协议作为数据开源的情况也不在少数。

CC协议是允许他人分发作品的公共版权许可之一。2002年12月16日，美国非盈利性组织Creative Commons首次发布了CC协议，先后经历了CC 1.0、CC 2.0、CC 2.5、CC 3.0、CC 3.0美国、CC 3.0各地版本，但目前官方推荐版本是2013年发布的CC 4.0版本。CC 4.0版本具体包括如下许可证类型：

除了CC协议以外，数据开源还可以使用开放数据共享许可协议（Open Data Commons）可以使用，在其官网上（https://opendatacommons.org/）也可以查到其目前三类的License类型，分别为ODC-ODbL、ODC-BY、ODC-PDDL，具体如下图： 

软件开源许可证与数据开源许可证二者虽同属“开源”理念，但在开源对象、法律基础和传染性上存在较大不同，具体见下表：

“罗盒公司v玩友公司”一案，为使用开源数据的企业和个人敲响了警钟，揭示了现阶段以下值得审慎尽调的几个核心法律风险：

1、许可证违约风险

风险描述：无论开源方选择的是GPLv3这类软件开源许可证还是CC协议这类数据开源许可证，使用开源软件或数据的主体，都需要您对许可证条款准确理解，如理解不清或忽视其法律效力，极可能造成许可证项下违约，常见的合规陷阱包括：

2、开源代码或数据本身侵权风险

风险描述：数据库因其内容的“选择或编排”具有独创性而受著作权保护，数据如属于重要数据需受到《数据安全法》的保护，个人信息则需保护个人信息权益主体的相关权益。譬如，当使用的开源数据集本身是他人未经授权爬取的“非法”数据，那么即使您已经完全遵守了开源许可证，也可能因使用源头有问题的数据而卷入侵权纠纷。

又如，如开源数据本身为有偏见或歧视性的数据，您如果基于此类数据训练AI模型并投入使用，可能导致歧视性结果，引发产品责任和声誉风险。

3、“传染性”导致的自身机密或数据泄露风险

风险描述：如果自身闭源软件或保密数据中不慎引入了GPLv3或CC-BY-SA等传染性代码或数据，可能导致整个软件项目或“衍生数据”被要求开源，从而使您自身商业机密或保密数据被迫公开。

4、许可证兼容性风险

风险描述：在一个项目中使用了多种不同许可证的开源组件或开源数据，这些许可证可能互相冲突。例如，您不能将一个要求使用GPLv3许可的组件和一个禁止使用GPL的组件合并到同一个衍生作品中。又如，当您要将多个不同CC许可证（或与其他协议）的数据集合并创建一个新数据集时，会遇到复杂的兼容性问题。例如，您不能将CC-BY-NC的数据与ODbL（要求相同方式共享且允许商业使用）的数据混合发布。

为了有效防范引入开源软件、开源数据的风险，建议您采取适当的管理措施，如：

综上，无论是软件还是数据，“开源”不等于“无主”或“免费”或“随便用”，它是一套建立在法律之上的、有明确规则的权利义务体系。您在享受开源红利的同时，宜建立起与之匹配的合规意识和风险管理能力，才能行稳致远。