企业软件法律治理路线图:IP、开源、SaaS与AI编程合规(下篇)
企业软件法律治理路线图:IP、开源、SaaS与AI编程合规(下篇)
上篇围绕企业软件资产分层、著作权保护边界、算法商业秘密与专利路径,以及 SaaS 订阅服务中的数据合规展开,明确了软件法律治理不能仅依赖著作权登记。此外,通过对相关案例的解析,我们还梳理了代码表达与功能分野、永久许可与云服务的本质差异,为理解开源与AI时代的合规义务奠定基础。
六、开源软件的核心是供应链合规义务
现代软件几乎不可能完全自研。一个商业系统可能60%甚至更多代码来自第三方库、框架、容器镜像、语言运行时或开源工具。开源降低了创新门槛,也把许可证义务嵌入了软件供应链。
开源许可证大致可以按义务强度理解。
MIT、BSD 等宽松许可证通常允许商业使用、修改和分发,但要求保留版权声明和免责条款。
Apache-2.0 除了版权声明,还包含专利授权和专利终止机制,适合商业化使用,但企业需要管理 NOTICE 文件和修改说明。
LGPL、MPL 等弱copyleft许可证通常关注库文件修改、链接方式和文件级开源义务。
GPL是强copyleft许可证,典型规则是,如果分发包含GPL代码的衍生作品或整体作品,可能需要以GPL开放相应源代码。
AGPL则进一步关注网络服务场景。即使没有分发软件副本,如果通过网络向用户提供服务,也可能触发向用户提供源代码的义务。

点击可查看大图
但开源合规的主要难点,不是机械分辨许可证类型,而是判断“企业软件和开源组件之间是什么关系”。静态链接、动态链接、进程间调用、插件机制、前后端分离、容器打包、云端调用、SDK 集成、模型工具链,都可能影响许可证义务的触发。
这也是开源合规中较易发生争议的部分。实践中存在不同理解:有观点认为只要没有修改GPL组件,就不会传导开源义务;有观点认为只要发生内部调用,就应整体开源;另有观点认为SaaS不分发副本,所以GPL不触发。但如果适用AGPL,网络服务本身就可能成为触发条件。不同许可证、不同技术架构、不同发布方式,结论可能完全不同。
企业不能把这个问题留到上市、并购或客户审计时才处理。更可行的做法是建立SBOM,也就是软件物料清单。SBOM至少应记录组件名称、版本、来源、许可证、引入时间、是否修改、是否分发、是否包含在镜像或安装包中、是否存在已知漏洞。SCA工具可以帮助识别依赖和许可证,但工具报告不是终点,还需要法务、研发和安全团队共同判断高风险组件的处理方式。
对强copyleft组件,企业可以考虑替换、商业授权、进程隔离、服务化封装或架构调整。对宽松许可证,也不能删除版权声明和NOTICE。对客户交付项目,应在合同中说明第三方组件和开源义务,避免把无法承诺的“全部自有知识产权”写进合同。
开源合规的核心意义,不是为了消灭开源,而是使企业能够识别对外交付、部署、开源发布以及嵌入客户系统的软件具体由哪些组件构成。
七、数据抓取和平台数据:从“公开可见”走向“竞争秩序”判断
软件企业日益依赖数据。电商平台、短视频平台、招聘平台、地图服务、金融科技、AI 模型和企业 SaaS,都建立在数据采集、清洗、标注、匹配、推荐和反馈之上。由此产生一个突出的实务问题:互联网上公开展示的数据,能否抓取?
一种过度简化的观点是:“公开可见就能抓。”另一种过度简化的观点是:“平台说不能抓就绝对不能抓。”这两个答案都过于简单化与绝对化。
数据抓取的法律判断通常要看一组因素:数据是否包含个人信息、重要数据或受著作权保护内容;抓取方式是否绕过登录、验证码、频控、反爬或其他技术措施;是否违反明确访问规则;抓取频率是否影响系统运行;使用结果是否替代原平台产品或服务;平台对数据集合是否投入了采集、整理、审核、维护成本;用户权益和市场竞争秩序是否受到影响。

点击可查看大图
2025年修订的《反不正当竞争法》使这一问题更加明确。现行法将互联网不正当竞争的工具扩展至数据和算法、技术、平台规则等,并对以欺诈、胁迫、避开或者破坏技术管理措施等不正当方式获取、使用其他经营者合法持有的数据作出规制。它反映出一个趋势:数据抓取不再只是“违反用户协议”或“爬虫访问规范”的问题,而是可能进入竞争法评价。
指导性案例262号提供了一个理解框架。
案例信息
最高人民法院指导性案例262号,公开名称为某科技有限公司诉某文化传媒有限公司不正当竞争纠纷,属于数据权益司法保护专题指导性案例。公开资料对当事人作匿名处理;案例核心事实为被告抓取、搬运原告APP中大量短视频、注册用户昵称头像和用户评论至其自有 APP,导致两款APP内容高度同质化。
公开案例资料显示,法院关注的不是单个短视频或昵称是否分别构成传统意义上的作品,而是平台对数据集合形成的经营性利益是否被不正当利用,抓取和搬运是否对原产品形成实质性替代,是否扰乱竞争秩序并损害平台合法权益。
另一个常被讨论的案例是“搬家软件”类案件。
案例信息
公开资料通常称为“搬家软件”或“盗图抄店”不正当竞争案;二审法院为江苏省高级人民法院,案号(2024)苏民终212号。该案后被作为反不正当竞争典型案例公开介绍。公开材料未在本文可核验范围内完整披露全部当事人实名,故本文按公开简称表述。
被告开发软件绕过电商平台验证机制和反爬措施,抓取商品图片、标题、价格、详情等数据,帮助用户把商品信息搬运到其他平台形成“无货源店铺”。法院在评价时,不仅看数据是否来自网页展示,还看平台为商品数据集合付出的投入、反爬措施、被告是否规避技术措施、抓取规模、对平台流量和交易机会的影响,最终认定构成不正当竞争并判令赔偿。
这些案件说明,数据抓取的合规判断正从“数据是否公开”转向“行为是否正当、使用是否替代、秩序是否受损”。公开展示只是一个事实,并非当然免责事由。
对数据型企业而言,如需保护平台数据,应当重点完成三项工作。第一,通过清晰规则向访问者明确哪些访问和使用被允许、哪些被禁止。第二,采取合理技术措施,例如登录、限频、验证码、API 权限、异常访问监测,而不是在争议发生后才主张“不允许”。第三,保留数据投入和损害证据,包括采集、审核、清洗、标注、维护成本,异常抓取日志,系统负载变化,内容同质化比对,用户流量和交易机会变化。
对抓取方而言,也要建立合规评估。抓取前应逐项评估:是否有授权或开放 API;是否涉及个人信息;是否绕过技术措施;是否高频访问;是否复制内容表达;是否会替代原平台;是否可通过合作、许可、公开数据集或自建采集替代。对于 AI 训练项目,还要进一步记录数据来源、授权范围、清洗规则、去重规则、个人信息处理和版权过滤方式。
八、AI 辅助编程:核心风险在输入、输出和证据
AI编程工具正在重塑研发流程。它可以解释代码、生成函数、补全测试、修复漏洞、翻译语言、重构架构,也可以把一个旧系统的业务逻辑快速整理成文档。对企业而言,这种效率提升具有明显价值。
但AI编程并不消除版权、商业秘密和开源问题,而是将风险范围从“开发者复制粘贴代码”扩展到“开发者输入什么、模型如何处理、输出如何进入生产系统”。
输入端风险较易被忽视。开发者如果把客户源码、公司核心算法、未公开漏洞、密钥、数据库结构或商业秘密输入公共AI工具,可能已经违反保密义务、客户合同或公司内部安全制度。即使工具没有生成任何侵权代码,输入行为本身也可能造成泄密或数据出境风险。
处理端风险取决于工具条款。AI工具是否保留输入,是否用于训练,是否在境外处理,是否提供企业级隔离,是否承诺不使用客户数据训练通用模型,是否允许审计,这些都需要采购和法务共同审查。
输出端风险更具复杂性。AI生成代码可能与开源项目、训练数据中的代码或第三方商业代码相似;也可能自动带入不符合公司策略的许可证片段;还可能缺乏足够的人类创造性贡献,导致权属和保护边界不清。美国版权局关于AI生成内容登记的政策强调,完全由AI生成且缺乏人类创造性投入的内容不能作为人类作品获得登记。中国法下具体个案仍需结合事实判断,但对企业来说,较为审慎的做法不是等待一个全球统一答案,而是先建立可审计流程。
点击可查看大图
企业可执行的AI编程规则至少应包括:禁止向公共模型输入客户代码、密钥、漏洞信息和核心算法;建立可使用工具白名单;对 AI 输出进入主干分支前进行相似性扫描和开源许可证扫描;在提交信息或开发记录中标注 AI 辅助范围;对核心模块保留人工设计、评审和修改记录;客户项目中使用 AI 工具前取得必要授权或确认合同允许。
AI编程时代,企业要证明的不仅是“这段代码最终位于企业代码仓库中”,还要证明“它是如何进入仓库的”。
九、争议发生时,软件案件关键在于证据链
软件案件的难点通常不仅在于法律适用,更在于证据。权利人要证明权属、接触、相似、秘密点、保密措施、损害和因果关系;被告则要证明独立开发、合法来源、功能必需表达、开源来源、标准接口或合理使用。
点击可查看大图
软件著作权争议中,权利人通常会围绕“接触+实质性相似”组织证据。接触可以来自员工流动、合作研发、外包交付、客户项目、下载渠道、商务接洽、源码泄露等。实质性相似可以通过源代码比对、目标代码反编译、文件结构、函数命名、注释、错误信息、界面、运行结果、版本号、特有信息等证明。
商业秘密争议中,秘密点必须具体。法院通常难以保护一个笼统的“整套系统”。企业需要列明具体算法、参数、流程、数据结构、模型训练方法、接口协议、架构设计或优化策略,并证明这些信息不为公众所知悉、具有商业价值、采取了相应保密措施。
开源合规争议中,SBOM、构建记录、依赖清单、许可证扫描报告、分发包和Notice文件通常比事后说明更具证明力。如果企业在客户审计或并购尽调时才临时生成清单,可能已经无法完整还原历史版本。
数据抓取争议中,平台方要证明数据集合形成投入、访问规则、技术管理措施、异常访问记录、抓取规模、系统负担、内容同质化、用户分流和商业机会损失。抓取方则需要证明数据来源合法、访问方式正常、未规避技术措施、使用目的合理、未形成实质替代,并且处理了个人信息和版权风险。
这些证据并非诉讼发生后即可补充形成。软件法律治理本质上要前移到研发、采购、发布、运营和退出的每一个环节。
十、企业如何建立软件法律治理框架
如果将前述讨论归纳为一套企业内部流程,可以从五个问题开始。

点击可查看大图
第一,我们拥有什么。企业应建立软件资产台账,区分自研代码、外包成果、开源组件、第三方 SDK、算法秘密、专利点、客户数据、平台数据、模型参数和配置资产。每一类资产都应对应不同的权利证明和管理方式。
第二,我们使用了哪些外部资源。所有项目应建立依赖清单和许可证清单。开源组件、商业组件、云 API、模型服务、低代码平台、客户提供材料,都应有来源、授权范围和使用记录。
第三,我们向客户作出了哪些承诺。合同中关于知识产权、开源、数据、安全、SLA、AI 训练、分包商、迁移和赔偿的承诺,必须与技术现实一致。不宜轻易承诺“全部自有知识产权”或“绝不含开源组件”,除非公司确实能证明。
第四,我们如何退出。SaaS、低代码和平台型服务必须提前设计退出机制。客户能否导出数据、配置、日志、附件和接口文档?供应商终止服务、涨价、被收购或发生重大事故时,客户能否迁移?退出条款是软件合同中最容易被忽略、也最容易在危机中决定损失大小的部分。
第五,我们能够证明哪些事实。代码仓库、提交记录、评审记录、构建环境、测试报告、版本发布、权限日志、下载审批、AI使用记录、开源扫描报告、数据访问日志、保密培训和离职交接,都应成为常态化留痕。
对于初创团队,最低限度应做到统一代码仓库、禁止个人网盘交付、引入组件前记录许可证、核心代码定期存证、外包合同列明交付物和权属。
对于成熟软件和SaaS企业,应将SBOM、SCA、漏洞管理、数据出境、AI工具审批和客户合同承诺纳入发布门禁。重大客户项目、出海项目、私有化部署和融资并购前,应做专项软件合规审查。
对于工业软件和高研发投入企业,应围绕核心算法、参数、工程经验和行业数据库建立商业秘密分级,同时评估专利布局。员工离职、外包切换、合作研发终止和竞品快速上线,都应触发技术秘密风险排查。
对于平台和数据型企业,应把数据权益保护建立在合法收集、持续投入、技术措施、访问规则和用户权益保护之上。对外开放 API 时,通过合同、限频、审计、商业授权和异常监测降低抓取争议。
结语:软件法务的重点,正在从“登记权利”转向“管理系统”
软件法律问题之所以复杂,是因为软件已经不再仅是交付给客户的一份代码。它是持续迭代的系统,是开源生态的一部分,是数据流动的节点,是云服务合同的对象,也是AI生成和人类开发共同塑造的结果。
因此,企业不能只在发生争议时才问“有没有权”。更重要的问题是:
这项能力由哪些资产组成?
每一项资产的来源和授权是否清楚?
哪些内容应当登记,哪些应当保密,哪些可以申请专利?
哪些开源义务会在分发、SaaS 或客户部署时触发?
哪些数据可以使用,哪些数据只能受托处理,哪些数据出境需要额外路径?
如果客户、供应商、员工或竞争对手发生争议,企业能够提交哪些证据?
软件法务正在从单点权利保护,走向全生命周期治理。治理能力较为成熟的企业,不是等到诉讼中才证明自己没有侵权,而是在研发、采购、上线、运营和退出的每一步,都能说明代码来源、数据流向和权利边界。
[参考资料]
1.《中华人民共和国著作权法》,国家法律法规数据库,2020年11月11日公布,2021年6月1日施行。
2.《计算机软件保护条例》,国家法律法规数据库,2013年1月30日公布的现行版本。
3.《中华人民共和国反不正当竞争法》,国家法律法规数据库,2025年6月27日公布,2025年10月15日施行。
4.《最高人民法院关于审理侵犯商业秘密民事案件适用法律若干问题的规定》,国家法律法规数据库,2020年9月10日公布,2020年9月12日施行。
5.国家知识产权局:《国家知识产权局关于修改〈专利审查指南〉的决定》(局令第84号),2025年11月13日发布,2026年1月1日起施行。
6.国家互联网信息办公室:《促进和规范数据跨境流动规定》,2024年3月22日公布并施行。
7.No. 18-956, 593 U.S. 1 (2021), Supreme Court of the United States, decided April 5, 2021.
8.C-128/11, Court of Justice of the European Union, decided July 3, 2012.
9.深圳某科技公司诉杭州某科技公司计算机软件著作权纠纷,一审法院为浙江省杭州市中级人民法院,案号(2020)浙01知民初272号;二审法院为最高人民法院,案号(2022)最高法知民终1605号,二审裁判日期为2023年6月27日,涉及 1.085% 代码复制比例与独立功能模块保护问题。
10.“离心压缩机选型”软件著作权及技术秘密侵权案,二审法院为最高人民法院知识产权法庭,案号(2022)最高法知民终1592号;公开资料显示裁判年份为2024年、二审改判赔偿额为1.66亿元。
11.北京某科技公司诉北京某智慧公司技术秘密纠纷,一审法院为北京知识产权法院,案号(2017)京73民初1259号,裁判日期为2020年6月28日;二审法院为最高人民法院,案号(2020)最高法知民终1472号,裁判日期为2021年12月20日,涉及源代码与流程、逻辑关系、算法等技术信息的区分保护。
12.最高人民法院指导性案例262号,某科技有限公司诉某文化传媒有限公司不正当竞争纠纷,涉及平台数据集合、抓取搬运和实质性替代等问题;公开资料对当事人作匿名处理。
13.“搬家软件”或“盗图抄店”不正当竞争案,二审法院为江苏省高级人民法院,案号(2024)苏民终212号,涉及绕过平台验证和反爬措施抓取商品数据、形成替代性竞争的问题;公开材料未在本文可核验范围内完整披露全部当事人实名。