Организация Linux Foundation опубликовала разбор применимости к открытому коду ограничений, вводимых санкциями, обобщила возникающие риски и дала рекомендации сопровождающим открытые проекты, связанные с участием в разработке лиц, подпадающих под санкции.
Linux Foundation продолжает выступать за международное сотрудничество и открытую экосистему для всех желающих, независимо от национальности, страны проживания, политической системы, культурных ценностей и идеологии. При этом, организация действует в правовом поле США и обязана соблюдать законы и правила, которые могут по-иному интерпретировать нейтралитет и равенство.
Неопределённость возникает в отношении санкций, вводимых Управлением по контролю за иностранными активами США (OFAC). Санкции OFAC применяются к гражданам, организациям или компаниям, добавленным в специальный санкционный список (SDN, Specially Designated Nationals and Blocked Persons), а также к аффилированным с ними лицам (например, компаниям, 50 и более процентов в которых напрямую или косвенно принадлежит лицу из санкционного списка).
Отмечается, что в процессе разработки принимавшихся в последние годы ограничительных законов, таких как Cyber Resilience Act, инициативные группы, отстаивающие интересы открытого ПО, добивались внесения исключений, смягчающих применение данных законов в отношении открытых проектов. Законодательная база для санкций OFAC была разработаны очень давно, не учитывала специфику совместной международной разработки открытого ПО и до недавних пор не создавала проблем для разработчиков открытого ПО, так как санкции OFAC применялись в редких исключительных ситуациях.
Официальных разъяснений по применению требований санкций OFAC к открытым проектам не публиковалось, поэтому юристам приходится трактовать требования с учётом прошлого применения санкций в похожем контексте и действовать осторожно, балансируя между желанием сохранить глобальный характер разработки и возникающими рисками, такими как большие штрафы и уголовное преследование. Кроме санкций OFAC в США применяются экспортные ограничения, вводимые Министерством торговли США в соответствии с законодательством по экспортному контролю. Данные ограничения не распространяются на общедоступные разработки и поэтому не создают проблем для открытых проектов.
Санкционные требования OFAC распространяются не только на компании из США и граждан США, но и на иностранные компаниям, имеющим торговые отношения с компаниями из США или проводящие финансовые операции в долларах США. Для лиц, добавленных в санкционный список OFAC, вводятся такие ограничения, как запрет на инвестиции и финансовые операции (включая, оплату услуг); запрет на импорт и экспорт товаров, технологий и услуг; имущественные сделки (в том числе, связанные с интеллектуальной собственностью).
Компаниям и организациям, разрабатывающим международные открытые проекты, и подпадающим под юрисдикцию США или взаимодействующих с компаниями из США, даны следующие рекомендации:
- В санкциях OFAC предусмотрено исключение, действующее при распространении информационных материалов. Исходный код, как правило, рассматривается OFAC как информационный материал, что допускает предоставление исходного кода в одностороннем порядке.
- Допускается принимать изменения от лиц, связанных с подсанкционными компаниями, если подобные изменения созданы по инициативе отправителя (не запрошены) и решают общие проблемы проекта, а не приносят пользу продуктам или услугам подсанкционной компании. Например, приём в ядро Linux драйвера для оборудования, выпускаемого подсанкционной компанией, может быть воспринят как нарушение санкций, в то время как приём патча с устранением уязвимости санкции не нарушает.
- В случае приёма исправлений от подсанкционной компании рекомендуется односторонняя связь, т.е. вся дальнейшая доработка принятого патча должна осуществляться самостоятельно, без привлечения подсанкционной компании. Вовлечение подсанкционной компании в доработку, согласования или обсуждения может быть воспринято как оказание услуг, запрещённых санкциями.
- Не рекомендуется подписывать соглашения о передаче имущественных прав (CLA) с разработчиками, связанными с подсанкционными компаниями, так как подобное соглашение может быть воспринято как нарушение запрета на соглашения в сфере интеллектуальной собственности.
- Требуется проверять не только прямую связь разработчиков с подсанкционными компаниями, но и косвенное отношение. Например, работа в других компаниях, на 50% и более принадлежащих подсанкционным лицам, или выполнение подрядных работ по заказу подсанкционных компаний.