Hoe ethisch verantwoord mag een opensourcelicentie zijn?

| AE 11538 | Ondernemingsvrijheid, Uitingsvrijheid | 23 reacties

Een nieuwe toevoeging aan het opensourcefirmament: de Hippocratische licentie, grofweg de MIT licentie met de toevoeging dat de software niet mag worden ingezet voor doelen die de Universele Verklaring van de Rechten van de Mens schenden. Iets preciezer: die mensen in gevaar brengt of hun well-being aantast op een wijze in strijd met de UVRM. Een nobel idee natuurlijk, maar het gaf herrie in de tent, want opensourcelicenties horen neutraal te zijn over het ‘field of endeavor’ waarvoor de software wordt ingezet. Deze eis staat ook zo vanaf het begin in de Open Source Definition. Maar is dat nog wel actueel om die eis te stellen?

De auteur van de licentie motiveert haar keuze kort gezegd als volgt:

Developers don’t want their labor being used to do harm, and the current structure of open source software strips any power from creators to prevent this from happening. We are being exploited. Human freedom is being traded for so-called “software freedom”.

Toen de Open Source Definition werd geschreven, was de kijk op de wereld heel anders. De discussie ging daar vaak over of bedrijven (commercial entities) al dan niet de software mochten gebruiken. Veel licenties van gratis beschikbare software verboden commercieel gebruik, of stelden extra eisen aan bedrijfsmatig gebruik. Voor het succes van open source zou dat onwenselijk zijn geweest, vandaar dat de Open Source Definition (en al eerder de Debian Free Software Guidelines) expliciet eiste dat de licentie neutraal was op toepassingsgebied:

The license must not restrict anyone from making use of the program in a specific field of endeavor. For example, it may not restrict the program from being used in a business, or from being used for genetic research.

Het ‘genetic research’ voorbeeld is later toegevoegd, en laat zien hoe de discussie verschoven is. Want controverse over zakelijk gebruik van gratis beschikbaar gestelde software is er nauwelijks meer; de controverse over onethisch gebruik van software des te meer. En dan is ‘genetic research’ nog een zwak voorbeeld: wat te denken van inzet van je software voor concentratiekampen, killer robots of systemen voor manipulatie of onderdrukking van bevolkingsgroepen.

Het doet denken aan de discussie over de Do No Evil-licentie en de antibarrearbeidsomstandighedenlicentie. Hoe baken je af wat “evil” is. Deze auteur sluit aan bij een definitie die voor juristen algemeen aanvaard en redelijk duidelijk is: de definitie van mensenrechten die al sinds 1948 wijd geaccepteerd is (althans in het Westen). Dat is de klassieke juridische truc voor afbakeningen waar je niet uitkomt; kies een fraaie formulering of open norm en laat de interpretatie over aan de arme collega (of rechter) die over vijf jaar moet duiden waar je aan toe bent.

Bij die antibarrearbeidsomstandighedenlicentie zie ik ergens nog wel een juridisch sprankje hoop. Die verbiedt grofweg alleen dingen die toch al tegen de wet zijn. Het lijkt me lastig verdedigbaar dat de Open Source Definitie zo breed opgevat moet worden dat ook het field of endeavor van de illegale zaken toegelaten moet zijn. Ik weet niet hoe ik dit neutraal opschrijf, het voelt gewoon te onredelijk en onlogisch dat een licentiegever moet toelaten dat zijn licentienemers de software voor wetsovertredingen inzetten. Die dingen mogen gewoon niet. En dan is het volgens mij geen reële beperking als ik zeg “ik sta niet toe dat je mijn software daarvoor gebruikt”.

Datzelfde argument zou wat mij betreft hier opgaan. Het kan niet waar zijn dat mensen moeten toestaan dat mensenrechten worden geschonden met hun software. Daar kan ik alleen cultuurrelativistisch tegenover zetten dat het mensenrecht van de een het privilege van de ander is. Als kinderarbeid bij mij legaal is, waarom moet jouw licentie dat dan verbieden? Als de overheid iets een detentiefaciliteit noemt, terwijl anderen het een concentratiekamp noemen, mag die software daar dan voor worden ingezet of niet?

Daar kom je niet uit zonder gerechtelijke toetsing, en daar zit precies de pijn: hoe ga je hier een rechtszaak over voeren? Als je licentienemer werkelijk de wet overtreedt, dan kan hij daarop aangesproken worden. Voegt het dan wat toe dat je als licentiegever ze aanklaagt voor softwaregebruik bij kinderarbeid? En als het lokaal niet tegen de wet is om zoiets te doen, dan kom je per definitie ook nergens met een claim wegens licentieschending. Die is er dan immers niet, het is legaal. Dus ik denk dat deze bepaling vooral een signaal is om ethiek hoger op de agenda te zetten, en geen afdwingbare juridische clausule.

Arnoud

Is het legaal in je licentie barre arbeidsomstandigheden te verbieden?

| AE 11219 | Ondernemingsvrijheid, Uitingsvrijheid | 19 reacties

Een nieuw fenomeen in licentieland: de Anti 996 licentie, een variant op de opensource BSD licentie die een unieke beperking kent. De licentienemer (gebruiker van de software) mag in zijn bedrijf geen onwettige arbeidsomstandigheden toelaten. De term “996” komt uit een Chinese praktijk- van 9 tot 9 werken, 6 dagen per week – dat leidde tot een protestbeweging om arbeidsomstandigheden te verlichten. Leuke inhaker dus, wie deze software gebruikt moet zijn personeel betere arbeidsvoorwaarden geven of in ieder geval gewoon de wet naleven. Een loffelijk initiatief, maar mag dat eigenlijk wel in een opensourcelicentie?

De bepaling is simpel en effectief geformuleerd:

The [licensee] must strictly comply with all applicable laws, regulations, rules and standards of the jurisdiction relating to labor and employment where the individual is physically located or where the individual was born or naturalized; or where the legal entity is registered or is operating (whichever is stricter). In case that the jurisdiction has no such laws, regulations, rules and standards or its laws, regulations, rules and standards are unenforceable, the individual or the legal entity are required to comply with Core International Labor Standards.

De ILO dient daarbij als minimumstandaard. Deze standaard verbiedt onder meer kinderarbeid en eist dat men zich mag verenigen in vakbonden, om eens twee controversiële onderwerpen te noemen.

Papier is geduldig, dus als jij deze eis in je licentievoorwaarden wilt opnemen en je wederpartij wil dit accepteren dan is dat juridisch verder helemaal prima. De praktijk kent dit al – grotere organisaties nemen vaak in hun inkoopvoorwaarden ook eisen op omtrent maatschappelijk verantwoord ondernemen, garanties tegen kinderarbeid en afspraken over groen ondernemen.

Specifiek bij open source is het echter iets spannender. De definitie van “open source” zoals gepubliceerd door het OSI verbiedt namelijk dat opensourcelicenties onderscheid maken naar “field of endeavour”. Dat is primair bedoeld tegen zaken als commercieel gebruik verbieden of eisen dat de software niet voor massavernietigingswapens wordt ingezet. Maar je zou in theorie ook kunnen zeggen dat deze bepaling dus gebruik in sweatshops verbiedt of discrimineert tegen ondernemingen met inzet van kinderarbeid. Daarmee zou de clausule dus tegen de open source definitie zijn.

Omdat de licentie zich nadrukkelijk beperkt tot het conformeren aan de toepasselijke lokale wetgeving, heb ik daar wel wat twijfels bij. Het onderliggende argument is dan namelijk dat je niet mag discrimineren op grond van iets dat de wet overtreedt. Ik zou het nogal onredelijk vinden als dat niet mag. Ik weet dat al langer geldt dat je “not to be used for Evil” niet mag zeggen, maar ethisch kwaad vind ik wezenlijk wat anders dan wettelijk verboden. Een verboden handeling mag niet. Een kwade handeling hoort niet, maar mag wel.

Arnoud

Hoe je een bak geld verdient door gewoon de inkoopvoorwaarden te accepteren, wacht wat?

| AE 11011 | Security | 3 reacties

Corporate purchasing and policies make funding open source Literally Impossible, aldus Swift on Security, een parodiërende maar serieus te nemen securityonderzoekster. De onderliggende klacht is namelijk best reëel: als je een paar tientjes wilt vragen van een groot bedrijf om een bug in je open source project te fixen, dan is dat enorm ingewikkeld. Maar vraag je tienduizend euro voor een supportcontract waaronder je hetzelfde doet, dan is dat zo geregeld. Met dus het advies, doe dat laatste. Waarbij allerlei juristen beginnen te roepen, ja maar de inkoopvoorwaarden dan. Nou ja, die accepteer je dan dus gewoon, wat kan je gebeuren.

In de kern is het probleem de bureaucratie en overhead die je krijgt als je met een groot bedrijf zaken gaat doen. Er moeten veel punten op de i worden gezet wil zo’n organisatie overtuigd zijn dat ze met jou in zee moeten. Dat gaat vaak beter als je een serieuze belofte met langetermijntoezegging kunt doen, oftewel een supportcontract voor drie jaar met 24/7 beschikbaarheid. Dat dat wat meer kost dan het half uurtje dat ze eigenlijk wilden, is een bijzaak.

Natuurlijk zal zo’n bedrijf ook flink wat verwachten, althans op papier. Denk aan stevige aansprakelijkheid, lange betalingstermijnen, eenzijdig opzeggen en al die andere dingen waar je als leverancier op dag 1 tegen gewaarschuwd wordt. Dat moet je niet accepteren natuurlijk. Alleen: als er in de praktijk echt niet meer te verwachten is dan af en toe wat kleine vragen over dingen die je toch al deed, en de software gratis weggegeven wordt, welke aansprakelijkheden zijn praktisch gezien dan te verwachten? Vanuit dat perspectief is “teken gewoon en pak dat geld” een hele logische.

Een andere reden voor dit probleem is denk ik dat een eenmalige uitgave van een paar tientjes vaak wordt gerekend onder het kopje reiskosten/onvoorzien, en bedrijven zijn daar vaak erg huiverig over omdat de kans voor misbruik groot is. Als iedereen in het bedrijf ineens 50 euro mag geven aan een vaag figuur op internet omdat die een of ander leuk tooltje zou hebben gemaakt, waar ben je dan als multinational? (Ik ken mensen die om die reden die 50 euro dan maar privé betalen en het later verrekenen met reiskosten naar een conferentie.)

Het doet natuurlijk raar aan, blog ik een hele serie over hoe je je verweert tegen inkoopvoorwaarden en dan kom ik ineens met een advies om ze gewoon maar te accepteren. Maar soms kan dat gewoon het goede advies zijn.

Arnoud

Nu ga ik aan mezelf twijfelen, is de GPLv2 eigenlijk wel een contract?

| AE 10903 | Intellectuele rechten | 48 reacties

Heibel in de Linuxtent, blogde ik vorige week. Ontwikkelaars aan het besturingssysteem lagen in de clinch over een Code of Conduct die ongepast gedrag vastlegt, met de nodige interpretatieproblemen tot gevolg. Dat leidde tot een oproep om je GPL-licentie in te trekken en zo je stem te laten horen. Waarop ik me afvroeg, kan dat… Lees verder

Opensourcewerk als nevenactiviteit in het arbeidscontract

| AE 9171 | Intellectuele rechten, Ondernemingsvrijheid | 18 reacties

Een lezer vroeg me: Ik ga binnenkort als programmeur aan de slag bij een middelgroot bedrijf. Naast mijn werk wil ik aan allerlei open source projecten kunnen blijven werken, maar dat botst met de auteursrechtclausule uit hun contract: alles is automatisch van hen, ook als ik het in eigen tijd maak. Is daar juridisch iets… Lees verder

Mag je licentie-incompatibele dependencies meeleveren met je software?

| AE 9144 | Intellectuele rechten | 34 reacties

Een lezer vroeg me: Bij veel opensourcepakketten heb je allerlei extra software nodig, zogeheten dependencies. Soms is deze extra software meegeleverd met het pakket, maar vaak niet. Je moet dan maar hopen dat het via de repository van je Linux-distributie beschikbaar is. Ik had vernomen dat dat soms een juridische keuze is, hoe zit dat?… Lees verder

Amerikaanse telecomwaakhond dwingt TP-Link open firmware toe te staan

| AE 8872 | Intellectuele rechten | 15 reacties

De FCC heeft een schikking getroffen met TP-Link van 200.000 dollar omdat verschillende wifi-routers van het bedrijf de radiofrequentieregels van de VS overtraden, las ik bij Tweakers. De routers konden met hoger vermogen zenden dan toegestaan. De schikking komt met een opmerkelijke uitkomst: het bedrijf zal opensourcefirmware toestaan op haar routers, iets dat sowieso vrij… Lees verder

Mag een licentie je verbieden Kwaad te doen?

| AE 8555 | Intellectuele rechten | 11 reacties

Een lezer vroeg me: Onlangs vond ik de zogehten Do no evil-licentie. De JSON licentie zegt “The Software shall be used for Good, not Evil”. Is zoiets juridisch afdwingbaar, of wat zou de rechter hiermee doen? De licentie voor JSON (een protocol voor data-uitwisseling in Javascript) is voor 94,9% gelijk aan de bekende simpele MIT… Lees verder

Hoe kan ik een opensourcemodule opnieuw implementeren?

| AE 8194 | Intellectuele rechten | 18 reacties

Een lezer vroeg me: Ik werk aan een opensourceproject dat een kloon (fork) is van een groter project. Wij krijgen bij onze nieuwste module nu het verwijt hun auteursrechten geschonden te hebben omdat de code te veel lijkt. Maar wij hebben deze echt zelf geschreven, hoewel de module wel exact hetzelfde doet. Plegen wij nu… Lees verder