Gdy za pieniądze unijne bezpieczniki postawią systemy oparte o GPL

Teleinfo24 porusza interesujący temat, który jednocześnie wiąże się z zamówieniami publicznymi, prawami autorskimi do programów komputerowych oraz problematyką retencji danych telekomunikacyjnych. Chodzi o przetargi, które organizowane są przez wszelkiego rodzaju służby zamawiające w taki sposób systemy służące do rejestracji rozmów. Część z tych systemów bazuje na oprogramowaniu open source i na wolnych licencjach (w szczególności GPL), ale wygrywając przetarg przedsiębiorstwa nie udostępniają kodów źródłowych do takiego oprogramowania...

Artykuł, o którym mowa, to Czarne chmury nad rynkiem rejestratorów. W tym artykule skupiono się na licencji GPL (General Public License), a autor starała się przeanalizować konsekwencje dla zamawiających, jeśli w wyniku przetargu zaczną korzystać z oprogramowania udostępnionego przez twórców na takiej licencji (chodzi o sytuację, w której podmioty inne niż twórcy, które przystępują do przetargu, po prostu włączają takie oprogramowanie do swojej oferty).

Autor pisze:

Z pozoru sytuacja wydaje się błaha do momentu, kiedy zdamy sobie sprawę, że część klientów, kupujących rejestratory i inne urządzenia pracujące na GPL, to instytucje odpowiedzialne za nasze bezpieczeństwo i przechowujące nasze dane osobowe – policja, straż pożarna, banki, call center (w którym zamówiliśmy usługę i podaliśmy nasz adres, pesel i numer dowodu). W przypadku naruszeń narażają się one na poważne ryzyko utraty dotacji, odpowiedzialności służbowej, pogorszenia pozycji rynkowej i tym podobne.

W tym cytacie chodzi m.in. o ryzyko utraty "wsparcia na dofinansowanie zakupu ze środków unijnych".

Pod tekstem znalazł się również komentarz Krzysztofa Siewicza.

W komentarzach czujnie zwrócono uwagę na to, że cytowany tekst może być w istocie próbą manipulowania opinią publiczną przy okazji bitwy o zlecenia na rejestratory.

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

wreszcie

Odzywa się we mnie linuksowy troll: Pora sobie uświadomić w jak wielu sektorach funkcjonuje wolne oprogramowanie i jaką odgrywa rolę :)

A tak swoją drogą to koniec świata. Windows 7 niebezpiecznie przypomina kde4 (zwykle bywało odwrotnie), a oprogramowanie GPL jest piracone w Polsce w celu zarabiania kasy na przetargach. Ruch w przyrodzie nie zanika.

Trudno się pogodzić z faktem, iż dopisując kod nie ma się wolności zatrzymania go dla siebie :) No cóż zawsze jakaś wolność eliminuje inną wolność.

Oczywiście owi "piraci" (w końcu piracą również to, co sami napisali) liczą na brak orzecznictwa i bezkarność dzięki niskiej świadomości. Liczą na to, że w razie jak ktoś krzyknie, to po prostu dochowają zapisów...

A ja tylko liczę wreszcie na precedens w polskim prawie. Tu musi zadziałać fundacja. Patrząc choćby na to, kto jest "beneficjentem" tych przetargów, nie ma raczej nadziei na reakcję ze strony Polskich organów. Autor artykułu będzie uznany za wroga narodu i państwa... gniazdo kala.

Dzięki za wynalezienie tematu!!! Jestem w szoku. Choć nic nie powinno mnie już dziwić.

-- piotrg --

Warto zwrócić uwagę, że

Warto zwrócić uwagę, że najczęściej wykorzystanie oprogramowania Open Source w projektach informatycznych nie wiąże się z modyfikacją źródeł, co jest warunkiem późniejszego udostepnienia kodu, ale sprowadza się do integracji z innymi komponentami. Takie są przynajmniej moje doświadczenia z perspektywy uczestnictwa w projektach zarówno dla klientów korporacyjnych jak i sektora publicznego.

copyleft obejmuje zarówno oryginał jak i modyfikacje

Zgodnie z Sec. 3 GPLv2 obowiązek udostępnienia kodu źródłowego dotyczy zarówno oryginału jak i opracowań (modyfikacji) programu.

Ponieważ nie dochodzi do

Ponieważ nie dochodzi do modyfikacji oryginału, na żądanie udostępnione zostanie to co jest i tak dostępne. Integracja rozwiązań Open Source sprowadza się tu jedynie do wykorzystania ich interfejsów zewnętrznych, więc do modyfikacji najczęściej nie dochodzi.

ale którego oryginału?

A skąd użytkownik ma wiedzieć, z którego "oryginału" powstały binarki mu dostarczone? Zwłaszcza w sytuacji, w której dostęp do binarek jest utrudniony, a ich nazwy niekoniecznie odpowiadają nazwom zastosowanym w oryginałach. Ma je dekompilować? Wyliczać sumy kontrolne?

Być może w najprostszych sytuacjach istotnie nie ma sensu udostępniać tego, co i tak jest dostępne - ale GPL pozostawia tu możliwość przedstawienia tylko oferty udostępnienia. Brak takiej oferty stanowi z formalnego punktu widzenia naruszenie GPL.

A co się dzieje w przypadku naruszenia licencji GPL? (GPLv2 Sec. 4)

A skąd użytkownik ma

A skąd użytkownik ma wiedzieć, z którego "oryginału" powstały binarki mu dostarczone? Zwłaszcza w sytuacji, w której dostęp do binarek jest utrudniony, a ich nazwy niekoniecznie odpowiadają nazwom zastosowanym w oryginałach. Ma je dekompilować? Wyliczać sumy kontrolne?

a czy licencja nakłada na użytkownika wymóg świadomości, jakiej wersji oprogramowania OS używa? Użytkownik co najwyżej może sobie zażyczyć udostepnienia źródeł, jesli ma w tym jakiś cel. Po co od razu dekompilować, czy wyliczać sumy kontrolne?

o ile mi wiadomo, problem nie ujawnionej wersji czy modyfikacji obciąża raczej dostawcę sprzętu. Jak Pan słusznie zauważył, brak oferty obciąża dostawcę, a licencja nabywcy nie wygasa dopóki sam pozostaje w zgodzie z jej zapisami.

udostępnienie źródeł

Jasne, niedostarczenie źródeł (lub oferty ich udostępnienia) użytkownikowi nie powoduje, że użytkownik traci prawo do korzystania z programu. Jest to naruszenie licencji przez dystrybutora.

Chodziło mi o to, że jeżeli taki użytkownik chciałby skorzystać ze swojego uprawnienia do modyfikowania oprogramowania to mając same binarki nie może z niego skorzystać, a przynajmniej bez podjęcia wysiłku ustalenia z jakich konkretnie źródeł one powstały.

Jeżeli natomiast dystrybutor wywiązał się z postanowień GPL, to użytkownik takiego wysiłku podejmować nie musi.

Trudno się pogodzić z

Trudno się pogodzić z faktem, iż dopisując kod nie ma się wolności zatrzymania go dla siebie :)

To nieprawda. Licencja GPL jak najbardziej pozwala „zatrzymać dla siebie” dopisany kod. To zresztą dość powszechna praktyka w firmach wykorzystujących (zmodyfikowane) wolne oprogramowanie na wewnętrzne potrzeby.

Czy aby napewno jest to "piractwo"?

Z tego co pamiętam, to GPL nie wymaga przekazania kodu źródłowego razem z produktem. Trzeba go przekazać dopiero na życzenie klienta. A jak klient się tym w ogóle nie interesuje? Oczywiście ma prawo zażądać kodu źródłowego dopiero, gdy ten będzie rzeczywiście potrzebny... ale co, jeśli przedsiębiorcy już wtedy nie ma, albo "kod się zgubił"?

dobra praktyka

Zgadza się jednak dobrą praktyką jest to co np robi Red Hat udostępniając pełne źródła produktów objętych licencjami, które tego wymagają, co więcej, linuksy takie jak Centos, będące jedynie przebudową źródeł, z usunięciem znaków towarowych RH, w żaden sposób nie przeszkadzają temu chyba największemu dostawcy Linuksa. Są szkółką dla przyszłych administratorów i są w użyciu tylko dlatego, że stoi za nimi czerwony kapelusz.

-- piotrg --

sposób udostępnienia kodu źródłowego

Nie. Zgodnie z GPLv2 trzeba albo udostępnić kod źródłowy jednocześnie z wynikowym albo dołączyć do kodu wynikowego pisemną ofertę udostępnienia tego kodu (jest jeszcze trzecia opcja - przekazania takiej oferty uzyskanej od kogoś innego, ale nie dotyczy to obrotu komercyjnego).

Wobec czego, jeżeli ktoś nie udostępnia kodu od razu a złożył taką ofertę (wywiązując się z zobowiązań z GPLv2) to jeżeli adresat oferty z niej skorzysta, oferent jest zobowiązany ją wykonać. Jeżeli "kod się zgubił" to mamy do czynienia z odpowiedzialnością z tytułu niewykonania lub niewłaściwego wykonania zobowiązania.

W GPL FAQ jest specjalna odpowiedź na pytania zadawane przez osoby, które chciałyby udostępniać kod źródłowy "tylko tym, co się zgłoszą".

pszepani, on pobił moją ofertę!

Owszem, jest taki obowiązek, jednak mam poważne wątpliwości na ile jest to problem.

Wiele przypadków to wykorzystanie gotowych i niezmienionych komponentów (np. Linux jako platforma albo jakaś podlinkowana biblioteka (na LGPL zwykle)). W takiej sytuacji obowiązek dostarczenia kodu źródłowego jest znikomo uciążliwy, bo skopiowanie CD/DVD z kompletem źródeł systemu nie jest problemem - ani logistycznie ani prawnie. Tak np jest w przypadku rejestratorów Witness, gdzie klient lub integrator ma przygotować serwer z określoną wersją Linuxa - integrator może być więc zobowiązany do dostarczenia źródeł (do pobrania z ftp.redhat.com).

Nie wiem do jakich firm i produktów dokładnie piją w artykule, systemów nagrywających jest wiele (a polskie znam akurat umiarkowanie). Jednak opierając się na ogólnej znajomości tematu nagrywania rozmów oraz softu FOSS pozwolę sobie wątpić w istnienie problemu - kluczowe moduły systemu dokonujące samego nagrania są raczej pisane przez producentów i nie podlegają GPL, sam fakt że program działa na platformie linuxowej nie czyni go podległym GPL (czy innej licencji FOSS).

Artykuł niestety wygląda mi na żale firm, które przegrały przetargi ze względu na mało konkurencyjną cenę i szukają za wszelką cenę możliwości dokopania zwycięzcom.
Brak jakiegoś konkretnego przykładu - choćby że "system [nazwa pominięta] oparto na oprogramowaniu X i Y i nie wypełniono obowiązku Z", nie domagam się nazw firm, danych nabywców itp - tylko informacji cokolwiek konkretniejszej niż "oni na opensource robią nieuczciwie i nas wygryzają z rynku" (co mogłoby być streszczeniem tego artykułu).

(PS. Firma, dla której zwykle pracuję dostarcza systemy nagrywania rozmów, ale klientom typu biznesowego.)

pszepani, on pobił moją ofertę!

Rejestratory krajowej firmy TRX - bardzo popularny sprzet (i niezlej jakosci). To jest komputer przemyslowy z linuxem na pokladzie. Z tego co sie orientuje firma TRX nie udostepnia zrodel.

mamy cię

Chyba rzeczywiście są to żale firmy przy "użyciu" Pana Redaktora, który jak lekko poszukać w miły sposób komponuje się z Panią od PR z firmy SIM. Nie wygląda to na zbieg okoliczności. Nie ma nic złego w znajomościach jakichkolwiek, lecz dziennikarz powinien zadbać o jakość artykułu bo jest naprawdę bardzo bzdurnie napisany. Mam wrażenie, że ten "nasz informator" jest bliskim i chyba jedynym znajomym Pana Redaktora.

W tym miejscu znajdowały się dodatkowe informacje, w tym linki do profilów w serwisie Goldenline. Zmodyfikowałem ten komentarz na prośbę zainteresowanych osób. Zwrócono mi uwagę również na to, że komentator podpisał się - najprawdopodobniej - nie swoim imieniem i nazwiskiem. Modyfikację niniejszym odnotowuję.

przejdźmy do konkluzji

Chyba dyskusja poszła w maliny za sprawą sensacyjnego wątku detektywistycznego. Niezależnie od motywów konkluzja jest jedna: problem jest i dotyczy braku świadomości, że każda licencja oprogramowania nakłada zarówno pewne prawa, jak i obowiązki. A temat jest faktycznie ciekawy bo po raz pierwszy dotyka problemu respektowania licencji typu GPL lub LGPL. I jeszcze inny ciekawy link z samorzad.infor.pl.

Podsumowując zacytuję fragment z artykułu dostępnego pod linkiem:

Podstawową zasadą przy korzystaniu z jakiejkolwiek aplikacji komputerowej jest zastosowanie się do warunków licencyjnych określonych przez producenta.

Może tak na temat

Z dokumentów, do których dotarła redakcja, wynika, że w przypadku rozwiązań jednej z firm konsultant z Loohuis Consulting (oferujący komercyjną usługę inżynierii zgodności z GPL) stwierdził, że urządzenia te zawierają wolne oprogramowanie, wobec czego ich sprzedawanie bez udostępnienia kodów źródłowych oznacza naruszenie licencji GPL.

Szkoda, że nie podano w artykule tego dokumentu, bo jak dobrze rozumiem redakcja dysponowała tą ekspertyzą. Szkoda, szkoda, że jej nie pokazali. Na razie trudno stwierdzić czy artykuł jest bzdurny...

Wiele firm np. Billa zamieściły link do niego na swojej www http://www.bila.pl/aktualnosci.php i jakoś za bzdurny go nie uważają.

Może więc jakaś merytoryczna polemika a nie linki do goldenline, które niby czego mają dowodzić? Przepraszam ale nie rozumiem tego argumentu. Zresztą niby podpis pod postem z nazwiska nie jest potwierdzony.

Wydaje mi się, że jednak w temacie jest coś na rzeczy, ciekawe czy będą dalsze publikacje w tym kierunku. Może dowiemy się czegoś więcej

FUD

Zacytowany przez Vaglę fragment (o „instytucjach odpowiedzialnych za nasze bezpieczeństwo”, „danych osobowych”, „utracie dotacji”, itp.) to zwykły FUD. O ile zamawiające instytucje nie dokonują dalszej dystrybucji oprogramowania, którego kopie otrzymały (a najpewniej tego nie robią, po prostu korzystając z dostarczonych im systemów), to nie naruszają zapisów GPL. Licencja mówi o tym wprost (to z GPLv2):

Activities other than copying, distribution and modification are not covered by this License; they are outside its scope. The act of running the Program is not restricted, and the output from the Program is covered only if its contents constitute a work based on the Program (independent of having been made by running the Program). Whether that is true depends on what the Program does.

Naruszającymi licencję (o ile opisywane sytuacje rzeczywiście mają miejsce) są w tym przypadku tylko firmy dostarczające oprogramowanie.

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>