网络韧性法案的另一个问题:欧洲标准机构对开源项目不开放
网络韧性法案 (CRA) 中的一项提案是,欧洲标准机构应制定合适的标准,以帮助简化合规性。Bert Hubert 在他的CRA 详尽解释中解释了这可能如何运作。
对于开源来说,这里存在一个关键问题。欧盟政策专家表示,不必担心 CRA 合规性,因为欧盟标准机构将简化它。但是,欧洲标准化组织 (ESO) 由企业控制,喜爱专利,且参与成本高昂。如果欧盟希望接纳开源,难道不应该解决这个问题吗?
在欧洲,欧盟委员会的标准请求由根据欧盟法律被指定为 ESO 的机构处理。只有三个这样的机构:CEN、CENELEC 和 ETSI。没有任何一家标准制定组织对开源项目是 本身开放的。
CEN 和 CENELEC 主要由国家标准机构控制,而国家标准机构又由国家产业主导;ETSI 是一个会员组织,会员费高昂,程序在很大程度上是秘密的(尽管免费规范值得称赞),它直接由其成员控制,这些成员主要来自电信行业,但也包括欧洲各国。此外,ETSI 赞扬自己作为 FRAND 许可的先驱和倡导者的角色,而 FRAND 许可 从根本上与开源社区不相容。与所有 法律上的 标准一样,参与这些标准机构中的每一个都非常昂贵,无论是经济上还是时间上,而且参与它们的治理超出了小型参与者的范围。
鉴于这种情况,当欧盟委员会要求将适用于符合性评估的标准时,尚不清楚他们将如何考虑适用于开源软件的开发工作流程。就像欧盟委员会自身一样(正如我最近评论的那样),欧洲的标准机构与开源慈善机构没有功能关系,也不咨询它们。
非常重要的是要找到方法,让真正的社区发出声音,而不仅仅是其企业成员。按照目前的状况,开源将仅通过其企业用途的视角来考虑。由于开源是一场社会运动,其软件产物应用广泛,因此仅关注软件的属性和消费它的公司的需求是不够的。你甚至无法通过小型企业来代理,更不用说跨国公司及其游说者了——他们中的许多人不了解社区如何运作,而且在不了解社区的情况下,可能会犯下根本性错误。
因此,我认为无论 CRA(以及相关工具)产生什么立法,都需要明确规定,制定相关标准的标准机构必须包括有效措施,以咨询和纳入开源社区。如果这种情况没有发生,正如 NLnet Labs 解释的那样,“剩下的唯一选择是涉及为第三方流程审核员付费的符合性评估程序。” 而开源开发者绝对负担不起。
本文最初发表于 Webmink 草稿。