欧洲监管机构听取了开源社区的意见！

在 2023 年期间，OSI 和许多其他开源社区的成员花费了大量时间和精力与欧盟 (EU) 的各个共同立法者就《网络弹性法案》(CRA) 进行沟通。CRA 与欧洲《产品责任指令》(PLD) 的修订版一起，首次将产品责任扩展到软件领域。

鉴于欧盟自身的研究表明开源对欧洲经济的巨大影响，这些立法文书的作者力求确保开源软件的生命周期尽可能不受影响。事实上，在 2023 年 FOSDEM 大会上，CRA 和 PLD 的作者在他们首次主会场亮相时就明确表达了这一点。但是，当我们仔细研究细节时，社区成员发现情况并非我们希望的那样乐观。正如一系列组织解释的那样，CRA 可能会对开源开发构成生存威胁，因为 CRA 的所有合规要求本应由为盈利而部署开源软件的公司承担，但按照草案，这些义务可能会落在开发者和开源基金会身上。

对最终文本的反应

许多 OSI 附属机构在 2023 年与欧盟委员会、欧洲议会和欧洲理事会进行了沟通。在欧洲开放论坛的协调下，一个小组定期开会，跟踪进展并解释问题。我们中的许多人还投入时间和差旅费进行面对面会谈。由于众多人士的共同努力，CRA 的最终文本几乎消除了我们之前识别出的所有针对个人开发者和开源基金会的风险。正如 Python 软件基金会在他们的更新中所说：

……最终文本表明，人们对开源软件的运作方式及其为软件开发整体生态系统提供的价值有了更清晰的理解。

Eclipse 基金会写道：

修订后的法规大大改善了其对开源项目、社区、基金会及其开发和软件包分发平台的排除。它还创建了一种新的经济行为者——“开源管理员”，承认了基金会和平台在开源生态系统中发挥的作用。

正如 Apache 软件基金会所说：

总而言之，这对运行和创新开源软件的志愿者来说，大多是好消息。或者更准确地说，比我们大多数人在去年夏天结束时所能想象的要好得多。

去年这个时候，OSI 建议 CRA：

……排除软件商业部署之前的所有活动，并……明确确保 CE 标志的责任不应由任何非直接商业受益于部署的行为者承担。

该建议已被接受并实施，OSI 非常感谢各位专家抽出时间倾听。

OSI 的观察

虽然一切都好得多，并且个人和慈善机构的负担也降到了最低，但前方仍然存在挑战。例如，Debian 项目提出的担忧令人深思。由于开源项目被豁免在其软件上贴上 CE 认证标志的要求，下游用户将需要仔细关注他们在 CRA 下的责任以及他们根据 PLD 对消费者承担的责任。

特别是，以小规模使用开源软件的“数字工匠”（Debian 主要关注的问题）将需要欧盟委员会的指导。虽然我们遇到的专家都表示，将开源软件发行版作为商业活动的一部分不太可能需要对发行版本身进行 CE 标志认证，但关键短语“在市场上提供”的解释将需要仔细澄清。OSI 鼓励委员会像去年一样征求开源社区的专家意见，而不是仅仅依靠外包顾问来准备这份建议。

FOSDEM 2024

立法者未来的参与方式也是一个问题。开发者和开源基金会在 2023 年所做的努力是不可持续的，委员会需要在未来的审议中容纳第四部门的声音。为了启动这项工作，我们在 2023 年参与其中的一群人聚集在一起，组织了一系列独特的2024 年 2 月 4 日星期日在 FOSDEM 2024 举行的研讨会。如果您想让您的声音被听到，请来参加其中一个研讨会！