GPL -vastavuoroisuusvelvollisuus ja riskien hallinta

(IPRinfo 1/2010)

Yritys voi hallita avoimeen lähdekoodiin kohdistuvia riskejä kunnioittamalla yhteisiä pelisääntöjä ja noudattamalla vastavuoroisuuden velvoitetta.

Avoimesta lähdekoodista keskusteltaessa huomio kiinnittyy usein yleisimmin käytettyyn GPL-lisenssiin, versioon kaksi (GPL, GPLv2). Varsinkin vastavuoroisuusvelvoite tai copyleft-ehto (GPLv2 kohta 2: kohdan johtolause ja alakohta b) aiheuttaa huolta. Tältä osin lisenssin versio 3 vastaa sitä pääkohdiltaan.

Yritysten kannalta ongelmallisinta on vastavuoroisuusvelvoitteen laajuuden epäselvyys: milloin vastavuoroisuusvelvoite ulottuu GPL-ohjelmiston kanssa yhdistettävään toiseen ohjelmistoon? Tämä kysymys usein estää muun GPL:n analyysin ja luo turhia pelkoja koko avoimen lähdekoodin hyödyntämiseen. Turhia pelkoja liittyy myös siihen, mitä ehdon rikkomisesta ajatellaan seuraavan.

Tarttumisen automatiikkaa ei ole
Vastavuoroisuusvelvoitteesta käytetään myös harhaanjohtavia nimityksiä ”tarttuminen” tai ”virusvaikutus” tai ”periytyminen”. Ilmaisuilla kuvataan (virheellistä) ajatusta siitä, että GPL automaattisesti tarttuisi yrityksen oman tuotteeseen ja saastuttaisi sen.

Mikään GPLv2-lisenssin ehdoista ei kuitenkaan automaattisesti vaikuta ulkopuoliseen ohjelmaan, ts. teokseen. GPLv2:n sanamuoto ei sisällä määräystä, että GPL-ohjelmistoa levitettäessä yrityksen ohjelmiston kanssa yhteisenä teoksena, GPLv2:n määräykset automaattisesti siirtyisivät yrityksen ohjelmistoon.

Virheellinen tulkinta johtuu myös lisenssin virheellisestä lukemisesta: jos kohdan 2 alakohta b luetaan ilman kohdan johtolausetta, saattaa helpommin päätyä virheelliseen tulkintaan.

Vastavuoroisuusvelvoitteen ydin ja loukkauksen seuraus
GPL:n mukaan ohjelmistoa ei saa levittää muuten kuin niin, että siihen samaksi teokseksi /teoskokonaisuudeksi yhdistetyt ohjelmistot levitetään samalla lisenssillä. Mikäli määräystä ei noudateta, ei levittäjällä ole oikeutta levittää GPL:n alaista teosta.

Oikeudeton levittäminen on tekijänoikeusloukkaus, ja oikeudenhaltijan suojana ovat tavanomaiset tekijänoikeusloukkauksen seuraukset. Seurauksena ei ole yrityksen ohjelmiston automaattinen lisensioiminen GPL:llä: tällaista määräystä ei ole GPL:ssä eikä laissa.

Tekijänoikeuslainsäädännön mukaan tekijänoikeudenhaltija (esimerkiksi yritys) päättää oman teoksensa lisensioinnin ehdoista, ja myönnettyä lisenssiä tulkitaan lähtökohtaisesti suppeasti. Yritys ei tule lisensioineeksi teostaan GPLv2:lla ilman omaa tahdonilmaisuaan, jonka puolestaan tulee olla selkeä.

Esimerkiksi yrityksen päinvastainen tahdonilmaisu oman ohjelmistonsa lisensioimisesta muulla lisenssillä estäisi mielestäni vastakkaisen tulkinnan kokonaan. Vaikka asia onkin käsitykseni mukaan oikeudellisesti täysin selvä, on tällainen kokonaisuus kuitenkin monimutkainen, eikä etukäteistä varmuutta tuomioistuimen tulkinnasta ole.

Vastavuoroisuusvelvoitteen laajuus
Epäselvä kohta GPLv2:ssa koskee vastavuoroisuusvelvoitteen laajuutta. Minkä tyyppinen ohjelmistojen yhdistäminen muodostaa sellaisen kokonaisuuden, jonka levittäminen edellyttää kokonaisuuden lisensioimista GPLv2:lla? Ja toisaalta, milloin ohjelmistot ovat teoksina sillä tavalla erillisiä, että ne voidaan lisensoida eri ehdoilla?

Vaikka tarkkaa vastausta tähän kysymykseen ei ole, velvollisuuden laajuudelle voidaan hahmottaa tietyt rajat. GPL-ohjelmiston lähdekooditiedostoja muokkaamalla tehdyt lisäykset ovat vastavuoroisuusvelvoitteen piirissä.

Erillisinä prosesseina suoritettavat ohjelmat, jotka käyttävät samoja tietokantoja, samaa levytilaa tai muuta yhteistä dataa, tai jotka välittävät dataa ohjelmalta toiselle, ovat siinä määrin erillisiä, että vastavuoroisuusvelvoitteen ei yleensä katsota ulottuvan näihin.

Rajanvetotapauksiksi jäävät muun muassa niin sanotut linkitystapaukset, joissa ohjelmistoja suoritetaan samana prosessina, ja koodi ajetaan samassa muistitilassa. Tilannetta voi tarkemmin analysoida tekijänoikeuslain lähtökohdista, joissa tietokoneohjelmaa pidetään kirjallisena teoksena. Kirjallisen teoksen suoja on ulkomuodon, ei sisällön, idean eikä käyttötavan suojaa.

Yrityksen on itse muodostettava käsityksensä siitä, mikä on GPLv2:n mukaisen vastavuoroisuusvelvoitteen laajuus. Tällainen käsitys huomioi yrityksen omat tuotteet ja liiketoimintamallit ja kuvaa ne perustilanteet, joissa yritys voi hyödyntää muun muassa GPL-lisensioituja ohjelmistoja. Lisäksi kuvataan käsittelymenettely muille tilanteille.

Yrityksen riskien hallinta
Yritys voi kontrolloida avoimeen lähdekoodiin liittyviä riskejä seuraavasti:
1. Ylläpitää hyvää suhdetta avoimen lähdekoodin yhteisöön.
2. Noudattaa levittämisen ehtoja, kunnioittaa tekijöitä ja on aktiivinen.
3. Noudattaa vastavuoroisuusvelvoitteita itse muodostamansa, perustellun käsityksensä mukaisesti.
4. Jos mahdollista, hyödyntää ohjelmiston levittämisen sijasta järjestelmävaatimusmenettelyä, jolloin ohjelmiston käyttäjä hankkii itse ohjelmiston.
5. Mikäli väitteitä oikeudenloukkauksista esiintyy, on aktiivinen niiden selvittämisessä.
6. Käy avoimesti läpi sen, minkälainen merkitys lisenssituloilla on yritykselle.

Käytännössä oikeudelliset riskit avoimen lähdekoodin käytöstä ovat osoittautuneet pieniksi. Tunnettuja siihen liittyviä ja tuomioon päättyneitä oikeudenkäyntejä maailmanlaajuisesti on ollut vajaa kymmenen.

Viime aikoina useat oikeudenhaltijat ovat kuitenkin aktivoituneet, ja uusia tapauksia on tulossa. Vertailuna on todettava, että yksistään Suomessa on enemmän kuin kymmenen ohjelmistoprojekteihin liittyvää oikeudenkäyntiä lähes joka vuosi, välimiesmenettelyt mukaan lukien.

Niissä GPLv2:n loukkaukseen liittyvissä oikeudenkäynneissä, joiden materiaaleihin olen tarkemmin tutustunut, keskeiset vaatimukset on aina muotoiltu ”lopettakaa levittäminen tai noudattakaa jatkossa ehtoja”. Koskaan ei ole vaadittu, että yrityksen tulisi julkaista ohjelmistonsa lähdekoodi. Vaatimus olisikin perusteeton.

Oikeudenkäynnit ovat lisäksi aina kohdistuneet sulautettuihin ohjelmistoihin sellaisissa tietoliikennelaitteissa, joita levitetään laajasti myös kuluttajille. Vastavuoroisuusvelvoitetta koskevat loukkaukset ovat näissä oikeudenkäynneissä johtuneet lähdekooditiedoston muokkaamisesta eikä ohjelmistojen yhdistämisestä tai edes linkittämisestä. Niin sanottu pienoisrautatiejuttu (Jacobsen v. Katzer) ei koskenut GPL:ää, mutta kyseessä oli kuitenkin laajasti kuluttajille levitetty sulautettu ohjelmisto.

Yhteisön suhtautuu yrityskäyttäjiin myönteisesti
Avoimen lähdekoodin yhteisö suhtautuu myönteisesti siihen, että yritykset käyttävät näitä ohjelmistoja. Muun muassa Free Software Foundation Europen ohjeet oikeudenloukkauksien varalta lähtevät siitä, että asiat tulee selvittää yrityksen kanssa suoraan, eikä loukkauksia tai niiden epäilyjä tule ensi vaiheessa julkaista.

Yritykset, jotka pyrkivät noudattamaan avoimen lähdekoodin lisensioinnin ehtoja huolellisesti ja reagoivat selvityspyyntöihin, voivat käsitykseni mukaan turvallisesti ja laajasti hyödyntää ohjelmistoja.

Validos ry suunnittelee yhteisen käsityksen muodostamista vastavuoroisuusvelvoitteen laajuudesta ottaen huomioon niin avoimen lähdekoodin yhteisöjen kuin Validoksen jäsenyritysten näkökulmat.
http://www.validos.org

Free Software Foundation Europen ohjeet / Reporting and fixing license violations:
http://www.fsfe.org/projects/ftf/reporting-fixing-violations.html

 

Martin von Willebrand
Asianajaja, Asianajotoimisto HH Partners Oy
Hallituksen puheenjohtaja, Validos ry