OFAC и open-source: Linux Foundation раскрывает тонкости работы под санкциями США

Linux Foundation опубликовала разъяснения по вопросам соблюдения международных санкций в open-source сообществе. Организация подчеркнула, что, несмотря на глобальный и инклюзивный характер свободного программного обеспечения, разработчикам необходимо учитывать существующие ограничения, особенно со стороны США и Управления по контролю за иностранными активами (OFAC).

В последние годы вопросы регулирования и безопасности стали важной темой для разработчиков open-source. Одним из таких вызовов стали санкционные программы, регулирующие взаимодействие с определёнными странами, организациями и индивидуальными лицами. Linux Foundation отмечает, что санкции США и других стран могут повлиять на разработку программного обеспечения, в том числе за счёт запрета финансовых операций, интеллектуальной собственности и иных видов взаимодействия.

Санкции OFAC работают по принципу строгой ответственности, что означает наказание за нарушения, даже если они были совершены неосознанно. В этом контексте разработчикам следует внимательно относиться к взаимодействию с участниками open-source проектов, особенно если они связаны с санкционными организациями. Программисты должны учитывать, что санкции распространяются не только на конкретные лица и компании, но и на организации, где их доля владения превышает 50%.

В докладе Linux Foundation отдельно подчёркивается, что с усилением санкций против технологических компаний из России этот вопрос стал особенно актуален. Международные ограничения уже затронули российские IT-компании, что привело к пересмотру сотрудничества в некоторых open-source проектах. В частности, санкции США запрещают предоставление услуг компаниям, находящимся в санкционных списках, что может повлиять на их возможность участия в разработке открытого программного обеспечения.

Фонд особо отметил, что некоторые транзакции подпадают под исключения. Например, распространение исходного кода зачастую рассматривается как информационный материал и не подпадает под ограничения. Однако, если разработчик из санкционной страны активно участвует в обсуждении проекта, предлагает исправления и улучшения, это может быть расценено как нарушение.

Рекомендации Linux Foundation

Фонд предложил разработчикам соблюдать ряд правил, чтобы минимизировать риски, связанные с санкциями:

1. Избегайте двустороннего взаимодействия с разработчиками из санкционных зон. Если от участника, связанного с санкционной организацией, поступает код, его можно рассматривать и применять, но не следует вступать в обсуждение, помогать в улучшении или разъяснять технические вопросы. Двустороннее общение может быть расценено как предоставление услуг, что подпадает под санкционные ограничения.

2. Будьте осторожны при принятии новых вкладов в код. Если патч решает общие проблемы проекта, его использование допустимо. Однако, если внесённые изменения явно улучшают функциональность определённой санкционной организации или её продукта, такой вклад следует отклонять. Важно анализировать не только сам код, но и потенциальные последствия его использования.

3. Следите за возможными обходными путями. Некоторые организации могут пытаться вносить изменения в open-source проекты через третьих лиц, скрывая своё участие. Если один и тот же код поступает из разных анонимных источников, следует тщательно проверять, не связаны ли они с санкционными субъектами.

4. Проверяйте юридические аспекты лицензионных соглашений. Многие проекты требуют от участников подписания Contributor License Agreement (CLA). Однако, заключение такого соглашения с лицом или организацией, находящимися под санкциями, может нарушать законодательство. Важно проводить проверки перед утверждением соглашений.

5. Используйте инструменты проверки санкционных списков. Фонд рекомендует регулярно проверять участников проектов с помощью официальных баз данных, таких как SDN List от OFAC. Однако важно помнить, что этот список не исчерпывающий — некоторые субъекты подпадают под санкции даже при отсутствии в нём.

6. Ограничьте взаимодействие с кодом, разработанным в интересах санкционных организаций. Если предложенные изменения направлены на поддержку продуктов или услуг запрещённых компаний, их включение в проект может привести к санкционным последствиям.

7. При необходимости консультируйтесь с юристами. Если возникает сомнение в законности тех или иных действий, рекомендуется обращаться за консультацией к специалистам. Особенно это касается компаний и проектов, находящихся в США или использующих американские технологии.

Помимо США, санкционные программы действуют в Евросоюзе, Великобритании, Австралии, Японии, Швейцарии и других странах. Разработчикам из этих регионов также следует учитывать их местное законодательство. Фонд выражает надежду, что в будущем регуляторы смогут дать более точные разъяснения и, возможно, освободят open-source проекты от санкционных ограничений.

Несмотря на ужесточение регулирования, Linux Foundation подчёркивает, что открытые технологии остаются самой доступной и инклюзивной моделью разработки программного обеспечения. Однако, чтобы избежать юридических рисков, разработчикам стоит внимательно относиться к вопросам санкционного регулирования и при необходимости консультироваться с юристами.