Francia bíróság 650 ezer euró kártérítést ítélt meg GPL sértés miatt

Címkék

A Court of Appeal of Paris (Párizsi Fellebbviteli Bíróság) összesen 650 ezer euró kártérítés megfizetésére kötelezte a francia Orange-t, mert úgy találta, hogy a telekom szolgáltató megsértette a GPL-t, illetve a Entr'Ouvert Lasso nevű C library szabad szoftverének szerzői jogait. Az Orange egyrészről köteles 500 ezer euró kártérítést fizetni, valamint 150 ezer eurót kiadni erkölcsi károkozás miatt.

Részletek itt.

Hozzászólások

Nyilvánvalóan arról van szó, hogy egy arrogáns multi szimplán el akarta spúrkodni a fejlesztési költségeit egy olyan technológián, amit amúgy licenszelhettek is volna, így nem kellett volna veszélyeztetni™ a biztonságot™ és a versenyelőnyüket™ a saját derivatív forráskódjaik nyilvánosságra hozásával.

But for proprietary projects, that wouldn't want to use it, we designed a commercial license.

- https://lasso.entrouvert.org/

Csak hát ehhez multiék már túl milliárdosok voltak.

amit amúgy licenszelhettek is volna, így nem kellett volna veszélyeztetni™ a biztonságot™ és a versenyelőnyüket™ a saját derivatív forráskódjaik nyilvánosságra hozásával.

Nem, nem licenszelhették volna, és a forráskód nyilvánosságra hozása is kötelező, ha terjeszted a megoldást. (Csak akkor mentesülsz ez alól, ha csak házon belül saját célra használod, akkor semmiképp sem, ha továbbértékesíted, mint ahogy az Orange tette.)

But for proprietary projects, that wouldn't want to use it, we designed a commercial license.

Na pont ezt explicit kifejezetten tiltja a GPL. Megérdemelték a büntetést, kár, hogy csak ilyen aprópénzt vert rájuk a bíróság. Simán lehetett volna a tízszerese, azt talán meg is érezték volna.

Hát e téren már valóban jogász kéne. Az én értelmezésem az, hogy csak akkor elég azoknak odaadni, akik használják, ha a terjesztés fizikai adathordozón és nem kereskedelmi céllal történik, külön írásos ígérettel.

GPL Section 6c. (kiemelés tőlem) "Convey individual copies of the object code with a copy of the written offer to provide the Corresponding Source. This alternative is allowed only occasionally and noncommercially, and only if you received the object code with such an offer, in accord with subsection 6b."

Az utolsó 6b-re hivatkozó tagmondat azt jelenti szerintem, hogy akkor elég csak a konkrét felhasználónak kiadni a forrást, ha erre külön írásban előre felhívják a figyelmét és nem pénzért árulják (noncommercially). Nem vagyok jogász, de szerintem ez az írásos cucc itt hiányzott, és egyébként is kereskedelmi céllal terjesztették pénzért, ergó ez a pont ebben az esetben nem használható. Szvsz. De ehhez már tényleg jogász kéne.

A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

kozben a faqban megtalaltam, csak a cuccot hasznalonak kell odaadni a kodot, masnak nem:

Szerintem félreértetted. Itt a "programhasználó" csak általános szófordulat, és nem konkrétan azokat jelenti, akik a programodat tőled beszerezték. Ugyancsak a GPL FAQ később egyértelművé is teszi ezt (kiemelés tőlem):

If you choose to provide source through a written offer, then anybody who requests the source from you is entitled to receive it.

The reason we require the offer to be valid for any third party is so that people who receive the binaries indirectly in that way can order the source code from you.

Magyarán nem csak azoknak kell odaadnod a forrást, akinek a bináris változatot adtál (azaz a programod használói a szó szoros értemében), hanem gyakorlatilag bárkinek. Nem ellenőrizheted, hogy tőled vette-e a programot (és így valóban a programhasználód), ha csak meglobogtatja az "offer"-t, muszáj kiadnod neki a forrást, akárki legyen is az.

You can charge people a fee to get a copy from you

ez nekem azt mondja hogy barkitol kerhetek penz aki akar egy masolatot tolem. de ha en odaadtam valakinek, az mar szabadon arulhatja/adhatja tovabb.

szoval ha Orangehez odamesz hogy kene a forras, akkor mondhatja hogy 10M$ lesz. de elkerheted a "French Agency for the Development of Electronic Administration" szervezettol is, ekkor nem kell fizetned az Orangenek.

A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

ez nekem azt mondja hogy barkitol kerhetek penz aki akar egy masolatot tolem.

Nem egészen. A GPL szigorúan kiköti, hogy nem lehet hasznod rajta, és ha neten adod oda, akkor meg nem kérhetsz érte egy petákot sem.

szoval ha Orangehez odamesz hogy kene a forras, akkor mondhatja hogy 10M$ lesz.

Nem mondhatja, azzal is megsértené a GPL-t. Section 6b (kiemelés tőlem):

on a durable physical medium customarily used for software interchange, for a price no more than your reasonable cost of physically performing this conveying of source, or
(2) access to copy the Corresponding Source from a network server at no charge.

Az meg külön kérdés, hogy a mai világban mi is számítana "általánosan szoftverterjesztésre használt fizikai médiumnak", mert hát ugye az általános szoftverterjesztés már évek óta neten, store-okon keresztül történik és nem floppin vagy CD-n.

(Megjegyzés: ez kifejezetten a forrás átadására vonatkozik. A bináris formában történő terjesztésért akármennyit kérhetsz, azt nem szabályozza a GPL, mint ahogy azt sem, hogy támogatásért felszámolsz-e díjat. Ezt csak azt mondja, hogy a forrás átadásán nem nyerészkedhetsz.)

Nincs itt semmiféle ellentmondás, külön felhívtam a figyelmed rá, hogy ez a forrásra vonatkozik.

Nézd az egész képet: tegyük fel, hogy egy GPL-s programot értékesítesz, kizárólag bináris formában, a forrást nem, csak "offer"-t mellékelve. Ekkor a teljes folyamat így néz ki:

GPL Section 6b(1) (kb 20 évvel ezelőtt):
- annyiért árulod CD-n a lefordított programot, amennyiért nem szégyelled
- egyik vevő (vagy bárki) bejelentkezik, hogy kéne neki a forrás is
- elküldöd neki a forrást CD-n, ezért azonban nem számolhatsz fel több pénzt, mint a nyers CD ára és a postakötlség.

GPL Section 6b(2) (napjainkban többnyire már csak ez):
- annyiért árulod az AppStore-ban a lefordított programot, amennyiért nem szégyelled
- egyik vevő (vagy bárki) bejelentkezik, hogy kéne neki a forrás is
- küldesz neki egy github linket, de ezért már nem kérhetsz el plusz pénzt

De mégegyszer, ez csak akkor van így, ha a Section 6 szerint csak bináris formában terjeszted a GPL-s programot, forrás nélkül. Ez ugye manapság egyáltalán nem játszik, mivel tipikusan csak feldobod a forrást egy git szolgáltató szerverére, a bináris pedig a repó "release" tabjára kerül és jóccakát.

Eredetileg az Orange-ra céloztam, de elgondolkodtattál. Mivel a lasso több libre is épül, ezért simán lehet, hogy a dual licenszelés is törvénysértő. Nem lehet biztosra mondani, mert az Entr'ouvert honlapján a licensz link egy nem létező URL-re mutat ("with an OpenSSL exception"). Az mindenesetre önmagában is gyanús, hogy miért beszélnek kivételről egyáltalán, mikor az OpenSSL Apache licenszű, és hogy a link miért 404...

Szóval ja, nincs kizárva, hogy nemcsak az Orange sáros ebben az ügyben, hanem az Entr'ouvert is.

(Ha a lasso nem épülne más libekre, hanem az utolsó betűig saját fejlesztés lenne, akkor természetesen nem lehet gond a dual licensszel, hiszen a jogtulajdonos úgy licenszelheti a saját szellemi termékét, ahogy akarja.)

Eredetileg az Orange-ra céloztam, de elgondolkodtattál

Oké, csak amit beidéztél, az konkrétan a lasso oldaláról van, és kissé kezdtem csodálkozni, hogy mióta tiltja a dual licenselést :)

(Ha a lasso nem épülne más libekre, hanem az utolsó betűig saját fejlesztés lenne, akkor természetesen nem lehet gond a dual licensszel, hiszen a jogtulajdonos úgy licenszelheti a saját szellemi termékét, ahogy akarja.)

Jep, és ha nem teljesen idióták, akkor a contributoroktól kérnek nyilatkozatot, hogy válthatnak licenszt (ugye ezt valamilyen formában a nagyobb projektek szokták csinálni), és gondolom annyira nem balfaszok, hogy linkelnek GPL (vagy hasonló erős copyleft) license-ű 3rd partyra. Ha igen, akkor remélhetőleg, most, hogy van pénzük, valaki kicsit kiperel belőle egy adagot.

Örülök, hogy második nekifutásra sikerült értelmezni a hozzászólásom. Annak kevésbé, hogy az első válaszodban tanúsított multimosdató (vagy legalább is, mindkettő™ ugyanolyan™ sáros™ típusú) hozzáállásod megmaradt.

Nem állítom, hogy az Entr'ouvert mindent jól csinált, mert igazából nem tudjuk. Azt viszont próbáld meg egy kicsit ízlelgetni, hogy ha van egy milliárdos multi, aki zsebből kifizetne egy licenszdíjat, akkor miért dönt mégis az elspúrkodása mellett. Tán nem esetleg azért, mert egy velejéig arrogáns, etikátlan üzlettől sem visszariadó, önző, mohó bagázs?

Azért itt az Orange-nak extrém bénának kellett lennie... ahogy olvasom az ügy iszonyat régi, miért nem próbáltak peren kívül megegyezni. És különben is, ha nem módosították a libraryt, miért nem volt jó nekik, ami a csomagkezelőből lehet feltenni. Ha módosították, akkor az meg mekkora lúzerség, ez teljesen egy alap dolognak tűnik, csak magukat szivatták a módosítás karbantartásával.

(Vagy lehet, hogy félreértem és GPL-t includolni se lehet proprietary kódból ?!)

kellett volna tudniuk valami peren kívüli megegyezést találni

Nem látom, miféle egyezkedés lett volna lehetséges itt.

Az egyetlen lehetőség, hogy megfeleljenek a GPL-nek, az az lett volna, ha a komplett rendszert GPL-é tették volna, és a teljes rendszer forrását szabadon hozzáférhetővé teszik; de gondolom ez a törvénytisztelő magatartás eleve ki volt zárva Orange-éknál. (Lásd GPL Section 5c: "You must license the entire work, as a whole, under this License to anyone who comes into possession of a copy. This License will therefore apply, along with any applicable section 7 additional terms, to the whole of the work, and all its parts, regardless of how they are packaged. This License gives no permission to license the work in any other way")

Vagy lehet, hogy félreértem és GPL-t includolni se lehet proprietary kódból ?!

Nemcsak include-olni meg linkelni nem szabad, de még csak nem is csomagolhatod egybe proprietary kóddal, hogy aztán futáskor dinamikusan linkeld. Ha bármely program egyetlen kis része is GPL licenszű, akkor a teljes programnak és a csomagolásának is teljes egészében GPL licenszűnek kell lennie, máskülönben megsérti a GPL felhasználási feltételeit (ezzel pont az volt az alkoltók szándéka, hogy a GPL licenszű megoldásokat ne lophassák úgy el a multik és adhassák el saját proprietary megoldásként, mint ahogy itt az Orange tette).

A legtöbb FOSS megoldás úgy kerüli egyébként meg ezt a csomagolási megszorítást, hogy külön csomagból kell telepíteni a GPL-es programot és az adatfájlokat (vagy ha ez utóbbi sincs, akkor odaírják, hogy az adatfájlokat a "legálisan megvásárolt példányodból másold át"). Ha a csomag GPL-es és nem GPL-es része külön kerül terjesztésre, akkor az úgy rendben van, de itt nyilván nem ez történt, mert a lasso-t nem külön kellett telepítenie a felhasználóknak.

> Nem látom, miféle egyezkedés lett volna lehetséges itt.

Pont a lasso-ból van commercial licence, arra gondoltam, hogy meg is vehették volna. Persze, lehet, hogy az Entr'Ouvert  hajthatatlan volt.

Vagy :) a commercial licence többe kerül mint amit most rájuk vertek és igazából az Orange-nál vannak a zsenik!

Nemcsak include-olni meg linkelni nem szabad, de még csak nem is csomagolhatod egybe proprietary kóddal, hogy aztán futáskor dinamikusan linkeld. 

Ha ez ennyire strict lenne, akkor kb nem létezne olyan zár program ami nem sért GPL-t. Tranzitív függőségben tuti bejön valami ami senkinek sem szúr szemet és vége a dalnak

Ha ez ennyire strict lenne, akkor kb nem létezne olyan zár program ami nem sért GPL-t.

Hát nem is létezhet, pont ez a cél! A félreértések elkerülése végett ezt még külön ki is írják szó szerint a GPL a végén: The GNU General Public License does not permit incorporating your program into proprietary programs.

Tranzitív függőségben tuti bejön valami ami senkinek sem szúr szemet és vége a dalnak

Ha nincs direktben egybecsomagolva a zárt programmal az a függőség, akkor az más. (Ugye itt az a csalóka, hogy a legtöbb csomagkezelő automatikusan felteszi a függőségeket, de attól az még külön telepítésnek számít, ha külön kell letölteni. Ezt a GPL "aggregátumnak" hívja: Inclusion of a covered work in an aggregate does not cause this License to apply to the other parts of the aggregate.)

Erre tipikus példa a doom, aminek az engine-je valami Szabad és Nyílt Forráskódú licensszel rendelkezik (pl dsda-doom) és ebben a csomagban nincs is benne, hanem csak dependency-ként hivatkozik a nem szabad licenszű .wad fájl csomagra a shareware pályákkal. Egy paranccsal telepíted ugyan a kettőt, de mivel külön, más-más forrásból töltődnek ezek le, külön telepítésnek számítanak a GPL szerint, így tehát aggregátum.

Itt azzal sértették a GPL-t, hogy egybecsomagolták az Orange zárt cuccát a lasso-val. Ha teszem azt úgy csinálják meg, hogy nincs benne a lasso, hanem azt a legelső induláskor a végfelhasználó gépére letölti és lefordítja az Orange programja, akkor az úgy rendben lett volna.

Meg az összes többi multi és IT óriás is. Ugyanezért elítélte már a bíróság pl. a Cisco-t is (ők a Linksys routereik forrását tartották vissza, holott az GPL-s megoldást (is) tartalmazott, megsértve ezzel a GPL-t). De a Microsoft is csak akkor veri a nyálát, ha az ő IP-jüket használja más, az bezzeg nem böki a jogi osztályuk csőrét, amikor ők lopják el ipari mennyiségben más IP-jét és sértik meg ipari mennyiségben a licenszfeltételeket a CoPilot-tal.