ארכיון הקטגוריה: קוד פתוח

על החשיבות ברשיון תוכנה טוב

פורסם בתאריך מאת

תוכנה, בדרך הכלל, מורשית ולא נקנית; כך אף פסק בית המשפט לאחרונה בעניין 42:07-cv-01189-RAJ Vernor v. Autodesk,  לכן, כאשר אדם מוכר (או מרשה) תוכנה, בדרך הכלל המשתמש חותם או מקבל רשיון למשתמש קצה (End User License Agreement, או EULA בקצרה), אשר מהווה את מערך הזכויות והחובות המצורפות לתוכנה עצמה.

דיני זכויות היוצרים מגבילים את הזכות לייצר עותקים או להפיץ תוכנה ללא הרשאה זו, והרשיון מהווה הרשאה שניתנה למשתמש הקצה להחזיק את העותק שלו של התוכנה. ללא רשיון זה, כל פעולה שתבוצע עשויה להפר את זכויות היוצרים של היוצר המקורי. אולם, הן סעיף 12 לחוק זכויות יוצרים והן סעיף 106 לחוק זכויות היוצרים האמריקאי לא מגבילים את השימוש בתוכנה אלא רק את ההעתקה שלה, בתי המשפט קבעו בדרך כלל כי כאשר תוכנה ניתנת תחת רשיון, אך לא נמכרת, אז מפתח התוכנה רשאי להטיל הגבלות על זכויות צרכניות (הלכת Vernor) ולכן מפתחי תוכנה עשויים להגביל את הדרך בה משתמשי הקצה ישתמשו בתוכנה שלהם או יטמיעו אותה עם תוכנות אחרות.

אולם, רוב מפתחי התוכנה מעדיפים להשתמש בEULA על מנת להרשות את השימוש בתוכנה, ולא למכור אותה, כדי שהם יוכלו להגדיר מחדש את הזכויות על אף האמור בחוקי זכויות היוצרים (שכן, לדוגמא, סעיף 24 לחוק זכויות היוצרים הישראלי מאפשר תיקון של תוכנה לצרכי אבטחה) וראו לדוגמא את MAI Systems Corp. v. Peak Computer, Inc., 991 F. 2d 511 – Court of Appeals, 9th Circuit.

בעוד שההסכמה להסכמים מסוג זה לא תמיד נחשבת מחייבת על ידי בתי משפט בנוגע לשימוש על ידי משתמשי הקצה (Specht v. Netscape Communications Corp., 150 F. Supp. 2d 585 (S.D.N.Y.2001)), ברור כי ברוב הסכמים אלה מוגבלת היכולת להפצה, לא לשימוש של התוכנה (CV 07-3106 SJO UMG v. Augusto). כלומר, הצורך ברשיון לתוכנה נועד על מנת להגדיר בדיוק מהם היחסים בין מפתח התוכנה למשתמש הקצה, ולשנות את ההסדר הקיים בדיני זכויות היוצרים.

בעקבות צורך זה, לתת למשתמשים רשיון פשוט וברור, עורכי דין מתפרנסים היטב. כל מפתח תוכנה עומד בפני הברירה הפשוטה: האם לשלם כעת כמה אלפי שקלים לעורך הדין שינסח עבורו מסמך באנגלית שבדרך כלל לא יובן על ידו, או לשחרר את התוכנה ללא כל רשיון ולקוות לטוב. ההסכמים, בדרך כלל, מכילים סעיפים המגבילים את אחריות ספק התוכנה (וראו, לדוגמא, את סעיפים 15 עד 18 לרשיון של Windows XP, אשר מחריגים את אחריותה של מיקרוסופט מכל נזק ובכל סיבה).

EULA צריכה לבוא בכל מקום בו יש העברה של קוד תוכנה, אבל לא על שירותים מבוססי רשת, בהם לא מועבר עותק מזכויות היוצרים; ולכן, צריך להבדיל בין תנאי שימוש, שהם מסמך משפטי בין ספק שירות מסוים ללקוח ומסדיר את היחסים בינהם, לבין EULA, שהיא בסך הכל רשיון למשתמש קצה.

כעת, לאחר שהבנו את כל זה, אפשר להכנס לסוגיה האמיתית. אתר binpress שהושק השבוע בבטא רשמית הוא זירת מסחר לתוכנות ווב ומפתחים של שירותי אינטרנט; הוא מאפשר לכל אחד שכתב סקריפט, פלאג-אין, קוד תוכנה או שירות רשת להעלות את הקוד לאתר ולמכור אותו לאחרים. בין היתר, האתר מאפשר למפתחים לייצר עבורם את רשיון התוכנה ולחסוך את העלויות הרבות הכרוכות בכתיבת רשיון על ידי שימוש במחולל שמאפשר להם לבחור איזה חלקים מהרשיון חלים ואיזה לא (גילוי נאות: אני כתבתי את ההסכם המודולארי).  לדוגמא, המשתמש יכול לבחור האם לאפשר למי שרוכש ממנו את התוכנה למכור אותה אחר כך גם לצדדים שלישיים (מה שנקרא רשיון למפתחים), את אורך תקופת הרשיון, את היכולת לבחור את מספר המחשבים והאתרים שיכולים להתשמש בתוכנה (לדוגמא). ערן גלפרין כתב פוסט ארוך על מערכת הרישוי של binpress שכדאי לקרוא.

המערכת מאוד דומה למחולל הרשיונות של Creative Commons בעניין זה, גם קריאטיב קומונס מאפשר למשתמש לבחור באיזה רשיון הוא רוצה לשחרר את היצירות שלו ומהן הזכויות שצמודות. ההבדל הוא שבאתר binpress הרישוי הוא מסחרי, ולתוכנות שנמכרות בכסף.

אם כן, מדוע אני, כעורך דין, שיתפתי פעולה עם מערכת שעשויה לקחת ממני לקוחות ולהעביר אותם לחולל רשיון עבור עצמם? לכאורה, כל מי שמפתח אפליקציה לאינטרנט יכול להעדיף לבחור את המערכת של binpress כשיטת ההפצה שלו ולחסוך את העלות (וראו גם את הפוסט שלי על מודל הFרמיום אצל עורכי דין). שתי סיבות: הראשונה היא כיוון שהמערכת מותאמת אך ורק לאפליקציות רשת שנמכרות דרך binpress. כלומר, מי שמפתח תוכנה גדולה, מערכת מסחרית מהותית או מערכת שכוללת יותר מרק העברה של תוכנה (לדוגמא תמיכה או Validation Key) יצטרך עדיין את שירותיו של עורך דין. מנגד, מערכות כבדות עם סוגיות של פרטיות, קוד פתוח ושאלות משפטיות אמיתיות עדיין יזקקו לייעוץ משפטי, ולכן לא ישתמשו במערכת כזו. השניה היא פשוטה יותר: להערכתי מערכת כזו לא מונעת הכנסה מעורכי דין, היא רק מעבירה את ההכנסה להיות הכנסה יעילה יותר.

רוב הרשיונות שנכתבים הפכו להיות מסמכים גנריים, הסכם שכתוב בצורה שאף אדם לא יכול לקרוא או לכתוב אלא נוצרו כתוצאה מלעיסה של מאות דרישות פעם אחר פעם, ומוגשים למפתחים ללא כל הבנה.

כלומר, המערכת לא פוגעת בהכנסות של עורכי דין, היא גם לא מחליפה ייעוץ משפטי, היא רק מאפשרת למשתמש לבחור בחירה מושכלת בין לשלם כמה אלפי שקלים כאשר הוא לא צריך לבין לייצר עבורו את ההסכם. כשמדובר במשתמש שמוכר תוכנות בדולר או שתיים ומוכר כמה עשרות בחודש, לא ראוי ולא נחוץ שהוא יצטרך להוציא כמה אלפי שקלים על ייעוץ משפטי.

[פורסם במקור]

על הבעיה עם תוכנות הצפנה בדין הישראלי

פורסם בתאריך מאת

.
האם שימוש בתוכנות הצפנה כמו GPG, TrueCrypt או אפילו סתם תוכנות אחסון שמצפינות את המידע ברשת כמו Dropbox עשוי להיות עבירה פלילית בישראל? מטרת מאמר קצר זה היא לסקור את החקיקה הנוגעת לאמצעי הצפנה בישראל, לבחון מדוע קיימים אותם הסדרים, להסביר כיצד אותם הסדרים אינם עומדים בקנה אחד עם דרישות אבטחת המידע הקיימות נוכח המציאות היום ולהמליץ על שינויים בתחום על מנת לקיים רגולציה על תחום ההצפנה בצורה אתית וראויה.

אכן, ולמרות שהדבר אינו נראה הגיוני, הצפנה היא תחום מוסדר למסחר בישראל. משרד הבטחון השתמש בסמכותו ולאור סיבות היסטוריות הכריז כי: "הצפנה מסחרית, כמו גם טכנולוגיה בתחום זה, נחשבים בקרב מדינות העולם בעלי מאפיינים "דו-שימושיים" (Dual-Use) אשר יש לפקח על העיסוק בהם. מדובר בטכנולוגיות, במוצרים ובידע אשר משמשים ככלל לצורך אזרחי (מסחרי או פרטי) ואולם ניתן לעשות בהם גם שימוש צבאי ובטחוני. החשש הינו כי בידיים הלא הנכונות (מדינות המוכרזות כתומכות בטרור, ארגוני טרור וגורמים פליליים) ינוצלו אמצעי ההצפנה למטרות פסולות". משנת 1974, עת הותקנה אכרזה המציגה את ההצפנה והעיסוק בה כתחום בר-פיקוח, נאסר על אזרחי ישראל להשתמש באמצעי הצפנה כלשהם ללא הסכמת הממשל, וצו הפיקוח שהותקן דרש כי כל העוסק בהצפנה ירשם במשרד הבטחון ויאפשר למשרד הבטחון לערוך חיפושים ובדיקות בחצריו, הדרישה המשיכה אל תוך שנות השמונים והתשעים (ראו סקירה היסטורית באתר של חיים רביה, חלק ראשון, חלק שני, חלק שלישי) עד שבסוף שנות התשעים התחוור למשרד הבטחון כי רוב אזרחי ישראל עוברים על החוק בצורה כזו או אחרת. על מנת לפתור את הבעיה, הוחלט על קיומה של רפורמה זוטא במדיניות הפיקוח על אמצעי הצפנה, שתאפשר את השימוש במספר אמצעים מוכר וידוע ללא כל רגולציה.

1.
לצורך כך, בשנת 1998 תוקן צו הפיקוח על מצרכים ושירותים (תיקון), התשנ"ח – 1998 ונקבע כי למנכ"ל משרד הבטחון ישנה אפשרות להכריז על אמצעי הצפנה כאמצעים חופשיים, אפילו מיוזמתו, ולהכריז כי אין איסור על שימוש באמצעים אלה. נכון להיום, באינדקס האמצעים החופשיים יש כ7,685 אמצעים לרבות Internet Explorer וNetscape Navigator / Communicatior (ללא ציון גרסאות, לפחות בתחילה) אך לא רוב האמצעים החופשיים והאמצעים בקוד פתוח המוכרים לנו. כך, לדוגמא, דפדפן Firefox, למרות שהינו בעל יכולות הצפנה, נעדר מהרשימה; מערכת ההפעלה לינוקס מאוזכרת על ידי רשיון שניתן לRedHat ושלל אפליקציות ללינוקס, אך לא נמצאת שם. דומה שהסיבה לכך היא כי מעולם לא טרח איש לפנות למשרד הבטחון על מנת לאשר את העניין. מאז 2004 לא נדחתה בקשה אחת לקבלת אישור ודומה שעם נתח שוק עולמי של כ-30% לדפדפן Firefox קשה למשרד הבטחון לא לאפשר מיוזמתו את ההסכמה לדפדפנים. אולם, נכון לעכשיו, כל המשתמש בדפדפן שאינו מופיע ברשימת האמצעים החופשיים, הרי שהוא מפר את צו הצופן.

2.
חוסר ההגיון בצו מסוג זה משווע מלא מעט סיבות. העיקרית היא הרציונל מאחורי הצו: החשש כי בידים הלא נכונות ינוצלו אמצעי הצפנה היה נכון אולי בשנת 1974 כאשר צו בדבר הסדר העיסוק באמצעי הצפנה הוצא; אולם, מאז שונתה דרך העבודה והמתודות. מאז 1974 השתנה עולם התוכנה ואמצעי ההצפנה לצורה שבה כל יום, במהלך העבודה הרגיל, אדם מצפין עשרות פעמים: כאשר הוא מתחבר לקריאת דואר אלקטרוני, כאשר הוא מבצע שיחות טלפון, כאשר הוא צופה בטלויזיה; כל פעולה היום מלווה בהצפנה. מנגד, אותם ארגוני טרור שהממשלה מנסה למנוע מהם את השימוש בהצפנה יכולים להסתמך כיום על תוכנות הצפנה בקוד פתוח אשר אין להם אב ואם, ויכולות להגן בצורה טובה יותר מאשר חבילות מסחריות.

3.
אם הרציונאל של משרד הבטחון הוא דומה לרציונאל של ממשלת הודו במאבק מול Blackberry ושל ממשלת גרמניה בנוגע לSkype, כלומר, לקבל גישה למפתחות ההצפנה ולאפשר דלתות אחוריות, הרי שאותו רציונאל פסול ואינו עומד בקנה אחד עם קריטריונים חוקתיים, אולם נראה שלא כך הדבר. בטפסי הבקשה אין כל דרישה לקיומן של דלתות אחוריות, ונכון לעתה אמצעים רבים המופיעים בדיווח ידוע שאינם מכילים דלתות כאלה (בין היתר כיוון שמדובר באמצעי קוד פתוח). אלא שדומה שהארכאיות בבקשות של משרד הבטחון פשוט אינן מסוגלות לקבל את העובדה שישנן תוכנות חופשיות או יצירות ללא אב ואם. כך, לדוגמא, בטופס הבקשה, מלבד קריטריונים רלוונטיים, נדרש הממלא להבהיר מהו שם החברה המספקת את התוכנה (במקרה של תוכנות בקוד פתוח אין כלל אב ואם) וישנה דרישה לדיווח על המכירות.

4.
כלומר, נכון להיום כל אוכלוסית מדינת ישראל עוברת על צו הצופן בצורה כזו או אחרת; מדובר בעבירה פלילית שענישה כלשהיא בצידה, ואשר מונעת מכלכלת ישראל גם להתבסס על אמצעים בקוד פתוח. מעבר לכך, הרציונאל לפיו יש להרחיק ארגוני טרור מאמצעי הצפנה הוא גם לקוי: הרי אותם ארגונים מראש אינם מצייתים לחוק. עוד סוגיה המתעוררת היא בעיית טריטוריאליות החוק: החוק הישראלי חל על אזרחים ישראלים הנמצאים במדינת ישראל, אולם הוא אינו חל על פעולות שבוצעו מחוץ לה. למרות התפיסה הארכאית של משטרת ישראל כי היא יכולה להחיל את החוק גם על פעולות מחוץ לישראל (בש 90861/07 מיכאל גארי קרלטון נ' היחידה הארצית לחקירות הונאה), הרי שברור כי צו הצופן לא יחול על הצפנה שבוצעה מחוץ למדינה ולא ניתן יהיה לחייב שירותי הצפנה זרים שאינם פועלים בישראל לציית לחוק.

5.
כך, לדוגמא (ותודה לים מסיקה על הרעיון), שירות Dropbox מספק אחסון מרוחק ומוצפן. מדובר בשירות ציבורי, הזמין לכל תושבי העולם ואינו מחזיק שרתים בישראל. נניח, לצורך העניין, שהוא אפילו חוסם את היכולת לגשת לשירות לישראלים (על מנת להתגבר על המכשול הטכני של טענות המשטרה בעניין מיכאל גארי קרלטון), אולם: אזרח ישראלי (נניח, גלעד שרון, לצורך הויכוח), מאחסן את קבציו האישיים בשירות וניגש אליו באמצעות שרת Proxy המסווה את זהותו. אותו אדם נמצא תחת חקירה, והמשטרה מצווה עליו למסור מסמכים מסוימים (ע"פ 1761/04 גלעד שרון נ' מדינת ישראל) אולם, הוא טוען כי זכותו להמנע מהפללה עצמית עומדת, והוא מסרב למסור את ססמאת הגישה (וראו: על החובה למסור ססמאות מוצפנות). כעת, משנמנעה מהמשטרה היכולת להגיע לחומר החקירה החסוי, שכן, אם שרתי Dropbox היו בישראל, הם היו מבקשים, בין אם על פי חוק ובין אם לא, את הגישה לקבצים בצו בית משפט לפי סעיף 43 לפקודת סדר הדין הפלילי [מעצר וחיפוש], מבקשת המשטרה לאסור את אותו אדם על פי צו הצופן.

6.
הטענה הקלה מבחינת המשטרה, מאותו הרגע, היא שאותו אדם הצפין את החומרים בצורה שאינה מאפשרת את הפענוח (כיוון שהחומר אינו נמצא בישראל, ולא ניתן ליתן צו חיפוש נגד מי שמחזיק אותו) המצפין עבר על החוק. כך, יותר קל להצמיד עבירה של הצפנה שלא כדין מאשר את שאר העבירות (ולעבור על חוק הפיקוח על מוצרים ושירותים). אולם, האם צו הצופן, בפועל, אומר שאנחנו צריכים לזנוח את כל התוכניות שלנו ולעבור לעבוד רק עם יישומים מורשים?

7.
גם צו הצופן, בהיותו צו שינתן על ידי רשות שלטונית, כפוף לעקרונות חוקתיים כמו כל צו אחר שניתן על בסיס חוק פיקוח על מצרכים ושירותים. כך, לדוגמא, בבגץ 4253/02 מר בנימין קריתי – ראש עיריית טבריה נ' מר אליקים רובינשטיין – היועמ"ש הועלתה טענה נגד תוקף צו פיקוח בתחום הבריאות, כאשר באותו המקרה בית המשפט פסק כי, ראשית, היה על העותרים לתקוף את הצו סמוך למועד כניסתו לתוקף (ובהשלכה לצו הצופן, בשנת 1998 לערך) וכי יש לבחון את השלכות הרוחב של הצו, גם אם הוא מגביל את העקרונות החוקתיים:"לענייננו, צו הפיקוח קובע עקרונות חשובים ומהותיים. אם היה מקום לתקוף אותו – הדעת נותנת כי הדבר יעשה סמוך לאחר נתינתו, ולא לאחר שהעקרונות התקבעו והפכו לנורמות מחייבות שלאורם פועלים בתי החולים. מעבר לכך ולגופו של עניין: השגתם המרכזית של העותרים (באשר לתוקפו של צו הפיקוח) נסמכת על החוק המסמיך קרי: חוק הפיקוח על מצרכים ושירותים, תשי"ח-1957, ס"ח 24 (להלן: חוק הפיקוח). סעיף 3 לחוק הפיקוח אומר: "לא ישתמש שר בסמכותו לפי חוק זה, אלא אם היה לו יסוד סביר להניח שהדבר דרוש לקיום פעולה חיונית, למניעת הפקעת שערים וספסרות או למניעת הונאת הציבור".  לטענת העותרים "אין ולא יכול להיות לשר יסוד סביר להניח כי איסור השר"פ חיוני לקיום פעולה חיונית – מתן השר"פ אינו פוגע בכהוא זה בכל פעולה חיונית הניתנת במסגרת בית החולים" (סע' 78 לעתירה). חרף הפסקנות והדווקנות שבה נטענה הטענה – היא אינה משקפת את המצב לאשורו. לשר"פ יש השלכות רוחב שמשמעותן אינה מצטמצמת לאותן שעות שבהן הוא ניתן".

8.
מנגד, ברור כי בתריסר השנים שעברו מאז הוצא צו הצופן השתנתה הדרך בה אנו חושבים על הצפנה למכביר. בשנת 1999 מערכת Deep Crack פרצה את תקן ההצפנה המקובל בעולם, הDES. תקן הAES הוחל בשנת 2001, ופיגועי ה11 בספטמבר 2001 הביאו לרצון נרחב יותר לבחון מהם המסרים המועברים. כח המחשוב בעולם גדל בצורה מעריכית ושיטות הפצת המידע השתנו מקצה לקצה. החובות שהוטלו על מנהלי מאגרי מידע, מנגד, והצעות הרשות למשפט, טכנולוגיה ומידע לתקנות אבטחת המידע בפרט, לא מאפשרות אלא לעבור על החוק.

9.
אם כן, מה על אדם המעוניין לעסוק בהצפנה, או לספק לציבור שירות המכיל רכיב הצפנה בפנים, לעשות? כעקרון, גם אם הוא אינו מפתח התוכנה, אין מניעה כי כל אדם יגיש בקשה להכריז על שירות ההצפנה שלו כאמצעי חופשי על פי צו הצופן. כלומר, במקרה כזה, נניח שאדם מסוים מנהל אתר אינטרנט להיכרויות: עליו גם לרשום מאגר מידע על פי חוק הגנת הפרטיות, וגם, בהנחה שהוא מצפין את הססמאות כדי לשמור על כללי אבטחת מידע להגיש בקשה לרישום אמצעי ההצפנה למשרד הבטחון. כעת, אם מערכת ההפעלה בשרת מכילה רכיבי הצפנה שאינם מוכרים כאמצעים חופשיים, עליו לבקש רשיון גם עבורם. במקרה כזה, די בכך שיתקבל פעם אחת רשיון עבור רכיב כמו OpenSSL להכיר בו כאמצעי חופשי.

10.
אם יש משהו ללמוד ממלחמת הPGP של שנות התשעים הוא שלא משנה מה, מרגע שתוכנה מסוימת שוחררה לאוויר לא ניתן להשיבה. בשנות התשעים ממשלת ארצות הברית רדפה אחרי מפתח של תוכנת PGP: Pretty Good Privacy ששוחחרה תחת רשיון פתוח יחסית. למרות ויכוחי פטנטים עם RSA ולמרות האיסור על הפצת קוד התוכנה מחוץ לארצות הברית כיוון שמדובר באמצעי הצפנה, הצליחו ארכיטקטי PGP (שכיום גם מכיל גרסא מסחרית). מנגד, ובעקבות חוסר אמון וחוקי יצוא מעיקים, אלטרנטיבת הGPG יצאה לאוויר ואיפשרה מעקף של העניין. הכלל, שברור כיום יותר מכל דבר אחר, הוא שאמצעי הצפנה, כמו כל תוכנה אחרת, אינם ניתנים לשליטה מרגע ששוחררו לאוויר העולם. הרציונאל של רשויות שלטוניות לנסות לאסור על שימוש בתוכנה שאין לה בעלים, אין לה משווק ואין לה תומך אינו בנוי לעולם הנוכחי של העדר גבולות ושירותי רשת.

11.
אם כן, מה אמור משרד הבטחון לעשות על מנת להתמודד עם תופעת ההצפנה ולהתמודד עם רצונם של גורמים עוינים להצפין מידע? מתוך נקודת המוצא כי אותו משרד אכן מבין כי העדר זמינות בישראל של תוכנות הצפנה לא יגרום לכך שארגוני טרור לא ישיגו את האמצעים מאתרי אינטרנט זרים, ומתוך הכרה בערך החיובי מאוד של הצפנה עבור האדם הפרטי, אשר משתמש בהצפנה למסחר, משרד הבטחון צריך, להערכתי, לבצע את השינויים הבאים:(1) ראשית, על משרד הבטחון ליתן היתר כללי לאמצעי הצפנה הנמצאים בנחלת הכלל או שוחררו תחת רשיון קוד פתוח; (2) על המשרד לשקול רפורמה שתסיר את ההגבלות על הצפנה כלל ותסיר את המוצר מרשימת המוצרים בפיקוח, תוך הבנה שהזמנים השתנו; (3) עד שרפורמה מסוג זה תכנס לתוקף, על המשרד לזום בצורה אקטיבית הכרזה על אמצעים חופשיים מבלי מעורבות של הציבור ולבטל את דרישת הדיווח השנתי; (4) כמו כן, על המשרד, יחד עם הרשות הממלכתית לאבטחת מידע, לפעול לקידום ההצפנה והטמעת אמצעי הצפנה חזקים יותר בידי גורמים הפגיעים למתקפות טרור וירטואליות.

12.
לסיכום, ככל הנראה לא יוגשו לעולם כתבי אישום נגד ציבור משתמשי פיירפוקס או נגד מי שמשתמש בהצפנה שמקורה בקוד פתוח. הסיבה לכך היא כנראה חוסר הרצון של משרד הבטחון לנמק, מאוחר יותר, מדוע מעולם לא הפעיל את סמכותו לפי סעיף 3ב לצו וקבע מיוזמתו כי התוכנות מהוות אמצעי חופשי, וגם כיוון שעל ידי הגשת כתבי אישום נגד משתמשי פיירפוקס ינותק הקשר הסיבתי בין איסור הצפנה לבין טרור. לכן ברור שקיומו של חוק שאינו נאכף עשוי רק להזיק למדינה, במיוחד כאשר מדובר בחקיקה שנועדה להגן מפני טרור, וכעת לא נעשה בה כל שימוש.

[פורסם במקור בגליון השלושה עשר של Digital Whisper] [פורסם גם כאן]

על אכיפת רשיונות קוד פתוח וצווי מניעה

פורסם בתאריך מאת

פסיקה שניתנה בבית המשפט המחוזי של צפון קליפורניה עשויה לערער את קהילת הקוד הפתוח אם לא תתהפך בערכאה גבוהה יותר ותהפך להלכה מחייבת. לאותה פסיקה עשויות להיות השלכות על אכיפת רשיונות קוד פתוח ועל זכות של בעל הרשיון לקבלת פיצויים בעקבות אותה הפרה. בבקשה לצו זמני שנדחתה על ידי בית המשפט, קבע השופט וייט כי הפרת רשיון אומנות (Artistic License) הינה הפרת חוזה ולא הפרת זכויות יוצרים. להחלטה זו דווקא שתי השלכות מעניינות שנובעות מהדין האמריקאי ששונה מהדין הישראלי.

רוברט ג'קובסן הוא פרופסור לפיסיקה באוניברסיטת ברקלי וחובב דגמי רכבות. לאורך השנים פיתח ג'קובסן תוכנה בשם JMRI להפעלת רכבות; מת'יו קאצר, חובב רכבות גם הוא, פיתח מערכת בשם KAM לניהול רכבות מרחוק. לכאורה, מתבססת המערכת של קאצר על הקוד שנכתב על ידי ג'קובסן. ג'קובסן פנה לבית המשפט לקבל שורה של סעדים. בין היתר, ביקש להצהיר כי בהתנהגותו של קאצר יש כדי לבסס תחרות בלתי הוגנת לפי החוק בקליפורניה, לטעון לעשיית עושר שלא במשפט וכן לקבל צו מניעה זמני שיאסור על הפצת KAM.

קאצר הגיש מספר בקשות למחיקת תביעתו של ג'קובסן. בית המשפט קיבל בחלקן את בקשותיו של קאצר וקבע בצורה תמוהה כי אין לג'קובסון עילה לתביעת תחרות בלתי הוגנת (06-01905 Jacobsen V.  Katzer).

עילת תחרות בלתי הוגנת היא עוולה מתחום העוולות המסחריות. היא יכולה להיות אחת משתיים בארץ, או התערבות לא הוגנת בעסק (לדוגמא, סעיף 3 לחוק עוולות מסחריות) או פגיעה בתחרות החופשית. על כן, בכדי להסתייע בסעד של בית המשפט, היה על ג'קובסן להראות כי כיסו נפגע עקב הפגיעה בתחרות. בית המשפט קבע כי "לתובע מעולם לא היתה ציפיה לקבלת תגמול על ידי הפצת הקבצים באינטרנט בחינם" ולכן מחק את סעיף התביעה.

הבעייתיות בטענה זו היא שבית המשפט לא רואה את הרווחים הלא ממוניים משחרור הקוד לציבור. פתיחת הקוד ושחרור כלל הקוד לציבור מאפשר לטכנולוגיה להתפתח ולהבנות על הידע הכללי בצורה שתסייע לא מעט גם לציבור כולו.

את בקשתו של התובע לצו מניעה זמני דחה בית המשפט לאחר שקבע כי בכדי ליתן צו מניעה על הפרת זכויות יוצרים יש להראות כי זכויות היוצרים אכן הופרו והתוכנה הועתקה ללא רשות. בית המשפט קבע (עמ' 9 לפסק הדין) כי מכשהתובע העמיד את התוכנה להורדה בחינם באינטרנט באמצעות רשיון תוכנה לא ייחודי, הוא התחייב בצורה משתמעת שלא לתבוע אותם על הפרת זכויות יוצרים, ולכן, לתובע יכול שתהיה תביעה כנגד המפרים על הפרת החוזה אך לא על הפרת זכויות יוצרים.

הArtistic License שחל על הJMRI אינו קובע מה מתרחש בעת הפרת הרשיון, ולכן על בית המשפט יהיה לבחון את הנזק. לפני שאחתיל לדון בבעיות של פסיקה זו על הדין הישראלי, הערה אחת על הGPL. למרות שפסיקה זו אינה מתייחסת לGPL, בו ישנה התייחסות מפורשת (סעיף 9 לGPLv3) להפרת הרשיון. הGPL עצמו כותב במפורש כי אין כל צורך לאשר את ההסכם, אלא שללא קבלת ההסכם על כל תנאיו, למשתמש אין כל זכות בתוכנה ולכן הדבר מהווה הפרת זכויות יוצרים. לכן, במקרה של הGPL כל הפרה שלו שוללת את הרשיון ומפקיעה אותו מבעליו, ואנו שבים למסגרת זכויות היוצרים (ראו גם את מאמרו של מארק רדקליף בנושא)

הבעיה עם החלטה זו היא ההבדל המהותי בחוק בין ארצות הברית לישראל. ארצות הברית נוצרה כמדינה של קניין פרטי; בארצות הברית ההון הוא הפתרון המועדף לכל סכסוך ועל כן פיצויים הם הסעד הרלוונטי להפרת חוזה. לכן, בהנחה שאין פיצויים עונשיים או פיצויים מוסכמים ברשיון התוכנה, יהיה על ג'קובסן להוכיח את הנזק שנגרם לו עקב הפצת התוכנה.

אם נסתכל על דברי השופט בעת שהחליט לגבי תחרות בלתי הוגנת, נוכל להבין כי דעתו היא שמכשתוכנה שוחררה לכלל הציבור, לא יגרם נזק ליחיד בעת העתקתה; בעוד שפסיקה בארצות הברית כי הפרת רשיון GPL לא מזכה את המופר בפיצויים עקב הפרת זכויות יוצרים תוכל לפגוע קשות בתמריץ של כותבי תוכנה לשחררה תחת GPL כיוון שאלו ידעו שכל קניינם הפר הוא ואין להם כל סיכוי לאכוף את הרשיון בפועל, החלטה כזו יכולה לעשות נפלאות למשתפי הקבצים. אלו יכולים לטעון כשמכשרכשו תקליטור מוסיקה והעלו אותו לאינטרנט, הם לא הפרו זכויות יוצרים אלא רק את רשיון השימוש, ועל כן אין הם חייבים בפיצויים סטטוטוריים על הפרת זכויות יוצרים אלא דווקא לפצות את חברות התקליטים על הנזק שנגרם להן, והחברות יהיו חייבות להוכיח את נזקן.

לעומת זאת, הדין הישראלי רואה את האכיפה כסעד המועדף (סעיף 3 לחוק החוזים (תרופות בשל הפרת חוזה)), ולכן דווקא במקרה הישראלי היה זכאי ג'קובסן לצו מניעה עקב הפרת החוזה ולצו שיורה על אכיפת החוזה (לא לצו מניעה זמני, אלא קבוע, בכפוף לרע"א 2516/05 מעריב נ' אולג'ובס). מצד שני, הפיצויים להם היה זכאי ג'קובסן בחוק הישראלי יכול שיהיו רחבים יותר. דווקא בעקבות כך שהפסיקה לא תכיר בהפרת רשיון השימוש כהפרת זכויות יוצרים, יכול שתתרחב הלכת א.ש.י.ר (רע"א 5768/94 א.ש.י.ר יבוא יצור והפצה נ' פורום אביזרים ומוצרי צריכה בע"מ, פ"ד נב(4) 289, וראו גם רע"א 502/04 Buffalo Boots נ' גלי) ותקבע כי הפרת רשיון התוכנה, יחד עם הנזק לקהילת התוכנה החופשית, תזכה את התובע בעשיית עושר ולא במשפט.

החלטה שכזו עשויה לסייע דווקא לקהילת הקוד הפתוח בישראל, כיוון שהיא תאכוף את רשיון התוכנה ותספק, בחלק מהמקרים, פיצויים מסוג "עשיית עושר ולא במשפט", כלומר, הפיצויים שינתנו לניזוק הם הרווחים שעשה המפר בעת השימוש בקוד התוכנה ללא רשיון.

בכל מקרה, החלטה זו לטעמי שגויה, ויהיה זה נזק לקהילת הקוד הפתוח אם תאומץ על ידי בתי המשפט, כיוון שהיא תאריך את הזמן הדרוש בכדי לאכוף רשיונות קוד פתוח, ותגדיל את העלויות שיהיו למפתחים בכדי לגבות את נזקיהם.

גילוי נאות:
אני מייצג את אלכסנדר מריאנובסקי בתביעתו לאכיפת רשיון הGPL.

 פורסם במקור בבלוג 2jk.org

Technorati Tags: , , , , , , , , , ,