GPL-overtredingen: misbruik met openbronlicenties
Een groot deel van de software op een Linux-systeem valt onder de GPL-licentie. Die zorgt ervoor dat de code open blijft en iedereen de software kan gebruiken, bestuderen, verbeteren en herdistribueren. Alleen wordt die licentie niet altijd nageleefd, waardoor de vrijheid van de software in het geding komt.
Veel gebruikers en ontwikkelaars kunnen zich enorm opwinden over overtredingen van de GPL-licentie. Terecht, want er zijn miljoenen licentieovertredingen te vinden en er komen dagelijks nieuwe bij.
De meeste overtredingen van de GPL gebeuren in de consumentenelektronica. Er worden dan ook erg veel apparaten verkocht die op Linux draaien, zoals modems, navigatieapparatuur en zelfs televisies. Ontwikkelaars begrijpen vaak niet waarom bedrijven niet de juiste broncode voor een product kunnen leveren. Die is immers gewoon beschikbaar.
Het probleem is dat de meeste elektronicabedrijven niet weten welke software er op hun apparaten staat, omdat dat deel van de productie is uitbesteed aan Aziatische bedrijven. De meeste bedrijven zijn ter goeder trouw en verkopen hun elektronica in de veronderstelling dat de leverancier alles netjes heeft geregeld. Alleen blijven ze natuurlijk wel aansprakelijk voor wat ze distribueren. Als dat software is die onder de GPL-licentie is uitgegeven, dan moeten ze aan de licentievoorwaarden voldoen.
Productieketen
Bij de fabricage van een apparaat zijn verschillende bedrijven betrokken. Een typische keten ziet er als volgt uit: een chipsetfabrikant plaatst een chip met andere componenten op een bord. Voor dat bord wordt een software development kit (SDK) ontworpen, op zijn beurt het uitgangspunt voor een referentieontwerp van een product. Daarna wordt alles op maat aangepast voor de klant, bijvoorbeeld door toevoeging van logo’s. Dat gaat in een doosje naar Europa en wordt hier gedistribueerd. Afhankelijk van het product kunnen er nog meer bedrijven betrokken zijn of vervult een bedrijf diverse rollen.
Bovendien probeert een producent dat alles zo goedkoop mogelijk te doen. De marges in de consumentenelektronica zijn dan ook flinterdun: van de prijs die in de winkel betaald wordt, gaat zo’n veertig tot vijftig procent naar de winkel zelf. De rest gaat op aan onder andere productie-, transport- en personeelskosten. Ook moeten er eventuele patentlicenties betaald worden, voor bijvoorbeeld mp3, of DivX, en gaat het nodige geld naar reclame.
Er blijft relatief weinig over per individueel product, en dus moet er veel worden verkocht om geld te verdienen. Het is dan ook niet verwonderlijk dat er zo vaak openbronsoftware wordt gebruikt. Er hoeven immers geen licentiekosten te worden betaald als het wordt gedistribueerd, waardoor de productieprijs nog verder omlaag kan.
Alleen schiet het correct naleven van licenties er vaak bij in door gebrek aan kennis. Openbronsoftware wordt gezien als publiek domein. Daarnaast zijn veel bedrijven niet in staat om software te bouwen en te onderhouden en tot slot is er maar een kleine juridische dreiging. Het is makkelijk om onopgemerkt te blijven en niet te worden aangeklaagd.
Juridische strijd
Wereldwijd bekrachtigen organisaties en personen actief de GPL. In de Verenigde Staten houden vooral de Free Software Foundation en de Software Freedom Conservancy zich hiermee bezig, terwijl in Europa gpl-violations.org erg actief is.
In Europa is vooral gpl-violations.org erg actief op zoek naar licentie-inbreuken tegen GPL.
Daarnaast zijn er ook al enkele losse auteursrechthouders die zich in de strijd hebben geworpen. Op het moment dat een licentie niet wordt nageleefd, vervalt die en mag de software niet meer worden gedistribueerd. Dat mag pas weer als aan de licentie wordt voldaan.
Tot nu toe is de licentie enkele keren door een rechtbank bekrachtigd, maar het overgrote deel van de zaken wordt in der minne geregeld. Bedrijven die in het verleden zijn aangeklaagd, zijn onder andere Cisco en Skype.
In Duitsland is vooral Harald Welte van gpl-violations.org voltijds bezig met deze strijd. De Linux-ontwikkelaar heeft auteursrechten op een aantal cruciale stukken code in de Linux-kernel. Die heeft hij sinds 2004 veelvuldig bekrachtigd. Als er een overtreding wordt gemeld die waarschijnlijk lijkt, dan wordt er een testaankoop gedaan. Zo kan Welte bewijzen dat het product ook echt verkocht is en controleren of er aan de licentievoorwaarden is voldaan.
Als er inderdaad inbreuken zijn, dan wordt het apparaat geanalyseerd om te kijken of de software waarop Welte auteursrechten heeft, ook echt aanwezig is. Zo ja, dan begint het juridische steekspel: er wordt een sommatiebrief gestuurd, waarin wordt geëist dat distributie van het apparaat wordt gestaakt; anders volgt een kortgeding. Meestal wordt dan alsnog de broncode beschikbaar gemaakt.
Soms wordt het apparaat van de markt gehaald, omdat het bedrijf de broncode niet kan of wil vrijgeven. Ook ondertekent de onderneming een verklaring waarin het belooft Weltes auteursrechten niet meer te schenden. In Duitsland is het zo dat als een overeenkomst wordt getekend, er een boeteclausule moet zijn opgenomen, die als stok achter de deur moet dienen voor een eventuele nieuwe overtreding. Die boete wordt bij een nieuwe overtreding – en overeenkomst - verhoogd, zodat dat na een aantal overtredingen flink wat geld kan kosten. De meeste bedrijven laten het niet zo ver komen.
Resultaten
Op dit moment stijgt het aantal overtredingen van de licentie nog steeds spectaculair, vooral vanwege de stormachtige groei van ‘embedded Linux’-systemen, met name Android. Toch is er ook goed nieuws te melden. Bij toeleveranciers in Azië en bedrijven in het Westen worden steeds vaker maatregelen genomen, opdat de licenties beter worden nageleefd.
Een belangrijk initiatief is Software Package Data Exchange (SPDX). Dit is een formaat waarmee makkelijker een ‘softwarevrachtbrief’ kan worden gemaakt, waarin je kunt aangeven wat er in je product zit en onder welke licentie die valt. Daardoor heb je niet meer met alle verschillende formaten te maken waar leveranciers nu mee werken, zoals tekstbestanden, spreadsheets of losse e-mails.
Een andere ontwikkeling is het beter samenwerken van bedrijven zoals chipleveranciers in het LTSI-project, waarbij zoveel mogelijk ontwikkelingen in de standaardkernel worden gedaan, en niet intern. Als de code al in de standaard-kernel zit, dan is het makkelijker om aan de licentie te voldoen. Die code kan niet zomaar meer kwijtraken, wat nu helaas nog vaak gebeurt.
Op het juridische vlak staan er in contracten steeds vaker clausules over de naleving van licenties, waardoor het probleem verder de supply chain wordt ingeschoten. Daarnaast werken organisaties als gpl-violations.org en Free Software Foundation Europe veel samen met organisaties in onder andere Korea en Taiwan om het probleem aan de bron opgelost te krijgen.
Desondanks zal het nog lang duren voordat iedereen zich netjes aan de licentie houdt. Tot die tijd zal de juridische strijd tegen deze praktijken voortduren.