Licencování open-source softwaru v komerčních produktech:

Používání open-source softwaru (OSS) může dramaticky urychlit vývoj a snížit náklady, ale přináší i právní rizika pro vaše duševní vlastnictví. Tento článek vám poskytne jasné odpovědi na to, jak funguje "virální efekt" licencí jako GPL a AGPL, jaké kroky musíte podniknout pro ochranu vašeho komerčního produktu a jak předejít situaci, kdy budete nuceni zveřejnit svůj vlastní zdrojový kód.

Autor článku: ARROWS advokátní kancelář (Mgr. Petr Hanzel, LL.M., office@arws.cz, +420 245 007 740)

 

Open-source software: Dvojsečná zbraň pro vaše podnikání

Open-source software je dnes základním stavebním kamenem moderního digitálního světa. Od startupů po globální korporace, firmy všech velikostí využívají OSS k akceleraci inovací, snížení nákladů na vývoj a zvýšení flexibility svých produktů. 

Výhody jsou nepopiratelné: přístup k obrovskému množství kódu bez přímých licenčních poplatků, možnost přizpůsobení softwaru přesně na míru a transparentnost, která umožňuje komunitě rychleji nacházet a opravovat chyby.

Tato dostupnost však často vede k nebezpečnému podcenění právních závazků. Mnoho firem se mylně domnívá, že "free" v termínu "free and open source software" znamená zcela bezplatný a bez závazků. Ve skutečnosti se "free" odkazuje na svobodu (freedom) – svobodu kód studovat, upravovat a šířit. Každá tato svoboda je však regulována specifickou licenční smlouvou, která je právně závazná.

Vzhledem k tomu, že dnes až 80 % kódu v jakékoliv moderní aplikaci tvoří právě open-source komponenty, nelze tuto problematiku ignorovat. Každá firma vyvíjející software je tak de facto smluvní stranou stovek, ne-li tisíců, různých licenčních smluv. Nedodržení jejich podmínek není jen technickým přehlédnutím, ale porušením autorského práva s potenciálně likvidačními následky pro vaše podnikání.

Ne každá licence je stejná: Permisivní vs. copyleftové licence

Aby bylo možné se v komplexním světě OSS licencí orientovat, je klíčové pochopit jejich základní rozdělení do dvou hlavních kategorií. Volba mezi nimi není technickým, ale strategickým rozhodnutím, které přímo ovlivňuje vaše duševní vlastnictví a obchodní model. Právníci v ARROWS tuto problematiku denně řeší a pomáhají klientům zvolit správnou strategii.

Permisivní licence

Tuto kategorii lze označit za "business-friendly". Licence jako MIT, Apache 2.0 nebo BSD jsou navrženy pro maximální flexibilitu a široké přijetí. Jejich podmínky jsou minimální – typicky vyžadují pouze zachování původního copyrightového oznámení a textu licence v distribuovaném produktu.

Klíčovou výhodou permisivních licencí je, že umožňují integraci OSS kódu do vašich komerčních, proprietárních (uzavřených) produktů, aniž byste museli zveřejňovat svůj vlastní zdrojový kód.

Copyleftové licence

Na druhé straně stojí licence s tzv. copyleftem. Jde o chytré využití autorského práva k prosazení určité ideologie: zajistit, aby software a všechny jeho odvozené verze zůstaly navždy svobodné a otevřené. Fungují na principu "share-alike" (zachovejte licenci) – pokud použijete komponentu pod copyleftovou licencí ve svém produktu a tento produkt dále distribuujete, musíte celý svůj produkt (nebo jeho odvozenou část) poskytnout pod stejnou nebo kompatibilní licencí.

Nevíte si s daným tématem rady?

Tento mechanismus se označuje jako virální efekt, protože licenční podmínky se "šíří" z open-source komponenty na váš vlastní, původně proprietární kód. Nejznámějšími zástupci této kategorie jsou licence z rodiny GNU GPL.

Pozor na virální efekt: Co znamená GPL a AGPL pro váš software?

Právě silné copyleftové licence představují největší riziko pro komerční software. Jejich podmínky jsou striktní a jejich porušení může mít fatální následky. Pojďme se podívat na dva nejčastější a nejrizikovější příklady.

GNU General Public License (GPL)

Licence GPL je nejznámější a nejrozšířenější silnou copyleftovou licencí. Její virální efekt se spouští při "distribuci" softwaru, který je považován za "odvozené dílo" od původního GPL kódu. Pokud tedy váš produkt obsahuje byť jen malou část kódu pod licencí GPL a vy jej prodáváte nebo jinak šíříte, jste povinni zpřístupnit kompletní zdrojový kód vašeho produktu pod podmínkami licence GPL.

GNU Affero General Public License (AGPL)

Pro moderní technologické firmy a poskytovatele cloudových služeb je licence AGPL ještě větším rizikem. Byla vytvořena speciálně k tomu, aby uzavřela tzv. "SaaS mezeru" (ASP loophole), která existovala v licenci GPL. Podle GPL se totiž poskytování přístupu k softwaru přes síť (např. v modelu Software as a Service) nepovažovalo za distribuci, a virální efekt se tak nespouštěl.

AGPL toto mění. Jasně stanoví, že i pouhé umožnění interakce s upraveným softwarem přes síť se považuje za distribuci. To v praxi znamená, že pokud vaše cloudová platforma nebo SaaS aplikace používá byť jen jedinou upravenou komponentu pod licencí AGPL, musíte všem jejím uživatelům poskytnout zdrojový kód celé vaší platformy. Právě z tohoto důvodu mají firmy jako Google interní politiku, která striktně zakazuje použití jakéhokoliv kódu pod licencí AGPL.

Interpretace toho, co přesně spouští povinnosti pod licencemi GPL a AGPL, je jedním z nejčastějších a nejrizikovějších problémů, které v ARROWS řešíme pro naše klienty v technologickém sektoru a pro startupy.

Kdy se váš produkt stává „odvozeným dílem“? Technický detail s obrovskými právními důsledky

Klíčovým právním pojmem, který spouští virální efekt copyleftových licencí, je "odvozené dílo". Podle autorského zákona vzniká odvozené dílo zpracováním díla původního, například jeho úpravou nebo spojením s dílem jiným. V kontextu softwaru je však hranice mezi dvěma samostatnými díly a jedním odvozeným dílem často nejasná a závisí na technickém způsobu jejich propojení.

Statické linkování (Static Linking)

Při statickém linkování je kód open-source knihovny fyzicky zkopírován a stává se přímou součástí spustitelného souboru vaší aplikace. Z právního hlediska je téměř jisté, že tímto procesem vzniká jedno jediné, spojené dílo.

Pokud je tedy knihovna pod licencí GPL, statickým linkováním se celý váš produkt stává odvozeným dílem a podléhá podmínkám GPL.

Dynamické linkování (Dynamic Linking)

Při dynamickém linkování vaše aplikace za běhu volá funkce z externí, samostatně stojící knihovny. Zde je právní situace mnohem komplikovanější. Autoři licence GPL (Free Software Foundation) tvrdí, že i tento způsob propojení vytváří odvozené dílo. 

Jiné právní výklady to však zpochybňují a tvrdí, že jde stále o dvě samostatná díla. Právě tato nejistota představuje pro firmy obrovské riziko.

Posouzení, zda kombinace vašeho proprietárního kódu s OSS komponentou vytváří "odvozené dílo", je klíčovou právní analýzou, kterou v ARROWS provádíme. Technické rozhodnutí programátora má přímé a zásadní právní dopady na hodnotu vašeho duševního vlastnictví.

Skrytá rizika a jejich důsledky: Co vám hrozí při nedodržení licence?

Ignorování licenčních podmínek není strategie, ale hazard, který může vaši firmu stát existenci. Důsledky nejsou jen teoretické – jsou velmi reálné a závažné.

Naši specialisté pro Vás

Nejvážnějším rizikem je ztráta duševního vlastnictví. Pokud soud rozhodne, že jste porušili podmínky licence GPL nebo AGPL, může vám nařídit zveřejnit zdrojový kód vašeho klíčového produktu. Tím okamžitě ztratíte své obchodní tajemství, konkurenční výhodu a znehodnotíte investice do vývoje.

Dále vám hrozí soudní spory a finanční postihy. Licence GPL je v Evropě i USA opakovaně potvrzena jako vymahatelná. Existují organizace jako Software Freedom Conservancy, které aktivně vyhledávají porušení licencí a podávají žaloby. I když se spor vyřeší mimosoudně, náklady a poškození reputace mohou být značné. Jako příklad z nedávné doby lze uvést kauzu sociální sítě Truth Social, která čelila obvinění z porušení licence AGPL, pod kterou je šířen software Mastodon, na němž byla postavena.

V neposlední řadě je třeba zmínit i rizika spojená s použitím kódu z veřejných fór, jako je Stack Overflow. Kód zde je často licencován pod variantou copyleftové licence (CC BY-SA), která má podobný virální efekt a vyžaduje striktní uvedení autora a zachování licence, což je pro komerční software problematické.

Klíčová rizika při využívání open-source softwaru

Riziko k řešení	Potenciální problémy a sankce	Jak pomáhá ARROWS:
Neúmyslné použití kódu s licencí GPL/AGPL	Nucené zveřejnění vašeho proprietárního zdrojového kódu, ztráta obchodního tajemství a konkurenční výhody.	Právní stanoviska k posouzení dopadů licence; revize smluv s vývojáři.
Použití kódu z fór (např. Stack Overflow)	Kód je často pod copyleft licencí (CC BY-SA), která může "nakazit" váš produkt. Riziko porušení autorských práv.	Příprava interních směrnic pro vývojáře o bezpečném používání externích zdrojů.
Zastaralé a nepodporované OSS komponenty	Kritické bezpečnostní zranitelnosti (jako Log4Shell), které mohou vést k úniku dat, útokům a vysokým pokutám (např. pod GDPR).	Právní konzultace ohledně odpovědnosti a rizik; doporučení pro procesy řízení rizik.
Nekompatibilita licencí	Kombinování softwaru pod nekompatibilními licencemi (např. GPLv2 a Apache 2.0) může vést k neřešitelnému právnímu stavu.	Získání potřebných povolení a sjednání alternativních licencí s autory (dual-licensing).
Nedostatečná dokumentace (chybějící SBOM)	Neschopnost rychle reagovat na nové zranitelnosti. Problémy při M&A due diligence, auditech nebo prodeji firmy.	Vyhotovení dokumentace, která ochrání před pokutami a usnadní budoucí transakce.
Porušení licenčních podmínek (např. chybějící atribuce)	Soudní spory od držitelů autorských práv nebo organizací jako Software Freedom Conservancy. Poškození reputace.	Zastupování u soudů a správních orgánů; mimosoudní řešení sporů.
Poskytování SaaS služby s upraveným AGPL kódem	Povinnost zpřístupnit zdrojový kód celého vašeho SaaS řešení všem uživatelům, což zničí jeho komerční hodnotu.	Hloubková analýza architektury a doporučení k izolaci kódu (např. přes mikroslužby, kontejnery) pro minimalizaci dopadu.

Proaktivní ochrana: Jak efektivně řídit open-source komponenty ve firmě?

Reaktivní řešení problémů je vždy dražší a rizikovější než proaktivní prevence. Klíčem k bezpečnému využívání open-source je zavedení robustních interních procesů a nástrojů, které vám poskytnou přehled a kontrolu.

Software Bill of Materials (SBOM)

SBOM je v podstatě "kusovník" nebo "seznam ingrediencí" vašeho softwaru. Jedná se o formální, strojově čitelný seznam všech komponent, ze kterých se skládá vaše aplikace, včetně jejich verzí a licencí. SBOM je základem transparentnosti a stává se standardem v oboru, který je dokonce vyžadován vládou USA pro dodavatele softwaru.

Software Composition Analysis (SCA)

Manuální tvorba a údržba SBOM je u komplexních aplikací nemožná. Proto existují nástroje pro analýzu složení softwaru (SCA). Tyto nástroje automaticky skenují váš kód, identifikují všechny přímé i nepřímé (tranzitivní) závislosti, porovnávají je s databázemi známých zranitelností a analyzují licenční podmínky.

Interní směrnice (Open Source Policy)

Samotné nástroje však nestačí. Musí být řízeny jasnou interní politikou, která definuje pravidla pro používání OSS ve vaší firmě. Tato směrnice stanovuje, které licence jsou povolené, které vyžadují schválení a které jsou zcela zakázané. Dále definuje procesy pro schvalování nových komponent a odpovědnosti jednotlivých týmů.

V ARROWS máme rozsáhlé zkušenosti s vyhotovováním komplexních interních směrnic pro používání OSS. Pomáháme firmám nastavit procesy, které minimalizují právní rizika a zároveň nebrzdí inovace. Součástí našich služeb jsou i odborná školení pro management a vývojáře, která zajistí, že pravidla budou nejen napsaná, ale i pochopená a dodržovaná.

Open-source due diligence při M&A: Nečekané riziko, které může zhatit celou transakci

Pro investory, vrcholové manažery a firmy procházející fúzí či akvizicí (M&A) představuje open-source software specifické a vysoce rizikové téma. Během procesu due diligence se duševní vlastnictví cílové společnosti dostává pod drobnohled právníků kupujícího, a právě zde se často objevují skryté "časované bomby".

Statistiky z auditů provedených v rámci M&A transakcí jsou alarmující. Až 85 % transakcí odhalilo konflikty v licencích a neuvěřitelných 96 % auditovaných kódových bází obsahovalo neopravené bezpečnostní zranitelnosti. Tyto nálezy nejsou jen akademickým cvičením; mají přímý dopad na průběh a výsledek obchodu.

Odhalení, že klíčový produkt cílové firmy je "nakažen" virální licencí, může vést ke snížení valuace o desítky procent, k požadavkům na nákladnou nápravu po uzavření transakce, nebo v nejhorším případě k úplnému odstoupení kupujícího od obchodu.

Naši specialisté pro Vás

Tým ARROWS se specializuje na technologické due diligence, kde je audit open-source rizik klíčovou součástí. Naše mezinárodní síť ARROWS International nám umožňuje efektivně řešit tyto otázky i u přeshraničních akvizic, kde se střetávají různé právní řády a standardy.

Rizika open-source v rámci M&A due diligence

Riziko k řešení	Potenciální problémy a sankce	Jak pomáhá ARROWS:
Kontaminace klíčového IP cílové společnosti	Zjištění, že hlavní produkt firmy obsahuje GPL/AGPL kód, může znehodnotit celé IP portfolio a vést k odstoupení kupujícího od transakce.	Hloubkové OSS due diligence a skenování kódu ve spolupráci s technickými partnery pro odhalení skrytých rizik.
Neplatné záruky a prohlášení prodávajícího	Prodávající ve smlouvě garantuje, že je plným vlastníkem IP. Následné zjištění OSS problémů může vést ke sporům a nárokům na náhradu škody.	Příprava a revize smluv (SPA), specificky sekcí týkajících se duševního vlastnictví a technologických záruk.
Vysoké náklady na nápravu po akvizici	Kupující zjistí, že musí investovat miliony do přepsání částí softwaru, aby odstranil problematické OSS komponenty.	Kvantifikace rizik a jejich promítnutí do kupní ceny nebo vytvoření escrow účtu na pokrytí budoucích nákladů.
Chybějící procesy a dokumentace (SBOM)	Cílová společnost nemá žádnou kontrolu nad používaným OSS, což pro kupujícího představuje obrovskou neznámou a budoucí riziko.	Posouzení úrovně OSS governance v cílové společnosti a návrh integračního plánu pro zavedení standardů kupujícího.
Bezpečnostní zranitelnosti v kódu	Audit odhalí stovky kritických, neopravených zranitelností, které představují hrozbu pro kontinuitu byznysu po převzetí.	Právní stanoviska k odpovědnosti za bezpečnostní incidenty a soulad s regulatorními požadavky (např. NIS2, DORA).
Mezinárodní transakce a různé právní rámce	Spory ohledně licence se mohou řídit právem jiného státu (např. Německo, USA), kde je vymahatelnost a praxe odlišná.	Zajištění právních služeb v zahraničí díky síti ARROWS International a koordinace mezinárodního due diligence.

Proměňte riziko v příležitost s těmi správnými partnery

Open-source software je bezpochyby nepostradatelným nástrojem pro inovace a konkurenceschopnost. Naivní přístup k jeho používání, založený na principu "vezmu a neřeším", je však v dnešním světě neudržitelný a extrémně rizikový. Strategické právní řízení a proaktivní správa licenčních rizik jsou klíčem k tomu, abyste mohli bezpečně využít obrovský potenciál OSS, aniž byste ohrozili to nejcennější, co máte – vaše duševní vlastnictví.

Právníci v ARROWS nejenže dokonale rozumí právním předpisům, ale chápou i technologie a byznys našich klientů. Důkazem našich zkušeností je portfolio více než 150 akciových společností, 250 společností s ručením omezeným a 51 obcí a krajů, kterým poskytujeme dlouhodobé právní služby. 

Zakládáme si na rychlosti, vysoké kvalitě a partnerském přístupu. Proto rádi propojujeme naše klienty, pokud vidíme zajímavé obchodní či investiční příležitosti, a sami si rádi poslechneme inovativní podnikatelské nápady.

Díky síti ARROWS International jsme schopni prakticky denně řešit i složité případy s mezinárodním prvkem a zajistit pro vás špičkové právní služby po celém světě.

Řešíte integraci open-source do vašeho produktu? Stojíte před akvizicí technologické firmy? Nebo jen chcete mít jistotu, že vaše současné procesy jsou bezpečné? Obraťte se na nás. V ARROWS jsme připraveni vám poskytnout rychlou a vysoce kvalitní právní podporu, která ochrání vaše inovace a podpoří váš růst. Rádi s vámi probereme vaši situaci a navrhneme konkrétní kroky.