We schreven al eens eerder over de SSPL-licentie, maar dan vanuit het perspectief van de aanbieder van “open source” software onder SSPL. In deze blog willen we ons meer richten op de juridische risico’s die gepaard gaan met het gebruik van een softwareprogramma dat onder deze licentie valt. Oftewel: waar moet je rekening mee houden als je software wilt gebruiken dat onder een SSPL-licentie naar buiten is gebracht? Alhoewel er inmiddels meerdere softwareprogramma’s (zoals Elasticsearch) bestaan die gebruikmaken van de SSPL-licentie, beperken wij ons vooralsnog tot MongoDB.
MongoDB en de SSPL-licentie
De SSPL-licentie is in 2018 door MongoDB voor het eerst in het leven geroepen en lijkt een reactie te zijn op de enigszins discutabele praktijken van grote cloudprovider als Amazone Web Services (AWS). Door het gebruik van de SSPL-licentie wil MongoDB voorkomen dat AWS en andere cloud providers open source software simpelweg overnemen en als dienst aanbieden op hun eigen platformen zonder iets terug te doen voor de gemeenschap.
De SSPL-licentie is gebaseerd op de “GNU General Public License, versie 3“. SSPL is geschreven met steun van juriste Heather Meeker. De SSPL lijkt in veel opzichten op de oude licentie met als belangrijkste verschil Artikel 13. Het oude artikel 13 bepaalde, kort gezegd, dat op het moment dat je als saas-aanbieder een wijziging aanbrengt in MongoDB, je de gewijzigde versie als download moet aanbieden. Hoewel deze clausule dus al wel zag op saas-aanbieders, hield ze geen rekening met de situatie waarin de saas-aanbieder de functionaliteit van de software als dienst aanbiedt, zonder daarbij de software te wijzigen. SSPL biedt een manier om dit probleem aan te pakken door te bepalen dat de licentie ook ziet op degenen die louter de functionaliteit van de software beschikbaar stellen aan derden. Het wijzigingsvereiste is dus geschrapt.
Is de SSPL-licentie open source?
Het Open Source Initiative (OSI) wordt algemeen beschouwd als de belangrijkste autoriteit op het gebied van open source licenties, en hun goedkeuring wordt over gezien als de gouden standaard voor open source licenties. Het proces om een licentie goedgekeurd te krijgen door het OSI kan echter lang en moeilijk zijn, en niet alle licenties kunnen voldoen aan de eisen van het OSI. Daarom hebben sommige open source projecten gekozen voor licenties die niet officieel zijn goedgekeurd door het OSI. Hoewel dit misschien niet ideaal is, geeft het deze projecten meer flexibiliteit in hoe ze kunnen werken.
Ook MongoDB heeft destijds de SSPL-licentie ter goedkeuring aan het OSI voorgelegd. Tevergeefs, omdat de OSI expliciet heeft besloten de licentie niet goed te keuren. De reden hiervoor is dat de SSPL indruist tegen één van de belangrijkste criteria van de Open Source Definition (OSD6):
6. No Discrimination Against Fields of Endeavor
The license must not restrict anyone from making use of the program in a specific field of endeavor. For example, it may not restrict the program from being used in a business, or from being used for genetic research.
Wanneer val je onder artikel 13 (“as a service”)?
De eerste alinea van artikel 13 van de SSPL-licentie leest als volgt:
13. Offering the Program as a Service.
If you make the functionality of the Program or a modified version available to third parties as a service, you must make the Service Source Code available via network download to everyone at no charge, under the terms of this License. Making the functionality of the Program or modified version available to third parties as a service includes, without limitation, enabling third parties to interact with the functionality of the Program or modified version remotely through a computer network, offering a service the value of which entirely or primarily derives from the value of the Program or modified version, or offering a service that accomplishes for users the primary purpose of the Program or modified version. (nadruk toegevoegd)
Wanneer jouw gebruik van MongoDB dit artikel triggert, dien je de “Service Source Code” ter download aan te bieden. Deze Service Source Code moet voor iedereen gratis en onder de voorwaarden van de SSPL-licentie beschikbaar worden gesteld. Uit de licentie wordt echter niet duidelijk wat er precies met “as a service” bedoeld wordt en dat is relatief problematisch te noemen. Alhoewel er in artikel 13 drie situaties worden aangehaald waarin men geacht wordt de functionaliteit van MongoDB as a service ter beschikking te stellen, is artikel 13 hier niet toebeperk, zodat ook andere (nog niet voorziene) gevallen onder de reikwijdte van artikel 13 kunnen vallen.
Beschikbaar stellen van Service Source Code
Op het moment dat jouw gebruik van MongoDB artikel 13 activeert, ben je verplicht om de Service Source Code (gratis) beschikbaar te stellen onder de SSPL-licentie. Service Source code wordt gedefinieerd als:
“Service Source Code” means the Corresponding Source for the Program or the modified version, and the Corresponding Source for all programs that you use to make the Program or modified version available as a service, including, without limitation, management software, user interfaces, application program interfaces, automation software, monitoring software, backup software, storage software and hosting software, all such that a user could run an instance of the service using the Service Source Code you make available.” (nadruk toegevoegd)
Wie goed leest, ziet al snel dat de reikwijdte van deze copyleftconditie ontzettend breed is. Alhoewel een aantal programma’s specifiek worden genoemd (zoals api’s en user interfaces) is de potentiële lijst van programma’s eindeloos. In de praktijk zal het geregeld voorkomen dat het onmogelijk is om aan de copyleftconditie van de SSPL-licentie te voldoen, bijvoorbeeld omdat de licentievoorwaarden van de gebruikte programma’s een dergelijke copyleft niet toestaat.
Jurist met kennis van de SSPL-licentie
Het gebruik van software dat onder de SSPL-licentie is uitgegeven, kent aanzienlijke risico’s. Het is natuurlijk niet voor niets dat Google Open Source uitdrukkelijk aangeeft dat software onder the SSPL “cannot be used in google3 under any circumstances”. Voordat je besluit software (uitgegeven onder SSPL) in een programma te verwerken, is het absoluut aan te raden om juridische hulp in te schakelen. Neem daarvoor gerust contact met ons op of stuur een mailtje naar [email protected].