1991 年夏天,菲律宾马尼拉一家小印刷厂收到一笔奇怪的订单——印刷一本厚约 900 页的书,封面写着 “PGP: Source Code and Internals”。这本书没有传统意义上的章节、没有可读性的散文,从第一页到最后一页几乎全部是 C 语言代码。订购它的是麻省理工学院出版社(MIT Press)。

这本书的存在是为了一个目的:让美国联邦调查局没法起诉一个叫 Phil Zimmermann 的程序员1

Zimmermann 那时候四十二岁,是科罗拉多博尔德的一个软件工程师。同年六月,他发布了一个叫 Pretty Good Privacy(PGP)的程序——第一个让普通人能用公钥加密保护邮件的免费工具。他通过 FTP 在互联网上公开发布了 PGP,包括完整源代码2

PGP 在几个小时内被全世界下载。这在 1991 年是不寻常的——那时候 World Wide Web 还没有正式出现,下载主要靠 FTP 和 BBS。但密码学社区对这种工具的需求高得惊人。一个能让任何人加密通信、不依赖政府或大公司的工具,被一群人当作“密码朋克”梦想的实现。

但同样在那一刻,PGP 把 Zimmermann 推向了一场长达三年的联邦刑事调查。

美国当时把强加密软件视为“武器”。具体说,它属于 ITAR——International Traffic in Arms Regulations,由国务院管理的武器贸易条例。把武器出口需要许可证。Zimmermann 没有申请许可证就把强加密软件“出口”到了全世界——通过 FTP 在公开互联网上发布的方式。技术上这违反了 ITAR3

1993 年,美国海关开始对 Zimmermann 进行刑事调查。如果指控成立,他可能面临数年监禁。这件事在密码学社区引起轩然大波——它把抽象的“加密自由”问题变成了一个具体的人身刑罚。

Zimmermann 的辩护团队(包括 EFF 的律师们)想了一个聪明的办法:印书。

美国宪法第一修正案保护出版自由。一本印刷的书无论内容是什么,受联邦政府限制出版的能力都非常受限。如果你能证明 PGP 源代码本质上是“印刷品”——只是恰好用 C 语言而不是英语——那它就受第一修正案保护。1995 年,MIT Press 出版了《PGP: Source Code and Internals》这本厚书。任何人可以买这本书,然后用 OCR(光学字符识别)软件把它扫描回可执行的源代码。这是一个法律上的诡辩,但有效4

司法部最终在 1996 年悄悄撤销了对 Zimmermann 的调查。他们没有公开声明理由,但当时的解读是:他们不想在法庭上输掉“代码不是言论”的论点。

撤销 Zimmermann 调查没有解决根本问题。三年后,1999 年,另一个程序员让法庭直接做出了判决。

Daniel J. Bernstein 是 UC Berkeley 的数学博士生,研究密码学。他写了一个叫 Snuffle 的加密程序,想公开发布——发到 sci.crypt 新闻组、印在学术论文里、做演讲。他向美国国务院申请确认这能不能算作“出口”。国务院的回应:可以,但你需要先注册成“武器商人”(munitions dealer),然后申请武器出口许可证5

Bernstein 起诉国务院。这场官司从 1995 年打到 1999 年。期间出口管制的归口从国务院转给了商务部(从 ITAR 转到 EAR),但争议本质没变:政府是否可以要求程序员在公开源代码之前申请许可证。

1999 年 5 月 6 日,美国第九巡回上诉法院做出判决。法官 Betty B. Fletcher 写的多数意见里包括这样几句关键论述:

“Cryptographers use source code to express their scientific ideas in much the same way that mathematicians use equations or economists use graphs … Source code is the preferred means of communication among cryptographers because cryptography is a highly technical and mathematically based field.”

因此源代码是“言论”——是一种受美国宪法第一修正案保护的表达形式6

法院进一步说:政府要求程序员在公开源代码之前申请许可证,等于“事前审查”(prior restraint)——这是第一修正案最严格保护的对象。法院推翻了商务部对 Bernstein 适用的出口管制规则7

这就是著名的 Bernstein 案判决。它的意义远超一个加密软件的具体争议。它在法律上确立了“代码 = 言论”的原则。1999 年之后,美国开发者公开发布开源软件不再需要担心被起诉违反武器出口法。整个加密时代——从 OpenSSL 到 Signal、从 HTTPS 到 WhatsApp 端到端加密——能够在美国土壤上发展起来,靠的就是这个判例8

但 Bernstein 案没有解决另一件事:它只覆盖了“美国程序员把源代码贴到公开互联网”这一种情况。它没有覆盖一个更复杂的问题——如果一个伊朗博士生在 MIT 实验室里学习美国教授写的代码,这算不算“出口”到伊朗?

这个问题有一个专门的法律术语:deemed export(视同出口)。

EAR——Export Administration Regulations——是商务部下属机构 BIS(Bureau of Industry and Security,工业与安全局)执行的出口管制法律。它管制的“出口”不只是物理物品的跨境运输,也包括“技术”和“软件”的传递9

EAR 把“deemed export”定义为:在美国土壤上,把受 EAR 管制的“技术”或“源代码”释放给一个外国人。这个释放被“视同”出口到了那个外国人的母国10

具体形式包括:

  • 口头讲解(在课堂上、会议上、实验室里)
  • 文档传递(包括邮件、文件共享、纸质文档)
  • 屏幕展示
  • 让外国人观察实验

实际效果:如果一个美国大学实验室在做某种受 EAR 管制的研究(比如某些加密算法、某些 AI 算法、某些核技术、某些生物技术),那么实验室不能让外国学生或外国访问学者接触相关的“技术”或“源代码”——除非大学申请并获得 deemed export 许可证。

这听起来很荒谬。如果一个伊朗博士生在加州伯克利学习一种 EAR 管制的加密技术,那么伯克利等于把这项技术“出口”到了伊朗。要合法做这件事,伯克利需要向商务部申请许可证——而对伊朗的许可证几乎不可能获批。

实际中存在一个重要例外:基础研究例外(Fundamental Research Exception)。如果某项研究是公开发表、非保密的“基础研究”,那么它不受 EAR 管制。大部分大学研究都属于这一类——所以大学的研究生院仍然能正常接收外国学生11

但这个例外有限制。“基础研究”必须真的是基础研究——意思是没有公司赞助、没有政府保密协议、研究成果完全公开发表。一旦研究被某个公司的合同绑定,或者涉及政府机密,例外就消失。

到了 2014 年之后,EAR 的范围开始扩展。商务部开始把一些“新兴技术”列入管制清单——量子计算、先进半导体制造、特定的 AI 算法、合成生物学。这意味着越来越多的大学研究开始触及 EAR 边界。一个在 UC Berkeley 实验室做大模型训练的中国博士生,理论上可能涉及 EAR 管制的“技术”——如果他在某个 GPU 集群上训练某种特定模型,并且这种模型属于 BIS 后续定义的某个管制类别12

实际操作中,这种灰色地带让大学的合规办公室、外国学生、研究 PI 都活在持续紧张中。已经出现过几起 deemed export 调查——多数针对中国籍研究者。最著名的是 2018 年起的几起对华人科学家的调查,多数最终因证据不足撤销或被法庭否决,但调查本身对当事人造成了长期影响。

Bernstein 案和 deemed export 学说之间有一个明显的不对称。

Bernstein 案处理的是“美国人把代码贴到公开互联网”。结论:这是受保护的言论,政府不能限制。

Deemed export 处理的是“美国人在美国土壤上向外国人传授技术”。结论:这可以被监管,需要许可证。

理论上这两个情况应该一致——如果代码是言论,那么向外国人传授代码也应该是受保护的言论。但 EAR 的实际执行没有这样的逻辑一致性。

为什么?因为这两种情况影响的是不同的国家利益。把代码贴到公开互联网,政府失去了对它流向哪里的精确控制——但这种“失控”是双向的,美国软件也因此能流向全世界。在美国土壤上向外国人传授技术,政府仍然有精确控制能力——它可以决定哪些外国人能进入美国、能进入哪些机构、能接触哪些项目。

这就是开源在第三阶段面对的法律基础矛盾。Bernstein 案保护了“源代码自由公开”;deemed export 学说限制了“源代码自由协作”。1999 年那时候这两个原则看起来是平衡的——你能发布代码但不一定能跟伊朗人一起开发它。在 2014 年之前,这种平衡基本能维持,因为大部分开源开发不需要刻意区分“贡献者来自哪个国家”。

2014 年之后开始变化。GitHub 2019 年的封锁、Linux 2024 年的删除——这些不是“代码不能贴到公网”,而是“代码协作不能跨过制裁边界”。Bernstein 案保护不了这些情况,因为它处理的是出版自由,不是协作自由。

到了 2023-2024 年,一个 Bernstein 案完全没有想到的新问题出现了:AI 模型权重算不算言论?

这个问题不像它表面那样简单。

一个深度学习模型——比如 Llama 70B、DeepSeek R1、Qwen 72B——是由几十亿到几千亿个浮点数(权重)组成的。这些数字不是程序员一个一个写出来的,是训练过程从大量数据中“学”出来的。一个完整的开放权重模型包括三部分:

  1. 模型架构代码(用 PyTorch、TensorFlow 等写的网络结构定义)
  2. 训练流程代码(如何用数据训练模型)
  3. 模型权重(训练后得到的数字)

前两部分是传统意义上的“源代码”——人写的、可读的、可修改的。第三部分不一样。模型权重是黑箱——你不能“读懂”它,不能通过看权重判断模型在做什么。它的功能性是 emergent,从训练过程中涌现出来的13

那么 Bernstein 案的“源代码是言论”原则适用于模型权重吗?

法律学者已经开始辩论这个问题。一种观点是:模型权重当然是言论——它是表达智能的一种形式,是人类知识的编码。另一种观点是:模型权重不像源代码,它不是“为了让人理解”的——它的存在目的是让机器执行特定任务。它更像是一个工具,不是一个表达。

到 2026 年初为止,没有任何美国法院对这个问题做出判决。但美国政府已经开始按照“模型权重可以被管制”的逻辑行动。

2024 年 2 月,BIS 提出一个新的出口管制类别:4E091——“AI 模型权重”。具体规则到 2025 年 1 月发布,叫《Framework for Artificial Intelligence Diffusion》14

这个 framework 的核心逻辑:

  • 闭权重(closed-weight,只通过 API 提供的)模型:如果训练计算量超过 10^26 operations,需要 license 才能“出口”
  • 开权重(open-weight,公开发布的)模型:不受此管制——理由是“已发布的开放权重模型不能召回”15

这是一个有趣的承认。BIS 实际上承认了:一旦一个开放权重模型被发布,它就像 Bernstein 案里的源代码一样——已经在互联网上散布,政府没法“收回”它。所以管制只对未来未发布的、超大模型有意义。

但这个让步没有解决另一个问题。联邦承包商(federal contractors)——任何为美国政府工作的公司——能不能使用已经发布的开放权重模型?

2025 年 1 月底,中国的 DeepSeek 公司发布 R1 模型。它在数学和推理 benchmark 上达到或超过 OpenAI 的 o1,但用的是较旧的 Nvidia H800 GPU(已经被出口管制限制了),并且完全开源(MIT License)16

DeepSeek R1 在中文与英文社区都引起轰动。它似乎证明了:美国的芯片出口管制无法阻止中国 AI 进展。但它也很快引发美国政策反应。

2025 年 2 月,参议员 Bill Cassidy(路易斯安那共和党)和 Jacky Rosen(内华达民主党)联合提出 legislation:禁止联邦承包商在与联邦合同相关的任何活动中使用 DeepSeek 或它的后续模型17

2025 年 4 月,众议院“对中国共产党战略竞争特别委员会”发布关于 DeepSeek 的报告,建议更新 FAR(Federal Acquisition Regulations)以禁止联邦政府采购基于中国模型的 AI 系统18

2025 年 12 月,美国政府更新 AI 采购规则:联邦承包商被禁止使用中国 AI 模型。如果你是美国国防、医疗、公共基础设施领域的承包商,Qwen 和 DeepSeek 完全不可用19

这意味着什么?意味着 BIS 在出口管制层面承认“开放权重模型已经在公地里”,但联邦采购层面通过另一条路径——你可以下载这些模型,但你不能用它们为美国政府工作——实质上把这些模型重新“领土化”了。

这是 Bernstein 案没有想到的情况。Bernstein 案保护了出版自由,但没有保护“使用自由”。一个 1999 年的法庭可能没有预见:未来一个开发者不只要担心代码能不能跨境流动,也要担心代码能不能被用于跨主权场景。

让我们把 1991 年 Phil Zimmermann 在墨西哥城印 PGP 源代码这件事,跟 2025 年 12 月联邦承包商被禁用 DeepSeek 这件事放在一起。

1991 年的情境:政府通过 ITAR 管制源代码出口。Zimmermann 用一本印刷书绕过这个管制,因为书受第一修正案保护。

2025 年的情境:政府通过 FAR 限制承包商使用已经全球公开的开放模型。这个限制不针对模型本身(你仍然能下载 DeepSeek R1),针对的是“在某些合同场景下使用”。Bernstein 案的言论自由保护不适用——因为政府没有禁止你下载,只是禁止你为它工作时使用20

这是一个值得停下来的细节。三十四年间,管制的形式变了。1991 年管制源代码的“边界穿越”;2025 年管制的是“使用语境”。两种管制都不直接限制内容本身——但效果都是让特定主体在特定场景下不能使用特定代码。

这种“间接管制”在法律上比 Bernstein 案的“前置审查”更难挑战。前置审查直接禁止你出版——这是宪法明确保护的领域。间接管制只是说“你可以出版/使用,但不能在某个特定语境下”——这给政府留下了大量灰色地带。

而 Bernstein 案的“代码是言论”原则只覆盖前者,不覆盖后者。

更深一层的问题是:模型权重和源代码到底是不是同一种东西?

如果它们是同一种东西,那么 Bernstein 案的判决应该自然延伸——任何开放发布的模型权重都受第一修正案保护。

如果它们不是同一种东西,那么对模型权重的管制可以采用不同标准。

支持“是同一种东西”的论点:

  • 模型权重是人类知识的编码——它编码了大量训练数据中的模式
  • 模型权重可以被读、被分析(虽然很难)、被反向工程
  • 模型权重可以传达信息——通过 prompt 输入,它可以生成各种输出
  • 模型权重的存在和分发本质上是一种“表达”——开发者通过它表达“这是我们对智能的理解”

支持“不是同一种东西”的论点:

  • 模型权重不是被人写出来的——它是机器学习的产物
  • 模型权重不能被“读懂”——你看到一堆数字,无法判断它在做什么
  • 模型权重的功能性来自数十亿参数的协同,没有“逐行理解”这种可能
  • 模型权重更像是一个工具,不是一个表达——它的存在目的是被使用,不是被理解

这场辩论现在还在进行中。美国政府的实际行动倾向于把模型权重当作“工具”——可以被出口管制覆盖。但 NTIA 在 2024 年 7 月的报告里说,已经发布的开放权重模型应该用“监控”而不是“限制”来应对21。这是一种折中——承认 Bernstein 式的“已经发布无法收回”,但保留对未来发布的管制空间。

整个事情有一个让人想停下来的细节:DeepSeek R1 是用 MIT License 发布的。MIT License 是开源世界最宽松的许可证之一,不附带任何“道德”或“政治”条款。它的全部条款是:“这个软件按 as-is 提供,没有任何保证,作者不承担任何责任,你可以做任何事情。”22

按照 MIT License 的字面文义,美国政府承包商当然可以使用 DeepSeek R1——许可证里没有任何限制。但美国政府通过 FAR 创造了一个新的限制:不是 license 层面的限制,是合同层面的限制。开源许可证说“可以用”,联邦采购规则说“不可以用”——两个法律框架同时适用,结果是“在某些场景下不可以”。

这种叠加规制让“开源”在 2025 年之后变成一个复杂的概念。Bernstein 案的“代码是言论”仍然有效;MIT License 的“任何人可以使用”仍然有效;但叠加在上面的合规层让实际的可用性大幅缩水。

把所有这些放在一起看,会发现一个 Bernstein 案从根本上没有解决的问题。

代码是言论——这个判决保护的是创造和发布自由。任何人可以写代码,任何人可以发布代码。政府不能因为代码内容而限制创造和发布。

但开源代码的整个生命周期,远超过“创造和发布”。它包括:

  • 分发(distribution):通过 GitHub、Gitee 等平台
  • 协作(collaboration):通过 maintainer 之间的 pull request、issue 讨论
  • 使用(use):把代码集成到产品、服务、研究中
  • 资助(funding):通过 GitHub Sponsors、Tidelift、Sovereign Tech Fund

Bernstein 案只保护“发布”。其他四个环节都可以被各种规制覆盖:

  • 分发受平台所在地法律管辖(GitHub 是美国公司,所以受 OFAC)
  • 协作受 deemed export 学说约束(美国土壤上跟外国人协作可能需要许可证)
  • 使用受承包商/合规规则约束(FAR、CRA、网信办备案等)
  • 资助受反洗钱和制裁规则约束(不能向被制裁实体打钱)

每一个环节都不直接违反 Bernstein 案。每一个环节都不直接禁止代码本身。但叠加起来,它们能把一个完整开源项目的实际可用性切碎。

这是开源在 2024 年后面对的法律现实。Stallman 1985 年想象的那种“代码自由”——四项自由——在 Bernstein 案中得到了部分宪法保护。但他没有想象到一个状况:当代码的整个生命周期被分散到不同的法律领域,每个领域都有自己的规则,“四项自由”中的每一项都可能在某个环节被限制——而没有任何一个限制单独看起来违反宪法。

这就是 Bernstein 案的真正局限。它是一份关于“创造和发布”的判决书。开源运动的下一个十年里,最关键的问题不是“代码能不能被发布”——这个问题已经被答了。最关键的问题是“代码能不能被自由使用”——这个问题没有被任何法院明确回答23

读到这里有人可能会问:那么开源运动应该怎么应对?

简单的回答:没有简单的答案。

事实层面,开源运动可以做几件事:

第一,结构上的“主权避险”。RISC-V International 2019 年从 Delaware 迁到瑞士就是这种逻辑。如果一个开源治理实体不愿意承担美国法律义务,它可以选择搬到一个法律框架更友好的国家。但这个选择会限制它在美国市场的影响力——美国大公司倾向于使用美国注册实体管理的项目。

第二,许可证层面的创新。Bruce Perens 在 2023 年提出 “Post-Open” 许可证的想法——它在 GPL/MIT 之外创造一种新类型,专门处理国家级使用场景。这个想法到 2026 年还没有成为成熟提案24

第三,联邦化协作的备援。Codeberg、Gitea、Forgejo 这类去中心化的代码托管在 2022 年之后获得显著用户增长——部分是回应 GitHub 制裁的不确定性。但代码托管只是协作的一个环节——issue、CI、review 流程更难分散化。

第四,接受新的法律现实,在其中找位置。这是大多数大型开源项目实际在做的事。Linux Foundation 接受了 OFAC 合规要求——2024 年的 11 人删除是这个接受的结果。Apache Foundation 也在做同样的事。这不是投降——这是在新现实中保护项目长期生存的策略。

但每个选择都有代价。“主权避险”放弃了美国市场的便利;“许可证创新”会引起社区分裂;“备援”难以达到主流协作密度;“接受新现实”意味着开源运动失去了某种纯粹性。

到 2026 年初,没有任何一个选择已经被开源世界整体接受。各方都在自己的位置上试探。这是一个开放的局面——它的解决可能要再过五年或十年。

Bernstein 案现在已经过去 27 年。Phil Zimmermann 在 2021 年的一次 The Register 采访里说,他不后悔 1991 年的选择——但他承认现在的环境比当时复杂得多25

1991 年,“代码自由”的争议主要是国家 vs 个人——一个程序员能不能不被政府阻止地发布加密软件。这是一个清晰的二元对立,而第一修正案给了一个清晰的答案。

2026 年,“代码自由”的争议变成了多个国家 + 多个法律领域 + 多种协作角色——一个开源 maintainer 在做出每个 commit 决定时,可能需要考虑:贡献者来自哪个国家?这个代码会被谁使用?基金会注册在哪里?训练这个模型用了多少计算?这个使用语境是不是受合规规则覆盖?

每个问题都有具体的法律答案。但合起来看,开源运动当初想象的那种“代码是全球公地”的姿态,已经无法在所有问题上都得到肯定答案。

Stallman 1985 年写的那句话——“the freedom to use, study, distribute, and modify”——四项自由——仍然是开源的根基。Bernstein 案 1999 年保护的“代码是言论”原则——仍然有效。MIT License 仍然允许任何人使用任何代码做任何事。

但围绕这些“根基”的所有具体环节——平台、协作、使用、资助——都已经被国家主权穿透。这种穿透不是 Stallman 或 Bernstein 案的失败——他们仍然保护了他们当时关心的东西。这种穿透是新一代的法律工具填补了他们当时没有覆盖到的空白。

下一章,我们会回到 2014 年。Heartbleed 那时候揭示了一个比法律层面更直接的脆弱——开源的物质基础是几十个被遗忘的志愿者。

References

  1. Wikipedia: Phil Zimmermann. 包括 MIT Press 出版 PGP 源代码作为印刷品规避 ITAR 的故事。Link →

  2. The Register 2021-06-08: “Cryptography whizz Phil Zimmermann looks back at 30 years of Pretty Good Privacy”. Link →

  3. Wikipedia: International Traffic in Arms Regulations. ITAR 在 1980-1990 年代把强加密软件视为“munitions”。Link →

  4. Cypherspace PGP Timeline. 记录 PGP 1991-1996 的法律历程。Link →

  5. EFF: Bernstein v. US Department of Justice case page. Link →

  6. Wikipedia: Bernstein v. United States. 包括 1999 年第九巡回法庭判决的主要论述。Link →

  7. FindLaw: BERNSTEIN v. UNITED STATES DEPARTMENT OF JUSTICE 100 (1999). 判决全文。Link →

  8. EFF: “EFF at 25: Remembering the Case that Established Code as Speech” (2015). Link →

  9. Bureau of Industry and Security: Export Administration Regulations overview. EAR 是商务部下属机构 BIS 执行的出口管制法律。

  10. Bureau of Industry and Security: “What is a deemed export?”. 官方定义。Link →

  11. USF Office of Research: Deemed Exports. 包括基础研究例外的描述。Link →

  12. UCSB Office of Research: Foreign Nationals and Deemed Exports. 提到对 AI 等新兴技术的扩展可能性。Link →

  13. Federal Register 2024-02-26: “Dual Use Foundation Artificial Intelligence Models With Widely Available Model Weights”. NTIA 评估的官方文本。Link →

  14. Federal Register 2025-01-15: “Framework for Artificial Intelligence Diffusion”. Link →

  15. Sidley: “New U.S. Export Controls on Advanced Computing Items and Artificial Intelligence Model Weights” (2025-01). Link →

  16. MIT Technology Review 2025-01-24: “How Chinese company DeepSeek released a top AI reasoning model despite US sanctions”. Link →

  17. CyberScoop: “Senators move to quash the use of Chinese AI system by federal contractors”. Link →

  18. Mintz: “House Select Committee Publishes Report on DeepSeek”. 2025-04-24. Link →

  19. Inside Government Contracts: “U.S. Federal and State Governments Moving Quickly to Restrict Use of DeepSeek”. Link →

  20. Wiley: “Chinese AI Firm DeepSeek Triggers a Wide U.S. Policy Response”. Link →

  21. NTIA 2024-07 报告关于开放权重模型管制的评估。Brookings 引述这一评估。Brookings link →

  22. Wikipedia: MIT License. 包括许可证全文及“非常宽松、几乎无限制”的特点描述。Link →

  23. Wikipedia: International Traffic in Arms Regulations vs. EAR/CCL 转换历史。1990 年代加密软件从 ITAR 转到 EAR 是 Bernstein 案后果之一。

  24. Bruce Perens “Post-Open” license 提案。2023 年起在多个公开演讲和邮件列表中提出。

  25. The Register 2021-06-08: Phil Zimmermann 30 周年访谈中关于“现在更复杂”的评论。Link →