Geldt een OSS licentie ook voor de data in de repository?

Een lezer tipte me over een interessante discussie bij het ChirpStack project. Een project waar men gebruik van maakte, The Things Network’s Device Repository, bleek niet meer importeerbaar, waarbij men zich beriep op databankrechten voor die data en tevens aangaf dat de opensourcelicentie op hun software niet zou gelden voor deze data. Toevallig was de licentie ook net een uur eerder weggehaald, wat erg raar aandoet. Wat is hier aan de hand?

Die repository is deel van The Things Network, “a global collaborative Internet of Things ecosystem that creates networks, devices and solutions using LoRaWAN®.” Dat laatste is dan weer een netwerkarchitectuur, maar daar hoeft het verder niet over te gaan. De kern is dat TTN een device repository heeft, een databank met belangrijke technische informatie over apparaten die op dit IoT-ecosysteem aan te sluiten zijn. En omdat er fors wat inspanning is gaan zitten in die repository, en The Things Industries (dat daarachter zit) een Nederlands bedrijf is dat het financiële risico draagt voor al die inspanningen, kan zij daar een databankrecht op claimen.

ChirpStack biedt net als TTN een open-source LoRaWAN Network Server aan. Inlezen van die repository is dan erg handig, maar dat maakte TTN recent onmogelijk onder verwijzing naar twee argumenten. Allereerst zou haar databankrecht worden geschonden, en ten tweede ging het importeren uit van een technische structuur die binnenkort zou veranderen, dus het zou alleen maar onhandig zijn voor de toekomst om dit te laten staan.

De beheerder van ChirpStack snapte van dat eerste niets: hij haalde de informatie uit het project op Github dat TTN zelf actief heeft. Daar stond (tot voor kort) een Apache licentie boven, een simpele OSS licentie die alles toestaat zonder copyleft-eisen of andere ingewikkelde dingen. En dan kun je wel een databankrecht hebben, maar licentie is licentie. De reactie van TTN:

There is and was no open data license on the concerning repository. We spend a lot of time and resources on the content of that database. In this instance, GitHub is a great channel to receive contributions from the device maker community and to contribute ourselves, verify, review and validate. But a GitHub repository doesn’t provide a license to reuse and extract it in its entirety. Sure, if you want to copy paste a payload codec that you are missing from the Device Repository, that is fine.

Oftewel: die licentie geldt alleen voor de software, niet voor de data. Dat vind ik raar in het algemeen. Het gebruik is dat je op sites als Github één licentie kiest, die dan voor alles geldt. (Of in ieder geval in de directory en daaronder van de plek waar je die neerzet.) Uitzonderingen kunnen, maar die documenteer je dan in de LICENSE file. Dat is hier niet gebeurd. Vroeger was er wel kritiek dat OSS licenties te specifiek op software geschreven waren, maar bij de Apache 2.0 licentie kun je dat moeilijk volhouden. De definitie van `werk’ is keurig generiek:
“Work” shall mean the work of authorship, whether in Source or Object form, made available under the License, as indicated by a copyright notice that is included in or attached to the work (an example is provided in the Appendix below).
Hiermee is het dus volkomen logisch dat ook databestanden als `work’ kunnen worden aangemerkt, zodat de rechten en plichten uit de Apache licentie gewoon gelden voor afnemers van die databestanden. Althans, als de licentie daarop van toepassing is. Want tegenover wat ik hierboven schetst, staat dat men in de README (die iedereen ook geacht wordt te lezen) een beperkte verklaring had staan:
The API is distributed under Apache License, Version 2.0. See LICENSE for more information.
De bedoeling van deze software was namelijk dat je voor een gegeven stuk hardware de informatie opvraagt, met die aangeboden API. Wat ChirpStack deed, was dus niet helemaal hun bedoeling: zij maakten een kopie van alle data zodat je niet steeds via de API deze op hoefde te vragen. Die API is er alleen nooit van gekomen, het werd `gewoon’ software met alle data in die repository beschikbaar. Dat maakt de term “The API” onduidelijk, als die API er niet is wat bedoelde men dan wel?

Ik denk dat je dan toch uitkomt bij “alles op deze site”, omdat dat nu eenmaal de meest voor de hand liggende interpretatie is gezien het gebruik in de softwarewereld. Bijgevolg kan TTN dus het gebruik van de data niet verbieden mits dat binnen de regels van de Apache licentie gebeurt. Daar staat dan weer tegenover dat de Apache licentie heel expliciet alleen over “copyright” en “patent” toestemming spreekt, en dus niets over databankrechten. In die lezing heb je dus nog steeds niets.

Daartegen heb ik dan alleen nog het argument dat in die situatie de genoemde licentie vrijwel geen betekenis heeft, want er is verder niets van waarde onder die licentie te krijgen en dat is raar. Als je daarbij optelt dat die licentie door Amerikaanse juristen is geschreven (waar databankrecht niet bestaat) en dus best om die reden genegeerd kan zijn, dan kom ik bij de conclusie dat deze overname gewoon mag.

Arnoud

Het bericht Geldt een OSS licentie ook voor de data in de repository? verscheen eerst op Ius Mentis.

Gerelateerde berichten:

• Moet je bij een notice/takedown je hele GitHub repository verwijderen? (22/05/15 08:09)
• Gratis en open Internet of Things-netwerk van start in Amsterdam (19/08/15 20:09)
• Mag je licentie-incompatibele dependencies meeleveren met je software? (04/01/17 08:16)
• Wil je weten in welke databanken je zit? Help mee! (16/04/10 15:51)
• Is een contributor license agreement wel gunstig voor een OSS ontwikkelaar? (01/02/21 08:16)

Reacties:

Er zijn nog geen reacties op dit bericht.