最近,長期投身醫療資訊標準FHIR的開源社群貢獻者在社群平臺發文揭露,衛福部資訊處委託工研院執行「次世代數位醫療平臺專案辦公室」計畫案時,工研院在計畫官網上公開的健保申報規則原始碼,未遵照開源專案授權規定,直接另開專案、以美國政府開源專案程式碼來修改開發,支字未提授權聲明。衛福部於4月19日晚間發文回應將調查此事;今日(4/20)計畫案官網的GitHub專案則由公開改為私人,對外關閉,工研院也於晚間發表道歉聲明,針對授權聲明不清的爭議一提出說明,並啟動補正,但沒有對逕行禁止特定人使用的爭議二提出回應,也沒有說明後續如何強化團隊開源軟體授權認知和授權控管。
爭議1:開源專案未提及授權聲明
進一步來說,這次事件主要有2大爭議,首先是授權聲明未標注。該名開源社群工程師先是在4月13日,發現工研院承接衛福部「次世代數位醫療平臺專案辦公室」計畫案,在該計畫的官方網站「臺灣醫療資訊標準大平臺」中上架的健保申報規則(Rule Library)原始碼,完全複製美國衛健研究局(ARHQ)開源專案CQL-Testing-Framework程式碼來改作,而且將應有的授權聲明全部刪除,就連README說明檔也一字不漏挪用、未附上授權聲明(此處參考該專案備份)。這名工程師認為,此舉即是抄襲,並在臉書上發文說明。
他點出,一般開源圈做法是用「Fork」功能,將原始專案庫複製到自己的帳號中,來進行進一步的開發。用Fork可以保留原始記錄,比如現有專案是來自於哪個專案,同時也有利於提交貢獻(Pull request),比如發現原始專案有錯誤或想新增功能,就可以在fork版本中修改、提交貢獻回原始專案,讓原作者決定是否合併。在這次事件中,工研院不僅未使用fork保留原始專案來源,也未按規定列出原始專案授權聲明。
接著4月16日,該工程師參與一場衛福部數位底盤(PAUL)線上說明會議,會中有人提及此事,工研院表示將釐清。會後他發現,工研院改了CQL專案的授權檔案,但非引用原作者授權檔案,而是直接複製網路範本檔案再貼上,連範例姓名都沒改。這份修改後的授權內容,也未符合Apache 2.0授權條款要求。
後來,他在工研院GitHub專案開一個「issue」討論區,提出相關建議,包括:
必須保留「原始」授權聲明:專案中必須包含原始的 LICENSE 檔案,若是複製他人專案,亦應保留該檔案。
保留原始檔案中的版權聲明與作者資訊,且不得擅自移除。
若修改過原始碼,需註明修改內容與修改者,讓後手知道你改了什麼地方。
保留NOTICE檔案,如果原始專案中有NOTICE檔案,也必須一併保留。
說明本專案是基於原始專案修改而來(衍生作品須揭露來源)
爭議2:專案明文禁止特定個人使用
在這次事件,還有另一大爭議,也就是工研院在後來補上的授權聲明中,明文禁止該工程師本人及其公司使用工研院專案內容。該工程師說明,他在4月18日發現,工研院在另一項計畫專案TW Core IG中更新授權聲明,提及著作權屬於衛福部、但在授權條款中禁止他及其公司使用該標準,未提供任何法源依據,僅以商業與技術安全考量為由。(如下圖)
該工程師透露,他被工研院禁止使用的專案還不只這一個,且連他在工研院GitHub帳號留言的權限也被封鎖。針對前者,他解釋,TW Core IG是工研院代表政府推動的電子病歷基礎標準,係屬公開資源之國家數位建設專案內容,應屬於公共資產。而工研院作為承接廠商,依法不得於執行政府計畫過程中,將公共資源用以針對特定民間單位進行打壓或限制。
今日(4/20)中午,工研院已將對該工程師的限制解除,且關閉該計畫在GitHub上的相關專案,由公開轉為私人,外界無法查看。
衛福部也在19日當晚發表聲明,已立即要求開發單位進行調查,並限期內完整說明,同時也將主動聯繫美國開發單位AHRQ ,說明使用情況。工研院則在今日晚間發表道歉聲明,並啟動補正、預計一周內完成檢視技術架構與文件指引。
該工程師表示,他投入國際醫療資料交換標準FHIR多年,從衛福部尚未將FHIR導入納為國家政策時,就已與其他民間社群推動、制定FHIR實作指引(IG)。在衛福部宣布將FHIR納入推動政策後,他也參與前期TW Core IG專案,並貢獻不少開源工具。他說明,自己十分認同衛福部政策方向,也希望負責執行計畫的工研院能尊重開源社群,形成共贏生態。
在今天晚上7點左右,工研院在臉書專頁上發布道歉聲明,提到「本院執行衛福部專案期間,使用開源軟體時,未完整標明出處,深表歉意」。公告中表示,已經啟動補正,將遵循開源軟體規範,預計一周內完成檢視技術架構與文件指引,公布教學文件並提供工具原始網站連結,協助國人使用。
但,工研院僅針對爭議一提出說明,沒有對爭議二提出回應,也沒有說明後續如何強化專案團隊的開源授權認知和授權發布控管作為。
