파이썬소프트웨어재단 PSF(Python Software Foundation)가 EU 사이버복원력법(Cyber Resilience Act)과 제조물책임법(Product Liability Act)이 오픈소스 커뮤니티 건전성을 위험에 빠뜨릴 수 있다고 지적하고 있다.
PSF는 EU가 추진하려는 2가지 법률에서 소프트웨어 소비자 보안과 책임을 강화한다는 정책을 지지하면서 과도하게 광범위한 정책이 보호하려는 사용자에게 의도하지 않게 해를 끼칠 우려가 있다는 것이다.
요즘 소프트웨어 기업 대부분은 저자에게 통지하지 않고 저자와 상업적, 계약상 관계를 맺지 않고 공개 저장소 오픈소스 소프트웨어에 의존하고 있다. PSF에 따르면 법이 이대로 재작동하지 않고 시행되면 오픈소스 컴포넌트가 어떤 상용 제품에 사용됐을 경우 컴포넌트 제작자가 법적, 재정적 책임을 질 가능성이 있다고 한다.
예를 들어 PSF는 핵심 파이썬 프로그래밍 언어, 표준 라이브러리, 인터프리터를 호스팅하고 사용하려는 모든 이들에게 무료로 제공한다. 다운로드 수는 하루 3억 회 이상이다. 또 수천 개 조직과 개인이 작성한 소프트웨어 패키지 라이브러리인 PyPI(Python Packaging Index)를 호스팅하며 모든 패키지를 자유롭게 사용할 수 있다. PyPI는 생태계 전체에 중요한 인프라이며 개인과 기업 수천 명에게 의존하고 있으며 평균적으로 월 100억 개 패키지가 다운로드된다.
하지만 PSF는 관리하는 리포지토리에서 다운로드한 패키지로 돈을 받지 못한다. 언뜻 보면 파이썬이나 파이썬 패키지로 돈을 벌고 있는 것처럼 보이지 않지만 실제로는 이익을 얻는 기술 중요한 부분이 파이썬에 의존한다. 구체적으로 유튜브, 인스타그램, 스포티파이 등은 모두 파이썬 코드로 제작됐다.
사이버복원력법과 제조물책임법에 있어 제품에 대폭적인 변경을 하는 사람 또는 기업을 제조업자로 본다는 취지 문장이 있다. 하지만 PSF는 이대로 오픈소스 프로제트로 실질적 변경을 더한 사람은 모든 변경 결과에 책임을 진다는 의미로 해석할 수 있다고 지적한다. 또 상업 활동을 제조업체가 다른 서비스를 수익화하기 위한 소프트웨어 플랫폼 제공이라는 정의에선 티셔츠, 이벤트 티켓, 코딩 클래스 등 모든 종류 유료 제품과 서비스를 제공하는 PSF와 같은 조직에도 법률이 적용된다.
이에 대해 PSF는 EU 같은 입법자가 공공 이익에 도움이 되는 공개 소프트웨어 리포지토리와 공개 리포지토리에서 패키지를 호스팅하는 조직이나 개발자에게 명확한 면제를 제공해야 한다고 주장한다. 관련 내용은 이곳에서 확인할 수 있다.