跳转到内容
NTLx's Blog

当法律开始定义什么是"应用商店",开源社区坐不住了

保护孩子,谁说不呢?

先说清楚:这些法律要解决的问题是真的。

儿童性诱骗、暴力内容暴露、网络霸凌——每一条都真实存在。过去两年,从澳大利亚到法国,从印尼到巴西,各国政府都在加速推进年龄验证立法。美国 46 个州颁布了 106 项隐私和青少年保护法律。k-ID 把 2026 年叫作”全球年龄验证合规爆发年”——不算夸张。

出发点没问题。

但一把好刀切错了地方,也能伤人。

从”管 App”到”管 OS”——这一步踩到了什么

Section titled “从”管 App”到”管 OS”——这一步踩到了什么”

早期的年龄限制法很直接:社交媒体,16 岁以下不能用。澳大利亚 2025 年底动手,470 万个账户被关停。法国、印尼、丹麦排队跟进。

立法者很快发现不够用。青少年会换平台、伪造年龄、绕过限制。管应用面,像打地鼠。

于是有了”聪明的”下沉思路:在操作系统层面拦截。OS 在设备激活时收集年龄信息,通过 API 向所有应用传递年龄信号。加州 AB 1043、科罗拉多 SB 26-051、伊利诺伊 HB 4140、纽约 S 8102——逻辑都一样:从底层截住。

听起来合理。iOS 和 Android 的用户,哪个不是绑定了邮箱或手机号?收集个年龄,有什么难的?

难就难在:这个世界上不是只有 iOS 和 Android。

FreeBSD 维护者没有法务部

Section titled “FreeBSD 维护者没有法务部”

你想一下这个画面:你是 FreeBSD 的维护者。白天上班,周末写代码修 bug,纯靠热情。你不知道的是,FreeBSD 的代码被 macOS 复用,被任天堂 Switch 嵌入,是你家路由器底层的 TCP/IP 栈。

突然有一天,你收到一份法律文件——加州新法要求所有”操作系统提供商”在设备激活时收集年龄数据,通过实时 API 传递给应用,否则罚款。

你只有一个 GitHub 仓库、一台旧 ThinkPad,和三个同样在业余时间协作的陌生人。

没有法务部。没有合规预算。没有产品经理对接 API 文档。

更荒诞的是:FreeBSD 是 BSD 许可证——任何人拿代码去改、去发布,合法且受鼓励。按法律文本,“发布者”可能是你,可能是那个改了代码的家伙,也可能是把 FreeBSD 焊进机顶盒的工厂。谁负责合规?没人知道。

这场景不是编的。GitHub 的开发者政策团队已经在全球多场立法听证会上解释过——有些立法者听完改了;有些听完,原样推进。

最危险的词

Section titled “最危险的词”

比 OS 层面更隐蔽的,是”应用商店”这四个字。

科罗拉多 SB 26-051、纽约的提案中,“应用商店”的定义宽到”允许用户访问或下载软件”就可能被纳入范围。

按这个逻辑:npm 是应用商店。PyPI 是应用商店。Docker Hub 也是。GitHub——当然也是。

但谁都知道,从 GitHub 拉源码和从 App Store 下 TikTok 不是一回事。

前者拿到的是一堆文本文件、编译指令、依赖声明——你得自己构建、配置、部署。后者拿到的是一个即点即用的消费产品。

把它俩放在同一套年龄验证框架下,就像说”所有卖食品的地方都要标注卡路里”,然后拿去管种子商店。

巴西已经发生了

Section titled “巴西已经发生了”

2026 年 3 月,巴西《儿童与青少年数字法规》(Digital ECA)生效。适用范围:可能被儿童和青少年访问的数字服务——包括操作系统、应用商店和平台。

虽然条文里排除了”开放技术协议和标准”,虽然巴西数据保护机构的初步指引说”自由软件协作不应被视同商业服务”——但不确定本身就已经产生了效果。

一些开源项目直接限制了巴西用户的访问。

不是有人逼它们,没人逼。是维护者看了看法律文本,看了看自己的零预算,算了算风险——“算了,先把巴西关掉。”

这很荒谬:一部为保护儿童而制定的法律,最终导致巴西的孩子更难接触到开源软件、更难学会编程。

窗户还没关上

Section titled “窗户还没关上”

几个事实:

CRA 的剧本。欧盟《网络弹性法案》最初也让开源社区炸锅。但经过一轮轮讨论修正,最终版本明确:免费开源软件不商业运作的部分,不适用。GitHub 博客把它列为”立法者愿意倾听并修正”的头号案例。

科罗拉多的转向。4 月 23 日听证会,委员会成员明确说”意图不是把开源操作系统纳入范围”;最新修正案写明:从公开仓库下载的软件不在范围内。听证会上到场发声的 FreeBSD 和 OSI 代表,直接影响了措辞。

法国和澳大利亚的先例。两国的社交媒体年龄限制法案都明确排除了开源代码协作平台。

模式很清楚:立法者不恨开源。他们根本没见过开源的工作方式。

政策窗口现在还开着,而且开得不小。加州、科罗拉多、伊利诺伊、纽约——法案都在审议中,条款还在变。巴西的公开征求意见窗口也在进行中。

关键问题只一个:有没有人在他们投票之前,告诉他们 npm 不是 Apple Store。

你维护过开源项目吗?有没有被合规或法律问题困扰过的经历?

原文参考

Section titled “原文参考”

Margaret Tucker. Why age assurance laws matter for developers. The GitHub Blog, 2026-05-08. https://github.blog/news-insights/policy-news-and-insights/why-age-assurance-laws-matter-for-developers/