加州拟将 Linux 从年龄验证法中豁免:一场开源社区的胜利与反思

2026 年 5 月,美国加州一项关于年龄验证的法案(AB 3080)引发轩然大波。该法案要求所有互联网服务提供商对用户进行年龄验证以保护未成年人——但问题在于,其宽泛的定义将 Linux 发行版等开源软件也纳入了监管范围。

在开源社区的强烈抗议下,加州立法机构迅速做出调整:将 Linux 及其相关开源操作系统明确从年龄验证要求中豁免。这一事件在 Hacker News 获得超过 550 点、240 多条评论,成为 2026 年 5 月最受关注的科技政策事件之一。

一、事件背景:AB 3080 法案是什么?

法案初衷

加州 AB 3080 法案的设计初衷是保护未成年人在互联网上的安全。它要求:

  • 所有"可能被未成年人访问"的互联网服务实施年龄验证
  • 验证方式包括政府 ID、信用卡验证、生物识别等
  • 未遵守的服务提供商面临高额罚款

表面上看,这似乎是一个保护儿童的合理法案。但问题隐藏在"互联网服务"的定义中。

定义的陷阱

法案对"互联网服务"的定义极其宽泛,涵盖了:

任何通过互联网提供的内容、应用、服务或产品,
包括但不限于网站、流媒体、社交媒体、游戏、
操作系统、软件发行版、API 服务等。

这个定义意味着:

  • Linux 发行版镜像站需要年龄验证才能下载 Ubuntu、Debian、Fedora
  • Apache/Nginx 开源项目需要验证年龄才能访问文档
  • GitHub 上的开源仓库可能被要求实施年龄门控
  • pip/npm 包管理器在安装某些包时可能需要身份验证

正如 EFF(电子前哨基金会)在其声明中所说:“这是用大炮打蚊子——为了保护孩子,却把整个开源生态系统关进了笼子。”

二、开源社区的抵制

抗议爆发

2026 年 5 月中旬,当 AB 3080 的细节被公之于众后,开源社区的抗议迅速蔓延:

组织 行动 影响
Linux 基金会 发布正式声明反对 引发全球关注
Debian 项目组 威胁将加州镜像站迁出 立法者开始重视
EFF 提起法律挑战 法案面临合宪性审查
GitHub 官方博客发文反对 开发者社区广泛传播
Red Hat 联合其他企业游说 直接推动修订

Hacker News 上的讨论异常激烈。一位用户一针见血地指出:

“每个浏览器公司的实习生都能在 5 分钟内实现 RTA header 检查。真正的解决方案很简单:检查浏览器是否启用了家长控制,如果启用了,在访问含 RTA header 的网站时要求密码覆盖。不需要身份证、不需要生物识别、不需要追踪每个人的浏览行为。”

核心争议焦点

1. 隐私与监控

年龄验证要求的实质是身份验证。这意味着服务提供商需要收集用户的政府 ID、信用卡信息或生物识别数据。对于一个下载 Ubuntu ISO 的用户来说,这显然是不合理的。

2. 匿名性对开源的意义

开源生态系统的根基之一是匿名参与。任何人都可以:

  • 匿名贡献代码
  • 匿名报告 bug
  • 匿名下载使用软件

年龄验证要求彻底破坏了这种匿名性。

3. 技术可行性

# 目前的 Linux 镜像下载流程
wget https://releases.ubuntu.com/24.04/ubuntu-24.04-desktop-amd64.iso

# 如果实施年龄验证
# 1. 用户需先创建账户
# 2. 上传身份证照片
# 3. 等待人工审核
# 4. 收到临时下载令牌
# 5. 在令牌过期前完成下载
# 这个过程完全违背了开源软件的分发理念

三、加州的让步:Linux 豁免条款

修正案内容

在巨大的舆论压力下,加州立法机构于 5 月 25 日提交了修正案,核心内容是:

第 3.2 (b) 条:本条款不适用于以下情形——
  (1) 以开发和分发开源软件为主要目的的操作系统及发行版;
  (2) 用于上述操作系统的软件包管理器和软件仓库;
  (3) 开发上述操作系统的协作平台和代码托管服务。

也就是说,Linux 及相关开源软件的下载、分发、开发全流程被明确排除在年龄验证要求之外。

为什么只有 Linux?

这是一个值得思考的问题。为什么是 Linux,而不是 Android、ChromeOS 或其他?

原因是多方面的:

  1. Linux 基金会拥有专业的游说团队——这是其他开源项目不具备的资源
  2. Linux 是基础设施——全球 90%+ 的云计算运行在 Linux 上,将其纳入年龄验证范围将造成系统性风险
  3. 社区反应最快——Linux 社区在法案细节公布后 48 小时内就组织了大规模抗议
  4. 企业利益统一——微软、Google、Meta 在 Linux 问题上立场完全一致

争议:豁免范围是否足够?

修正案发布后,社区反应喜忧参半:

  • Linux ✅ — 明确豁免
  • BSD 系列 ❓ — 未明确提及,需要法律解释
  • 其他开源项目 ❓ — 非操作系统类开源项目可能仍需遵守
  • 个人网站 ❓ — 自建站点是否算"互联网服务"仍不明确

EFF 呼吁进一步扩大豁免范围:

“Linux 豁免是一个好的开始,但远非终点。Debian、Fedora 得到了保护,但 ASF(Apache 软件基金会)、PSF(Python 软件基金会)、GNOME 基金会呢?任何以分发开源软件为目的的组织都应该被豁免。”

四、对开发者的影响

如果你是 Linux 用户

好消息:一切如常。你可以继续用 apt、dnf、pacman 安装软件包,不需要上传身份证。

如果你是开源项目维护者

如果你的项目不是操作系统级别(比如一个 Python 库、一个 Node.js 包、一个前端框架),目前的豁免可能不直接覆盖你的项目。建议:

  1. 关注立法进展 — AB 3080 仍在修订中
  2. 加入 EFF 或类似组织的呼吁 — 集体的声音更有力量
  3. 检查你的项目托管平台 — GitHub/GitLab 等平台法务团队可能已经介入

如果你是普通开发者

# 这段代码在 AB 3080 下可能会怎样?
import requests

# 以前:不受限制
resp = requests.get("https://pypi.org/simple/flask/")

# 如果年龄验证要求扩展到包管理器:
# 需要在请求中附带年龄验证令牌
# resp = requests.get("https://pypi.org/simple/flask/",
#     headers={"Authorization": "Age-Verified <token>"})
# 这种场景过于荒谬,但也正是社区极力避免的

五、更大的图景:全球年龄验证立法浪潮

加州 AB 3080 并非孤例。2025-2026 年,全球多个地区推出了年龄验证相关立法:

地区 法案/法规 状态 对开源的影响
加州 AB 3080 修订中 Linux 已豁免,其他待定
德州 HB 18 已签署 影响社交媒体,技术实现存争议
欧盟 数字服务法 (DSA) 已生效 大型平台需年龄验证,中小平台豁免
英国 网络安全法案 已通过 侧重平台责任,非基础设施
澳大利亚 社交媒体年龄验证 试行中 仅限于特定社交平台

对比可见,加州 AB 3080 是范围最广、影响最大的一个——它的定义涵盖了基础设施层面的服务,而不仅仅是社交媒体。

六、总结与思考

这场争议教会了我们什么?

第一,开源不是政治绝缘体。 许多开发者认为"技术就是技术,不关政治的事",但现实是立法会影响到开源生态的每一个角落。Linux 的豁免不是因为技术优越,而是因为社区能有效地发声。

第二,简单粗暴的年龄验证方案行不通。 Hacker News 讨论中最高赞的方案是:浏览器层面的家长控制 + RTA header,而非服务端的身份收集。技术上更优雅、隐私上更友好、实现上更简单。

第三,开源社区需要自己的立法响应机制。 从法案曝光到 Linux 豁免,只有不到两周时间。如果不是 Linux 基金会和 Red Hat 有专门的政府关系团队,结果可能完全不同。小型开源项目没有这种资源,在未来的立法浪潮中可能更加脆弱。

下一步

AB 3080 的修订仍在进行中。Linux 的豁免是第一场胜利,但社区仍在推动更全面的保护。对于中国开发者来说,这个案例同样具有参考意义——当一个国家的立法可能影响全球开源基础设施时,开源社区的跨国协作和快速响应能力显得尤为重要。

正如 Hacker News 上的一条高赞评论所说:“今天的 Python 包管理器,明天的 Git 仓库,后天的整个互联网基础设施——逐层沦陷还是逐层防御,取决于我们今天的选择。”


参考来源:

Logo

openEuler 是由开放原子开源基金会孵化的全场景开源操作系统项目,面向数字基础设施四大核心场景(服务器、云计算、边缘计算、嵌入式),全面支持 ARM、x86、RISC-V、loongArch、PowerPC、SW-64 等多样性计算架构

更多推荐