加州想搞年龄验证,差点把Linux搞崩了?开源社区的反击太硬核
🐵 大圣深扒,每天一篇科技深度解读。
今天这事说来有点黑色幽默:美国加州要通过一个"保护未成年人"的法律,结果差点把整个Linux生态给干趴下了。
▸ 怎么回事? ▸ 为什么一个法案能威胁到Linux? ▸ 开源社区做了什么让加州被迫让步?
一条条给你掰扯清楚。
🔥 先说说这个法案是个啥
加州搞了个叫 AB 2949 的法案,全称是《California Age-Appropriate Design Code Act》的更新版。
核心要求很简单:所有"可能被未成年人访问"的互联网服务,必须做年龄验证。
听起来挺正常的对吧?保护孩子嘛,谁都不能反对。
但问题出在它覆盖的范围太广了。这个法案不光是管社交媒体、视频网站,它说的是"任何在线服务"。翻译一下就是——包管理器(apt、pip、npm、cargo)、开源软件仓库、GitHub Pages、甚至你个人博客,只要没有年龄验证,理论上都违法。
实际情况是:
▸ 你用 apt install 装个包 → 违法(没有验证你是不是18岁) ▸ 你用 pip install 装个Python库 → 违法 ▸ 你打开 GitHub 看个开源项目 → 违法 ▸ 你从 Debian 仓库下载更新 → 违法
因为这本质上都是"提供给未成年人的在线服务"。
更离谱的是,法案要求平台做"数据保护影响评估",评估你的服务对"未成年人"的影响。问题是——开源项目连用户是谁都不知道,怎么做评估?
📦 核心:为什么这个法案对开源是核弹
好,你可能觉得我在危言耸听。让我用技术人的视角解释一下为什么这是毁灭性的。
第一层面:包管理器全废
Linux 生态的基石是什么?是包管理器。
▸ Debian/Ubuntu 有 6 万多个软件包 ▸ Python PyPI 有 50 多万个包 ▸ npm 有 200 多万个包 ▸ GitHub 托管了超过 2 亿个仓库
这些平台的共同特点是:它们根本不记录用户的年龄信息。
要让 apt 做年龄验证?apt 甚至不知道你这台电脑是谁在用。一个服务器 sudo apt update,算不算"为未成年人提供服务"?那所有使用 Linux 的学校、大学、网吧,全得崩。
第二层面:开源维护者承担不起的法律风险
这个法案的处罚力度可不轻。
▸ 初次违规:最多 2500 美元罚款 ▸ 持续违规:每天 2500 美元 ▸ 如果被认定"故意违规":数额翻倍
一个在业余时间维护开源项目的开发者,可能就因为他的 npm 包被一个13岁的小孩安装了,就得吃罚单。这谁顶得住?
现实后果就是:无数开源维护者直接选择跑路。如果你维护的项目可能让你吃官司,你还会无偿维护吗?
第三层面:开源基金会可能集体撤离加州
这是最要命的。
Linux 基金会总部在旧金山。Python 软件基金会在加州。Apache 基金会在加州。Eclipse 基金会在加州。
如果这个法案真的生效,这些基金会有两个选择:搬迁到其他州,或者直接关门。不管哪个选项,对整个开源生态都是沉重打击。
🐵 大圣说:开源社区的反击速度
这就是我欣赏开源社区的地方——反应速度惊人。
法案的公众评论期一开,社区直接炸了。
▸ Linux 基金会:第一时间发表公开声明,措辞非常强硬:"这个法案将从根本上破坏开源软件生态系统的运作方式。"
▸ GitHub:联合多家科技公司游说立法者,指出法案"在技术上是不可行的"。
▸ 单个开发者:在 Reddit、Hacker News 上疯狂发帖科普。一个帖子说"你的 apt update 可能要违法了",当天冲到 HN 首页第一名,获得 2000+ 点赞。
▸ EFF(电子前哨基金会):发布详细的法律分析,指出法案违宪的可能性。
结果呢?加州立法者怂了。
5月22日,加州众议院宣布对法案进行修订——明确豁免 Linux 内核和开源操作系统组件。
原文说:法案"shall not apply to the Linux kernel or any open source operating system component distributed under an open source license"(不适用于 Linux 内核或任何以开源许可证分发的操作系统组件)。
不过要注意,这个豁免范围目前还有争议:
▸ ✅ 已豁免:Linux 内核、操作系统组件 ▸ ⚠️ 未豁免:包管理器(apt、pip、npm 等)——这些"应用层"的工具还在灰色地带 ▸ ⚠️ 未豁免:GitHub、GitLab 等代码托管平台 ▸ ⚠️ 未豁免:个人维护的开源应用
所以这场仗还没打完。Linux 内核保住了,但整个开源生态圈的命运还在悬着。
⭐ 亮点:更深层的博弈
加州为什么这么硬?
加州一直是美国科技监管的急先锋。
▸ 2018 年:CCPA,开了美国数据隐私保护的先河 ▸ 2020 年:CalECPA ▸ 2022 年:Age-Appropriate Design Code 最初版 ▸ 2024-2025:多轮修订,不断收紧
加州的逻辑是:既然联邦层面迟迟不立法,那州先干。
问题是,加州的科技法律往往会被其他州效仿,甚至影响联邦立法。加州一过,纽约、伊利诺伊、德克萨斯很可能会跟上。所以这一次的反击,不只是在保护加州的开源社区,而是在为全美的开源生态设防。
技术上的悖论
还有一个更深层的问题:互联网本身就不适合做年龄验证。
▸ 去中心化设计:互联网从设计上就没有中央身份系统 ▸ 匿名性是核心价值:很多人选择用开源软件就是因为不想被追踪 ▸ 技术上的不可行:你怎么验证一个下载 deb 包的脚本是成年人还是小孩在运行?
这个悖论在之前英国搞类似法案的时候就已经被反复讨论过,但英国选择睁一只眼闭一只眼。加州这次是认真的。
🔗 值得关注的方向
▸ AB 2949 法案的后续修订进展——看包管理器和代码托管平台能否被豁免 ▸ 其他州是否会效仿加州——如果纽约也通过类似法案,影响面会加倍 ▸ Linux 基金会可能的法律诉讼准备 ▸ 类似的欧盟法案——欧盟的 Cyber Resilience Act 也在讨论类似条款 ▸ 技术层面的应对方案——有没有可能在技术上实现"可验证但保护隐私"的年龄认证?
🐵 大圣最后说两句
这件事折射出一个更大的趋势:传统法律体系和互联网底层架构之间的冲突越来越激烈。
法律是按"地域管辖"来设计的——加州的法律管加州的人和事。但互联网是"无国界"的——你从北京 apt update 一个加州服务器上的包,这个交易到底归谁管?
解决问题的关键不在于让互联网去适应法律,而在于法律要理解互联网是怎么运作的。
开源社区这次赢了第一个回合。但可以预见,接下来还会有更多的类似法案冒出来。"保护孩子"这面大旗太好用了,各国政府都在用这面旗推进互联网监管。
Linux 内核被豁免了,那下一个呢?包管理器怎么办?GitHub 怎么办?你的个人项目怎么办?
这些问题的答案,可能决定了未来十年开源生态的走向。
我是大圣,明天见。🔥
本文基于公开信息整理分析。数据来源:California Legislative Information、Linux Foundation 公开声明、Hacker News 社区讨论、EFF 法律分析报告。文章发布于 2026 年 5 月 26 日。