年龄确认法与开源开发的冲突

儿童安全立法与软件开发的交集正成为全球开发者社区的一个关键冲突点。随着世界各地的决策者引入“年龄确认”法律以保护未成年人免受在线伤害，这些法律的技术实现正在向技术栈底层转移——从单个应用程序转向操作系统和应用商店。

虽然其意图是遏制诱导、欺凌和暴力内容的接触，但这些提案中宽泛的措辞可能会在无意中扼杀开源生态系统。

对于开发者而言，风险不仅仅是行政开销的问题；它是开源的去中心化、用户控制的本质与现代监管框架中集中的、身份验证的要求之间的根本冲突。

理解年龄确认与年龄验证

为了应对这一局面，首先有必要区分确定用户年龄的不同方法，因为这些方法对隐私和可访问性的影响截然不同：

• 年龄验证 (Age Verification): 高置信度的方法，例如照片身份证件匹配或与政府及金融身份系统进行核对。
• 年龄估计 (Age Estimation): 通过行为信号、面部扫描或其他 AI 驱动的启发式方法来推断年龄。
• 自我声明 (Self-Attestation): 最简单的形式，用户自行报告自己的年龄。

这些方法存在于准确性与隐私性的光谱上。虽然高置信度验证提供了最高的确定性，但它会引入显著的隐私风险，并为缺乏正式身份证明的用户设置进入门槛。

监管格局：全球性转变

目前，多个司法管辖区正在推进立法，要求在 OS 或应用商店层面强制执行年龄信号。

这种方法旨在将验证负担集中化，但它也为软件分发链创造了新的漏洞。

美国：州级倡议

在美国，几个州正在寻求一种模式，要求 OS 提供商收集年龄数据并通过 API 向应用程序传输信号：

• 加利福尼亚州 (AB 1043/AB 1856) & 伊利诺伊州 (HB 4140): 这些法案侧重于要求 OS 提供商收集自我声明的年龄，并将年龄范围信号传递给应用。
• 科罗拉多州 (SB 26-051): 与加州模式类似，但最近的修正案已明确，在应用商店之外安装的软件（包括公共仓库）通常不在范围内。
• 纽约州 (S 8102/A 8893): 该提案更为严格，要求在设备激活时进行“商业上合理”的确认——这超出了简单的自我报告。

国际趋势

在美国之外，巴西的**《儿童与青少年数字法案》(Digital ECA)** 将于 2026 年 3 月起强制执行，该法案广泛适用于可能被未成年人访问的数字服务。虽然草案指南建议开源软件 (FOSS) 可能不受与专有服务相同的义务约束，但法律上的不确定性已经导致一些开源项目为了规避潜在责任而限制了在巴西的访问。

“应用商店”的定义问题

开发者社区中最具争议的点之一是“应用商店”的法律定义。如果定义过于宽泛，该术语可能不仅涵盖像 Apple App Store 或 Google Play 这样的消费者市场，还可能包括：

• 代码协作平台 (例如, GitHub)
• 包管理器 (例如, npm, PyPI)
• 开源索引服务

GitHub 认为，托管源代码、库和框架与向消费者分发独立的、可执行的应用程序有着本质区别。这些是“上游构建模块”，而非终端用户产品。将代码仓库视为应用商店会给志愿者驱动的项目和非商业基础设施带来无法承受的合规负担。

社区观点与担忧

开发者社区的反应（如 Hacker News 上的讨论）反映了对这些法律以“为了孩子”为借口进行辩护的深层怀疑。许多开发者认为，这些指令是通往在线匿名性终结的门户，也是阻碍技术创新所驱动的好奇心的障碍。

一位贡献者强调了此类障碍带来的个人成本，回想起曾经进入在线社区的门槛仅仅是表现得足够成熟以被接受：

"在我的时代，作为一个（不建议的）早熟的在线儿童……我可以在我潜入的任何在线社区中开始建立存在感，只要我表现得足够成熟，没人会对我年龄产生怀疑……如果将时间线推后几十年，我将不得不通过上传身份证件来被拦截。真是凄凉。"

其他担忧集中在这些法律可能被用作监控工具，或者用于巩固少数几个控制“年龄信号” API 的大型 OS 提供商的权力。

前行之路

保护开源生态系统需要精确的监管方法。为了避免无意的伤害，决策者必须：

1. 区分面向消费者的平台与开发者基础设施。
2. 将开源操作系统和协作代码平台排除在“应用商店”的范围之外。
3. 优先采用保护隐私的方法，而非强制性的身份证件上传，以确保互联网对年轻开发者而言仍然是一个学习和探索的空间。

对于开发者而言，参与的机会窗口仍然开启。参与公共咨询（例如巴西的 Digital ECA）并与 Open Source Initiative (OSI) 等组织接触，是确保软件开发的的技术现实能够反映在法律中的关键步骤。