GitHub 对开发者年龄验证的看法

# 为什么年龄保证法律对开发者很重要 来源：https://github.blog/news-insights/policy-news-and-insights/why-age-assurance-laws-matter-for-developers/ 全球的政策制定者正在推进年龄保证提案，以保护儿童和青少年在网上的安全。一些方法限制未成年人访问特定服务或内容，而另一些则要求设备、操作系统或应用商店收集年龄信息，并将年龄信号传递给应用和网站。这些提案背后有严肃的担忧，但如果没有适当的范围界定，它们可能会对开源软件和开发者基础设施服务施加繁重的要求，而这些服务对未成年人带来的风险与面向消费者的平台不同。在这篇博文中，我们将概述开发者需要了解的内容以及如何参与。 这些法律旨在解决的安全问题确实很严重，值得关注。性引诱、接触暴力内容和网络欺凌只是年轻人上网面临的部分风险。与此同时，参与在线社区（包括开源软件开发）可以成为年轻人教育和社会生活的重要组成部分。在试图平衡自由与保护时，政策制定者并不总是清楚他们的提案会如何影响开发者，或者开源生态系统是如何运作的。 “年龄保证”（Age assurance）指的是一系列用于确定或估计用户年龄的方法。它有时与“年龄验证”（Age verification）互换使用，后者通常指更高置信度的方法，如照片ID匹配或检查财务/身份系统。年龄保证还包括自我声明（用户自行报告年龄）和年龄估算（通过信号、面部扫描或行为推断年龄）。这些方法涵盖广泛的范围，关于准确性、隐私、安全、互操作性和可及性之间的权衡，存在持续争论。提案在触发限制的年龄阈值、覆盖的服务或内容、父母同意的介入方式以及访问限制方式上也各不相同。虽然我们不在此详述每种方法，但我们鼓励读者关注相关立法，考虑不同的技术和政策视角，并思考如何保护未成年人上网安全，同时保留互联网带来的知识、学习机会和创意潜力——包括学习编程和参与全球开源生态系统的机会。 设计不当的年龄保证法律可能会对开源项目产生重大的意外影响。例如，要求操作系统集中收集和管理用户数据，或限制用户在集中式应用商店之外安装软件，这些都会与开源生态系统去中心化、用户主导的规范相冲突。 另一个潜在陷阱是将年龄保证要求施加于操作系统的“发布者”，无论他们是个人还是公司。开源操作系统经常由个人贡献者和小型社区迭代、重用和重新分发，其中许多资源有限且用户群体较小。软件生态系统的多样性值得保留。 GitHub多年来一直与各国政府就与年龄相关的在线安全提案进行接触。在某些情况下，包括澳大利亚的《社交媒体最低年龄法》（https://www.esafety.gov.au/about-us/industry-regulation/social-media-age-restrictions），我们与政策制定者合作，解释为什么开源代码协作平台不应被纳入范围（https://www.esafety.gov.au/about-us/industry-regulation/social-media-age-restrictions/faqs#which-platforms-have-been-excluded-from-the-age-restrictions）。类似的豁免在其他地方也存在。例如，法国当前的《社交媒体最低年龄提案》（https://www.reuters.com/technology/french-senate-debates-social-media-ban-children-under-15-2026-03-31/）包括了与欧盟版权指令中相同的对开源代码协作网站和在线百科全书的排除。 许多政策制定者认识到，访问开源软件开发生态系统带来了显著的公共利益，包括教育、创新和安全，而且年轻人在开源开发社区中面临的风险与以往相比明显不同。与此同时，越来越多的法律旨在技术栈的不同层面推进儿童安全目标，包括通过操作系统和应用分发层。这给开发者带来了新的问题：这些要求在实践中如何适用，以及开源操作系统和像GitHub这样的开发者基础设施是否会受到影响。 ## 需要了解的立法 - **加利福尼亚州****AB 1043**（https://leginfo.legislature.ca.gov/faces/billNavClient.xhtml?bill_id=202520260AB1043）**《数字年龄保证法案》及2026年修正案****AB 1856：**（https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=202520260AB1856）要求操作系统提供商（与覆盖的应用商店协调）在账户设置时收集自我声明的年龄，并通过实时API向应用发送年龄范围信号。 - **科罗拉多州****SB 26-051**（https://leg.colorado.gov/bills/SB26-051）**《计算设备年龄声明法》：**要求操作系统和覆盖的应用商店生成并通过实时接口与应用分享年龄范围信号，其中“覆盖应用”和“覆盖应用商店”的定义不断演变，影响着范围。 - **伊利诺伊州****HB 4140**（https://hb4140/）**《数字年龄保证法案》：**适用于操作系统提供商，要求收集年龄数据并通过实时API向开发者发送年龄类别信号，与加州模式高度相似。 - **纽约州****S 8102**（https://www.nysenate.gov/legislation/bills/2025/S8102/amendment/original）**/****A 8893**（https://www.nysenate.gov/legislation/bills/2025/A8893）**《设备级年龄保证》：**广泛适用于设备制造商、操作系统和应用商店，要求在设备激活时采用“商业上合理的”年龄保证（不仅仅是自我报告），并向应用和网站发送经过验证的年龄信号。 这只是美国部分操作系统和应用商店年龄保证立法。此外，德克萨斯州（SB 2420）（https://capitol.texas.gov/BillLookup/History.aspx?LegSess=89R&Bill=SB2420）、路易斯安那州（HB 570）（https://www.legis.la.gov/Legis/BillInfo.aspx?i=248616）和犹他州（SB 142）（https://le.utah.gov/~2025/bills/static/SB0142.html）也通过了相关但不同的、侧重于应用商店的法律。 这些提案正在积极演变中。在科罗拉多州，SB 26-051 最近于2026年4月23日举行了委员会听证会（https://sg001-harmony.sliq.net/00327/Harmony/en/PowerBrowser/PowerBrowserV2/20260424/25/18672#agenda_），作为立法审议过程的一部分。听证会反映了平衡儿童安全、隐私和可行性的复杂性，并得到了开源开发者和组织的积极参与。委员会成员还表示，无意将开源操作系统或开发者基础设施纳入范围，最新修正文本澄清了在应用商店之外安装的软件（包括从公共仓库下载的软件）不在范围内。 在巴西，《儿童和青少年数字法规》（Digital ECA）（https://github.com/github/developer-policy/blob/main/Brazil%20Digital%20ECA%20English.pdf）于2026年3月生效，广泛适用于“可能被儿童和青少年访问的”数字服务，包括操作系统、应用商店和平台，并排除了开放技术协议和标准等基本互联网功能。尽管巴西国家数据保护局（ANPD）尚未正式澄清该法律是否以及如何适用于自由开源软件，但其监管议程最初优先考虑了“应用商店和专有操作系统”（https://www.gov.br/anpd/pt-br/assuntos/eca-digital），最近的指导草案（https://brasilparticipativo.presidencia.gov.br/processes/Guia-orientativo-fonecedores-eca-digital/f/4356/）正在公开咨询（https://brasilparticipativo.presidencia.gov.br/processes/Guia-orientativo-fonecedores-eca-digital/f/4355/）中，表明基于协作模式和自由软件的系统不应承担与专有服务相同的义务。 尽管如此，法律上的不确定性已经导致一些开源项目在巴西限制访问，这反映了非商业、志愿者驱动生态系统的合规可行性问题。虽然该法律主要针对商业行为者，但关于范围的关键问题仍未解决，因此开源开发者积极参与正在进行的公开咨询至关重要，以确保实施反映去中心化的开发模式，并避免对访问和创新造成意外限制。 ## 到底什么是应用商店？ 虽然开源社区的大部分担忧集中在这些提案可能给开源操作系统带来的风险，但同样重要的未决问题是“应用商店”和“应用”如何定义。按照目前草案，一些“应用商店”的定义足够宽泛，足以涵盖开发者基础设施——例如代码协作平台、包管理器和开源索引服务——仅仅因为它们允许用户访问或下载软件。 提供软件下载与运营大多数人理解的那种集中式、面向消费者的市场不是一回事。精确地定义“应用”也很重要。下载源代码、库、框架、模型和工具等软件组件，与通过消费者应用市场提供独立的可执行应用有本质区别。这些组件是上游构建块，而非终端用户产品，托管或索引这些组件的服务不像传统应用商店那样控制消费者分发或展示。 各司法管辖区近期的修订和讨论表明，监管机构旨在关注面向消费者的分发以及控制终端用户访问的服务。需要明确的法定区分，以确保法律与这一意图一致。这反映了技术政策制定中一个熟悉的挑战。针对青少年安全和年龄保证的框架通常是对面向消费者服务的风险做出反应，这些服务收集用户数据并货币化、大规模分发内容，并依赖参与驱动系统来塑造用户行为。 相比之下，支持协作软件开发的平台服务于完全不同的功能——它们旨在帮助用户创建、分享和维护代码，而不是吸引大众受众、放大内容或驱动被动/过度消费——因此风险状况显著较低。运行在GitHub等平台上的开源社区围绕共同的技术目标组织，并遵循协作、重用和透明的规范，进一步说明了为什么这些面向开发者的服务应在监管设计中与面向消费者的平台区分开来。 开源软件也是经济发展和创新的关键驱动力（https://github.blog/news-insights/policy-news-and-insights/how-researchers-are-using-github-innovation-graph-data-to-reveal-the-digital-complexity-of-nations/），并充当关键的数字基础设施。确保政策准确反映开源软件的构建和维护方式，对于保留这些利益至关重要。当政策制定者直接与开源开发者和民间社会接触时，他们通常能够完善定义、澄清范围，并更好地使法律符合技术现实。 合规要求的不确定性可能给开源开发者带来挑战，其中许多人以志愿方式进行贡献。与此同时，也有政策制定者与开源社区合作以达成平衡方法的积极例子。例如，欧盟《网络弹性法案》（https://digital-strategy.ec.europa.eu/en/policies/cyber-resilience-act）通过迭代过程进行了完善，为开源取得了适当的平衡（https://github.blog/open-source/maintainers/what-the-eus-new-software-legislation-means-for-developers/）。在美国各州，这些法案继续演变，政策制定者表现出愿意与开源社区接触，并考虑修改以符合监管意图和技术可行性。 ## 参与的机会 建设性参与的机会窗口依然敞开——开发者的声音可以产生有意义的影响。 无论是通过联系正在考虑这些提案的州（如加利福尼亚州、科罗拉多州、伊利诺伊州和纽约州）的当选代表，为巴西的《数字ECA》公开咨询（https://brasilparticipativo.presidencia.gov.br/processes/Guia-orientativo-fonecedores-eca-digital/f/4355/）做出贡献，还是与开源倡议组织（https://opensource.org/）或通过可能受影响的项目的管理基金会（如FreeBSD基金会（https://freebsdfoundation.org/）和Debian（https://www.debian.org/））接触，都有具体的方式让开发者分享他们的观点——从而帮助确保这些政策既能支持儿童的数字安全，又能反映技术现实，符合监管意图，并避免对开源生态系统造成意外损害。 GitHub将继续与政策制定者和开源社区合作，支持平衡的方法，既保护年轻人，又保留开放的开发环境。我们鼓励开发者保持信息更新、与开源政策组织联系，并联系我们（https://github.com/github/developer-policy）提出疑问或关切。我们还将继续这一对话，于5月22日举办一场维护者月直播（https://maintainermonth.github.com/schedule/2026-05-22-age-assurance-laws-and-open-source），邀请来自FreeBSD基金会和开源倡议组织的小组成员，讨论这些提案引发的更广泛问题，以及如何以开源为出发点设计技术政策。 ## 作者 Margaret Tucker