Przepisy dotyczące potwierdzania wieku, mające na celu ochronę nieletnich w internecie, budzą niepokój wśród deweloperów open source, którzy twierdzą, że regulacje mogą zakłócić sposób, w jaki ich społeczności budują i udostępniają kod. Gdy decydenci w kilku regionach zaostrzają wymogi bezpieczeństwa młodzieży wobec platform technologicznych, model open source – oparty na zdecentralizowanym wkładzie, anonimowej współpracy i braku scentralizowanego strażnika – staje w obliczu kolizji z wymogami zgodności.
Presja na weryfikację wieku na platformach
Rządy w Europie, Stanach Zjednoczonych i innych miejscach opracowują lub uchwalają przepisy, które wymagałyby od platform weryfikacji wieku użytkowników przed udostępnieniem określonych funkcji lub treści. Uzasadnienie jest proste: chronić dzieci przed szkodliwymi materiałami, ograniczyć gromadzenie danych o nieletnich i egzekwować kontrolę rodzicielską. Jednak przepisy zazwyczaj nakładają obowiązek na platformę – podmiot prowadzący usługę – aby wdrożyła kontrole wieku. Dla zastrzeżonych aplikacji i stron internetowych jest to wyzwanie techniczne i prawne. Dla projektów open source może być egzystencjalne.
Dlaczego model open source jest podatny na zagrożenia
Oprogramowanie open source często opiera się na rozproszonych repozytoriach kodu, samodzielnie hostowanych instancjach i ochotniczych opiekunach, którzy nie działają jak tradycyjna firma. Pojedynczy projekt może mieć setki współtwórców rozproszonych po krajach, z których wielu używa pseudonimów. Nie ma centralnego organu, który mógłby wymagać weryfikacji tożsamości lub egzekwować ograniczenia wiekowe na każdym forku i instancji. Jeśli prawo mówi: „platformy muszą weryfikować wiek użytkowników”, nie jest jasne, kto – lub co – jest uznawany za platformę. Opiekun małej biblioteki? Usługa hostingowa? Aplikacja downstream, która pakuje kod?
Deweloperzy ostrzegają, że niejasne definicje mogą zmusić opiekunów do ról, na które nigdy się nie zgodzili. Ochotnik prowadzący serwer Git dla swojego projektu może być odpowiedzialny za weryfikację wieku każdego autora commita. To kosztowne, ryzykowne prawnie i sprzeczne z otwartością, która przyciągnęła wielu do open source.
Tarcia techniczne i kulturowe
Wdrożenie potwierdzania wieku w zdecentralizowanym środowisku to nie tylko ból głowy prawny – to zagadka techniczna. Tradycyjne kontrole wieku opierają się na dokumentach tożsamości, skanach biometrycznych lub danych kart kredytowych. Projekty open source zazwyczaj nie mają nic z tego. Prośba o przesłanie paszportu przez każdego współtwórcę przed złożeniem pull requesta zabiłaby niskoprogową współpracę, która sprawia, że open source kwitnie. Wywołałoby to również poważne obawy dotyczące prywatności: opiekunowie projektów staliby się nagle opiekunami wrażliwych danych osobowych – pracy, której niewielu chce, a jeszcze mniej jest w stanie się podjąć.
Istnieje również niedopasowanie kulturowe. Etos open source ceni anonimowość i pseudonimowość. Wielu współtwórców, zwłaszcza w wrażliwych dziedzinach, takich jak bezpieczeństwo czy omijanie cenzury, polega na możliwości uczestniczenia bez ujawniania prawdziwej tożsamości. Obowiązkowe potwierdzanie wieku mogłoby skutecznie wykluczyć tych współtwórców, osłabiając projekty i cały ekosystem.
Co dalej dla deweloperów i regulatorów
Grupy branżowe reprezentujące fundacje open source rozpoczęły składanie uwag w rejestrach regulacyjnych, argumentując za zwolnieniami lub jasnymi bezpiecznymi przystaniami. Domagają się języka, który rozróżnia operatora platformy od projektu kodu upstream lub który ustanawia próg – na przykład tylko projekty powyżej określonej wielkości lub przychodów podlegałyby wymogom weryfikacji wieku.
Niektórzy ustawodawcy są przychylni, ale ostrożni, aby nie tworzyć luk, które mogliby wykorzystać źli aktorzy. Kilka jurysdykcji już zasygnalizowało, że projekty open source nie otrzymają całkowitej odporności. Napięcie prawdopodobnie rozegra się w przesłuchaniach regulacyjnych i wyzwaniach sądowych w ciągu najbliższego roku. Na razie deweloperzy muszą zgadywać – i mieć nadzieję, że ich następny commit nie wywoła kryzysu zgodności.
