加州与科罗拉多州通过年龄验证法案 开源操作系统获得豁免

在围绕即将生效的加利福尼亚州和科罗拉多州年龄验证法案所引发的争议中，开源操作系统终于在最新立法文本中获得了重要豁免，但像 SteamOS 这类夹在开源系统与封闭应用商店之间的混合形态，仍然很可能需要对用户执行年龄验证。

据报道，System76 首席执行官 Carl Richell 此前与多名立法者会面，力推一项豁免条款，使得 Linux 等开源操作系统可以不在系统层面集成强制性的年龄验证机制。 在他的倡议以及相关团体持续施压下，科罗拉多州参议院第 26-051 号法案（Colorado Senate Bill 26-051）的第 30 条最新定稿文本中，明确增加了针对开源软件许可模式的排除性条款。

该条款写明，本条款不适用于这样一种操作系统或应用提供方和开发者：其软件是基于一套许可条款进行发布，这套条款允许接收者复制、再分发以及修改软件，并且在安装所有修改版本时，不存在由提供方或开发者在技术或合同层面施加的平台限制。 简言之，只要操作系统或应用遵守这类典型的自由及开源软件许可，且没有平台方强制控制用户安装的修改版本，就不在科罗拉多州年龄验证法案的约束范围之内。

加利福尼亚州的《数字年龄保障法案》（California Digital Age Assurance Act，法案编号 AB 1856）也在近期修订中引入了类似措辞，同样在法律层面为开源操作系统提供了空间。 该法案的一条最新修正表述指出，“操作系统提供者”不包括那类在许可条款下分发操作系统或应用的人或实体，而这些许可条款允许接收者复制、再分发并修改软件。 与科罗拉多的写法相比，加州立法在定义上更加直接，将符合条件的开源开发者整体排除在“操作系统提供者”的法律定义之外，从而在根本上将其从法规适用对象中剔除。

对绝大多数 Linux 发行版而言，这意味着未来在加州和科罗拉多，用户在使用这些系统时，通常无需因为法案要求而向系统层面提交年龄信息。只要发行版保持典型的开源许可和自由修改、再分发的特性，就可以绕开强制年龄验证的义务。 这对长期强调用户隐私和透明度的开源社区而言，被视为一项重要的阶段性成果。

不过，对于采用双重许可或混合模式的系统来说，情形则显得更加复杂，其中最具代表性的便是 Valve 的 SteamOS。 从基础层面看，SteamOS 仍然以 Arch Linux 为基础，其底层系统组件遵循开源许可，理论上可以享受上述豁免。 然而，系统中核心的 Steam 客户端本身是专有软件性质的应用商店，在现有的法案框架下，很可能被视作需要收集和处理年龄数据的主体。

这就导致一个分层的执行局面：操作系统层面（Arch Linux）在加州与科罗拉多可以被豁免，不必强制集成年龄验证机制；但运行其上的 Steam 客户端作为内容发行平台，仍面临根据当地法规对用户年龄进行验证的义务。 对终端用户而言，这种分层的差异在实际使用中可能表现为：系统本身不要求任何年龄证明，但在使用 Steam 客户端访问商店和游戏内容时，仍需提供年龄相关信息或通过某种形式的年满确认流程。

更值得注意的是，加州法案在浏览器领域并未设置类似的开源例外条款，这意味着开源或近似许可模式下的浏览器也可能需要对接操作系统的年龄认证信号。 报道指出，目前在 AB 1856 的公开文本中，并未找到针对 Firefox、Chromium 等开源浏览器的豁免性表述，这些浏览器理论上可能需要内置相应能力，从操作系统获取“年龄认证信号”（age attestation），以便在访问受限制内容或服务时履行合规义务。

从技术实现角度看，这可能要求浏览器厂商在未来引入一套新的接口标准，用于请求和处理来自操作系统或平台的年龄信息，并在不同司法辖区和实现模式之间进行适配。 对以隐私保护为标志的浏览器而言，这在工程与合规层面都将是一项挑战，它们必须在尽可能减少数据收集的同时，满足地方立法对未成年人保护的硬性要求。

整体来看，加州与科罗拉多通过在操作系统层面对开源软件给予豁免，缓解了部分开发者和用户对“强制年龄验证机制威胁隐私与自由”的担忧。 但在应用层、尤其是商业内容平台和浏览器领域，相关执行机制仍然严苛，并且可能逐步扩展为行业普遍标准。 对像 SteamOS 这样的混合生态而言，这意味着在保留开源基础的同时，仍须就核心内容平台履行完整的年龄验证义务，以在未来的监管环境中继续合法运营。