gik|iewicz

Kalifornia przygotowuje poprawkę do ustawy o weryfikacji wieku w sieci. Chodzi o wyłączenie dystrybucji Linuksa spod rygorystycznych wymogów prawnych. Reakcja społeczności open source była natychmiastowa i brutalna dla legislatorów.

TL;DR: Kalifornia planuje zmienić przepisy dotyczące weryfikacji wieku w internecie po tym, jak projekt uderzył w systemy open source. Ustawa wymagałaby weryfikacji tożsamości przy pobieraniu kodu źródłowego. Społeczność Linuksa odpowiedziała masową krytyką tego pomysłu.

Dlaczego Kalifornia chce zwolnić Linuksa z weryfikacji wieku?

Kalifornijska ustawa o weryfikacji wieku w internecie (Age-Appropriate Design Code) miała pierwotnie objąć wszystkie platformy udostępniające treści w sieci. Szybko okazało się, że definicja „platformy” jest na tyle szeroka, że obejmuje repozytoria z kodem źródłowym, w tym dystrybucje systemu operacyjnego Linux. Wobec tego legislatorzy przygotowali poprawkę wyłączającą projekty open source spod nowych regulacji.

Społeczność Linuksa zareagowała gwałtownie na propozycję ustawy. Krytycy wskazali, że wymóg weryfikacji wieku przy pobieraniu systemu operacyjnego jest absurdalny. Ponadto naruszałby fundamentalne zasady wolnego oprogramowania, ograniczając dostęp do kodu źródłowego. Projekty takie jak Arch Linux czy Debian działają na zasadzie dobrowolnego udziału programistów z całego świata.

Wymóg weryfikacji tożsamości praktycznie zabiłby ten model współpracy. Dlatego autorzy ustawy musieli szybko zmienić podejście. Podobnie jak przy okazji, gdy Bruksela uruchomiła aplikację do weryfikacji wieku, a hakerzy potrzebowali zaledwie 2 minut, by ją złamać – widać wyraźnie, że techniczne wymuszenie wieku w sieci to problem.

Jak społeczność open source zareagowała na propozycję ustawy?

Reakcja społeczności open source na kalifornijską inicjatywę była natychmiastowa. Programiści z całego świata zaczęli masowo komentować projekt ustawy, wskazując na jego liczne techniczne i prawne luki. Główne zarzuty dotyczyły braku zrozumienia, jak funkcjonują repozytoria kodu oraz dystrybucje Linuksa.

Zarzuty wobec ustawy obejmowały kilka kluczowych argumentów:

• Kod źródłowy nie jest treścią szkodliwą dla nieletnich
• Weryfikacja tożsamości narusza prywatność programistów
• Ustawa blokuje rozwój edukacji informatycznej
• Systemy open source działają globalnie, a nie tylko w Kalifornii
• Wymogi prawne są technicznie niewykonalne przy dystrybucjach typu rolling release
• Projekt ustawy ignoruje specyfikę repozytoriów jak GitHub
• Implementacja wymagałaby zbierania danych osobowych
• Ograniczenia uderzyłyby w narzędzia bezpieczeństwa

Społeczność przypomniała również, że systemy operacyjne to fundament edukacji technologicznej. Na przykład granie na Linuksie jest szybsze, ponieważ API Windowsa stają się funkcjami jądra Linuksa – a ograniczanie dostępu do tego systemu uderzyłoby w rozwój technologii. Co więcej, programiści wskazali, że ustawa mogłaby de facto zakazać udostępniania narzędzi bezpieczeństwa.

Warto sprawdzić, jak analogiczne przepisy funkcjonują w innych jurysdykcjach. Na przykład europejskie regulacje o ochronie małoletnich również budzą kontrowersje, ale rzadko uderzają bezpośrednio w oprogramowanie systemowe. Kalifornijski projekt poszedł o krok za daleko.

Czym groziło objęcie Linuksa ustawą o weryfikacji wieku?

Gdyby ustawa objęła dystrybucje Linuksa bez wyjątków, konsekwencje dla ekosystemu open source byłyby poważne. Każde pobranie systemu operacyjnego wymagałoby weryfikacji wieku użytkownika. To z kolei oznaczałoby konieczność implementacji systemów identyfikacji przy każdym repozytorium udostępniającym obrazy ISO.

Projekty takie jak Debian czy Fedora działają dzięki tysiącom wolontariuszy. Nałożenie na nie obowiązku weryfikacji wieku użytkowników praktycznie uniemożliwiłoby ich funkcjonowanie w obecnej formie. Ponadto ustawa narzucałaby odpowiedzialność prawną na twórców oprogramowania za to, kto je pobiera. To rozwiązanie przypominałoby próby pociągnięcia do odpowiedzialności producenta śrubokręta za to, jak narzędzie zostanie użyte.

Podobne problemy pojawiły się przy innych regulacjach technologicznych w Kalifornii. Widać to wyraźnie przy okazji debaty nad projektem ustawy zabraniającej wydawcom zabijania gier online, gdzie legislatorzy również musieli modyfikować przepisy po konsultacjach z branżą. Najważniejsze jest to, że ustawa w pierwotnej formie ignorowała realia techniczne tworzenia oprogramowania.

Jakie są perspektywy zmian w kalifornijskim prawie?

Poprawka wyłączająca Linuksa spod ustawy o weryfikacji wieku jest obecnie w fazie konsultacji. Legislatorzy kalifornijscy musieli przyznać, że pierwotna definicja „platformy cyfrowej” była zbyt szeroka. Wobec tego przygotowano nowelizację, która ma chronić projekty open source przed nadmiernymi regulacjami.

Społeczność Linuksa pozostaje jednak sceptyczna wobec obietnic legislatorów. Choć proponowany wyjątek wydaje się krokiem w dobrą stronę, wielu programistów obawia się, że język prawny nadal pozostawia zbyt wiele miejsca do interpretacji. Na przykład nie jest jasne, czy wyjątek obejmie wszystkie dystrybucje, czy tylko te prowadzone wyłącznie przez wolontariuszy.

Dodatkowo problemem pozostaje kwestia komercyjnych dystrybucji opartych na Linuksie. Firmy takie jak Red Hat czy SUSE mogłyby podlegać pod ustawę, nawet jeśli społecznościowe wersje ich systemów zostałyby zwolnione. To rodzi pytania o uczciwość konkurencji na rynku systemów operacyjnych. Zalecam śledzenie prac nad ustawą bezpośrednio na stronach kalifornijskiego parlamentu stanowego.

Warto przypomnieć, że Kalifornia nie jest jedynym stanem próbującym regulować dostęp do treści cyfrowych. Podobne inicjatywy pojawiły się w Teksasie, Arkansas czy na Florydzie. Jednak to kalifornijski projekt wywołał największe kontrowersje ze względu na bezpośrednie uderzenie w ekosystem open source. Na przykład Dirtyfrag – uniwersalny exploit LPE dla Linuksa pokazuje, jak ważna jest otwartość kodu dla bezpieczeństwa całego ekosystemu.

Należy pamiętać, że wszystkie dystrybucje Linuksa są dotknięte nową podatnością i właśnie swobodny dostęp do kodu pozwala na szybkie łatanie luk. Ustawa ograniczająca ten dostęp faktycznie osłabiłaby bezpieczeństwo cyfrowe milionów użytkowników na całym świecie.

Które dokładnie projekty open source zostaną zwolnione z ustawy?

Projekt poprawki do kalifornijskiej ustawy przewiduje wyłączenie dla oprogramowania dystrybuowanego na licencjach open source, jednak definicja wciąż budzi sporo wątpliwości. Chodzi o to, by wolontariusze tworzący darmowe systemy operacyjne nie musieli weryfikować wieku pobierających. Tym niemniej granica między projektem community a komercyjnym produktem bywa bardzo cienka.

Największe kontrowersje budzi status dystrybucji utrzymywanych przez firmy, które jednocześnie oferują płatne wersje swojego systemu. Na przykład Red Hat rozwija Fedorę jako projekt społecznościowy, ale sam finansuje jego infrastrukturę. Czy Fedora w takim układzie podlega pod wyjątek, czy też traktuje się ją jako produkt korporacyjny? Ustawa w obecnym kształcie nie daje jednoznacznej odpowiedzi na to pytanie.

Ponadto problem dotyczy mniejszych dystrybucji, które przyjmują darowizny od firm technologicznych. Jeśli projekt open source korzysta ze wsparcia finansowego korporacji, czy nadal kwalifikuje się do zwolnienia? Legislatura Kalifornii musi doprecyzować te kwestie, by uniknąć procesów sądowych.

• Dystrybucje w pełni społecznościowe (Debian, Arch Linux) – prawdopodobnie zwolnione
• Projekty firmowe z darmową wersją (Fedora, openSUSE) – status niejasny
• Systemy utrzymywane przez fundacje (Linux Mint) – wymagają interpretacji
• Narzędzia bezpieczeństwa na licencjach open source – mogą podlegać ustawie
• Biblioteki kodu i zależności programistyczne – brak jednoznacznych wytycznych

Jak technicznie wyglądałaby weryfikacja wieku przy pobieraniu Linuksa?

Implementacja weryfikacji wieku przy pobieraniu obrazów ISO Linuksa wymagałaby stworzenia całej infrastruktury identyfikacyjnej. Serwery lustrzane (mirrors) utrzymywane przez uniwersytety i wolontariuszy musiałyby zbierać dokumenty tożsamości. To z kolei oznaczałoby konieczność budowy systemów szyfrowania i ochrony danych osobowych na masową skalę.

Koszt takiego przedsięwzięcia byłby zabójczy dla społecznościowych projektów. Na przykład utrzymanie serwerów Debiana pochłania już teraz znaczne środki z darowizn. Dodatkowe wymogi prawne zmusiłyby projekt do ograniczenia liczby mirrorów lub ich całkowitego zamknięcia.

Z kolei systemy rolling release, jak Arch Linux, aktualizują się codziennie. Weryfikacja wieku przy każdej aktualizacji pakietów byłaby technicznie niewykonalna. Użytkownicy musieliby podawać dane osobowe kilkanaście razy dziennie podczas standardowej pracy z systemem.

• Wymóg zbierania dowodów tożsamości przy każdym pobraniu ISO
• Konieczność szyfrowania baz danych użytkowników na mirrorach
• Codzienna weryfikacja przy aktualizacjach w systemach rolling release
• Ograniczenie liczby serwerów lustrzanych z powodu kosztów
• Odpowiedzialność prawna wolontariuszy za wycieki danych
• Znaczący wzrost kosztów utrzymania infrastruktury
• Konieczność zatrudnienia specjalistów ds. ochrony danych
• Zmniejszenie liczby dostępnych mirrorów na świecie

Jakie są doświadczenia innych państw z weryfikacją wieku w sieci?

Inne kraje również próbowały wdrożyć przepisy o weryfikacji wieku w internecie, ale rzadko uderzały one w oprogramowanie systemowe. Przykład Brukseli pokazuje, że techniczne rozwiązania weryfikacyjne bywają podatne na ataki. Jak opisywałem wcześniej, Bruksela uruchomiła aplikację do weryfikacji wieku, a hakerzy potrzebowali zaledwie 2 minut, by ją złamać.

Wielka Brytania wprowadziła swój Age-Appropriate Design Code w 2021 roku. Przepisy te skupiały się głównie na serwisach społecznościowych i platformach wideo, omijając oprogramowanie open source. Kalifornijski projekt poszedł jednak znacznie dalej, próbując zdefiniować repozytoria kodu jako platformy cyfrowe.

Z kolei Unia Europejska pracuje nad przepisami dotyczącymi weryfikacji wieku, ale dokumenty robocze sugerują wyłączenie dla oprogramowania. Europejscy legislatorzy wydają się lepiej rozumieć specyfikę ekosystemu open source. Szczegóły tych prac można śledzić na oficjalnych stronach Europejskiego Regulatora ds. Cyfrowych.

Często zadawane pytania

Czy ustawa dotyczy tylko Kalifornii, czy całych Stanów Zjednoczonych?

Przepisy obowiązują tylko w Kalifornii, jednak ze względu na wielkość tamtejszego rynku, firmy często dostosowują swoje produkty globalnie. Podobnie jak przy projekcie ustawy zabraniającej wydawcom zabijania gier online, efekty regulacji odczuwają użytkownicy na całym świecie.

Czy dystrybucje Linuksa mogą po prostu zignorować kalifornijskie prawo?

Teoretycznie tak, jeśli nie mają siedziby ani serwerów w Kalifornii. Jednak wiele projektów korzysta z infrastruktury firm z Doliny Krzemowej, takich jak GitHub czy AWS, co rodzi problemy prawne.

Jak szybko społeczność zareagowała na projekt ustawy?

Reakcja była natychmiastowa – programiści zaczęli masowo komentować projekt ustawy w ciągu godzin od jego publikacji, wskazując na techniczne luki w propozycji.

Czy podobne problemy pojawiły się przy innych regulacjach technologicznych?

Tak, podobne problemy pojawiły się przy wszystkich dystrybucjach Linuksa dotkniętych nową podatnością – otwarty dostęp do kodu pozwolił na szybkie załatanie luki, co udowadnia, że ograniczanie dostępu do oprogramowania osłabia bezpieczeństwo.

Podsumowanie

Wnioski z tej sytuacji są następujące:

• Definicja platformy cyfrowej w ustawie była zbyt szeroka i nieprecyzyjna
• Społeczność Linuksa potrafi szybko zmobilizować się w obronie swoich projektów
• Weryfikacja wieku przy oprogramowaniu systemowym jest technicznie niewykonalna
• Poprawka wyłączająca open source to krok w dobrym kierunku, ale wymaga doprecyzowania
• Otwarty dostęp do kodu źródłowego jest kluczowy dla globalnego bezpieczeństwa cyfrowego

Sprawa pokazuje, jak ważna jest edukacja technologiczna decydentów. Bez zrozumienia, jak funkcjonują repozytoria kodu i dystrybucje Linuksa, podobne problemy będą powracać przy każdej nowej regulacji. Śledź prace nad ustawą na stronach legislatury Kalifornii i angażuj się w konsultacje publiczne, gdy tylko pojawi się okazja.