这个法案和 PR 从很多方面都有问题,那我就来说说我反对具体的理由
首先我就不赞同 AB-1043 这个法案把年龄验证这个功能做到 OS 层面上去:
1. 在加州地区外的系统也会被强行塞入监管功能;为了代码的维护性和分发开销不可能给加州单独维护一份代码/编译一份系统,那所有用这个 OS/发行版的系统都会内嵌这部分功能和代码,但我就是不希望我的 OS 因为一个加州的破法律也被强行塞监管功能,服务方验证就没有这个问题
2. 实现这些功能就是给其他国家/地区实施类似的法案铺路;现在所有 OS 和服务提供商都有了这套基础设施,反正所有的东西都在那了,不用白不用,「技术上不好实现/开销太大」也就不能作为反对理由了,是在为全球的自由倒退在技术上做铺垫
3. 在 OS 上填生日根本解决不了任何已有的问题,你在网站上可以点「我已满十八岁」,在 OS 里就可以填假信息,意义何在?
4. PII 存在系统里就是更高的风险;之前你提交给网站的信息是仅仅提供给那个网站的,放在 OS 里比如 userdb 所有程序都能读,说到底把 PII 存在系统里就是个不好的设计,如果照这个方向去设计系统那以后中病毒能直接把你开盒,所以我认为这些 PII 就不应该存在系统里,该在要用的时候让用户在 sandbox 里填,且只发给需要它的服务方,那不就是现在网页上填的模式吗
5. 将合规成本转嫁给 FOSS 开发者不合理;之前的合规压力在提供服务的公司身上,他们有自己的收入来支撑他们做合规,现在这个方向就是把合规成本给开发者了,那我做一个 display manager 还得合 California 的规?所以我认为这个东西能降低服务商合规成本这个说法是不合理的,放在 Linux 这就是把这些成本转嫁给不赚钱的开发者身上了
6. 不同的地区有不同的合规要求,如果要求在 OS 上做合规那必然有一些系统因为成本和理念问题直接拒绝为该地区提供服务,比如这些: https://github.com/BryanLunduke/DoesItAgeVerify ,这对技术发展也不是什么好事
至于 systemd 这个 PR 还有很多额外问题,比如:
1. systemd PR 加的是准确的生日日期,不是 AB-1043 要求的年龄范围,收集的数据比法案要求的更多
2. 为什么 systemd 的维护者在有如此多反对的情况下(看点踩的数量就知道了)可以直接 merge 这个会直接影响很多发行版的 PR 而且找理由拒绝讨论?我会怀疑 systemd 这个项目的治理有问题,按道理来说这种影响甚广的 PR 不应该先经过商议并且获得社区共识吗?这是否是维护者在用自身的权利推进个人 agenda?
暂且想到这么多,我感觉我要花时间仔细想还能找到理由
首先我就不赞同 AB-1043 这个法案把年龄验证这个功能做到 OS 层面上去:
1. 在加州地区外的系统也会被强行塞入监管功能;为了代码的维护性和分发开销不可能给加州单独维护一份代码/编译一份系统,那所有用这个 OS/发行版的系统都会内嵌这部分功能和代码,但我就是不希望我的 OS 因为一个加州的破法律也被强行塞监管功能,服务方验证就没有这个问题
2. 实现这些功能就是给其他国家/地区实施类似的法案铺路;现在所有 OS 和服务提供商都有了这套基础设施,反正所有的东西都在那了,不用白不用,「技术上不好实现/开销太大」也就不能作为反对理由了,是在为全球的自由倒退在技术上做铺垫
3. 在 OS 上填生日根本解决不了任何已有的问题,你在网站上可以点「我已满十八岁」,在 OS 里就可以填假信息,意义何在?
4. PII 存在系统里就是更高的风险;之前你提交给网站的信息是仅仅提供给那个网站的,放在 OS 里比如 userdb 所有程序都能读,说到底把 PII 存在系统里就是个不好的设计,如果照这个方向去设计系统那以后中病毒能直接把你开盒,所以我认为这些 PII 就不应该存在系统里,该在要用的时候让用户在 sandbox 里填,且只发给需要它的服务方,那不就是现在网页上填的模式吗
5. 将合规成本转嫁给 FOSS 开发者不合理;之前的合规压力在提供服务的公司身上,他们有自己的收入来支撑他们做合规,现在这个方向就是把合规成本给开发者了,那我做一个 display manager 还得合 California 的规?所以我认为这个东西能降低服务商合规成本这个说法是不合理的,放在 Linux 这就是把这些成本转嫁给不赚钱的开发者身上了
6. 不同的地区有不同的合规要求,如果要求在 OS 上做合规那必然有一些系统因为成本和理念问题直接拒绝为该地区提供服务,比如这些: https://github.com/BryanLunduke/DoesItAgeVerify ,这对技术发展也不是什么好事
至于 systemd 这个 PR 还有很多额外问题,比如:
1. systemd PR 加的是准确的生日日期,不是 AB-1043 要求的年龄范围,收集的数据比法案要求的更多
2. 为什么 systemd 的维护者在有如此多反对的情况下(看点踩的数量就知道了)可以直接 merge 这个会直接影响很多发行版的 PR 而且找理由拒绝讨论?我会怀疑 systemd 这个项目的治理有问题,按道理来说这种影响甚广的 PR 不应该先经过商议并且获得社区共识吗?这是否是维护者在用自身的权利推进个人 agenda?
暂且想到这么多,我感觉我要花时间仔细想还能找到理由
