Te midden van de controverse rond wetsvoorstellen voor leeftijdsverificatie die in Californië en Colorado van kracht zullen worden,Open source-besturingssystemen hebben eindelijk een belangrijke uitzondering gekregen in de nieuwste wettekst, maar hybride systemen zoals SteamOS, die ingeklemd zitten tussen open source-systemen en gesloten app-winkels, zullen waarschijnlijk nog steeds leeftijdsverificatie op gebruikers moeten uitvoeren.
Volgens rapporten heeft Carl Richell, CEO van System76, eerder een ontmoeting gehad met meerdere wetgevers om aan te dringen op een vrijstelling die open source besturingssystemen zoals Linux in staat zou stellen om verplichte leeftijdsverificatiemechanismen op systeemniveau niet te integreren. Op zijn initiatief en aanhoudende druk van verwante groepen voegde de onlangs voltooide tekst van Sectie 30 van Colorado Senaatswet 26-051 expliciet een uitsluitingsclausule toe voor het licentiemodel voor open source software.
In de clausule staat dat deze clausule niet van toepassing is op aanbieders van besturingssystemen of applicaties en ontwikkelaars wier software wordt vrijgegeven onder een reeks licentievoorwaarden die ontvangers in staat stellen de software te kopiëren, opnieuw te distribueren en aan te passen en alle gewijzigde versies te installeren zonder platformbeperkingen die door de aanbieder of ontwikkelaar op technisch of contractueel niveau worden opgelegd. Kortom, zolang het besturingssysteem of de applicatie voldoet aan dit soort typische gratis en open source softwarelicenties, en geen enkele platformpartij controle afdwingt over de gewijzigde versies die gebruikers installeren, valt dit niet onder de Colorado Age Verification Act.
De California’s Digital Age Assurance Act (AB 1856) introduceerde in recente herzieningen ook soortgelijke bewoordingen, waardoor ook ruimte werd geboden voor open source besturingssystemen op juridisch niveau. Een recente wijziging van het wetsvoorstel stelt dat onder "besturingssysteemleverancier" niet een persoon of entiteit wordt verstaan die een besturingssysteem of applicatie distribueert onder licentievoorwaarden die ontvangers toestaan de software te kopiëren, opnieuw te distribueren en te wijzigen. Vergeleken met de benadering van Colorado is de Californische wetgeving directer in haar definitie, waarbij gekwalificeerde open source-ontwikkelaars als geheel worden uitgesloten van de wettelijke definitie van 'leveranciers van besturingssystemen', waardoor ze fundamenteel worden uitgesloten van de toepasselijke doelstellingen van de regelgeving.
Voor de meeste Linux-distributies betekent dit dat gebruikers in Californië en Colorado in de toekomst over het algemeen geen leeftijdsinformatie hoeven in te dienen op systeemniveau zoals vereist door de wet bij het gebruik van deze systemen. De verplichting om leeftijdsverificatie af te dwingen kan worden omzeild zolang de distributie de typische open source-licentie behoudt en de vrijheid heeft om deze te wijzigen en te herdistribueren. Dit wordt gezien als een belangrijke mijlpaal voor de open source-gemeenschap, die al lang de nadruk legt op de privacy en transparantie van gebruikers.
De situatie is echter ingewikkelder voor systemen die dubbele licenties of hybride modellen gebruiken, waarvan Valve's SteamOS de meest representatieve is. Vanuit een basisniveau is SteamOS nog steeds gebaseerd op Arch Linux, en de onderliggende systeemcomponenten volgen een open source-licentie en kunnen theoretisch genieten van de bovenstaande vrijstellingen. De Steam-client, die de kern van het systeem vormt, is zelf echter een eigen software-app store. Binnen het bestaande wettelijke kader zal het waarschijnlijk worden beschouwd als een onderwerp dat leeftijdsgegevens moet verzamelen en verwerken.
Dit leidt tot een gelaagde implementatiesituatie: het besturingssysteemniveau (Arch Linux) kan worden vrijgesteld in Californië en Colorado en hoeft niet te worden gedwongen om het leeftijdsverificatiemechanisme te integreren; maar de Steam-client die erop draait, als platform voor inhouddistributie, heeft nog steeds de verplichting om de leeftijd van de gebruiker te verifiëren volgens de lokale regelgeving. Voor eindgebruikers kan dit gelaagde verschil er in de praktijk zo uitzien: het systeem zelf vereist geen bewijs van leeftijd, maar wanneer de Steam-client wordt gebruikt om toegang te krijgen tot de winkel en game-inhoud, is leeftijdsgerelateerde informatie of een vorm van leeftijdsverificatieproces nog steeds vereist.
Wat nog opmerkelijker is, is dat het Californische wetsvoorstel geen vergelijkbare open source-uitzonderingen in het browserveld instelt, wat betekent dat browsers onder open source of vergelijkbare licentiemodellen mogelijk ook moeten communiceren met het leeftijdsauthenticatiesignaal van het besturingssysteem. Het rapport wees erop dat er momenteel geen vrijstellingsverklaring staat voor open source-browsers zoals Firefox en Chromium in de openbare tekst van AB 1856. Deze browsers moeten theoretisch ingebouwde mogelijkheden hebben om "leeftijdsattestsignalen" van het besturingssysteem te verkrijgen om te voldoen aan nalevingsverplichtingen bij toegang tot beperkte inhoud of diensten.
Vanuit een technisch implementatieperspectief kan dit ertoe leiden dat browserfabrikanten in de toekomst een nieuwe reeks interfacestandaarden moeten introduceren voor het opvragen en verwerken van leeftijdsinformatie van besturingssystemen of platforms, en zich moeten aanpassen tussen verschillende rechtsgebieden en implementatiemodi. Voor browsers die gekenmerkt worden door privacybescherming zal dit een uitdaging zijn op zowel technisch als complianceniveau. Ze moeten de gegevensverzameling zoveel mogelijk beperken en tegelijkertijd voldoen aan de strenge eisen van de lokale wetgeving voor de bescherming van minderjarigen.
Over het geheel genomen hebben Californië en Colorado de zorgen van sommige ontwikkelaars en gebruikers over "verplichte mechanismen voor leeftijdsverificatie die de privacy en vrijheid bedreigen" weggenomen door vrijstellingen te verlenen voor open source-software op besturingssysteemniveau. Op de applicatielaag, vooral op het gebied van commerciële contentplatforms en browsers, zijn de relevante handhavingsmechanismen echter nog steeds streng en kunnen deze zich geleidelijk uitbreiden naar universele industriestandaarden. Voor een hybride ecosysteem als SteamOS betekent dit dat het zijn open source-fundament moet behouden en toch moet voldoen aan de verplichtingen voor volledige leeftijdsverificatie op het kerninhoudsplatform om legaal te kunnen blijven opereren in een toekomstige regelgevingsomgeving.