Powszechnie wiadomo, że kontrola chatów stanowi zagrożenie dla praw podstawowych, w tym naszej prywatności, ale nie dyskutowano jeszcze o tym, jakie zagrożenie niesie ona dla otwartego oprogramowania.

Trwa obecnie gorąca dyskusja nad planami Komisji Europejskiej i - w Niemczech - tamtejszego Ministerstwa Spraw Wewnętrznych dotyczącymi wprowadzenia masowej inwigilacji obywateli bez wcześniejszego ostrzeżenia. Debata publiczna skupia się przede wszystkim na skutkach tzw. “kontroli czatu” dla szyfrowanej komunikacji, ochrony danych i prywatności nas wszystkich.

Nie wspomina się natomiast o negatywnych konsekwencjach takiej inwigilacji dla programistów czy dostawców aplikacji. Konsekwencje te byłyby odczuwalne zwłaszcza w środowisku open source. W przeciwieństwie do DMA, które reguluje głównie sklepy z aplikacjami należące do wielkich koncernów, nowe rozporządzenie Komisji UE dotyczyć będzie wszystkich sklepów z aplikacjami, niezależnie od ich wielkości i zasobów finansowych. Widać to na przykładzie planowanej weryfikacji wieku - według planów komisji sklepy z aplikacjami muszą ocenić ryzyko kontaktu z dziećmi oddzielnie dla każdej aplikacji. Dostawcy oprogramowania także mają pomagać w tej ocenie, o ile przygotowali własną ocenę ryzyka. W praktyce dzieci poniżej pewnego wieku mają mieć zakaz korzystania z niektórych aplikacji - co w praktyce oznacza wymóg weryfikacji wieku i może prowadzić do żądania danych biometrycznych, których gromadzenie i przetwarzanie jest zabronione.

Ale problem sięga głębiej - od tej pory sklepy z aplikacjami będą musiały poddawać każdą oferowaną przez siebie aplikację wcześniejszym testom. Także te, które do tej pory umożliwiały anonimowe pobieranie oprogramowania, musiałyby zaimplementować odpowiednie uwierzytelnienia uniemożliwiające dzieciom pobranie aplikacji.

Dobrze widać to na przykładzie dystrybucji Arch Linux (ale problem dotyczy także innych dystrybucji Linuxa), która z zasady stara się gromadzić jak najmniej danych o swoich użytkownikach. Zarówno samą dystrybucję, jak i pakiety można pobrać z dużej liczby mirrorów. Same mirrory natomiast podzielone są na tiery: Tier 0 zawiera pakiety oprogramowania stworzone bezpośrednio przez zespół Archa, Tier 1 to kopie itd. Taka decentralizacja uniemożliwia deweloperom gromadzenie danych o użytkownikach w jakiejś centralnej lokalizacji. W przypadku pakietów oprogramowania sprawa wygląda podobnie. Wprowadzenie weryfikacji wieku wymagałoby całkowitej centralizacji struktury. A jednocześnie, w związku z tym, że deweloperzy określają źródła wszystkich pakietów oprogramowania (repozytoria Git), każdy użytkownik i tak może pobrać kod niezależnie i samodzielnie “zmontować” aplikację. To właśnie możliwość niezależnej kompilacji programów jest głównym warunkiem przejrzystości otwartego oprogramowania - teraz, przez konieczność weryfikacji wieku i dostawcy, może być zagrożona. Wreszcie, co nie mniej ważne, scentralizowane gromadzenie danych o użytkownikach wymagałoby znacznie większego wysiłku w zakresie środków ochrony danych. Ale sama społeczność open-source nie jest w stanie tego zapewnić - powiedział netzpolitik.org Levente Polyák, szef projektu Arch Linux i jego zespołu ds. bezpieczeństwa. Podkreślił, że konieczna byłaby późniejsza analiza ok 13700 obecnie funkcjonujących pakietów oprogramowania oraz każdego kolejnego pakietu w przyszłości, co stanowi ogromny dodatkowy wysiłek dla programistów-wolontariuszy