近日,谷歌向全球安卓开发者发布了一项极具争议的新规:所有开发 Android 应用的人,无论是否在 Google Play 上架,都必须向谷歌注册、缴纳费用,并提交政府签发的身份证明文件。
这项政策尚未完全公开落地,但其潜在影响已引发开源社区强烈震动。其中受影响最直接、最深远的,正是以 F-Droid 为代表的独立应用分发平台。
如果该政策最终实施,F-Droid 可能将无法继续存在——这不仅关乎一个应用商店的命运,更触及安卓系统自诞生以来的核心承诺:开放。(来源)
新规三大要求,直指开发者身份控制
根据目前披露的信息,谷歌的新开发者政策包含以下关键点:
- 强制注册
所有安卓应用开发者(包括仅发布于第三方平台者)必须在 Google Developer Console 中注册。 - 支付年费
注册需缴纳不可退还的费用(现行为 $25,未来可能调整),形成经济门槛。 - 提交身份证明
开发者须上传政府签发的身份证件(如护照或国民身份证),且条款不可协商。
这些要求本身看似“合理”,但问题在于:它们被设定为全平台适用的硬性前提,即便你从不使用 Google Play。
这意味着:只要你在安卓生态中发布应用,就必须接受谷歌的审核与身份绑定。
F-Droid 的困境:无法遵守,也无法妥协
F-Droid 是目前全球最大、最受信任的自由开源软件(FOSS)应用商店之一。它专注于分发完全开源、无追踪、无广告的应用程序,服务对象包括隐私倡导者、技术爱好者和全球范围内的公共项目。
然而,面对谷歌的新规,F-Droid 明确表示:我们无法遵守,也不应被迫遵守。
原因如下:
❌ 不能强制开发者向谷歌注册
F-Droid 尊重开发者自主权。许多贡献者来自审查风险高的地区,或出于安全考虑选择匿名发布。强制身份登记违背其基本原则。
❌ 无法移交应用标识符控制权
谷歌新方案拟将应用包名(package name)与注册开发者账户绑定,防止“冒名顶替”。但这一机制意味着:只有经谷歌认证的账户才能更新特定应用。
对于 F-Droid 来说,这等于剥夺了它作为第三方商店对应用更新的分发能力——因为你不再是“合法”维护者。
“如果我们不能构建并分发更新,用户就无法获得安全补丁。”
—— F-Droid 团队声明
❌ 经济门槛排除非营利与志愿项目
$25 虽然不多,但对于志愿者驱动的开源项目而言仍是障碍。更重要的是,这种模式将软件开发逐步导向“商业化必需”,挤压非营利创新空间。
安全性是理由?还是借口?
谷歌宣称此举是为了“提升平台安全性,打击恶意软件”。但 F-Droid 提出质疑:
如果目标是保护用户,为什么不在已有机制上加强,而非要全面收紧控制?
事实上,谷歌早已拥有跨商店防护能力:
- Google Play Protect 持续扫描设备上所有应用(无论来源)
- 可检测已知恶意行为并警告用户
- 支持远程移除高危应用
与此同时,F-Droid 自身也建立了一套比多数商业商店更严格的审核流程:
| 安全措施 | 实现方式 |
|---|---|
| 🔍 全部开源 | 所有上架应用代码必须公开可审计 |
| 🧪 可复现构建(Reproducible Builds) | 多方验证 APK 是否由声称的源码生成 |
| 🛠️ 中心化构建 | F-Droid 服务器从源码重新编译每个版本,杜绝二进制后门 |
| 📜 构建日志公开 | 每次构建过程完整记录并对外发布 |
这套体系多年来有效阻止了供应链攻击和隐蔽植入,证明无需集中身份注册也能保障安全。
真正的问题:垄断控制 vs. 生态多样性
F-Droid 认为,谷歌此举的真实动机并非安全,而是借“安全”之名,进一步巩固其对安卓生态的垄断性控制。
通过将三个关键资源——开发者身份、应用标识符、发布权限——全部收归己有,谷歌正在构建一个事实上的“许可制度”:
想在安卓上发布应用?先成为我们的注册用户。
这种做法与欧盟《数字市场法案》(DMA)所倡导的“互操作性”与“公平竞争”原则背道而驰。DMA 明确要求大型平台不得阻碍侧载(sideloading)和第三方应用商店运营。
若谷歌强行推进此政策,极有可能构成对 DMA 的违反。
呼吁行动:保护替代生态的生存空间
面对这一威胁,F-Droid 已发起公开呼吁:
各国监管机构、反垄断部门、数字权利组织,请介入审查这项政策!
他们敦促决策者明确回应以下问题:
- 谷歌是否有权要求非其平台使用者接受其规则?
- 强制身份注册是否真的提升了整体安全性?
- 第三方商店是否应保有独立的应用更新权?
同时,F-Droid 正号召用户和开发者采取实际行动:
- 向本国政治代表写信表达关切
- 签署支持请愿书
- 联系欧盟委员会 DMA 执行团队反馈意见
评论