我們最近發表了一篇部落格帖文，就新的 Google 開發者計劃表明我們的反應，以及其如何影響您的自由，以如您所欲的方法使用您所擁有的裝置。該帖文集結了不少來自社群與媒體，以至不同公民社會小組與監管機構的迴響與關注。 藉此帖文，我希望釐清並拓展一些觀點，同時反駁一些我們耳聞目睹的相反言論。 Google 論「側載並非遠去」言談清晰、扼要，而失實 我們的帖文發佈後不久，Google 放送了一輯 Android 開發者圓桌系列，當中他們毫不含糊地直言「側載不到哪兒去」。他們隨後追加一則部落格帖文： 這是否意味側載在 Android 上遠去？絕對不是。側載在 Android 而言是基礎，而且並非遠去。 此陳述並不真確。開發者驗證令的效用乃終結個人得以選擇在其擁有的裝置上執行甚麼軟體的能力。 值得一提，「側載」是個賦造詞。在您的電腦上放置軟體，直接叫做「安裝」，不論該電腦是在您的口袋裡，還是在您的桌面上。或許可以更精確的說「 直接 安裝」，倘需要區分以此老派方法取得軟體，還是經由從中尋租獲利的仲介市集，比如 Google Play 商店或 Apple App Store。 無論如何，鑄造「側載」此一術語，若有所指此過程有其陰森險惡之處，儼如使用者抄旁門左道，規避設計上庇佑您一路平安大吉的保護機制。然而若我們不得不接受「側載」此一術語已登堂入室，成為約定俗成的慣用語，那至少我們應當為其使用一個一致的定義。《維基百科》的概述定義乃： 從並非供應商核准的網上來源傳輸應用程式 按此定義，Google 陳述「側載並非遠去」簡明是 不實 。供應商⸺就 Android 認證裝置而言即 Google⸺將實際上乃在核准該來源。接入方即應用程式開發者必須與 Google 註冊、繳付費用、提供官方身份證、同意不容商議 (又不時變更) 的條款及細則、列舉所有其目前與未來的應用程式識別碼、上載其私密簽署金鑰的證據，然後翹首期盼、屏息以待 Google 的核准。 這對您的權利意味甚麼 汝，曰消費者，當初購買您的 Android 裝置，乃相信 Google 之承諾其為開放的運算平臺，且您可在其上執行任何任您選擇的軟體。然而，明年開始，他們將會不徵求同意下推送一則更新至您的作業系統，不可撤銷地封鎖此權利，任由您聽任其判斷您獲批准信任甚麼軟體。 汝，曰創作者，不再能夠開發某一應用程式並直接與您的親朋好友和社群分享，除非先徵得 Google 的核准。Android 的承諾⸺亦是其一直用來標榜與...

This Week in F-Droid TWIF curated on Friday, 24 Oct 2025, Week 43 F-Droid core Our website runs on a pretty standard software stack, all from Debian as expected. Yet we are not rewriting it every 7 months in a new shiny framework, but we aim for simplicity, maintainability and...

Introduction In our previous article, we explored how Free and Open Source Software (FOSS) projects like F-Droid handle legal requests for user or developer data. In this post, we’re shifting focus to a broader andrapidly growing legal challenge: platform responsibility under laws like the UK’s Online Safety Act (OSA), the...

This Week in F-Droid TWIF curated on Friday, 17 Oct 2025, Week 42 Community News We’ve featured Taler news before, and while reading about possibilities and what it does “in theory” sounds nice, having their apps and infrastructure to actually test and use is what everyone wants. Hence, following last...

This Week in F-Droid TWIF curated on Thursday, 09 Oct 2025, Week 41 Community News The end of tt-rss.org might be a reason to be sad. We have at least two apps that connect to such instances, TTRSS-Reader and Geekttrss, but looks like development continues at github.com/tt-rss. @linsui updates to...

序言 在本專題系列上一篇文章，我們探討過一眾 FOSS 專案如何處理法律下架請求。然而，有另一類別的法律風險存在，且通常更為敏感、更不為可見：政府請求索取使用者或開發者資料。 此等請求可謂形形色色，由正式的法庭命令和傳票，乃至來自執法機關或監管機構含糊其辭的電子郵件。對於架構應用程式、發行二進位編譯檔，又或維護記錄檔的專案而言，則離不開這道問題：您有的資料是甚麼，若有人詢問要求索取時，您又會怎樣做？ 我們在說怎麼樣的請求？ 權力機構的請求可能包括： 與應用程式之開發者或維護者有關的個人識別資訊 存取使用者詮釋資料，例如 IP 記錄檔、下載歷程，又或信用卡資訊 識別與特定內容或行為關聯的人士 (例如備受爭議之應用程式的貢獻者) 要求儲存資料以供日後蒐集 許多 FOSS 專案並不自視為「平臺」，而且根本未必收集或儲存個人資料。職是之故，權力當局的詢問卻未必每每就此干休。 訪談中，英雄所見略同 縱觀我們與一眾 FOSS 非營利機構、法律專家，以及基礎架構維護者的對話，得出若干核心原則： 一、儘量減少您儲存甚麼 幾位受訪者強調，要避免遵循風險的最佳方法，就是打從一開始就沒有相關資料。這包括： 不記錄使用者活動，除非安全性或效能所必要 避免保留貢獻者的 IP 位址、註冊資料，又或裝置識別碼 使用隱私優先的運算分析工具，甚或完全不使用運算分析 不妨這樣想：但凡您儲存一個欄位，即是一個風險。若是交出來乃非您所願的話，乾脆不收集就好。 二、分開基礎架構與個人 多個組織建議侷限個別貢獻者的對外曝露： 使用角色帳戶或化名作面向公眾的貢獻 確保域名註冊與法律聯絡乃由法律實體秉持，而非個人 使用諸如 Open Collective 或 LiberaPay 的財務代管以接受捐款 避免在可被抓取的地方發佈貢獻者身份 額外的預防措施包括，在已知高風險地區作業的貢獻者，即使與其進行個別對話也使用化名，以解釋潛在的風險。 透明與緘默 有別於下架請求，當局索取使用者或貢獻者資料的要求通常伴隨禁言令或隱含的保密要求。在某些國家，我們獲告知，承認收到一則請求本身也是違法。透明化報告因此變得困難。 話雖如此，一些專案仍儘其所能： 發表關於所收到請求之數目及類型的彙整資料 公開表明他們並不保留何種資料 在已發表的政策中包括法律過程指引 (例如：「所有請求必須藉由法庭命令於我們所在司法管轄區內呈交」) F-Droid 現正進行的工夫...

This Week in F-Droid TWIF curated on Friday, 03 Oct 2025, Week 40 F-Droid core Back in August we’ve talked about the core of our infrastructure, the servers CPUs and their age. This issue has two paths to be fixed. One in Google’s court, software side, were we’ve heard progress...

過去 15 年，F-Droid 一直為世界各地的 Android 使用者提供一片安全無虞的樂土，好以尋找並安裝自由且開放原始碼的應用程式。相反，商業模式的應用程式商店⸺Google Play 商店乃其表表者⸺卻是天差地別：它們是間諜軟體與詐騙的溫床，明目張膽推廣覷覦使用者的應用程式，不論是企圖巧取使用者的注意力藉以牟利，或是千方百計挖掘使用者貼身的資訊，甚至不擇手段使奸耍猾、暗度陳倉。 F-Droid 截然不同。它所發行的應用程式，其運作經驗證乃 效力 使用者的利益，而非應用程式發行者的利益。F-Droid 運作的方式簡單明瞭：當開發者建立起應用程式，並將原始碼架構於公眾可及之處，F-Droid 團隊便進行檢閱，加以查驗以確實其完全開放原始碼，且不包含未有記載的反功能，例如廣告或追蹤器。當其通過查驗，F-Droid 建置服務便編譯並封裝應用程式以備發行。套件隨即以 F-Droid 的加密金鑰簽署；倘建置可重現，則改為啟用以原始開發者的私密金鑰發行。這樣能讓使用者信任，任何透過 F-Droid 發行的應用程式，乃源自特定的原始碼建置，且未經篡改。 您可想有個天氣應用程式，乃不傳送您每一步路去某個來歷不明的資料仲介？或是有個行程安排助理，乃不竊取您的貼身詳情去供養某個廣告網路？F-Droid 就是您的靠山。便如陽光是對抗腐敗的最佳消毒劑，開放原始碼乃是最佳的防衛，用以對抗行徑有悖使用者利益的軟體。 Google 打破自由應用程式發行之舉 此一精妙歷練的系統，如今卻岌岌可危，前途堪憂，事緣上月 Google 逕自頒佈，全世界的 Android 開發者俱將必須與 Google 集中註冊。除要求繳付註冊費並同意他們 (不容商議、不時變更) 的條款與細則外，Google 還將要求軟體的著作者上載個人識別文件 (包括身份證)，並就該註冊開發者將要發行的每一應用程式列舉所有獨特的「應用程式識別碼」。 F-Droid 專案不能要求開發者經 Google 註冊其應用程式，與此同時，我們也不能「接管」我們所發行之開放原始碼應用程式的應用程式識別碼，因為這樣做，無異於奪取該等應用程式的獨家發行權。 一旦此頒佈生效，開發者註冊令將終結 F-Droid 專案以及其他自由/開放原始碼應用程式發行來源，不再是如今人所熟知的模樣，世界亦將缺少由數以千計、人人皆可信任並驗證之應用程式匯集而成的目錄所盛載的安全、無虞。F-Droid 芸芸使用者將漂泊流離，無從安裝⸺甚或更新其現有已安裝的⸺應用程式。(究竟確實有多少 F-Droid 使用者？我們無從知曉，因為我們不追蹤使用者，也沒有任何註冊：＜使用者帳戶從缺，乃是設計＞) 子虛烏有的安全 雖則直接安裝⸺亦即「側載」⸺軟體可視為帶有若干固有風險，聲稱集中化應用程式商店是軟體發行唯一的安全選項並不真確。Google Play 本身曾多番架構惡意軟體，可見企業把關並不擔保使用者保障。反觀 F-Droid 提供一個值得信賴、公開透明的另類安全途徑：每一個應用程式皆為自由且開放原始碼，程式碼任誰皆可稽核，建置過程與記錄檔一律公開，而且可重現建置確保發佈內容與原始碼切實相符。此公開透明、承擔透澈相較封閉的平臺提供一個...