Debian 数据保护团队陷无人值守危机

在开源社区中，Debian 一直以其稳定、保守和“长期可维护”的特点著称。

然而，在 2026 年伊始，这个拥有 30 多年历史的 Linux 发行版，却悄然暴露出了一项令人担忧的现实——负责 GDPR 与隐私合规的数据保护团队，已经彻底无人值守。

没有交接、没有替补、没有候选人，整个 Debian 项目，目前连一个正式的数据保护负责人都没有。

一个“看似冷门”，却越来越重要的团队

Debian 的 Data Protection Team（数据保护团队）成立于 2018 年，背景并不复杂：欧盟《通用数据保护条例》（GDPR）正式落地，全球所有涉及个人数据处理的组织，哪怕是非营利、志愿者驱动的开源项目，都无法再“装作没看见”。

这个团队的职责，并不在于编写代码，而是处理一些“没人爱干、但必须有人干”的事情，例如：

● 对外回应：Debian 持有哪些用户数据？如何存储？是否合规？

● 对内咨询：邮件列表、Bug Tracker、CI 日志、镜像站点等是否涉及个人数据？

● 起草并维护 Debian 官方隐私政策；

● 接收并转交来自个人用户的数据访问、删除等 GDPR 请求。

在过去几年里，这个团队一直低调运作，很少被普通开发者注意到。

直到它突然消失了。

三名成员同时退出，团队授权被撤销

几天前，Debian 项目负责人（DPL）Andreas Tille 向社区发出了一封罕见的“紧急招募信”，直言不讳地指出：数据保护团队的三名被授权成员已经全部退出。

他们并非因事故、纠纷或合规危机离任，而是因为长期精力有限、推进空间不足，最终选择集体卸任。

随着这三人退出，原有的正式授权也被同步撤销。结果，现在 Debian 在法律和合规层面，突然“没有专人负责 GDPR 了”。

工作量不大，但门槛并不低

其实从工作强度来看，这个岗位并不“吓人”。根据 DPL 披露的数据，2025 年全年，数据保护团队只处理了 4 个正式请求。

除了被动处理请求，志愿者还可以选择性参与一些“长期优化”工作。但问题在于：这个岗位对“信任”的要求极高。Andreas Tille 在招募说明中特别强调了这一点：

“这是一个高度依赖信任的角色，因此需要在 Debian 社区内有稳定的履历和声誉。而且，只有 Debian Developer 才能被正式授权担任该职位。”

开源项目，也躲不开 GDPR 的“现实世界”

可能在不少开发者眼中，GDPR 仍然是“企业才需要头疼的事”。但 Debian 的现状证明：开源项目同样无法置身事外。

更现实的是：随着全球对隐私保护的监管趋严，“没人负责”本身，就已经是一种风险。

希望在不久的将来，能有新的 Debian Developer 站出来，补上这个被忽视的关键岗位。