欧洲数字身份钱包，别把守门权交给 Google 和 Apple

欧洲数字身份钱包本来是个很正常的公共项目：把身份证明、年龄验证、公共服务登录放进手机里。方便，省事，也更符合数字政府的方向。

反常点在后半句：荷兰、意大利等实现采用了 Google Play Integrity；Apple 设备上则对应 Apple 的设备证明服务。公共身份基础设施要判断一台手机是否可信，结果绕不开 Google 和 Apple。

这件事最该盯住的不是“数字身份证会不会来”，而是谁有资格定义你的设备能不能进公共服务。

数字钱包没错，证明链路开始变味

数字身份钱包的核心功能不复杂：政府发凭证，用户用手机保存和出示。它可能用于登录公共服务、证明年龄、管理证件。

真正敏感的是远程证明。服务器要确认：这台设备、这个 App、这个运行环境，是否足够可信。

问题出在一些实现把这一步交给平台服务。

Play Integrity 不能简单骂成监控工具。它确实有现实用途：反欺诈、防篡改、防作弊。银行、支付、游戏都需要这类能力。

但公共身份钱包不是普通 App。游戏误杀一个设备，用户最多换游戏；政府钱包误杀一类设备，影响的是公共服务可及性。

这条线不能画得太随便。

被卡住的不是多数人，而是选择权

普通 iPhone 用户、原厂 Android 用户，大概率短期无感。钱包能装，服务能用，问题就像不存在。

但 GrapheneOS、/e/OS 这类去 Google 化 Android 用户，处境完全不同。它们的价值就在于减少 Google 组件、追踪链路和平台绑定。

如果政府钱包把 Play Integrity 当门槛，这些系统可能被判为“不够可信”。不是因为用户身份有问题，也不是因为政府凭证有问题，而是设备没有进入 Google 的认证边界。

这对两类人最具体。

一类是高级用户和隐私用户。他们原本可以选择更少平台依赖的系统。现在如果必须接入政府钱包，就要在隐私选择和公共服务之间做取舍。最现实的动作可能是观望、保留一台原厂系统手机，或者暂时不迁移去 Google 化系统。

另一类是开发者和政府采购方。钱包团队如果直接接入 Play Integrity，集成成本低，安全解释也好写。但后续要面对兼容性争议、替代系统投诉，以及“为什么公共服务依赖美国平台认证”的政治问题。采购方若足够谨慎，至少应要求供应商说明：是否支持非 Google 证明路线，失败时有没有人工或替代通道，审计材料能否公开到足够程度。

这不是给小众系统争特权。公共服务的底线，是不能把一家公司生态内的“合规”，偷换成公民参与数字生活的前提。

欧洲喊技术主权，执行层却贪近路

我不反对数字身份证。公共服务数字化也不是原罪。

我更在意的是，欧洲一边谈数字主权，一边在关键入口上借用 Google 和 Apple 的现成能力。嘴上讲自主，手上用外包的钥匙。

这很符合平台扩张的老剧本。

“天下熙熙，皆为利来。”Google 提供好用的安全 API，开发者少踩坑，政府项目少延期。平台得到的回报也不一定写在合同里：它的认证体系、商店规则、账号生态，会顺手长成事实标准。

铁路时代，轨距决定货物流向；移动互联网时代，设备可信标准决定应用能不能进入关键场景。两者不完全一样，但权力结构相近：入口越基础，规则越值钱。

欧盟并非完全没有意识到风险。它的身份钱包法规强调互操作，架构参考框架也没有强制成员国使用 Google 证明。但“推荐”两个字放进公共项目里，很容易变成默认选项。

荷兰、意大利选择 Google 路线。瑞士因为数据保护、主权和选择自由顾虑，转向 Android 硬件证明机制。这个对比很关键：选择存在，差别在于谁愿意为公共可控多付集成成本。

Apple 也不能被放过。只是 Android 替代系统更多，Google Play Integrity 对这些系统的挤压更直接。iPhone 本来更封闭，政府钱包依赖 Apple 设备证明，同样会让公共服务更深嵌进单一厂商设备逻辑。

接下来最该观察三件事。

安全当然要有。政府钱包不能随便信任一台被篡改的设备。

但安全标准应当可审计、可替代、可互操作。它可以要求硬件可信执行环境，可以要求签名链，可以要求风险分级。它不该默认把“可信”写进 Google Play、Apple 设备证明和账号生态里。

数字身份钱包会越来越像社会的门禁卡。门禁卡可以数字化，门锁规则不能交给门外的平台公司私下改。

这才是欧洲这次最尴尬的地方：不是技术做不到，而是执行层太容易选择省事的路。