当政府App比你拉黑的App还爱“看你”：一场关于公共服务与数字监控的美国样本

一边禁别人，一边把追踪器塞进自己口袋

科技新闻里最有戏剧性的时刻，往往不是新产品发布，而是“双标”被抓个正着。最近这篇来自独立作者 Sam Bent 的调查，盯上的不是哪家互联网巨头，而是美国联邦政府自己推出的 Android 应用。结果相当讽刺：白宫官方 App 一边打着“让你更接近政府”的旗号，一边索要精确定位、指纹权限、存储修改、开机自启、悬浮窗、Wi-Fi 连接信息等一长串权限；更离谱的是，应用中还被发现嵌入了多个追踪器，其中包括华为移动服务相关组件。

这件事之所以有传播力，不只是因为“华为”这个名字在美国政治语境里过于敏感，更因为它戳中了一个更大的问题：政府经常以国家安全、数据安全为理由约束企业和个人，却没有把同样严格的尺子用在自己身上。你当然可以说，某些权限是为了推送、身份验证或者功能完整性，但问题在于，这类 App 提供的很多内容——新闻稿、直播、政策更新——本来用网页和 RSS 就能完成。既然一页网页能做完的事，为何一定要做成一个想看你位置、读你设备状态的 App？

如果这是企业产品，大家大概会很快给它贴上“过度采集”“隐私越界”的标签。可一旦主角变成政府部门，这种越界却常常被包装成“服务升级”“安全需要”或者“数字化转型”。技术语言有时像一层柔软的布，把本该尖锐的问题裹平了：用户究竟是在获取公共信息，还是在被动加入一个官方数据采集体系？

从白宫到FBI：公共服务App，为什么越来越像广告软件

调查中最让人皱眉的，并不只有白宫 App。FBI 的 myFBI Dashboard 被指包含 4 个追踪器，其中甚至有 Google AdMob——也就是典型的广告投放 SDK。这个画面多少有点黑色幽默：一个联邦执法机构的官方 App，一边读取手机状态、查看设备账户信息，一边还内置广告服务能力。你很难不问一句：这是在做公民服务，还是在沿用移动互联网时代那套“先埋点、后分析、能接广告就接广告”的开发惯性？

FEMA 的情况也同样耐人寻味。一个主要用于天气预警、灾害信息和避难所查询的应用，居然申请了 28 项权限。你可以理解灾害 App 需要定位，好把附近避难点告诉你；但当权限膨胀到这个地步，怀疑就很合理了。很多时候，问题不在于某项权限绝对不能要，而在于它和核心功能是否匹配。做新闻推送的 App，要不要精确定位？看天气警报的 App，为什么要如此深入设备？

这恰恰是今天移动互联网里最被忽视的现实：App 生态已经把“多拿点权限”训练成了一种肌肉记忆。开发者用了现成框架，接了第三方分析工具，顺手把一串默认权限打包进去；法务再补一份写得像天书的隐私政策，产品就上线了。商业公司这么干，我们已经麻木了。现在连政府也在复刻这套路径，问题就不再只是“体验不好”那么简单，而是公共权力和数据能力开始深度绑定。

真正该害怕的，不是一个App，而是一整条数据流水线

如果说前面的内容还停留在“权限过多”和“追踪器不体面”，那这篇调查更重的一锤，是把 App、执法数据库和数据经纪商放进了同一个框架里看。作者提到，美国国土安全部体系下的 CBP、ICE 等机构，已经把移动端采集、面部识别、跨机构共享和长期留存，拼成了一张越来越紧密的网。

比如 CBP 的多个应用与边境身份核验、照片采集、生物特征比对相连，相关面部数据可能被保留多年，甚至更久；ICE 使用的 SmartLINK，则被广泛用于移民电子监管，收集位置、面部图像、声音特征，甚至医疗相关信息。再往外看，还有 Venntel 这样的数据经纪商，通过数以万计普通 App 中嵌入的 SDK，每天收集海量定位点，再出售给政府机构。也就是说，就算你不装政府 App，也未必逃得开“政府看见你”这件事——因为它还可以直接买。

这也是为什么这条新闻不该只被理解成“某些政府 App 做得很烂”。它真正触碰的是现代数字治理最敏感的一条边界：政府到底应该被允许从哪里拿数据、拿到什么程度、保存多久、与谁共享、由谁监督？2018 年美国最高法院在 Carpenter v. United States 一案中要求获取手机位置历史应有搜查令，本来是给数字隐私划了一条线。但现实很快长出了“旁门左道”：既然直接调取有门槛，那就从数据经纪商那里买。

技术上这不复杂，法律上却很狡猾。它像绕过正门，从侧门把同样的数据搬了进来。于是，公众对“是否被监控”的感知越来越弱，因为监控不再是一个穿制服的人来敲门，而是一连串 SDK、接口、外包合同和“提升服务效率”的项目书。

为什么是现在？因为政府软件正在进入“平台化监控”阶段

这件事放在 2026 年看，格外有时代意味。过去十年，互联网公司完成了一轮关于用户数据的“工业化开采”：埋点、画像、推荐、广告归因，流程极其成熟。如今很多政府数字化项目，表面上是电子政务、在线服务、身份验证，底层却越来越借用了消费互联网的工具链和逻辑。说得直白点，政府正在学习大厂怎么理解你、识别你、追踪你。

这会带来一个新风险：公共服务产品不再只是工具，而是通往更大治理系统的入口。一个报税 App、一个灾害预警 App、一个边境通关 App，本来各有其独立边界；但当它们共享身份体系、共享分析平台、共享外包供应商，边界就会融化。用户看到的是不同图标，后台看到的却可能是同一类人、同一部设备、同一条行动轨迹。

更微妙的是，很多人对企业收集数据会警惕，对政府 App 反而容易放松，因为它披着“官方”二字。可在数字世界里，“官方”不天然等于“克制”。恰恰相反，政府掌握执法权、处罚权、身份认定权，一旦数据收集缺乏约束，后果往往比商业广告定向更重。你被电商多推几次鞋，不舒服；你因为一条错误的人脸比对或一条定位记录被执法系统盯上，那就不是“个性化推荐”的级别了。

从这个角度看，Sam Bent 给这类现象起的“Fedware”虽然带点情绪化，但并非没有道理。它像是在说：我们已经习惯把来历不明、权限夸张的软件叫流氓软件，可当这种设计思路出现在公共机构产品中，社会却缺少一个足够有力的词去描述它。

公共服务App该不该存在？答案不是“不做”，而是“少拿、明说、别串联”

我并不认为所有政府 App 都没有存在价值。推送灾害预警、办理证件、查看税务进度、获取出行信息，移动端确实能比传统网页更方便，通知能力也更强。问题从来不是“能不能做 App”，而是“是否以最小必要原则来做”。如果一款 App 的核心服务可以在网页上完成，那么它就应该优先提供完整可替代的网页版本；如果必须调用敏感权限，就该把用途、范围、保存时间写得像产品说明书一样清楚，而不是像律师函。

更关键的是，政府软件不能沿用商业互联网那种默认一切可追踪、默认一切可共享的思路。公共机构理应遵守比企业更高的透明度标准：有哪些第三方 SDK，为什么接入；数据是否出境，是否与其他部门共享；卸载 App 后是否删除标识符；执法、服务、统计三类数据是否严格隔离；是否允许用户选择只用网页、不交出额外权限。今天很多争议，本质上不是技术做不到，而是制度懒得做。

这类新闻还有一个容易被忽略的启发：普通用户今后评估一款 App，不能只看它是不是“大厂”“官方”“蓝V”。真正该看的，是权限、追踪器、隐私政策和功能是否匹配。网页能看的内容就尽量别下 App，能用系统浏览器完成的流程就别轻易交出通讯录、麦克风和后台定位。听起来有点老派，但在今天，这反而是一种数字自卫。

说到底，技术不是问题，失衡的权力才是问题。一个天气 App 想知道你在哪儿，也许是为了提醒暴雨；一个执法体系想知道你在哪儿，含义就完全不同了。两者如果共用同一条数据管道，那才是真正让人背后一凉的地方。