欧洲政府正在推出数字身份钱包，供公民用来访问服务和在线验证年龄。根据《跟随金钱》和《安卓权威》的报道，此事存在一个严重问题：这些钱包依赖于谷歌和苹果的安全服务。这些服务被称为谷歌Play完整性API和苹果的管理设备验证。这些安全服务（称为“远程验证”）用于确保钱包应用在未被篡改的硬件上运行。本文解释了为什么欧盟钱包案例是一个更大问题的一部分：通过将这些安全服务嵌入公共基础设施，欧洲冒着让社会依赖私营公司的风险，同时为其公司利益服务。问题在于：谷歌的Play完整性API不仅仅是一个安全特性：它在加强谷歌对Android生态系统的控制。谷歌的Play完整性API是一个说明性的案例，展示了大型科技平台公司如何获得权力。该API是谷歌赠送给开发者的免费软件，以帮助他们开发应用。它允许开发者检查一个应用是否在“真正认证的Android设备”上运行，以测试移动设备的完整性。这可以帮助开发者减少机器人滥用、银行应用欺诈或游戏应用作弊。然而，在这样做的过程中，它还检查设备是否运行谷歌许可的Android版本，并将未经许可的替代方案视为潜在的安全风险。当谷歌验证一个应用是否被篡改时，它将谷歌Play商店作为真实来源，检查应用是否被修改以及是否通过Play商店安装。因此，谷歌的安全服务旨在排除未获得谷歌许可的操作系统，鼓励通过谷歌Play商店进行安装，并要求用户使用谷歌账户登录。这明显违反了数字市场法（DMA）。我们的确有选择。谷歌Play完整性API的一个更开放的替代方案存在，但却被忽视：Android的硬件验证API。它提供基于硬件的安全检查，但不强制执行谷歌的生态系统政策。政府正在巩固他们声称要反对的垄断。欧盟经常表示希望打破大型科技垄断。然而，当欧洲成员国将谷歌Play完整性API嵌入他们的数字身份证钱包架构时，却面临加强谷歌生态系统的风险。例如，荷兰和意大利的数字钱包开发者已实施了Play完整性。因此，使用去谷歌化操作系统（如e/OS和GrapheneOS）的用户可能会被排除在这些服务之外。通过这种方式，政府实际上成为了私营公司平台政策的执行者。这与欧洲建立数字公共基础设施的雄心背道而驰，这种基础设施基于开放、包容和技术主权等公共价值而建立。它还与支撑欧盟身份证钱包的法规相悖，该法规将互操作性视为关键目标。希望拥有不预装谷歌软件、谷歌跟踪器以及内置大型语言模型的操作系统自主权的用户，若想使用钱包，就被迫使用谷歌软件。在这里，他们将没有选择权。身份证钱包是访问关键公共服务的公共基础设施。它们应该在不同的设备和操作系统之间保持互操作性，不受供应商锁定的影响。身份证钱包不仅仅是任何类型的软件——它们是访问政府文档和管理公共服务登录的关键手段。因此，它们通常被视为数字公共基础设施的关键构建块。它们是一项至关重要的服务，必须对任何人开放——不依赖于谷歌和苹果。因为其结果是，如果用户不能使用诸如身份钱包等关键应用登录政府服务，则替代的去谷歌化操作系统将变得不那么吸引人。Waag在这一主题上的研究结果支持了这一点。在欧盟资助的Mobifree项目中，我们在过去两年中研究了去谷歌化移动软件生态系统对于不同终端用户的价值。我们120名测试者中许多人的一个关键需求是与关键服务应用（如支付和政府身份识别应用）的兼容。因此，政府开发者在优化互操作性时必须考虑更深层的堆栈水平。由于Play完整性API明显违反了数字市场法，它也与推进欧洲主权的身份证钱包的目标相悖。欧洲成员国缺乏统一的实施钱包的方式。问题的一部分在于钱包设计过程的治理。欧盟提供了钱包架构的一般技术框架，即架构参考框架。