德國實施 eIDAS 規範將要求使用 Apple 或 Google 帳戶方可運作

背景

德國聯邦內政部近期釋出的 eIDAS（電子身分識別、驗證及信任服務）架構文件顯示，德國國家數位錢包（EUDI Wallet）將採用行動裝置漏洞管理（MDVM）機制。這項設計旨在確保數位身分在行動裝置上的安全性，透過收集裝置信號來驗證硬體與作業系統的完整性，以符合歐盟對「高安全等級」身分驗證的要求。

社群觀點

Hacker News 的討論核心圍繞在數位主權與技術依賴的權衡。許多開發者指出，雖然文件並未直接寫明「必須登入帳號」，但其採用的技術手段如 Android 的 Play Integrity 與 iOS 的 App Attest，在實務上幾乎等同於強制要求使用者必須擁有 Google 或 Apple 帳號。反對者認為，這意味著德國公民的身分驗證權限被交託給了外國私人企業，若這些科技巨頭決定封鎖特定帳號或裝置，公民可能因此喪失存取政府服務的能力。這種對外國基礎設施的深度依賴，被視為對歐洲數位自主權的諷刺。

部分技術專家則從實作層面進行辯論。有觀點認為，這類硬體認證機制會將使用自定義 ROM（如 GrapheneOS）或側載應用程式的進階使用者排除在外，因為這些裝置無法通過 Google 的官方認證信號。對於追求隱私與系統掌控權的族群而言，這無異於一種技術性的「數位放逐」。然而，也有支持者緩頰表示，政府是為了在行動裝置這種充滿漏洞的環境中提供「高安全等級」的便利方案，對於不願使用智慧型手機的民眾，通常仍有實體晶片身分證或 Linux 讀卡機等替代路徑，並非完全鎖死在手機生態系中。

此外，討論也延伸到了法律與人權層面。有留言者擔憂，若身分驗證必須透過應用程式商店下載，那麼被制裁或被「去個人化」的政治敏感人物，可能會因為無法取得 Google 帳號而徹底失去參與現代社會運作的權利。這種將身分識別與商業平台掛鉤的設計，被批評為缺乏對極端情況的考量。儘管有開發者澄清 App Attest 在技術上不一定需要登入帳號，但多數人仍達成共識：只要驗證權標（Attestation）的發放權掌握在少數幾家公司手中，數位身分的獨立性就始終存在隱憂。

延伸閱讀

• 德國 EUDI 錢包開發專案 GitLab：包含架構文件與開發進度，並開放社群回饋。
• Mastodon 上的技術細節討論：由開發者針對 MDVM 機制與 Google 帳號依賴性進行的深度解析。
• eIDAS 維基百科頁面：了解歐盟電子身分法規的背景與目標。