隐私是架构出来的，不是承诺出来的

承诺模式

大多数"以隐私为先"的产品都围绕一个承诺组织起来：我们收集你的数据，但我们承诺会小心处理。有时候承诺是真诚的，有时候它能熬过 CEO 换届，有时候它扛不住一张传票。承诺天生只能跟做出承诺的那家公司一样耐久。

架构模式

另一条路：把产品做成"承诺本身在物理上不必要"。无账号。无遥测。无云同步。把网络权限关掉，应用照样工作。隐私不是由政策页声明，而是由"压根没有那段会破坏它的代码"在代码层强制。

具体来说：

• 没有分析 SDK。 没有 Mixpanel，没有 Amplitude，没有自研事件管道。我们有多少用户，我们自己也不知道——这正是关键。
• 没有远程配置。 在我们的威胁模型里，feature flag 就是后门。我们出的每个二进制，第 1 天和第 300 天行为一致。
• 没有后台上传。 日志在本地、需要用户主动开启，只有当用户把它贴进客服邮件时才浮上来。
• 没有第三方域名。 Flux 应用唯一的网络调用是 OS 代理的那些（App Store 更新、系统推送）——绝不是我们自己的。

我们付出的代价

• 不能用常规意义上的 A/B 测。我们靠小规模内部用户研究，以及读客服邮件。
• 不能靠看你的数据来修 bug。我们靠"本地能稳定复现"。
• 功能必须第一次就能跑对。没有"我们再从后台调一下"。

我们换到的东西

• 一个监管者用 tcpdump 就能验证的隐私声明。
• 一个不必信任我们的用户群——他们可以验证。
• 一个能放好几年的产品，因为它不依赖一段付费关系来"明年还能用"。

承诺模式扩张的是公司。架构模式扩张的是信任。我们挑了后者。