研究人员报告，超过 500 个 Chrome 扩展被发现会悄悄将数百万用户的私人浏览数据上传到攻击者控制的服务器。Google 收到报告之后已将这些扩展全部移除。这些扩展属于一个运行了很长时间的恶意广告欺诈计划的一部分，独立研究员 Jamila Kaya 和思科 Duo Security 的研究人员识别了 71 个安装量超过 170 万次的 Chrome Web Store 扩展，Google 在收到报告之后识别了另外 430 个功能类似扩展。

一名和冠绘图板用户在新电脑上安装驱动时注意到它要求用户接受隐私政策。对大多数用户来说，用户协议之类的声明通常都是看也不看直接点击确定然后下一步，但软件工程师 Robert Heaton 决定例外一次，阅读下隐私政策的内容，他好奇为什么一个类似鼠标的外围设备会有隐私政策。隐私条款显示，和冠询问用户是否接受发送数据到 Google Analytics，它收集的数据包括了使用数据、会话信息和硬件设备信息。Robert Heaton 想知道和冠究竟向 Google Analytics 发送了什么信息，他使用 Wireshark 抓取了发送到 Google Analytics 的流量进行分析，发现它会收集用户在设备上打开的每一个应用的名字。有用户称，和冠向欧洲用户展示的隐私政策不同于美国用户，不包含数据收集条款，可能是因为欧洲的隐私保护政策更严格。

Google 想要封杀第三方 cookie，想要替换 User-Agent 字符串...Google 会提供很多理由，最主要的理由它未必会说出来：它有更多的方法跟踪用户。当竞争对手的可用跟踪方法少了之后它的竞争优势会更大，而 Google 的 Android 和 Chrome 都有无数用户在使用。在 W3C Technical Architecture Group 上，Google 工程师提出了 User-Agent 的替代。在讨论中，有用户指出 Google 能通过 Chrome 安装 ID 跟踪用户。Chrome 在首次安装运行时会生成 Chrome-Variations 消息头，使用随机选择的种子数生成，如果浏览器禁用了使用统计和崩溃统计，种子数会在 0 -7999 之间选择。Google 称这个消息头不包含任何身份信息，但它可以组合收集的其它信息创造一个独特 Chrome ID，即使用户使用隐身模式，这个 ID 也不会发生变化。

Mozilla 向用户提供了一个专门的页面展示 Firefox 收集的遥测数据。在地址栏输入 about:telemetry，用户可以看到 Mozilla 收集的遥测数据如浏览器设置、安装的扩展、操作系统/硬件信息，浏览器会话以及运行的进程。Firefox 的一名工程师称，这个页面最初是为了自私的理由创建的，旨在帮助工程师调试 Firefox。

本周一，Vice 和 PCMag 根据泄露的企业文档披露，杀毒软件公司 Avast 通过其子公司 Jumpshot 向第三方出售其收集的用户浏览数据，它将收集的用户数据重新打包成多个产品，然后出售给潜在的大客户如 Google、Yelp、微软、麦肯锡、百事可乐、家得宝和 Conde Nast 等。虽然这些用户数据不包含身份信息，但组合多个数据集是有可能实现“去匿名”的。这一报道引发了广泛关注，在争议声中 Avast 现在宣布它将关闭 Jumpshot，终止相关产品。

安全专家 Bruce Schneier 认为禁止面部识别对于防止大规模监视是远远不够的。美国各地开始禁止面部识别，旧金山、奥克兰、麻省的萨默维尔和布鲁克莱恩都在去年先后宣布禁止政府机构使用面部识别技术，其中麻省有可能全州宣布禁令。美国民主党的多位总统候选人支持部分限制面部识别的使用。然而禁止面部识别是对抗现代监视的错误方法。大规模监视正日益成为一种常态，只关注一种特定的识别方法会错误理解我们正在建立的监视社会的性质。大规模监视包含三个部分：识别、关联和区别。面部识别是一种未经人们同意就能对其进行识别的技术，它依赖无处不在的摄像头，随着技术的进步摄像头正越来越强大也越来越小，机器学习技术能将摄像头输出的照片与数据库已有的照片进行匹配。它只是众多的识别技术中的一种。利用基于激光的系统，人们也可以从远处根据心跳或步态进行识别。先进的相机还可以从数米外读取指纹和虹膜。即使没有这些技术，还有其它方法能识别我们，如我们携带的智能手机会广播 MAC 地址，我们的手机号码、信用卡号码、汽车牌照等都可以用于识别我们。中国的监视技术就组合了多种方法。

欧洲最高法院法律总顾问认为，国家安全的担忧不能超越公民的数据隐私权，在没有明确理由的情况下不能强迫 ISP 交出用户的个人信息。这并不意味着情报和安全机构不能强迫通信公司交出信息，尤其是针对恐怖主义嫌疑人。但那些请求必须是在“例外和临时的基础上”。数据收集不能是没有限制的，只有在公共安全或国家安全的威胁压倒一切时才是正当的。换句话说，美国风格的个人数据持续收集在欧洲法律下是非法的。

欧盟考虑禁止在公共场所使用人脸识别五年，因为监管者需要时间去解决技术被滥用的问题。安全项目和研发项目可以免于这一禁令。人脸识别的相关规定将支持现有的隐私和数据权利监管，禁令将持续 3 到 5 年。在欧盟提出这一禁令的同时，英国的政客和社运人士也在呼吁阻止警方将面部识别用于大众监控。中国则已经开始大规模部署面部识别技术。

无论你知不知情，你正源源不断的为 AI 算法供应数据。全世界的企业、政府和大学使用公民的医疗记录、购物历史和社交媒体数据去训练机器学习软件。这些数据可以重建追溯到个人。匿名将不复存在。为了恢复一定程度的隐私，欧洲和加州的隐私法提供了被遗忘的权利。但要让一个训练过的 AI 模型遗忘你它需要在去掉你的数据之后重新训练一遍。这是一个耗时耗电的过程。最近发表的两篇论文提供了方法更高效的从 AI 模型删除数据。一篇来自斯坦福大学，另一篇（预印本）来自多伦多大学。

Google Chrome 官方博客宣布，Chrome/Chromium 将在两年内逐步停止支持第三方 cookie。Chrome 是目前市场占有率第一的浏览器，但分析师认为此举对 Google 自己的业务影响甚微，因为搜索巨人有很多其它方法来收集用户数据。Google 表示希望开发替代工具以“维持广告支持的 web”，以便在两年内“使第三方 cookie 变得过时”。这种替代工具可能会使 Chrome 成为更重要的中介，持有用户的相关信息，有选择地与希望确定广告投放目标和衡量广告效果的机构分享。网站将仍能用“第一方 cookie”来标记个人，记录他们的行为。但第三方将无法把他们的 cookie 放在网站上，在用户浏览不同网站时勾画出他们的行为轮廓。

NalaGinrut 写道 "在这个时代，我们过度地信任了计算机和互联网，我们把自己的信息全部放到了网上。可当人类掌握了各种先进技术时，这些技术的野蛮生长会透出一种贪婪，吞噬着它本不该触碰的东西，连你没有想过要交给互联网的东西，它也在想办法偷偷吞噬着。

有朝一日，谁来为这场完全可以凭理性预期的混乱买单呢？"

应特别检察官的申请，芝加哥 Cook 县法官命令 Google 交出演员 Jussie Smollett 一整年的电子邮件、照片、位置数据和私人信息。Jussie Smollett 出演过 Fox 的热门剧《嘻哈帝国（Empire）》，2019 年 2 月，他被控有违纪行为，包括付钱给人表演假的针对他的仇恨犯罪和向警方递交假的报告。2019 年 3 月他与检方达成协议，以社区服务和罚款换取放弃所有指控。但随后 FBI 宣布对此展开调查。调查人员寻求获得他从 2018 年 11 月到 2019 年 11 月一整年的数据，而不是事件发生在 2019 年 1 月到 3 月。目前还不清楚 Google 是否交出 Smollett 及其经理的数据。Google 发言人拒绝置评。

Mozilla 让全世界所有 Firefox 用户都能获得加州 CCPA 法律所赋予的隐私保护。CCPA 是目前美国最严格的隐私保护法律，于 2020 年 1 月 1 日生效，它类似欧洲的隐私保护法律 GDPR，给与消费者权利了解其个人信息的收集和访问。如果一家企业处理了五万加州用户数据，它必须遵守 CCPA 的规定。微软已经宣布，它的所有美国用户都能得到 CCPA 的保护。

出售监控探头的 Wyze 公司产品数据库被发现没有保护，泄露的信息包括客户邮件地址、摄像头名称、WiFi 网络信息、设备信息，以及与 Alexa 整合相关的令牌。公司联合创始人 Dongsheng Song 称一名雇员在 12 月 4 日使用数据库时的失误导致了它没有得到保护。名叫 12Security 的公司曝光了 Wyze 的用户数据泄露，声称数据被发送到了阿里云服务。Wyze 否认它使用阿里云，表示它使用的亚马逊的云服务，称它在中国有雇员和硬件合作伙伴，但没有与任何中国政府机构分享用户数据。

华盛顿邮报披露，美国数十所大学将学生的智能手机变成监视工具，跟踪出勤，分析学生的行为评估其精神健康。有一家公司还根据学生去图书馆的次数等因素去计算“风险分数”。批评者认为这侵犯了学生的隐私，把学生当婴儿看待。短距离手机传感器如蓝牙和校园 WiFi 网络让美国大学能更精确的跟踪学生。部分教授和教育倡导人士认为这代表着侵入性技术的新低点，是大规模的侵犯学生隐私，在一个本来应该让学生走向成年人的地方仍然把他们当婴儿看待。弗吉尼亚联邦大学二年级学生 Robby Pfeifer 说，我们是成年人，有必要被跟踪？该校最近开始根据学生连接校园 WiFi 网络来记录其出勤率。此类的监视正越来越深入人们的生活之中。

纽约时报根据调查和美国情报官员的消息报道（付费墙），一个在中东地区流行的消息应用 ToTok 被阿联酋政府用作间谍工具。报道没有透露细节。报道称，阿联酋政府尝试利用该应用监视用户的每一次通话以及掌握用户之间的关系。ToTok 只发布几个月时间，该应用在中东、亚洲、欧洲和北美地区的苹果和 Google 应用商店下载了数百万次，最大用户群是在阿联酋。ToTok 背后的公司 Breej Holding 被认为是阿联酋监视公司 DarkMatter 的挂名公司。阿联酋封锁了 WhatsApp和 Skype，让 ToTok 这个替代对当地居民颇有吸引力，而华为最近还在广告中宣传了 ToTok。Google 已经以违反政策为由从其应用商店下架了 ToTok ，而苹果也已在 App Store 中移除了该应用。已下载的用户如果没有卸载仍然可以使用。

在 Mozilla 之后，Google 从 Chrome Web Store 移除了 Avast 和 AVG 的多个扩展。Avast 被发现大量收集用户数据并将其出售给的第三方。这一问题最早是 Adblock Plus 作者 Wladimir Palant 披露的，他发现这些扩展收集了超过其需求的信息，包括详细的用户浏览历史，利用这些信息 Avast 能知道用户打开了多少次浏览器，在某个网页停留了多长时间。Mozilla 和 Opera 之后采取行动下架了相关扩展。Google 目前只在 Chrome Web Store 保留了 AVG 的一个扩展 AVG Online Security。

Tails 发行版项目庆祝其诞生十周年。Tails 是基于 Debian GNU/Linux 和 Tor 的 Live 操作系统，能安装在光盘、U 盘和 SD 卡上，可以随身携带，需要时直接从光盘、U 盘或 SD 卡启动。它预先配置让所有流量都经过 Tor，不留下任何跟踪痕迹。它最著名用户可能是 NSA 告密者 Edward Snowden。Tails 在 2009 年发布了第一个版本，最早它被称为 Amnesia Incognito Live System，至今发共发布了 98 个版本，被使用了超过 2500 万次。Tails 项目官方博客回顾了它的发展历史。

上个月，Slack 的工程师发布了一个分布式 VPN 网状网工具 Nebula，源代码发布在 GitHub 上，采用 MIT 许可证。对于 Nebula 的开发动机，工程师解释说，他们问了自己一个问题：有什么最简单的方法安全连接不同云服务商在全球数十个位置的数万台计算机？Nebula 就是他们自己给出的答案。它是一个可携式可伸缩的叠加网工具，支持 Linux、MacOS 和 Windows，未来将加入对移动平台的支持。Nebula 传输的数据使用 Noise 协议框架完整加密，该框架也被 Signal 和 WireGuard 等项目使用。Nebula 能自动动态的发现不同节点之间的可用路线，在任何两个节点之间以最高效的路径发送流量，不需要经过一个中心的分配点。举例来说，你在笔记本电脑、家用 PC 和一个云端节点都运行了 Nebula，当你在家里使用笔记本电脑时，它会通过家用主机以 LAN 的速度进行通信。

印度提出了类似欧盟 GDPR 的公民数据访问规定，要求科技公司在收集和处理个人数据之前，必须征得公民的同意。新规定还指出，公司必须将用户的 “非个人隐私” 数据交给政府。印度政府还将获得权力，可以在未经同意的情况下收集公民的任何数据，以服务国家主权和更大的公共利益目的。这些新规则来自印度首部主要数据保护法 “个人数据保护法案 2019”。不过，“为了维护印度的主权和领土完整、国家安全、与外国的友好关系和公共秩序”，印度政府的任何机构可以豁免该法案。该法案将在未来几周内在印度国会讨论。