ISP 正在悄悄提供“网络流（netflow）”数据，这些信息能用于跟踪通过 VPN 的流量。网络安全领域一直有个公开的秘密：ISP 会悄悄将哪两台计算设备通信的详细信息泄露给私营企业，再由私营企业将数据的访问权出售给一系列第三方。根据多方消息人士的披露，这部分信息就是网络流数据，在数字调查人员手中能发挥重要作用。他们可以利用这些数据识别出黑客正在使用的服务器，或者在数据被盗时开展追踪。但批量出售这些数据仍然令人感到担忧，毕竟我们不知道其最终会落入谁手中。一位熟悉数据交易内幕的消息人士表示，“也许目前这种网络流数据商业交易，终将带来一条通往黑暗的道路。”

本月初，苹果公司推出一套系统，专门用于扫描 iPhone 与 iPad 照片中的儿童性虐待素材（CSAM）。这一消息引发一场民权风暴，就连苹果自己的员工也表达了担忧。但该公司坚称，针对该系统的争议完全属于“误解”。真的吗？我们不信。为此，我们撰写了一篇仅供同行评审的论文，探讨为什么开发这样一套系统具有极高的危险。如果真是误解就好了，至少能证明我们是错的。但问题是，我们很清楚它的工作原理，也知道它真的很危险。我们的研究项目始于两年之前，希望通过一套实验系统识别端到端加密在线服务中的儿童性虐待内容。作为安全研究人员，我们都清楚端到端加密本身的价值，特别是在保护数据免受第三方访问中的意义。但我们也对加密平台上儿童性虐内容的激增感到震惊，也担心在线服务坚持维持现状、不愿在打击这类非法内容上付出努力。我们希望探索一种可能的中间立场，即由在线服务识别出有害内容，同时继续保持良好的端到端加密效果。其中的概念非常简单：如果有人分享了与已知有害内容数据库相匹配的素材，则服务会自动发出警报。如果有人分享了正常内容，则服务照常放行。人们无法读取数据库内容、也不清楚怎样的内容才算匹配，因为一旦公开，犯罪分子就有可能想办法逃避检测。但我们很快遇上了明显的问题。我们的系统很容易在调整后被用于其他监控与审查，而且不受限于特定类别的内容。换句话说，只要更换其他内容匹配数据库，任何人都能把它迅速转化为打击舆论、排除异己的工具。

浙江省通信管理局证实阿里云未经用户同意擅自将用户留存在的注册信息泄露给第三方合作公司，表示阿里云的行为违反了《中华人民共和国网络安全法》第四十二条规定，根据《中华人民共和国网络安全法》第六十四条规定，已责令阿里云改正。《网络安全法》第四十二条规定：“网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。”第六十四条规定，“由有关主管部门责令改正，可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款；情节严重的，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。”

工信部公布了《关于APP违规调用通信录、位置信息以及开屏弹窗骚扰用户等问题“回头看”的通报》，发现包括腾讯微信、携程旅行、爱奇艺等 43 款应用程序问题整改不彻底、技术手段对抗、同一问题在不同地域整改不一致的情况。工信部要求上述应用在 8 月 25 日前完成整改，逾期不整改或整改不到位的，将依法依规进行处置。被列入名单的应用还有：搜狐视频、腾讯视频、腾讯地图、企业微信、凤凰新闻、去哪儿旅行、搜狗地图、唯品会、人人车二手车、豆瓣FM等等。

深圳市人大常委会周二公布《深圳经济特区数据条例》明确，数据处理者不得以自然人不同意处理个人数据为由，拒绝向其提供相关核心功能或者服务；处理人脸识别等生物识别数据时，应当同时提供处理其他非生物识别数据的替代方案。该条例将于明年 1 月 1 日起施行。对于侵害其他市场主体、消费者合法权益的，由市场监督管理部门或者相关行业主管部门按照职责责令改正，没收违法所得；拒不改正的，处5万元以上50万元人民币以下罚款；情节严重的，处上一年度营业额5%以下罚款，最高不超过5,000万元。

著名开源免费跨平台开源音频编辑器 Audacity 今年早些时候被 Muse Group 收购，它最近更新了隐私政策，表示可能会按执法机构、诉讼和当局要求收集必要的数据。一个不联网的音频编辑器去收集“必要的数据”，引发了 Audacity 变成间谍软件的担忧。Audacity 开发者在其 GitHub 项目上澄清，称它收集的数据非常有限，主要是 IP 地址和基本系统信息，以及可选的错误报告，表示正与律师团队合作修改隐私政策更明确的阐述这些观点和意图。已经有人创建了 Audacity 的分支，不收集任何数据。

百度、腾讯和字节跳动等提出的替代广告跟踪标识 CAID 未能赢得广泛支持。今年早些时候苹果开始执行新的隐私政策，要求应用必须在征求用户同意之后才能进行跟踪收集数据。CAID 可以绕过规定继续跟踪苹果用户。但苹果随后拒绝上架使用 CAID 的应用，导致 CAID 失去了支持。这对苹果而言是一次胜利。苹果表示它的应用商店规定和指导方针适用于全世界的开发商。

亚马逊屏蔽了 Google 受争议的替代数字广告跟踪技术 FLoC（ Federated Learning of Cohorts）。亚马逊旗下主要电商平台 Amazon.com、WholeFoods.com 和 Zappos.com 等都部署了代码屏蔽 FLoC。 FLoC 通过收集用户的网络活动数据然后推断出他们的共同兴趣，将有共同兴趣的用户划分到一起，据此展示广告。但用户的兴趣是变化的，FLoC 需要不断收集数据重新计算和重新分类用户。电商巨头的行动将打击 Google 收集用户数据的努力。亚马逊大约是从上周四开始在网站中加入屏蔽 FLoC 的代码，在这之前 WholeFoods.com 和 Woot.com 都没有看到相关代码。

商丘市睢阳区人民法院 6 月 3 日在裁判文书网公开的刑事判决书显示，两名犯罪分子在淘宝爬取并盗走大量数据。经过检方核实，被盗取的淘宝用户数据近 12 亿条。淘宝去年 8 月 14 日报警，有黑产人员通过接口，绕过平台风控，批量爬取数据，爬取内容包括买家UID、淘宝昵称、用户手机号等敏感信息。淘宝在一份声明中表示，没有用户资讯被卖给第三方，也没有发生经济损失。法院裁定，这家公司一名员工收集超过 10 亿条淘宝用户资讯，虽然是用以为客户提供服务，但该员工及其雇主判处三年以上监禁，并处以总计 45  万元人民币的罚款。

Google 提出的第三方 cookies 替代 Federated Learning of Cohorts (FLoC) 引发了很多争议，多家基于 Chromium 的浏览器开发商已经决定禁用 FLoC，而搜索巨人则声称 FLoC 对隐私更为友好、更少跟踪。Mozilla 对 FLoC 进行了分析，发现它存在多个需要解决的隐私问题。FLoC 使用了代表一组有着相似兴趣用户的识别符，它代表的用户数量可能多达数千，但这并不意味着它不能被用于跟踪单个用户，原因是用户的兴趣是在变化的，因此 FLoC ID 也在变化。FLoC ID 目前大约每周重新计算一次，这意味着网站可以组合利用第一周、第二周等等的 FLoC ID 去跟踪单个用户。FLoC 还被发现会泄露更多的信息。

网信办公布了最新一批“违法违规收集使用个人信息情况”的应用名单，其中包括非常受欢迎的应用今日头条。被列入最新名单的新闻类应用包括：今日头条，腾讯新闻，一点资讯，新浪新闻，搜狐新闻，中关村在线，华尔街见闻，财联社；直播类应用包括：虎牙直播，腾讯 Now 直播，购物类应用耐克，等等。这些应用的问题基本都是违反必要原则，收集与其提供的服务无关的个人信息。网信办要求在 15 个工作日内完成整改，逾期未完成整改的将依法予以处置。

纽约时报报道，特朗普的司法部在 2017 年和 2018 年曾强迫苹果交出至少两名众议院情报委员会至少两名民主党议员的元数据。其中一位是现任主席 Adam Schiff，以及十几名与委员会相关的人，包括家庭成员和至少一名儿童。苹果受制于封口令，直到封口令在今年过期它才能披露相关信息。现在是民主党执政，新政府的司法部决定向媒体披露传票和封口令。消息来源坚称苹果只提供了元数据，没有提供照片或邮件内容。但元数据也能暴露一个人的很多信息。

讯飞输入法、QQ输入法和搜狗输入法等多个流行的输入法从中国主要应用商店下架。4 月 30 日，搜狗、讯飞、百度、QQ 等输入法被网信办通报违法违规收集使用个人信息，网信办要求在 10 个工作日内完成整改，逾期未完成整改的将依法予以处置。科大讯飞回复称，公司各项经营正常，截至 6 月 11 日，讯飞输入法App已完成整改，正在配合相关部门检测，确保合规后重新上架。在后续工作中，讯飞输入法App将从管理机制、技术手段、自纠自查等多个方面竭力保障用户个人信息安全。

Facebook 旗下消息应用 WhatsApp 在德里对印度政府提起法律诉讼，寻求阻止周三生效的媒体新规。最新的规定要求社交媒体公司在当局要求时确定 “最初的信息来源”。虽然法律要求 WhatsApp 只揭露明确被指控有不法行为的人士的身份，但该公司表示实际执行时无法单独做到这一点。由于信息是端对端加密的，为了遵守法律，WhatsApp 说它必须打破对信息的接收者及“来源者”的加密。WhatsApp 在印度近 4 亿用户。

网信办公布了《关于抖音等105款App违法违规收集使用个人信息情况的通报》，称在调查之后发现这些应用收集了与其服务无关的个人信息或未经用户同意收集使用个人信息。被列入名单中的应用包括抖音、快手、360 浏览器、搜狗浏览器、百度浏览器、360 搜索、欧朋浏览器（Opera）、UC、傲游、领英、猎聘、前程无忧、智联、以及百度等等。网信办要求相关运营者在 15 个工作日内完成整改，逾期未完成整改将面临惩罚。

上月底，美国哥伦比亚特区警察局的服务器感染了勒索软件 Babuk Locker，攻击者在其网站上公布了窃取到的警方文件截图，要求警方支付赎金否则将公开敏感文件。Babuk Locker 黑帮索要 400 万美元赎金，但警察局的谈判专家只愿意提供最多 10 万美元，如果不接受那么没有什么值得继续谈下去。代表 Babuk Locker 的谈判者表示这是无法接受的。现在，在赎金谈判未成功之后，黑帮在其暗网网站上披露了二十多名警官的心理评估和测谎测试报告，以及驾照照片、指纹、社会安全保障号、出生日期、居住地、财务和婚姻历史。

苹果在两周前推送了 iOS 14.5，正式推出了遭到 Facebook 强烈反对的 App Tracking Transparency，该政策要求应用必须征得用户明确同意才能跟踪用户收集数据。根据分析公司 Flurry 的数据，美国只有 4% 的用户允许应用跟踪，也就是多达 96% 的美国苹果用户禁止应用跟踪。这一数据是基于 250 万美国用户的样本，如果是在世界范围内，那么允许跟踪的比例提高到了 12%（基于 530 万用户样本）。

网信办通报了33 款 App 违法违规收集使用个人信息，其中包括 15 款输入法应用和 17 款地图应用，以及一款通信应用连信。被通报的输入法包括了搜狗、讯飞、百度、QQ 等，都是比较流行的输入法；通报的地图应用包括高德、百度、腾讯等。这些应用被指问题主要是“违反必要原则，收集与其提供的服务无关的个人信息”。网信办要求“本通报发布之日起 10 个工作日内完成整改，并将整改情况报我办网络数据管理局，逾期未完成整改的我办将依法予以处置”。

有网友上周报告发现自家创维电视有个“勾正数据服务”的应用会扫描家中所有的联网设备。“勾正数据服务”应用是北京勾正数据科技有限公司公司旗下的应用产品。其官网显示，目前勾正数据的数据有效覆盖 1.49 亿家庭，有效覆盖人口 4.57 亿，累计覆盖智能电视终端超过 1.4 亿台。创维电视本周发表声明，称它已经全面禁用了所有创维电视上的“勾正服务”，并展开相关调查。它与勾正的合作内容仅限于以抽样调查国内收视情况为目的的必要的数据采集。其他任何超出此范围的行为，均未得到创维电视的许可及授权。它已经与勾正数据解除合作关系，并责令其删除非法获取的创维用户相关数据。勾正数据回应称，公司所采集用户数据的相关信息用于收视研究相关业务：家庭和个人收视率、收视效果分析、广告收视分析和优化。由于公司用户隐私政策提示不够清晰，引起部分用户隐私安全的担忧，公司向广大用户诚恳致歉。

TikTok 及其母公司字节跳动在伦敦高等法院可能面临求偿数以十亿计英镑，他们被指控非法收集了数以百万计欧洲儿童的隐私数据。前英格兰儿童事务专员 Anne Longfield 周三表示，如果胜诉，受影响的儿童每位或将获得数以千计的英镑。一位 12 岁女孩以匿名方式提起集体诉讼，Longfield 代表该女孩出庭。TikTok 的一名代表表示，保护隐私和安全是该公司的首要任务，公司有健全的政策、流程和技术来帮助保护所有用户，尤其是青少年用户。