本周一，Vice 和 PCMag 根据泄露的企业文档披露，杀毒软件公司 Avast 通过其子公司 Jumpshot 向第三方出售其收集的用户浏览数据，它将收集的用户数据重新打包成多个产品，然后出售给潜在的大客户如 Google、Yelp、微软、麦肯锡、百事可乐、家得宝和 Conde Nast 等。虽然这些用户数据不包含身份信息，但组合多个数据集是有可能实现“去匿名”的。这一报道引发了广泛关注，在争议声中 Avast 现在宣布它将关闭 Jumpshot，终止相关产品。

安全专家 Bruce Schneier 认为禁止面部识别对于防止大规模监视是远远不够的。美国各地开始禁止面部识别，旧金山、奥克兰、麻省的萨默维尔和布鲁克莱恩都在去年先后宣布禁止政府机构使用面部识别技术，其中麻省有可能全州宣布禁令。美国民主党的多位总统候选人支持部分限制面部识别的使用。然而禁止面部识别是对抗现代监视的错误方法。大规模监视正日益成为一种常态，只关注一种特定的识别方法会错误理解我们正在建立的监视社会的性质。大规模监视包含三个部分：识别、关联和区别。面部识别是一种未经人们同意就能对其进行识别的技术，它依赖无处不在的摄像头，随着技术的进步摄像头正越来越强大也越来越小，机器学习技术能将摄像头输出的照片与数据库已有的照片进行匹配。它只是众多的识别技术中的一种。利用基于激光的系统，人们也可以从远处根据心跳或步态进行识别。先进的相机还可以从数米外读取指纹和虹膜。即使没有这些技术，还有其它方法能识别我们，如我们携带的智能手机会广播 MAC 地址，我们的手机号码、信用卡号码、汽车牌照等都可以用于识别我们。中国的监视技术就组合了多种方法。

欧洲最高法院法律总顾问认为，国家安全的担忧不能超越公民的数据隐私权，在没有明确理由的情况下不能强迫 ISP 交出用户的个人信息。这并不意味着情报和安全机构不能强迫通信公司交出信息，尤其是针对恐怖主义嫌疑人。但那些请求必须是在“例外和临时的基础上”。数据收集不能是没有限制的，只有在公共安全或国家安全的威胁压倒一切时才是正当的。换句话说，美国风格的个人数据持续收集在欧洲法律下是非法的。

欧盟考虑禁止在公共场所使用人脸识别五年，因为监管者需要时间去解决技术被滥用的问题。安全项目和研发项目可以免于这一禁令。人脸识别的相关规定将支持现有的隐私和数据权利监管，禁令将持续 3 到 5 年。在欧盟提出这一禁令的同时，英国的政客和社运人士也在呼吁阻止警方将面部识别用于大众监控。中国则已经开始大规模部署面部识别技术。

无论你知不知情，你正源源不断的为 AI 算法供应数据。全世界的企业、政府和大学使用公民的医疗记录、购物历史和社交媒体数据去训练机器学习软件。这些数据可以重建追溯到个人。匿名将不复存在。为了恢复一定程度的隐私，欧洲和加州的隐私法提供了被遗忘的权利。但要让一个训练过的 AI 模型遗忘你它需要在去掉你的数据之后重新训练一遍。这是一个耗时耗电的过程。最近发表的两篇论文提供了方法更高效的从 AI 模型删除数据。一篇来自斯坦福大学，另一篇（预印本）来自多伦多大学。

Google Chrome 官方博客宣布，Chrome/Chromium 将在两年内逐步停止支持第三方 cookie。Chrome 是目前市场占有率第一的浏览器，但分析师认为此举对 Google 自己的业务影响甚微，因为搜索巨人有很多其它方法来收集用户数据。Google 表示希望开发替代工具以“维持广告支持的 web”，以便在两年内“使第三方 cookie 变得过时”。这种替代工具可能会使 Chrome 成为更重要的中介，持有用户的相关信息，有选择地与希望确定广告投放目标和衡量广告效果的机构分享。网站将仍能用“第一方 cookie”来标记个人，记录他们的行为。但第三方将无法把他们的 cookie 放在网站上，在用户浏览不同网站时勾画出他们的行为轮廓。

NalaGinrut 写道 "在这个时代，我们过度地信任了计算机和互联网，我们把自己的信息全部放到了网上。可当人类掌握了各种先进技术时，这些技术的野蛮生长会透出一种贪婪，吞噬着它本不该触碰的东西，连你没有想过要交给互联网的东西，它也在想办法偷偷吞噬着。

有朝一日，谁来为这场完全可以凭理性预期的混乱买单呢？"

应特别检察官的申请，芝加哥 Cook 县法官命令 Google 交出演员 Jussie Smollett 一整年的电子邮件、照片、位置数据和私人信息。Jussie Smollett 出演过 Fox 的热门剧《嘻哈帝国（Empire）》，2019 年 2 月，他被控有违纪行为，包括付钱给人表演假的针对他的仇恨犯罪和向警方递交假的报告。2019 年 3 月他与检方达成协议，以社区服务和罚款换取放弃所有指控。但随后 FBI 宣布对此展开调查。调查人员寻求获得他从 2018 年 11 月到 2019 年 11 月一整年的数据，而不是事件发生在 2019 年 1 月到 3 月。目前还不清楚 Google 是否交出 Smollett 及其经理的数据。Google 发言人拒绝置评。

Mozilla 让全世界所有 Firefox 用户都能获得加州 CCPA 法律所赋予的隐私保护。CCPA 是目前美国最严格的隐私保护法律，于 2020 年 1 月 1 日生效，它类似欧洲的隐私保护法律 GDPR，给与消费者权利了解其个人信息的收集和访问。如果一家企业处理了五万加州用户数据，它必须遵守 CCPA 的规定。微软已经宣布，它的所有美国用户都能得到 CCPA 的保护。

出售监控探头的 Wyze 公司产品数据库被发现没有保护，泄露的信息包括客户邮件地址、摄像头名称、WiFi 网络信息、设备信息，以及与 Alexa 整合相关的令牌。公司联合创始人 Dongsheng Song 称一名雇员在 12 月 4 日使用数据库时的失误导致了它没有得到保护。名叫 12Security 的公司曝光了 Wyze 的用户数据泄露，声称数据被发送到了阿里云服务。Wyze 否认它使用阿里云，表示它使用的亚马逊的云服务，称它在中国有雇员和硬件合作伙伴，但没有与任何中国政府机构分享用户数据。

华盛顿邮报披露，美国数十所大学将学生的智能手机变成监视工具，跟踪出勤，分析学生的行为评估其精神健康。有一家公司还根据学生去图书馆的次数等因素去计算“风险分数”。批评者认为这侵犯了学生的隐私，把学生当婴儿看待。短距离手机传感器如蓝牙和校园 WiFi 网络让美国大学能更精确的跟踪学生。部分教授和教育倡导人士认为这代表着侵入性技术的新低点，是大规模的侵犯学生隐私，在一个本来应该让学生走向成年人的地方仍然把他们当婴儿看待。弗吉尼亚联邦大学二年级学生 Robby Pfeifer 说，我们是成年人，有必要被跟踪？该校最近开始根据学生连接校园 WiFi 网络来记录其出勤率。此类的监视正越来越深入人们的生活之中。

纽约时报根据调查和美国情报官员的消息报道（付费墙），一个在中东地区流行的消息应用 ToTok 被阿联酋政府用作间谍工具。报道没有透露细节。报道称，阿联酋政府尝试利用该应用监视用户的每一次通话以及掌握用户之间的关系。ToTok 只发布几个月时间，该应用在中东、亚洲、欧洲和北美地区的苹果和 Google 应用商店下载了数百万次，最大用户群是在阿联酋。ToTok 背后的公司 Breej Holding 被认为是阿联酋监视公司 DarkMatter 的挂名公司。阿联酋封锁了 WhatsApp和 Skype，让 ToTok 这个替代对当地居民颇有吸引力，而华为最近还在广告中宣传了 ToTok。Google 已经以违反政策为由从其应用商店下架了 ToTok ，而苹果也已在 App Store 中移除了该应用。已下载的用户如果没有卸载仍然可以使用。

在 Mozilla 之后，Google 从 Chrome Web Store 移除了 Avast 和 AVG 的多个扩展。Avast 被发现大量收集用户数据并将其出售给的第三方。这一问题最早是 Adblock Plus 作者 Wladimir Palant 披露的，他发现这些扩展收集了超过其需求的信息，包括详细的用户浏览历史，利用这些信息 Avast 能知道用户打开了多少次浏览器，在某个网页停留了多长时间。Mozilla 和 Opera 之后采取行动下架了相关扩展。Google 目前只在 Chrome Web Store 保留了 AVG 的一个扩展 AVG Online Security。

Tails 发行版项目庆祝其诞生十周年。Tails 是基于 Debian GNU/Linux 和 Tor 的 Live 操作系统，能安装在光盘、U 盘和 SD 卡上，可以随身携带，需要时直接从光盘、U 盘或 SD 卡启动。它预先配置让所有流量都经过 Tor，不留下任何跟踪痕迹。它最著名用户可能是 NSA 告密者 Edward Snowden。Tails 在 2009 年发布了第一个版本，最早它被称为 Amnesia Incognito Live System，至今发共发布了 98 个版本，被使用了超过 2500 万次。Tails 项目官方博客回顾了它的发展历史。

上个月，Slack 的工程师发布了一个分布式 VPN 网状网工具 Nebula，源代码发布在 GitHub 上，采用 MIT 许可证。对于 Nebula 的开发动机，工程师解释说，他们问了自己一个问题：有什么最简单的方法安全连接不同云服务商在全球数十个位置的数万台计算机？Nebula 就是他们自己给出的答案。它是一个可携式可伸缩的叠加网工具，支持 Linux、MacOS 和 Windows，未来将加入对移动平台的支持。Nebula 传输的数据使用 Noise 协议框架完整加密，该框架也被 Signal 和 WireGuard 等项目使用。Nebula 能自动动态的发现不同节点之间的可用路线，在任何两个节点之间以最高效的路径发送流量，不需要经过一个中心的分配点。举例来说，你在笔记本电脑、家用 PC 和一个云端节点都运行了 Nebula，当你在家里使用笔记本电脑时，它会通过家用主机以 LAN 的速度进行通信。

印度提出了类似欧盟 GDPR 的公民数据访问规定，要求科技公司在收集和处理个人数据之前，必须征得公民的同意。新规定还指出，公司必须将用户的 “非个人隐私” 数据交给政府。印度政府还将获得权力，可以在未经同意的情况下收集公民的任何数据，以服务国家主权和更大的公共利益目的。这些新规则来自印度首部主要数据保护法 “个人数据保护法案 2019”。不过，“为了维护印度的主权和领土完整、国家安全、与外国的友好关系和公共秩序”，印度政府的任何机构可以豁免该法案。该法案将在未来几周内在印度国会讨论。

对 Tiktok 应用和网站流量的分析发现，它会将用户数据发送给 Appsflyer 和 Facebook，会利用设备指纹跟踪用户。Tiktok 短地址被发现包含了安装 ID，可用于识别谁分享了视频。它甚至还能跟踪谁观看了视频。它使用的跟踪技术包括了 Canvas Fingerprinting，在后台使用矢量图形命令绘制图形，保存图像到一个栅格化 PNG 文件，根据硬件和浏览器该数据在不同设备之间具有唯一性；它还使用音频指纹识别观看者，内部生成音频然后记录比特流，这一数据在设备之间也具有唯一可识别性。北京字节跳动称指纹被用于识别恶意浏览器行为，但研究者对此表示质疑。

金融时报报道，南都个人信息保护研究中心的调查显示，大部分被调查者对面部识别技术表达了担忧。中国已率先在全球推广面部识别，并在交通枢纽、学校、购物中心和居民区安装面部扫描器。根据南都的调查，人们最担心的是面部识别系统的运营商可能在数据安全方面松懈，并因此泄露个人信息，80% 的受访者将此视为一系列担忧之一。此外，57% 的受访者担心自己的行动受到追踪，84% 的受访者希望有机会审查从自己这里收集到的面部识别数据，或要求删除。这项调查从今年 10 月持续到 11 月，共有 6154 名在线受访者参加。

埃及内政部计划使用 RFID 解决方案去识别在公路上行驶的数百万车辆。新的系统将在未来五年内实施普及，由贴在汽车挡风玻璃的无源 UHF RFID 标签和前照灯上的标签构成，这套跟踪系统能在汽车高速行驶时也能响应公路上阅读器的查询。埃及计划将所有数据发送到一个基于云端的数据中心，创造一个跟踪全国所有车辆的数据库，这个数据库显然会成为执法和安全部门的无价宝库。人权观察对这套系统可能的滥用表达了担忧。

根据市场分析公司 IHS Markit 的预测，到 2021 年全球监控探头数量将超过 10 亿，而中国将占一半以上。IHS Markit 估计，2017 年中国安装了 1.76 亿监控探头，相比之下美国的监控探头数量只有 5000 万。研究人员估计到 2020 年中国将安装 4.5 亿新探头。政府控制 42% 股份的浙江海康威视是最大的监控探头供应商，2017 年它在全球市场的占有率为 21.4%，其产品被超过 150 个国家使用，其中包括美国和英国，但最近美国国会通过了法律禁止政府机构使用海康威视以及其它中国监控探头供应商的产品。