一位用户名叫 Data 的卖家在一个流行黑客论坛出售包含 3.5 亿用户信息的 Ask.FM (ASKfm)数据库。这可能是有史以来最大规模的数据泄露事件之一。Ask.FM 是一个问答社交网络，2010 年上线，有逾 2.15 亿注册用户。Data 公布了数据样本，透露数据库字段包括 user_id、username、mail、hash、salt、fbid、twitterid、vkid、fbuid、iguid。Ask.FM 的密码使用了 SHA1 加密，因此比较容易破解。Data 表示最早是在 2019 年访问 Ask.FM 服务器，2020-03-14 获得了它的数据库。Ask.FM 在 2020 年就知道了这次入侵，但未予以披露。它至今没有对此作出回应。

《连线》报道称 Telegram 存在严重的人肉搜索问题。来自中东、东南亚和东欧的活动人士和专家表示，Telegram 平台无视他们对于政治动机人肉搜索的警告。Telegram 目前有逾 7 亿活跃用户，它几乎不对内容进行审查，因此在独裁专制国家居民、阴谋论者、反疫苗者等人群中非常受欢迎。但数字权利活动人士 Victoire Rio 指出这也导致政治人肉搜索的扩散，容易被用于发动众包攻击。攻击者可以发布一个目标，鼓励追随者挖掘或分享目标的私人信息。虚假信息或人肉搜索内容可以交叉发布通过有数以千计用户的频道进行病毒式传播。

TikTok 首席运营官 Vanessa Pappas 周三在美国参议院国土安全和政府事务委员会接受议员们的询问。美国参议员和监管机构担心 TikTok 会将美国用户的数据交给中国政府，Pappas 对此坚决否认，称从未向中国政府提供数据，而且母公司字节跳动的总部也不在中国，因为它根本没有总部。她说字节跳动有严格的数据访问控制，中国政府没有影响到该公司的企业政策。TikTok 最近开始通过甲骨文的服务器发送流量，但部分数据仍然会备份在字节跳动位于新加坡和美国弗吉尼亚州的服务器上。

Google 和 Meta 涉嫌在韩国未经用户同意收集个人信息并将此用于在线投放个性化广告，分别被罚 692 亿韩元和 308 亿韩元。韩个人信息保护委员会 14 日开会做出了上述决定。委员会还勒令两家公司若要收集和利用旗下用户利用其它公司平台的行为信息，必须提前通知用户，让用户容易、明确地了解情况并自由行使决定权。这是韩国就在线广告平台收集和利用用户信息的行为首次做出的处罚决定，罚款金额为违反《关于保护个人信息的法律》规定的案件之最。

全球旅行快速通关（Global Entry）不再需要游客扫描护照只根据人脸就能识别身份。今天的人脸识别准确度已经足够精确到人脸就能成为你的护照。但身份只是人脸识别的一部分功能，它还可能会关联你的更多信息，如兴趣爱好等等等等。纽约大学的计算机科学教授 Ken Perlin 认为这不是好事，但这就是我们即将进入的未来。他认为我们需要权衡利弊，为了便利而放弃隐私是否值得。Ken Perlin 曾因其发明的 Perlin 噪声（Perlin noise）而在 1996 年获得奥斯卡科技成果奖。

爱尔兰监管机构以侵犯儿童隐私对 Instagram 罚款 4.05 亿欧元。Instagram 母公司 Meta 表示将会提起上诉。爱尔兰 Data Protection Commissioner(DPC)负责监管总部位于爱尔兰的大型科技公司，这是它至今根据欧盟 General Data Protection Regulation（GDPR）法规开出的最大罚单。去年它对 Meta 旗下的 WhatsApp 开出了 2.25 亿欧元罚单，而卢森堡的数据监管机构对亚马逊的罚单达到创纪录的 7.46 亿欧元。

在豆瓣之后，另一个社交平台知乎被发现在移动端和 Web 版本嵌入了难以察觉的水印，这意味着如果用户在登陆状态下截图，知乎可以通过水印查出截图者的身份。知乎用户称，用户在桌面端可以使用 ublock 添加静态规则 zhihu.com##div:last-of-type[class*="css-"] 消除水印。

三星周五发布公告，证实部分美国用户信息在 7 月发生的网络攻击事故中被盗。三星称它在七月下旬检测到有未经授权的第三方从其美国系统中窃取了信息。8 月 4 日前后它确定部分客户信息被访问。三星表示客户的社会安全号码或信用卡和借记卡号码未受到影响，攻击者可能访问了客户姓名、联系人和人口统计信息、出生日期和产品注册信息。三星表示它正在加强系统安全，与执法部门协调调查。

在 McAfee 的安全研究人员报告之后，Google 从 Chrome Web Store 下架了五个扩展，总下载安装量逾 140 万次。这些扩展被指秘密跟踪用户浏览历史，并在访问特定电商网站时植入跟踪代码。被下架的扩展包括 Netflix 串流共享扩展 Netflix Party 和 Netflix Party 2，购物比价扩展 FlipShope，截屏扩展 Full Page Screenshot Capture，抢购扩展 AutoBuy。研究人员发现，这些扩展会将用户访问的网站名称，唯一标识符以及国家城市邮编等信息发送到 d.langhort.com。如果访问的电商网站与其列表匹配，扩展会植入 JS 代码，修改 cookies，让扩展开发者获得购物提成。

印度竞争委员会(CCI)获得德里高等法院的批准，对 WhatsApp 去年发布的引发争议的隐私政策进行调查。这是印度首次开展此类调查，将调查 WhatsApp 与 Meta 和后者旗下其它公司数据共享做法的全部范围和影响。这是印度政府为维护其公民的数字权利而迈出的一大步，最引人注目的一点或许是，印度宣称当一款应用具有市场主导地位时，其隐私政策和服务条款可能受到竞争监管机构重点关注。这可能为全球和印度本身的更多此类调查铺平道路。Meta 并不是唯一一家受到关注的大型科技公司。该反垄断机构已在就其他涉嫌违反反垄断规定的行为调查 Google、亚马逊和沃尔玛拥有的 Flipkart，以及印度食品科技公司 Swiggy 和 Zomato。

在封闭测试一年之后，DuckDuckGo 宣布向 DuckDuckGo 移动应用、浏览器扩展使用者开放提供其反跟踪电邮服务。这项服务将向用户提供 @duck.com 电邮地址作为邮件中转，它会在移除跟踪器之后转发到你的主邮箱地址。DuckDuckGo 称在封闭测试期间它处理的 85% 的邮件含有隐蔽的跟踪器。使用这项服务用户需要使用 iOS 或 Android 版本的 DuckDuckGo 移动应用，Firefox、Chrome、Edge 等的浏览器扩展， beta Mac 浏览器。

StockApps.com 的研究显示，在苹果、亚马逊、Facebook、Google 和 Twitter 五大科技公司中，Google 跟踪了最多的 39 类个人数据，苹果最少跟踪 12 类，Facebook 14，亚马逊 23，Twitter 24。StockApps.com 没有列出所有跟踪数据类型，只是表示包括位置、浏览历史和第三方网站活动等等。它称苹果是最具有隐私意识的公司，因为该公司不像 Google 等那样依赖于广告收入。

Debian 以隐私理由将 Chromium 浏览器的默认搜索引擎从 Google 改为 DuckDuckGo。Chromium 是 Chrome 的开源项目，但仍然包含有 Google 的服务。Debian 开发者是在今年初讨论用 DDG 替换 Google。它是通过受管理的策略文件（/etc/chromium/policies/managed/.json）实现这一变动的。用户仍然可以自己修改默认的搜索引擎。

我们认为这些是理所当然的：自来水、电、洗衣机和手机等。在自由开放社会里，我们认为这些无形的东西也是理所当然的：言论自由、财产权、隐私，等等。有形和无形的发明都会产生社会影响。以互联网为例，类似公路、自来水和电力，它改变了我们所知的世界。但互联网还没有完全成型，还在演变中，我们对它的理解也在不断变化。在互联网诞生之初，公众对于未加密通信的社会影响所知不多。Eric Hughes 在 1993 年指出，隐私对于开放社会的数字时代是必不可少的，隐私不是秘密，隐私是不想让全世界知道的事情，而秘密是不想让任何人知道的事情。隐私是一种向世界可选择展示自己的权力。30 年后，人们现在认识到隐私是数字时代的必需品。我们今天生活在一个奥威尔式世界中的原因之一是互联网一开始没有默认加密。隐私不是要隐藏什么，它是一种可选择展示自己、展示自己的想法和喜好的自由，它事关自由，是自由的保障。我们造墙、窗、窗帘、遮阳板和有色窗户，是为了在物理世界提供部分的隐私保障。我们创造数字加密和签名方案，也是为了确保数字世界的隐私和真实。隐私不是一种选择，它和自由是一体两面。

研究发现，流行 iOS 应用如 TikTok、Instagram、FB Messenger 和 Facebook 都支持用户在应用内打开浏览器访问第三方网站，期间会植入跟踪代码。以 TikTok 为例，它会记录用户的所有键盘输入，包括密码信用卡信息等敏感数据，以及屏幕上的每一次点击。从技术上说这相当于安装了一个键盘记录器。在这一报道发表之后，TikTok 发表声明，证实该功能存在，但 TikTok 并没有利用这些代码。TikTok 表示应用内浏览器旨在提供更好的用户体验，它植入第三方网站的 JS 代码是为了调试、排错和性能监视。

网友声称百度在为百度网盘招聘人工审核员，称可审核用户上传的照片等信息。此事立即引发了广泛关注。百度网盘官方微博回应称，百度网盘不存在所谓的照片人工审核，网络上关于百度网盘照片真人审核的内容是谣言。百度表示会保留追究法律责任的权利。

电动汽车会收集大量的数据，但究竟谁真正拥有这些数据？以特斯拉为例，每次驾车出行，汽车会记录完整的驾驶轨迹，GPS 坐标和每一英里的其它记录。特斯拉声称对收集的数据进行了匿名化处理，但逆向工程 Autopilot 数据收集的研究人员发现去匿名化事实上很容易，完全消除身份基本上是不可能的事情。特斯拉虽然不出售数据，但它能与服务提供商、合作伙伴或政府机构共享数据。车主可购买特殊工具访问汽车上的事件数据记录器，但这只是特斯拉收集的数据的很小一部分，只与车祸有关。当政府知道电动汽车制造商掌握了庞大的信息库后，寻求访问这个数据库只是时间问题。特斯拉是行业的领先者，汽车的数据驱动正成为行业标准。当汽车和手机一样强大而便捷时，它在监控、隐私和责任方面面临挑战并不出人意料。

今年早些时候，因为与微软的搜索合作协议，DuckDuckGo 被发现没有屏蔽所有微软跟踪程序。当时 DuckDuckGo CEO Gabriel Weinberg 解释说，DuckDuckGo 浏览器屏蔽了所有微软的 cookies。但如果你访问了一个含有微软跟踪程序的网站，那么用户的数据将会暴露给 Bing 和 LinkedIn，这是 DuckDuckGo 与微软搜索合作协议（search syndication agreement）的结果。他承诺将改进与微软的交易。现在 DuckDuckGo 宣布它的浏览器能屏蔽所有微软第三方 cookies。

美国移动运营商 T-Mobile 的系统在 2021 年遭黑客入侵，黑客窃取了 T-Mobile 用户社会安全号码、电话号码、姓名、地址、IMEI 号码和驾照等个人敏感信息，数量多达上亿。上周 T-Mobile 就此次事件的集体诉讼达成和解协议，同意支付 3.5 亿美元来处理集体诉讼原告的索赔，并支付其他相关费用。该和解方案仍有待法院批准，T-Mobile 预计最快将于 2022 年12月获得批准。

印度前不久宣布网络安全新规 Cyber Security Directions，要求 VPS 提供商、云服务提供商、VPN 提供商、虚拟资产服务提供商、虚拟资产交易提供商、钱包提供商和政府组织将客户姓名、电子邮件地址、IP 地址、已知客户记录和金融交易存储五年。印度称不愿意遵守数据保存规定的 VPN 公司应退出印度市场。结果是部分 VPN 提供商确实用脚投票宣布将退出印度市场。该规定原计划六月底生效，但现在印度计算机应急小组本周一晚宣布新规的执行时间推迟到 9 月 25 日，给 VPN 供应商和云服务商额外三个月时间决定是否遵守新规。