Tor 浏览器项目释出了 v15.0 版本，该版本是首个基于 Firefox ESR 140 的稳定版本，整合了 Firefox 上游版本一年来的更新，包括垂直标签页，统一搜索按钮等新功能和可用性改进。Tor 开发者称他们审查并解决了约 200 个可能对 Tor 浏览器用户的隐私和安全造成负面影响的 Bugzilla 问题，移除了被认为不具有可审计性的 AI 功能。

主要通过赌博网站传播的寰宇浏览器（Universe Browser）号称是“全网权威安全认证，值得信赖的浏览器”，安全公司 Infoblox 发现该浏览器会将流量理由经过中国境内的服务器，会秘密安装多个在后台静默运行的程序，它们的功能类似恶意程序，包括键盘记录、秘密连接和更改设备网络连接。研究人员表示，寰宇浏览器与赌博网站 BBIN（aka 寶盈集團）相关，研究人员将该组织命名为 Vault Viper，他们是在研究柬埔寨一赌场的系统时发现了 Vault Viper 相关的独特 DNS 指纹。研究人员逆向工程了寰宇浏览器，发现了很多类似恶意软件的功能，它还会试图逃避杀毒软件的检测。在浏览器启动时，它会立即检查用户的位置、语言以及是否在虚拟机中运行。它安装了两个扩展：其中一个允许上传屏幕截图。Infoblox 认为寰宇浏览器是识别富有玩家并获取其设备访问权限的完美工具。

加州圣迭戈（UC San Diego）和马里兰大学的研究人员发现，约半数地球静止卫星信号在传输敏感数据时没有加密。研究团队用了三年时间花了 800 美元在大学屋顶上安装了一个卫星接收器，拦截从他们的位置可见的卫星通信。他们只用 9 个小时就记录到了逾 2700 名 T-Mobile 用户的通话和短信。研究人员还收集到航班乘客使用机载 Wi-Fi 的数据，电力公司和海上油气平台的通信数据，以及泄露军人位置和设备信息的美国和墨西哥军方通信数据。泄露的数据源于电信公司利用卫星将远程基站信号中继到核心网络。在研究人员警告之后，大部分公司对卫星传输进行了加密。

瑞士周日公投以微弱多数批准电子身份证。这是瑞士电子身份证计划的第二次全民公决。第一次是在 2021 年，当时由于选民担心数据的隐私保护问题，以及该系统主要由私营企业运营而投了反对票。政府之后修改了计划，新的电子身份证将由政府运营，而且是可选的，且限制了数据的访问——举例来说，需要访问年龄的机构将只能访问到年龄信息。用户可选择将电子身份证数据与手机捆绑，如果更换手机将需要重新申请一张电子身份证。在周日的公投中，50.4% 的选民支持电子身份证，49.6% 的选民反对。投票率 49.55%。

自 2025 年 9 月 1 日起，越南银行将关闭被认为不活跃或不符合新生物识别规则的账户。政府估计，如果用户未能更新身份识别信息，2 亿个账户中逾 8600 万账户面临风险。越南国家银行还同时实施了更严格的交易门槛：超过 1000 万越南盾（约 379 美元）的在线转账必须进行面部认证；每日累计超过 2000 万越南盾（约 758 美元）的转账也需要生物识别认证。最新政策旨在打击欺诈、身份盗窃和深度伪造诈骗。受新政策影响最大的可能是外国居民和外籍的越南银行客户。

在限制了该国最流行的即时消息应用 WhatsApp 和 Telegram 之后，俄罗斯政府要求在其境内销售的智能手机和平板必须从 9 月 1 日起预装本土替代应用 MAX。俄罗斯政府在一份声明中表示，MAX 将整合政府服务，被列入自 9 月 1 日起在俄罗斯销售的所有电子设备——包括手机和平板电脑——强制预装的应用名单。官方媒体称，批评人士关于 MAX 是间谍应用的指控是错误的，MAX 的用户数据访问权限比竞争对手 WhatsApp 和 Telegram 少。俄罗斯同时还要求从 9 月 1 日起所有 Android 设备和苹果设备都预装本国的应用商店 RuStore。此外名为 LIME HD TV 的俄语电视应用也将预装在俄罗斯所有销售的智能电视上。

LWN 发表的一篇文章谈论了星际译王词典软件的潜在隐私问题。用户在 Debian 上安装星际译王时会默认安装插件包 stardict-plugin，其中之一是网易的有道在线词典插件，该插件还会链接另一个在线词典 dict.cn。在 X11 下星际译王默认会启用扫描功能，监视用户的文本选择通过弹出窗口提供自动翻译。在 Wayland 下该功能被破坏了，因为 Wayland 默认禁止应用程序捕获其它应用的文本。星际译王的 Debian 包维护者 Xiao Sheng Wen 认为这种做法没有问题，指出如果用户不想使用扫描功能或有道插件，可以禁用它们。但 Vincent Lefevre 认为，涉及隐私的功能永远不应该默认启用。用户可能会在文本选择时泄漏敏感信息，比如从密码管理器中复制粘贴密码。

Brave 浏览器对 Windows 11 用户默认屏蔽了受争议的 Microsoft Recall 功能。在这之前，Signal 桌面应用也宣布默认屏蔽 Recall。Microsoft Recall 会在用户使用电脑时每几秒钟截取一次屏幕截图，提取屏幕内容将其存储在一个可搜索的数据库中。Recall 引发了隐私和安全方面的争议，微软因此进行了多项调整。Brave 官方博客称，该浏览器的重心是默认最大化保护用户隐私，根据微软的说法，浏览器的隐私浏览窗口不会被截图，因此它通知操作系统 Brave 浏览器的所有浏览窗口都是“隐私窗口”，确保标签页内容不会被记录下来。

瑞典安保部门成员在健身应用 Strava 上分享了跑步和骑行路线，被指泄漏了首相的行踪。首相的保镖至少 35 次将锻炼记录上传到 Strava 应用，泄露了首相 Ulf Kristersson 本人的活动路线，包括跑步地点、国外过夜旅行细节，以及本应保密的私人住宅位置。

德国联邦数据保护与信息自由专员 Meike Kamp 周五表示，她已正式要求苹果和 Google 将中国 AI 公司 DeepSeek APP 从德国地区的 App Store 和 Google Play 下架。原因是该公司未能证明其数据处理符合欧盟标准，涉嫌将德国用户的个人数据非法转移至中国。根据 DeepSeek 的隐私政策，该应用会将用户的 AI 请求、上传文件等多种个人信息储存在中国境内的服务器上。德国监管机构今年早些时候要求 DeepSeek 满足欧盟关于数据跨境传输的合规要求，或主动下架应用。但 DeepSeek 并未作出回应，因此 Kamp 启动了正式下架程序。

丹麦准备通过修改版权法确保每个人都拥有其身份、面部特征和声音所有权的方式打击 AI 深度伪造。丹麦文化部准备先公开修正提案征询公众意见，然后在今年秋季正式递交修正案。提案已获得议会九成议员的支持。AI 技术术快速发展，制作逼真的深度伪造图像、视频或声音比以往任何时候都容易。一旦修正案获得批准，丹麦公民将有权要求网络平台删除未经同意分享的内容。修正案不会影响戏仿和讽刺作品。

三星西亚北非用户报告，该公司在该地区销售的 A 系列和 M 系列智能手机中预装了以色列公司 ironSource 的软件 AppCloud。AppCloud 被认为是一款侵入性极强的软件，会未经用户同意或知情下收集敏感个人数据，用户无法在不危及设备安全性的情况下将其卸载。AppCloud 构成了巨大的安全和隐私风险，当地用户呼吁三星提高透明度，要求了解收集的数据如何使用，尤其是以色列在该地区展开大规模间谍活动的背景下。

一位英国女子被面部识别系统错误识别为偷盗了 10 英镑商品的小偷。 Danielle Horan 于 5 月和 6 月被英国连锁店 Home Bargains 的两家门店拒绝进入。第一次遭遇此事时她以为对方在开玩笑，在众目睽睽之下她不知所措。在抗议之后，门店经理建议她联络向连锁店提供面部识别技术的 Facewatch 公司。6 月 4 日她陪同母亲去了另一家 Home Bargains 门店，再次被店员围住要求离开，有了上次经验的她要求对此给出解释。在多次向 Facewatch 和 Home Bargains 发送电邮后，她才知道在 5 月 8 日她被指控偷了 10 英镑的卫生纸，在检查银行账户后她确认自己付款了。Facewatch 最后回应他们在审查之后确认她没有盗窃。该公司辩解称它依赖于门店提供的信息。公民自由运动组织 Big Brother Watch 的 Madeleine Stone 表示收到了超过 35 人的联络，投诉被错误列入了面部识别监视名单。她表示，英国在历史上一直认定，在被证明有罪之前你是无辜的；但当算法、摄像头和面部识别系统介入时，你就先被定罪了。

欧洲安全研究人员周二报告，社交巨人 Meta 和俄罗斯搜索引擎 Yandex 使用原生 Android 应用监听本地主机端口，将 Web 浏览数据与用户身份关联，绕过常见的隐私保护措施。在去匿名行为曝光之后，Meta 修改了它的应用，停止使用移动端口跟踪技术，移除了跟踪代码。Meta 发言人表示正与 Google 讨论，合作解决问题。安全研究人员称，Meta 和 Yandex 使用原生 Android 应用通过 localhost 收集 Web cookie 数据。通过打开 localhost 端口，Android 应用能从移动浏览器上运行的脚本接收跟踪数据，绕过常见的隐私保护措施如 Cookie 清除、隐身模式和 Android 应用权限系统。

俄罗斯政府起草了一项新法律，强制要求莫斯科地区的所有外国人都安装位置跟踪应用。俄罗斯国家杜马主席 Vyacheslav Volodin 宣布了这项新法律提案，形容此举是为了打击移民犯罪，“利用现代技术加强移民监管，将有助于减少该地区的违法犯罪行为。”所有莫斯科地区的外国人都必须在智能手机上安装一款移动应用，向俄罗斯政府提供居住地、指纹、人脸照片以及实时地理位置跟踪。

Signal 项目宣布其桌面应用在默认下不能被 Recall——aka 被屏幕截图。Microsoft Recall 会在用户使用电脑时每几秒钟截取一次屏幕截图，提取屏幕内容将其存储在一个可搜索的数据库中。Recall 引发了隐私和安全方面的争议，微软因此进行多项调整。Signal 桌面应用将默认启用支持新的“屏幕安全”设置，阻止 Recall 在用户使用 Signal 时进行屏幕截图。

巴西研究人员使用公共 API 抓取了逾 20 亿条 Discord 消息，匿名化数据后将其公开。此举引发了 Discord 社区的恐慌，担心隐私曝光。Discord 服务器由用户生成，可设置为公开或私有，新用户可通过发现功能搜寻公开的服务器。研究人员利用该功能绘制了所有公开服务器的地图，截至 2024 年 11 月 17 日，共发现 31,673 个服务器。他们随机选择了其中 10% 的服务器进行数据抓取，汇集了 2015-2024 年期间发布的帖子，他们发布的数据集包含了 3,167 台服务器的 4,735,057 名独立用户的 2,052,206,308 条消息，压缩后的数据库容量为 118GB。研究人员表示创建该数据集是为了方便其他研究人员进行各种主题的研究。

法国当局拒绝了 Telegram 创始人 Pavel Durov 前往美国“与投资基金协商”的请求。巴黎检察院是于 5 月 12 日作出这一决定的，它的理由是此类出国旅行似乎既不必要也无正当理由。Pavel Durov 于 2024 年 8 月在法国机场被捕，9 月被控与其运营的 Telegram 平台上非法活动相关的六项罪名，他被禁止未经许可离开法国。他在今年 3 月 15 日至 4 月 7 日期间获得了前往迪拜的许可。他拥有阿联酋和法国等国的公民身份。

现代汽车引入了常见于流媒体服务的订阅模式，车主需要支付月费或年费才能解锁从免手动驾驶系统、加热座椅到自动记录事故摄像头等额外功能。但汽车订阅模式所需的额外网络连接可能会增加司机受到政府监控的风险，增加被警方调查的可能性。《连线（WIRED）》调查了逾二十份警方记录，显示警方定期接受如何利用联网汽车的培训，而订阅功能会大幅增加了警方调查期间可访问的数据量。文件显示，配备 OnStar 订阅服务的通用汽车传输的数据量是福特汽车的两倍，其传输的数据包括了泄漏汽车位置的信息。警方文件显示，汽车厂商经常会通过试用吸引车主使用订阅功能，即使车主没有选择订阅，车载设备仍然会与手机塔等设备进行通信。

韩国个人信息保护委员会 24 日发布的调查结果显示，目前暂停在韩下载服务的中国 AI 模型DeepSeek（深度求索）曾将韩国用户信息和输入内容擅自转移至中美等地。从 1 月 15 日到 2 月 15 日，DeepSeek 将用户的设备、网络、APP 信息等个人信息擅自转移至字节跳动旗下云服务平台火山引擎等 3 家在华企业和 1 家在美企业。DeepSeek 未事先就此获得用户同意，也未在个人信息处理方针中明示相关内容。除用户个人信息之外，DeepSeek 还将用户在输入框内输入的内容擅自转移给火山引擎。委员会指出，DeepSeek 没有将输入内容转移的必要，且未事前提供“opt-out”选项，建议其立即删除向火山引擎转移的输入内容相关数据。委员会未公布 DeepSeek 重启在韩服务的具体时间。考虑到 DeepSeek 已对大部分问题采取改善措施，预计其不日将重启在韩下载服务。