Facebook CEO Mark Zuckerberg 使用加密消息应用 Signal。他的电话号码包含在泄露的 5.33 亿 Facebook 用户数据中间，除此之外还有他的名字、地址、婚姻状况、出生日期和 Facebook ID。一位安全研究人员说，又一次大转折，Mark Zuckerberg 注重他自己的隐私，使用不属于 @facebook 支持端对端加密的聊天应用。Facebook 联合创始人  Chris Hughes 和 Dustin Moskovitz 也受到泄密的影响。

有人在黑客论坛泄露了 5.33 亿 Facebook 用户信息，其中包括电话号码、Facebook ID、姓名、地址、出生日期、个人简历等，部分用户的信息还包括电邮地址。信息遭到泄露的 Facebook 用户分布在 106 个国家，其中美国有 3200 多万，英国有 1100 万，印度有 600 万。Facebook 发言人称，这些数据是利用该公司在 2019 年修补的一个漏洞抓取到的。虽然数据可能是两年前的旧数据，但对于网络罪犯来说仍然是有价值的。安全专家表示这些数据可被利用发动社会工程攻击或入侵尝试。

苹果开始拒绝使用第三方 SDK 未经同意跟踪用户的应用。应用开发商可以通过部分第三方 SDK 利用类似设备指纹的访问跟踪用户，跟踪用户并非不合法，但苹果希望终结未经用户明确同意跟踪的应用，它开始拒绝使用 Adjust SDK 的任何应用，Adjust SDK 是众多提供设备指纹的 SDK 之一。苹果的新隐私保护政策将影响许多公司收集用户数据。

不管你需不需要，几乎所有家电都能联网的时代正在我们走来。没有冠以“智能”的电视机早就销声匿迹，而大部分所谓的智能电视机还有广告，部分品牌则将没有开屏广告作为卖点。配备了摄像头和麦克风的智能电视容易遭到滥用已是众所周知，它们会将收集的信息发送到厂商的服务器，你根本不知道它们收集了哪些信息。好消息是，大部分物联网设备使用的是 Wifi 连接，我们至少还可以通过路由器控制它们的行为。但厂商也有应变之道：直接嵌入蜂窝调制解调器和 SIM 卡，解决不在线的问题。这种现象将会越来越多，它们将会完全脱离用户的有限控制。除了将它们关在法拉第笼内，消费者将无能为力，隐私、监视、跟踪将会无处不在。这就是不请自来的物联网时代。

都柏林大学圣三一学院的 Douglas J. Leith 教授跟踪了（PDF）iOS 和 Android 设备向苹果和 Google 服务器发送的遥测数据，发现 Google 收集的数据二十倍于苹果。Leith 教授称，研究考虑了操作系统本身收集的数据以及操作系统供应商提供的默认应用收集的数据，云端存储，地图/位置服务等，只计算遥测数据。Leith 教授指出，即使用户选择退出遥测， iOS 和 Android 仍然会发送遥测数据。苹果收集了更多的信息数据类型，但 Google 收集的数据量要多得多。开机 10 分钟内，Pixel 手机向 Google 发送了 1MB 数据，而 iPhone 发送了 42KB；在闲置状态下，Pixel 手机每 12 小时向 Google 发送 1MB 数据，相比之下 iPhone 只向苹果发送 52KB 数据。当新的 SIM 卡插入到设备中，相关信息会立即与苹果和 Google 共享。设备上预装的应用被发现在未启动或使用前就会连接苹果和 Google 服务器。Google 发言人用汽车收集数据为它收集数据辩护。

新西兰 Canterbury 地区卫生局的新冠疫苗预定系统被发现暴露了 716 名登记的患者个人信息，包括姓名、性别、出生日期和 NHI 号码。这套系统是 Valentia Technologies 公司开发的，对系统代码的简单评估发现，问题根源在于开发商的无能。用户输入的信息被直接硬编码在网站上，其他用户可以公开查看，了解何时何地接种的信息。新西兰卫生部对 Valentia 开发的所有系统展开了审查，其他地方的卫生部门也使用了 Valentia 的预定系统，但只是在内网使用，有密码保护。

网信办、工信部、公安部和市场监督管理总局公布了《常见类型移动互联网应用程序必要个人信息范围规定》，对地图导航、网络约车、即时通信、网络支付、网络借贷等 39 类 App 搜集个人信息的范围做出明确规定，禁止因用户拒绝提供非必要信息而不予服务。以即时通信类 App 为例，基本功能服务为“提供文字、图片、语音、视频等网络即时通信服务”，必要个人信息包括：1.注册用户移动电话号码；2.账号信息：账号、即时通信联系人账号列表。浏览器类，基本功能服务为“浏览互联网信息资源”，无须个人信息，即可使用基本功能服务。

美国商务部周三表示，已向多家中国公司发出传票，要求它们向政府提供更多有关使用和转移美国数据的信息，以确保敏感信息没有与中国共享。这些传票是对特朗普政府一项行政命令的执行，旨在监督通信技术等行业中的外国公司。商务部没有披露哪些中国公司受到影响。

Brave 浏览器在 2018 年加入了对 Tor 匿名网络的支持，Brave 用户无需安装 Tor 就能访问暗网 .onion 地址。一位安全研究员报告，Brave 浏览器的 Tor 模式会将 .onion 域名的查询发送到公共 DNS 服务器而不是 Tor 节点。这位研究员称其发现很容易复现，建议用户使用 Tor Browser 而不是 Brave 访问暗网。在这一发现引发广泛关注之后，Brave 宣布已释出补丁修复该问题。

在电邮中使用跟踪技术正日益常见。被称为跟踪像素的技术可记录邮件是否以及何时打开；邮件被打开了多少次；打开邮件的设备类型；用户的粗略位置。这项技术可被用于判断一个特定电邮推广活动的影响，以及记录下更多的客户肖像细节。跟踪像素通常是只有 1x1 像素的 .GIF 或 .PNG 文件，被插入到插入到电邮的页眉、页脚或正文中，用户的裸眼是无法识别出它的。用户可以使用电邮程序的免费插件剥离掉大部分跟踪像素。

腾讯总部所在地深圳市南山区法院上个月判决，微信好友关系不属于个人隐私。本案的原告在 2019 年发现，使用微信或 QQ 登录腾讯“微视”APP后，微视会获取其全部微信或 QQ 好友信息。他认为，腾讯公司未经其授权将他的微信、QQ 好友关系提供给其他 APP，侵犯了他的隐私权。但南山法院认为，“隐私是指用户对其生活领域不愿公开的信息享有不被他人知悉的权利。原告主张的性别和地区属于公开信息，不构成隐私。”北京师范大学法学院教授袁治杰认为，腾讯并没有权利将微信好友关系披露给第三人，“即使我同意微信可以将我的好友关系提供给他人，微信也不得提供。因为好友关系是双向的，要想有权提供，微信必须同时获得了我的好友们的同意才行。换句话说，必须获得双向同意才行。”

苹果为 iOS 加入的新反跟踪隐私保护功能让广告行业头疼不已。Google 上周告诉合作伙伴该功能将会对广告收入产生显著影响。Facebook 则对苹果发起了全面挑战，考虑采取法律行动。然而现在彭博社报道，世界最大的网络广告公司考虑为 Android 引入类似的反跟踪功能。报道称，搜索巨人正在讨论如何在 Android 操作系统上限制数据收集和跨应用跟踪，但其实现方式将没有苹果的方案那么严格。报道称，这一讨论处于早期阶段，可能并不会发生。

《南方周末》调查了输入法的隐私问题（付费墙，微信）。根据 Mob 研究院数据，2020 年搜狗、讯飞和百度三家输入法占据了国内市场九成的活跃用户，其中搜狗占有率最高，54%。2020 年 9 月，腾讯全资收购了搜狗。第三方输入法被广泛使用，但其潜在的隐私问题也日益引起关注。搜狗、讯飞和百度三家的隐私协议表示，用户信息共享方主要为输入法服务商的关联公司、合作伙伴。合作伙伴包括广告、分析、信息推广服务类的授权合作伙伴，供应商、服务提供商和其他合作伙伴如第三方SDK，以及提供风控服务的合作方。

巴西几乎所有人的信息泄露。泄露的数据为 14 GB，包含了 1.04 亿车辆和 4000 万家企业详细信息，潜在受影响人数 2.2 亿。巴西人口 2.1 亿，这意味着巴西所有人的信息都被泄露（还有部分在巴西生活的外籍居民）。泄露的信息包含了姓名、出生日期和 CPF 号码。CPF 号码是巴西税务局分配给居民和需要纳税的外籍居民的数字。网络安全公司对钓鱼骗局发出了警告。

Google 周一宣布它可能找到了 cookies 的隐私友好替代。它测试了名为 Federated Learning of Cohorts (FLoC)的新 API，其源代码发布在 GitHub 上。测试显示，相比基于 cookies 的广告，FLoC 广告的转化率至少达到 95%。FLoC 使用机器学习算法分析用户数据，然后根据个人访问的网站将数千用户分成一组，数据是浏览器在本地收集的不会分享出去，但这群用户的数据会共享并被用于定向广告。也就是说 FLoC 广告是根据一个人的普遍兴趣进行针对性展示。

一名黑客在黑客论坛泄露了 228 万约会网站 MeetMindful.com 注册的用户数据。泄露数据容量约 1.2 GB，包含了部分敏感的用户真实信息，包括真实姓名、地址和邮编、电子邮件、约会偏好、婚姻状况、出生日期、经纬度、IP 地址、Bcrypt 哈希的账号密码、Facebook 用户 ID、Facebook 身份验证令牌。泄露数据不包含用户之间交流的信息。

德国下萨克森州的数据监管机构对一家德国在线笔记本零售商 NBB 开出了在欧盟数据保护条联 GDPR 下最高的罚款：1040 万欧元。原因是它在过去两年无任何法律依据就对雇员展开了持续的视频监控。NBB对工作场所、门市部、仓库和公共区域进行了视频监控，声称是为了防止其产品被盗。但数据监管机构称，如果要防止盗窃，公司首先应该采取“适度”的方法如在员工离开时随机检查包，只有对特定员工存在“合理的怀疑”时候才能使用视频监视，而且视频监视只能在有限的时间内使用。NBB 的视频监控不是限定在特定时间或特定雇员，被认为在 GDPR 下是不可接受的。

腾讯QQ在问答网站知乎的官方账号回应了 QQ 扫描浏览器历史数据，声称是为防止恶意登陆。腾讯是知乎的股东。它在声明中称，在收到报告之后它的安全团队“发现 PC QQ 存在读取浏览器历史用以判断用户登录安全风险的情况，读取的数据用于在 PC QQ 的本地客户端中判断是否恶意登录。所有相关数据不会上传至云端，不会储存，也不会用于任何其他用途。具体情况为，该操作为历史上线的一个对抗恶意登录的技术解决方案：因系统识别有不少伪造的 QQ 客户端会恶意访问多个网站作为前期辅助工作，因此在 PC QQ 客户端中加入了检测恶意和异常的访问逻辑，以此作为辅助手段去判断恶意客户端。对本次事件，我们深表歉意，内部正梳理历史问题并强化用户数据访问规范。目前，我们已经更换了检测恶意和异常请求的技术逻辑去解决上述安全风险问题，并发布全新的 PC QQ 版本。为减少不便，所有受影响的 PC QQ 历史版本将在今天开始进行热更新和推送升级包。同时，手机端 QQ 不存在上述操作，不受影响。”此前用户发现 QQ/TIM 会扫描基于 Chrome/Chromium 的浏览器默认历史纪录存放位置，搜索电商网站如京东的购物连接，匹配投资炒股等关键字。

腾讯消息应用 QQ 以及 QQ 办公版 TIM 被发现会扫描用户的浏览器历史，搜索购物记录选择性上传。用户报告，QQ 在登陆 10 分钟之后开始扫描 Appdata\Local\下的所有文件夹，对其中 User Data\Default\History 进行进一步的扫描，User Data\Default\History 是基于 Chrome/Chromium 的浏览器默认历史纪录存放位置，Firefox 的浏览历史存放位置不同，因此目前看来不受影响。不过 Firefox 市场份额不高，而基于 Chrome/Chromium 的浏览器占据了九成以上的份额。

短视频应用 TikTok 推出了一系列保护儿童的措施，所有不满 16 岁的用户账号将自动设为私有，只有批准的粉丝才能在这些账号发布的视频下留言。不满 16 岁用户创建的视频也被禁止下载。13 到 15 岁用户可以批准粉丝和选择是否公开视频，但他们的账号不会推荐给其他用户。16 到 17 岁用户也可以不允许下载他们创建的视频，他们也可选择关闭这一限制。