Have I Been Pwned 是一个非常流行的用户数据泄露检查服务，但要在中国建立类似的服务非常困难，大公司会发出律师函，因为这更方便。最近有数十 GB 的 QQ 用户数据泄露，有开发者设立了一个类似的服务 https://privacy.kallydev.com（已下线），允许用户检查自己的信息是否泄露，项目源代码发布在 GitHub 上。12 月 1 日，腾讯律师在该项目下递交了律师函，称 “QQ查询手机号”网站接口“均提供个人信息查询，该接口以及其信息提供者极有可能已构成侵犯公民个人信息罪，非法侵入计算机信息系统罪，非法获取计算机信息系统数据、非法控制计算机信息系统罪。腾讯公司保留追究相关责任人法律责任的权利，并根据情况随时向公安机关报案。”这位开发者随后删除了项目，关闭了网站。

围绕 Tor 匿名网络有很多的争议。支持者认为它是保护在线隐私和规避审查的重要服务，批评者则认为它庇护了传播儿童色情、贩卖非法毒品和从事其它非法活动的犯罪分子。那么它带来的好处更多还是造成的破坏更多？根据发表在 PNAS 期刊上的一篇论文，美国弗吉尼亚理工、斯基德莫尔学院和英国 Cyber Espion 公司的研究人员从 2018 年 12 月 31 日到 2019 年 8 月 18 日之间监视 Tor 网络流量，通过分析流量中的独特指纹，研究人员能判断一个 Tor 客户端通过匿名网络访问的是普通网站还是暗网服务。他们发现，被自由之家评为“不自由”地区的 Tor 用户访问隐藏服务的比例为 4.8%，而“自由”地区的比例则高达 7.8%。研究人员认为不自由地区的用户倾向于访问合法的网站内容，不太可能从事非法活动。Tor 项目成员对这一研究提出了质疑，指出并非所有的暗网服务都是非法的，流行网站如 Facebook、纽约时报和 BBC 都提供了 .onion 网站。

在安全公司 Palo Alto Networks 报告百度的 Android 应用百度地图和百度搜索框收集用户敏感数据之后，Google 在其应用商店 Google Play Store 下架了这两款应用。Palo Alto Networks 称，数据收集代码包括在百度应用内的通知系统 Baidu Push SDK 中，收集的信息包括了手机型号、MAC 地址、运营商信息以及 IMSI 号码。百度发言人否认数据收集行为是两款应用下架的原因，称百度应用获得了用户许可去收集这些数据。Google 团队在应用中发现的其它问题导致了其下架，百度正在解决这些问题。目前百度搜索框已经恢复上架，而百度地图也将在问题解决之后很快上架。Palo Alto Networks 称，他们还在中国广告科技公司 MobTech 开发的 ShareSDK 中发现了类似的数据收集代码。

南方都市报报道，多家房地产公司的售楼处利用人脸识别识别客户身份，并据此给出不同的报价。一位中介称，每当新楼盘上市时，房企一方面会花大量费用做营销宣传，吸引潜在购房者，另一方面也会找各种卖房平台作为“分销渠道”，让渠道帮忙招徕客户。如果购房者是看了房企宣传前来买房，叫做“自然到访客户”，说明房企的营销费没白花；如果购房者被渠道中介带上门，就属于“渠道客户”，房企要给予中介一定的“好处费”，即提成佣金。过去，房企销售与渠道中介抢客户的“混战”经常发生。而人脸识别，就是为了帮助房企判断某个购房者是什么类型、是谁的客户，佣金应该发给谁。报道称，没有被系统记录下来的首次到访客户其下单的房屋售价最低可以便宜数十万元。

上周苹果服务器宕机导致了应用程序失去响应或需要数分钟时间才能启动运行。此事引发了对 macOS 操作系统隐私方面的担忧，苹果被发现会检查用户启动的任何应用程序。苹果于 16 日更新了相关的技术支持页面（中文版未更新），回应了隐私保护方面的问题。苹果称，Gatekeeper 会执行在线检查以验证应用程序是否包含已知恶意软件，以及开发者的签名证书是否已被撤销。苹果称它从未将这些信息与苹果用户或设备统一起来，不会使用检查数据去了解用户设备上运行的程序。安全检查不包含用户的 Apple ID 或设备识别符。为了进一步保护用户隐私，苹果已停止记录 IP 地址，将确保所有任何收集的 IP 地址从日志里移除。明年苹果还将提供关闭的选项。

Tim Berners-Lee 爵士创建的、旨在推广一种新网络数据架构的 Inrupt 公司推出了其首款适用于企业的 Solid 服务器，供英国国家医疗服务体系(NHS)、英国广播公司(BBC)和国民西敏寺银行(NatWest Bank)等十多家合作伙伴使用。Inrupt 的 Solid（社交链接数据）技术是 Tim 爵士和一支 MIT 计算机科学家团队开发的，该技术使用户能够创建自己的 Pod（个人在线数据库）。这使他们能够控制自己的数据，并按照自己的意愿授予第三方应用程序访问权限。例如英国国家医疗服务体系正在运行一个试点项目，允许用户在他们自己的Pod上存储个人医疗数据，上传来源于其他生活类应用的数据，并与医生和护理人员共享这些信息。

新加坡将成为第一个将脸部身份验证引入到全国 ID 系统的国家，但此举引发了隐私方面的担忧。从明年开始，新加坡居民将可以通过扫描脸部访问政府机构、银行服务和其它便利设施。脸部身份验证已被广泛采用，新加坡进一步将脸部身份验证引入到国家身份数据库中。这项技术将在不同光照条件下拍摄一系列脸部照片，匹配国家已有的身份数据包括国家身份识别卡、护照和就业证。批评者担心这项技术会被滥用用于跟踪人。

一位扩展开发者注意到，在 Chrome 的“Cookie 和网站数据”设置中，用户可以启用“关闭 Chrome 时删除 Cookie 与网站数据”。但在启用该选项之后，Google 旗下网站如搜索和 YouTube 的数据在关闭之后并没有删除。他对其进行了一番测试，在没有登陆 Chrome 或任何 Google 服务的情况下 YouTube 等 Google 服务的数据在浏览器关闭之后仍然保留了，也就是说 Google 旗下网站默认豁免于用户设置。Google 的做法再次引发了争议。

Ring 最新的家用安全摄像头是能在室内飞行的无人机 Always Home Cam，用户可以在离家的情况下使用无人机查看各个房间的情况，完成任务之后无人机将回到充电座给电池充电。无人机预计售价 249.99 美元，明年开始发货。Ring 创始人 Jamie Siminoff 称，Always Home Cam 背后的想法是在不需要使用多个摄像头的情况下提供室内状况的多个视角。他说公司花了两年时间研发这个设备，无人机技术的进步让他们能实现想要的产品。Always Home Cam 的工作有点类似扫地机器人，构建室内地图告诉无人机飞行路线和抵达的地点。无人机可以在探测到某些情况的时候起飞去检查。

Tor 项目释出了桌面版本的 Tor Browser 10，Android 版本还在开发之中，预计未来几周发布。Tor Browser 10 基于 Firefox 78.3.0esr，更新 NoScript 11.0.44，Tor 0.4.4.5，默认禁用 TLS 1.0 和 1.1，包括了大量 bug 和安全修正。Tor Browser 10.0 将是最后一个支持 CentOS 6 的版本，从 10.5 系列开始将不再支持 CentOS 6。

整合境外数据信息为国内机构提供服务的深圳振华数据信息技术有限公司的一个数据库外泄。数据库包含了大约 240 万人的信息，绝大部分收集自社交网络。澳大利亚堪培拉的网络安全咨询公司 Internet 2.0 分析了其中 25 万人的记录，有 5.2 万美国人、3.5 万澳洲人和 1 万英国人。这些数据包括了政客如英国首相 Boris Johnson，政客的亲戚、王室、名人和军人。深圳振华的一名发言人表示，这只是数据整合，该公司否认与中国政府或军方有关联，称其客户主要为研究组织和商业团体。

为了避免美国的封杀，深圳大疆承诺为其无人机加入本地数据模式，取消互联网连接，阻止通过互联网传输无人机数据。它还委托 FTI Consulting 对其源代码进行了安全审查。大疆称，它将在未来几个月在 DJI GO4 和 DJI Fly 飞行控制应用中加入“Local Data Mode”。深圳大疆是全球最大的小型无人机供应商，但因为它的总部位于中国深圳，美国正考虑对它的无人机发出禁令。深圳大疆在其网站上公布了委托 FTI Consulting 完成的安全审查报告，检查了它的 2000 万行源代码。

2012 年，法国和 Google 的研究人员分析了 382,269 名用户的浏览历史所构成的大型数据集，调查浏览历史是否能作为指纹跟踪用户。研究人员发现（PDF），绝大部分用户的浏览历史是独一无二的，并且相当稳定，可作为指纹使用。在本月举行的 USENIX 会议上，Mozilla 的研究人员重复了这项研究并进行了延申（PDF）。研究人员使用的数据集包含了 5.2 万名 Firefox 用户在两周内的浏览历史，分析显示了 48,919 个可区分的浏览资料，即 99% 的浏览历史是独一无二的。超过八成用户可通过浏览历史重新识别身份。研究人员还发现，只需要考虑 50 个最流行网站就足以获得独特指纹。这项研究凸显出收集浏览历史所带来的个人隐私问题，研究人员称他们发现大量第三方在收集用户浏览历史将其作为标识符使用。

Facebook 警告开发者，即将发布的 iOS 14 的隐私设置将严重削弱其跟踪用户活动的能力，阻止其提供定向广告。iOS 14 预计在秋季发布，包含了多项消费者隐私保护功能，如果应用收集唯一设备识别码 IDFA，它将要求应用开发者通知用户。IDFA 是一个随机生成的标识符，由苹果分配给设备。应用可以使用这些标识符关联用户的活动，使用跨应用用户数据展示定向广告。在 iOS 14 中，访问 IDFA 数据将需要经过用户的同意。Facebook 告诉开发者，它旗下的应用如 Facebook、 WhatsApp、Instagram 和 Messenger 将不再收集 IDFA。

2018 年美联社报道在用户明确关闭地理位置历史之后 Google Maps 等服务仍然会储存用户位置数据。美国亚利桑那州的首席检察官 Mark Brnovich 随后发起了调查，2020 年 5 月对 Google 提起了诉讼，指控搜索巨人违反了该州的消费者欺诈法律。法官公开了多个与本案相关的文档，Google 内部邮件和聊天日志显示隐私设置也让自己公司的员工也感到困惑不已。内部信息显示，部分 Google 员工也不知道隐私设置有全局开关和每个设备的独立开关。有 Google 员工称看到报道之后自己也感到吃惊，称产品的 UI 让消费者困惑。

Google 承认，其 Google Home 语音助手“不小心”启用了一项功能，允许其激活记录了周围的所有声音。在正常情况下，Google Home 设备只在听到特定命令之后激活，如“Ok, Google”或“Hey, Google”。在唤醒之前，它会持续的监听是否有命令下达，但不会记录它听到的声音。Google 称在最近的一次更新之后部分用户意外启用了这项功能，它已经回滚了。

Mozilla 安全博客介绍了即将在未来几周推送给 Firefox 用户的增强隐私保护功能 Enhanced Tracking Protection 2.0（ETP 2.0）。ETP 2.0 能屏蔽新的先进跟踪技术 redirect tracking，每隔 24 小时清除跟踪网站的 cookies 和网站数据，但这并不包括用户经常访问的网站。Redirect trackers 是指用户在前往目标网站之前被迫先访问跟踪器的网站，这意味着跟踪器将会作为第一方加载因此允许储存 cookies。

随着系统越来越封闭，Android 越来越多的被一些人认为是 Google 的间谍工具。据 The Information 援引知情人士的消息报道（付费墙），至少从 2013 年起名为 Android Lockbox 的项目收集了敏感的 Android 用户数据。Google 内部团队跟踪了全世界对第一方应用的使用数据，同时利用 Lockbox 收集的第三方应用使用数据，向公司高管展示双方的对比表现。本月初 Google 在印度就使用了这一数据，搜索巨人计划推出 TikTok 的一个竞争应用。用户数据是通过 Google Mobile Services 服务搜集，除了中国大部分 Android 手机都预装了 GMS 服务。Google 的代表称它是通过一个 API 访问到第三方应用的使用数据，而该 API 自 2014 年起就提供给了第三方开发者，“API 不包含任何应用内活动的信息，我们的收集是公开的，受用户的控制。”如果 The Information 指控是精确的，那么反垄断监管机构可能有很多问题要问 Google。

Mozilla VPN 服务正式开始提供给美国、加拿大、新西兰、新加坡和马来西亚的用户使用。Mozilla VPN 月费为 4.99 美元，支持 Windows 10、Android 和 iOS，尚不支持 Linux 和 MacOS。Mozilla VPN 是 Mozilla 与 VPN 服务商 Mullvad 合作提供的，基于最近进入内核主线的 Wireguard 协议，承诺不记录任何日志。其它 VPN 服务商也有类似的承诺，然而经常被发现不属实。Mozilla 是知名的开源浏览器开发商，它的承诺是否可信只能由用户自己来判断了。Ars 对其进行了一番测试，结果显示性能还是相当可以。

家谱数据库网站 GEDmatch 因帮助警方破解了金州杀手等陈年悬案而闻名远扬，但也引发了用户隐私的争议。GEDmatch 因此修改了授权，只允许执法机构访问明确授权的用户 DNA 数据，它的 145 万用户只有 28 万允许警方搜索 DNA 进行匹配。但上周末，去年 12 月收购 GEDmatch 的 Verogen 声称遭到黑客攻击，它的数据库突然之间所有用户授权被重置，所有用户家谱数据可以被任何人访问。黑客攻击之后 GEDmatch 很快恢复了服务，但用户授权再次发生问题，这一次屏蔽了所有搜索。GEDmatch 随后再次下线进行维护。7 月 21 日另一个家谱网站 MyHeritage 称其用户遭到钓鱼攻击，攻击者使用了窃取自 GEDmatch 的电邮地址。