Tor 项目与 Mullvad VPN 联合推出的隐私浏览器 Mullvad Browser 默认使用 DuckDuckGo，但它也同时为 VPN 的付费用户提供了一种替代搜索引擎：Mullvad Leta。Mullvad Leta 使用 Google Search API 作为代理，缓存每次的搜索，缓存结果在所有用户之间共享，此举旨在降低成本和改进隐私。该搜索服务是由用户支持的，不依赖于广告或数据出售。一旦用户在设置页完成账号设置，就不再每次都需要登陆。为抵御相关性攻击和节省费用，结果将缓存 30 天，可能会导致信息过时。

Python 软件基金会披露，它在 2023 年 3 月和 4 月收到三张美国司法部的传票，要求提供软件包仓库 PyPI 的用户数据。传票要求提供姓名（包括订阅名、用户名和网名），地址（包括邮寄地址、居住地址、公司地址和电子邮件地址），连接记录，会话时间和持续时长以及相关 IP 记录，所有上传的 PyPI 软件包记录和这些软件包的下载 IP 日志，等等。Python 软件基金会在与律师讨论之后满足了传票要求，它表示致力于维护用户的自由、安全和隐私，将重新审视现有的数据和隐私标准，制定新的数据保留和披露政策。

Google 正准备用隐私沙盒（ Privacy Sandbox）取代受争议的第三方 Cookie，隐私沙盒跟踪用户的兴趣，允许广告商根据兴趣展示广告，而用户可以管理兴趣并对其归类分组。隐私沙盒代表着广告行业的一次巨大变化。现在 Google 宣布，今年七月发布的 Chrome 115 标志着隐私沙盒相关的 API GA（普遍可用），开发者可对其进行测试，Google 不会在之后对 API 进行重大改变。开发者可以评估淘汰第三方 Cookie 之后的情况，为接下来的变化做准备。从 2024 年开始，Google 将把 1% 的 Chrome 用户迁移到隐私沙盒禁用第三方 Cookie，它准备在 2024 年底完全淘汰第三方 Cookie。

OpenAI CEO Sam Altman 表示该公司不再使用 API 客户的数据去训练 ChatGPT 模型。他说客户明确不想要用他们的数据训练，所以他们改变了计划。根据互联网档案馆时光机器（Wayback Machine）的记录，OpenAI 是在 3 月 1 日修改了服务条款。Altman 表示该公司已经有一段时间不用任何 API 数据训练模型。OpenAI 的商业客户如微软主要是通过 API 使用其大语言模型。OpenAI 的新服务条款只保护使用 API 的客户，对于用户直接与 ChatGPT 对话的数据 OpenAI 仍然会将其用于训练。包括亚马逊在内的企业已经警告员工不要在 ChatGPT 中输入机密信息。

去年底 TikTok 母公司字节跳动承认，该公司有数名员工（两名中国员工两名美国员工）误用职权不当读取了两名记者在 TikTok 上的用户数据。两名记者分别是一名 BuzzFeed 前记者和一名《金融时报》的记者。现在《金融时报》记者 Cristina Criddle 讲述了她的遭遇。Cristina 是以其养的猫咪 Buffy 的名义注册了 TikTok 账号，她没有在账号简介里提及自己的名字和职业。她有约 170 个粉丝，三年中上传了 20 个 Buffy 视频，平均观看量数百次。去年夏天 Cristina 采访了不满公司做法的 TikTok 员工。TikTok 跟踪其账号就是为了找出告密者，它表示未确认消息源。目前 Cristina 因工作需要仍然保留了 TikTok，但该应用只安装在工作场所的虚拟手机上。她现在非常小心，必须确保设备没有跟踪，并提醒消息来源注意安全。网络安全专家 Alan Woodward 教授认为，TikTok 必须有人做额外的挖掘才能确认猫咪账号的拥有者就是 Cristina。

Microsoft Edge 浏览器被发现将用户访问的每一个网址都发送到 Bing API。Reddit 用户 hackermchackface 第一个发现浏览器向 bingapis.com 发送了请求，其中包含了用户访问的每个网页的完整 URL。微软表示它正对此展开调查。EarTrumpet 的开发者 Rafael Rivera 认为与 Edge 一项新功能的实现有关。Microsoft Edge 默认启用了 creator follow 功能，它设计是在用户访问 YouTube 和 Reddit 等网站的特定页面时通知 Bing，但该功能没有正确工作，将用户访问的每一个网页的网址都发送给了 Bing。

从 2019 年到至少 2022 年年中，特斯拉员工使用内部消息系统分享了来自客户汽车摄像头拍摄的私密图像和视频。虽然特斯拉坚称车载摄像头设计保护客户的隐私，但实际上员工很容易获得摄像头拍摄的视频并自由与其他员工分享。一则视频显示一名赤身裸体的男性走近汽车；一则车祸视频显示汽车在居民区高速行驶撞上了骑着自行车的儿童；一名前员工报告看到了亲密但非裸体的情景；另一名前员工表示可以看到私家车库和私人财产；甚至马斯克（Elon Musk）本人的车库内视频也在员工之间分享，其中包含马斯克在 2013 年拍卖到的 007 电影道具车，但不清楚马斯克是否知道此事，他没有对这一报道置评。

Tor 项目宣布与 Mullvad VPN 合作推出隐私浏览器 Mullvad Browser，没有使用 Tor 网络，而是搭配 VPN 隐藏网络痕迹。Mullvad Browser 也是基于 Firefox，由 Tor 项目工程师开发，设计最小化跟踪和指纹， 支持 Windows、MacOS 和 Linux，源代码托管在 GitHub，采用 Mozilla Public License V2 许可证。

欧盟委员会禁止员工在工作用设备上使用字节跳动旗下的短视频应用 TikTok，该规定将于下一个月生效。欧盟委员会一份声明在表示此举旨在预防网络安全风险，它还将评估其它社交平台。TikTok 在欧洲有 5000 名员工，该公司的公共政策主管 Caroline Greer 发表回应称，这一禁令是被误导了，是基于根本性的误解。它已经递交了会谈请求以澄清误解。美国政府机构此前也对政府工作人员宣布了类似的禁令。

YouTube 频道 PC Security Channel 对比了全新的 Windows 11 和 Windows XP PC 的数据收集，用 Wireshark 抓包，发现一台从未用于浏览互联网的全新 Windows 11 PC 不仅会向 Windows Update、MSN 和 Bing 发送数据，还向 Steam、McAfee、geo.prod.do 和 Comscore ScorecardResearch.com 等第三方服务发送数据。相比下 Windows XP 只检查下更新服务器。Windows 11 因此被称为间谍软件。微软发言人对此回应称，流数据在现代操作系统中很常见，以帮助保持安全和最新，确保系统按预期工作，“我们致力于提高透明度，定期公布收集的数据信息，使客户更多了解隐私。”

国内 45 亿个人信息泄露遭到泄露，最新数据大概来自 2022 年，数据主要来自各快递平台以及淘宝、京东等购物网站，数据包含用户真实姓名、电话与住址等。泄露的数据量为 4541420022 条，数据库大小为 435.35GB。主要购物平台尚未对此消息做出回应。

英国和爱尔兰大学的研究人员在预印本平台 arXiv 上发表研究报告《Android OS Privacy Under the Loupe -- A Tale from the East》，分析了一加、小米和 Oppo Realme 手机上预装的系统应用软件，假定用户没有登陆，退出个性化和分析，没有使用任何云储存等第三方服务。这些手机预装了 30 多个第三方软件包，其中小米 Redmi Note 11 预装了百度输入法、科大讯飞和搜狗输入法等，OnePlus 9R 和 Realme Q3 Pro 预装了百度地图和高德地图，此外还捆绑了各种新闻、视频和在线购物应用。研究人员发现，即使手机没有插入 SIM 卡或 SIM 卡属于不同运营商，手机仍然会向厂商、百度和中国移动网络运营商发送个人身份识别信息，传输的数据包括 IMEI、MAC 地址、GPS 坐标、用户配置文件和社交联系（通话/短信历史/时间、联系电话号码等）。研究人员称，每当打开预安装设置、便签、录音机、电话、消息和相机应用时，小米的 Redmi 手机都会向 tracking.miui.com/track/v4 发送 post 请求，不管用户如何设置选择退出跟踪都会发送。研究人员注意到，国行版的 Android 手机预装第三方应用数量是其它国家 Android 手机系统的 3-4 倍。

在 TikTok 短视频时代，任何人都可能会被拍摄到视频中，不知不觉成为娱乐的一部分。现在许多人开始抵制这一潮流，发出了“2023 年不要把我拍进视频里”的呼声。在 TikTok 诞生之前，公共空间就日益成为内容创造的一个舞台。只要你走出去，就可能出现在其他人的视频中。在监视资本主义时代，这种临时性的、个性化的监控设备让很多人反感的一个原因是我们被监控的足够多了。如果有人想拍摄其他人的视频，那么最好征得对方的同意。

消息应用 WhatsApp 宣布加入代理服务器支持功能，允许用户通过代理服务器绕过封锁访问 WhatsApp。WhatsApp 称帮助被封锁地区用户继续使用该应用是开发这项功能的主要动机，它举了伊朗的例子，称连续数个月的访问中断是剥夺人权切断获得紧急援助的途径。WhatsApp 称，使用代理服务器之后通信仍然是端对端加密，无论是中间人还是代理服务器以及 WhatsApp 或 Meta 都看不到用户的通信内容。

欧盟隐私监管机构 Irish DPC 对 Meta 开出了 3.9 亿欧元约 4.11 亿美元的罚单，社交巨人的在线广告被指违反了欧盟的隐私法。Meta 不服裁决表示将提起上诉。诉讼有可能将持续数年，如果 Meta 最终败诉，它的核心商业模式可能会严重受损。根据 GDPR 隐私法律，欧盟禁止 Meta 旗下的 Facebook 和 Instagram 使用用户个人数据用于在线广告，Meta 必须向用户提供明确的同意反对选项，让用户选择加入它的个性化广告，而不是根据其服务的用户条款默认加入。

隐私搜索引擎 DuckDuckGo 宣布将默认启用名为 Google Sign-in Pop-up Protection 的功能，将屏蔽 Google 烦人的登陆提示。用户仍然可以随时登陆 Google，但不再需要应付 Google 的提示。DuckDuckGo 产品总监 Peter Dolanjski 认为 Google 的登陆提示窗口是侵入性的，对用户隐私造成了破坏。通过在未登陆的情况下督促用户登陆，Google 跟踪用户在不同网站的行为，并将其与用户身份关联起来。如果能让更多用户登陆，Google 和出版商能收集更多的数据，能更好的投放定向广告，每个人能获得更多的钱，但用户除外。

你的扫地机器人在看着你。它可能会拍摄你的私密照片，而照片可能会被泄露到网上。iRobot 公司的扫地机器人 Roomba 会使用摄像头拍摄房间照片用于数据注释目的——由人类零工确认或否定 AI 是否正确标记。这个过程对 AI 扫地机器人是必不可少的，但大部分人并不知道。iRobot 证实有美国之外的零工在社交网络上泄露了机器人拍摄的照片，其中包括有女性在厕所。iRobot 称泄露的照片来自开发机器人，上面有明显的标记显示“视频在录制中”。

TikTok 母公司字节跳动周四表示，该公司有数名员工误用职权不当读取了两名记者在 TikTok 上的用户数据。两名记者分别是一名 BuzzFeed 前记者和一名《金融时报》的记者。这几名员工试图通过查看 IP 地址以确定记者是否与涉嫌泄露机密信息的员工处于同一地点。这些员工已经遭到解雇。字节跳动总法律顾问 Erich Andersen 表示，TikTok 将重组内部审计和风控部门，该部门接触用户数据的所有途径和权限已被取消，并且将不再雇用任何被发现参与或监督过该计划的人。

蔚来在港交所发布公告，2022 年 12 月 20 日，公司得知 2021 年 8 月之前部分中国用户信息及车辆销售数据在网上被第三方违法出售。蔚来已在中国就该事件发布公开声明，其中提供了解答用户就数据泄露事件疑问的专门热线及邮箱地址。此外，公司承诺其对因数据泄露事件给用户造成的损失承担责任。蔚来对此次事件深表歉意，并采取一切可能方式支持其用户。蔚来持续与相关政府部门合作调查此事件，并采取必要措施控制潜在损失。

Anker 旗下 Eufy 安全监控探头被发现会在未启用云服务的情况下将用户信息和人脸的缩略图上传到云端服务器。安全顾问 Paul Moore 购买了一个 Eufy Doorbell Dual，发现在未启用云服务时用户信息的缩略图会被上传。他发布了一则视频，演示了拍摄自己脸部视频，相关信息被上传到云端。即使没有注册云服务，从 Eufy 应用中删除视频，缩略图仍然能从网站访问。Eufy 没有上传完整视频，只是上传了缩略图。对于 Moore 的询问，Eufy 回应承认向其 AWS 服务上传了缩略图，表示数据不会向外泄露，因为 URL 是受限的，时间也有限制，而且需要账号登陆。Moore 还发现未加密的 Eufy 探头内容可以在没有身份认证的情况下访问。