随着 HTTPS 的普及，主流浏览器默认使用 HTTPS，电子前哨基金会(EFF)维护的隐私保护扩展 HTTPS Everywhere 似乎不再有用武之地。EFF 宣布它与 DuckDuckGo 合作将在 HTTPS Everywhere 扩展中使用 DuckDuckGo 的 Smarter Encryption 规则集。EFF 称 Smarter Encryption 覆盖了更多域名，现在已经不再需要以前那种规则集的细粒度维护，而 Chrome 的 Manifest V3 declarativeNetRequest API 设定了规则集的上限。EFF 表示，从 4 月 15 日开始使用 Smarter Encryption 规则集，旧的规则集将在年底弃用。

澳大利亚联邦法庭裁决 Google 在位置数据收集和使用上误导消费者。法庭发现，当消费者在 Android 设备的初始设置过程中创建新的 Google Account 时，Google 不实的描述 Location History 设置是唯一的 Google Account 设置，影响 Google 是否收集和使用用户个人位置数据。事实上还有一个名为 Web & App Activity 的设置允许 Google 收集、储存和使用用户个人位置数据。该设置是默认启用的。当消费者关闭 Location History 设置时他们被误导了，Google 没有通知他们当 Web & App Activity 设置继续启用时，它将会继续收集、储存和使用个人位置数据。

Google 最近宣布了它的 cookies 替代 Federated Learning of Cohorts (FLoC)，设计根据用户群而不是个别用户的兴趣展示广告，Google 声称它对隐私更为友好。但这一提议引发了反垄断调查。两大基于 Chromium 的浏览器 Brave 和 Vivaldi 都宣布不支持 Google 的 FLoC。Vivaldi 称，FLoC 实际上是一种侵入式的隐私跟踪技术，它将会关闭 FLoC API。

特斯拉副总裁陶琳表示，其电动汽车在中国采集的数据存储在中国。此前有报导称中国军方已禁止特斯拉汽车进入军事设施。陶琳称：“特斯拉作为一家在中国开展业务的公司必须遵守中国的法律法规。”“我们的数据受到很好的保护。中国数据存储在中国。”陶琳说，特斯拉将与中国政府分享其对数据保护的理解。特斯拉在上海生产电动的 Model 3 轿车和 Model Y 运动型多功能车。

新京报报道了人脸识别的地下黑产交易，有许多应用都需要人脸验证，创造了对人脸验证的一种需求，催生了一个地下产业链。报道称，人脸识别的优质数据需要一百元一套，而便宜量大的仅需要 0.5元一套。那么这些数据来自何处？报道称一小部分来自网络刷单兼职人员，大部分来自企业内部员工。人脸识别的黑产商贩称，市面上流通的手持身份证照片大多是在小额贷款平台和公司野蛮发展期间，泄露出来的，还有部分是从各行业收集而来的，这种信息交易和使用一般情况下不会被人发现，“当时很多人借钱不还，平台就把这些信息拿出来卖钱了，刚开始挺贵的，现在层层转卖就便宜了。”

黑客正在网上出售从职业社交网络 LinkedIn 抓取到的 5 亿用户信息。LinkedIn 发言人证实黑客抓取到的是网站上可公开浏览的信息，表示抓取信息违反了它的服务条款。出售公开访问的信息看起来没有多少意义，但黑客在出售的数据集中整合了来自其它来源的数据以增强其价值。LinkedIn 有 7.4 亿用户，5 亿相当于用户总数的三分之二。出售的数据集包含了账号 ID、姓名、邮寄地址、电话号码、职业信息、性别和社交媒体账号链接。

针对近日流传特斯拉通过车内摄像头监控车主的讨论，特斯拉周三回应称，驾驶室内的摄像头目前在北美以外的市场并没有激活；即使在美国，车主也可以自由选择是否开启使用。特斯拉官方微博账号指出，特斯拉配备了全球领先安全等级的网络安全体系以确保用户隐私保护。特斯拉用户使用的车辆不存在通过车内摄像头侵犯用户个人隐私的行为。所有中国市场上的特斯拉用户车辆均未开启车内摄像头，也不涉及 FSD Beta 的测试。

Facebook CEO Mark Zuckerberg 使用加密消息应用 Signal。他的电话号码包含在泄露的 5.33 亿 Facebook 用户数据中间，除此之外还有他的名字、地址、婚姻状况、出生日期和 Facebook ID。一位安全研究人员说，又一次大转折，Mark Zuckerberg 注重他自己的隐私，使用不属于 @facebook 支持端对端加密的聊天应用。Facebook 联合创始人  Chris Hughes 和 Dustin Moskovitz 也受到泄密的影响。

有人在黑客论坛泄露了 5.33 亿 Facebook 用户信息，其中包括电话号码、Facebook ID、姓名、地址、出生日期、个人简历等，部分用户的信息还包括电邮地址。信息遭到泄露的 Facebook 用户分布在 106 个国家，其中美国有 3200 多万，英国有 1100 万，印度有 600 万。Facebook 发言人称，这些数据是利用该公司在 2019 年修补的一个漏洞抓取到的。虽然数据可能是两年前的旧数据，但对于网络罪犯来说仍然是有价值的。安全专家表示这些数据可被利用发动社会工程攻击或入侵尝试。

苹果开始拒绝使用第三方 SDK 未经同意跟踪用户的应用。应用开发商可以通过部分第三方 SDK 利用类似设备指纹的访问跟踪用户，跟踪用户并非不合法，但苹果希望终结未经用户明确同意跟踪的应用，它开始拒绝使用 Adjust SDK 的任何应用，Adjust SDK 是众多提供设备指纹的 SDK 之一。苹果的新隐私保护政策将影响许多公司收集用户数据。

不管你需不需要，几乎所有家电都能联网的时代正在我们走来。没有冠以“智能”的电视机早就销声匿迹，而大部分所谓的智能电视机还有广告，部分品牌则将没有开屏广告作为卖点。配备了摄像头和麦克风的智能电视容易遭到滥用已是众所周知，它们会将收集的信息发送到厂商的服务器，你根本不知道它们收集了哪些信息。好消息是，大部分物联网设备使用的是 Wifi 连接，我们至少还可以通过路由器控制它们的行为。但厂商也有应变之道：直接嵌入蜂窝调制解调器和 SIM 卡，解决不在线的问题。这种现象将会越来越多，它们将会完全脱离用户的有限控制。除了将它们关在法拉第笼内，消费者将无能为力，隐私、监视、跟踪将会无处不在。这就是不请自来的物联网时代。

都柏林大学圣三一学院的 Douglas J. Leith 教授跟踪了（PDF）iOS 和 Android 设备向苹果和 Google 服务器发送的遥测数据，发现 Google 收集的数据二十倍于苹果。Leith 教授称，研究考虑了操作系统本身收集的数据以及操作系统供应商提供的默认应用收集的数据，云端存储，地图/位置服务等，只计算遥测数据。Leith 教授指出，即使用户选择退出遥测， iOS 和 Android 仍然会发送遥测数据。苹果收集了更多的信息数据类型，但 Google 收集的数据量要多得多。开机 10 分钟内，Pixel 手机向 Google 发送了 1MB 数据，而 iPhone 发送了 42KB；在闲置状态下，Pixel 手机每 12 小时向 Google 发送 1MB 数据，相比之下 iPhone 只向苹果发送 52KB 数据。当新的 SIM 卡插入到设备中，相关信息会立即与苹果和 Google 共享。设备上预装的应用被发现在未启动或使用前就会连接苹果和 Google 服务器。Google 发言人用汽车收集数据为它收集数据辩护。

新西兰 Canterbury 地区卫生局的新冠疫苗预定系统被发现暴露了 716 名登记的患者个人信息，包括姓名、性别、出生日期和 NHI 号码。这套系统是 Valentia Technologies 公司开发的，对系统代码的简单评估发现，问题根源在于开发商的无能。用户输入的信息被直接硬编码在网站上，其他用户可以公开查看，了解何时何地接种的信息。新西兰卫生部对 Valentia 开发的所有系统展开了审查，其他地方的卫生部门也使用了 Valentia 的预定系统，但只是在内网使用，有密码保护。

网信办、工信部、公安部和市场监督管理总局公布了《常见类型移动互联网应用程序必要个人信息范围规定》，对地图导航、网络约车、即时通信、网络支付、网络借贷等 39 类 App 搜集个人信息的范围做出明确规定，禁止因用户拒绝提供非必要信息而不予服务。以即时通信类 App 为例，基本功能服务为“提供文字、图片、语音、视频等网络即时通信服务”，必要个人信息包括：1.注册用户移动电话号码；2.账号信息：账号、即时通信联系人账号列表。浏览器类，基本功能服务为“浏览互联网信息资源”，无须个人信息，即可使用基本功能服务。

美国商务部周三表示，已向多家中国公司发出传票，要求它们向政府提供更多有关使用和转移美国数据的信息，以确保敏感信息没有与中国共享。这些传票是对特朗普政府一项行政命令的执行，旨在监督通信技术等行业中的外国公司。商务部没有披露哪些中国公司受到影响。

Brave 浏览器在 2018 年加入了对 Tor 匿名网络的支持，Brave 用户无需安装 Tor 就能访问暗网 .onion 地址。一位安全研究员报告，Brave 浏览器的 Tor 模式会将 .onion 域名的查询发送到公共 DNS 服务器而不是 Tor 节点。这位研究员称其发现很容易复现，建议用户使用 Tor Browser 而不是 Brave 访问暗网。在这一发现引发广泛关注之后，Brave 宣布已释出补丁修复该问题。

在电邮中使用跟踪技术正日益常见。被称为跟踪像素的技术可记录邮件是否以及何时打开；邮件被打开了多少次；打开邮件的设备类型；用户的粗略位置。这项技术可被用于判断一个特定电邮推广活动的影响，以及记录下更多的客户肖像细节。跟踪像素通常是只有 1x1 像素的 .GIF 或 .PNG 文件，被插入到插入到电邮的页眉、页脚或正文中，用户的裸眼是无法识别出它的。用户可以使用电邮程序的免费插件剥离掉大部分跟踪像素。

腾讯总部所在地深圳市南山区法院上个月判决，微信好友关系不属于个人隐私。本案的原告在 2019 年发现，使用微信或 QQ 登录腾讯“微视”APP后，微视会获取其全部微信或 QQ 好友信息。他认为，腾讯公司未经其授权将他的微信、QQ 好友关系提供给其他 APP，侵犯了他的隐私权。但南山法院认为，“隐私是指用户对其生活领域不愿公开的信息享有不被他人知悉的权利。原告主张的性别和地区属于公开信息，不构成隐私。”北京师范大学法学院教授袁治杰认为，腾讯并没有权利将微信好友关系披露给第三人，“即使我同意微信可以将我的好友关系提供给他人，微信也不得提供。因为好友关系是双向的，要想有权提供，微信必须同时获得了我的好友们的同意才行。换句话说，必须获得双向同意才行。”

苹果为 iOS 加入的新反跟踪隐私保护功能让广告行业头疼不已。Google 上周告诉合作伙伴该功能将会对广告收入产生显著影响。Facebook 则对苹果发起了全面挑战，考虑采取法律行动。然而现在彭博社报道，世界最大的网络广告公司考虑为 Android 引入类似的反跟踪功能。报道称，搜索巨人正在讨论如何在 Android 操作系统上限制数据收集和跨应用跟踪，但其实现方式将没有苹果的方案那么严格。报道称，这一讨论处于早期阶段，可能并不会发生。

《南方周末》调查了输入法的隐私问题（付费墙，微信）。根据 Mob 研究院数据，2020 年搜狗、讯飞和百度三家输入法占据了国内市场九成的活跃用户，其中搜狗占有率最高，54%。2020 年 9 月，腾讯全资收购了搜狗。第三方输入法被广泛使用，但其潜在的隐私问题也日益引起关注。搜狗、讯飞和百度三家的隐私协议表示，用户信息共享方主要为输入法服务商的关联公司、合作伙伴。合作伙伴包括广告、分析、信息推广服务类的授权合作伙伴，供应商、服务提供商和其他合作伙伴如第三方SDK，以及提供风控服务的合作方。