Purism 在 2017 年宣布开发真正自由的智能手机 Librem 5，全部使用开源软件，不使用现成的零部件。现在 Librem 5 终于要面世了，Purism 公布了手机的硬件规格：显示屏 5.7 英寸 IPS TFT screen @ 720×1440，CPU 是四核 i.MX8M @ max. 1.5GHz，3GB 内存，32GB eMMC，可扩展 2TB，3 个硬件开关，3500mAh 可替换电池，USB3.0 端口...Librem 5 运行 PureOS 操作系统，预购价格 649 美元，接近中高端 Android，它的硬件规格可能不如中低端 Android 手机，但它是为满足特定用户群设计的，保护用户的数字隐私，尊重用户的自由，这都是有代价的。

与亚马逊和 Google 类似，苹果也雇佣合同工去监听 Siri 录音以帮助改进语音助手。苹果会将 Siri 收集的一小部分录音分享给全球各地的合同工，他们的任务则是根据各种因素对 Siri 的回答进行评分，其中包括激活 Siri 是否出于偶然，提问是否能得到 Siri 的帮助，以及 Siri 的回答是否恰当。这些录音可能会涉及到私人医疗信息、毒品交易和性行为。苹果表示这些数据只是 “被用来帮助 Siri 和听写功能更好地了解你，更准确地识别你所说的话”，称每天发送的录音请求不到 1%，而且通常只有几秒钟。

FTC 和 Facebook 周三表示，Facebook 将支付创纪录的 50 亿美元罚款，以了结政府对该公司的隐私问题调查，并将加强用户数据保护。FTC 民主党委员 Rohit Chopra 抱怨称，这一处罚为 Facebook 高管提供了 “豁免”，“对 Facebook 的商业模式没有真正的制约”，“没有解决导致这些违规行为的核心问题”，也没有限制 Facebook 获取数据的能力。根据和解协议，Facebook 董事会将成立一个独立的隐私委员会，“在影响用户隐私的决策上取消 Facebook 执行长扎克伯格的无约束控制权”。

许多公开的数据通常会经过匿名化处理，也就是剥离了个人身份信息。但计算机科学家发现，所谓的匿名化其实并没有真正匿名。伦敦帝国理工学院和鲁汶大学的研究人员在《Nature Communications》期刊上发表报告，他们开发出一种算法能以 99.98% 的正确率利用包含性别邮编等公开数据识别美国人的身份。研究人员还公开了用 Julia 和 Python 语言实现的代码。这并不是第一次发现匿名化数据并不是真正匿名。

金融时报报道，字节跳动宣布将在印度建立一个新的数据中心。印度是它旗下短视频应用 TikTok 的最大海外市场，此前 TikTok 因为色情和数据保护等问题一度被命令下架。字节跳动宣布，将斥资 1 亿美元在印度建立一个数据中心。字节跳动希望，建立数据中心的主动行动将被印度政府视为友好姿态。印度政府正在制定一项数据保护法案。 TikTok 在印度的月活跃用户数量超过 1.2 亿。

微软、卡内基梅隆和宾夕法尼亚大学的研究人员的研究（预印本 PDF）发现，在隐身模式下，Google、Facebook 甚至甲骨文都有可能跟踪你的色情浏览历史。研究人员利用开源工具 webxray 分析了 2.2 万多个色情网站，发现 74% 的网站嵌入了 Google 的跟踪代码，10% 嵌入了 Facebook 的代码，24% 嵌入了甲骨文的代码。甲骨文旗下有一个网络广告部门 DataCloud。研究人员称，隐身模式只是确保浏览历史不会储存在用户的设备上，现实要复杂得多。在隐身模式下你访问的网站仍然在跟踪你。你的浏览器指纹仍然可能暴露你的身份。

FaceApp 过去几天在社交媒体上引发了热议，它的滤镜能把人的面容变老，人们纷纷分享了他们变老后的照片。但该应用也引发了隐私方面的担忧，一个原因是它来自俄罗斯。美国参议院民主党领袖 Chuck Schumer 致函 FBI 要求对美国公民的个人资料可能落入 “敌对外国势力” 手中展开调查。FaceApp 由总部位于圣彼得堡的俄罗斯公司 Wireless Lab 研发，储存用户照片的服务器位于美国。该公司否认会收集用户的数据，称它只上传用户指定的照片到云端处理，而且不会永久保存，会在上传的 48 小时后删除。

Dropbox 上个月宣布将向用户提供“全新的桌面体验”，现在部分用户通过社交媒体报告，他们体验到“新桌面体验”——文件同步应用变成了文件管理器。用户报告他们的软件被悄悄升级为一个完全不同的版本。新的版本包括了文件管理器的相同功能，比如文件搜索，按日期或名字排序，可以执行剪切、复制和粘贴操作，它的界面提供了多个面板和窗口，与之前的简约版本大相径庭。Dropbox 承认这是失误，新的版本现在是 Early Access，但由于一个错误部分没有参与 Early Access 的用户推送到了新的版本，问题现在已经解决，它对给用户造成的不便表示歉意。

匿名搜索引擎 DuckDuckGo 今年初宣布地图相关的搜索将使用苹果地图。Google 被认为是隐私威胁，突出隐私的 DuckDuckGo 不能也不应该使用 Google 地图。但它选择苹果地图还是出乎许多人的意外，开放地图项目 OpenStreetMap 被认为其全球地图比苹果要做得更好。苹果美国地图足够精细，但在其它国家它的地图准确性不令人满意。现在 DuckDuckGo 展示了地图相关功能的多项增强和改进：地图重新查询，本地自动完成，专用地图标签，黑色模式。

2015 年 10 月释出的 Android (Marshmallow) 6.0 引入了新的权限管理，用户能管理每个应用的权限，可以选择给予或拒绝特定权限。Android 应用开发者允许在三年时间里升级支持 Android 6.0 SDK，他们不需要立即支持，但他们会选择何时升级支持 Android 6.0 SDK 呢？马里兰大学的研究人员发表研究报告《Delaying Informed Consent: An Empirical Investigation of Mobile Apps’ Upgrade Decisions》（PDF），对此进行了观察，他们发现为了收集更多用户数据 Android 应用开发者有意推迟了升级。从 2016 年 4 月到 2018 年 3 月，研究人员测试了 13,599 个流行应用，他们每个月对其进行扫描以观察它们是否支持新的 Android 6.0 SDK，结果显示许多 Android 应用开发者宁愿使用旧的权限批准方法，以继续访问用户的隐私数据。他们还观察到，在升级到 Android 6.0 SDK 之后，部分应用降低了访问非必要权限的数量。巧合的是，差评比较多的应用更可能推迟升级。

巴西参议院批准了一项提案，将个人数据保护加入到宪法保障的基本权利中。提案将交给众议院投票，最终由政府负责立法。提案的起草人 Simone Tebet 称，一般而言，只要真正需求，国家和社会有权利了解彼此。但除此之外，数据隐私应该尽可能的保留。巴西在今年初已经成立了个人数据保护的国家机构，将制定如何处理数据以及机构如何遵守规定的框架。该机构还将负责监督和对违反规定的机构进行罚款。

Android 应用的权限是设计允许应用能访问设备的多少数据，比如手电筒应用想要访问通讯录或通话记录，你可以拒绝授予权取。然而研究人员发现，即使用户明确拒绝了某些权限，许多应用也能绕过限制访问到它们想要访问的数据。研究人员发现超过一千款应用绕过限制收集设备的精确的地理位置数据和电话标识符。这一发现凸显了保持在线隐私的难处。应用程序是如何绕过限制的？利用旁路或利用网络系统调用。举例来说，你允许照相机访问地理位置数据，这显然非常合理；你拒绝一个应用访问地理位置数据，这也很正常。但你同时允许这个应用访问照相机，比如它的功能包括上传照片。那么它可以定期拍摄照片，读取照片上的位置信息，然后删除。利用这种旁路方法它就知道了你的各种隐私信息。

新京报的一篇报道调查了手机访客抓取产业链：你在手机上访问了一个网站，你只是浏览并没有注册提供手机号码等信息，但过一会儿对方打电话过来了。这是如何实现的？网络安全专家邵彤称，用户手机访问网页过程中，有几种可能泄露手机号码：你的手机知道你的本机号码（比如 SIM 卡里写入了本机号码），流氓网页通过浏览器的接口或者漏洞获取了...浏览器的 Cookie 里包含你的手机号码绑定的第三方网站账号相关信息，第三方网站将其泄露给了流氓网页。如果使用数据连接上网，运营商知道手机号码，流氓网页通过运营商的接口可以获得访问者的手机号码。

美国参议员 Chris Coons 今年五月致函亚马逊 CEO Jeff Bezos，询问了该公司语音助手 Alexa 如何使用和保留用户的数据。亚马逊回应了 Coons 的问题，承认除非特别指定它会尽可能长的保留数据。亚马逊称，除非客户删除数据它会保留客户的录音和文字转录。亚马逊称，客户可以在设备设置的 Alexa 隐私下查看和删除数据。Coons 对亚马逊的回应表示感谢，但表示该公司没有进一步澄清哪些数据与第三方分享，而第三方又是如何使用和控制这些信息。

官媒报道了中国已建立的虹膜识别系统。虹膜是人体最独特的结构之一，自胎儿阶段形成后直至死亡终生不变，具有极强的唯一性和稳定性，“与指纹、人脸等生物特征相比，虹膜具有识别准确度更高、极难伪造等优点。”北京中科虹霸与公安系统合作，通过建立违法犯罪人员虹膜图像信息统一数据库，建设虹膜识别云服务平台，为公安各业务领域提供了虹膜的基础数据支撑。目前该平台已建立 2000 万人口容量的虹膜数据库，实现与部级平台核查比对服务。北京市公安局部分分局重点人员虹膜采集设备部署工作、环京 29 处检查站虹膜采集识别设备部署工作等已相继完成。

欧盟的一组政策专家发表报告，建议禁止将 AI 用于大规模监视和大规模公民评分。这些 AI 实践涉及到收集公民的大量数据，从犯罪记录到社交媒体上的行为，然后使用这些数据评估他们的道德水准。这份报告包含了更多特定的建议，包括识别需要资助的 AI 研究，鼓励将 AI 培训纳入到学校和大学院校，提出新的监视 AI 影响的方法等等。报告目前还只是一组建议，并非立法的蓝图。禁止 AI 公民评分是源于对中国社会信用体系的恐惧。

Google 去年更新了它的 reCAPTCHA 机器人程序检测技术。reCAPTCHA 是使用最广泛的反机器人技术，reCAPTCHA v1 让用户看模糊扭曲的字符，reCAPTCHA v2 让用户从模糊的图像中间挑选出街道或商店。而最新的 reCAPTCHA v3 则使用 Google 的私有技术去学习网站的正常流量和用户行为，访问者将会根据访问来源或行为分配一个风险分数。但基于风险分数的系统是需要付出一个巨大代价的：用户的隐私。两位研究 reCaptcha 的安全研究人员称，Google 判断你是否是恶意用户的一种方法是你的浏览器是否已经安装了 Google cookie。同样的 cookie 允许你无需重新登录就能进入 Google 的服务。多伦多大学计算机科学博士生 Mohamed Akrout 的测试显示，相对于没有 Google 帐户的浏览器，reCaptcha v3 给了已连接 Google 帐户的浏览器更低的风险分数。如果通过 Tor 或 VPN 访问包含 reCaptcha v3 的网站，风险分数总是更高。为了让风险分数正确的工作，网站需要在每一个网页嵌入 reCaptcha v3 代码，而不仅仅是登录页面。这意味着 Google 会从你访问的每一个网页收集数据，而且没有任何视觉指示显示你正在被监视着。Google 声称它的 reCaptcha  API 会向它发送软件和硬件信息，表示这些信息只是用于对抗垃圾流量和滥用。根据统计网站 Built With 的数据，目前有超过 65 万个网站已经使用了 reCaptcha v3。

广告商在互联网上跟踪你的一举一动，然后它会根据你的浏览习惯向你展示针对性的广告。如何应对这种无处不在的监视资本主义？Mozilla 和 mschf 工作室提供了一种方法：把你的浏览历史打乱，创造出虚假版本提供给广告商。他们合作发布了 Track THIS，根据你选定的角色——潮人、有钱人、世界末日预备者以及意见领袖，打开 100 个特定标签，你的浏览历史将会被去个性化，将让广告商不知道如何定位你。注意，加载一百个标签可能需要几分钟的时间。

在 Myspace 最鼎盛的时期，该公司雇员曾利用内部工具去监视用户，某些情况下甚至包括前伴侣。Myspace 前雇员称，该工具被称为 Overlord，本质上是一个后门，允许雇员查看用户的密码和信息，最初是为遵守执法请求和管理平台而开发的。滥用工具监视用户的事情发生在十年前，当时还是 Myspace 最受欢迎的时候，Myspace 一度是美国第二大最受欢迎的网站，排名甚至高于 Google。

本周国内媒体报道称，中国已经出现了偷拍产业链。那么如何发现房间内秘密安装的摄像头？在侦察前你需要观察：室内有没有重复的东西，墙壁或天花板上是否有奇怪的洞，有些东西摆放的位置是否过于特别，检查室内电器是否有可疑的灯。然后你需要检查电源插座，摄像头需要电，依靠电池的探头使用时间很短，如果要长时间监控肯定需要某种电线。摄像头最有可能瞄准浴室、梳妆台或，浴室门和走廊都需要特别注意。你需要检查镜子是否是双向的。你还可以使用一些专门的反监视设备比如无线电频率探测器和摄像头镜头探测器来进行更深入的检查。你还可以用手机的前置灯去探测红外光监控设备。