短视频应用 TikTok 推出了一系列保护儿童的措施，所有不满 16 岁的用户账号将自动设为私有，只有批准的粉丝才能在这些账号发布的视频下留言。不满 16 岁用户创建的视频也被禁止下载。13 到 15 岁用户可以批准粉丝和选择是否公开视频，但他们的账号不会推荐给其他用户。16 到 17 岁用户也可以不允许下载他们创建的视频，他们也可选择关闭这一限制。

22 岁的 Apu Sarker和他的家人住在孟加拉国拉杰沙希北郊的一座村庄里。直到最近，他都一直是一名医务助理。他的父亲和祖父都是农民。Apu 家族里的男性似乎都有一种基因突变。这种突变非常罕见，被认为只会影响相当少的家庭——他们没有指纹。在其祖父的时代，没有指纹没有什么大不了的。但在过去的几十年里，人们指尖上那些微小的纹路已成为世界上收集最多的生物特征数据。从机场通关到选举，再到打开智能手机，对指纹的需求几乎无处不在。从 2008 年开始，孟加拉国的国民身份证、护照和驾照，甚至购买 SIM 卡时都必须录入指纹。如今他家中所有的男性成员都只能使用以他母亲名义注册的手机卡。这种罕见病被称为皮纹病（Adermatoglyphia），患者名叫“SMARCAD1”的基因发生了突变。

随着越来越多的网站普及 HTTPS，明文的服务器名称指示（Server Name Indication，SNI）成为新的隐私漏洞。通过明文 SNI，ISP 或任何网络中间人将会知道你访问了哪个网站。两年前，Mozilla 宣布 Firefox Nightly 加入了对加密 SNI 的支持。但自 SNI 规格草案发布以来，分析显示只加密 SNI 扩展所提供的保护是不完整的。举例来说，在会话重用过程中，Pre-Shared Key 扩展会包含 ESNI 加密的服务器名称的明文副本。为了解决 ESNI 的不足之处，较新版本的规格不再只加密 SNI 而是加密整个 Client Hello 信息。因此规格的名字也从 ESNI 改为 ECH。从 Firefox 85 起，浏览器用 ECH 取代了 ESNI，about:config 也不再展示 ESNI 选项。该功能尚未默认启用，如果用户想要默认启用可以进入 about:config 将设置 network.dns.echconfig.enabled 和 network.dns.use_https_rr_as_altsvc 设为 true。

新加坡政府决定将新冠接触者跟踪应用 TraceTogether 收集的数据用于犯罪调查。这一信息是在议会询问中披露的，副议长 Christopher De Souza 被问道跟踪应用的数据是否会用于犯罪调查，如果是那么是否有恰当的法律法规和保障措施。内政部长 Desmond Tan 回应称，新加坡的刑事诉讼法允许警方获得任何数据用于犯罪调查，其中包括 TraceTogether 收集的数据。内政部长表示有严格的保障措施保护个人数据。

印度支付处理公司 Juspay 一亿多借记卡和信用卡用户的信息被泄露放到暗网销售。该公司的企业客户包括了亚马逊印度、Swiggy 和 MakeMyTrip 等。泄露的数据源自一个遭到入侵的 Juspay 服务器，该公司已经证实了此事，称入侵发生在 2020 年 8 月 18 日，泄露的数据集包括了非敏感的银行卡掩码信息、电话号码和电邮 ID。发现数据泄露的安全研究员 Rajshekhar Rajaharia 表示，如果黑客找到了哈希银行卡号码的加密算法，这一数据泄露将会严重得多。

2018 年的一个晚上，结婚 5 个月的 21 岁大学生 Ayushi Sahu 正在看望父母，她的丈夫及其公公未提前告知的情况下现身。她的丈夫展示了他手机上记录的 Sahu 与朋友之间的通话，以及呼叫历史、短信、WhatsApp 消息、照片和视频。Sahu 意识到被她的丈夫秘密监视了几个月。他的丈夫对她向母亲抱怨公婆的问题很生气，不喜欢她与男性朋友交谈。Sahu 当时十分震惊。她后来才搞明白，丈夫作为订婚礼物送给她的 Vivo 手机秘密安装了间谍程序。间谍程序可能是丈夫自己安装或咨询了私家侦探。印度私家侦探协会主席辛格（Kunwar Vikram Singh）称，在印度富有家庭雇佣私家侦探评估候选新娘或新郎是十分普遍的事情，毕竟结婚是要花很多钱的，花少许钱给私家侦探调查一下是很合算的。辛格估计这个行业价值约 12 亿美元，因为敏感，大部分客户都是使用现金，不想留下蛛丝马迹。消费级间谍软件也随着私家侦探生意的兴起而流行起来。

纽约州长 Andrew Mark Cuomo 周二签署了一项法案，暂停在学校使用面部识别和类似的生物识别技术，并要求开展研究在学校使用此类技术是否合适。法案要求学校在 2022 年 1 月 1 日前或报告完成或教育专员授权使用前暂停购买和使用生物识别技术。这一规定适用于纽约州的公立和私立学校。美国公民自由联盟（ACLU)表示这是学生的隐私和有色人种学生的胜利，纽约引领了潮流，其它州应该效仿。

为了遵守欧洲隐私法律的变动，Facebook Messenger 和 Instagram 将在欧洲关闭部分功能。从 12 月 21 日起，消息应用在欧洲将需要遵守被称为 ePrivacy 指令的新规定。Facebook 决定关闭部分互动功能，暂时只提供核心消息服务。群聊投票是关闭的功能之一。核心的短消息和呼叫功能不受影响。社交巨人在一份声明中称，它仍然在寻找带回这些功能的最佳方式。

最大的开源代码托管平台 GitHub 宣布移除所有非必要 cookies 以保护开发者的隐私。CEO Nat Friedman 在官方博客中称，访问 GitHub 网站不会向任何第三方分析服务发送信息，GitHub 不会使用 cookies 展示广告，也不会利用 cookies 跟踪用户在其它网站的活动。GitHub 将只使用 cookies 用于 GitHub.com 的服务，在 GitHub 上进行开发协助开发者无需牺牲任何隐私。

尼日利亚电信监管机构 Nigerian Communications Commission 命令手机用户关联手机号码和国家身份证号。手机用户必须在 12 月 31 日前遵守这一要求，否则其电话将会在 1 月份被切断。数据显示，截至 2020 年 6 月这个非洲最大的经济体有 1.96 亿活跃手机用户，其中只有 4150 万人关联了身份证号码。行业游说组织尼日利亚电信公司协会支持监管机构的计划，但认为截止日期需要延长。尼日利亚议员周三通过决议建议监管机构延长截止日期 10 周。

2019 年，Mozilla 呼吁苹果通过自动重置 iPhone 上的 Identifier for Advertisers (IDFA) 来增强用户的隐私保护。IDFA 是一个随机生成的标识符，由苹果分配给设备。应用可以使用这些标识符关联用户的活动，向用户展示定向广告。2020 年初，苹果更进一步的宣布将给与用户选择退出每个应用的跟踪，这本质上是关闭 IDFA。但此举遭到了 Facebook 为代表的广告商的强烈反对。苹果并没有让步，但推迟了反跟踪功能的实现。Mozilla 发起倡议，呼吁共同督促苹果加快实现反跟踪技术。

上个月中旬，苹果用户报告应用程序失去响应或需要数分钟时间才能启动运行。问题是苹果 OCSP（Online Certificate Status Protocol）服务器宕机导致的，此事暴露出苹果会收集用户在苹果系统启动的每一个应用程序的信息。苹果随后承诺停止记录用户 IP 地址，将确保所有任何收集的 IP 地址从日志里移除，明年将提供关闭的选项。自由软件基金会对这起事故发表文章称，苹果的做法在道德上是不可接受的，认为无法确保苹果是否值得信任，是否能真正改进隐私保护，因为 OCSP 系统的基础是关于征服而不是安全。FSF 建议苹果用户转移到 GNU/Linux，因为选择自由而不是选择企业独裁主义是重新获得数字自主权控制自己的计算机的最重要一步。

传统的 DNS 查询是明文的，其隐私问题越来越引起关注。为了保护用户隐私 IETF 标准化了两种协议 DNS over HTTPS (DoH) 和 DNS over TLS (DoT)去加密 DNS。Firefox 等已经加入了对 DoH 的支持，而云服务商 Cloudflare 是一个主要的公共 DoH/DoT 服务商。但 DoH/DoT 的推出也引发了两个问题，其一是 DNS 的中心化引入了单点故障，其二是解析器仍然可以将所有查询关联到客户 IP 地址。为了更好的保护用户隐私，Cloudflare、Fastly 和苹果的工程师合作开发了新的协议 ODoH（代表 Oblivious DNS over HTTPS）。ODoH 加入了一个公钥加密层以及客户端和 DoH 服务器之间的网络代理，确保只有用户才能访问 DNS 信息及其 IP 地址。工程师们用 Rust、Go 等语言实现了互操作 ODoH 实现并将其开源，Cloudflare 的公共 DNS 服务器 1.1.1.1 已经能支持 ODoH 查询。Firefox 已经表达了支持 ODoH 的意愿。

成都 12 月 8 日报告新增 3 例新冠肺炎确诊病例。随后其中一人的身份信息在社交网络中广泛传播，除了身份证号和家庭地址外，还包括她过去几天非常详细的个人活动信息。这些信息很有可能是政府自己收集的。成都市公安局网络安全保卫支队一名工作人员表示公安正对此展开调查。

Have I Been Pwned 是一个非常流行的用户数据泄露检查服务，但要在中国建立类似的服务非常困难，大公司会发出律师函，因为这更方便。最近有数十 GB 的 QQ 用户数据泄露，有开发者设立了一个类似的服务 https://privacy.kallydev.com（已下线），允许用户检查自己的信息是否泄露，项目源代码发布在 GitHub 上。12 月 1 日，腾讯律师在该项目下递交了律师函，称 “QQ查询手机号”网站接口“均提供个人信息查询，该接口以及其信息提供者极有可能已构成侵犯公民个人信息罪，非法侵入计算机信息系统罪，非法获取计算机信息系统数据、非法控制计算机信息系统罪。腾讯公司保留追究相关责任人法律责任的权利，并根据情况随时向公安机关报案。”这位开发者随后删除了项目，关闭了网站。

围绕 Tor 匿名网络有很多的争议。支持者认为它是保护在线隐私和规避审查的重要服务，批评者则认为它庇护了传播儿童色情、贩卖非法毒品和从事其它非法活动的犯罪分子。那么它带来的好处更多还是造成的破坏更多？根据发表在 PNAS 期刊上的一篇论文，美国弗吉尼亚理工、斯基德莫尔学院和英国 Cyber Espion 公司的研究人员从 2018 年 12 月 31 日到 2019 年 8 月 18 日之间监视 Tor 网络流量，通过分析流量中的独特指纹，研究人员能判断一个 Tor 客户端通过匿名网络访问的是普通网站还是暗网服务。他们发现，被自由之家评为“不自由”地区的 Tor 用户访问隐藏服务的比例为 4.8%，而“自由”地区的比例则高达 7.8%。研究人员认为不自由地区的用户倾向于访问合法的网站内容，不太可能从事非法活动。Tor 项目成员对这一研究提出了质疑，指出并非所有的暗网服务都是非法的，流行网站如 Facebook、纽约时报和 BBC 都提供了 .onion 网站。

在安全公司 Palo Alto Networks 报告百度的 Android 应用百度地图和百度搜索框收集用户敏感数据之后，Google 在其应用商店 Google Play Store 下架了这两款应用。Palo Alto Networks 称，数据收集代码包括在百度应用内的通知系统 Baidu Push SDK 中，收集的信息包括了手机型号、MAC 地址、运营商信息以及 IMSI 号码。百度发言人否认数据收集行为是两款应用下架的原因，称百度应用获得了用户许可去收集这些数据。Google 团队在应用中发现的其它问题导致了其下架，百度正在解决这些问题。目前百度搜索框已经恢复上架，而百度地图也将在问题解决之后很快上架。Palo Alto Networks 称，他们还在中国广告科技公司 MobTech 开发的 ShareSDK 中发现了类似的数据收集代码。

南方都市报报道，多家房地产公司的售楼处利用人脸识别识别客户身份，并据此给出不同的报价。一位中介称，每当新楼盘上市时，房企一方面会花大量费用做营销宣传，吸引潜在购房者，另一方面也会找各种卖房平台作为“分销渠道”，让渠道帮忙招徕客户。如果购房者是看了房企宣传前来买房，叫做“自然到访客户”，说明房企的营销费没白花；如果购房者被渠道中介带上门，就属于“渠道客户”，房企要给予中介一定的“好处费”，即提成佣金。过去，房企销售与渠道中介抢客户的“混战”经常发生。而人脸识别，就是为了帮助房企判断某个购房者是什么类型、是谁的客户，佣金应该发给谁。报道称，没有被系统记录下来的首次到访客户其下单的房屋售价最低可以便宜数十万元。

上周苹果服务器宕机导致了应用程序失去响应或需要数分钟时间才能启动运行。此事引发了对 macOS 操作系统隐私方面的担忧，苹果被发现会检查用户启动的任何应用程序。苹果于 16 日更新了相关的技术支持页面（中文版未更新），回应了隐私保护方面的问题。苹果称，Gatekeeper 会执行在线检查以验证应用程序是否包含已知恶意软件，以及开发者的签名证书是否已被撤销。苹果称它从未将这些信息与苹果用户或设备统一起来，不会使用检查数据去了解用户设备上运行的程序。安全检查不包含用户的 Apple ID 或设备识别符。为了进一步保护用户隐私，苹果已停止记录 IP 地址，将确保所有任何收集的 IP 地址从日志里移除。明年苹果还将提供关闭的选项。

Tim Berners-Lee 爵士创建的、旨在推广一种新网络数据架构的 Inrupt 公司推出了其首款适用于企业的 Solid 服务器，供英国国家医疗服务体系(NHS)、英国广播公司(BBC)和国民西敏寺银行(NatWest Bank)等十多家合作伙伴使用。Inrupt 的 Solid（社交链接数据）技术是 Tim 爵士和一支 MIT 计算机科学家团队开发的，该技术使用户能够创建自己的 Pod（个人在线数据库）。这使他们能够控制自己的数据，并按照自己的意愿授予第三方应用程序访问权限。例如英国国家医疗服务体系正在运行一个试点项目，允许用户在他们自己的Pod上存储个人医疗数据，上传来源于其他生活类应用的数据，并与医生和护理人员共享这些信息。