新京报的一篇报道调查了手机访客抓取产业链：你在手机上访问了一个网站，你只是浏览并没有注册提供手机号码等信息，但过一会儿对方打电话过来了。这是如何实现的？网络安全专家邵彤称，用户手机访问网页过程中，有几种可能泄露手机号码：你的手机知道你的本机号码（比如 SIM 卡里写入了本机号码），流氓网页通过浏览器的接口或者漏洞获取了...浏览器的 Cookie 里包含你的手机号码绑定的第三方网站账号相关信息，第三方网站将其泄露给了流氓网页。如果使用数据连接上网，运营商知道手机号码，流氓网页通过运营商的接口可以获得访问者的手机号码。

美国参议员 Chris Coons 今年五月致函亚马逊 CEO Jeff Bezos，询问了该公司语音助手 Alexa 如何使用和保留用户的数据。亚马逊回应了 Coons 的问题，承认除非特别指定它会尽可能长的保留数据。亚马逊称，除非客户删除数据它会保留客户的录音和文字转录。亚马逊称，客户可以在设备设置的 Alexa 隐私下查看和删除数据。Coons 对亚马逊的回应表示感谢，但表示该公司没有进一步澄清哪些数据与第三方分享，而第三方又是如何使用和控制这些信息。

官媒报道了中国已建立的虹膜识别系统。虹膜是人体最独特的结构之一，自胎儿阶段形成后直至死亡终生不变，具有极强的唯一性和稳定性，“与指纹、人脸等生物特征相比，虹膜具有识别准确度更高、极难伪造等优点。”北京中科虹霸与公安系统合作，通过建立违法犯罪人员虹膜图像信息统一数据库，建设虹膜识别云服务平台，为公安各业务领域提供了虹膜的基础数据支撑。目前该平台已建立 2000 万人口容量的虹膜数据库，实现与部级平台核查比对服务。北京市公安局部分分局重点人员虹膜采集设备部署工作、环京 29 处检查站虹膜采集识别设备部署工作等已相继完成。

欧盟的一组政策专家发表报告，建议禁止将 AI 用于大规模监视和大规模公民评分。这些 AI 实践涉及到收集公民的大量数据，从犯罪记录到社交媒体上的行为，然后使用这些数据评估他们的道德水准。这份报告包含了更多特定的建议，包括识别需要资助的 AI 研究，鼓励将 AI 培训纳入到学校和大学院校，提出新的监视 AI 影响的方法等等。报告目前还只是一组建议，并非立法的蓝图。禁止 AI 公民评分是源于对中国社会信用体系的恐惧。

Google 去年更新了它的 reCAPTCHA 机器人程序检测技术。reCAPTCHA 是使用最广泛的反机器人技术，reCAPTCHA v1 让用户看模糊扭曲的字符，reCAPTCHA v2 让用户从模糊的图像中间挑选出街道或商店。而最新的 reCAPTCHA v3 则使用 Google 的私有技术去学习网站的正常流量和用户行为，访问者将会根据访问来源或行为分配一个风险分数。但基于风险分数的系统是需要付出一个巨大代价的：用户的隐私。两位研究 reCaptcha 的安全研究人员称，Google 判断你是否是恶意用户的一种方法是你的浏览器是否已经安装了 Google cookie。同样的 cookie 允许你无需重新登录就能进入 Google 的服务。多伦多大学计算机科学博士生 Mohamed Akrout 的测试显示，相对于没有 Google 帐户的浏览器，reCaptcha v3 给了已连接 Google 帐户的浏览器更低的风险分数。如果通过 Tor 或 VPN 访问包含 reCaptcha v3 的网站，风险分数总是更高。为了让风险分数正确的工作，网站需要在每一个网页嵌入 reCaptcha v3 代码，而不仅仅是登录页面。这意味着 Google 会从你访问的每一个网页收集数据，而且没有任何视觉指示显示你正在被监视着。Google 声称它的 reCaptcha  API 会向它发送软件和硬件信息，表示这些信息只是用于对抗垃圾流量和滥用。根据统计网站 Built With 的数据，目前有超过 65 万个网站已经使用了 reCaptcha v3。

广告商在互联网上跟踪你的一举一动，然后它会根据你的浏览习惯向你展示针对性的广告。如何应对这种无处不在的监视资本主义？Mozilla 和 mschf 工作室提供了一种方法：把你的浏览历史打乱，创造出虚假版本提供给广告商。他们合作发布了 Track THIS，根据你选定的角色——潮人、有钱人、世界末日预备者以及意见领袖，打开 100 个特定标签，你的浏览历史将会被去个性化，将让广告商不知道如何定位你。注意，加载一百个标签可能需要几分钟的时间。

在 Myspace 最鼎盛的时期，该公司雇员曾利用内部工具去监视用户，某些情况下甚至包括前伴侣。Myspace 前雇员称，该工具被称为 Overlord，本质上是一个后门，允许雇员查看用户的密码和信息，最初是为遵守执法请求和管理平台而开发的。滥用工具监视用户的事情发生在十年前，当时还是 Myspace 最受欢迎的时候，Myspace 一度是美国第二大最受欢迎的网站，排名甚至高于 Google。

本周国内媒体报道称，中国已经出现了偷拍产业链。那么如何发现房间内秘密安装的摄像头？在侦察前你需要观察：室内有没有重复的东西，墙壁或天花板上是否有奇怪的洞，有些东西摆放的位置是否过于特别，检查室内电器是否有可疑的灯。然后你需要检查电源插座，摄像头需要电，依靠电池的探头使用时间很短，如果要长时间监控肯定需要某种电线。摄像头最有可能瞄准浴室、梳妆台或，浴室门和走廊都需要特别注意。你需要检查镜子是否是双向的。你还可以使用一些专门的反监视设备比如无线电频率探测器和摄像头镜头探测器来进行更深入的检查。你还可以用手机的前置灯去探测红外光监控设备。

全国信息安全标准化技术委员会发布了《网络安全实践指南 —— 移动互联网应用基本业务功能必要信息规范》，根据个人信息收集最少够用原则给出了地图导航、网络约车、即时通讯社交、社区社交、网络支付、新闻资讯、网上购物、短视频、快递配送、餐饮外卖、交通票务、婚恋相亲、求职招聘、金融借贷、房产交易、汽车交易 16 类基本业务功能正常运行所需的个人信息，但仅供参考，也就是并不会强行推广或执行。《规范》称地图导航应用的必要权限是定位，但以百度地图为例，流行导航应用索要的权限包括用户帐户、修改系统设置、手机号码和通讯录等敏感权限。

俄罗斯的一个政府数据库加入了约会服务 Tinder，根据法律进入该数据库的公司被要求与该国的执法机构和情报机构分享用户数据和私人通信。这个数据库被称为 Register of Information Dissemination Organizations 或缩写 ORI，根据俄罗斯法律，ORI 内的公司必须根据要求将数据交给执法或情报机构如 FSB，以帮助调查恐怖分子和国家安全案件。此前 ORI 数据库已经包含 175 家公司，根据非政府组织 Roskomsvoboda 的信息，Tinder 是 Mamba、Wamba 和 Badoo 之后第四个进入 ORI 数据库的约会服务。

苹果宣布了另一项加强儿童隐私保护的规定，应用商店“儿童类别”应用不再允许包含第三方广告或分析工具。苹果更新了应用审核中有关“儿童类别”的规定。儿童类别可帮助用户找到专为儿童设计的 app。如果开发者希望进入 “儿童类别”，那么这些 app 不得提供 app 外链接、购买机会或其他会对儿童造成干扰的内容。苹果明确，“儿童类别”app 不能包含第三方广告或分析工具（中文版尚未更新），此外开发者还应特别留意世界各地与在线收集儿童数据相关的隐私法。

Mozilla 宣布 Firefox 默认启用跟踪保护，屏蔽已知第三方跟踪器。Mozilla 称，对于新用户，在 Firefox 在安装时将会默认启用被称为 Enhanced Tracking Protection 的跟踪保护功能；对于现有用户，它将在未来几个月通过推送启用该功能。现有的用户也可以手动启用该功能，方法是——菜单-内容拦截-自定义-Cookie，选择第三方跟踪器或所有第三方 Cookie。Mozilla 警告，该功能可能导致网站异常。根据用户的报告，华盛顿邮报就要求用户关闭该功能。

苹果正向一家隐私即服务公司转型，这体现在两方面：一是推出新的单点登录账户服务；二是在 iOS 13 中对相机和位置服务进行更新。苹果的单点登录账户服务包含了一个选项，用户可以创建一个匿名的一次性电邮地址来跟开发商建立直接但又独特的联系。这意味着开发商或服务提供商仍然可以轻松地直接跟用户交流，但这也意味着他们无法在之后通过销售或分享用户信息来获利。这就把隐私控制权完全移交给了用户。苹果跟摄像头厂商的合作也是独一无二的。iOS 13 中的位置服务功能也把所有的控制权移交给了用户，而不是服务提供商。

一位身在德国的中国程序员在新浪微博上发帖称，程序员被说成是从事色情行业的女性的接盘侠，他与其朋友因此决定把成人视频中的女性和社交网络中的女性照片进行匹配，识别其身份，帮助程序员们过滤一下避免成为接盘侠。他们花了半年时间利用 1024、91、sex8、PronHub、xvideos 等网站采集的数据对比 Facebook、instagram、TikTok、抖音、微博等社交媒体，在全球范围内成功识别了 10 多万名从事色情行业的女性（为了避免微博审查而将色情行业改为不可描述行业）。此举引发了热议和争议，他随后辩解称他的意图是允许女性检查她们的照片或视频是否在成人网站上，她们可以向网站发送 DMCA 删除通知要求删除照片或视频。这位叫“将记忆深埋”（或 mitboy）的用户表示将在 5 月 31 日在 gitlab 公开数据库结构。

DuckDuckGo CEO Gabe Weinberg 认为数据跟踪应该是选择加入而不是选择退出。他说，人们并没有认识到他们的网络活动在多大程度上受到跟踪，一旦他们意识到科技公司如 Google 和 Facebook 在默默的大肆收集他们的隐私数据，他们会要求改变的。DuckDuckGo 是一个强调隐私的搜索引擎，它在美国的市场份额只有 1% ，而 Google 是 88%。他在接受采访时候称，作为一个非跟踪的搜索引擎替代他们已经运营 DuckDuckGo 长达 11 年，是第四大搜索引擎。该公司最近提出了请勿跟踪（Do Not Track，DNT）法案，试图通过立法实现数据跟踪的选择加入而不是默认加入。

Google CEO Sundar Pichai 本月初声称，隐私不能成为一种奢侈品，只提供给负担得起增值产品和服务的人。他显然意指苹果。苹果负责软件的高级副总裁 Craig Federighi 对此反驳说，苹果希望能将产品尽可能的销售给每一个人，苹果的产品肯定不仅是奢侈品。他表示很高兴看到其它公司谈论隐私，但改变一家依赖于数据收集的公司不是几篇新闻稿和几个月时间能做到的。他没有提 Google 的名字但显然意指 Google。Federighi 还回应了有关中国用户 iCloud 数据储存在中国境内服务器的批评，Federighi 称苹果采用了最小化数据收集的做法，因此数据储存在中国服务器上所带来的风险没有其他公司那么大。通过加密和收集少量数据，中国 iCloud 服务器上的数据并不多，任何获得访问权限的人对这些信息做不了什么。

今年 3 月，美国外国投资委员会(CFIUS)敦促同性恋交友应用 Grindr 的中国拥有者北京昆仑万维科技股份有限公司剥离这款应用的业务，理由是国家安全。现在根据八名 Grindr 前雇员的说法，北京昆仑万维在去年初让其工程师访问了数百万美国人的信息，其中包括私信和 HIV 状态，正是这一消息促使 CFIUS 要求昆仑万维出售 Grindr，虽然它并没有证据显示中国公司滥用了数据，但它担心中国政府会利用 Grindr 的数据库寻找美国情报和军方人员的信息。

欧洲数字权利组织（EDRi）和 45 家 NGO，以及学者和企业联合致函（PDF）欧盟决策者和监管机构，对 ISP 广泛和增加使用深度包检测（DPI）发出警告。DPI 收集的信息远远超过 ISP 执行其基本任务的需要，它具有侵犯隐私的本质，没有严格合乎欧盟的法律。很多人还担心一些电信监管机构正在推动 DPI 技术的合法化。有人指出 ISP 使用 DPI 是为了遵守欧盟收集元数据的法律要求。

曾发现超过 2 亿中国求职者简历泄露的安全研究员 Bob Diachenko 又发现了另一个没有密码保护的大型数据库，包括了超过 2.75 亿印度公民的信息。他是通过 Shodan 搜索发现了一个托管在 Amazon AWS 上的可公开访问的 MongoDB 数据库，该数据库被索引的日期是在 4 月 23 日，直到 5 月 8 日一直能访问。该数据库包含了印度居民的姓名、性别、出生日期、电子邮件、手机号码、教育信息，职业信息（雇主、工作经历、技能，职能范围）等信息，以及当前薪水。他没有查到数据库所有人的信息，猜测是出于未知目的的大规模抓取行动的一部分。

在 I/O 开发者大会上，Google 宣布 Chrome 将引入两项隐私保护和安全功能。其一称之为 same-site cookies ，另一个防指纹的 anti-fingerprinting protection。same-site cookies 是基于 Chrome 和 Mozilla 开发者花了三年多时间制定的 IETF 标准，该标准描述了 HTTP 头文件中的一个新属性 SameSite，它由网站设置，描述了 cookies 加载的情况。严格的 SameSite 属性意味着只能加载同一个网站的 cookies，宽松或缺省意味着可以加载跨站 cookies。所有没有设置 SameSite 属性的旧 cookies 将被自动归为缺省，浏览器将会视其为跨站 cookies。anti-fingerprinting protection 则是防止网络广告商（非 Google）滥用用户指纹技术跟踪用户。