华盛顿邮报披露，美国数十所大学将学生的智能手机变成监视工具，跟踪出勤，分析学生的行为评估其精神健康。有一家公司还根据学生去图书馆的次数等因素去计算“风险分数”。批评者认为这侵犯了学生的隐私，把学生当婴儿看待。短距离手机传感器如蓝牙和校园 WiFi 网络让美国大学能更精确的跟踪学生。部分教授和教育倡导人士认为这代表着侵入性技术的新低点，是大规模的侵犯学生隐私，在一个本来应该让学生走向成年人的地方仍然把他们当婴儿看待。弗吉尼亚联邦大学二年级学生 Robby Pfeifer 说，我们是成年人，有必要被跟踪？该校最近开始根据学生连接校园 WiFi 网络来记录其出勤率。此类的监视正越来越深入人们的生活之中。

纽约时报根据调查和美国情报官员的消息报道（付费墙），一个在中东地区流行的消息应用 ToTok 被阿联酋政府用作间谍工具。报道没有透露细节。报道称，阿联酋政府尝试利用该应用监视用户的每一次通话以及掌握用户之间的关系。ToTok 只发布几个月时间，该应用在中东、亚洲、欧洲和北美地区的苹果和 Google 应用商店下载了数百万次，最大用户群是在阿联酋。ToTok 背后的公司 Breej Holding 被认为是阿联酋监视公司 DarkMatter 的挂名公司。阿联酋封锁了 WhatsApp和 Skype，让 ToTok 这个替代对当地居民颇有吸引力，而华为最近还在广告中宣传了 ToTok。Google 已经以违反政策为由从其应用商店下架了 ToTok ，而苹果也已在 App Store 中移除了该应用。已下载的用户如果没有卸载仍然可以使用。

在 Mozilla 之后，Google 从 Chrome Web Store 移除了 Avast 和 AVG 的多个扩展。Avast 被发现大量收集用户数据并将其出售给的第三方。这一问题最早是 Adblock Plus 作者 Wladimir Palant 披露的，他发现这些扩展收集了超过其需求的信息，包括详细的用户浏览历史，利用这些信息 Avast 能知道用户打开了多少次浏览器，在某个网页停留了多长时间。Mozilla 和 Opera 之后采取行动下架了相关扩展。Google 目前只在 Chrome Web Store 保留了 AVG 的一个扩展 AVG Online Security。

Tails 发行版项目庆祝其诞生十周年。Tails 是基于 Debian GNU/Linux 和 Tor 的 Live 操作系统，能安装在光盘、U 盘和 SD 卡上，可以随身携带，需要时直接从光盘、U 盘或 SD 卡启动。它预先配置让所有流量都经过 Tor，不留下任何跟踪痕迹。它最著名用户可能是 NSA 告密者 Edward Snowden。Tails 在 2009 年发布了第一个版本，最早它被称为 Amnesia Incognito Live System，至今发共发布了 98 个版本，被使用了超过 2500 万次。Tails 项目官方博客回顾了它的发展历史。

上个月，Slack 的工程师发布了一个分布式 VPN 网状网工具 Nebula，源代码发布在 GitHub 上，采用 MIT 许可证。对于 Nebula 的开发动机，工程师解释说，他们问了自己一个问题：有什么最简单的方法安全连接不同云服务商在全球数十个位置的数万台计算机？Nebula 就是他们自己给出的答案。它是一个可携式可伸缩的叠加网工具，支持 Linux、MacOS 和 Windows，未来将加入对移动平台的支持。Nebula 传输的数据使用 Noise 协议框架完整加密，该框架也被 Signal 和 WireGuard 等项目使用。Nebula 能自动动态的发现不同节点之间的可用路线，在任何两个节点之间以最高效的路径发送流量，不需要经过一个中心的分配点。举例来说，你在笔记本电脑、家用 PC 和一个云端节点都运行了 Nebula，当你在家里使用笔记本电脑时，它会通过家用主机以 LAN 的速度进行通信。

印度提出了类似欧盟 GDPR 的公民数据访问规定，要求科技公司在收集和处理个人数据之前，必须征得公民的同意。新规定还指出，公司必须将用户的 “非个人隐私” 数据交给政府。印度政府还将获得权力，可以在未经同意的情况下收集公民的任何数据，以服务国家主权和更大的公共利益目的。这些新规则来自印度首部主要数据保护法 “个人数据保护法案 2019”。不过，“为了维护印度的主权和领土完整、国家安全、与外国的友好关系和公共秩序”，印度政府的任何机构可以豁免该法案。该法案将在未来几周内在印度国会讨论。

对 Tiktok 应用和网站流量的分析发现，它会将用户数据发送给 Appsflyer 和 Facebook，会利用设备指纹跟踪用户。Tiktok 短地址被发现包含了安装 ID，可用于识别谁分享了视频。它甚至还能跟踪谁观看了视频。它使用的跟踪技术包括了 Canvas Fingerprinting，在后台使用矢量图形命令绘制图形，保存图像到一个栅格化 PNG 文件，根据硬件和浏览器该数据在不同设备之间具有唯一性；它还使用音频指纹识别观看者，内部生成音频然后记录比特流，这一数据在设备之间也具有唯一可识别性。北京字节跳动称指纹被用于识别恶意浏览器行为，但研究者对此表示质疑。

金融时报报道，南都个人信息保护研究中心的调查显示，大部分被调查者对面部识别技术表达了担忧。中国已率先在全球推广面部识别，并在交通枢纽、学校、购物中心和居民区安装面部扫描器。根据南都的调查，人们最担心的是面部识别系统的运营商可能在数据安全方面松懈，并因此泄露个人信息，80% 的受访者将此视为一系列担忧之一。此外，57% 的受访者担心自己的行动受到追踪，84% 的受访者希望有机会审查从自己这里收集到的面部识别数据，或要求删除。这项调查从今年 10 月持续到 11 月，共有 6154 名在线受访者参加。

埃及内政部计划使用 RFID 解决方案去识别在公路上行驶的数百万车辆。新的系统将在未来五年内实施普及，由贴在汽车挡风玻璃的无源 UHF RFID 标签和前照灯上的标签构成，这套跟踪系统能在汽车高速行驶时也能响应公路上阅读器的查询。埃及计划将所有数据发送到一个基于云端的数据中心，创造一个跟踪全国所有车辆的数据库，这个数据库显然会成为执法和安全部门的无价宝库。人权观察对这套系统可能的滥用表达了担忧。

根据市场分析公司 IHS Markit 的预测，到 2021 年全球监控探头数量将超过 10 亿，而中国将占一半以上。IHS Markit 估计，2017 年中国安装了 1.76 亿监控探头，相比之下美国的监控探头数量只有 5000 万。研究人员估计到 2020 年中国将安装 4.5 亿新探头。政府控制 42% 股份的浙江海康威视是最大的监控探头供应商，2017 年它在全球市场的占有率为 21.4%，其产品被超过 150 个国家使用，其中包括美国和英国，但最近美国国会通过了法律禁止政府机构使用海康威视以及其它中国监控探头供应商的产品。

Mozilla 从 Firefox 扩展网站移除了 Avast 及其子公司 AVG 的四个扩展。这四个扩展是 Avast Online Security、AVG Online Security、Avast SafePrice 和 AVG SafePrice。前两个会对恶意或可疑网站显示警告，后两个则提供电商比价信息、打折和优惠券信息。Mozilla 是在收到 AdBlock Plus 扩展作者 Wladimir Palant 的举报之后移除这个四个扩展的。Palant 对 Avast Online Security 和 AVG Online Security 进行了分析，发现它们收集了超过其需求的信息，包括详细的用户浏览历史，Mozilla 和 Google 都禁止这一行为。 Avast 和 AVG SafePrice 都存在类似的问题。Avast 表示它正与 Mozilla 合作解决这个问题。

美国俄勒冈州波特兰市计划推行最严格的面部识别技术禁令。加州旧金山、奥克兰和伯克利与麻省的 Somerville 都发布了面部识别技术禁令，但只禁止政府机构使用面部识别技术，而波特兰计划中的禁令扩大到了私企。如果提案变成法律，它将于 2020 年春天生效。ACLU 北卡律师 Matt Cagle 预言会有越来越多的面部识别技术禁令涵盖私营部门。波特兰市是美国第一个同等权衡政府和私企使用面部识别技术危险性的城市。

俄罗斯总统普京周一签署了要求在该国销售的所有智能手机、计算机和智能电视都必须强制性预装本国应用的法案。新的法律将于 2020 年 7 月 1 日生效。法案是作为一种帮助俄罗斯科技公司与外国公司展开竞争，以及让消费者免于在购买新设备后下载软件的方式提出来的。目前俄罗斯的智能手机市场被苹果、三星和华为统治着。俄罗斯政府将制定一个要求在不同类型设备上预装软件的清单。

最近发布的 Kali Linux 2019.4 加入了一个机密模式，可以让其桌面看起来像是 Windows 10。Kali 是用于渗透测试的 Linux 发行版，鉴于 Linux 桌面远没有 Windows 和 macOS 那样流行，因此在公共场所看到有人运行带有龙标志的 Kali Linux 可能会让人感到可疑。新引入的这个模式可以减少怀疑避免惹来麻烦。开发者表示，用户回到私人地方之后可以运行脚本恢复原来的主题。

欧盟反垄断监管机构正在调查 Google 的数据收集，显示在创纪录罚款之后搜索巨人仍然是欧盟的关注对象。美国和欧盟的反垄断监管机构都在调查 Google 如何收集和货币化数据。欧盟表示正在向 Google 寻求如何以及为什么收集用户数据的信息。文件显示，欧盟主要关注的是本地搜索服务、在线广告、在线广告定向服务、登陆服务、浏览器等相关的信息。欧盟竞争事务专员 Margrethe Vestager 过去两年已对 Google 开出了超过 80 亿欧元的罚款，命令 Google 改变其商业实践。Google 称它收集数据是为了改善服务，用户可以在任何时候管理、删除或转移数据。

DigiTrust 正在开发一种标准化的共享用户 ID 以减少广告行业对第三方 cookies 的依赖。浏览器开发商正越来越多的采取行动屏蔽第三方跨站 cookies，新的方案就是应对这一情况而进行反制。DigiTrust 形容它的方案是提供一种匿名加密的身份标识符储存在第一方 cookies 内，其它广告商可以利用该共享标识符跟踪用户，不再需要第三方 cookies。Mozilla 发言人对此表示，未来版本的 Firefox 将屏蔽 DigiTrust 的通用 ID 跟踪。DigiTrust 不是唯一一家提供通用 ID 方案的机构，LiveRamp 和 The Trade Desk 都在提供类似的方案。

Twitter CEO Jack Dorsey 透过其账号透露，DuckDuckGo 是他的默认搜索引擎。Google 是目前占据市场统治地位的搜索引擎，但随着隐私受到越来越多的关注，突出隐私的 Duck Duck Go 的使用量正在不断增长。官方数据显示，Duck Duck Go 过去几个月每月的日均流量增长在 2% 到 6 % 左右，如 9 月的日均流量是 4550 万，10 月是 4723 万，即将结束的 11 月为 4875 万。

安全研究人员报告，两家第三方 SDK 允许应用未经许可访问和收集 Twitter 和 Facebook 用户数据。两大社交平台正对此展开调查。相关 SDK 分别由 OneAudience 和 MobiBurn 提供给应用开发商，在曝光之后已废弃。Twitter 在一份声明中称，问题不是由于其软件的漏洞，而是应用 SDK 之间缺乏隔离。OneAudience SDK 收集的用户信息包括了用户名、电子邮件和最新的帖子。Twitter 称只有 Android 用户受到影响。Facebook 面临的问题类似，收集的信息包括用户名、电子邮件和性别。在收到 Twitter 和 Facebook 的终止信函之后，两家公司关闭了 SDK 的下载。

安全研究人员报告，他们在 10 月 16 日发现了一个托管在 Google Cloud 上的无密码保护的可公开访问的 Elasticsearc 服务器，储存了 4 TB 数据，包含了多达 40 亿用户账号，其中非重复账号数超过 12 亿。这是至今来自单个组织的最大规模数据泄露。泄露的数据包含了名字、电子邮件地址、电话号码、LinkedIN 和 Facebook 账号信息。这些信息被认为来自于两家数据聚合和浓缩公司 People Data Labs 和 OxyData.io，不包含敏感数据如密码和信用卡。安全研究人员联络了 PDL 被告知服务器不属于他们，PDL 使用的是 AWS 云服务。研究人员猜测这些数据来自 PDL 的客户或其它收集多个数据源的数据聚合服务。

俄罗斯通过法律禁止销售没有预装俄罗斯软件的特定电子产品。法律将于 2020 年 7 月生效，涵盖的电子产品包括智能手机、计算机和智能电视。支持者称法律旨在推广俄罗斯技术，让本国人民能更容易的使用他们购买的电子产品。但法律也引发了监视方面的担忧，担心外国企业可能会撤出俄罗斯市场。政府将制定一个必须预装到电子设备上的俄罗斯软件名单。法案起草者之一的 Oleg Nikolayev 解释说，当我们购买一个电子产品，它们已经安装了个别应用，绝大多数是西方应用，没有提供本国应用替代，如果有替代应用，用户将可以进行选择。