全国信息安全标准化技术委员会发布了《网络安全实践指南 —— 移动互联网应用基本业务功能必要信息规范》，根据个人信息收集最少够用原则给出了地图导航、网络约车、即时通讯社交、社区社交、网络支付、新闻资讯、网上购物、短视频、快递配送、餐饮外卖、交通票务、婚恋相亲、求职招聘、金融借贷、房产交易、汽车交易 16 类基本业务功能正常运行所需的个人信息，但仅供参考，也就是并不会强行推广或执行。《规范》称地图导航应用的必要权限是定位，但以百度地图为例，流行导航应用索要的权限包括用户帐户、修改系统设置、手机号码和通讯录等敏感权限。

俄罗斯的一个政府数据库加入了约会服务 Tinder，根据法律进入该数据库的公司被要求与该国的执法机构和情报机构分享用户数据和私人通信。这个数据库被称为 Register of Information Dissemination Organizations 或缩写 ORI，根据俄罗斯法律，ORI 内的公司必须根据要求将数据交给执法或情报机构如 FSB，以帮助调查恐怖分子和国家安全案件。此前 ORI 数据库已经包含 175 家公司，根据非政府组织 Roskomsvoboda 的信息，Tinder 是 Mamba、Wamba 和 Badoo 之后第四个进入 ORI 数据库的约会服务。

苹果宣布了另一项加强儿童隐私保护的规定，应用商店“儿童类别”应用不再允许包含第三方广告或分析工具。苹果更新了应用审核中有关“儿童类别”的规定。儿童类别可帮助用户找到专为儿童设计的 app。如果开发者希望进入 “儿童类别”，那么这些 app 不得提供 app 外链接、购买机会或其他会对儿童造成干扰的内容。苹果明确，“儿童类别”app 不能包含第三方广告或分析工具（中文版尚未更新），此外开发者还应特别留意世界各地与在线收集儿童数据相关的隐私法。

Mozilla 宣布 Firefox 默认启用跟踪保护，屏蔽已知第三方跟踪器。Mozilla 称，对于新用户，在 Firefox 在安装时将会默认启用被称为 Enhanced Tracking Protection 的跟踪保护功能；对于现有用户，它将在未来几个月通过推送启用该功能。现有的用户也可以手动启用该功能，方法是——菜单-内容拦截-自定义-Cookie，选择第三方跟踪器或所有第三方 Cookie。Mozilla 警告，该功能可能导致网站异常。根据用户的报告，华盛顿邮报就要求用户关闭该功能。

苹果正向一家隐私即服务公司转型，这体现在两方面：一是推出新的单点登录账户服务；二是在 iOS 13 中对相机和位置服务进行更新。苹果的单点登录账户服务包含了一个选项，用户可以创建一个匿名的一次性电邮地址来跟开发商建立直接但又独特的联系。这意味着开发商或服务提供商仍然可以轻松地直接跟用户交流，但这也意味着他们无法在之后通过销售或分享用户信息来获利。这就把隐私控制权完全移交给了用户。苹果跟摄像头厂商的合作也是独一无二的。iOS 13 中的位置服务功能也把所有的控制权移交给了用户，而不是服务提供商。

一位身在德国的中国程序员在新浪微博上发帖称，程序员被说成是从事色情行业的女性的接盘侠，他与其朋友因此决定把成人视频中的女性和社交网络中的女性照片进行匹配，识别其身份，帮助程序员们过滤一下避免成为接盘侠。他们花了半年时间利用 1024、91、sex8、PronHub、xvideos 等网站采集的数据对比 Facebook、instagram、TikTok、抖音、微博等社交媒体，在全球范围内成功识别了 10 多万名从事色情行业的女性（为了避免微博审查而将色情行业改为不可描述行业）。此举引发了热议和争议，他随后辩解称他的意图是允许女性检查她们的照片或视频是否在成人网站上，她们可以向网站发送 DMCA 删除通知要求删除照片或视频。这位叫“将记忆深埋”（或 mitboy）的用户表示将在 5 月 31 日在 gitlab 公开数据库结构。

DuckDuckGo CEO Gabe Weinberg 认为数据跟踪应该是选择加入而不是选择退出。他说，人们并没有认识到他们的网络活动在多大程度上受到跟踪，一旦他们意识到科技公司如 Google 和 Facebook 在默默的大肆收集他们的隐私数据，他们会要求改变的。DuckDuckGo 是一个强调隐私的搜索引擎，它在美国的市场份额只有 1% ，而 Google 是 88%。他在接受采访时候称，作为一个非跟踪的搜索引擎替代他们已经运营 DuckDuckGo 长达 11 年，是第四大搜索引擎。该公司最近提出了请勿跟踪（Do Not Track，DNT）法案，试图通过立法实现数据跟踪的选择加入而不是默认加入。

Google CEO Sundar Pichai 本月初声称，隐私不能成为一种奢侈品，只提供给负担得起增值产品和服务的人。他显然意指苹果。苹果负责软件的高级副总裁 Craig Federighi 对此反驳说，苹果希望能将产品尽可能的销售给每一个人，苹果的产品肯定不仅是奢侈品。他表示很高兴看到其它公司谈论隐私，但改变一家依赖于数据收集的公司不是几篇新闻稿和几个月时间能做到的。他没有提 Google 的名字但显然意指 Google。Federighi 还回应了有关中国用户 iCloud 数据储存在中国境内服务器的批评，Federighi 称苹果采用了最小化数据收集的做法，因此数据储存在中国服务器上所带来的风险没有其他公司那么大。通过加密和收集少量数据，中国 iCloud 服务器上的数据并不多，任何获得访问权限的人对这些信息做不了什么。

今年 3 月，美国外国投资委员会(CFIUS)敦促同性恋交友应用 Grindr 的中国拥有者北京昆仑万维科技股份有限公司剥离这款应用的业务，理由是国家安全。现在根据八名 Grindr 前雇员的说法，北京昆仑万维在去年初让其工程师访问了数百万美国人的信息，其中包括私信和 HIV 状态，正是这一消息促使 CFIUS 要求昆仑万维出售 Grindr，虽然它并没有证据显示中国公司滥用了数据，但它担心中国政府会利用 Grindr 的数据库寻找美国情报和军方人员的信息。

欧洲数字权利组织（EDRi）和 45 家 NGO，以及学者和企业联合致函（PDF）欧盟决策者和监管机构，对 ISP 广泛和增加使用深度包检测（DPI）发出警告。DPI 收集的信息远远超过 ISP 执行其基本任务的需要，它具有侵犯隐私的本质，没有严格合乎欧盟的法律。很多人还担心一些电信监管机构正在推动 DPI 技术的合法化。有人指出 ISP 使用 DPI 是为了遵守欧盟收集元数据的法律要求。

曾发现超过 2 亿中国求职者简历泄露的安全研究员 Bob Diachenko 又发现了另一个没有密码保护的大型数据库，包括了超过 2.75 亿印度公民的信息。他是通过 Shodan 搜索发现了一个托管在 Amazon AWS 上的可公开访问的 MongoDB 数据库，该数据库被索引的日期是在 4 月 23 日，直到 5 月 8 日一直能访问。该数据库包含了印度居民的姓名、性别、出生日期、电子邮件、手机号码、教育信息，职业信息（雇主、工作经历、技能，职能范围）等信息，以及当前薪水。他没有查到数据库所有人的信息，猜测是出于未知目的的大规模抓取行动的一部分。

在 I/O 开发者大会上，Google 宣布 Chrome 将引入两项隐私保护和安全功能。其一称之为 same-site cookies ，另一个防指纹的 anti-fingerprinting protection。same-site cookies 是基于 Chrome 和 Mozilla 开发者花了三年多时间制定的 IETF 标准，该标准描述了 HTTP 头文件中的一个新属性 SameSite，它由网站设置，描述了 cookies 加载的情况。严格的 SameSite 属性意味着只能加载同一个网站的 cookies，宽松或缺省意味着可以加载跨站 cookies。所有没有设置 SameSite 属性的旧 cookies 将被自动归为缺省，浏览器将会视其为跨站 cookies。anti-fingerprinting protection 则是防止网络广告商（非 Google）滥用用户指纹技术跟踪用户。

Google 将在其 Chrome 浏览器上推出新工具，让用户在避免 cookie 追踪方面拥有更多控制权。Google 的新工具预计不会严重削弱 Cookie 收集数据的能力，但可能帮助 Google 扩大领先于在线广告竞争对手的巨大优势。根据 eMarketer 数据，Google 拥有 30 亿用户，助其成为全球最大互联网广告销售商，将这个市场营收总额的近三分之一收入囊中，领先于 Facebook 的 20%。新工具主要针对牟利的第三方所安装的 cookie，而不是用户主动浏览网站的。

加拿大边境服务局被指因律师拒绝披露密码而扣押其手机和笔记本电脑。这位叫 Nick Wright 的加拿大律师于 4 月 10 日乘飞机在多伦多的 Pearson 机场入境，他被要求接受额外的检查，边境服务局没有给出检查的理由。他对官员搜查他的包并无意见，但当官员要求提供密码搜查他的手机和笔记本电脑时他拒绝了。他称两个设备包含了客户的机密信息。边境服务局随后没收了他的设备，称将会送到政府实验室去破解密码搜索文件。律师认为当局此举侵犯了他的宪法权利。

智能城市设计旨在让居民生活更轻松，但如果它的监控系统数据泄露？John Wethington 报告一个智能城市数据库没有密码保护可以直接通过浏览器访问。该数据库是一个 Elasticsearch 数据库，储存了数 GB 数据，包括数百个人的人脸识别扫描。数据储存在阿里云上。阿里巴巴发言人称，数据库是客户创造的，托管在阿里云，他们总是建议客户使用安全密码保护其数据。他们已经通知了客户，迅速解决了问题。数据库提供了部分智能城市工作的见解。

主要浏览器都支持的隐私保护功能——请勿跟踪（Do Not Track，DNT）实际上没有任何作用。如果你启用请勿跟踪，在访问某个网站时，浏览器向网站服务器发送的 HTTP 头文件将包含请勿跟踪的信息，但网站可以置之不理，继续收集你的信息，因为 DNT 是一个志愿遵守的系统，没有法律要求网站遵守 DNT，因此包括 Google 和 Facebook 在内的科技公司都选择忽视 DNT。为了堵上这个漏洞，匿名搜索引擎 DuckDuckGo 提出了请勿跟踪法案（PDF）。如果法案成为法律，那么网站将不得不停止使用部分跟踪用户的方法。在 GDPR 生效一年之后，随着数字隐私越来越引起关注，法案成为法律还是有可能的。

Facebook 周三表示，由于违反隐私规定，该公司预计将被美国联邦贸易委员会 (FTC) 处以高达 50 亿美元的罚款。这将创下 FTC 对单一科技公司的开罚金额纪录。对于 FTC 正在进行的调查，Facebook 估计它预计将会被处以 30 亿到 50 亿美元的一次性罚款。去年 Facebook 因为未经用户同意允许 Cambridge Analytica 收集用户数据而遭到批评。该公司还遭遇了一次数据泄露，导致了接近 5000 万用户私人信息泄露。此前 FTC 对于科技公司开出的最高罚单是在 2012 年对 Google 开出的 2200 万美元罚款，原因是搜索巨人错误解释了它如何使用在线跟踪工具。

下载量超过 10 万的 WiFi Finder 应用被发现暴露了 200 万 WiFi 密码。它允许用户搜索附近的 WiFi 网络，允许用户向其数据库上传 WiFi 密码。它的数据库包含了 200 多万 WiFi 密码，但没有任何密码保护，因此任何人都可以访问和下载。GDI Foundation 的安全研究员 Sanyam Jain 发现了这个无保护数据库，花了两周多时间尝试联络开发商 Proofusion，该开发商被认为位于中国，但没有任何回应。最终他们联系了托管商 DigitalOcean，下线了该数据库。数据库除了 WiFi 密码，还有 WiFi 网络名字，地理位置，basic service set identifier (BSSID)，全都是明文。

上周，Chrome、Safari、Opera 和 Microsoft Edge 的新版本被发现不再允许用户关闭“链接审计（ hyperlink auditing）”的功能。链接审计是一项 HTML 标准，被用于跟踪网站链接的点击。它通过创建特定网页的 POST 请求，用户检查请求头文件就可以了解点击的源地址。目前只有 Brave 和 Firefox 这两个浏览器默认禁用链接审计。但本周 Mozilla 表示 Firefox 将默认启用点击跟踪。虽然部分用户认为这项功能对隐私构成的风险，但浏览器开发商认为它有助于改进性能。Mozilla 称它之所以没有启用链接审计是因为它的实现还没有完成。它认为禁用链接审计无助于改进隐私。Brave 则表示它会继续禁用链接审计。

BuzzFeed News 的调查发现，中国应用开发商 DU Group 开发的多款流行应用存在广告欺诈和滥用用户权限的问题。DU Group 自称其全球用户超过 10 亿，它去年从百度剥离出来成为独立公司。它的至少六个应用存在欺诈性广告点击的问题，这些应用在 Google Play 的下载量超过了 9 千万。此外它的应用还被发现索要过多的用户权限。这些问题不限于 DU Group，其它流行应用也被发现索取权限过多和其它安全隐私问题，比如一款中文儿童应用会向中国服务器发送未加密个人信息。Google 称它已经将被发现存在广告欺诈的 6 个 DU Group 应用列入黑名单。