美国隐私倡导组织 Center for Democracy & Technology (CDT)向美国联邦贸易委员会（FTC）投诉 VPN 服务商 AnchorFree。AnchorFree 总部位于加州硅谷，开发了受欢迎的免费 VPN 服务 Hotspot Shield（也有付费版本）。起诉书指控 AnchorFree 破坏了对用户的承诺，与在线广告商分享了用户的私人网络流量以改进广告展示。Hotspot Shield 会在免费用户浏览时插入广告，用户对此做法知情，CDT 没有指控 AnchorFree 秘密植入广告，而是指控该公司违反了不跟踪或出售用户信息的承诺。

勒索软件 WannaCry 背后的操作者将其勒索到的比特币从钱包转出，兑换成无法跟踪的门罗币。比特币是去中心化数字货币，但并不匿名，所有交易都记录在案，可公开查询和跟踪。门罗币（Monero，代号 XMR）诞生于 2014 年，着重于隐私、匿名性和不可跟踪。安全研究人员发现，WannaCry 勒索到的 52.2 比特币经过多笔交易转到了与门罗币相关联的钱包。门罗币也得到了神秘黑客组织 Shadowbrokers 的青睐，它的付费订阅服务接受门罗币。

在安全公司 Kryptowire 报告 Blu 品牌手机的固件仍然在用户不知情下向中国公司发送数据之后，亚马逊以潜在安全隐患为由暂停了 Blu 手机的销售。BLU 为自己辩护，称自己是无辜的，其产品目前在亚马逊恢复上架。BLU 称自己并没有违反隐私政策，因此没有做错任何事。它的隐私条款声明，设备收集的个人身份信息可能会传输到美国之外的第三方。也就是说如果用户同意使用 BLU 的设备，那么你就同意将个人身份数据传输给第三方。上海广升收集的数据并不比其它手机厂商收集的多，比如中兴和华为的手机也会将收集的用户数据发送到中国的服务器上。唯一真正监视用户的是中国厂商的 Cubot X16S 的手机，它收集了用户的浏览历史。

《华尔街日报》报道，华为和腾讯在用户数据问题上陷入分歧。华为正在通过其荣耀 Magic 智能手机收集用户活动信息，以打造其人工智能功能，例如使手机能够基于用户的短信内容推荐餐厅。其收集的信息包括热门社交应用微信的聊天信息。知情人士透露，腾讯认为，华为的上述做法实际上夺取了腾讯的数据，并侵犯了微信用户的隐私。知情人士称，腾讯已要求中国政府介入此事。华为在一则声明中否认侵犯用户隐私，该公司表示，其仅在用户通过手机设置予以授权的情况下收集用户活动信息。华为称，所有用户数据都属于用户，而不属于微信或是荣耀 Magic，该公司在荣耀 Magic设备上处理用户数据之前经过了用户的授权。

在安全公司 Kryptowire 报告 Blu 品牌手机的固件仍然在用户不知情下向中国公司发送数据之后，亚马逊以潜在安全隐患为由暂停了 Blu 手机的销售。Kryptowire 称，Blu 的两款手机 Grand M 和 Life One X2 会向上海广升信息技术有限公司的服务器发送手机塔 ID 和位置、手机号码、IMEI、IMSI、Wi-Fi MAC 地址，设备序列号、安装应用列表及其时间戳。Blu 的另一款手机 Advance 5.0 则包含了能被第三方应用利用的代码执行和记录能力。另一款不同厂商的手机 Cubot X16S 则还能将用户浏览历史发送到中国的服务器上，甚至还能在第三方的指令下发送短信。安全专家认为，亚马逊的做法是完全正当的。此类的信息收集在中国早已司空见惯，但中国的开发商不小心将这个秘密出口到世界其他地方对此不知情的买家。

在安全公司 Kryptowire 报告 Blu 品牌手机的固件仍然在用户不知情下向中国公司发送数据之后，亚马逊以潜在安全隐患为由暂停了 Blu 手机的销售。Kryptowire 的研究人员在上周举行的 Black Hat 安全会议上报告，上海广升信息技术有限公司的软件仍然会在不告知用户的情况下将设备数据发送到该公司位于上海的服务器上。亚马逊在声明中称，安全和隐私对客户至关重要，在问题解决前将停止所有 Blu 品牌手机销售。Blu 回应称正在进行评估。

在两大暗网市场 AlphaBay 和 Hansa 美欧执法部门关闭之后，暗网市场的供应商并未因此偃旗息鼓，他们转战去了其它仍然活跃的市场。一项研究发现，其它暗网市场过去一周列出的商品增加了 28%。但由于持续遭到打击，武器或儿童色情之类的非法商品从这些市场逐渐消失了。暗网是基于 Tor 隐藏服务，必须通过 Tor 匿名网络才能访问。在 AlphaBay 和 Hansa 于 7 月 20 日关闭之后，Dream Market 现在成为了最大的暗网市场，网站列出的商品条目数有 98,844 个。该网站是在 2013 年上线的，是至今仍然存在的最古老暗网市场之一。

Google 今年早些时候宣布了一个新的广告工具，通过结合线上广告浏览和线下信用卡消费数据，告诉广告商广告是否真正有效。隐私保护组织 Electronic Privacy Information Center(EPIC) 本周一向美国联邦商业委员会递交了正式投诉，要求对 Google 展开正式调查，以判断 Google 是否对数以百万计的美国消费者提供足够的隐私保护。EPIC 认为，由于 Google 的算法是保密的，没有办法能判断 Google 所宣称的匿名数据特性是否能真的有效工作。Google 此前披露它匿名用户数据的技术是基于 CryptDB。EPIC 指出，早在 2015 年，研究人员就证明 CryptDB 技术存在安全漏洞。EPIC 认为，消费者无法轻易避开 Google 对他们店内购物行为的跟踪。

在拉斯维加斯举行的 DEF CON 会议上，Tor 项目联合创始人 Roger Dingledine 试图纠正有关匿名网络的错误观念。他指出，只有 3% 的 Tor 用户访问 Tor 隐藏服务，绝大部分用户是出于完全合法的目的通过 Tor 访问公共网站。这些网民只是想隐藏身份，他们不是什么黑社会恶棍。他告诉出席 DEF CON 会议的与会者，暗网并不真正存在，它们只是少许网页罢了。Tor 用户访问最多的网站是 Facebook，有超过一百万人通过 Tor 登录 Facebook。他还解释了 Tor 浏览器继续使用 Firefox 的原因，称 Chrome 的代理绕过仍然引起担忧。

俄罗斯总统普京上周末签署了两项受争议的法律，其一是禁止 VPN ，其二是推行 IM 实名制。第二项法律在中国已经实施，也就是要求 IM 服务商将用户账号与手机号码关联起来，他们将需要根据法律要求收集用户的电话号码。这项法律将于 2018 年 1 月 1 日生效，除了实名制外，法律还要求 IM 服务商根据当局的要求限制被认为传播在俄罗斯非法的内容的用户。俄罗斯的做法基本上与中国的做法差不多，唯一的区别在于俄罗斯明令禁止 VPN，中国还没有完全限制 VPN，虽然实际上正在逐渐推行。

自由软件电话和即时聊天应用项目 GNU Ring 释出了 1.0 版本。GNU Ring 在 2016 年 11 月成为 GNU 项目的一部分，采用分布式哈希表创建一个自己的通讯网络，能在所有连接的系统中分发目录、验证和加密。GNU Ring 不依赖于一个中心化的基础设施，能可靠安全的用于文字传输、语音和视频聊天。开发者警告用户不要忘记账号密码，因为忘记后你是找不回来的。

去年 11 月，安全公司 Kryptowire 从美国销售的低端 Android 手机固件中发现了一个后门，会将用户的大量私人信息发送到提供固件的中国公司服务器上，发送的数据包括了手机号码、位置数据、短信内容、呼叫信息、安装和使用的应用等等。提供固件的上海广升信息技术有限公司声称是失误，否认为中国政府收集情报，声称它是一家私人公司。本周在拉斯维加斯举行的 Black Hat 安全会议上，Kryptowire 的研究人员报告，广升的软件仍然会在不告知用户的情况下将设备数据发送到该公司位于上海的服务器上，但做法更神秘了。广升的发言人声称该公司已在去年解决了这个问题。安全研究员称，广升现在通过命令与控制信道发送数据，该公司可以在用户设备上安装应用，屏幕截图，打电话，甚至抹掉设备，认为这是对隐私的严重侵犯。研究人员表示，在低端廉价手机中间发送用户数据的情况十分普遍。

美国司法部和欧洲刑警组织宣布扣押和关闭了暗网市场 AlphaBay 和 Hansa。根据美国政府公布的起诉书，AlphaBay 的管理员 Alexandre Cazes 和丝绸之路的 Ross Ulbricht 一样，在建站早期犯下了多个安全方面的严重失误：他使用了一个在互联网上留下大量足迹的用户名 Alpha02；他的个人邮件地址 Pimp_Alex_91@hotmail.com 包含在 2014 年 12 月欢迎新用户的邮件头文件内，以及包含在论坛恢复密码流程的头文件中。利用这些线索，调查人员发现了 Alexandre Cazes 及其前台挂名公司 EBX Technologies。当局还发现其名下有价值数百万美元的没有任何合法来源的投资。在调查人员突击搜查其住宅时他当时已经登录进了 AlphaBay 的管理员帐户。Cazes 上周被发现吊死在泰国的监狱内。

在一个 AI 能生成逼真的假视频的时代，我们如何确保照片和视频是真实的而非伪造的？开发 Signal 的 Guardian Project 推出的 ProofMode 应用允许第三方验证照片和视频的真实性。使用 ProofMode 拍摄的媒体包含了原始拍摄设备以及拍摄时环境的元数据，然后用设备特定的 PGP 私钥签名，这些信息可以证明文件内容有没有经过修饰或修改。对于拍摄敏感图像的专业记者或公民记者来说，此类证据可用于抵御伪造的指控——当掌握的权力的人受到批评时，他们的反应通常就是指控信息是伪造的。

世界最大的色情网站 Pornhub 现在要求俄罗斯用户使用关联护照和电话号码的社交媒体账号登陆。这一变动是 Pornhub 和俄罗斯政府之间争执的最新一章。去年九月，俄罗斯以传播有害儿童发育的信息为由屏蔽了 Pornhub。为了解除屏蔽，Pornhub 曾向俄罗斯政府提议提供免费的 Pornhub Premium 账号，但遭到了拒绝。今年 4 月，在设立年龄门槛制度屏蔽被解除。但上个月 Pornhub 再次卷入了俄罗斯的政治漩涡，普京的反对者利用 Pornhub 上传了遭俄罗斯封杀的反腐纪录片。该纪录片之后被删除。Pornhub 的最新要求可能不是为了方便用户登陆，而是方便俄罗斯监控。

在大数据时代如何保护用户隐私？如何能既理解用户又不窥探用户？《华尔街日报》介绍了苹果去年开始测试的新技术差分隐私(differential privacy)。报道称，微软和优步等公司都在测试这项技术。 差分隐私算法通过注入一定数量的统计噪音来模糊正在被分析的数据，比如将某个问题（你有过暴力犯罪行为吗？）的答案抽出来，换成另一个有已知统计回复率的问题（你是在2月份出生的吗？）。 这样，试图在数据中找出关联的人就永远无法确知某人被问了哪个问题。这意味着研究人员可以分析诸如病例资料这样的敏感数据，却不能把这些数据与具体的人联系起来。

蚂蚁金服旗下从事消费信贷业务的 “花呗”被指过度收集用户信息。花呗根据《网络安全法》等法规要求修改了《花呗用户服务合同》，明确了信息收集的范围，引发争议的是第四条，其中规定： “您同意并授权服务商收集的您的如下信息： 4.2.1 您及您的关联方的身份信息，如姓名 / 名称、证件号码、证件类型、住所地、职业、电话号码、支付宝、余额宝或网商银行账户认证信息、电子邮箱地址以及其他身份信息； 4.2.2 您访问服务商网站及服务商关联公司网站（若有）、移动设备客户端时，或使用服务商及服务商关联公司提供的服务时的操作日志，如您的计算机 IP 地址、设备标识符、硬件型号、操作系统版本、您的位置以及与本服务相关的日志信息； 4.2.3 您在申请、使用服务商提供的服务时所提供、形成的任何数据和信息，如您及您提供的关联方的数据和信息； 4.2.4 您及您的关联方在服务商的关联公司、合作伙伴、阿里巴巴集团旗下公司处留存以及形成的任何数据和信息，如您的支付宝、网商银行账户和 / 或基金、证券账户和 / 或其他银行账户信息、您在淘宝网及天猫网站上形成的消费、物流等信息和数据、您的行为数据、您与服务商的关联公司、阿里巴巴集团旗下公司和服务商合作伙伴之间存在的任何合同及您在该等合同项下的履约情况； 4.2.5 您的信用信息，如您的征信记录和信用报告； 4.2.6 您的财产信息，如您的店铺 / 企业经营状况、财税信息、房产信息、车辆信息、基金、保险、股票、信托、债券等投资理财信息和负债信息等；您同意并确认，您在将前述信息提供给服务商之前已清楚知晓可能带来的不利后果，如基于前述信息对您做出的负面评价；...” 有律师认为，“花呗” 的合同存在涉嫌违反《网络安全法》的地方，也即关于 “不得收集与其提供的服务无关的个人信息”。在业内看来，“花呗”作为蚂蚁金服旗下的一款消费贷款产品，其《产品合同》所列举的搜集信息的范围已远远超过贷款范围。律师认为，“花呗”在这里的规定实际上使用了 “概括授权” 的方式，即要求用户一次性授权服务商可以帮用户做一堆事儿。但实际上，用户的主观意识往往想不到这么多情况，却稀里糊涂地授权了。

彭博社报道，Google 将停止扫描 Gmail 用户的邮件。用机器人程序扫描 Gmail 用户邮件内容以展示定向广告的做法曾引发了隐私方面的担忧。Google 的这一决定不是来自广告团队，而是来自云计算部门，旨在吸引更多企业级用户。Google 云计算部门销售名为 G Suite 的办公软件套装，其中包括了邮件服务。Google 扫描免费 Gmail 账号的邮件，不扫描付费的商业用户账号，但商业用户对此并不清楚。为了避免继续混淆，Google 决定停止扫描所有 Gmail 用户的邮件。Google 会继续在免费账号上展示广告，但不再是基于邮件内容，而是根据用户的搜索历史和 YouTube 浏览记录等信息。

Mozilla 在 2015 年 12 月发布了 iOS 屏蔽跟踪程序工具 Focus By Firefox，因为苹果的限制它只能工作在 Safari 上。现在 Mozilla 在 Android 平台上发布了相同的工具，但不同之处是，Google 对第三方浏览器的控制没有苹果那样有严厉，Firefox Focus 是一个完整的浏览器，能自动拦截各类在线跟踪器，删除历史记录、密码和 Cookie，避免用户被广告尾随。其主要特性包括：自动进入隐私浏览模式，列出每个网站屏蔽的广告数，如果网站加载不正确可以关闭屏蔽工具，能在后台提醒用户删除浏览历史。

提供端对端加密的电子邮件提供商 ProtonMail 正式宣布推出 VPN 服务 ProtonVPN 对抗屏蔽和政府监视。开发者表示，他们的使命是让隐私和安全人人都可触手可及，因此该服务是免费的。免费付费如何长久支持呢？开发者表示，和 ProtonMail 一样，ProtonVPN 也有付费账号，利用付费账号的收入支持免费服务。免费版的 ProtonVPN 只能在一台设备上使用，只能访问三个国家的 VPN 服务器，速度也有限制，而付费版有三个档次：每月支付 4 欧元，支持两台设备同时使用，可以访问在所有国家的 VPN 服务器；每月支付 8 欧元，支持五台设备同时使用，速度更快；每月支付 24 欧元，支持十台设备同时使用。开发者承诺，他们不会像 Google 和 Facebook 那样滥用用户隐私去销售广告。