新京报报道了人脸识别的地下黑产交易，有许多应用都需要人脸验证，创造了对人脸验证的一种需求，催生了一个地下产业链。报道称，人脸识别的优质数据需要一百元一套，而便宜量大的仅需要 0.5元一套。那么这些数据来自何处？报道称一小部分来自网络刷单兼职人员，大部分来自企业内部员工。人脸识别的黑产商贩称，市面上流通的手持身份证照片大多是在小额贷款平台和公司野蛮发展期间，泄露出来的，还有部分是从各行业收集而来的，这种信息交易和使用一般情况下不会被人发现，“当时很多人借钱不还，平台就把这些信息拿出来卖钱了，刚开始挺贵的，现在层层转卖就便宜了。”

黑客正在网上出售从职业社交网络 LinkedIn 抓取到的 5 亿用户信息。LinkedIn 发言人证实黑客抓取到的是网站上可公开浏览的信息，表示抓取信息违反了它的服务条款。出售公开访问的信息看起来没有多少意义，但黑客在出售的数据集中整合了来自其它来源的数据以增强其价值。LinkedIn 有 7.4 亿用户，5 亿相当于用户总数的三分之二。出售的数据集包含了账号 ID、姓名、邮寄地址、电话号码、职业信息、性别和社交媒体账号链接。

针对近日流传特斯拉通过车内摄像头监控车主的讨论，特斯拉周三回应称，驾驶室内的摄像头目前在北美以外的市场并没有激活；即使在美国，车主也可以自由选择是否开启使用。特斯拉官方微博账号指出，特斯拉配备了全球领先安全等级的网络安全体系以确保用户隐私保护。特斯拉用户使用的车辆不存在通过车内摄像头侵犯用户个人隐私的行为。所有中国市场上的特斯拉用户车辆均未开启车内摄像头，也不涉及 FSD Beta 的测试。

Facebook CEO Mark Zuckerberg 使用加密消息应用 Signal。他的电话号码包含在泄露的 5.33 亿 Facebook 用户数据中间，除此之外还有他的名字、地址、婚姻状况、出生日期和 Facebook ID。一位安全研究人员说，又一次大转折，Mark Zuckerberg 注重他自己的隐私，使用不属于 @facebook 支持端对端加密的聊天应用。Facebook 联合创始人  Chris Hughes 和 Dustin Moskovitz 也受到泄密的影响。

有人在黑客论坛泄露了 5.33 亿 Facebook 用户信息，其中包括电话号码、Facebook ID、姓名、地址、出生日期、个人简历等，部分用户的信息还包括电邮地址。信息遭到泄露的 Facebook 用户分布在 106 个国家，其中美国有 3200 多万，英国有 1100 万，印度有 600 万。Facebook 发言人称，这些数据是利用该公司在 2019 年修补的一个漏洞抓取到的。虽然数据可能是两年前的旧数据，但对于网络罪犯来说仍然是有价值的。安全专家表示这些数据可被利用发动社会工程攻击或入侵尝试。

苹果开始拒绝使用第三方 SDK 未经同意跟踪用户的应用。应用开发商可以通过部分第三方 SDK 利用类似设备指纹的访问跟踪用户，跟踪用户并非不合法，但苹果希望终结未经用户明确同意跟踪的应用，它开始拒绝使用 Adjust SDK 的任何应用，Adjust SDK 是众多提供设备指纹的 SDK 之一。苹果的新隐私保护政策将影响许多公司收集用户数据。

不管你需不需要，几乎所有家电都能联网的时代正在我们走来。没有冠以“智能”的电视机早就销声匿迹，而大部分所谓的智能电视机还有广告，部分品牌则将没有开屏广告作为卖点。配备了摄像头和麦克风的智能电视容易遭到滥用已是众所周知，它们会将收集的信息发送到厂商的服务器，你根本不知道它们收集了哪些信息。好消息是，大部分物联网设备使用的是 Wifi 连接，我们至少还可以通过路由器控制它们的行为。但厂商也有应变之道：直接嵌入蜂窝调制解调器和 SIM 卡，解决不在线的问题。这种现象将会越来越多，它们将会完全脱离用户的有限控制。除了将它们关在法拉第笼内，消费者将无能为力，隐私、监视、跟踪将会无处不在。这就是不请自来的物联网时代。

都柏林大学圣三一学院的 Douglas J. Leith 教授跟踪了（PDF）iOS 和 Android 设备向苹果和 Google 服务器发送的遥测数据，发现 Google 收集的数据二十倍于苹果。Leith 教授称，研究考虑了操作系统本身收集的数据以及操作系统供应商提供的默认应用收集的数据，云端存储，地图/位置服务等，只计算遥测数据。Leith 教授指出，即使用户选择退出遥测， iOS 和 Android 仍然会发送遥测数据。苹果收集了更多的信息数据类型，但 Google 收集的数据量要多得多。开机 10 分钟内，Pixel 手机向 Google 发送了 1MB 数据，而 iPhone 发送了 42KB；在闲置状态下，Pixel 手机每 12 小时向 Google 发送 1MB 数据，相比之下 iPhone 只向苹果发送 52KB 数据。当新的 SIM 卡插入到设备中，相关信息会立即与苹果和 Google 共享。设备上预装的应用被发现在未启动或使用前就会连接苹果和 Google 服务器。Google 发言人用汽车收集数据为它收集数据辩护。

新西兰 Canterbury 地区卫生局的新冠疫苗预定系统被发现暴露了 716 名登记的患者个人信息，包括姓名、性别、出生日期和 NHI 号码。这套系统是 Valentia Technologies 公司开发的，对系统代码的简单评估发现，问题根源在于开发商的无能。用户输入的信息被直接硬编码在网站上，其他用户可以公开查看，了解何时何地接种的信息。新西兰卫生部对 Valentia 开发的所有系统展开了审查，其他地方的卫生部门也使用了 Valentia 的预定系统，但只是在内网使用，有密码保护。

网信办、工信部、公安部和市场监督管理总局公布了《常见类型移动互联网应用程序必要个人信息范围规定》，对地图导航、网络约车、即时通信、网络支付、网络借贷等 39 类 App 搜集个人信息的范围做出明确规定，禁止因用户拒绝提供非必要信息而不予服务。以即时通信类 App 为例，基本功能服务为“提供文字、图片、语音、视频等网络即时通信服务”，必要个人信息包括：1.注册用户移动电话号码；2.账号信息：账号、即时通信联系人账号列表。浏览器类，基本功能服务为“浏览互联网信息资源”，无须个人信息，即可使用基本功能服务。

美国商务部周三表示，已向多家中国公司发出传票，要求它们向政府提供更多有关使用和转移美国数据的信息，以确保敏感信息没有与中国共享。这些传票是对特朗普政府一项行政命令的执行，旨在监督通信技术等行业中的外国公司。商务部没有披露哪些中国公司受到影响。

Brave 浏览器在 2018 年加入了对 Tor 匿名网络的支持，Brave 用户无需安装 Tor 就能访问暗网 .onion 地址。一位安全研究员报告，Brave 浏览器的 Tor 模式会将 .onion 域名的查询发送到公共 DNS 服务器而不是 Tor 节点。这位研究员称其发现很容易复现，建议用户使用 Tor Browser 而不是 Brave 访问暗网。在这一发现引发广泛关注之后，Brave 宣布已释出补丁修复该问题。

在电邮中使用跟踪技术正日益常见。被称为跟踪像素的技术可记录邮件是否以及何时打开；邮件被打开了多少次；打开邮件的设备类型；用户的粗略位置。这项技术可被用于判断一个特定电邮推广活动的影响，以及记录下更多的客户肖像细节。跟踪像素通常是只有 1x1 像素的 .GIF 或 .PNG 文件，被插入到插入到电邮的页眉、页脚或正文中，用户的裸眼是无法识别出它的。用户可以使用电邮程序的免费插件剥离掉大部分跟踪像素。

腾讯总部所在地深圳市南山区法院上个月判决，微信好友关系不属于个人隐私。本案的原告在 2019 年发现，使用微信或 QQ 登录腾讯“微视”APP后，微视会获取其全部微信或 QQ 好友信息。他认为，腾讯公司未经其授权将他的微信、QQ 好友关系提供给其他 APP，侵犯了他的隐私权。但南山法院认为，“隐私是指用户对其生活领域不愿公开的信息享有不被他人知悉的权利。原告主张的性别和地区属于公开信息，不构成隐私。”北京师范大学法学院教授袁治杰认为，腾讯并没有权利将微信好友关系披露给第三人，“即使我同意微信可以将我的好友关系提供给他人，微信也不得提供。因为好友关系是双向的，要想有权提供，微信必须同时获得了我的好友们的同意才行。换句话说，必须获得双向同意才行。”

苹果为 iOS 加入的新反跟踪隐私保护功能让广告行业头疼不已。Google 上周告诉合作伙伴该功能将会对广告收入产生显著影响。Facebook 则对苹果发起了全面挑战，考虑采取法律行动。然而现在彭博社报道，世界最大的网络广告公司考虑为 Android 引入类似的反跟踪功能。报道称，搜索巨人正在讨论如何在 Android 操作系统上限制数据收集和跨应用跟踪，但其实现方式将没有苹果的方案那么严格。报道称，这一讨论处于早期阶段，可能并不会发生。

《南方周末》调查了输入法的隐私问题（付费墙，微信）。根据 Mob 研究院数据，2020 年搜狗、讯飞和百度三家输入法占据了国内市场九成的活跃用户，其中搜狗占有率最高，54%。2020 年 9 月，腾讯全资收购了搜狗。第三方输入法被广泛使用，但其潜在的隐私问题也日益引起关注。搜狗、讯飞和百度三家的隐私协议表示，用户信息共享方主要为输入法服务商的关联公司、合作伙伴。合作伙伴包括广告、分析、信息推广服务类的授权合作伙伴，供应商、服务提供商和其他合作伙伴如第三方SDK，以及提供风控服务的合作方。

巴西几乎所有人的信息泄露。泄露的数据为 14 GB，包含了 1.04 亿车辆和 4000 万家企业详细信息，潜在受影响人数 2.2 亿。巴西人口 2.1 亿，这意味着巴西所有人的信息都被泄露（还有部分在巴西生活的外籍居民）。泄露的信息包含了姓名、出生日期和 CPF 号码。CPF 号码是巴西税务局分配给居民和需要纳税的外籍居民的数字。网络安全公司对钓鱼骗局发出了警告。

Google 周一宣布它可能找到了 cookies 的隐私友好替代。它测试了名为 Federated Learning of Cohorts (FLoC)的新 API，其源代码发布在 GitHub 上。测试显示，相比基于 cookies 的广告，FLoC 广告的转化率至少达到 95%。FLoC 使用机器学习算法分析用户数据，然后根据个人访问的网站将数千用户分成一组，数据是浏览器在本地收集的不会分享出去，但这群用户的数据会共享并被用于定向广告。也就是说 FLoC 广告是根据一个人的普遍兴趣进行针对性展示。

一名黑客在黑客论坛泄露了 228 万约会网站 MeetMindful.com 注册的用户数据。泄露数据容量约 1.2 GB，包含了部分敏感的用户真实信息，包括真实姓名、地址和邮编、电子邮件、约会偏好、婚姻状况、出生日期、经纬度、IP 地址、Bcrypt 哈希的账号密码、Facebook 用户 ID、Facebook 身份验证令牌。泄露数据不包含用户之间交流的信息。

德国下萨克森州的数据监管机构对一家德国在线笔记本零售商 NBB 开出了在欧盟数据保护条联 GDPR 下最高的罚款：1040 万欧元。原因是它在过去两年无任何法律依据就对雇员展开了持续的视频监控。NBB对工作场所、门市部、仓库和公共区域进行了视频监控，声称是为了防止其产品被盗。但数据监管机构称，如果要防止盗窃，公司首先应该采取“适度”的方法如在员工离开时随机检查包，只有对特定员工存在“合理的怀疑”时候才能使用视频监视，而且视频监视只能在有限的时间内使用。NBB 的视频监控不是限定在特定时间或特定雇员，被认为在 GDPR 下是不可接受的。