今年早些时候，因为与微软的搜索合作协议，DuckDuckGo 被发现没有屏蔽所有微软跟踪程序。当时 DuckDuckGo CEO Gabriel Weinberg 解释说，DuckDuckGo 浏览器屏蔽了所有微软的 cookies。但如果你访问了一个含有微软跟踪程序的网站，那么用户的数据将会暴露给 Bing 和 LinkedIn，这是 DuckDuckGo 与微软搜索合作协议（search syndication agreement）的结果。他承诺将改进与微软的交易。现在 DuckDuckGo 宣布它的浏览器能屏蔽所有微软第三方 cookies。

美国移动运营商 T-Mobile 的系统在 2021 年遭黑客入侵，黑客窃取了 T-Mobile 用户社会安全号码、电话号码、姓名、地址、IMEI 号码和驾照等个人敏感信息，数量多达上亿。上周 T-Mobile 就此次事件的集体诉讼达成和解协议，同意支付 3.5 亿美元来处理集体诉讼原告的索赔，并支付其他相关费用。该和解方案仍有待法院批准，T-Mobile 预计最快将于 2022 年12月获得批准。

印度前不久宣布网络安全新规 Cyber Security Directions，要求 VPS 提供商、云服务提供商、VPN 提供商、虚拟资产服务提供商、虚拟资产交易提供商、钱包提供商和政府组织将客户姓名、电子邮件地址、IP 地址、已知客户记录和金融交易存储五年。印度称不愿意遵守数据保存规定的 VPN 公司应退出印度市场。结果是部分 VPN 提供商确实用脚投票宣布将退出印度市场。该规定原计划六月底生效，但现在印度计算机应急小组本周一晚宣布新规的执行时间推迟到 9 月 25 日，给 VPN 供应商和云服务商额外三个月时间决定是否遵守新规。

Tor 项目发布了 2020-2021 年度报告（PDF）。过去一年最鼓舞人心的一件事是俄罗斯通信监管机构 Roskomnadzor 打击 VPN 使用，去年 12 月开始大规模屏蔽 Tor 节点，俄罗斯用户占到了 Tor 用户数的 15%，社区随后立即展开行动，短时间内增加了 1200 个网桥，确保俄罗斯用户能继续使用 Tor 网络。年度报告还谈论了 2022 年的计划，其中包括：开发独立的 Tor 移动客户端允许用户将所有移动流量通过 Tor 网络；用 Rust 语言重写 Tor 的 Arti 项目将发布 1.0 版本。Tor 项目的大部分资金来自于美国政府（占 38%）和个人捐赠（占 36%），87% 的支出投入在项目开发上。

基因偷盗的故事以及为了避免被偷盗采取的极端预防措施经常会成为头条新闻。在法国总统马克龙（Emmanuel Macron）拒绝接受俄罗斯的新冠核酸检测后，在一张照片中，马克龙同俄罗斯总统普京（Vladimir Putin）隔着一张非常长的桌子遥遥相对。很多人猜测，马克龙之所以拒绝核酸检测，是出于安全考虑，担心俄罗斯人会将他的 DNA 用于邪恶的目的。德国总理舒尔茨（Olaf Scholz）同样拒绝接受俄罗斯的新冠核酸检测。虽然此类担忧似乎是新鲜事，但流行明星麦当娜十多年来一直为非自愿、秘密收集和测试 DNA 的可能性敲响警钟。她聘请了清洁人员在音乐会结束之后对她的更衣室进行消毒，并在巡回演出的每一站都要求有自己的新马桶座圈。麦当娜因为在 DNA 上的偏执被嘲笑。但是随着更先进、更快、更便宜的基因技术进入消费者领域，这些担心似乎不仅合理，而且很正当。我们是研究应该如何监管基因测序等新兴技术的法学教授。我们相信，随着公众对遗传学的兴趣日益增长，带有 DNA 采集工具的基因狗仔队可能很快就会像带着照相机的狗仔队一样无处不在。尽管法院在很大程度上设法避免处理秘密 DNA 收集和测试公众人物 DNA 的麻烦，但是回避恐怕无法持续太久了。届时他们将遇到现有法律框架在遗传学方面的局限。

德国明镜(Der Spiegel)报道称 Telegram 满足了德国联邦刑警局的一系列数据要求，案件涉及恐怖主义及儿童虐待。而在 Telegram 在 FAQ 网站上，它坚称至今没有包括政府在内的第三方提供任何用户数据。 Telegram 称如果收到与恐怖主义指控相关的搜查令，它会向当局提供用户 IP 地址和电话号码。但至今为止， Telegram 没有发布披露此类活动的透明度报告。

因为保密协议，以隐私为主要卖点的搜索引擎 DuckDuckGo 并没有屏蔽所有微软跟踪程序。DuckDuckGo 的搜索是基于微软的 Bing。它是在安全研究人员发现之后承认此事的。安全研究员 @thezedwards 发现，DuckDuckGo 移动浏览器没有屏蔽第三方网站上的微软追踪程序，DuckDuckGo CEO Gabriel Weinberg 解释说，微软不知道用户在 DuckDuckGo 上的搜索，DuckDuckGo 浏览器屏蔽了所有微软的 cookies。但如果你访问了一个含有微软跟踪程序的网站，那么用户的数据将会暴露给 Bing 和 LinkedIn，这是 DuckDuckGo 与微软搜索合作协议（search syndication agreement）的结果。这是一个保密协议，Gabriel Weinberg 称该公司正在幕后工作改进与微软的交易，他预计 DuckDuckGo 未来的更新将会“包含更多第三方微软保护”。

Google Play Store 开始要求应用开发者披露收集的隐私数据。Play Store 上的应用描述将加入“数据隐私和安全”的新栏目，描述收集哪些数据，为什么收集这些数据，以及与谁分享数据。应用开发者需要在 7 月 20 日前添加这一栏目的描述。但这些信息由开发者提供，本质上是基于荣誉制。Google 也发出威胁，如果发现应用行为与描述存在差异，它可能会采取行动，包括执法行动。

苹果 CEO 库克(Tim Cook)表示欧美拟议中的应用商店监管规定会危及 iPhone 用户的隐私。库克在全球隐私峰会上发表演讲，称如果苹果被迫让未经审核的应用进入 iPhone，后果将会很严重。渴求数据的公司将能避开苹果的隐私规定，违背用户意愿对其进行跟踪。苹果禁止第三方应用商店，它的应用商店政策在全球面临审查，欧盟拟议中的立法将迫使苹果允许用户从非官方应用商店渠道安装应用，这将危及到苹果对平台的控制，限制征收佣金的能力。

面部识别公司 Clearview AI 向乌克兰免费提供了它的人脸识别服务，利用照片帮助识别俄罗斯士兵的身份。这项技术的潜力不仅在于识别伤亡人员或追踪特定单位。华盛顿智库新美国的安全学者彼得·辛格表示，人们及其行动的数据越来越容易获得，这将使追踪犯下战争罪行的个人变得更容易。但这也让平民更加难以在紧张的环境中藏身。辛格说，“未来的战士将越来越难以保守身份的秘密，走在你的城市街道上的普通市民也是一样。”“在一个收集越来越多数据的世界里，每个人都会留下可以连接起来的线索，”他补充道。

欧盟法院裁定其成员国的政府不能不加区分的保留电话数据，除非是应对极其严重的犯罪。欧盟最高法院是对爱尔兰最高法院的一起案件做出裁决，此案中一名男子在 2015 年因谋杀罪被判处无期徒刑，他提出上诉，称一审法院错误将电话呼叫的信息和位置数据作为证据。欧盟法院表示此类数据由成员国法院决定是否允许，但成员国政府不能制定法律允许不加区分的保留电话数据以预防犯罪。如果是被视为对国家安全构成威胁的严重犯罪，成员国可以将其作为保留数据的理由，但必须限制范围或限制时间。

根据 Google 的支持页面，从 3 月 29 日起 Google Workspace 用户账号将默认启用跟踪。Google 称，自 2022 年 3 月 29 日起，管理控制台的“网络和应用程序活动”设定将会淘汰，届时所有使用者都会预设启用新的使用者设定：Google Workspace 搜索记录。该设定默认为启用。当使用者输入搜索字词时，系统会根据 Gmail 和 Google 云盘等 Google Workspace 服务中的搜索记录显示建议。如果管理员已在管理控制台中停用“网络和应用程序活动”，系统就会为 Google Workspace 使用者关闭这项设定。

根据都柏林三一学院计算机科学教授 Douglas Leith 的一项研究，Android 短信和电话应用一直会收集和向 Google 发送数据，这一过程没有特别通知或征得用户同意，或提供退出机制。此举可能违反了欧洲的数据保护法律。Android 手机预装的短信应用 Google Messages 和电话应用 Google Dialer 会向 Google Play Services Clearcut 日志服务和 Google Firebase Analytics 服务发送数据，其中 Google Messages 发送的数据包含了短信文本的哈希值和发送者的电话号码，Google Dialer 发送的数据包含了电话号码、通话时间和持续时间。这些应用用户互动的时间和持续长度也都会发送给 Google。Google Messages 和 Google Dialer 的安装量都以十亿部计算。Google 没有提供方法允许用户退出收集。

消费级间谍软件通常以儿童监控软件的名义出售，由于能在未经他人同意下跟踪和监控，所以也被称为“跟踪软件”。只要能物理访问手机，就可以悄悄安装跟踪软件且可将它在主屏幕上隐藏起来，它会在机主不知情下，持续不断地悄悄上传通话记录、消息、照片、浏览历史记录和精确的位置数据。此类间谍软件多是专为 Android 打造，在 Android 手机中植入恶意应用比在 iPhone 上更容易，iPhone 对可安装应用类型和可访问数据有更严格的限制。去年 10 月 TechCrunch 披露了一个消费级间谍软件安全问题，该问题使数十万人的私人电话数据、消息和位置信息处于危险之中。在此例中，泄露收集数据的不仅仅是一款间谍软件。有多款 Android 间谍软件都具有同样的安全漏洞。

造成问题的是一系列白标 Android 间谍软件，它们不断收集个人手机上的内容，每一款应用程序都有自定义的品牌，还有美国公司的网站，掩盖了通往其真正的运营商的链接。应用的背后是控制服务器基础设施，该运营商是一家名为 1Byte 的越南公司。TechCrunch 发现了九款几乎一模一样的应用程序，品牌完全不同，其中一些应用的名称比其他的更晦涩：Copy9、MxSpy、TheTruthSpy、iSpyoo、SecondClone、TheSpyApp、ExactSpy、FoneTracker 和 GuestSpy。除了名称不同，间谍软件功能一模一样，甚至连间谍软件设置的用户界面都一样。安装之后，每款应用都允许植入间谍软件的人访问网络面板，实时查看受害者的电话数据——他们的消息、联系人、位置和照片等。这些应用程序都和相同的服务器基础设施联系。但是由于这九款应用程序使用的是同样的代码、网络面板和同样的基础架构，它们当然也就有同样的漏洞。

这里所说的漏洞被称为不安全的直接对象引用（IDOR），这是一类由于安全控制低于标准或者根本没有安全控制造成的服务器上文件和数据暴露的 Bug。类似于需要一把钥匙来打开你的邮箱，但是这把钥匙也能打开你附近所有其他的邮箱。IDORs 是最常见的漏洞类型之一。但是粗制滥造的代码编写不仅仅暴露了普通人的私人电话数据。整个间谍软件基础设施充满了 Bug，这些 Bug揭示出了更多关于运营商本身的细节。这就是我们如何得知该运营商已经危及了大约 40 万台设备——可能还有更多。粗制滥造的代码编写还导致了其关联公司的个人信息的暴露，这些关联公司带来了新的付费客户，他们可能认为这些信息是私密的；甚至该运营商自己也这么认为。

社交用户上周报告，豆瓣应用在页面中嵌入了难以察觉的水印，使用了与网页背景色相同的颜色代码#fefefe。豆瓣回应称，这个功能是新增的“小组内容防搬运功能”，主要目的在于防止小组内容被无授权搬运，属于豆瓣一系列保护版权功能中的一个。 豆瓣表示，该功能默认关闭，社区小组组长可以在防搬运设置中开启该功能，开启后，用户对小组内容截图时，截图上将自动生成经过加密的【截图用户ID、被截图帖子ID、截图时间】信息。已开启该功能的小组，在小组帖子下方可以看到“内容出自xxx小组，该小组已开启防搬运功能”的提示。对于隐私问题，豆瓣表示，在截图页面豆瓣会明确告知用户，截图会被添加水印信息。该提示是在用户报告之后才加入的。

社交用户报告，豆瓣应用在页面中嵌入了难以察觉的水印，使用了颜色代码#fefefe。如果用户是处于登陆状态，那么水印包含了用户 ID；如果没有登陆，水印包含了 tid 和时间等信息。在用户报告之后，豆瓣隐藏了用户 ID。嵌入水印意味着如果用户在页面上截图，那么豆瓣能查出截图者的身份。这一消息引发了部分用户前往豆瓣应用的 Google Play 页面写差评。

微软开始释出 Windows 11 的首个更新，主要新特性包括预览 Android 应用运行支持，重新设计了记事本和媒体播放器应用，改进了任务栏，改善了免干扰和专注模式，新的触摸屏手势，等等。其中一个不受欢迎的变化可能是 Windows 11 Pro 在设置时将需要网络连接和微软账号。而目前用户可以不使用网络连接和创建本地账号。Windows 11 将在不久之后成为首个必须登陆云端服务才能启用基本功能的主要消费者操作系统。苹果的 Macs 仍然允许在设置期间创建本地账号。Android 需要联网账号激活但进入主屏幕不需要登陆。Chrome OS 也支持访客模式不需要用户账号就能使用基本的浏览功能。

根据国际特赦组织和其他研究人员的研究，居住在有争议的拦截发生最频繁地区的纽约人也最有可能受到面部识别技术的监视。研究还表明，在纽约的布鲁克林区、布朗克斯区和皇后区，非白人居民的比例与有争议的面部识别技术的集中度直接相关。国际特赦组织的人工智能和人权研究员 Matt Mahmoudi 表示：“我们的分析表明，纽约市警察局（NYPD）对面部识别技术的使用有助于强化对纽约市少数族裔社区的歧视性执法。”研究旨在调查纽约警察局越来越多地使用监控的举措，是全球反面部识别技术运动 Ban the Scan 的一部分。通过“解码纽约市监控（Decode NYC Surveillance）”项目的数千名数字志愿者，该项目定位了纽约市超过 2.55 万个闭路电视摄像头。国际特赦组织的数据科学家和研究人员将这些摄像头位置数据与警察拦截盘查的统计数据进行比较。Mahmoudi 表示：“我们早就知道，纽约市的拦截盘查是一种种族主义的警务策略。我们现在知道，拦截盘查最多的社区也面临着更大的通过侵入性监视进行歧视性执法的风险。”

欧盟数据保护机构建议禁止以色列公司 NSO Group 受争议的间谍软件 Pegasus。欧盟的数据保护专员（Data Protection Supervisor）在周二的一份声明中，建议禁止开发和部署具有 Pegasus 功能的间谍软件，称这是保护基本权利和自由的最有效选择。欧盟监管机构不能为成员国做出决策，但可能会鼓励对监控软件的打击。Pegasus 能追踪用户的手机，它的滥用让 NSO Group 成为瞩目的隐私和人权侵犯案件的焦点。

DuckDuckGo 创始人 Gabriel Weinberg 认为修改隐私设置应该能更简单能一键完成。他指出 Android 移动操作系统默认的搜索引擎是 Google，而要修改默认搜索引擎用户需要超过 15 次点击。他说大多数人表示都关心隐私，但只有一半人采取行动，随着更多人了解到隐私侵犯带来的伤害，这个数据会继续增长。浏览器和搜索引擎等产品的默认设置具有巨大的影响力，要抵消这种影响力需要让用户能更简单的切换到不同服务商。