上周四，一位法官裁定苹果公司须继续就用户在加州联邦法院提起的诉讼做出辩护。原告指控苹果公司的语音助手 Siri 以不当方式记录了其私人对话。法官决定支持原告一方希望将诉讼转为集体诉讼案件的主张，认为 Siri 会在未被用户主动激活时继续记录本不应记录的对话，并存在将数据传递给第三方的用户隐私侵犯行为。此案也是近年来苹果、Google 及亚马逊遭遇的多起语音助手隐私侵犯指控案中的最新一例。

语音助手本应只在用户主动解锁时才被激活——例如最著名的“Hi，Siri”。但原告一方表示，即使没有说出唤醒词，他们的设备同样会被激活。Siri 会在未经同意的情况下将对话录制下来，并将信息传递给第三方承包商以用于发送有针对性的广告内容。而作为被告的苹果公司则强调其中不存在主观故意，Siri 是意外记录下了不应记录的内容。加州 ACLU 技术与公民自由主管 Nicole Ozer 表示，这些诉讼表明人们已经意识到语音技术正在大肆收集用户的个人信息。她强调，“我认为这起案件代表着人们终于意识到 Siri 长期所处的失控状态，一切只在苹果的掌握之中。”

苹果前不久宣布将扫描用户手机内的儿童色情材料。这一决定引发了广泛争议。自由软件基金会（FSF）认为苹果所做的其实是使用私有软件持续的搜索和监视用户，同时夺取对 iPhone 用户的更多控制权。但正如普林斯顿研究人员所指出的，这种监视系统很容易转向其它领域，而用户对这套系统的实际使用是没有任何掌控权的。在这一系统部署之后，用户不可能知道苹果是否搜索了其它方面的内容。FSF 对此向所有 iPhone 用户发出警告，称我们应该控制自己的数字生活，是时候站出来捍卫所有人的隐私权。因为这套系统的争议，苹果已经宣布推迟但并没有取消儿童色情扫描计划。

2013 年，Megan Borovicka 忘记了自己的 Facebook 账户，但Facebook 未忘记过她。这位 42 岁的加州奥克兰市律师从未选择过任何“好友”、发布过任何状态更新、点赞过任何照片，甚至没有在自己的手机上打开过 Facebook 应用。但过去十年 Facebook 使用看不见的数据真空吸尘器，持续吸取她非常具体的生活细节——从她购买的内衣品牌到她拿到的税后薪水。持续抓取用户信息不只是 Facebook 自己，他们还说服了无数其他企业、应用与网站帮助其收集数据。即使您不主动使用Facebook、甚至根本不登录（或者根本没注册过）Facebook 账户，它的注视之眼永远就在那里。

它的工作原理是这样：Facebook 会为业务合作伙伴提供跟踪软件，将这些软件嵌入在应用程序、网站及忠诚度计划当中。任何需要发布数字广告的企业或团体将别无选择，只能配合将用户的行为反馈给 Facebook 一方：包括您常去哪家杂货店、支持哪党哪派，甚至是付费订阅了哪些资讯网站。在幕后，Facebook 持续接收这些数据并尝试将其与您的账户相匹配。这些信息始终归于您的名下，相当于外人无法察觉的一部分个人资料内容。以此为基础，Facebook 塑造了您的在线体验。应用研究公司 Sensor Tower 表示，在最受欢迎的前 100 大智能手机应用当中，有 61 款中存在 Facebook 跟踪器。而根据隐私软件开发商 Ghostery 的介绍，Facebook 还在约 25% 的网站上安装了类似的跟踪程序。

当我们打开 Hulu 收看节目时，Facebook 就会收到一条通知。Facebook 知道我们什么时候去买油漆、摇椅或者小零食。Facebook 知道我上过哪些网站，在半个多月里至少在 95 种不同应用、网站及业务平台上跟踪了我，而这还只是我确切知晓的情况。这就像是 Facebook 聘请了一名私家侦探专门窥探我的个人生活。那么问题来了：Facebook 不觉得这种行为很过分吗？事实上，他们通过电子邮件向我讲解了其跟踪技术的运作方式，但拒绝我就涉嫌利用垄断地位问题采访公司首席隐私官或其他高管……

ISP 正在悄悄提供“网络流（netflow）”数据，这些信息能用于跟踪通过 VPN 的流量。网络安全领域一直有个公开的秘密：ISP 会悄悄将哪两台计算设备通信的详细信息泄露给私营企业，再由私营企业将数据的访问权出售给一系列第三方。根据多方消息人士的披露，这部分信息就是网络流数据，在数字调查人员手中能发挥重要作用。他们可以利用这些数据识别出黑客正在使用的服务器，或者在数据被盗时开展追踪。但批量出售这些数据仍然令人感到担忧，毕竟我们不知道其最终会落入谁手中。一位熟悉数据交易内幕的消息人士表示，“也许目前这种网络流数据商业交易，终将带来一条通往黑暗的道路。”

本月初，苹果公司推出一套系统，专门用于扫描 iPhone 与 iPad 照片中的儿童性虐待素材（CSAM）。这一消息引发一场民权风暴，就连苹果自己的员工也表达了担忧。但该公司坚称，针对该系统的争议完全属于“误解”。真的吗？我们不信。为此，我们撰写了一篇仅供同行评审的论文，探讨为什么开发这样一套系统具有极高的危险。如果真是误解就好了，至少能证明我们是错的。但问题是，我们很清楚它的工作原理，也知道它真的很危险。我们的研究项目始于两年之前，希望通过一套实验系统识别端到端加密在线服务中的儿童性虐待内容。作为安全研究人员，我们都清楚端到端加密本身的价值，特别是在保护数据免受第三方访问中的意义。但我们也对加密平台上儿童性虐内容的激增感到震惊，也担心在线服务坚持维持现状、不愿在打击这类非法内容上付出努力。我们希望探索一种可能的中间立场，即由在线服务识别出有害内容，同时继续保持良好的端到端加密效果。其中的概念非常简单：如果有人分享了与已知有害内容数据库相匹配的素材，则服务会自动发出警报。如果有人分享了正常内容，则服务照常放行。人们无法读取数据库内容、也不清楚怎样的内容才算匹配，因为一旦公开，犯罪分子就有可能想办法逃避检测。但我们很快遇上了明显的问题。我们的系统很容易在调整后被用于其他监控与审查，而且不受限于特定类别的内容。换句话说，只要更换其他内容匹配数据库，任何人都能把它迅速转化为打击舆论、排除异己的工具。

浙江省通信管理局证实阿里云未经用户同意擅自将用户留存在的注册信息泄露给第三方合作公司，表示阿里云的行为违反了《中华人民共和国网络安全法》第四十二条规定，根据《中华人民共和国网络安全法》第六十四条规定，已责令阿里云改正。《网络安全法》第四十二条规定：“网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。”第六十四条规定，“由有关主管部门责令改正，可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款；情节严重的，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。”

工信部公布了《关于APP违规调用通信录、位置信息以及开屏弹窗骚扰用户等问题“回头看”的通报》，发现包括腾讯微信、携程旅行、爱奇艺等 43 款应用程序问题整改不彻底、技术手段对抗、同一问题在不同地域整改不一致的情况。工信部要求上述应用在 8 月 25 日前完成整改，逾期不整改或整改不到位的，将依法依规进行处置。被列入名单的应用还有：搜狐视频、腾讯视频、腾讯地图、企业微信、凤凰新闻、去哪儿旅行、搜狗地图、唯品会、人人车二手车、豆瓣FM等等。

深圳市人大常委会周二公布《深圳经济特区数据条例》明确，数据处理者不得以自然人不同意处理个人数据为由，拒绝向其提供相关核心功能或者服务；处理人脸识别等生物识别数据时，应当同时提供处理其他非生物识别数据的替代方案。该条例将于明年 1 月 1 日起施行。对于侵害其他市场主体、消费者合法权益的，由市场监督管理部门或者相关行业主管部门按照职责责令改正，没收违法所得；拒不改正的，处5万元以上50万元人民币以下罚款；情节严重的，处上一年度营业额5%以下罚款，最高不超过5,000万元。

著名开源免费跨平台开源音频编辑器 Audacity 今年早些时候被 Muse Group 收购，它最近更新了隐私政策，表示可能会按执法机构、诉讼和当局要求收集必要的数据。一个不联网的音频编辑器去收集“必要的数据”，引发了 Audacity 变成间谍软件的担忧。Audacity 开发者在其 GitHub 项目上澄清，称它收集的数据非常有限，主要是 IP 地址和基本系统信息，以及可选的错误报告，表示正与律师团队合作修改隐私政策更明确的阐述这些观点和意图。已经有人创建了 Audacity 的分支，不收集任何数据。

百度、腾讯和字节跳动等提出的替代广告跟踪标识 CAID 未能赢得广泛支持。今年早些时候苹果开始执行新的隐私政策，要求应用必须在征求用户同意之后才能进行跟踪收集数据。CAID 可以绕过规定继续跟踪苹果用户。但苹果随后拒绝上架使用 CAID 的应用，导致 CAID 失去了支持。这对苹果而言是一次胜利。苹果表示它的应用商店规定和指导方针适用于全世界的开发商。

亚马逊屏蔽了 Google 受争议的替代数字广告跟踪技术 FLoC（ Federated Learning of Cohorts）。亚马逊旗下主要电商平台 Amazon.com、WholeFoods.com 和 Zappos.com 等都部署了代码屏蔽 FLoC。 FLoC 通过收集用户的网络活动数据然后推断出他们的共同兴趣，将有共同兴趣的用户划分到一起，据此展示广告。但用户的兴趣是变化的，FLoC 需要不断收集数据重新计算和重新分类用户。电商巨头的行动将打击 Google 收集用户数据的努力。亚马逊大约是从上周四开始在网站中加入屏蔽 FLoC 的代码，在这之前 WholeFoods.com 和 Woot.com 都没有看到相关代码。

商丘市睢阳区人民法院 6 月 3 日在裁判文书网公开的刑事判决书显示，两名犯罪分子在淘宝爬取并盗走大量数据。经过检方核实，被盗取的淘宝用户数据近 12 亿条。淘宝去年 8 月 14 日报警，有黑产人员通过接口，绕过平台风控，批量爬取数据，爬取内容包括买家UID、淘宝昵称、用户手机号等敏感信息。淘宝在一份声明中表示，没有用户资讯被卖给第三方，也没有发生经济损失。法院裁定，这家公司一名员工收集超过 10 亿条淘宝用户资讯，虽然是用以为客户提供服务，但该员工及其雇主判处三年以上监禁，并处以总计 45  万元人民币的罚款。

Google 提出的第三方 cookies 替代 Federated Learning of Cohorts (FLoC) 引发了很多争议，多家基于 Chromium 的浏览器开发商已经决定禁用 FLoC，而搜索巨人则声称 FLoC 对隐私更为友好、更少跟踪。Mozilla 对 FLoC 进行了分析，发现它存在多个需要解决的隐私问题。FLoC 使用了代表一组有着相似兴趣用户的识别符，它代表的用户数量可能多达数千，但这并不意味着它不能被用于跟踪单个用户，原因是用户的兴趣是在变化的，因此 FLoC ID 也在变化。FLoC ID 目前大约每周重新计算一次，这意味着网站可以组合利用第一周、第二周等等的 FLoC ID 去跟踪单个用户。FLoC 还被发现会泄露更多的信息。

网信办公布了最新一批“违法违规收集使用个人信息情况”的应用名单，其中包括非常受欢迎的应用今日头条。被列入最新名单的新闻类应用包括：今日头条，腾讯新闻，一点资讯，新浪新闻，搜狐新闻，中关村在线，华尔街见闻，财联社；直播类应用包括：虎牙直播，腾讯 Now 直播，购物类应用耐克，等等。这些应用的问题基本都是违反必要原则，收集与其提供的服务无关的个人信息。网信办要求在 15 个工作日内完成整改，逾期未完成整改的将依法予以处置。

纽约时报报道，特朗普的司法部在 2017 年和 2018 年曾强迫苹果交出至少两名众议院情报委员会至少两名民主党议员的元数据。其中一位是现任主席 Adam Schiff，以及十几名与委员会相关的人，包括家庭成员和至少一名儿童。苹果受制于封口令，直到封口令在今年过期它才能披露相关信息。现在是民主党执政，新政府的司法部决定向媒体披露传票和封口令。消息来源坚称苹果只提供了元数据，没有提供照片或邮件内容。但元数据也能暴露一个人的很多信息。

讯飞输入法、QQ输入法和搜狗输入法等多个流行的输入法从中国主要应用商店下架。4 月 30 日，搜狗、讯飞、百度、QQ 等输入法被网信办通报违法违规收集使用个人信息，网信办要求在 10 个工作日内完成整改，逾期未完成整改的将依法予以处置。科大讯飞回复称，公司各项经营正常，截至 6 月 11 日，讯飞输入法App已完成整改，正在配合相关部门检测，确保合规后重新上架。在后续工作中，讯飞输入法App将从管理机制、技术手段、自纠自查等多个方面竭力保障用户个人信息安全。

Facebook 旗下消息应用 WhatsApp 在德里对印度政府提起法律诉讼，寻求阻止周三生效的媒体新规。最新的规定要求社交媒体公司在当局要求时确定 “最初的信息来源”。虽然法律要求 WhatsApp 只揭露明确被指控有不法行为的人士的身份，但该公司表示实际执行时无法单独做到这一点。由于信息是端对端加密的，为了遵守法律，WhatsApp 说它必须打破对信息的接收者及“来源者”的加密。WhatsApp 在印度近 4 亿用户。

网信办公布了《关于抖音等105款App违法违规收集使用个人信息情况的通报》，称在调查之后发现这些应用收集了与其服务无关的个人信息或未经用户同意收集使用个人信息。被列入名单中的应用包括抖音、快手、360 浏览器、搜狗浏览器、百度浏览器、360 搜索、欧朋浏览器（Opera）、UC、傲游、领英、猎聘、前程无忧、智联、以及百度等等。网信办要求相关运营者在 15 个工作日内完成整改，逾期未完成整改将面临惩罚。

上月底，美国哥伦比亚特区警察局的服务器感染了勒索软件 Babuk Locker，攻击者在其网站上公布了窃取到的警方文件截图，要求警方支付赎金否则将公开敏感文件。Babuk Locker 黑帮索要 400 万美元赎金，但警察局的谈判专家只愿意提供最多 10 万美元，如果不接受那么没有什么值得继续谈下去。代表 Babuk Locker 的谈判者表示这是无法接受的。现在，在赎金谈判未成功之后，黑帮在其暗网网站上披露了二十多名警官的心理评估和测谎测试报告，以及驾照照片、指纹、社会安全保障号、出生日期、居住地、财务和婚姻历史。

苹果在两周前推送了 iOS 14.5，正式推出了遭到 Facebook 强烈反对的 App Tracking Transparency，该政策要求应用必须征得用户明确同意才能跟踪用户收集数据。根据分析公司 Flurry 的数据，美国只有 4% 的用户允许应用跟踪，也就是多达 96% 的美国苹果用户禁止应用跟踪。这一数据是基于 250 万美国用户的样本，如果是在世界范围内，那么允许跟踪的比例提高到了 12%（基于 530 万用户样本）。