网信办通报了33 款 App 违法违规收集使用个人信息，其中包括 15 款输入法应用和 17 款地图应用，以及一款通信应用连信。被通报的输入法包括了搜狗、讯飞、百度、QQ 等，都是比较流行的输入法；通报的地图应用包括高德、百度、腾讯等。这些应用被指问题主要是“违反必要原则，收集与其提供的服务无关的个人信息”。网信办要求“本通报发布之日起 10 个工作日内完成整改，并将整改情况报我办网络数据管理局，逾期未完成整改的我办将依法予以处置”。

有网友上周报告发现自家创维电视有个“勾正数据服务”的应用会扫描家中所有的联网设备。“勾正数据服务”应用是北京勾正数据科技有限公司公司旗下的应用产品。其官网显示，目前勾正数据的数据有效覆盖 1.49 亿家庭，有效覆盖人口 4.57 亿，累计覆盖智能电视终端超过 1.4 亿台。创维电视本周发表声明，称它已经全面禁用了所有创维电视上的“勾正服务”，并展开相关调查。它与勾正的合作内容仅限于以抽样调查国内收视情况为目的的必要的数据采集。其他任何超出此范围的行为，均未得到创维电视的许可及授权。它已经与勾正数据解除合作关系，并责令其删除非法获取的创维用户相关数据。勾正数据回应称，公司所采集用户数据的相关信息用于收视研究相关业务：家庭和个人收视率、收视效果分析、广告收视分析和优化。由于公司用户隐私政策提示不够清晰，引起部分用户隐私安全的担忧，公司向广大用户诚恳致歉。

TikTok 及其母公司字节跳动在伦敦高等法院可能面临求偿数以十亿计英镑，他们被指控非法收集了数以百万计欧洲儿童的隐私数据。前英格兰儿童事务专员 Anne Longfield 周三表示，如果胜诉，受影响的儿童每位或将获得数以千计的英镑。一位 12 岁女孩以匿名方式提起集体诉讼，Longfield 代表该女孩出庭。TikTok 的一名代表表示，保护隐私和安全是该公司的首要任务，公司有健全的政策、流程和技术来帮助保护所有用户，尤其是青少年用户。

WordPress 宣布它将 Google FLoC 视为一种安全问题，将默认在 WordPress 网站上禁用 Google FLoC。WordPress 是最流行的内容管理平台，市场占有率达到 41.1%。随着主要浏览器默认屏蔽第三方 cookies，Google 提出了名为 Federated Learning of Cohorts（FLoC）的新广告跟踪技术去替代 cookies，它将访问网站的用户分成不同兴趣组，声称是对隐私更为友好的替代。但反对者认为 Google 是用一种有隐私风险的跟踪技术替代另一种隐私风险技术。基于 Chromium 的浏览器 Brave 和 Vivaldi 都移除了对 FLoC 的支持。

随着 HTTPS 的普及，主流浏览器默认使用 HTTPS，电子前哨基金会(EFF)维护的隐私保护扩展 HTTPS Everywhere 似乎不再有用武之地。EFF 宣布它与 DuckDuckGo 合作将在 HTTPS Everywhere 扩展中使用 DuckDuckGo 的 Smarter Encryption 规则集。EFF 称 Smarter Encryption 覆盖了更多域名，现在已经不再需要以前那种规则集的细粒度维护，而 Chrome 的 Manifest V3 declarativeNetRequest API 设定了规则集的上限。EFF 表示，从 4 月 15 日开始使用 Smarter Encryption 规则集，旧的规则集将在年底弃用。

澳大利亚联邦法庭裁决 Google 在位置数据收集和使用上误导消费者。法庭发现，当消费者在 Android 设备的初始设置过程中创建新的 Google Account 时，Google 不实的描述 Location History 设置是唯一的 Google Account 设置，影响 Google 是否收集和使用用户个人位置数据。事实上还有一个名为 Web & App Activity 的设置允许 Google 收集、储存和使用用户个人位置数据。该设置是默认启用的。当消费者关闭 Location History 设置时他们被误导了，Google 没有通知他们当 Web & App Activity 设置继续启用时，它将会继续收集、储存和使用个人位置数据。

Google 最近宣布了它的 cookies 替代 Federated Learning of Cohorts (FLoC)，设计根据用户群而不是个别用户的兴趣展示广告，Google 声称它对隐私更为友好。但这一提议引发了反垄断调查。两大基于 Chromium 的浏览器 Brave 和 Vivaldi 都宣布不支持 Google 的 FLoC。Vivaldi 称，FLoC 实际上是一种侵入式的隐私跟踪技术，它将会关闭 FLoC API。

特斯拉副总裁陶琳表示，其电动汽车在中国采集的数据存储在中国。此前有报导称中国军方已禁止特斯拉汽车进入军事设施。陶琳称：“特斯拉作为一家在中国开展业务的公司必须遵守中国的法律法规。”“我们的数据受到很好的保护。中国数据存储在中国。”陶琳说，特斯拉将与中国政府分享其对数据保护的理解。特斯拉在上海生产电动的 Model 3 轿车和 Model Y 运动型多功能车。

新京报报道了人脸识别的地下黑产交易，有许多应用都需要人脸验证，创造了对人脸验证的一种需求，催生了一个地下产业链。报道称，人脸识别的优质数据需要一百元一套，而便宜量大的仅需要 0.5元一套。那么这些数据来自何处？报道称一小部分来自网络刷单兼职人员，大部分来自企业内部员工。人脸识别的黑产商贩称，市面上流通的手持身份证照片大多是在小额贷款平台和公司野蛮发展期间，泄露出来的，还有部分是从各行业收集而来的，这种信息交易和使用一般情况下不会被人发现，“当时很多人借钱不还，平台就把这些信息拿出来卖钱了，刚开始挺贵的，现在层层转卖就便宜了。”

黑客正在网上出售从职业社交网络 LinkedIn 抓取到的 5 亿用户信息。LinkedIn 发言人证实黑客抓取到的是网站上可公开浏览的信息，表示抓取信息违反了它的服务条款。出售公开访问的信息看起来没有多少意义，但黑客在出售的数据集中整合了来自其它来源的数据以增强其价值。LinkedIn 有 7.4 亿用户，5 亿相当于用户总数的三分之二。出售的数据集包含了账号 ID、姓名、邮寄地址、电话号码、职业信息、性别和社交媒体账号链接。

针对近日流传特斯拉通过车内摄像头监控车主的讨论，特斯拉周三回应称，驾驶室内的摄像头目前在北美以外的市场并没有激活；即使在美国，车主也可以自由选择是否开启使用。特斯拉官方微博账号指出，特斯拉配备了全球领先安全等级的网络安全体系以确保用户隐私保护。特斯拉用户使用的车辆不存在通过车内摄像头侵犯用户个人隐私的行为。所有中国市场上的特斯拉用户车辆均未开启车内摄像头，也不涉及 FSD Beta 的测试。

Facebook CEO Mark Zuckerberg 使用加密消息应用 Signal。他的电话号码包含在泄露的 5.33 亿 Facebook 用户数据中间，除此之外还有他的名字、地址、婚姻状况、出生日期和 Facebook ID。一位安全研究人员说，又一次大转折，Mark Zuckerberg 注重他自己的隐私，使用不属于 @facebook 支持端对端加密的聊天应用。Facebook 联合创始人  Chris Hughes 和 Dustin Moskovitz 也受到泄密的影响。

有人在黑客论坛泄露了 5.33 亿 Facebook 用户信息，其中包括电话号码、Facebook ID、姓名、地址、出生日期、个人简历等，部分用户的信息还包括电邮地址。信息遭到泄露的 Facebook 用户分布在 106 个国家，其中美国有 3200 多万，英国有 1100 万，印度有 600 万。Facebook 发言人称，这些数据是利用该公司在 2019 年修补的一个漏洞抓取到的。虽然数据可能是两年前的旧数据，但对于网络罪犯来说仍然是有价值的。安全专家表示这些数据可被利用发动社会工程攻击或入侵尝试。

苹果开始拒绝使用第三方 SDK 未经同意跟踪用户的应用。应用开发商可以通过部分第三方 SDK 利用类似设备指纹的访问跟踪用户，跟踪用户并非不合法，但苹果希望终结未经用户明确同意跟踪的应用，它开始拒绝使用 Adjust SDK 的任何应用，Adjust SDK 是众多提供设备指纹的 SDK 之一。苹果的新隐私保护政策将影响许多公司收集用户数据。

不管你需不需要，几乎所有家电都能联网的时代正在我们走来。没有冠以“智能”的电视机早就销声匿迹，而大部分所谓的智能电视机还有广告，部分品牌则将没有开屏广告作为卖点。配备了摄像头和麦克风的智能电视容易遭到滥用已是众所周知，它们会将收集的信息发送到厂商的服务器，你根本不知道它们收集了哪些信息。好消息是，大部分物联网设备使用的是 Wifi 连接，我们至少还可以通过路由器控制它们的行为。但厂商也有应变之道：直接嵌入蜂窝调制解调器和 SIM 卡，解决不在线的问题。这种现象将会越来越多，它们将会完全脱离用户的有限控制。除了将它们关在法拉第笼内，消费者将无能为力，隐私、监视、跟踪将会无处不在。这就是不请自来的物联网时代。

都柏林大学圣三一学院的 Douglas J. Leith 教授跟踪了（PDF）iOS 和 Android 设备向苹果和 Google 服务器发送的遥测数据，发现 Google 收集的数据二十倍于苹果。Leith 教授称，研究考虑了操作系统本身收集的数据以及操作系统供应商提供的默认应用收集的数据，云端存储，地图/位置服务等，只计算遥测数据。Leith 教授指出，即使用户选择退出遥测， iOS 和 Android 仍然会发送遥测数据。苹果收集了更多的信息数据类型，但 Google 收集的数据量要多得多。开机 10 分钟内，Pixel 手机向 Google 发送了 1MB 数据，而 iPhone 发送了 42KB；在闲置状态下，Pixel 手机每 12 小时向 Google 发送 1MB 数据，相比之下 iPhone 只向苹果发送 52KB 数据。当新的 SIM 卡插入到设备中，相关信息会立即与苹果和 Google 共享。设备上预装的应用被发现在未启动或使用前就会连接苹果和 Google 服务器。Google 发言人用汽车收集数据为它收集数据辩护。

新西兰 Canterbury 地区卫生局的新冠疫苗预定系统被发现暴露了 716 名登记的患者个人信息，包括姓名、性别、出生日期和 NHI 号码。这套系统是 Valentia Technologies 公司开发的，对系统代码的简单评估发现，问题根源在于开发商的无能。用户输入的信息被直接硬编码在网站上，其他用户可以公开查看，了解何时何地接种的信息。新西兰卫生部对 Valentia 开发的所有系统展开了审查，其他地方的卫生部门也使用了 Valentia 的预定系统，但只是在内网使用，有密码保护。

网信办、工信部、公安部和市场监督管理总局公布了《常见类型移动互联网应用程序必要个人信息范围规定》，对地图导航、网络约车、即时通信、网络支付、网络借贷等 39 类 App 搜集个人信息的范围做出明确规定，禁止因用户拒绝提供非必要信息而不予服务。以即时通信类 App 为例，基本功能服务为“提供文字、图片、语音、视频等网络即时通信服务”，必要个人信息包括：1.注册用户移动电话号码；2.账号信息：账号、即时通信联系人账号列表。浏览器类，基本功能服务为“浏览互联网信息资源”，无须个人信息，即可使用基本功能服务。

美国商务部周三表示，已向多家中国公司发出传票，要求它们向政府提供更多有关使用和转移美国数据的信息，以确保敏感信息没有与中国共享。这些传票是对特朗普政府一项行政命令的执行，旨在监督通信技术等行业中的外国公司。商务部没有披露哪些中国公司受到影响。

Brave 浏览器在 2018 年加入了对 Tor 匿名网络的支持，Brave 用户无需安装 Tor 就能访问暗网 .onion 地址。一位安全研究员报告，Brave 浏览器的 Tor 模式会将 .onion 域名的查询发送到公共 DNS 服务器而不是 Tor 节点。这位研究员称其发现很容易复现，建议用户使用 Tor Browser 而不是 Brave 访问暗网。在这一发现引发广泛关注之后，Brave 宣布已释出补丁修复该问题。