Brave 浏览器在 2018 年加入了对 Tor 匿名网络的支持，Brave 用户无需安装 Tor 就能访问暗网 .onion 地址。一位安全研究员报告，Brave 浏览器的 Tor 模式会将 .onion 域名的查询发送到公共 DNS 服务器而不是 Tor 节点。这位研究员称其发现很容易复现，建议用户使用 Tor Browser 而不是 Brave 访问暗网。在这一发现引发广泛关注之后，Brave 宣布已释出补丁修复该问题。

在电邮中使用跟踪技术正日益常见。被称为跟踪像素的技术可记录邮件是否以及何时打开；邮件被打开了多少次；打开邮件的设备类型；用户的粗略位置。这项技术可被用于判断一个特定电邮推广活动的影响，以及记录下更多的客户肖像细节。跟踪像素通常是只有 1x1 像素的 .GIF 或 .PNG 文件，被插入到插入到电邮的页眉、页脚或正文中，用户的裸眼是无法识别出它的。用户可以使用电邮程序的免费插件剥离掉大部分跟踪像素。

腾讯总部所在地深圳市南山区法院上个月判决，微信好友关系不属于个人隐私。本案的原告在 2019 年发现，使用微信或 QQ 登录腾讯“微视”APP后，微视会获取其全部微信或 QQ 好友信息。他认为，腾讯公司未经其授权将他的微信、QQ 好友关系提供给其他 APP，侵犯了他的隐私权。但南山法院认为，“隐私是指用户对其生活领域不愿公开的信息享有不被他人知悉的权利。原告主张的性别和地区属于公开信息，不构成隐私。”北京师范大学法学院教授袁治杰认为，腾讯并没有权利将微信好友关系披露给第三人，“即使我同意微信可以将我的好友关系提供给他人，微信也不得提供。因为好友关系是双向的，要想有权提供，微信必须同时获得了我的好友们的同意才行。换句话说，必须获得双向同意才行。”

苹果为 iOS 加入的新反跟踪隐私保护功能让广告行业头疼不已。Google 上周告诉合作伙伴该功能将会对广告收入产生显著影响。Facebook 则对苹果发起了全面挑战，考虑采取法律行动。然而现在彭博社报道，世界最大的网络广告公司考虑为 Android 引入类似的反跟踪功能。报道称，搜索巨人正在讨论如何在 Android 操作系统上限制数据收集和跨应用跟踪，但其实现方式将没有苹果的方案那么严格。报道称，这一讨论处于早期阶段，可能并不会发生。

《南方周末》调查了输入法的隐私问题（付费墙，微信）。根据 Mob 研究院数据，2020 年搜狗、讯飞和百度三家输入法占据了国内市场九成的活跃用户，其中搜狗占有率最高，54%。2020 年 9 月，腾讯全资收购了搜狗。第三方输入法被广泛使用，但其潜在的隐私问题也日益引起关注。搜狗、讯飞和百度三家的隐私协议表示，用户信息共享方主要为输入法服务商的关联公司、合作伙伴。合作伙伴包括广告、分析、信息推广服务类的授权合作伙伴，供应商、服务提供商和其他合作伙伴如第三方SDK，以及提供风控服务的合作方。

巴西几乎所有人的信息泄露。泄露的数据为 14 GB，包含了 1.04 亿车辆和 4000 万家企业详细信息，潜在受影响人数 2.2 亿。巴西人口 2.1 亿，这意味着巴西所有人的信息都被泄露（还有部分在巴西生活的外籍居民）。泄露的信息包含了姓名、出生日期和 CPF 号码。CPF 号码是巴西税务局分配给居民和需要纳税的外籍居民的数字。网络安全公司对钓鱼骗局发出了警告。

Google 周一宣布它可能找到了 cookies 的隐私友好替代。它测试了名为 Federated Learning of Cohorts (FLoC)的新 API，其源代码发布在 GitHub 上。测试显示，相比基于 cookies 的广告，FLoC 广告的转化率至少达到 95%。FLoC 使用机器学习算法分析用户数据，然后根据个人访问的网站将数千用户分成一组，数据是浏览器在本地收集的不会分享出去，但这群用户的数据会共享并被用于定向广告。也就是说 FLoC 广告是根据一个人的普遍兴趣进行针对性展示。

一名黑客在黑客论坛泄露了 228 万约会网站 MeetMindful.com 注册的用户数据。泄露数据容量约 1.2 GB，包含了部分敏感的用户真实信息，包括真实姓名、地址和邮编、电子邮件、约会偏好、婚姻状况、出生日期、经纬度、IP 地址、Bcrypt 哈希的账号密码、Facebook 用户 ID、Facebook 身份验证令牌。泄露数据不包含用户之间交流的信息。

德国下萨克森州的数据监管机构对一家德国在线笔记本零售商 NBB 开出了在欧盟数据保护条联 GDPR 下最高的罚款：1040 万欧元。原因是它在过去两年无任何法律依据就对雇员展开了持续的视频监控。NBB对工作场所、门市部、仓库和公共区域进行了视频监控，声称是为了防止其产品被盗。但数据监管机构称，如果要防止盗窃，公司首先应该采取“适度”的方法如在员工离开时随机检查包，只有对特定员工存在“合理的怀疑”时候才能使用视频监视，而且视频监视只能在有限的时间内使用。NBB 的视频监控不是限定在特定时间或特定雇员，被认为在 GDPR 下是不可接受的。

腾讯QQ在问答网站知乎的官方账号回应了 QQ 扫描浏览器历史数据，声称是为防止恶意登陆。腾讯是知乎的股东。它在声明中称，在收到报告之后它的安全团队“发现 PC QQ 存在读取浏览器历史用以判断用户登录安全风险的情况，读取的数据用于在 PC QQ 的本地客户端中判断是否恶意登录。所有相关数据不会上传至云端，不会储存，也不会用于任何其他用途。具体情况为，该操作为历史上线的一个对抗恶意登录的技术解决方案：因系统识别有不少伪造的 QQ 客户端会恶意访问多个网站作为前期辅助工作，因此在 PC QQ 客户端中加入了检测恶意和异常的访问逻辑，以此作为辅助手段去判断恶意客户端。对本次事件，我们深表歉意，内部正梳理历史问题并强化用户数据访问规范。目前，我们已经更换了检测恶意和异常请求的技术逻辑去解决上述安全风险问题，并发布全新的 PC QQ 版本。为减少不便，所有受影响的 PC QQ 历史版本将在今天开始进行热更新和推送升级包。同时，手机端 QQ 不存在上述操作，不受影响。”此前用户发现 QQ/TIM 会扫描基于 Chrome/Chromium 的浏览器默认历史纪录存放位置，搜索电商网站如京东的购物连接，匹配投资炒股等关键字。

腾讯消息应用 QQ 以及 QQ 办公版 TIM 被发现会扫描用户的浏览器历史，搜索购物记录选择性上传。用户报告，QQ 在登陆 10 分钟之后开始扫描 Appdata\Local\下的所有文件夹，对其中 User Data\Default\History 进行进一步的扫描，User Data\Default\History 是基于 Chrome/Chromium 的浏览器默认历史纪录存放位置，Firefox 的浏览历史存放位置不同，因此目前看来不受影响。不过 Firefox 市场份额不高，而基于 Chrome/Chromium 的浏览器占据了九成以上的份额。

短视频应用 TikTok 推出了一系列保护儿童的措施，所有不满 16 岁的用户账号将自动设为私有，只有批准的粉丝才能在这些账号发布的视频下留言。不满 16 岁用户创建的视频也被禁止下载。13 到 15 岁用户可以批准粉丝和选择是否公开视频，但他们的账号不会推荐给其他用户。16 到 17 岁用户也可以不允许下载他们创建的视频，他们也可选择关闭这一限制。

22 岁的 Apu Sarker和他的家人住在孟加拉国拉杰沙希北郊的一座村庄里。直到最近，他都一直是一名医务助理。他的父亲和祖父都是农民。Apu 家族里的男性似乎都有一种基因突变。这种突变非常罕见，被认为只会影响相当少的家庭——他们没有指纹。在其祖父的时代，没有指纹没有什么大不了的。但在过去的几十年里，人们指尖上那些微小的纹路已成为世界上收集最多的生物特征数据。从机场通关到选举，再到打开智能手机，对指纹的需求几乎无处不在。从 2008 年开始，孟加拉国的国民身份证、护照和驾照，甚至购买 SIM 卡时都必须录入指纹。如今他家中所有的男性成员都只能使用以他母亲名义注册的手机卡。这种罕见病被称为皮纹病（Adermatoglyphia），患者名叫“SMARCAD1”的基因发生了突变。

随着越来越多的网站普及 HTTPS，明文的服务器名称指示（Server Name Indication，SNI）成为新的隐私漏洞。通过明文 SNI，ISP 或任何网络中间人将会知道你访问了哪个网站。两年前，Mozilla 宣布 Firefox Nightly 加入了对加密 SNI 的支持。但自 SNI 规格草案发布以来，分析显示只加密 SNI 扩展所提供的保护是不完整的。举例来说，在会话重用过程中，Pre-Shared Key 扩展会包含 ESNI 加密的服务器名称的明文副本。为了解决 ESNI 的不足之处，较新版本的规格不再只加密 SNI 而是加密整个 Client Hello 信息。因此规格的名字也从 ESNI 改为 ECH。从 Firefox 85 起，浏览器用 ECH 取代了 ESNI，about:config 也不再展示 ESNI 选项。该功能尚未默认启用，如果用户想要默认启用可以进入 about:config 将设置 network.dns.echconfig.enabled 和 network.dns.use_https_rr_as_altsvc 设为 true。

新加坡政府决定将新冠接触者跟踪应用 TraceTogether 收集的数据用于犯罪调查。这一信息是在议会询问中披露的，副议长 Christopher De Souza 被问道跟踪应用的数据是否会用于犯罪调查，如果是那么是否有恰当的法律法规和保障措施。内政部长 Desmond Tan 回应称，新加坡的刑事诉讼法允许警方获得任何数据用于犯罪调查，其中包括 TraceTogether 收集的数据。内政部长表示有严格的保障措施保护个人数据。

印度支付处理公司 Juspay 一亿多借记卡和信用卡用户的信息被泄露放到暗网销售。该公司的企业客户包括了亚马逊印度、Swiggy 和 MakeMyTrip 等。泄露的数据源自一个遭到入侵的 Juspay 服务器，该公司已经证实了此事，称入侵发生在 2020 年 8 月 18 日，泄露的数据集包括了非敏感的银行卡掩码信息、电话号码和电邮 ID。发现数据泄露的安全研究员 Rajshekhar Rajaharia 表示，如果黑客找到了哈希银行卡号码的加密算法，这一数据泄露将会严重得多。

2018 年的一个晚上，结婚 5 个月的 21 岁大学生 Ayushi Sahu 正在看望父母，她的丈夫及其公公未提前告知的情况下现身。她的丈夫展示了他手机上记录的 Sahu 与朋友之间的通话，以及呼叫历史、短信、WhatsApp 消息、照片和视频。Sahu 意识到被她的丈夫秘密监视了几个月。他的丈夫对她向母亲抱怨公婆的问题很生气，不喜欢她与男性朋友交谈。Sahu 当时十分震惊。她后来才搞明白，丈夫作为订婚礼物送给她的 Vivo 手机秘密安装了间谍程序。间谍程序可能是丈夫自己安装或咨询了私家侦探。印度私家侦探协会主席辛格（Kunwar Vikram Singh）称，在印度富有家庭雇佣私家侦探评估候选新娘或新郎是十分普遍的事情，毕竟结婚是要花很多钱的，花少许钱给私家侦探调查一下是很合算的。辛格估计这个行业价值约 12 亿美元，因为敏感，大部分客户都是使用现金，不想留下蛛丝马迹。消费级间谍软件也随着私家侦探生意的兴起而流行起来。

纽约州长 Andrew Mark Cuomo 周二签署了一项法案，暂停在学校使用面部识别和类似的生物识别技术，并要求开展研究在学校使用此类技术是否合适。法案要求学校在 2022 年 1 月 1 日前或报告完成或教育专员授权使用前暂停购买和使用生物识别技术。这一规定适用于纽约州的公立和私立学校。美国公民自由联盟（ACLU)表示这是学生的隐私和有色人种学生的胜利，纽约引领了潮流，其它州应该效仿。

为了遵守欧洲隐私法律的变动，Facebook Messenger 和 Instagram 将在欧洲关闭部分功能。从 12 月 21 日起，消息应用在欧洲将需要遵守被称为 ePrivacy 指令的新规定。Facebook 决定关闭部分互动功能，暂时只提供核心消息服务。群聊投票是关闭的功能之一。核心的短消息和呼叫功能不受影响。社交巨人在一份声明中称，它仍然在寻找带回这些功能的最佳方式。

最大的开源代码托管平台 GitHub 宣布移除所有非必要 cookies 以保护开发者的隐私。CEO Nat Friedman 在官方博客中称，访问 GitHub 网站不会向任何第三方分析服务发送信息，GitHub 不会使用 cookies 展示广告，也不会利用 cookies 跟踪用户在其它网站的活动。GitHub 将只使用 cookies 用于 GitHub.com 的服务，在 GitHub 上进行开发协助开发者无需牺牲任何隐私。