隐私保护
- source: 苹果加强隐私保护:iOS 17可自动屏蔽网站中的跟踪参数
- date: 2023-06-09
借助 iOS17 和 macOS Sonoma,苹果为用户带来了更深入彻入的隐私保护功能。
在新版系统中,苹果推出了一项链接跟踪保护功能,可以让用户在隐私浏览模式免受其他公司的数据追踪,支持邮件、信息和 Safari。简单来说,当它检测你点开的链接 URL 中包含用户数据跟踪参数,就会自动删除它们。
对于广告商和数据分析公司来说,在某些网站中添加跟踪参数是跨网站跟踪用户活动的一种有效方式。
相比正常参数,这类含有跟踪代码的网站会在链接尾部添加一种特殊的跟踪标识符。这种方法可以绕过 Safari 的智能跟踪预防功能(此功能主要是阻止跨站点 cookie 和其他会话存储)。
也就是说,当某个网站 URL 允许目的地的分析或广告服务读取该 URL 后,便可提取那些相同的唯一参数,并将其与数据库中的后端用户配置文件相关联,从而标记特定用户并提供个性化广告。
苹果今年正试图在其新一代操作系统中打击这种行为。Safari 将自动检测 URL 中的特定标识符,并删除这些部分代码,从而让用户在正常访问网页的同时免去被广告商追踪的风险。
作为补偿措施,苹果为广告商提供了另一种方法来测定广告活动,即 Private Click Measurement,广告商依然可以在 Safari 隐私浏览模式中测量广告归因,但不会暴露用户活动。
法规政策
- source: 《个人信息出境标准合同备案指南(第一版)》六大要点解析
- date: 2023-06-01
2023 年 6 月 1 日,网信办发布的《个人信息出境标准合同办法》(以下简称“《标准合同办法》”)正式施行。为指导和帮助个人信息处理者开展《标准合同办法》规定的个人信息出境标准合同备案,网信办于两日前正式发布《个人信息出境标准合同备案指南(第一版),对个人信息出境标准合同备案的时限、流程、提交材料、结果等事项提供了指引,并提供了主要备案材料的模板。
- 要点一:明确个人信息保护影响、评估标准合同签署及标准合同备案三步工作的时间要求
- 要点二:细化和明确标准合同备案需提交的材料
- 要点三:明确省级网信办办理标准合同备案工作的时限
- 要点四:明确标准合同备案可能会存在不通过的结果
- 要点五:明确企业需通过单位内部人士经办备案工作,也引出关联公司可否合并办理备案的问题
- 要点六:发布并明确《个人信息保护影响评估报告》模板
广告推送
- source: 为确保其广告收入,YouTube正测试屏蔽用户的“广告拦截器”
- date: 2023-06-30
YouTube 目前正在进行一项全球范围内的小规模测试,警告用户关掉他们的广告屏蔽器,否则将被限制观看视频的次数。
周三(6 月 28 日),Reddit 的一位用户发现,在使用 YouTube 时弹出了一个窗口,提示该用户禁止使用广告拦截器,否则他的播放器将在 3 个视频后自动关闭。
这项测试就是如果 YouTube 发现某用户可能使用了广告拦截器,那么视频播放将自动停止,除非 YouTube 被允许广告弹出或用户直接关闭广告拦截器才能正常使用 YouTube。
一直以来,全球数十亿用户都可免费使用 YouTube。用户可以订阅 YouTube Premium 实现免广告功能,这样创作者仍可从你的订阅中获得报酬。
所以用户在收到此警告后,将只有两个选择:关闭广告拦截器并允许广告弹出,或直接订阅 YouTube Premium 以关闭所有广告。YouTube 证实,这些通知提醒是此次测试的一部分。
YouTube 方面称,他们正在全球范围内进行一项小型测试,敦促打开广告拦截器的用户允许在 YouTube 上投放广告,或者尝试让用户订阅 YouTube Premium。
当被问及公司是否计划阻止使用广告拦截器的用户访问该平台时,YouTube 方面表示,在某些特殊情况下可能会暂时禁用播放。
在这些特殊情况下,如果观众继续使用广告拦截器,播放将被暂时禁用。YouTube 方面称采取禁用播放这个措施很谨慎,只有当观众无视他们多次要求在 YouTube 上播放广告的情况下,才会禁用播放。
隐私泄漏
- source: 超火爆的健身APP正大量泄露用户敏感信息
- date: 2023-06-19
据 BleepingComputer 6 月 11 日消息,美国北卡罗来纳州立大学罗利分校的研究人员发现 Strava 应用程序的热图功能存在隐私风险,可能导致攻击者识别出用户的家庭住址
Strava 是一款流行的跑步伴侣和健身追踪应用程序,在全球拥有超过 1 亿用户,可帮助人们追踪心率、活动详情、GPS 位置等。2018 年,Strava 实施了一项名为 “热图” 的功能,该功能匿名汇总用户的活动区域,以帮助用户寻找热门运动场地及路线。
但研究人员发现,此功能虽然使用了公开可用的热图数据,但结合特定用户的元数据可能会泄露特定用户行踪,甚至让用户真实身份得到暴露。
研究人员先是搜集了 Strava 一个月内阿肯色州、俄亥俄州和北卡罗来纳州的热图数据,接着用图像分析来检测街道旁边的开始和停止区域,以此表明特定房屋与跟踪活动的关联性。
在选择符合标准的热图屏幕截图后,研究人员以能够识别个人住所地址的缩放级别覆盖 OpenStreetMaps 图像,并利用 Strava 上的搜索功能爬行用户信息,以找到将某一特定城市作为其所在地的用户。
通过比较热图中的端点和搜索功能中用户的个人信息,研究人员可以将热图上的高频活动点与用户的家庭住址相关联。公开的 Strava 配置文件包含带有时间戳和距离的活动数据,从而更容易识别与热图数据中的模式相匹配的活动路线,从而缩小人员和区域匹配范围。
由于许多 Strava 用户使用真实姓名注册,甚至上传了个人的真实资料照片,因此将身份与家庭地址相关联是可能的。
在研究中,研究人员将他们的发现与选民登记数据相关联,发现其预测准确率约为 37.5%,且用户越活跃,准确率就越高。
隐私罚款
- source: 非法保留儿童信息还监视用户!亚马逊侵犯用户隐私被罚三千万_Ring_数据_Alexa
- date: 2023-06-02
近日,美国联邦贸易委员会(Federal Trade Commission,FTC)宣布,亚马逊分别就其旗下语音助手部门 Alexa 和智能家居公司 Ring 所涉侵犯隐私问题与 FTC 达成和解协议,同意支付共超过 3000 万美元的罚款。其中 Alexa 被罚款约 2500 万,Ring 被罚款约 500 万,和解协议将于相关法院批准后生效。
非法保留儿童语音位置信息被罚 2500 万
当地时间 5 月 31 日,FTC 在其官网发布两份公告,针对亚马逊旗下部门和公司各自涉及的侵犯隐私问题和拟议解决办法进行通报。
其中一份公告显示,亚马逊旗下语音助手部门 Alexa 被指控无限期保留了敏感的儿童语音信息和地理位置数据,以及为了完成商业目的,将这些数据用于训练算法来进一步理解儿童,“使数据面临不必要的访问和泄露风险”。FTC 认为,此举涉嫌违反美国于 2000 年实施的《儿童在线隐私保护法》(COPPA)。
COPPA 规定,面向 13 岁以下儿童的商业网站或在线服务运营商应在收集儿童个人信息之前获得其父母的授权同意,并允许父母随时删除儿童的相关数据。同时,禁止保留 13 岁以下儿童的个人信息超过为实现服务所需的合理必要时间。
然而,FTC 在起诉书中指出,亚马逊欺骗了包括儿童父母在内的消费者——虽然其反复向用户保证,用户可以删除使用过程中 Alexa 收集的语音和地理位置等信息,但实际上并未兑现承诺。在使用专为儿童提供的 Alexa 设备和服务时,即使父母选择删除儿童个人信息,亚马逊也未能在其所有数据库中完成删除。
“儿童的语言模式和口音与成人不同,因此,非法保留的语音信息为亚马逊提供了一个用于训练 Alexa 算法的数据库,有利于进一步理解儿童。这是以牺牲儿童的隐私为代价赚取利益。”公告显示。
公告发布次日,亚马逊方对此作出回应,否认了 FTC 的指控。亚马逊方表示,其为儿童提供服务并收集个人信息均获得了其父母的授权同意;保留个人信息的目的是让父母能了解儿童使用 Alexa 的情况,同时改进 Alexa 的服务;家长可以通过各种方式轻松删除儿童个人信息;其今后将定时删除处于非活动状态超过 18 个月的儿童账户信息等。
根据拟议的和解协议,亚马逊被要求删除儿童语音和地理位置数据,删除长期不活跃的儿童 Alexa 帐户,告知用户其保留和删除个人信息的渠道和步骤,提供并实施与收集使用用户个人信息情况相关的隐私政策以及禁止亚马逊将用户相关数据用于创建或改进任何数据产品等。此外,亚马逊被要求支付约 2500 万美元的民事罚款。
Ring 员工非法监视用户被罚 500 万
公开资料显示,Ring 是一家智能家居设备制造商,主要生产智能门铃、家庭摄像头和警报系统。2018 年 4 月,亚马逊收购 Ring。
FTC 发布的另一份公告显示,Ring 方面存在多种侵犯用户隐私行为。具体而言,Ring 未对用户提供基本的隐私安全保护,给予其员工及承包商无限制地访问用户私人视频的权限,并对用户视频进行非法审查,以实现利用相关数据完善其模型和算法的目的。
根据 FTC 在公告中披露的实例,一名亚马逊员工在数月内观看了几千名 Ring 摄像头产品女性用户的视频,而这些摄像头有的被放置在浴室、卧室等私密空间。“即使 Ring 对访问用户视频进行限制,亚马逊也无法确定有多少员工不当访问过这些私人视频——因为 Ring 未采取任何基本措施来检查和监控员工的视频访问情况。”
除了“内鬼”偷窥,Ring 产品用户还面临着来自网络黑客的威胁。FTC 的公告指出,由于 Ring 未能采取标准安全措施为用户个人信息提供保护,黑客通过“撞库”等手段长期非法入侵和控制了数万名用户账户。黑客不仅浏览用户私人视频,还使用摄像头的双向功能对用户进行性骚扰、侮辱、威胁和勒索。
为此,和解协议要求亚马逊和 Ring 方采取强制性的隐私保护措施并支付约 500 万美元的罚款。同时,Ring 还将被要求删除 2018 年以前收集的所有用户人脸数据及由此生成的相关数据产品。
Ring 方面在公告发布当日也作出了回应,称上述指控中提到的问题在 FTC 开展调查之前就已经得到解决,FTC 忽略并误解了 Ring 为用户提供的许多安全保障,今后将采取更多的隐私保护措施。