互联网大公司的那些隐私话题
2022-07-28 08:32:50 
阿炯
隐私是互联网上那不敢风光的永恒话题,它甚至是互联网公司收入的不可名的主题,本文收集了一些大厂在此方面的种种。丹麦禁止境内学校使用Google Workspace和Chromebook
ChromeOS 和 Chrome 受荷兰教育机构限制
微软百名员工签名力挺996.ICU项目
互联网用户隐私保护指南
法国新法案强迫 Firefox 等浏览器审查网站
谷歌键盘的隐私承诺可信吗
专家炮轰 Google Prompt API:标准流程的公然破坏与隐私风险
丹麦禁止境内学校使用Google Workspace和Chromebook
2021年,丹麦赫尔辛格市官员下令对 Google 处理用户个人数据的方式进行风险评估,2022年7月下旬开始正式宣布阻止境内的学校使用 Google 的服务。在上周公布的裁决中,丹麦的数据保护机构 Datatilsynet 认为,学生在使用 Google 基于云端的 Workspace 办公套装(包括 Gmail, Google Docs, Calendar 和 Google Drive)所进行的数据处理并不符合欧盟 GDPR 数据隐私监管的要求。
特别指出的是,该监管机构发现 Google 关于数据处理的条款和适用条件中允许将丹麦学生的数据传输至其他国家,用于改善相关的支持,尽管这些数据通常存储在 Google 的一个欧洲数据中心内。除了 Google Workspace 之外,丹麦的很多学校都会配套使用 Google 的 Chromebook。在 2020 年赫尔辛格市报告“私人数据安全泄露”之后,监管机构 Datatilsynet 专门针对该市进行了风险评估。尽管最新禁令仅限于丹麦的学校,不过 Datatilsynet 表示即将扩展到使用 Google Chromebook 和 Workspace 的政府部门。
该禁令立即生效,而且赫尔辛格市要求 Google 在8月3日之前删除用户数据。
对此,Google 发言人表示:我们知道学生和学校都期望所用的技术合法合规、可靠且安全。这也是为何 Google 在过去几年不断加大在隐私方面投入的原因。我们希望不断完善和推广隐私策略,并让尽可能多的人知道我们是如何帮助企业履行 GDPR 的各项要求。 学校能够掌控自己生成的数据。我们只会根据和这些学校签订的合作内容来处理这些数据。Workspace for Education 中,学生的数据从未被用于广告或者其他商业用途。我们的服务已经接过了独立组织的审查,在不间断的审查中我们将确保我们的做法能够维持最高的安全和合规标准。
ChromeOS 和 Chrome 受荷兰教育机构限制
出于对数据隐私的担忧,2022年7月下旬荷兰的教育部门决定对 chromeOS 和 chrome 浏览器的使用施加一些限制。
众所周知,Google 收集用户隐私已不是一天两天的事了,Google 也因为这个事情在多个国家面临法律诉讼。Google 通过搜索、YouTube、Chrome 等工具和服务来收集用户的个人隐私数据信息可以强化自动推荐服务以及广告的准确性。但这些内容并非每个人都喜欢,也不是对每个人都友好,尤其是一些年纪较小的学生群体。
根据市场研究机构的统计,在疫情的影响下,Chromebook 在近两年时间里的市场份额增长速度空前迅速。除了 Chromebook,chrome 也是目前浏览器市场份额中排名第一的浏览器,综合这些因素,Google 的产品在学生群体中的使用率肯定也不低。作为一家以广告为主要收入的公司,政府部门担心 Google 的产品和服务会收集学生的数据,并将数据共享给广告合作伙伴用于非教育目的,除此之外他们还对 Google 的数据实际存储位置缺乏透明度有所担忧。
正因如此,荷兰教育部宣布将会对学校使用 chrome 和 chromeOS 施加限制。在这样的限制下,教育机构和学校需要执行额外的设置操作,其中包括但不限于:
实施特定的组策略和禁用网站自动翻译和拼写检查等服务,这些服务可能会将用户数据泄露到欧洲之外;
Google Cloud 服务的数据存储的地理位置必须设置为欧洲,并且需要限制用户改变设置;
广告个性化必须被设置为 "关闭",嵌入 YouTube 必须使用隐私增强模式,并且必须完全避免使用 Google 搜索引擎。
为了彻底改善这个问题,荷兰政府与 Google 就数据保护这一敏感问题进行了对话。Google 已承诺将在明年推出新版 chrome 浏览器和 chromeOS 以解决这个问题,届时监管机构将对它们进行新的评估。
微软百名员工签名力挺996.ICU项目
转发该文章,让我们知道了一些国产浏览器变的非常智能:你浏览了什么它都知道,而且它还知道要做什么。
互联网用户隐私保护指南
用户转向注重隐私,而非便利的解决方案。
为什么?简单来说就是,越来越多的人意识到他们个人数据的价值。当然,保护隐私并不意味着保持匿名。而是不会向未经授权的第三方共享重要信息,同时保护个人敏感数据的隐私。可以在使用的各种设备上改善隐私水平,以下是一些行之有效的增强隐私的方法,不只限于 Linux 系统,其它各种设备和操作系统同样适用。不需要必须遵循每一条,这些只是提供的建议,看看哪些方法适合。
1、保护和隐藏你的电子邮件
电子邮件会出现在包括从银行到云存储平台等各种在线平台中。保持私密的你将会收到更少的垃圾邮件和更少的企图接管你的帐户或欺骗你从电子邮件中下载恶意文件的恶意链接。但通常会和每一个你使用的重要应用/服务共享你的电子邮箱地址。那么如何才能做到不共享邮箱也能使用这些应用/服务呢?可以使用电子邮件别名来保持你的实际电子邮件地址的私密性。
2、保护你的互联网
如果你的互联网连接是暴露的或不安全的,攻击者可以窥探你的网络活动,并可能使用它来获取重要信息或影响你的设备数据。因此确保互联网安全至关重要。为此可以执行以下操作:
使用安全或加密的 DNS,如 nextdns.io 或 controld.com
使用 VPN 加密你的互联网连接
3、保护你的搜索行为
每个人都利用搜索引擎来查找他们需要的内容。大多数人会选择谷歌,到目前为止,它是地球上最受欢迎的网站。但它会收集你的一些数据以提高其可搜索可用性,并且还可能根据你的喜好和其他因素个性化搜索结果。
4、使用注重隐私的浏览器
就像你使用搜索引擎一样,浏览器是交互过程的重要手段。就个人而言,我向你推荐 Vivaldi、Firefox 和 Brave。如果你想了解更多。
5、不要安装未知程序
无论你使用 Linux 还是任何其他操作系统,都不应安装未知的应用。并非所有程序都有隐私保护。有些根本不收集任何数据,有些则会收集。在选择要安装新的软件之前,你可以寻找绿色软件特征。其中包括:
它有大量的用户(不仅仅是新用户)。
它非常受欢迎。
它是开源的,并且具有稳定的版本。
还有一些值得注意的点:
即使该软件是专有的, 你也应该查看其受欢迎程度和隐私政策。
通常,最好避免使用新的软件工具。
请勿下载未验证的电子邮件附件。
从其官方渠道下载软件。不要使用第三方分发网站下载软件包,除非官方推荐。
6、设置所有隐私调整选项
你使用的每个应用程序、每个操作系统和每项服务都提供一定程度的隐私控制。例如可以向公众隐藏你的 Instagram 帐户,并且只对你想分享的人和关注者开放。手机、Linux 桌面和其他应用的“隐私设置”页面。它可以是各种形式,删除旧文件、禁用诊断信息共享等。如果你觉得可行,请使用可用的选项来获得你的最佳体验。
7、使用安全的密码管理器
密码和凭据是一切的核心。如果你需要确保它们受到良好的保护和组织,请使用优秀的密码管理器。通常为所有类型的用户推荐 bitwarden.com 和 KeePassXC。如果想要离线使用, keepassxc.org 可以跨平台使用。如果你想要基于云的解决方案,Bitwarden 不失为一个好选择。
8、确保笔记安全
记录笔记对于很多人来说是一种习惯,这习惯可能好也可能不好。为什么这么说呢?嗯,便签通常有敏感信息,有时是密码或 PIN。所以确保你的笔记是安全的,这是提高隐私保护的最简单方法之一。可以了解一下具有端到端加密或各种功能的其它选择:
9、在私有云平台上存储或备份
不是每个人都有时间或耐心来维护/配置 RAID 设置以在家中存储/备份数据。因此云存储服务是通用解决方案。建议包括 mega.nz(端到端加密)和 partner.pcloud.com。你还可以查看我们的云存储服务清单以寻求更好的选择。借助 cryptomator.org 等解决方案,可以在将文件上传到云之前对其进行加密。
10、使用私人通讯软件
可以使用开源加密软件如 www.signal.org(跨平台)来保护你的通讯。
11、专用发行版
如果你对新鲜事物充满了兴趣,尝试量身定制的操作系统,这些系统有的会在你完成操作后立即清除你的活动记录,有的具有特殊的安全功能,完全能满足你的日常使用。
谷歌键盘的隐私承诺可信吗
每次打字时入法都在偷偷学习你的口头禅、常错字、最常联系的人。这些数据以前被批量运往远方服务器,2017年谷歌说:不用了,我们换了个新办法。这个办法叫联邦学习(federated learning),号称你的原始输入永远不会离开手机。听起来完美,但技术承诺和真实运行之间,隔着一整片灰色地带。
联邦学习到底怎么运作
传统机器学习是把用户数据集中到服务器,再训练模型。联邦学习把这个流程倒过来——模型主动去找数据。
具体步骤:中央服务器先把初始模型发到你的手机;手机用本地数据(你打的字、拍的照片)训练这个模型;训练完后,手机只上传"模型更新",也就是权重和参数的数学调整值;服务器把成千上万份更新汇总,生成新版全局模型,再发回手机。循环往复,直到模型收敛。
谷歌Gboard用的具体算法叫联邦平均(FederatedAveraging),每轮需要100到500台设备的更新才能收尾。
关键点在于:原始文本理论上确实没走。但"没走"不等于"安全"。
差分隐私:另一层保护还是另一层迷雾
谷歌很快给联邦学习加了第二道锁:差分隐私(differential privacy)。简单说,就是在上传的模型更新里注入统计噪声,让服务器无法倒推出任何单个用户的具体输入。数学上,这提供了可量化的隐私保证——某个特定用户的数据在不在数据集里,对最终模型输出的影响被严格限制在极小范围内。但这里的"极小"是参数化的,取决于噪声强度。
噪声加得越多,隐私保护越强,模型精度损失越大。企业面临的是一场零和博弈:用户看不见噪声参数,只能信任公司没为了效果偷偷调低保护级别。更微妙的是,差分隐私保护的是"个体不被识别",不是"信息不被提取"。如果一千个人都打了同一个生僻词,聚合后的更新里这个词的模式依然可能浮现。
攻击面:当数学承诺遇上工程现实
联邦学习的架构本身就创造了新的攻击维度。
第一类是成员推理攻击:攻击者拿到模型更新后,能判断某个特定数据点是否参与了本轮训练。2019年的研究已经证明,即使只有梯度信息,也能以可观准确率推断训练样本的属性。
第二类是模型逆向攻击:通过分析多轮更新的模式,重建出训练数据的统计特征。对于文本数据,这可能暴露特定词汇的使用频率分布;对于图像,可能还原出数据集的视觉轮廓。
第三类更隐蔽:中央服务器本身成为单点故障。虽然谷歌声称不保存原始更新,但技术上它完全有能力在聚合前截留、分析甚至关联来自同一设备的连续多轮更新。承诺不这么做,和做不到,是两回事。
联邦学习还把攻击面分散到了边缘。参与设备需要运行完整的训练代码,这引入了供应链风险——模型文件可能被篡改,本地训练过程可能被恶意应用干扰,更新上传通道可能被中间人劫持。
语义滑移:谁在定义"隐私"
最深层的问题或许不在技术,而在话语。
谷歌的隐私叙事经过精心编排:"你的数据从未离开设备"成为一句朗朗上口的保证。但严格来说,模型更新是数据的衍生品,是数据经过复杂非线性变换后的数学表达。说它"不是数据",是法律技巧而非技术事实。
这种语义滑移有商业动机。欧盟GDPR等法规对"个人数据"有严格定义和处理限制,但对"匿名化统计信息"约束较松。如果联邦学习+差分隐私的组合能被论证为实现了法律意义上的匿名化,企业就能在合规框架内继续挖掘用户行为的价值。
用户理解和技术现实之间的鸿沟被有意维持。调查显示,多数用户听到"数据不离开手机"时,理解为"没人能知道我打什么字";而技术实现只保证"没人能确定知道某个特定字是我打的"。
2017年2026:一场未完成的实验
谷歌2016年发表论文,2017年部署到Gboard,联邦学习从此成为隐私计算的标杆案例。但八年过去,独立审计依然稀缺,关键参数保持黑箱。大众只知道谷歌使用了差分隐私,不知道具体噪声系数;知道有安全聚合协议,不知道是否对所有数据启用;知道设备端有本地差分隐私层,不知道与服务器端如何协调。学术研究持续发现新的攻击向量,企业则持续更新防御版本。这是一场不对称的军备竞赛:攻击者只需要找到一个漏洞,防御者需要堵住所有可能。
更根本的张力在于:联邦学习的设计初衷是"多方协作训练",典型场景是医院联合训练诊断模型而不共享患者记录。但当应用于单一公司旗下的消费产品时,"多方"坍缩为"一方",协作变成了集中式控制的分布式执行。架构没变,权力结构完全不同。
开放提问
联邦学习是一项精巧的技术创新,它确实改变了数据流动的物理路径。但路径改变不等于权力转移,数学保证不等于用户掌控。当谷歌说"你的数据从未离开手机",它说的是哪一层事实?是比特的物理位置,是法律定义的归属,还是你作为用户真正关心的——有没有人能从我的打字习惯里读出我的生活?
技术中立是个神话。每一行代码都嵌入了价值判断,每一个参数都权衡着利益。问题在于,这些判断和权衡是在哪里做的、被谁监督、能否质疑。如果隐私保护的定义权始终握在被监督者手中,再先进的密码学也只能提供精致的安慰剂。我们需要的或许不是更复杂的技术方案,而是让技术方案变得可审计、可验证、可撤回的基础设施——以及承认没有任何单一技术能解决权力不对称的勇气。
Web 标准专家炮轰 Google Prompt API:标准流程的公然破坏与隐私风险
Web 标准专家 Mat Marquis 于2026年5月发表长文猛烈抨击 Google 推出的 Prompt API,称其为 "我所见过的最明目张胆的网络标准霸凌尝试",严重程度甚至超越了此前备受争议的 AMP 和 Manifest V3。
Prompt API 是 Google 在 Chrome 中内置的一项功能,允许网页通过 JavaScript 直接调用本地大语言模型。表面上看,这是为开发者提供便利的浏览器原生 AI 能力;但 Marquis 指出,其背后是对标准流程的公然践踏和对用户隐私的漠视。
首先是程序违规。Mozilla 和 WebKit 已明确表示反对,W3C 技术架构组也表达了深切关切。但 Google 仍基于 "开发者兴趣" 强行将该功能推入稳定版 Chrome。所谓的支持证据极其薄弱:引用的 GitHub 讨论线程仅有 3 条评论,点踩比例高达 2:1;而 "总体满意度 8.0" 的说法,据称来自 Chrome 产品经理的一项未公开来源的调查。
其次是专有产品伪装成开放标准。Prompt API 实际上仅绑定 Google 自家的 Gemini Nano 模型,使用还需同意 Google 的 "禁止用途政策"。Marquis 尖锐地指出:"没有任何网络标准应该要求你同意一家广告公司的使用条款。"
更令人担忧的是强制安装机制。Chrome 用户被静默推送了一个约 4GB 的模型文件,且 "无需任何许可"。即使用户手动删除,系统也会自动重新下载。Google 模型享有规格例外待遇,而其他厂商的模型则需要用户明确同意。
隐私风险同样不容忽视。模型版本和可用性差异可以成为精密的指纹向量 ——"一个拥有 2560x1600 分辨率显示屏、且浏览器可访问仅对登录 Facebook 用户开放的 LLM 模型的用户",这样的组合足以高度识别个人身份。此外,任意网站都可以在无需用户权限的情况下调用本地 LLM。
Marquis 将此事与 AMP(强制内容流经 Google 服务器)和 Manifest V3(以隐私之名限制广告拦截扩展)相提并论,认为这是 Google 一贯模式的延续。他呼吁业界记住这一事件,认清其本质:"你知道他们是谁,你早就知道了。"