WeLinux

据 Cybernews 报道，Meta 员工正在内部散发抗议传单，反对公司自 4 月 22 日起推行的一项新政策：在全美员工工作电脑上强制安装代号"模型能力计划"（Model Capability Initiative，MCI）的 AI 训练软件，该软件将记录员工在工作相关应用与网站上的鼠标移动轨迹、键盘输入内容，并定期截取屏幕快照，且不提供退出选项。传单鼓励员工签署联署声明，将该政策定性为可能违反《国家劳动关系法》（NLRA，1935 年）——该法律保护私营部门员工的组织权与集体谈判权，并禁止雇主对相关活动实施报复。据悉，这已不是 Meta 员工首次集体联署抗议管理层决策。 此次政策背后的逻辑据 Meta 发言人向 TechCrunch 解释：如果要构建协助用户完成日常计算机任务的 AI 智能体，模型就需要真实的人机交互样本，包括鼠标移动、按钮点击和下拉菜单操作等目前仍难以模拟的人类行为。Meta 方面表示，公司此前本已对员工活动进行监控，此次属于"在现有政策基础上的延伸"，并承诺对采集数据实施额外保护、防止私人信息被访问。该政策于 4 月 21 日由 Reuters 率先披露，随即引发广泛关注；此次传单事件显示，员工内部反弹仍在持续发酵，折射出 AI 开发对真实人类行为数据需求日增与员工隐私边界之间的深层张力。 Cybernews | TechCrunch https://techcrunch.com/2026/04/21/meta-will-record-employees-keystrokes-and-use-it-to-train-its-ai-models/

隐私导向操作系统 GrapheneOS 近日在 X 平台发布长帖，指控谷歌（Google）和苹果（Apple）正借助设备验证机制，将互联网和移动应用的访问权限逐步锁定在各自认证的硬件与软件之内。帖子点名谷歌的 Play Integrity API 与苹果的 App Attest——这两套系统以"安全功能"之名推广，实则要求应用在放行用户前核验其设备是否运行官方认证系统，运行第三方系统（包括 GrapheneOS 自身）的用户往往直接被拦截。GrapheneOS 写道："谷歌的 Play Integrity API 拒绝 GrapheneOS，尽管它的安全性远超谷歌所允许的任何系统。这些机制的真实目的，是阻止人们使用未经苹果或谷歌批准的硬件与软件。"目前两家公司均未公开回应。 GrapheneOS 尤为关注 reCAPTCHA 的长期影响。谷歌近期更新要求用户以认证 Android 或 iOS 设备扫码才能完成人机验证，GrapheneOS 警告这一门槛未来可能蔓延至 Windows、Linux 等桌面平台用户，令谷歌掌握对"大量互联网资源"访问权的实质控制权。此外，随着各国政府和银行在支付、数字身份证、年龄核验等场景中加速采用上述验证机制，两家公司对数字基础设施的控制正被进一步制度化。GrapheneOS 批评称，各国政府非但未遏制相关反竞争行为，反而通过自身服务"直接参与"了对竞争对手的封锁。 Android Authority https://www.androidauthority.com/grapheneos-google-apple-approved-devices-web-warning-3665319/

美国联邦通信委员会（FCC）在 2026 年 5 月提议强化"了解你的客户"（KYC）规则，要求所有电信运营商、移动运营商及 VoIP 服务商在用户激活新电话号码前进行强制身份验证。用户需提交政府颁发的身份证件、物理地址、真名，以及已有的其他电话号码。该规则适用几乎所有新号码，包括此前可匿名购买激活的预付费和"一次性手机"号码。 此举旨在打击诈骗电话与诈骗犯罪，但引发隐私争议。新闻记者、家暴受害者、活动人士等需匿名的群体可能因此失去重要保护。FCC 同步考虑要求运营商保留用户身份文件至少四年，并检查用户是否在执法部门黑名单中。违规罚款可达每次非法通话 1000 至 15000 美元。目前规则仍处提案与公众意见征询阶段，具体实施时间表与文件要求细节待定。若生效，美国将从允许匿名申办电话号码的状态转向完全实名制管理。 Reclaim The Net | US Sane News https://reclaimthenet.org/the-fcc-wants-your-id-before-you-get-a-phone-number https://docs.fcc.gov/public/attachments/DOC-421309A1.pdf

欧洲议会研究服务处（EPRS）近日发布政策简报，警告 VPN 正被越来越多地用于绕过在线年龄认证系统，并将其定性为"立法中需要堵上的漏洞"。简报指出，英国、美国多州强制推行年龄认证法规后，当地 VPN 应用下载量出现爆发式增长——以英国为例，《在线安全法》生效后 VPN 应用一度占据下载榜榜首，显示未成年人正大规模借助 VPN 访问被限制的内容。EPRS 明确提及，部分政策制定者和儿童安全倡导团体认为，访问 VPN 服务本身就应先行完成年龄认证；英格兰儿童事务专员亦呼吁将 VPN 服务限制为仅面向成年人开放。与此同时，犹他州已率先通过 SB 73 法案，规定即便用户使用 VPN 掩盖 IP，年龄认证依然以实际物理位置而非表面 IP 为准。 然而，强制 VPN 用户实名核验将大幅削弱匿名保护，并带来监控与数据泄露的新风险。Proton、Mullvad、Mozilla 等隐私工具提供商已联署致信英国政策制定者表达反对。另一重要背景是，欧盟委员会官方年龄认证应用上月发布后不久即被研究人员发现存在多项安全漏洞——敏感生物特征图像以未加密形式存储，且存在可被利用绕过验证的缺陷。EPRS 承认，当前基于自我声明、年龄估算或身份核实的各类系统均相对容易被绕过，并重点介绍了法国正在探索的"双盲"核验机制——网站仅获知用户是否满足年龄要求，而核验方则不知晓用户访问了哪些网站，在隐私保护与监管合规之间寻求平衡。 Cyber Insider https://cyberinsider.com/eu-calls-vpns-a-loophole-that-needs-closing-in-age-verification-push/

隐私研究员 Alexander Hanff（网名"That Privacy Guy"）近日发布分析报告，指出谷歌 Chrome 浏览器会在符合硬件条件的设备上，在无任何明确告知或用户同意的情况下，自动将约 4 GB 的端侧 AI 模型文件（weights.bin）写入本地磁盘——该文件对应谷歌轻量级端侧模型 Gemini Nano。据 Hanff 使用 macOS 文件系统事件日志进行的受控测试，整个下载过程在后台约 14 分钟内完成，无任何用户交互；用户手动删除该文件后，Chrome 会在稍后重新下载，除非关闭特定实验性标志位或卸载 Chrome。Hanff 认为此行为与他此前记录的 Anthropic Claude 桌面端静默写入浏览器集成组件的问题如出一辙，均属于将用户设备作为部署目标而非用户主动控制资产的典型"暗模式"。 法律层面，Hanff 指出上述行为可能违反欧盟《电子隐私指令》关于在用户设备存储数据须获得同意的规定，以及 GDPR 对透明度与合法处理的要求，但相关主张尚未经司法审查。环境影响方面，Hanff 估算若向 1 亿至 10 亿台设备推送该模型，仅下载环节就将产生 6000 至 60,000 吨 CO₂ 当量；此外，对于使用流量计费套餐或移动热点的用户，静默消耗 4 GB 流量可能带来实质性经济损失。谷歌截至报道发布时未就上述调查结果公开置评。 Tom’s Hardware https://www.tomshardware.com/tech-industry/cyber-security/google-chrome-silently-downloads-4gb-ai-model-to-your-device-without-permission-report-claims-researcher-says-practice-may-violate-eu-law-waste-thousands-of-kilowatts-of-energy

英国《在线安全法》自 2025 年 7 月起强制执行年龄验证机制，要求互联网服务使用"高度有效"的验证方法防止未成年人访问不当内容，包括人脸扫描、ID 上传、银行验证等。目前每天约 500 万次年龄验证被执行，但研究显示儿童可通过简单手段轻易绕过——甚至仅用画笔添加眉毛即可欺骗人脸识别软件。约 46% 儿童称年龄检查易于突破，三分之一已成功规避。 英国 VPN 订阅需求在该法案实施后激增超 1400%，成为绕过地域限制的主要手段。儿童保护专员呼吁政府限制 VPN 使用或强制 VPN 厂商实施年龄保证，但这引发对隐私与实施可行性的新担忧。数字权利组织警告大规模年龄验证系统带来严重风险，涉及个人数据保护、表达自由等问题。微软、社交平台等已推出年龄验证流程，但检验有效性与隐私影响仍存争议。英国政府面临"安全"与"隐私"之间的平衡难题。 The Register https://www.theregister.com/2026/05/04/uk_online_safety_act_age_checks_subvert/

犹他州《在线年龄验证修正案》（参议院法案 SB 73）5 月 6 日正式生效，成为全美首个将 VPN 使用行为明确纳入年龄验证法规管辖的州。法案由州长 Spencer Cox 于 3 月 19 日签署，核心条款分两部分：其一，将"用户物理所在地"而非 IP 地址定义为司法管辖依据，意即即便使用 VPN 或代理服务器伪装 IP，只要用户身处犹他州，网站仍须对其执行年龄验证；其二，禁止托管"大量对未成年人有害内容"的商业平台提供使用 VPN 绕过年龄验证的教程或引导——EFF 认为此条款涉及宪法第一修正案的言论自由边界。法规对网站运营者而非用户本人施加法律责任，并为 ISP、搜索引擎、云服务商与新闻机构设有豁免条款。 数字权利团体与 VPN 服务商普遍批评法规在技术上"无法执行"：商业 VPN 不断轮换 IP 段、住宅 VPN 流量与普通家庭宽带几乎无法区分，现有 IP 信誉数据库充其量只能拦截已知数据中心 IP，NordVPN 将其定性为"无法解决的合规悖论"与"责任陷阱"；EFF 警告，网站为规避风险极可能选择封锁所有犹他州 IP 或对全球所有访客强制要求上传政府证件——前者切断 340 万犹他州居民的访问，后者令全球合规用户遭受侵入性身份核查。威斯康星州今年初曾提出类似条款，遭强烈反弹后已于 2 月删除；EFF 与科技行业游说组织 NetChoice 预计将就 SB 73 提起宪法诉讼。英国、法国、澳大利亚等多国已出现类似立法动向，犹他州被视为美国在这一方向迈出的首步。 TechSpot | Tom’s Hardware | EFF | TechRadar https://www.tomshardware.com/software/vpn/utah-becomes-first-us-state-to-target-vpn-use-with-age-verification-law https://www.eff.org/deeplinks/2026/04/utahs-new-law-regulating-vpns-goes-effect-next-week

美国近 20 家州政府运营的医疗保险交易所向谷歌、LinkedIn、Meta、Snap 等广告科技和社交媒体公司泄露了大量敏感用户数据。据 TechCrunch 调查，这些数据泄露主要通过嵌入网站的追踪像素实现，包括用户国籍、种族、性别、邮箱、电话号码，甚至家庭成员是否有犯罪记录等信息。纽约交易所共享了申请者国籍信息；华盛顿特区向 TikTok 传输了种族和性别数据；弗吉尼亚州向 Meta 追踪器泄露了邮编。 调查发布后，华盛顿特区暂停了 TikTok 像素部署，弗吉尼亚州移除了 Meta 追踪器。2026 年超过 700 万美国人通过州级交易所购买保险，涉及用户规模巨大。这反映出医疗健康网站在使用常见广告追踪工具时存在的系统性隐私漏洞——虽然法律要求企业通知用户数据泄露事件，但类似问题在远程医疗初创公司和医疗巨头中已屡见不鲜。 TechCrunch https://techcrunch.com/2026/05/04/us-healthcare-marketplaces-shared-citizenship-and-race-data-with-ad-tech-giants/

Proton 4 月 28 日发布研究报告《免费的代价》，通过构建 5.4 万个涵盖年龄、性别、地域、设备类型四维度变量的用户画像矩阵，结合真实广告竞价数据，估算 Google 广告系统对不同人群的定价上限。结论显示：普通美国用户年均广告价值约 1605 美元，中位数为 760 美元；最高单一画像（俄克拉荷马州埃德蒙市 35–44 岁桌面端男性，进行高价值企业搜索）年均价值高达 17929.30 美元，而最低画像（阿肯色州弗特史密斯市 18–24 岁安卓端父亲，进行低价值搜索）仅为 31.05 美元——同一服务的两个用户之间相差 577 倍。报告还测算，顶部 10% 的画像（重度桌面用户）贡献了广告主全部支出的 43%；按十年周期计算，普通用户终身广告价值约 1.6 万美元，最高画像接近 18 万美元。 报告逐项拆解了决定广告价值的四个关键变量：有无子女（无子女平均高约 17%，因广告主将其从理财类高价广告重新定向至婴儿车类低价广告）；设备类型（桌面端价值是安卓端的 4.9 倍，iPhone 端是安卓端的 2.7 倍，设备成为收入与购买意向的代理信号）；年龄（35–44 岁达峰值，65 岁以上降至约 511 美元）；地理位置（本地服务商竞价密度决定底价，蒙大拿州博兹曼和俄克拉荷马州埃德蒙位居全美最高，锈带与阿巴拉契亚地区的城市垫底）。Proton 明确声明这是一篇带有商业立场的报告，结论旨在为其订阅制隐私产品背书。 Proton Blog https://proton.me/blog/what-is-your-data-worth-to-google