来源：科文顿全球法律资讯 

本专栏节选翻译科文顿·柏灵律师事务所律师原创并发表于Inside Privacy上的文章，全面及时报道全球数据保护与网络安全领域的最新法律动态。Inside Privacy是由我所华盛顿、旧金山、伦敦、布鲁塞尔、法兰克福及北京的数据保护和网络安全团队共同打造的原创博客，以其专业性和及时性在全球享有盛誉。

作者：Jadzia Pierceon，2018年12月21日

在隐私与网络安全法领域，过去的一年是忙碌的一年。本文回顾了美国、欧洲及中国在2018年中的重要事件，并展望2019年值得期待的进展：

美国

隐私法：2018年，美国各州和联邦层面在消费者隐私保护和强化网络安全方面的立法提案激增。值得注意的是，加利福尼亚州通过了迄今为止在全美国范围内最为全面的隐私法（2018年《加利福尼亚州消费者隐私法案》，“CCPA”）。相关配套修正案将在2019年颁布，直至该法于2020年生效。在CCPA之后，许多国会议员和联邦政府部门纷纷提出各自版本的联邦级别隐私法提案（包括参议员Ron Wyden（民主党—俄勒冈州）和Brian Schatz（民主党—夏威夷州））。

网络安全：截至2018年，所有50个州（加上哥伦比亚特区、波多黎各、关岛及美属维尔京群岛）都有各自的州数据泄露通知法。此外，俄亥俄州参议院第220号法案于11月生效。根据新法所创造的“安全港”规则，如果某一实体属于“被覆盖实体”，且实施了满足一定要求的网络安全计划，则可免于承担基于侵权法的一些责任。上述新法是在网络安全事件频发、相关成本上升的背景下制定的。

联邦贸易委员会：2018年迎来了一个全新的联邦贸易委员会（“FTC”），其通过一系列“21世纪的竞争和消费者保护听证会”开始表明执法重点。该系列听证会表明，FTC将持续关注隐私问题，并密切关注隐私法和竞争法的交叉问题。对于FTC而言，2019年可能具有特别意义，因为许多联邦隐私立法提案都包括了扩大FTC执法权限范围的条款，赋予FTC制定监管规则和/或征收民事罚款的权力。

监控法：CLOUD法案于2018年3月签署生效，该法为美国政府要求全世界科技公司提供其持有的数据创建了法律框架。 在2019年，美国可能会考虑如何与某些国家达成双边执行协议，而我们可能会看到该框架实施的具体情况。 此外，美国最高法院在Carpenter vs. United States案中的决定认为，为了从手机提供商处获取手机位置信息，执法部门必须取得法院许可。 进入2019年，该案判决如何适用的讨论将继续进行。联邦法院可能在相关案件中继续考虑第三方持有的哪些其他类型的信息（如有）需要法院许可。

诉讼中的隐私法：2018年10月，在一起针对智能电视制造商的集体诉讼中，新泽西州联邦法院驳回了原告提出的八项主张，其中包括一项涉嫌违反《视频隐私保护法》（“VPPA”）的指控。此外，在2019年，伊利诺斯州最高法院将根据《伊利诺伊州生物识别信息隐私法案》（BIPA）对该法案下的法定起诉资格要求作出认定——这是唯一一部包含了私人诉权的州生物信息识别法。

欧洲

今年的年度故事当然是2018年5月25日生效的《通用数据保护条例》（GDPR）。该法彻底改革了欧盟的数据保护框架，并可能为巴西和印度的类似法律和立法提案提供了灵感和借鉴。欧洲监管机构已经在加强GDPR的执法，仅在过去几个月内就开展了多项调查并开出罚款。

此外，2018年12月，欧盟委员会发布了欧盟—美国隐私盾项目（“隐私盾”）第二次年度评估报告。该报告得出结论称，隐私盾“持续确保”从欧洲传输到美国的个人数据“得到充分的保护”。此外，美国商务部国际贸易管理局下属的隐私盾项目工作组公布了一项新的指引，描述了隐私盾项目参与者在英国计划脱欧后该如何依靠隐私盾项目接收来自英国的个人数据。该指引特别建议，希望从英国接收数据的公司需要更新其隐私政策。

欧盟也一直在考虑以人工智能为例的下一代技术对隐私造成的影响。2018年10月在布鲁塞尔举行的第40届数据保护和隐私专员年度会议上发布了《人工智能伦理与保护宣言》；2018年12月，欧盟人工智能高级别专家组发布了关于“人工智能伦理”的新指引草案。这份不具有约束力的指引强调，在开发和实施AI时，必须遵循“以人为本”的方法，从而产生“值得信赖的AI”，包括尊重隐私权。

2019年的年度故事很可能会是英国脱欧，即按照计划英国将退出欧盟。截至本文发布之日，我们尚不确定是否会有过渡期，或者英国的离开是否会是一场“硬”脱欧。然而，2018年12月13日，英国信息专员办公室（“ICO”）发布了针对 英国“硬”脱欧的情况下英国数据保护法状况的指引。

中国

2018年，中国发布了个人信息保护国家标准《GB/T 35273-2017信息安全技术——个人信息安全规范》，于2018年5月1日生效。该标准无法律约束力，但有效地阐述了监管机关所期望的“最佳实践”，并将对中国现行数据保护规则的执法产生影响。

此外，中国公安部发布了《网络安全等级保护条例（征求意见稿）》，为网络运营者展开中国《网络安全法》下的网络安全等级保护制度相关合规义务提供了指引。该征求意见稿最终转化为生效版本后，预计公安部将会采取相应的执法行动。

公安部还发布了《公安机关互联网安全监督检查规定》，该法规于2018年11月1日生效。该法规为公安机关如何针对在中国提供 “互联网服务”的公司进行网络安全检查，提供了详细的程序指引。该法规也将为公安部门在未来进行更多的网络安全执法行动奠定基础。

2019年，《关键信息基础设施安全保护条例》将会正式出台。该条例很可能会明确关键信息基础设施的运营者将需如何保护其网络免受网络威胁。 该条例还将规定关键信息基础设施运营者可能面临的其他义务，包括允许执法人员进行网络安全检查。此外，个人信息及其它重要数据的出境规则也预计将出台。根据2017年5月19日发布的征求意见稿最新版，公司可能面临对相关数据的出境安全进行评估的一般义务，并可能经历对此类出境行为的安全评估。