2019年11月初，美国外国投资委员会（Committee on Foreign Investment in the United States,“CFIUS”)启动了对TikTok母公司北京字节跳动科技公司收购美国社交媒体Musical.ly交易的国家安全审查，而值得注意是，这笔交易早在2017年底就已完成。相关媒体引用知情人士的消息称，此次调查主要是基于其数据收集方面的问题。

2018年3月，美国颁布了《澄清数据（云）的合法海外使用法案》，以加快对美国全球提供商持有的电子信息的访问，这对我们的外国合作伙伴调查从恐怖主义和暴力犯罪到对儿童的性剥削和网络犯罪等严重犯罪至关重要。

尽管美国的消费者隐私立法已经交给了各个州，但联邦消费者隐私立法已审议了几十年。然而，国会似乎终于取得了进展，《美国数据隐私保护法》（“ADPPA”）被提议作为具有里程碑意义的美国联邦隐私立法，效仿GDPR。

随着加利福尼亚州、科罗拉多州、犹他州和弗吉尼亚州的全面的州数据保护法规的出台——以及其他州的几项类似法规的出台——美国类似的联邦隐私法规很快就会成为现实的可能性越来越大。

《美国数据隐私与保护法案》(ADPPA)如果获得通过，将成为第一个全面的联邦数据隐私法案。ADPPA旨在为个人提供具体的权利，如同意和反对的权利，加强对儿童和未成年人的保护，并为覆盖实体引入了一系列义务，包括与数据最小化和个人数据收集、处理和转移的法律基础有关的义务。2022年7月20日，众议院能源和商务委员会批准了ADPPA，并进行了一些修订，例如让加州隐私保护局(“CPPA”)负责在加州执行ADPPA，以及将小企业排除在私人行动之外。截至本文发布之时，ADPPA正接受众议院全体议员的审议，如果通过，下一步将提交参议院。Maynard Cooper & Gale, LLP的股东Starr Drum概述了ADPPA下的数据处理，重点介绍了17个允许的目的和同意的作用。

《弗吉尼亚州消费者数据保护法》（VCDPA）于2021颁布，旨在为其消费者提供增强的数据保护，并对违规行为进行行政追索。

十多年来，组织一直在努力实现和维护PCI DSS合规性。问题不在于知识或技术；这是熟练程度。

九年来，Verizon发布了关于支付卡行业数据安全标准（PCI DSS）合规状况的年度支付安全报告。九年来，模式一直保持不变：许多公司不遵守标准，许多遵守标准的公司在审计后不久就不遵守标准。IT组织不会因为缺乏知识或技术而与PCI DSS法规遵从性斗争；问题在于熟练程度。

自2013年以来，该报告的主要作者、Verizon企业解决方案全球安全保障咨询高级经理西斯克·范·奥斯滕（Ciske van Oosten）表示：“熟练是主要主题。”。“有了10年的数据泄露调查报告，您开始认识到模式。”

“这不是一个知识问题，”van Oosten补充道。“那里有丰富的知识。人们几乎被淹没了。这不是真正的技术失败。而是真正的熟练程度：自信、技能和经验。”

PCI DSS合规性状态

在今年早些时候发布的2017年报告中，威瑞森发现，全球企业的整体合规性有所提高-威瑞森评估的企业中，55.4%在2016年通过了中期评估，高于2015年的48.4%。但这意味着，近一半的零售商、餐馆、，酒店和其他接受信用卡支付的企业每年都未能保持合规性。

我们考察了弗吉尼亚州、犹他州、科罗拉多州、加利福尼亚州和康涅狄格州的隐私法在Cookie方面的趋同和分歧，以期制定出一种协调一致的合规方法。

2022年4月21日，《2018年加州消费者隐私法》（“CCPA”）下的规则制定权已正式移交给加州隐私保护局（“CPPA”）。此后不久，在2022年5月5日，现有CCPA最终法规被转移到《加利福尼亚州法规》第11篇第6部分，将其纳入《法规》的一部分，由CPPA管辖。最后，在2022年5月27日，CPPA宣布将于2022年6月8日

《美国数据隐私和保护法案1》（“ADPPA”）虽然仍在审查中，但与现有隐私立法有许多相似之处，包括澳大利亚1988年隐私法案（“隐私法案”）。来自Sainty Law的Katherine Sainty和Aisling Hamilton介绍了ADPA的一些主要特征，以及ADPA与隐私法的比较。