《 德克萨斯州数据隐私和安全法案》(TDPSA)于 2023 年 6 月 16 日签署德克萨斯州数据隐私成为法律,并于 2024 年 7 月 1 日起生效,旨在加强德克萨斯州居民的数据保护。TDPSA
适用于以下实体:
在德克萨斯州开展业务或向德克萨斯州居民提供产品或服务。
从事处理或出售个人数据。
根据美国小企业管理局的标准,不属于小企业 列表到数据 分类,该标准通常涉及员工人数或年平均收入。
该法律不包括州政府机构、政治分支机构、遵守《格雷姆-里奇-比利雷法案》的金融德克萨斯州数据隐私机构以及遵守《健康保险隐私及责任法》的实体。
商业义务
数据保护评估: 企业必须对可能对消费者造成更大伤害风险的处理活动进行数据保护评估,例如针对性广告的处理、出售个人数据或分析。
敏感数据同意: 企业在收集、处理或出售敏感个人数据(例如种族或民族血统、宗教信仰、健康信息、生物特征数据和地理位置)之前必须获得明确同意。
公司必须根据其处理的个人信息采取足够的数据安全措施。
数据主体访问请求 (DSAR): 企业必须毫不拖延地响应消费者关于 轻松无忧地办理活动入住手续可以吗? 其个人数据的请求(例如访问、更正、删除),但不得晚于收到请求后的 45 天。
数据销售: 如果企业出售个人数据,他们必须向消费者披露这些做法,并为他们提供选择退出的选项。
通用选择退出合规性: 从 2025 年 1 月 1 日起,企业必须承认全球隐私控制等德克萨斯州数据隐私通用选择退出机制,使消费者能够选择退出数据收集和处理活动。
执法
德克萨斯州总检察长可对每项违规行为处以最高 25,000 美元的罚款。私人无权提起诉讼。
TDPSA 的独特特性
TDPSA 的突出之处在于其对小企业豁免、缺乏基于收入或数据量的具体门槛,以及从 2025 年开始承认普 俄罗斯号码列表 遍退出机制的要求。它还要求处理敏感数据时必须征得同意,并包括数据保护评估和隐私声明的具体措施。