德克萨斯州数据隐私和安全法案》(TDPSA)于 2023 年 6 月 16 日签署成为法律,并于 2024 年 7 月 1 日起生效,旨在加强德克萨斯州居民的数据保护。
TDPSA 适用于以下实体:
- 在德克萨斯州开展业务或向德克萨斯州居民提供产品或服务。
- 从事处理或出售个人数据。
- 根据美国小企业管理局的标准,不属于小 whatsApp 号码数据 企业分类,该标准通常涉及员工人数或年平均收入。
该法律不包括州政府机构、政治分支机构、遵守《格雷姆-里奇-比利雷法案》的金融机构以及遵守《健康保险隐私及责任法》的实体。
商业义务
数据保护评估: 企业必须对可能对消费者造 客户服务平台必须跟踪的 成更大伤害风险的处理活动进行数据保护评估,例如针对性广告的处理、出售个人数据或分析。
敏感数据同意: 企业在收集、处理或出售敏感个人数据(例如种族或民族血统、宗教信仰、健康信息、生物特征数据和地理位置)之前必须获得明确同意。
公司必须根据其处理的个人信息采取足够的数据安全措施。
数据主体访问请求 (DSAR): 企业必须毫不 马来西亚号码 拖延地响应消费者关于其个人数据的请求(例如访问、更正、删除),但不得晚于收到请求后的 45 天。
数据销售: 如果企业出售个人数据,他们必须向消费者披露这些做法,并为他们提供选择退出的选项。
通用选择退出合规性: 从 2025 年 1 月 1 日起,企业必须承认全球隐私控制等通用选择退出机制,使消费者能够选择退出数据收集和处理活动。
执法
德克萨斯州总检察长可对每项违规行为处以最高 25,000 美元的罚款。私人无权提起诉讼。
TDPSA 的独特特性
TDPSA 的突出之处在于其对小企业豁免、缺乏基于收入或数据量的具体门槛,以及从 2025 年开始承认普遍退出机制的要求。它还要求处理敏感数据时必须征得同意,并包括数据保护评估和隐私声明的具体措施。