德克萨斯州扩大数据经纪人法案要求

2025年9月1日，《德克萨斯州数据经纪人法案》修正案正式生效。该法案最初于2023年9月1日生效，将"数据经纪人"定义为主要收入来源来自收集、处理或转移非直接从消费者处获取的个人数据的企业实体。法律要求数据经纪人发布其作为数据经纪人的在线通知，每年向州务卿注册，并实施书面信息安全计划。新颁布的修正案扩大了数据经纪人在线通知和年度注册申报中所需披露的范围。

增强的在线通知要求

在修正前的法案下，运营网站或移动应用程序的数据经纪人必须发布清晰、准确且易于访问的在线通知，内容包括：

• 确认实体为数据经纪人
• 包含州务卿规定的语言（尚未发布）

修正案要求数据经纪人在其在线通知中添加关于消费者如何根据《德克萨斯州数据隐私与安全法》行使其隐私权的信息。此举旨在提高消费者对德克萨斯州隐私制度下可用权利的透明度。

扩大的年度注册披露

修正前的法案要求数据经纪人向州务卿提交年度注册，包括以下信息：

• 数据经纪人的法定名称和联系人
• 主要实际地址、电子邮件地址、电话号码和网站
• 是否使用购买者认证流程（法案未定义该术语，但佛蒙特州总检察长的指南建议这可能指验证数据购买者身份并确认其获取个人数据的合法商业目的的过程）
• 有关处理13岁以下已知儿童个人数据的做法细节，包括数据经纪人为遵守适用的州和联邦儿童隐私法所采取的措施
• 过去一年经历的安全漏洞数量及受影响的消费者总数

修正案新增要求数据经纪人在注册中包含一个网页链接，该网页需突出显示消费者如何根据《德克萨斯州数据隐私与安全法》行使其隐私权的具体说明。

执法

法案的执法条款在修正案中保持不变。德克萨斯州总检察长可对违规行为处以每天100美元的民事罚款，外加任何未付的注册费。但任何12个月期间的总罚款上限为10,000美元。违反该法案也构成可依据《德克萨斯州欺骗性贸易行为法》执行的欺骗性贸易行为。

Alston & Bird的隐私、网络与数据战略团队将继续关注州数据经纪人法律法规的发展，包括实施指南和执法趋势。如果您对数据经纪人法律如何影响您的组织有疑问、需要合规规划协助或想讨论定制策略，请随时联系我们。我们欢迎您的咨询并乐意提供帮助。