德克萨斯州扩展数据经纪人法案要求

2025年9月12日 作者：Maki DePalo 和 Hyun Jai Oh

2025年9月1日，《德克萨斯州数据经纪人法案》（以下简称"法案"）的修正案正式生效。该法案最初于2023年9月1日生效，将"数据经纪人"定义为主要收入来源于收集、处理或转移非直接从消费者处获取的个人数据的企业实体。法律要求数据经纪人发布其作为数据经纪人的在线通知，每年向州务卿（SOS）注册，并实施书面信息安全计划。新颁布的修正案扩展了数据经纪人在线通知和年度注册申报中需要披露的范围。

强化的在线通知要求

在修正案前的法案下，运营网站或移动应用程序的数据经纪人需要发布清晰、准确且易于访问的在线通知，要求：

• 标识该实体为数据经纪人
• 包含州务卿规定的语言（尚未发布）

修正案要求数据经纪人在其在线通知中添加关于消费者如何根据《德克萨斯州数据隐私与安全法》行使隐私权的信息。此举旨在提高消费者对德克萨斯州隐私制度下可用权利的透明度。

扩展的年度注册披露要求

修正案前的法案要求数据经纪人向州务卿提交年度注册，包括以下信息：

• 数据经纪人的法定名称和联系人
• 主要实际地址、电子邮件地址、电话号码和网站
• 是否使用购买者认证流程（法案未定义该术语，但佛蒙特州总检察长对佛蒙特州数据经纪人法规的指南表明，该流程可能指验证数据购买者身份并确认其获取个人数据的合法商业目的的过程）
• 有关数据经纪人处理13岁以下儿童个人数据做法的详细信息，包括数据经纪人为遵守适用的州和联邦儿童隐私法所采取的措施
• 过去一年经历的安全漏洞数量，以及每次漏洞影响的消费者总数（如果已知）

修正案新增要求数据经纪人在注册中包含一个网页链接，该网页需显著展示消费者如何根据《德克萨斯州数据隐私与安全法》行使隐私权的具体说明。

执法

法案的执法条款未因修正案而改变。德州总检察长可对违规行为处以每天100美元的民事罚款，外加任何未支付的注册费。但总罚款在任何12个月内上限为10,000美元。违反该法案也构成可依据《德克萨斯州欺骗性贸易实践法》执行的欺骗性贸易行为。

Alston & Bird的隐私、网络与数据战略团队将继续关注州数据经纪人法律法规的发展，包括实施指南和执法趋势。如果您对数据经纪人法律如何影响您的组织有疑问、需要合规规划协助或想讨论定制策略，请随时联系我们。我们欢迎您的咨询并乐于提供帮助。