2026年加州与俄克拉荷马州关键数据泄露通知更新

自2026年1月1日起，加州和俄克拉荷马州的新立法将对各州的数据泄露通知要求进行重要更新。这些变化可能显著影响在这些州运营或处理相关居民数据企业的泄露响应义务。以下是每项法律关键条款的概述。

加州 - 参议院法案446（SB 446）

加州近期颁布的SB 446修正了现有泄露通知法规，增加了更明确的时间要求：

30天个人通知时限：此前加州法律要求"以最迅速的时间且无不合理延迟"向受影响居民发出通知，但需考虑执法需求及评估与控制泄露的努力。根据SB 446，受管辖实体现在必须在发现或被告知需报告泄露后的30个日历日内通知受影响的加州居民。此时限仍受前述执法或恢复系统完整性工作的相同有限例外情况约束。

15天检察长通知时限：当前通知500名以上加州居民的实体需通知加州检察长并提供发送给受影响个人的通知样本副本。SB 446现要求此类披露在通知个人后的15个日历日内完成。

俄克拉荷马州 - 参议院法案626（SB 626）

俄克拉荷马州将通过SB 626对其数据泄露通知框架实施重大变更，反映了全国加强网络安全和消费者保护的广泛趋势。关键条款包括：

扩大的个人信息定义：SB 626拓宽了需报告个人信息的范围，现包括：

• 政府签发的唯一身份识别号码（如州身份证或护照号码）
• 允许访问金融账户的电子标识符和凭证（如路由代码与密码或访问代码的组合）
• 生物识别数据

新增检察长通知要求：遭遇影响500名以上俄克拉荷马州居民泄露事件的实体现必须在通知受影响个人后60天内通知俄克拉荷马州检察长。此通知必须包括泄露日期和性质、受影响数据类型、受影响居民数量、实体已实施的任何合理安全措施，以及若可确定则需提供泄露的预估货币影响。

行业特定豁免：SB 626对受GLBA、HIPAA或《俄克拉荷马医院网络安全保护法》管辖的实体提供个人通知内容要求的有限豁免；但值得注意的是，若泄露影响500名以上居民，这些实体仍必须通知检察长。

合理安全措施的积极抗辩：实施适合其规模、运营和所持数据敏感度的"合理安全措施"的实体可对民事处罚提出积极抗辩。未实施此类安全措施但遵守通知要求的实体仍可能面临75,000美元外加实际损害赔偿的处罚，而无安全措施或适当通知的实体可能面临每次泄露最高150,000美元的民事处罚。

企业的后续步骤

为遵守这些新法律做好准备，企业应考虑以下行动：

• 审查和更新数据清单以识别新涵盖的数据元素
• 重新评估安全政策以确保符合俄克拉荷马州的"合理安全措施"标准
• 制定或修订事件响应计划及相关通知协议以满足个人和监管通知的新时限和内容要求