得克萨斯州数据隐私和安全法（TDPSA）

得克萨斯州数据隐私和安全法（TDPSA）于2024年7月1日生效，使得克萨斯州成为美国通过综合隐私立法的最大州之一。如果您的企业收集或处理得克萨斯州居民的个人数据，以下是您需要了解的内容。

什么是TDPSA？

TDPSA建立了企业处理得克萨斯州居民个人数据的框架。与一些美国州隐私法不同，它不设收入或数据量门槛；大多数处理个人数据并在得克萨斯州开展业务的商业实体都在其适用范围内。

该法律赋予消费者对其数据的权利，要求企业对其数据实践保持透明，并规定了针对定向广告、数据销售和某些画像分析活动的退出机制。数据控制者必须在45天内回应消费者请求，在合理必要时可延长45天。

TDPSA适用于谁？

TDPSA适用于在得克萨斯州开展业务或向得克萨斯州居民提供产品或服务，并在该活动过程中处理个人数据的企业。没有最低收入或消费者数量门槛。

豁免适用于得克萨斯州州政府机构、受《格雷姆-里奇-布莱利法案》监管的金融机构、HIPAA涵盖的实体及其业务伙伴以及非营利组织。高等教育机构和某些与就业相关的数据也被排除在外。按照美国小企业管理局定义的小企业可获豁免，前提是它们不出售敏感数据。

TDPSA下的消费者权利

得克萨斯州居民可以对受该法律约束的企业行使以下权利：

• 访问权：确认企业是否正在处理其个人数据并请求获取副本
• 更正权：请求更正不准确的个人数据
• 删除权：请求删除消费者提供的或收集的关于其的个人数据
• 数据可携带权：以可移植、可用的格式接收其个人数据的副本
• 退出权：退出个人数据的销售、定向广告，以及用于产生法律或类似重大影响决定的画像分析

企业必须在45天内回应经验证的请求。如果企业拒绝请求，消费者可以提出申诉，企业必须在60天内回应申诉。

退出要求

TDPSA要求企业为消费者提供清晰、便捷的方式来退出三项具体活动：个人数据的销售、定向广告，以及产生重大法律影响决定的画像分析。

企业还被要求在2025年1月1日之前识别通用退出信号（包括全球隐私控制信号）。这意味着如果用户的浏览器发送GPC信号，企业必须将其视为有效的退出请求，而无需消费者采取任何额外操作。

敏感数据和选择加入同意

根据TDPSA处理敏感数据需要在处理前获得选择加入同意。该法律将敏感数据定义为种族或民族出身、宗教信仰、精神或身体健康诊断、性取向或公民身份；用于唯一识别个人的遗传或生物识别数据；已知13岁以下儿童的个人数据；以及精确地理位置数据（1,750英尺半径范围内）。

这比该法律中适用于大多数个人数据的退出默认设置更为严格，并且要求在任何敏感数据处理开始之前具备肯定性同意机制。

数据保护评估

数据控制者必须在进行具有较高风险的处理活动之前进行数据保护评估，包括：

• 定向广告
• 个人数据的销售
• 敏感数据的处理
• 存在合理可预见的消费者伤害风险的画像分析
• 任何其他对消费者构成较高伤害风险的处理

这些评估无需公开发布，但必须在得克萨斯州总检察长要求时提供。没有规定的固定格式要求，但评估应记录处理目的、权衡利弊的分析以及采取的任何保障措施。

TDPSA下的Cookie和追踪

当Cookie和追踪技术用于定向广告或数据销售时，收集个人数据的Cookie和追踪技术属于TDPSA的适用范围。IP地址、设备标识符、浏览行为和位置数据根据该法律都可以构成个人数据。

依赖第三方广告技术的企业应审计哪些供应商接收个人数据，并确保退出机制扩展到这些数据流，而不仅仅是第一方收集。任何定向广告活动可能都需要进行数据保护评估。

使用UniConsent Cookie同意管理器来管理得克萨斯州受众的退出偏好和通用退出信号识别。

UniConsent如何支持TDPSA合规

UniConsent为企业提供满足TDPSA要求所需的同意和偏好管理基础设施：

• 可按管辖区配置的退出和选择加入同意横幅
• 全球隐私控制（GPC）信号识别
• 消费者数据权利请求管理（访问、更正、删除、可携带性）
• 数据保护评估支持和文档
• 与网站、移动应用和标签管理器的集成

探索UniConsent的合规工具或开始使用免费账户。