得克萨斯州最新增加了全面的州隐私法

美国拥有全面隐私立法的州的数量离两位数还有一步之遥。得克萨斯州议会于5月28日通过会议委员会通过了HB 4，即《德克萨斯州数据隐私和安全法案》，该法案目前正在等待得克萨斯州共和党州长Gov. Greg Abbott的行动。

虽然得克萨斯州有望成为第10个加入州隐私法行列的州，但该法案将在今年通过的多项法律之前生效，生效日期为2024年7月1日。HB 4带来了以前其他州法案中没有的问题，同时也与现有法规相似——弗吉尼亚州的框架是该法案的基础。

最显著的差异是HB 4的覆盖阈值，该阈值不包括其他州采用的常见货币规定，而是依赖于一个独特的三因素适用性标准。但该法案熟悉的条款也同样具有影响力，包括要求在2025年1月1日之前承认普遍的选择退出机制。

HB 4还包含敏感数据收集和使用的选择加入同意、定向广告和数据销售的选择退出、数据保护评估、有关“暗模式”的语言以及30天补救条款的要求。

得克萨斯州众议院和参议院一致通过了该法案的不同版本，这就需要一个会议委员会来调和一系列耗时的众议院投票之外的分歧。该法案随后于5月30日提交给Abbott，并将在10天后成为法律，没有明确的否决权。

4月5日众议院通过该法案时，得克萨斯州共和党众议员Giovanni Capriglione告诉KVUE Austin：“每天的每一刻，关于你和你家人的信息都会被收集、存储、分析、处理和出售。每天，数百家公司都会收集有关你的信息，对你的行为做出预测，并将你的个人数据提供给广告商、研究人员、不良行为者，甚至被转到国外。”

覆盖阈值无疑是HB 4中最有趣的部分。根据该法案，如果实体符合以下标准，则必须遵守要求：

• 在得克萨斯州开展业务或生产得克萨斯州居民消费的产品或服务。

• 处理或参与个人数据的销售。

• 不要将其认定为美国小企业管理局定义的小企业。

这三个阈值对美国隐私界来说都是新的概念，因为所有其他州的法律都基于一家公司持有多少数据，以及数据收集、使用和销售每年产生什么样的收入。

小型企业管理局的识别是得克萨斯州覆盖标准中真正的异类。小型企业管理局将小型企业定义为“员工少于500人的独立企业”。

考虑到这一点，Holland&Knight合伙人Bart Huffman表示，他不会在SBA相关门槛上投入太多资金，因为它最终将毫不犹豫地适用于大多数企业。

🙋🏼‍♂️Huffman说：“小企业并不是真的那么小。大多数大公司都应该计划遵守，除非他们因其他原因获得豁免。”HB 4包括在州隐私框架中普遍存在的豁免，包括联邦健康和金融隐私法已经涵盖的数据豁免。

得克萨斯州法案的语言中有着微妙而重要的细微差别。某些条款需要反复读，以根据得克萨斯州立法者与其他州法律相比使用的不同语言来发现潜在影响。

一个调整是在适用性标准范围内，因为该法律要求提供服务的企业“由”得克萨斯州居民“消费”，而不是“针对”他们。Latham&Watkins律师事务所的Robert Brown表示，该语言可能“旨在席卷州外企业”，并会让一些组织大吃一惊。

🙋🏾‍♂️Brown说：“这可能会激励那些没有专门针对德克萨斯州市场的企业采取措施，积极排除得克萨斯人使用他们的产品或服务，以避免触发TDPSA。”。

HB 4还包含了当公司计划出售敏感和生物特征信息时额外披露的要求。从事此类业务的公司必须在隐私通知中提供“合理可访问且清晰”的免责声明，以通知客户他们“可能出售”敏感或生物特征数据。

尽管有人质疑除了数据代理之外，哪些企业将受到此类销售披露的约束，但Huffman支持要求公司在向消费者详细说明数据做法时“不要含糊其辞”的法律。

🙋🏼‍♂️Huffman说：“我长期以来一直认为，隐私声明中的更多语言应该标准化，这样消费者才能真正理解所传达内容的重要性。至少这些披露对这两个主题都有帮助。”。

30天的治疗期也带来了一些独创性。得克萨斯州法案中的条款与其他州提供的治疗方法基本相似，但HB 4也要求被指控的违规者提供已完成治疗的有形证据，根据布朗的说法，仅仅向司法部长发出治疗通知是不够的。

🙋🏾‍♂️Brown说：“法律规定，公司还必须通知相关消费者，所谓的侵犯隐私行为已经得到解决，向司法部长提供支持性文件，说明如何纠正侵犯隐私行为，并在必要时对内部政策进行修改。这是一个更高的证明违规行为已被纠正的负担，已经制定了应对违规通知的做法的企业需要相应地调整其程序。”