隐私快讯 | 得州数据经纪人法案如何“绊倒”100+公司
HomepageBlog
隐私快讯 | 得州数据经纪人法案如何“绊倒”100+公司

隐私快讯 | 得州数据经纪人法案如何“绊倒”100+公司

Kaamel Lab
Kaamel Lab

事件简介

近期,美国得克萨斯州总检察长Ken Paxton向超过一百家公司发函,提醒其未在法定期限内按照得州最新实施的数据经纪人法案向得州州务卿(Texas Secretary of State)注册为数据经纪人(Data Broker)。根据得州《商业和贸易法典》(Business and Commerce Code)第509章以及《得州行政法规》(Texas Administrative Code)第一卷第106章的规定,数据经纪人向州务卿注册的截止期限为2024年3月1日,否则将被处以罚款。

事件背景与得州数据经纪人法案

随着数据交易的普及,企业获取个人信息更多地并非直接从数据主体处收集,而是从第三方获取数据,此时数据主体对相关情况并不知情,也更容易产生隐私泄露的风险。因此,许多国家都开始重视对数据经纪人的规制和监管,以更好地保护个人数据和隐私。目前,美国加利福尼亚州、佛蒙特州和俄勒冈州等州均立法要求数据经纪人按照相关规定向州政府进行注册。
2023年9月1日,得州参议院第2105号法案(被编入得州《商业和贸易法典》第509章,以下简称S.B. 2105)正式生效,该法案旨在规范数据经纪人的行为,其主要内容如下:

1. 数据经纪人的定义

S.B. 2105定义的“数据经纪人”,是指主要收入来源于收集、处理或转让并非其直接自与数据关联或可关联的个人处收集的个人数据的商业实体。
值得注意的是,相比于其他州对数据经纪人的定义通常仅限于收集和出售,S.B. 2105扩大了其范围,包括收集、处理或转让。

2. S.B. 2105的适用范围

2.1 数据范围

S.B. 2105适用于所有数据经纪人收集、转让或处理的个人数据(“个人数据”指与居住在得州境内的自然人关联或可关联的任何信息,包括假名数据),但不包括:
(1)去标识化的数据(deidentified data),前提是数据经纪人:(a)已经采取合理的技术措施确保数据无法被用于识别与其关联的个人,(b)以明确、显著的方式公开承诺其仅以去标识化形式处理和转让数据、不具备任何合理的重新识别手段,且不会尝试识别数据所关联的个人,(c)在合同中约束从数据提供方接收信息的人员,要求其遵守有关何种数据不适用S.B. 2105的规定,并在数据此后的任何转让中均纳入这些合同义务;
(2)员工数据;
(3)公开可获取的信息;
(4)完全由多个来源独立的公开可获取的信息所作的推论,且不涉及个人敏感数据;
(5)受《格雷姆-里奇-比利雷法案》 (Gramm-Leach-Bliley Act,即GLBA,又称《金融服务现代化法案》) 规制的数据。

2.2 数据经纪人范围

S.B. 2105适用于在12个月期间内,超过50%的收入来自处理或转让非直接收集的个人数据,或者从处理或转让超过5万人的此类数据中获利的数据经纪人,但不包括:
(1)服务提供者,包括为第三方雇主处理员工数据以提供员工福利的服务提供者;
(2)从与其存在共有关系或公司控制关系的其他个人或实体处收集个人数据的个人或实体,前提是一般消费者能够预见这些个人或实体会共享数据;
(3)联邦、州、部落、领地或地方政府实体,包括政府实体的机构、当局、委员会、局、行政区、分支机构;
(4)经国会指定非营利的,向受害者、家庭、儿童服务专业人员和公众在有关失踪和受剥削儿童的问题上提供帮助,作为国家资源中心或信息中心的实体;
(5)消费者报告机构,以及其他提供信息以供纳入消费者信用报告、或者获取消费者信用报告的个人或实体,但仅限于在《公平信用报告法案》(Fair Credit Reporting Act)监管或授权范围内的活动,包括收集、维护、披露、销售、传达或使用任何涉及消费者信誉度、信用状况、信用能力、品行、总体声誉、个人特征或生活方式的个人信息;
(6)受《格雷姆-里奇-比利雷法案》 (Gramm-Leach-Bliley Act,即GLBA,又称《金融服务现代化法案》) 规制的金融机构。

3. 数据经纪人的公告义务

S.B. 2105规定,数据经纪人维护网站或应用程序的,应在该网站或应用程序发布明显的公告,清晰、不具误导性地说明维护该网站或应用程序的实体为数据经纪人,该公告应能够被包括残障人士在内的普通公众轻易访问,并包含州务卿规定的用于公告的措辞。

4. 数据经纪人的注册义务

S.B. 2105规定,数据经纪人应向州务卿注册。注册需要提交一份注册声明,并缴纳300美元的注册费。
数据经纪人提交的注册声明应当包括:(1)数据经纪人的法定名称;(2)一名联系人,以及数据经纪人的主要住址、电子邮件地址、电话号码和互联网网站地址;(3)处理和转让的数据类别的描述;(4)关于其是否进行购买者资质审查的陈述;(5)若明知其自身拥有关于已知儿童的个人数据,则还须详细陈述适用于已知儿童个人数据的数据收集行为、数据库、销售行为和选择退出政策,并陈述数据经纪人是如何遵守有关在互联网上收集、使用或披露儿童个人数据所适用的联邦和州法律的;(6)提交注册前一年内数据经纪人所经历的安全漏洞次数,以及(如果已知)每次漏洞影响的消费者总数。注册声明还可以包括任何数据经纪人选择提供的附加信息或解释。
注册证书签发之日起一年后到期。数据经纪人可以按照州务卿的要求提交续期申请,并支付300美元进行续期。

5. 数据经纪人的保护义务:全面信息安全计划

S.B. 2105规定,数据经纪人须制定、实施并维护一份易于获取的全面信息安全计划。该计划所采取的行政、技术和物理保障措施应当与该数据经纪人的业务规模、范围和类型、可用的资源数量、存储的数据量以及存储个人数据的安全性和保密性需求相适应。
在计划中,数据经纪人需要识别和评估能够合理预见的、将对个人数据记录的安全性造成威胁的内部和外部风险,并建立评估和改进保障措施的流程。数据经纪人需要对员工和承包商进行持续的教育培训,并对第三方服务商进行适当监督以确保其实施适当的安全措施。
数据经纪人还需定期审查安全措施的范围,定期审查至少一年一次,并在业务发生能够影响个人数据安全性和完整性的实质性变化时进行审查。此外,数据经纪人还需进行定期监控以确保该计划以合理方式防止未经授权的访问。

合规建议

对于并非以收集、处理和转让个人数据为营收方式的公司,仅购买或接收数据的行为并不受S.B. 2105规制,因此一般情况下企业为营销产品、提供服务等目的购买并处理个人数据,无需考虑有关数据经纪人的相关规定。
对于数据经纪人,在涉及得州自然人的个人数据时,则有必要考虑相关合规要求,即需要按照要求在网站或应用程序上进行公告,向得州州务卿注册并缴纳注册费,以及制定和实施一份全面信息安全计划。