Beancount.io LogoBeancount.io

德克萨斯州数据隐私法与 20 州拼图:2026 年合规指南

阅读需 3 分钟Mike ThriftMike Thrift
德克萨斯州数据隐私法与 20 州拼图:2026 年合规指南

当你读完这句话时,在美国的某个地方,一位消费者刚刚点击了“不要出售或共享我的个人信息”。如果你的企业运营网站、投放广告或存储客户电子邮箱地址,那仅仅一次点击可能已经使你受到目前在全美生效的二十项全面州隐私法中一项或多项的约束——而大多数小企业主对此一无所知。

《德克萨斯州数据隐私和安全法》(TDPSA)于 2024 年 7 月 1 日生效,德克萨斯州成为了最后一个通过全面隐私法的高人口州。但 TDPSA 并不是唯一的故事。截至 2026 年,已有 20 个州实施了有效的全面消费者隐私法,12 个州要求识别通用退出信号(如全球隐私控制 GPC),三项全新的法律——印第安纳州、肯塔基州和罗德岛州——于 2026 年 1 月 1 日正式生效。曾让早期州法律处于“试运行”阶段的宽限期(cure periods)将在 2026 年陆续结束,这意味着执法力度即将变得更加严厉。

本指南将解析你在 2026 年实际需要做的事情,以确保监管机构远离你的大门,而无需购买你并不需要的价值五万美元的隐私计划。

为什么德克萨斯州的影响比你想象的更大

德克萨斯州的隐私法有一个与其他州法律截然不同的怪癖:它不在乎你赚多少钱或持有多少记录。它只关心你是否符合美国中小企业管理局(SBA)对小企业的定义——通常是员工少于 500 人,且具有特定行业的收入上限。

大多数州隐私法(加州的 CCPA、弗吉尼亚州的 VCDPA、科罗拉多州的 CPA、康涅狄格州的 CTDPA)将适用性与数量阈值挂钩:100,000 名消费者,或者如果超过一半的收入来自销售个人数据则为 25,000 名消费者,或者年总收入超过 2,500 万美元。TDPSA 抛弃了这些阈值。

这创造了一种奇怪的反转。一家总部位于德克萨斯州、拥有 600 名员工且收入适中的中型 SaaS 公司可能完全受制于 TDPSA,而一家拥有 30 名员工的高收入加州初创公司在 SBA 阈值下可能获得豁免,但在 CCPA 的收入测试下却受制于法律。如果你在这两个州都有业务,你不能挑选条件更宽松的一个——你必须遵守适用于提出请求的消费者的相应法律。

并非豁免的 TDPSA 敏感数据豁免

这里有一个陷阱。即使你的企业根据 SBA 规模标准被归类为小企业,并在其他方面免于 TDPSA,但在销售敏感个人数据之前,你仍然必须获得消费者的同意。因此,“豁免”并不意味着“为所欲为”。如果你销售与健康兴趣、宗教信仰、精确地理位置或生物识别标识符相关的电子邮箱地址,无论规模大小,你都需要获得选择性同意(opt-in consent)。

20 州合规地图

到 2026 年,全面隐私法已在或即将在以下地区生效:加利福尼亚州、弗吉尼亚州、科罗拉多州、康涅狄格州、犹他州、爱荷华州、印第安纳州、田纳西州、蒙大拿州、俄勒冈州、德克萨斯州、特拉华州、新罕布什尔州、新泽西州、肯塔基州、明尼苏达州、马里兰州、罗德岛州、内布拉斯加州以及马里兰州(在线数据隐私法)。

Most of these laws follow a "Virginia model" structure: rights to access, correct, delete, port, and opt out, plus controller obligations around notice, data minimization, and processing limits. 加利福尼亚州则独树一帜,CCPA/CPRA 覆盖了更广泛的员工和 B2B 领域,并具有独特的网络安全审计和自动化决策监管。

实际的做法是:针对最严格的共同标准进行构建,而不是针对每个州孤立地构建。一套针对加利福尼亚州、科罗拉多州和德克萨斯州要求而调整的隐私计划,将涵盖其他所有 17 个州法律下的义务。

你必须在 45 天内履行的消费者权利

在几乎每一个州的法律中,消费者都拥有相同的核心权利:

  • 访问权 (Access) —— 他们可以询问你持有关于他们的哪些个人数据。
  • 更正权 (Correction) —— 他们可以要求你修复不准确的数据。
  • 删除权 (Deletion) —— 他们可以要求你删除其数据(法律保留、反欺诈、内部使用等情况除外)。
  • 携带权 (Portability) —— 他们可以要求获取一份机器可读的副本。
  • 退出销售、针对性广告和画像 (Opt-out) —— 在大多数州,这是捆绑在一起的三项不同的退出权利。

大多数法律给你 45 天的时间做出回应,在合理必要的情况下可延长 45 天。加州的 CCPA 规定 45 天,可延长 45 天。德克萨斯州规定 45 天,可延长 45 天。你需要一个经过身份验证的请求工作流程,用于接收、验证、履行并记录请求——而且你需要它具备扩展性,而不仅仅是一个不堪重负的法务电子邮箱。

“已验证”在实践中的含义

你不能只看请求的表面。如果有人发邮件说“删除我的所有数据”,你必须核实该人确实是数据主体。常见的核实方法包括:

  • 通过账户登录确认请求。
  • 将提交的信息与存档记录进行比对。
  • 发送带有一次性代码的确认电子邮件。
  • 对于高风险请求,要求提供经公证的宣誓书(罕见;仅限于数据丢失将导致灾难性后果的情况)。

身份验证失败会带来两种风险:你为冒充者删除了数据(删除攻击),或者你向错误的人披露了个人数据(泄密)。两者都是违规行为。

全球隐私控制:触发十几项法律的单一浏览器信号

2026 年最重要的技术合规变化是全球隐私控制 (GPC)。这是一个浏览器级别的信号,它会自动告诉用户访问的每个网站:“我选择退出出售或共享我的个人信息。”

到 2026 年 1 月 1 日,已有 12 个州要求企业将 GPC 视为有效的退出请求:加利福尼亚州、科罗拉多州、康涅狄格州、蒙大拿州、内布拉斯加州、新罕布什尔州、新泽西州、明尼苏达州、马里兰州、特拉华州、俄勒冈州和德克萨斯州。其中一些州明确指出了 GPC;其他州则只是要求承认任何“通用退出机制”,而 GPC 是目前主流的实现方式。

这在技术上的含义是:你的网站需要在每次请求中读取 Sec-GPC HTTP 标头(或等效的 navigator API),一旦检测到该信号,就必须抑制数据销售、跨上下文行为广告和共享——无需提示用户。没有 Cookie 横幅。没有额外的点击。直接抑制即可。

加利福尼亚州增加了一项 2026 年的展示要求:企业必须明显地指示消费者的退出偏好信号是否已处理。页面上的“已接受退出请求”指示器正在成为新兴标准。跳过这一步,监管机构(或职业原告)就可以辩称你未能提供退出已被接受的通知。

广告技术管道陷阱

这是大多数公司失败的地方。在页面级别遵循 GPC 很容易。但在你的下游广告技术栈(Google Ads、Meta Pixel、TikTok Pixel、LinkedIn Insight Tag 以及每一个动态重定向供应商)中遵循它则很难。这些供应商中的每一个都有自己的退出标志、信号或像素参数,当检测到 GPC 时,你必须对其进行设置。错过一个,你就会继续与该供应商共享数据,从而违反州法律。

审计你的标签管理器。对于在你网站上触发的每个供应商,记录它如何遵守 GPC。不要轻信营销辞令——请使用启用了 GPC 的浏览器和网络嗅探器进行测试。

敏感数据:需要选择加入同意

在几乎所有州法律中,处理敏感个人数据都需要主动选择加入同意。敏感数据通常包括:

  • 社会安全号码、驾驶执照号码、护照号码、金融账户凭据。
  • 用于识别个人的生物识别数据。
  • 尚未被 HIPAA 涵盖的健康和医疗信息。
  • 精确的地理位置(通常定义为 1,750 英尺或类似半径范围内)。
  • 种族或民族血统。
  • 宗教信仰。
  • 性取向、性别认同。
  • 公民身份或移民身份。
  • 儿童的个人数据(13 岁以下,有时是 16 岁以下)。

同意必须是自愿给出的、具体的、知情的且明确的。预选框不算数。将同意捆绑在通用服务条款接受中不算数。隐藏的披露也不算数。如果你处理敏感数据,你需要一个专用的同意流程,使用清晰的语言并记录捕获同意的时间、地点和方式。

数据处理协议:供应商合同现在是合规要求

每个州的隐私法都要求与第三方供应商(称为“处理者”或“服务提供商”)共享个人数据的企业签署书面合同——数据处理协议 (DPA)——以管理该数据。

2026 年一份合规的 DPA 必须:

  1. 指定处理的性质、目的和持续时间。
  2. 识别涉及的数据类型和消费者类别。
  3. 约束处理者的保密义务。
  4. 要求处理者协助处理消费者权利请求。
  5. 要求处理者在合同终止时删除或退回数据。
  6. 允许审计并要求子处理者向下传递义务。
  7. 限制跨境传输并施加安全义务。

如果你使用 SaaS 工具——Stripe, HubSpot, Mailchimp, Intercom, Slack, AWS, Google Workspace——你需要与所有这些工具签署 DPA。大多数主要供应商提供点击即用的 DPA。容易遗漏的是那些利基工具、自由职业者、承包商以及没有人想到的“单次集成”供应商。

数据保护评估:何时需要记录风险

大多数州法律要求对呈现高风险的处理活动进行数据保护评估(DPA——令人困惑的是,缩写与数据处理协议相同)。触发活动包括:

  • 为针对性广告进行的处理。
  • 出售个人数据。
  • 产生法律或类似重大影响的画像分析。
  • 敏感数据的处理。
  • 任何呈现更高伤害风险的处理。

德克萨斯州、弗吉尼亚州、科罗拉多州、康涅狄格州等都要求进行这些评估。评估必须权衡控制者、消费者、公众和处理者的利益与消费者的风险,并记录缓解措施。将这些文件存档。监管机构在调查期间可以传唤这些文件。

纠正期悬崖:为什么 2026 年截然不同

早期的州级隐私法都带有“纠正权”(right to cure)条款——即在监管机构发布违规通知后,企业有 30 或 60 天的宽限期,在此期间企业可以解决问题,而无需承担任何处罚。这被设计为一种过渡性的“辅助轮”。

到 2026 年,这些辅助轮将被拆除。康涅狄格州、特拉华州、肯塔基州、明尼苏达州和蒙大拿州的纠正期都将在 2026 年陆续到期失效。罗德岛州全新的法律从一开始就没有纠正期。加利福尼亚州的纠正期多年前就已过期。

德克萨斯州保留了 30 天的纠正期且没有设置过期时间,这异乎寻常地慷慨。但 30 天窗口期后的罚金高达每次违规 7,500 美元。在消费者隐私索赔中,“每次违规”通常意味着每个受影响的消费者——将此乘以你的客户数据库,计算结果会迅速变得非常难看。

将隐私合规与你的账目挂钩

隐私合规对财务的影响超出了大多数运营者的预料。主要体现在以下三个方面:

供应商成本分配。 隐私合规供应商——同意管理平台、DSAR 履行工具、身份验证服务、隐私顾问预付费用——都是你应该单独跟踪的运营费用,以便你可以向董事会报告合规成本,并针对哪些法律进行过度合规还是接受风险做出投资回报率(ROI)决策。

泄露准备金。 大多数州法律并未明确要求你为潜在的数据泄露预留资金,但如果你大规模处理敏感数据,建立或有负债准备金是良好的财务习惯。即使是小规模泄露也会引发通知成本、信用监控服务费和法证调查费,这些费用可能高达六位数。

保险记录。 网络责任保险公司在续保时越来越多地要求提供隐私计划的文档——书面政策、DPA 清单、GPC 实施测试、DSAR 响应日志。保持整洁的记录可以显著影响保费水平。

准确的记账与清晰的会计科目表(用于隔离隐私合规成本、供应商支出和事故响应准备金)能让年度预算审查、董事会报告和保险续保变得不再痛苦。

实用的 2026 合规方案栈

如果你从零开始,以下是 2026 年美国中小企业最小可行隐私计划:

  1. 确定适用法律。 将你的客户群、员工人数和收入映射到各州的适用阈值。
  2. 发布统一的隐私公告,以满足最严格的适用法律要求。包括敏感数据披露、销售/共享披露、处理目的、保留期限、消费者权利和联系渠道。
  3. 建立 DSAR 工作流。 选择一个工具(如果规模较小,则使用结构化的电子邮件和电子表格流程)在 45 天内接收、验证、履行并记录请求。
  4. 实施 GPC 响应。 在页面层面读取信号。设置后禁用销售和定向广告供应商。如果你有来自加利福尼亚州的流量,请显示“已遵守退出请求”的指示。
  5. 与每个供应商签署 DPA。 清查所有供应商。签署数据处理协议 (DPA)。将其存储在易于查找的地方。
  6. 针对高风险处理进行 DPA 评估。 记录每一项并归档。
  7. 建立敏感数据同意流,具备确认性选择加入(opt-in)和记录证据。
  8. 记录你的安全计划。 大多数州法律要求“合理的”安全措施。这看起来应该包括书面政策、访问控制、传输中和静态加密、漏洞管理以及事故响应程序。

小企业常犯的错误

  • 误以为 SBA 小企业豁免可以让你完全免除 TDPSA 责任。 并非如此——敏感数据处理仍需征得同意。
  • 将 Cookie 横幅视为隐私计划。 横幅只是一种手段,不能替代 DSAR 流程、DPA 或 GPC 响应。
  • 忽视供应商责任传导。 你与供应商签署的 DPA 需要要求这些供应商将义务传导至其子处理者。大多数标准 DPA 都涵盖了这一点,但在签署前请仔细阅读。
  • 将退出(opt-out)视为营销决策。 遵守退出请求是法律要求,而非偏好。即使会损害重定向营销的效果,也必须停止数据流。
  • 等到纠正期结束后才采取行动。 如果你收到违规通知,你的时间窗口是有限的。请立即行动,记录纠正过程,并获得监管机构的书面确认。

从第一天起保持合规记录整洁

当你在各州错综复杂的法律体系中建立隐私合规计划时,你会积累供应商发票、顾问预付费、保险费和事故响应成本,这些都需要被跟踪、分类和报告。Beancount.io 提供纯文本会计服务,为你提供财务数据的完全透明度和版本控制——使年度董事会报告、保险续保和合规成本分析比处理黑盒账簿要容易得多。免费开始使用,了解为什么开发者、财务专业人士和注重隐私的运营者信任纯文本会计来管理他们的业务账目。