2025 年 5 月 6 日，美国德州检察长肯·帕克斯顿 (Ken Paxton) 已向 TP-Link、阿里巴巴、CapCut（剪映国际版，字节跳动旗下公司）以及其他几家与中国结盟的公司发出整改警告，称他们正在侵犯德克萨斯州人民的隐私权。

案件事实

• 2025 年 1 月 28 日: DeepSeek禁用令。Paxton指示禁止 DeepSeek 应用在所有总检察长的办公室设备上使用
• 2025 年 2 月 14 日: 针对 DeepSeek 展开调查。Paxton 针对 DeepSeek 展开调查，指控 DeepSeek 可能侵犯个人隐私，涉嫌通过其平台收集并传输美国公民的数据，并向Apple和Google 发出民事调查令（CID）调取应用上架材料。更多内容可参考我们的往期文章https://mp.weixin.qq.com/s/zkX-bLChI0lqCEoJN_YMAw
• 2025 年 5 月 6 日: 针对一系列中资企业的整改通知。要求 TP-Link、阿里巴巴、CapCut 在规定期限内遵守三类核心合规要求：披露处理、提供 Opt-out、允许删除。

根据《德州数据隐私和安全法》（Texas Data Privacy and Security Act, TDPSA），Paxton要求TP-Link、阿里巴巴、CapCut 等多家中国公司在30 天内满足德州强化的隐私保护条款，否则检察长将对其采取进一步的行动（如禁令和诉讼）。这些公司被要求披露其是否处理消费者数据，允许消费者选择退出数据收集，并允许消费者完全删除其个人数据。此次行动是德州“隐私与科技执法计划”（privacy and technology enforcement initiative）的一部分，旨在通过专门的数据隐私与安全团队，保护德克萨斯州居民的敏感数据免遭科技、人工智能和其他公司的非法利用。

TDPSA的三项合规要求

德州检察长5月6日的新闻稿列出了三项企业必须满足的要求：披露是否处理消费者数据、允许消费者选择退出数据收集、允许消费者完全删除其个人数据，这些要求来自TDPSA 的对应章节：

1. 数据处理的透明披露（§541.102） 企业需在隐私政策中清晰列明：
2. 收集的个人数据类别（如生物识别、地理位置等）；
3. 数据处理目的（如定向广告、数据分析）；
4. 与第三方共享的数据类型及接收方类别；
5. 消费者行权渠道（如请求提交方式）
6. 退出机制的强制提供（§541.051，§541.103） 消费者有权拒绝以下用途的数据处理：定向广告；个人数据出售；自动化决策（如信用评分、就业评估）。如果控制者将个人数据出售给第三方或为定向广告处理个人数据，控制者应明确且显著地披露该过程以及消费者如何行使退出该过程的权利。
7. 消费者数据的删除（§541.051，§541.052） 企业需在收到验证请求后45天内删除数据，并通知第三方同步操作。若需延期，需向消费者说明理由且仅可延长一次（最长45天）。

与 DeepSeek 调查的联动意义

德州近年来基于 TDPSA的隐私执法呈现显著的“选择性严打”特征：

• DeepSeek调查的供应链逆向取证方法 德州要求Apple和Google提交DeepSeek应用提供审查材料，突破了传统“单点执法”模式，转而通过供应链逆向追溯数据风险
• 中资企业的“靶向性”监管 德州将TP-Link（智能设备）、阿里巴巴（电商）、CapCut（视频编辑）等列为重点对象，暗示其业务可能涉及敏感数据（如地理位置、生物识别）。同时国家安全话语嵌入隐私执法：Paxton 将 DeepSeek 称为中国用来削弱美国 AI 领先地位的代理，并指责其“偷窃数据、审查信息”。此定位为 5 月行动提供了“持续威胁”的叙事支撑。连续两次对中资企业启动行动，预示 TDPSA 将成为遏制“潜在对手技术平台”的优先工具。

在德州《数据隐私与安全法》（TDPSA）的“通知-治愈机制”框架下，企业需在30天内完成“技术+管理”双线合规整改，这既是法律义务，也是规避高额罚金与禁令的关键窗口期。德州对中资企业的系列执法行动，折射出数据治理正从单纯的隐私保护向国家安全议题深化，跨国企业面临的核心挑战在于平衡数据流通效率与主权安全风险：

1. 数据主权与跨境监管冲突：TDPSA等州立法案强化本地数据控制，要求企业明确数据流向及存储地，防止境外势力通过技术产品获取敏感信息。中国《数据安全法》与欧美法规的管辖权冲突，迫使企业建立多层级合规框架以应对“法律长臂管辖”
2. 国家安全嵌入技术标准：德州通过供应链逆向审查（如要求Apple、Google提交应用审核材料），将技术产品视为潜在威胁载体。企业需预判芯片、AI算法等底层技术可能被纳入出口管制，提前部署数据脱敏与访问隔离机制
3. 隐私合规的政治工具化：美国以“防范外国监控”为由，将数据隐私执法与遏制技术竞争绑定。中资企业需通过ISO 27001等国际认证构建信任壁垒，同时以透明度报告消解“国家安全威胁”叙事在全球数据主权博弈加剧的背景下，企业需将国家安全风险纳入合规基线，构建动态响应机制以抵御政策突变

Kaamel提供的合规服务

作为专业的隐私合规和数据安全咨询公司，Kaamel 提供全方位的合规服务，帮助企业顺利应对最终规定的合规挑战。我们可以为您的企业提供以下服务：

• 尽调相关服务：为企业提供相关尽职调查支持，帮助您回应最终规定下的尽调问卷，明确是否属于“受限主体”，并提供合规分析与整改建议。
• 合规检测服务与报告：提供专业的合规检测服务，评估您企业当前的数据处理流程和跨境数据传输情况，并出具合规分析报告，帮助您识别潜在合规风险。
• 合规治理方案制定：为企业合规团队提供支持，协助制定或优化合规治理方案，确保数据处理活动符合美国及其他司法管辖区的隐私与安全要求。
• CISA安全差距分析与整改建议：我们提供CISA（美国网络安全和基础设施安全局）安全差距分析，帮助企业发现并修补信息安全体系中的漏洞，提升整体安全性和合规性。
• 数据安全合规计划书编制：根据最终规定要求，帮助企业编制数据安全合规计划书，并针对禁止交易、受限交易进行二次梳理，确保合规操作。
• 受限交易记录机制建设：协助企业建立受限交易记录机制，确保所有敏感数据的跨境传输符合合规要求，并协助洽谈外部合规审计，确保数据传输的合规性。
• 本地化咨询与代运维托管服务：提供终局计划运营的本地化咨询，帮助企业根据目标市场的合规要求调整运营策略，提供美国数据中心环境的代运维托管服务。