這是Ana Tagvoryan,Jeffrey N. Rosenthal和Blank Rome LLP律師的David J. Oberly的來賓帖子。
In recent years, putative class action lawsuits under the Illinois Biometric Information Privacy Act (BIPA) have increased substantially due to the rapid adoption of biometric technology applications by businesses—such as biometric fingerprinting of employees to provide secure building access, biometric scans to authenticate transactions on mobile applications, and biometric time clocks that use fingerprint scanning or facial recognition to track employee time and attendance.
迄今為止,這些訴訟的結果不同。由於原告無法在沒有任何涉嫌違反BIPA的情況下遭受的實際傷害/傷害,因此在聯邦法院提起的大部分局部未能建立第三條。但是在Rosenbach訴Six Flags Entertainment Corp.,2019年IL 123186(2019年伊利諾伊州),伊利諾伊州最高法院在州法院裁定原告可能會索賠賠償賠償索賠的情況下,大大改變了競爭環境的競爭環境。
該意見對於數據隱私和集體訴訟訴訟人都很重要,因為它可能會導致在可預見的未來進行BIPA集體訴訟的數量大幅上升。它也為利用生物特徵識別信息作為其業務運營的一部分的公司開闢了巨大的潛在風險,因此原告不需要指控(或建立)實際的傷害/傷害來維持根據伊利諾伊州BIPA在州法院待定的可識別索賠。
伊利諾伊州生物識別信息隱私法的概述
Bipa於2008年頒布,以幫助調節生物特徵識別劑和信息的收集,使用,保障,處理,存儲,保留和破壞。 BIPA對私人實體如何收集,保留,披露和破壞生物識別標識符,包括視網膜或虹膜掃描,指紋,語音識別,手或面部幾何形狀或生物特徵識別信息。 BIPA的要求可通過私人行動權限執行;具體而言,BIPA通過違反其規定“應對違規當事方具有違規權利”而“受侵犯”的任何人,並可能為每次違反違規行為康復,更大的違約損害或實際損害賠償或實際損害賠償,合理的律師費用和費用和費用,以及任何其他救濟,任何其他法院認為適當的救濟,包括官方的救濟。
事實和程序背景
六個旗幟在全國各地運營遊樂園,至少自2014年以來,在發出重複進入通行證時就使用了指紋過程。據說六個旗幟的系統可以掃描持有人的指紋;收集,記錄和存儲從指紋收集的“生物識別”標識符和信息;然後存儲該數據以在隨後訪問後快速驗證客戶身份,通過讓客戶掃描指紋進入主題公園。原告史黛西·羅森巴赫(Stacy Rosenbach)在亞歷山大(Alexander)進行學校實地考察時訪問了公園後,為她14歲的兒子亞歷山大(Alexander)購買了季節通行證。當時,亞歷山大將拇指掃描成六旗的生物識別捕獲系統,並收到了他的賽季通行證。當一起使用時,卡和他的拇指牌使他能夠獲得賽季傳球持有者的訪問權限。
羅森巴赫長老隨後提起訴訟,指控六張旗幟違反了BIPA,未能通知其客戶收集和存儲生物特徵識別信息,收集指紋收集的具體目的,並且公司將保留和使用指紋的時間,並且未能在收集指紋之前獲得書面版本。羅森巴赫(Rosenbach)在比帕(Bipa)下尋求違約損失和禁令。
在審判法院一級,法官否認了六個旗幟駁回羅森巴赫BIPA索賠的動議。上訴法院扭轉了一些傷害或不利影響不是“受屈”的人,因此不能因違反BIPA而提出的主張。
伊利諾伊州最高法院裁決
在伊利諾伊州最高法院面前的爭議是,如果他或她沒有聲稱任何實際的傷害,損害或其他不良反應,那麼在BIPA下,一個人是否有資格成為“受屈”的人,因此可以尋求違約的損害和禁令救濟。六個旗幟辯稱,一個人必須在法定違規本身中遭受一些實際傷害或傷害,以提起比帕。根據六個旗幟,違反法規的行為 - 不行,這是不可行的。
伊利諾伊州高等法院拒絕了六個旗幟的立場,而是發現一個人不需要指控任何實際的傷害/損害來追求可認識的索賠,並有權在比帕(Bipa)下尋求違約的損害賠償和禁令。在做出這一決定時,法院依靠四個主要理由。
首先,法院認為,根據法定建設的原則,六旗建造比帕(Bipa)限制了將訴訟因由置於個人遭受實際損害的情況下的權利。實際上,法院指出,當伊利諾伊州大會打算要求原告表現出實際的傷害以尋求私人訴訟權時,這使這一意圖明確。但是,在這裡,該法規簡單地指出:“受違反本法案的[紐約人的委託人應具有訴訟權[。]”,因此,公認的法定建築原則迫使法院得出結論,法院得出結論,一個人不需要遭受實際損害,而超出了BIPA規定的侵犯其權利的侵犯,以提起訴訟。
其次,法院發現“受屈”的定義也支持其結論。法院認為,根據法院對先前案件的定義,以及對“受屈”的標準詞典定義,該詞意味著僅僅遭受了侵犯法律權利的侵犯,而沒有更多的權利。
第三,法院還依靠這樣一個事實,即違反了比帕的要求(本身和本身)構成了“實際和意義的“傷害”,因為“當私人實體未能遵守法定程序時。 ”個人的生物識別識別識別識別的權利是稀薄的。”
最後,法院發現BIPA的預期目的和目標需要允許個人僅在違反BIPA的情況下採取法律訴訟,而不要求個人在尋求法律追索之前遭受額外的傷害。法院強調,要實現為伊利諾伊州居民提供控制其生物識別信息的權利的目的,有必要對未遵循該法規要求的私人實體承擔實質性潛在責任。通過使犯罪實體對未能遵守法律要求的責任承擔如此廣泛的責任,而無需受影響的個人或客戶在侵犯其法定權利的情況下顯示出一些傷害,這些實體可能會有最強大的動力遵守法律並防止問題,而這些實體在發生之前就無法消除問題。相反,要要求個人等到他們維持某種侵犯法定權利之外的可賠償傷害,這與Bipa的預防和威懾目的完全相反。
要點:沒有傷害,仍然犯規嗎?
羅森巴赫對於數據隱私和集體訴訟訴訟人來說,非常值得注意。該意見消除了必須證明實際傷害/損害以追求法律訴訟的基本要求。消除這一核心要求可能會導致全國BIPA相關訴訟的數量大幅增加,因為越來越多的原告試圖提出僅基於技術違規行為的索賠。
更糟糕的是,該裁決現在使公司暴露於技術失敗以完全遵守BIPA的潛在曝光率。在集體訴訟上下文中,羅森巴赫將閘門打開了潛在的新一波昂貴的訴訟,其損害數字幾乎肯定會與違規的性質和程度不成比例。在這方面,BIPA訴訟中的普遍政黨有權每次過失違法行為$ 1,000,每次故意違法行為或實際損害賠償為$ 5,000,以更大的為準以及律師費。儘管這種損害數字似乎很小,但公司必須牢記一類BIPA下的一堂課,將使一家公司獲得1000萬美元的潛在風險敞口。
話雖如此,就在聯邦法院提出的BIPA索賠方面,原告不會為此提供如此簡單的途徑。重要的是,儘管伊利諾伊州法院要求事實受傷,但地位並不是管轄權(如在聯邦法院一樣),而是僅是一種肯定的辯護,這是被告人建立的負擔。因此,伊利諾伊州法院通常不像其聯邦同行那樣限制與與地位問題有關的限制,而伊利諾伊州法院則認為,“不應成為有效索賠訴訟的障礙”。但是,在聯邦法院,BIPA原告必須與美國最高法院的裁決作鬥爭Spokeo,Inc。訴Robins,136 S.Ct. 1540年(2016年),法院規定了一般規則,即法規的“裸程序違規”是不是自動足以滿足第三條的具體要求。實際上,在羅森巴赫案案的前幾週,伊利諾伊州聯邦法院Rivera訴Google, No. 16 C 02714 (ND Ill. Dec. 29, 2018), dismissed a BIPA lawsuit against Google pertaining to the company's photo app technology based on an absence of any “concrete injury” sufficient to confer Article III standing in connection with Google's alleged technical violations of the BIPA, demonstrating that federal courts have offered a differing interpretation vis-à-vis Illinois state courts as it relates to the issue of technical violations bipa,儘管以不同的理由為基礎。
最後,羅森巴赫強調了確保嚴格遵守BIPA和其他州生物識別隱私法的嚴格要求的重要性,以減輕處理生物識別信息的公司的訴訟風險。儘管伊利諾伊州領導了製定生物識別隱私立法的道路,但它肯定不是立法生物識別數據的最後一個州。全國許多其他州都提出或採用了以Bipa為模型的立法;也可以合理地認為,其他州將遵循並製定類似的立法,從而對全國生物識別信息的公司進行更大的監管。
很明顯的公司使用生物識別信息(不對他們從事業務的何處,都必須謹慎,因此與收集,使用,存儲和破壞有關此類數據的額外關注。公司還應花費必要的時間和精力來審查和評估現有的生物識別政策和實踐,並在適當的情況下制定和執行新的政策和發布協議,以確保遵守BIPA的嚴格要求。特別是,為了確保遵守BIPA和類似法律,公司必須:(1)以書面形式告知客戶其生物特徵信息正在收集或存儲,並解釋了存儲信息的目的,以及信息存儲的時間; (2)獲得一項書面發布協議,該協議允許客戶同意其收集和使用其生物識別數據。否則可能會導致另一家公司被隨之而來的BIPA訴訟席捲而掃除。
關於作者
ana tagvoryan是Blank Rome LLP的合夥人,並擔任公司隱私類訴訟辯護小組的主席和公司訴訟集團副主席。 Jeffrey N. Rosenthal是Blank Rome LLP的合夥人。他將自己複雜的公司訴訟實踐集中在消費者和隱私類訴訟防禦上,並定期出版和禮物就集體訴訟趨勢,律師道德和社交媒體法。 David J. Oberly是Blank Rome LLP的合夥人,也是該公司網絡安全和數據隱私組的成員。
免責聲明:Biometricupdate.com博客已提交內容。此博客中表達的觀點是作者的觀點,不一定反映了Biometricupdate.com的觀點。
