最近BIPA生物識別技術供應商決策的主要收穫

儘管與最終用戶缺乏直接關係，但迄今為止，大多數法院都認為，諸如提供通知和獲得同意書特別具有挑戰性的合規義務，尤其是具有挑戰性的義務（伊利諾伊州生物識別信息隱私法（比帕）擴展到生物識別技術供應商，要求完全遵守伊利諾伊州的生物特徵識別法規。

最近，華盛頓聯邦法院拒絕了面部識別身份驗證供應商駁回BIPA集體訴訟的競標Rivera訴Amazon Web Servs。，Inc。，No.22 CV 269，2023 WL 4761481（WD Wash。7月26日，2023年）。這里維拉決定說明了供應商所謂的BIPA違規行為所面臨的廣泛責任暴露範圍。不僅如此，該意見還提供了一些關鍵的收穫，供應商應考慮這些意見，以最大程度地減少與所謂的BIPA違規行為相關的法律風險。

這里維拉決定

亞馬遜提供了面部生物識別產品Rekognition，使客戶可以在其應用程序，產品和服務中添加面部識別分析。在亞馬遜的眾多客戶中，一家公司是一家公司，可為學生和教育設施使用其在線遠程測試軟件。兩名學生對Proctoring Company的技術進行了多次遠程測試，該技術以Rekognition對亞馬遜提起訴訟，指控與BIPA第15（a）和15（b）節不合規。

亞馬遜因駁回集體訴訟而採取行動。但是，法院否認被告的全部駁回動議。這樣一來，法院得出結論：

原告的申訴提出了亞馬遜的“擁有”和“收集”的足夠指控，以避免駁回其第15（a）條和第15（b）條的要求，要求其索賠；

BIPA擴展到管理生物識別技術提供商和其他第三方供應商；
亞馬遜的“未遂合規性”辯護 - 在公司中辯稱，這不承擔任何責任，因為它已經付出了遵守Bipa的一切可能所做的一切，但他的功績很少。和

亞馬遜的第25（c）條金融機構/GLBA豁免論點未能通過訴狀階段確定是否允許原告的主張進行進行，這是否會在違反第25（c）條的情況下對學院的要求不當地應用於學院。

生物識別技術供應商的實用收穫

生物識別供應商的廣泛責任暴露的持續趨勢

第一個值得注意的收穫里維拉裁決是法院拒絕這樣的論點：BIPA不應擴展到僅在後端，服務提供商容量中服務並且與最終用戶/數據主體沒有直接關係的供應商收集和使用生物識別數據。

關於里維拉原告的第15（b）條特別是要求“收集”生物識別數據的公司提供通知並獲得同意 - 法院駁回了亞馬遜對Zellmer訴Facebook，Inc。，第1880號CV 1880，2022 WL 976981（ndCal。2022，2022年3月31日） - 法院駁回了Facebook非用戶提出的BIPA第15（b）條索賠。在細胞器，法院認為，將BIPA解釋為“明顯是不合理的”公司“要求公司“需要向這些組織提供通知並從所有實際用途的陌生人中，向這些組織提供通知並獲得同意。 ”

在里維拉，亞馬遜辯稱細胞器支持以下結論：強迫它遵守BIPA的通知和同意要求是不切實際的，因為該公司沒有直接與其面部生物識別計劃的最終用戶進行互動。但是，法院發現細胞器可以區分，因為里維拉原告不是亞馬遜的“完全陌生人”。相反，他們是通過亞馬遜客戶連接的。因此，對於法院來說，亞馬遜可以在圖像上傳過程中通知他們並獲得他們的同意，這是不可想像的，以這些理由的解僱是不合適的。

這里維拉法院的推理與其他法院在非用戶的背景下分析了BIPA合規性方面的其他法院。例如，在Wise訴Ring LLC，第20 CV 1298，2022 WL 3083068（WD華盛頓州華盛頓州8月3日，2022年8月3日），法院駁回了被告的論點，即由於黨之間缺乏任何關係，與被告沒有合同關係的一類旁觀者無法維持對其的可識別BIPA索賠。這明智的法院認為，缺乏任何直接關係與分析無關。相反，由於被告維護能夠識別個人的系統，因此法院拒絕駁回第15（a）條，第15（b）和15（d）條，聲稱在該訴訟中宣稱。

企圖但不成功，遵守比帕，而不是辯護

另一個值得注意的收穫里維拉是對亞馬遜的論點的拒絕是，它對據稱違反Bipa的行為不承擔任何責任，因為它已經完成了遵守該法規的一切可能所做的一切。特別是，亞馬遜認為，根據其服務條款，所有使用其面部生物識別計劃的客戶都需要提供合法的隱私通知，並從最終用戶那裡獲得所有必要的同意。

法院裁定，亞馬遜納入了這項批准的規定，要求其客戶遵守法律通常不足以履行BIPA下的法律義務。例如，法院指出，亞馬遜可以對其面部生物識別解決方案進行編程，以便除非並通過其客戶的界面或其他方式提供了最終用戶的BIPA符合BIPA符合BIPA的同意，否則它將不運行。

這個方面里維拉強調了技術供應商（以及其他類型的公司）試圖僅依靠另一方來滿足自己的BIPA合規義務時面臨的風險。如果供應商試圖將其中一些義務推向另一方，它應該尋求確保其與其他實體的基本協議清楚地闡明了供應商有權獲得全額賠償的權利，並償還了與其他方在其他方面不滿足所有合規性要求的情況下，與訴訟有關的所有法律費用兩個都另一方和供應商。供應商還應考慮將語言包括在其協議中，使他們能夠審查並批准另一方准備的任何與生物識別的語言，以評估其遵守法律的水平事先的到出於合規目的進行這些材料的運行時間。

根據第25（c）條的金融機構/GLBA豁免，生物識別供應商駁回BIPA集體訴訟的挑戰

最後一個值得注意的收穫與法院拒絕亞馬遜第25（c）第25（c）條金融機構/GLBA豁免論點有關。尋求解僱里維拉亞馬遜認為，由於第25（c）條，亞馬遜的行動是，由於原告的大學是“金融機構”，該公司規定，BIPA不適用於金融機構或其分支機構，因此將BIPA應用於亞馬遜將具有將BIPA應用於第25條（C）（C）的實際效果。法院認為這一論點缺乏優點，並指出，如果要求亞馬遜提供通知並獲得同意，則可能不會干擾大學的行動。最終，法院得出結論，沒有其他證據和簡報的好處 - 無法解決是否允許原告的主張是否會導致違反第25（c）條，促使法院也駁回了這一論點。

這種推理與其他最近分析了第25（c）條對據稱符合GLBA對“金融機構”的定義的客戶的適用性的其他法院相吻合，因此，根據第25（c）條的規定，避免了責任。例如，在Davis訴Jumio Corp.，第22號CV 776，2023 WL 2019048（ndIll。2月14日，2023年2月14日），法院駁回了另一位生物識別技術供應商因主張第25（c）條辯護而駁回BIPA集體訴訟的競標。法院在這樣做的過程中指出，如果沒有有關客戶應用程序如何運作以及供應商的身份驗證軟件如何集成到客戶應用程序中的情況，法院將無法確定要求供應商遵守BIPA的多大程度，需要更改對客戶進行業務的更改，例如，BIPA可以將BIPA視為“以任何方式應用於客戶”。

里維拉和戴維斯證明供應商在訴狀階段（尤其是與第25（c）條辯護有關的案件中的BIPA課程行動提早解僱）中面臨的複雜性和困難，因為法院經常得出結論，法院不允許駁回動議的其他證據是對法院對特定的金融機構/Glba豁免的適用性的確定性的確定性。

現在該怎麼辦

在底部，儘管有可能通過主張法律的金融機構/GLBA豁免來駁回BIPA糾紛，但里維拉說明了生物識別供應商在訴狀階段的第25（c）條豁免中的利用，並在進行極為昂貴的發現之前，經常會面對生物識別供應商的重大障礙。

話雖如此，為了更充分地減輕BIPA訴訟風險，生物識別技術供應商應考慮採用保守的方法來確保滿足所有適用的BIPA要求，即使確定該公司的技術屬於伊利諾伊州法律的範圍。具體而言，供應商應努力維持靈活，全面的生物特徵隱私計劃，該計劃應包括以下內容：

公共可用的，生物識別特定的隱私政策；
設置數據保留和破壞指南和時間表，其中包含對事件觸發器的清晰明確的描述，這些描述將促使生物識別數據立即銷毀並永久破壞；
在收集時間生物識別數據之前，向所有數據主體提供了一種確保書面通知的機制；和
確保獲得書面同意的單獨機制，允許小販在獲得任何此類數據之前，收集，擁有，保留，存儲和傳播生物識別數據。

此外，如上所述，供應商應確保與客戶簽訂的所有合同協議都包含有關使用生物識別數據的語言，這些語言適當地根據BIPA和類似的生物識別法規分配了當事方的責任，並以最大程度的範圍降低了適用的法律風險和責任。

關於作者

大衛·J·奧伯利（David J. Oberly）是華盛頓特區貝克·多尼爾森（Baker Donelson）辦事處的律師，是該公司生物識別隱私，人工智能以及數據保護，隱私和網絡安全實踐的成員。被認為是“生物識別隱私空間中國家最重要的思想領袖之一”Lexisnexis，戴維的實踐專注於諮詢和向客戶提供有關廣泛的生物識別隱私，人工智能以及數據隱私/安全合規性和風險管理事項的建議。此外，戴維（David）在訴訟案公司BIPA集體訴訟方面具有深厚的經驗。他也是生物數據隱私合規性和最佳實踐- 同類的第一篇也是唯一的全長論文，提供了生物特徵識別法的全面彙編。他可以接觸到[email protected]。您可以在X上關注David@davidjoberly。

免責聲明：生物識別更新的行業見解是提交的內容。這篇文章中表達的觀點是作者的觀點，不一定反映生物識別更新的觀點。