伊利諾伊州最高法院持有BIPA醫療保健豁免適用於員工

戴維·J·奧伯利（David J. Oberly），生物識別隱私與數據隱私律師

2023年11月30日，伊利諾伊州最高法院發布解釋《伊利諾伊州生物識別信息隱私法》（BIPA）的重要意見Mosby訴Ingalls Mem。醫院。，2023 IL 129081，認為Bipa的醫療保健豁免不僅適用於患者的情況，而且適用於就業上下文。這莫斯比對於BIPA被告（尤其是對於醫療保健實體及其生物識別技術供應商）來說，意見是一項關鍵的勝利，因為該決定澄清說，BIPA的醫療保健豁免範圍擴展到與醫療保健治療，運營，運營和付款有關的健康保險和責任攜帶性和責任攜帶性和責任攜帶性及1996年（HIPAA）（HIPAA）的目的時，使用醫療保健工作者生物識別信息。

這莫斯比決定

莫斯比涉及合併比帕衛生保健工作者對其醫療保健實體雇主和供應商提起的集體訴訟，向雇主提供了生物特徵驅動的藥物分配系統，以提供患者護理，IE，以獲取受控藥物和限製藥物的目的對員工的身份進行身份驗證。

The defendants moved to dismiss the suits, arguing that BIPA's Section 10 health care exemption—which provides that “[b]iometric identifiers do not include information captured from a patient in a health care setting or information collected, used, or stored for health care treatment, payment, or operations under the federal [HIPAA]”—barred the BIPA claims asserted against them where the plaintiffs' biometric information was used to restrict access to protected health信息和藥物，並根據HIPAA提供醫療保健治療和運營。被告的論點在審判法院級別被拒絕，因為理由是豁免醫療保健的範圍有限病人根據HIPAA保護的信息。這些審判法院的裁決隨後向伊利諾伊州最高法院提出上訴。

在上訴中，伊利諾伊州最高法院裁定，第10條的語言不僅指患者生物特徵識別信息，而且是指醫療保健的生物特徵識別信息工人當這些信息用於提供患者護理時。這莫斯比法院解釋說，根據第10節的平坦語言，如果滿足兩個單獨的法定標準之一，則生物特徵識別信息將不受BIPA的限制：（1）在醫療保健環境中從患者那裡捕獲的信息；或（2）根據HIPAA收集，使用或存儲用於醫療保健治療，付款或運營的信息。

換句話說，第10條的醫療保健豁免不包括BIPA的覆蓋範圍信息（醫療保健環境中的患者）以及用於特定目的的信息 - 健康護理治療，付款或操作 - 不管信息來源。

影響莫斯比

莫斯比對於在越來越具有挑戰性的BIPA法律景觀中使用生物識別技術的公司來說，這是一個相對罕見的積極發展。 2019年，伊利諾伊州最高法院在Rosenbach訴Six Flags Ent。公司，2019年IL 123186，認為根據伊利諾伊州法規需要恢復實際損失，並為大量的BIPA集體訴訟案鋪平了道路，這些訴訟已經持續了將近四年。

2023年2月，伊利諾伊州最高法院通過其決定進一步改變了法律格局Cothron訴White Castle Sys。，Inc。，認為每次為違反法律收集或披露生物特徵識別信息時，單獨的BIPA聲稱要積累，而不是僅第一次不遵守法律。位置意見允許恢復法定損害賠償，擴大了潛在的BIPA責任敞口的範圍每個Bipa違規的實例 - 不僅僅是第一次違規。

莫斯比毫無疑問，將對醫院和類似的醫療保健實體所面臨的BIPA責任暴露範圍產生切實的影響，這些實體利用生物識別驅動的解決方案促進患者護理以及其生物識別技術提供者。根據莫斯比現在，醫療保健實體及其技術提供商現在對BIPA集體訴訟主張有完整的辯護，其中將醫療保健工作者的生物識別信息用於直接與醫療保健治療，付款或運營有關的目的，因為這些條款在HIPAA下定義了。

現在該怎麼辦

通過主張第10條的醫療保健豁免，挑戰BIPA集體訴訟是一種特別有力的工具，可以在懇求階段使用，以徵求早期撤離公司昂貴的公司生物識別隱私訴訟。但是，重要的是，伊利諾伊州最高法院並未將醫療保健豁免視為從醫療保健工作者那裡收集的所有生物識別信息的廣泛，絕對排除。取而代之的是，第10節中發現的醫療保健豁免僅從BIPA保護中排除了醫療保健工作者的生物識別信息，這些信息是為醫療保健治療，付款或運營而收集，使用或存儲的，因為這些功能由HIPAA定義。

因此，例如，用於允許訪問患者護理的受控藥物分配站的衛生保健工人的生物識別信息將屬於“收集，使用或存儲在[HIPAA]下的醫療保健治療，付款或操作下的信息，從[HIPAA]中豁免了此類數據”，將這些數據避免使用BIPA的範圍，可通過第10節的範圍來進行bipa的範圍。生物特徵驅動的指紋時間鎖 - 可能會超出豁免醫療保健範圍。

因此，醫療保健實體以及向衛生保健部門提供生物識別解決方案的技術供應商，應完成評估，以確定是否有問題的醫療保健豁免莫斯比適用於其特定操作。為此，在醫療保健部門運營或以其他方式開展業務並利用生物識別信息的公司應諮詢經驗豐富的生物識別隱私顧問，他們可以協助評估BIPA的醫療保健豁免是否擴展到其特定行動 - 作為豁免的適用性，可能會以醫療保健僱員生物識別信息的目的來使用。

關於作者

大衛·J·奧伯利（David J. Oberly）是華盛頓特區貝克·多尼爾森（Baker Donelson）辦事處的律師，是該公司生物識別隱私，人工智能以及數據保護，隱私和網絡安全實踐的成員。被認為是“生物識別隱私空間中國家最重要的思想領袖之一”Lexisnexis，戴維的實踐專注於諮詢和向客戶提供有關廣泛的生物識別隱私，人工智能以及數據隱私/安全合規性和風險管理事項的建議。此外，戴維（David）在訴訟案公司BIPA集體訴訟方面具有深厚的經驗。他也是生物數據隱私合規性和最佳實踐- 同類的第一篇也是唯一的全長論文，提供了生物特徵識別法的全面彙編。他可以接觸到[email protected]。您可以在X上關注David@davidjoberly。

免責聲明：生物識別更新的行業見解是提交的內容。這篇文章中表達的觀點是作者的觀點，不一定反映生物識別更新的觀點。