戴維·J·奧伯利(David J. Oberly),生物識別隱私與數據隱私律師
公司保單持有人在確保伊利諾伊州生物識別信息隱私法的保險範圍方面面臨越來越大的挑戰()集體訴訟,近年來法律格局對保單持有人的不利影響。保單持有人再次受到打擊托尼(Tony)的美食進入。,2024 Il App(1st)231712,伊利諾伊州第一區上訴法院裁定,如果沒有任何指控,則沒有任何指控涉及“數據洩露”或“安全失敗”的指控,並且該政策的“法律違法行為”明確禁止承保。
托尼``證明了在獲得BIPA階級糾紛的覆蓋範圍方面面臨的艱鉅戰鬥,並提醒保單持有人積極審查其當前政策,以確定覆蓋範圍以及任何潛在的排除範圍,以及前他們發現自己是BIPA集體訴訟中的訴訟人。同時,托尼的還強調了嚴格遵守BIPA的必要性,BIPA可以幫助保單持有人避免避免這些棘手的覆蓋範圍問題。
背景
雜貨店經營者Tony的Finer Foods(Tony's)的前僱員提出了針對雜貨商的推定BIPA集體訴訟,該訴訟是由於其使用生物識別指紋時間和出勤系統而引起的。這位前員工聲稱托尼違反了伊利諾伊州的生物識別法:(1)未能發布其永久刪除生物識別數據的時間表; (2)未能獲得書面知情同意書以收集員工的生物識別數據; (3)將員工的生物識別數據透露給其生物識別指紋掃描儀技術提供商和其他非隸屬第三方。
托尼(Tony's)維持了倫敦勞埃德(Lloyd)(勞埃德(Lloyds))某些承銷商發布的網絡責任政策,該政策為“損失”提供了損失,“由於數據洩露,安全失敗或勒索威脅在追溯性數據上或之後首次發生,並在政策期間被保險人發現。”該政策定義了“數據洩露”的意思是“獲得個人或實體或以某種方式對被保險人未經授權的方式或以某種方式對個人或機密的公司信息進行的獲取,訪問或披露”,“安全失敗”,“安全失敗”,“被保險人或其他被保險人的委託人(包括被保險人的分包商),包括被保險人或獨立的分支合同,包括被保險人或其他人的獨立合同。
該政策中還包含的是與“任何實際或所指控的任何實際或所指控”有關的違法行為,而被保險人(或代表被保險人)收集信息,而無需與此類信息相關的人的知識或許可;或(b)在違反法律的情況下,被保險人(或被保險人代表被保險人)使用個人身份信息。”
勞埃德(Lloyd)否認承保範圍後,托尼(Tony)提起了宣告性判決訴訟,當事方提起了跨動作進行簡易判決。法院對托尼(Tony's)批准了簡易判決,認為勞埃德(Lloyd)有責任辯護,因為基礎BIPA行動的指控可能屬於該政策範圍內,因為“數據洩露,安全失敗或勒索威脅”造成的損失。勞埃德的上訴。
決定
第一個地區上訴法院扭轉了訴訟,認為勞埃德沒有任何辯護的義務。法院認為,基本指控並不構成“數據洩露”,因為BIPA的投訴沒有任何指控,即未經托尼授權,第三方獲得了員工生物識別數據。相反,基本的投訴稱,托尼本身收集,存儲,使用和傳播員工的生物識別數據。法院進一步認為,基本指控並不構成“安全事件”,因為投訴沒有任何指控,即托尼未能確保其計算機系統。相反,投訴在這個問題上保持沉默。法院裁定,根據網絡責任政策不存在承保範圍。
此外,法院還裁定,網絡責任政策的違法行為被排除在外,可用於“收集信息”。 。 。沒有與此類信息相關的人的知識或許可。
確保BIPA集體訴訟保險保險的基本不確定性
托尼的不是第一個決定BIPA聲稱在網絡責任政策下的範圍範圍之外的決定。例如,在Remprex,LLC訴勞埃德倫敦的某些承銷商,2023 IL App(1st)211097,伊利諾伊州上訴法院裁定,保險人沒有責任根據網絡責任政策為基礎BIPA集體訴訟辯護,而BIPA投訴沒有指控未經授權的第三方訪問個人的個人信息並與公眾共享個人信息並與公眾共享。取而代之的是,投訴僅聲稱被保險人在未經伊利諾伊州法律的情況下,未經同意就參與了這些人的個人信息的未經授權收集。
此外,其他法院還發現,違法行為排除在托尼的為BIPA集體訴訟辯護。參見,例如,nat'l fire ins。 Hartford和Continental Ins的公司。 Co.訴Visual Pak Co.,Inc。,2023年應用程序(1st)221160;Westfield Ins。 Co.訴Ucal Sys。,Inc。,第21 cv 3227,2024 US DIST。 Lexis 138237(nd Ill。2024年8月5日)。
話雖如此,一些考慮相同政策語言的法院已經達到了對面的結論,IE,違法行為的行為確實如此不是BIPA集體訴訟的酒吧覆蓋範圍。參見,例如Thermoflex Waukegan,LLC訴Mitsui Sumitomo Ins。美國公司,第21 cv 788,2023 US DIST。 Lexis 9282,在 *5-7(2023年1月19日);公民。 AM的公司。 v。高地烘焙公司,第20 cv 4997,2022 US Dist。 Lexis 74280,在 *1(ndIll。3月29日,2022年)。
實用提示和策略
綜合保險覆蓋審查
隨著BIPA集體訴訟案引起的大規模損害賠償,保險公司進行了一項積極的運動,以阻止保單持有人獲得這些高曝光訴訟的承保範圍。這項運動的核心是保險公司試圖限制承保範圍的企圖,以爭辯說,包括上面討論的違法行為的違法行為,BIPA索賠的律師覆蓋率。進一步的複雜事項,以及上面的提示,法院對基本訴訟的覆蓋範圍有所不同,從而導致覆蓋範圍適用於訴訟的適用性嚴重不確定性,該訴訟涉及涉及違反伊利諾伊州生物識別法的違規行為。
憑藉這麼高的利益,保單持有人應考慮與經驗豐富的外部生物識別顧問進行諮詢,以仔細審查和評估其所有保險政策,這些保險政策可能是由BIPA索賠觸發的,包括網絡責任,商業一般責任(CGL),就業責任責任,董事責任,責任範圍,以及其他範圍的範圍,以範圍範圍範圍utes。
同時,鑑於與BIPA訴訟相關的重大風險和接觸,公司還可以考慮獲得專門為BIPA索賠提供覆蓋範圍的補充覆蓋範圍。這些更專業的政策可以為保單持有人提供至關重要的保護層,以免其標準的網絡責任或CGL政策無法承受承保範圍。
保持嚴格,持續的遵守BIPA
為了避免在BIPA集體訴訟糾紛中與保險範圍相關的潛在挑戰和陷阱,公司應優先確保嚴格遵守伊利諾伊州的生物識別法。公司應考慮審查其當前的生物識別合規計劃,以確保與BIPA的核心法律義務保持一致,這需要:
- 隱私政策。必須維護書面公開的隱私政策,其中至少包含公司的數據保留時間表及其在BIPA適用的時間限制內永久刪除生物識別數據的準則。
- 數據保留和破壞。生物識別數據必須在以下早期中永久刪除:(1)滿足收集生物識別數據的初始目的;或(2)在個人與公司進行最後一次互動的三年之內。
- 書面通知。書面通知必須在收集時間生物識別數據之前提供給數據主體,並且必須包含:(1)請注意,正在收集生物識別數據; (2)使用生物識別數據的特定目的; (3)在永久刪除之前將保留時間生物識別數據。
- 書面同意。在收集生物識別數據之前,必須從數據主體中獲得書面同意,以授權公司以:(1)收集和使用生物識別數據; (2)透露 或分享與第三方的生物識別數據。
- 披露限制。在沒有同意書的情況下,除非披露滿足允許此類披露的三個狹窄豁免之一,否則不能披露或共享任何第三方的生物識別數據。
- 交易禁令。不得以可以解釋為“從”生物識別數據中的“獲利”的方式出售,租賃或以其他方式使用生物識別數據。
- 數據安全。生物識別數據必須存儲,傳輸和保護免於披露:(1)使用適用於公司行業的合理護理標準; (2)與公司存儲,傳輸並保護其他形式的機密和敏感信息的方式相同或更具保護性的方式。
關於作者
大衛·J·奧伯利(David J. Oberly)是貝克·多尼爾森(Baker Donelson)華盛頓特區辦事處的律師,並領導了該公司專用的生物識別實踐。被公認為“生物識別隱私空間中最重要的思想領袖之一”Lexisnexis,戴維的實踐專注於諮詢和向客戶提供有關廣泛的生物識別隱私,人工智能以及數據隱私/安全合規性和風險管理事項的建議。此外,戴維(David)在訴訟案公司BIPA集體訴訟方面具有深厚的經驗。他也是生物識別數據隱私合規和最佳實踐 - 同類的第一篇也是唯一的全長論文,提供了生物特徵識別法的全面彙編。可以通過[email protected]與他聯繫。您也可以在X上關注David@davidjoberly。
免責聲明:生物識別更新的行業見解是提交的內容。這篇文章中表達的觀點是作者的觀點,不一定反映生物識別更新的觀點。
文章主題
|||||||
