作者:David J. Oberly,生物辨識隱私與資料隱私律師
企業保單持有人在確保伊利諾伊州生物識別資訊隱私法案的保險範圍方面面臨越來越多的挑戰()集體訴訟,近年來法律環境對保單持有人變得更加不利。保單持有人再次受到打擊Tony's Finer Foods Enters., Inc. 訴倫敦勞合社的某些保險商, 2024 IL App (1st) 231712,伊利諾州第一地區上訴法院認為,在沒有任何指控表明所涉 BIPA 索賠源於「資料外洩」或「安全故障」的情況下,網路責任保單不提供承保範圍。 ”並且該保單的“違法”排除明確禁止承保。
東尼展示了獲得 BIPA 類糾紛承保所面臨的艱苦鬥爭,並提醒保單持有人主動審查其當前保單,以確定承保範圍以及任何潛在的排除情況,前他們發現自己是 BIPA 集體訴訟的當事人。同時,托尼的也強調了嚴格遵守 BIPA 的必要性,這可以幫助保單持有人首先避免這些棘手的承保問題。
背景
雜貨店經營者 Tony's Finer Foods (Tony's) 的一名前員工因雜貨店使用生物識別指紋考勤系統而對該雜貨店提起了假定的 BIPA 集體訴訟。該前僱員聲稱托尼違反了伊利諾伊州的生物識別法:(1) 未公佈永久刪除生物識別數據的時間表; (二)收集員工生物辨識資料未取得書面知情同意的; (3) 向其生物指紋掃描器技術提供者和其他非關聯第三方揭露員工的生物辨識資料。
東尼保留了倫敦勞合社(Lloyds) 的某些承保人簽發的網路責任保單,該保單為「因資料外洩、安全故障或勒索威脅而導致的損失提供保險,這些威脅首先發生在追溯資料之時或之後,並由在保單有效期內受保。該保單將“資料外洩”定義為“個人或實體或以未經被保險人授權的方式獲取、存取或披露個人識別資訊或機密公司資訊”,以及“安全故障” “被保險人或代表被保險人的其他人(包括被保險人的分包商、外包商或獨立承包商)未能保護被保險人的電腦系統。
保單中還包含一項違法排除條款,涉及「任何實際或聲稱的:(a) 被保險人(或代表被保險人)在不知情或未經資訊相關人員許可的情況下收集資訊」 ; (b) 被保險人(或代表被保險人的其他人)違法使用個人識別資訊。
在勞埃德拒絕承保後,托尼提出了宣告性判決訴訟,雙方提出了簡易判決的交叉動議。法院對托尼公司做出了簡易判決,認為勞埃德公司有義務進行辯護,因為 BIPA 訴訟中的指控可能屬於該保單承保的「資料外洩、安全故障或勒索威脅」造成的損失。勞埃德提出上訴。
決定
第一地區上訴法院推翻了這項判決,認為勞合社沒有辯護義務。法院認為,基本指控並不構成“資料外洩”,因為 BIPA 投訴中沒有任何關於第三方未經托尼授權獲取員工生物識別資料的指控。恰恰相反,潛在的投訴聲稱托尼公司本身收集、儲存、使用和傳播其員工的生物識別數據。法院進一步推斷,根本指控並不構成“安全事件”,因為投訴中沒有任何關於托尼未能保護其電腦系統安全的指控。相反,投訴對這個問題隻字不提。總之,法院認為網路責任保單不存在承保範圍。
此外,法院也認為,網路責任政策的違法排除—適用於「資訊收集」。 。 。在與此類資訊相關的人不知情或未經許可的情況下」——準確地描述了潛在 BIPA 爭議中的指控,因此「明確適用」獨立禁止承保。
BIPA 集體訴訟保險範圍的潛在不確定性
托尼的這並不是第一個發現 BIPA 聲稱不屬於網路責任保單承保範圍的決定。例如,在Remprex, LLC 訴倫敦勞合社的某些承銷商, 2023 IL App (1st) 211097,伊利諾伊州上訴法院認為,保險公司沒有義務根據網絡責任政策為潛在的BIPA 集體訴訟進行辯護,因為BIPA 投訴不包含未經授權的第三方訪問個人個人信息的指控,並且與公眾分享。相反,投訴只是聲稱被保險人未經同意擅自收集這些人的個人信息,違反了伊利諾伊州法律。
此外,其他法院也發現了與上述案件類似的違法排除行為。托尼的禁止報道 BIPA 集體訴訟糾紛。參見,例如,Nat'l Fire Ins。哈特福德公司和大陸公司。 Co. v. Visual Pak Co., Inc., 2023 IL 應用程式(第 1 次)221160;韋斯特菲爾德Ins。 Co.訴Ucal Sys., Inc.,No. 21 CV 3227,2024 美國區。 LEXIS 138237(伊利諾州北卡羅來納州,2024 年 8 月 5 日)。
儘管如此,一些考慮相同政策語言的法院已經達到了對面的結論,IE,違法排除確實不是禁止 BIPA 集體訴訟承保。例如,請參閱 Thermoflex Waukegan, LLC v. Mitsui Sumitomo Ins。美國公司,No. 21 CV 788,2023 美國區。 LEXIS 9282,*5-7(伊利諾州北達科他州,2023 年 1 月 19 日);公民插入。美國公司。訴高地烘焙公司,No. 20 CV 4997,2022 美國區。 LEXIS 74280,*1(伊利諾州北達科他州,2022 年 3 月 29 日)。
實用技巧和策略
全面的保險範圍審查
由於 BIPA 集體訴訟引發的巨額損害賠償風險,保險公司發起了一場積極的行動,阻止保單持有人在這些高風險訴訟中獲得保險。這場運動的核心是保險公司試圖透過主張幾種不同的除外責任(包括上面討論的違法除外責任)禁止 BIPA 索賠的承保範圍來限制承保範圍。更複雜的是,如上所述,法院對基本 BIPA 訴訟的承保範圍的處理方式有所不同,導致涉及涉嫌不遵守伊利諾伊州生物識別法的訴訟承保範圍的適用性存在重大不確定性。
由於風險如此之高,保單持有人應考慮諮詢經驗豐富的外部生物識別顧問,仔細審查和評估 BIPA 索賠可能引發的所有保單,包括網絡責任、商業一般責任 (CGL)、僱傭實踐責任、董事責任和官員的責任、錯誤和遺漏,以及任何其他專業承保範圍——排除性語言或其他可能對確保BIPA 集體爭議相關承保範圍帶來潛在挑戰的問題。
同時,考慮到與 BIPA 訴訟相關的重大風險和暴露,公司還可以考慮獲得專門為 BIPA 索賠提供保險的補充保險。如果更標準的網路責任或 CGL 保單無法承擔承保範圍,這些更專業的保單可以為保單持有人提供重要的附加保障層。
嚴格、持續地遵守 BIPA
為了避免 BIPA 集體訴訟糾紛中與保險範圍相關的潛在挑戰和陷阱,公司應優先確保嚴格遵守伊利諾伊州生物識別法。公司應考慮審查其當前的生物識別合規計劃,以確保其符合 BIPA 的核心法律義務,其中包括:
- 隱私權政策。必須維護書面的、公開的隱私權政策,其中至少包含公司的資料保留時間表以及在 BIPA 適用的時間限制內永久刪除生物識別資料的指南。
- 資料保留和銷毀。生物特徵資料必須在下列情況中較早者被永久刪除: (1) 當收集生物特徵資料的初始目的已經滿足時; (2) 個人最後一次與公司互動後三年內。
- 書面通知。必須在收集生物辨識資料之前向資料主體提供書面通知,並且必須包含: (1) 正在收集生物辨識資料的通知; (2) 使用生物辨識資料的具體目的; (3) 生物辨識資料在被永久刪除之前保留的時間。
- 書面同意。在收集生物辨識資料之前,必須取得資料主體的書面同意,授權公司: (1) 收集和使用生物辨識資料;和(2)透露 或分享與第三方的生物辨識資料。
- 披露限制。在未經同意的情況下,生物識別數據不得披露或與任何第三方共享,除非該披露滿足允許此類披露的三項狹隘豁免之一。
- 交易禁止。生物辨識資料不得出售、租賃或以可被解釋為「從生物辨識資料中獲利」的方式使用。
- 資料安全。生物特徵資料必須儲存、傳輸並防止洩漏:(1) 使用適用於公司行業的合理謹慎標準; (2) 採用與公司儲存、傳輸和保護其他形式的機密和敏感資訊相同或更具保護性的方式。
關於作者
David J. Oberly 是 Baker Donelson 華盛頓特區辦事處的法律顧問,領導該公司專門的生物辨識業務。被評為“美國生物辨識隱私領域最重要的思想領袖之一”律商聯訊David 的執業重點是就廣泛的生物辨識隱私、人工智慧以及資料隱私/安全合規性和風險管理事宜向客戶提供諮詢和建議。此外,David 在處理以公司為賭注的 BIPA 集體訴訟糾紛方面擁有豐富的經驗。他也是生物辨識資料隱私合規性和最佳實踐—第一篇也是唯一提供生物辨識隱私法綜合綱要的長篇論文。您可以透過 [email protected] 聯繫他。您也可以在 X 上關注 David:@DavidJOberly。
免責聲明:生物辨識更新的產業見解是提交的內容。本文所表達的觀點是作者的觀點,不一定反映 Biometric Update 的觀點。
文章主題
|||||||
