โดย David J. Oberly ทนายความความเป็นส่วนตัวและข้อมูลไบโอเมตริกซ์
ผู้ถือกรมธรรม์ขององค์กรเผชิญกับความท้าทายที่เพิ่มขึ้นในการประกันความคุ้มครองตามกฎหมายความเป็นส่วนตัวของข้อมูลไบโอเมตริกซ์ของรัฐอิลลินอยส์ () การฟ้องร้องดำเนินคดีแบบกลุ่ม โดยภาพรวมทางกฎหมายเริ่มส่งผลเสียต่อผู้ถือกรมธรรม์มากขึ้นในช่วงไม่กี่ปีที่ผ่านมา ผู้ถือกรมธรรม์ได้รับการจัดการอีกครั้งTony's Finer Foods Enters., Inc. กับผู้จัดการการจัดจำหน่ายบางรายที่ Lloyd's, London, แอป IL ปี 2024 (ที่ 1) 231712 โดยที่ศาลอุทธรณ์เขตที่ 1 ของรัฐอิลลินอยส์ตัดสินว่านโยบายความรับผิดทางไซเบอร์ไม่ได้ให้ความคุ้มครองในกรณีที่ไม่มีข้อกล่าวหาใดๆ ที่ BIPA อ้างว่าในประเด็นนั้นเกิดขึ้นจาก "การละเมิดข้อมูล" หรือ "ความล้มเหลวด้านความปลอดภัย ” และการยกเว้น "การละเมิดกฎหมาย" ของนโยบายจะห้ามไม่ให้ครอบคลุมโดยชัดแจ้ง
โทนี่แสดงให้เห็นถึงการต่อสู้ที่ยากลำบากที่ต้องเผชิญในการได้รับความคุ้มครองสำหรับข้อพิพาทประเภท BIPA และทำหน้าที่เป็นเครื่องเตือนใจสำหรับผู้ถือกรมธรรม์ให้ทบทวนกรมธรรม์ปัจจุบันของตนในเชิงรุก เพื่อกำหนดขอบเขตความคุ้มครอง และข้อยกเว้นที่อาจเกิดขึ้นก่อนพวกเขาพบว่าตนเองเป็นผู้ดำเนินคดีในการดำเนินคดีแบบกลุ่ม BIPA ในเวลาเดียวกันของโทนี่ยังเน้นย้ำถึงความจำเป็นในการปฏิบัติตาม BIPA อย่างเคร่งครัด ซึ่งสามารถช่วยเหลือผู้ถือกรมธรรม์ในการหลีกเลี่ยงปัญหาความคุ้มครองที่ยุ่งยากเหล่านี้ได้ในกรณีแรก
พื้นหลัง
อดีตพนักงานของ Tony's Finer Foods (Tony's) ซึ่งเป็นผู้ประกอบการร้านขายของชำ ได้ยื่นฟ้องในคดี BIPA class action ต่อร้านขายของชำรายดังกล่าวอันเนื่องมาจากการใช้ระบบบันทึกเวลาและการเข้างานด้วยลายนิ้วมือไบโอเมตริกซ์ อดีตพนักงานรายดังกล่าวกล่าวหาว่า Tony's ละเมิดกฎหมายไบโอเมตริกซ์ของรัฐอิลลินอยส์โดย: (1) ไม่สามารถเผยแพร่กำหนดเวลาในการลบข้อมูลไบโอเมตริกซ์อย่างถาวร; (2) ไม่ได้รับความยินยอมเป็นลายลักษณ์อักษรสำหรับการรวบรวมข้อมูลไบโอเมตริกซ์ของพนักงาน และ (3) การเปิดเผยข้อมูลไบโอเมตริกซ์ของพนักงานแก่ผู้ให้บริการเทคโนโลยีเครื่องสแกนลายนิ้วมือไบโอเมตริกซ์และบุคคลที่สามอื่นๆ ที่ไม่ใช่บริษัทในเครือ
Tony's คงไว้ซึ่งนโยบายความรับผิดทางไซเบอร์ที่ออกโดย Underwriters บางรายที่ Lloyd's, London (Lloyds) ซึ่งให้ความคุ้มครองสำหรับการสูญเสีย “อันเป็นผลมาจากการละเมิดข้อมูล ความล้มเหลวด้านความปลอดภัย หรือภัยคุกคามจากการขู่กรรโชกที่เกิดขึ้นครั้งแรกในหรือหลังข้อมูลย้อนหลัง และถูกค้นพบโดย ประกันตลอดระยะเวลากรมธรรม์” นโยบายกำหนดให้ "การละเมิดข้อมูล" หมายถึง "การได้มา การเข้าถึง หรือการเปิดเผยข้อมูลที่สามารถระบุตัวบุคคลได้หรือข้อมูลบริษัทที่เป็นความลับโดยบุคคลหรือนิติบุคคล หรือในลักษณะที่ไม่ได้รับอนุญาตจากผู้เอาประกันภัย" และ "ความล้มเหลวด้านความปลอดภัย" ตาม “ความล้มเหลวใดๆ โดยผู้เอาประกันภัยหรือบุคคลอื่นในนามของผู้เอาประกันภัย (รวมถึงผู้รับเหมาช่วง ผู้เอาประกันภัย หรือผู้รับจ้างอิสระของผู้เอาประกันภัย) ในการรักษาความปลอดภัยระบบคอมพิวเตอร์ของผู้เอาประกันภัย”
นอกจากนี้ นโยบายดังกล่าวยังมีข้อยกเว้นการละเมิดกฎหมายที่เกี่ยวข้องกับ “ที่เกิดขึ้นจริงหรือถูกกล่าวหา: (ก) การรวบรวมข้อมูลโดยผู้เอาประกันภัย (หรือในนามของผู้เอาประกันภัย) โดยไม่ได้รับความรู้หรือได้รับอนุญาตจากบุคคลที่เกี่ยวข้องกับข้อมูลดังกล่าว ; หรือ (b) การใช้ข้อมูลที่สามารถระบุตัวตนส่วนบุคคลโดยผู้เอาประกันภัย (หรือบุคคลอื่นในนามของผู้เอาประกันภัย) ในการละเมิดกฎหมาย”
หลังจากที่ลอยด์ปฏิเสธการรายงานข่าว โทนี่ส์ได้ยื่นคำพิพากษาโดยเปิดเผย และทุกฝ่ายได้ยื่นคำร้องเพื่อขอคำพิพากษาโดยสรุป ศาลให้คำพิพากษาโดยสรุปแก่ Tony's โดยถือว่า Lloyd's มีหน้าที่ต่อสู้คดี เนื่องจากข้อกล่าวหาในการดำเนินการ BIPA ที่เกี่ยวข้องอาจอยู่ภายใต้ความคุ้มครองของนโยบายสำหรับการสูญเสียอันเป็นผลจาก "การละเมิดข้อมูล ความล้มเหลวด้านความปลอดภัย หรือการคุกคามจากการขู่กรรโชก" ลอยด์ยื่นอุทธรณ์
การตัดสินใจ
ศาลอุทธรณ์เขตที่ 1 กลับคำ โดยถือว่าลอยด์ไม่มีหน้าที่แก้ต่าง ศาลให้เหตุผลว่าข้อกล่าวหาเบื้องหลังไม่ถือเป็น “การละเมิดข้อมูล” เนื่องจากการร้องเรียน BIPA ไม่มีข้อกล่าวหาใดๆ ที่บุคคลที่สามได้รับข้อมูลไบโอเมตริกซ์ของพนักงานโดยไม่ได้รับอนุญาตจาก Tony ในทางตรงกันข้าม การร้องเรียนที่ถูกกล่าวหาว่า Tony's เองได้รวบรวม จัดเก็บ ใช้ และเผยแพร่ข้อมูลไบโอเมตริกซ์ของพนักงาน ศาลให้เหตุผลเพิ่มเติมว่าข้อกล่าวหาเบื้องหลังไม่ถือเป็น “เหตุการณ์ด้านความปลอดภัย” เนื่องจากการร้องเรียนไม่มีข้อกล่าวหาใดๆ ว่า Tony's ล้มเหลวในการรักษาความปลอดภัยระบบคอมพิวเตอร์ของตน แต่การร้องเรียนกลับเงียบไปในประเด็นนี้ ศาลถือว่าความคุ้มครองดังกล่าวไม่มีอยู่ภายใต้นโยบายความรับผิดทางไซเบอร์
นอกจากนี้ ศาลยังถือว่าการยกเว้นการละเมิดกฎหมายของนโยบายความรับผิดในโลกไซเบอร์ ซึ่งใช้ได้กับ "การรวบรวมข้อมูล - - โดยไม่ได้รับความรู้หรือการอนุญาตจากบุคคลที่ข้อมูลดังกล่าวเกี่ยวข้อง”—อธิบายข้อกล่าวหาอย่างแม่นยำในข้อพิพาท BIPA ที่เป็นสาระสำคัญ และด้วยเหตุนี้จึง “นำไปใช้อย่างชัดเจน” เพื่อระงับการรายงานข่าวโดยอิสระ
ความไม่แน่นอนที่สำคัญในการประกันความคุ้มครองสำหรับการดำเนินการในชั้นเรียน BIPA
ของโทนี่ไม่ใช่การตัดสินใจครั้งแรกที่พบว่าการเรียกร้อง BIPA อยู่นอกขอบเขตความคุ้มครองภายใต้นโยบายความรับผิดทางไซเบอร์ ตัวอย่างเช่นในRemprex, LLC กับผู้จัดการการจัดจำหน่ายบางรายที่ Lloyd's London, แอป IL ปี 2023 (1) 211097 ศาลอุทธรณ์ของรัฐอิลลินอยส์ตัดสินว่าบริษัทประกันภัยไม่มีหน้าที่ปกป้องการดำเนินคดีแบบกลุ่ม BIPA ภายใต้นโยบายความรับผิดทางไซเบอร์ โดยที่การร้องเรียน BIPA ไม่มีข้อกล่าวหาว่าบุคคลที่สามที่ไม่ได้รับอนุญาตเข้าถึงข้อมูลส่วนบุคคลของบุคคล และ แบ่งปันกับสาธารณะ การร้องเรียนเพียงกล่าวหาว่าผู้ประกันตนมีส่วนร่วมในการเก็บรวบรวมข้อมูลส่วนบุคคลของบุคคลเหล่านั้นโดยไม่ได้รับอนุญาตโดยไม่ได้รับความยินยอม ซึ่งเป็นการละเมิดกฎหมายอิลลินอยส์
นอกจากนี้ ศาลอื่นๆ ยังพบว่ามีข้อยกเว้นสำหรับการละเมิดกฎหมายที่คล้ายกับข้อยกเว้นที่เป็นประเด็นด้วยของโทนี่เพื่อระงับความคุ้มครองสำหรับข้อพิพาทการดำเนินคดีแบบกลุ่ม BIPAดู เช่น Nat'l Fire Ins บริษัท Hartford และ Continental Ins บจก.วิชวลแพค บจก., แอป IL ปี 2023 (ที่ 1) 221160;เวสต์ฟิลด์อินส์ Co. กับ Ucal Sys., Inc., เลขที่ 21 CV 3227, 2024 US Dist. LEXIS 138237 (ND Ill. 5 ส.ค. 2024)
จากที่กล่าวไว้ ศาลบางแห่งที่พิจารณาภาษานโยบายเดียวกันก็มาถึงตรงข้ามบทสรุป,เช่นการยกเว้นการละเมิดกฎหมายนั้นทำไม่ความครอบคลุมของบาร์สำหรับคดีฟ้องร้องแบบกลุ่ม BIPAโปรดดูเช่น Thermoflex Waukegan, LLC กับ Mitsui Sumitomo Ins สหรัฐอเมริกาอิงค์, เลขที่ 21 CV 788, 2023 US Dist. LEXIS 9282 ที่ *5-7 (ND Ill. 19 มกราคม 2023);พลเมือง บริษัท แอม. v. บริษัทไฮแลนด์เบกิ้ง จำกัด, เลขที่ 20 CV 4997, 2022 US Dist. LEXIS 74280 ที่ *1 (ND Ill. 29 มี.ค. 2022)
เคล็ดลับและกลยุทธ์การปฏิบัติ
การตรวจสอบความคุ้มครองประกันภัยที่ครอบคลุม
ด้วยความเสียหายที่เกินขนาดที่เกิดขึ้นจากการดำเนินคดีแบบกลุ่ม BIPA บริษัทประกันภัยได้ดำเนินการรณรงค์เชิงรุกเพื่อป้องกันไม่ให้ผู้ถือกรมธรรม์ได้รับความคุ้มครองในชุดที่มีความเสี่ยงสูงเหล่านี้ ศูนย์กลางของการรณรงค์นี้คือความพยายามของบริษัทประกันในการจำกัดความคุ้มครองโดยการโต้แย้งว่าข้อยกเว้นต่างๆ หลายประการ รวมถึงการยกเว้นการละเมิดกฎหมายที่กล่าวถึงข้างต้น ความคุ้มครองสำหรับการเรียกร้อง BIPA เรื่องที่ซับซ้อนเพิ่มเติมและระบุไว้ข้างต้น ศาลได้กล่าวถึงความคุ้มครองสำหรับชุด BIPA ที่เกี่ยวข้องแตกต่างกัน ซึ่งนำไปสู่ความไม่แน่นอนที่สำคัญเกี่ยวกับการบังคับใช้ของความคุ้มครองสำหรับการดำเนินคดีที่เกี่ยวข้องกับการอ้างว่าไม่ปฏิบัติตามกฎหมายไบโอเมตริกซ์ของรัฐอิลลินอยส์
ด้วยเดิมพันที่สูงมาก ผู้ถือกรมธรรม์ควรพิจารณาปรึกษากับที่ปรึกษาด้านชีวมาตรภายนอกที่มีประสบการณ์ เพื่อทบทวนและประเมินกรมธรรม์ประกันภัยทั้งหมดอย่างรอบคอบซึ่งอาจเกิดจากการเรียกร้องของ BIPA รวมถึงความรับผิดทางไซเบอร์ ความรับผิดทั่วไปในเชิงพาณิชย์ (CGL) ความรับผิดในการจ้างงาน กรรมการ และความรับผิดของเจ้าหน้าที่ ข้อผิดพลาดและการละเว้น และความคุ้มครองพิเศษอื่น ๆ สำหรับภาษาที่ยกเว้นหรือประเด็นอื่น ๆ ที่อาจนำเสนอความท้าทายที่อาจเกิดขึ้นในการได้รับความคุ้มครองที่เกี่ยวข้องกับข้อพิพาทในชั้นเรียนของ BIPA
ในเวลาเดียวกัน เมื่อพิจารณาถึงความเสี่ยงและความเสี่ยงที่สำคัญที่เกี่ยวข้องกับการดำเนินคดี BIPA บริษัทต่างๆ อาจพิจารณารับความคุ้มครองเพิ่มเติมที่ออกแบบมาโดยเฉพาะเพื่อให้ความคุ้มครองสำหรับการเรียกร้อง BIPA นโยบายพิเศษเพิ่มเติมเหล่านี้สามารถให้ความคุ้มครองเพิ่มเติมแก่ผู้ถือกรมธรรม์ในกรณีที่ความรับผิดทางไซเบอร์ที่มีมาตรฐานมากกว่าหรือนโยบาย CGL ไม่สามารถให้ความคุ้มครองได้
รักษาการปฏิบัติตาม BIPA อย่างเคร่งครัดและต่อเนื่อง
เพื่อหลีกเลี่ยงความท้าทายและหลุมพรางที่อาจเกิดขึ้นซึ่งเกี่ยวข้องกับความคุ้มครองประกันภัยในบริบทของข้อพิพาทในการดำเนินคดีแบบกลุ่ม BIPA บริษัทควรให้ความสำคัญเป็นอันดับแรกเพื่อให้แน่ใจว่ามีการปฏิบัติตามกฎหมายไบโอเมตริกซ์ของรัฐอิลลินอยส์อย่างเคร่งครัด บริษัทควรพิจารณาทบทวนโปรแกรมการปฏิบัติตามข้อกำหนดด้านชีวมาตรปัจจุบันของตนเพื่อให้แน่ใจว่าสอดคล้องกับภาระผูกพันทางกฎหมายหลักของ BIPA ซึ่งรวมถึง:
- นโยบายความเป็นส่วนตัว.นโยบายความเป็นส่วนตัวที่เป็นลายลักษณ์อักษรและเปิดเผยต่อสาธารณะจะต้องได้รับการดูแล โดยมีกำหนดการเก็บรักษาข้อมูลของบริษัทและแนวทางปฏิบัติสำหรับการลบข้อมูลชีวมาตรอย่างถาวรภายในข้อจำกัดด้านเวลาที่เกี่ยวข้องของ BIPA เป็นอย่างน้อย
- การเก็บรักษาและการทำลายข้อมูลข้อมูลไบโอเมตริกซ์จะต้องถูกลบอย่างถาวรก่อนเวลาดังต่อไปนี้: (1) เมื่อบรรลุวัตถุประสงค์เริ่มแรกในการรวบรวมข้อมูลไบโอเมตริกซ์; หรือ (2) ภายในสามปีนับจากการปฏิสัมพันธ์ครั้งสุดท้ายของบุคคลกับบริษัท
- ประกาศเป็นลายลักษณ์อักษรต้องแจ้งเป็นลายลักษณ์อักษรให้กับเจ้าของข้อมูลก่อนถึงเวลารวบรวมข้อมูลไบโอเมตริกซ์ และต้องมี: (1) ประกาศว่ามีการรวบรวมข้อมูลไบโอเมตริกซ์; (2) วัตถุประสงค์เฉพาะที่จะใช้ข้อมูลไบโอเมตริกซ์ และ (3) ระยะเวลาที่ข้อมูลไบโอเมตริกซ์จะถูกเก็บไว้ก่อนที่จะถูกลบอย่างถาวร
- ความยินยอมเป็นลายลักษณ์อักษรต้องได้รับความยินยอมเป็นลายลักษณ์อักษรจากเจ้าของข้อมูลก่อนที่จะรวบรวมข้อมูลไบโอเมตริกซ์ โดยอนุญาตให้บริษัท: (1) รวบรวมและใช้ข้อมูลไบโอเมตริกซ์; และ (2)เปิดเผย หรือแบ่งปันข้อมูลไบโอเมตริกซ์กับบุคคลที่สาม
- ข้อจำกัดในการเปิดเผยข้อมูลในกรณีที่ไม่ได้รับความยินยอม ข้อมูลไบโอเมตริกซ์จะไม่สามารถเปิดเผยหรือแบ่งปันกับบุคคลที่สามได้ เว้นแต่การเปิดเผยดังกล่าวจะเป็นไปตามข้อยกเว้นแคบๆ หนึ่งในสามที่อนุญาตให้มีการเปิดเผยดังกล่าว
- ข้อห้ามในการทำธุรกรรมข้อมูลไบโอเมตริกซ์จะต้องไม่ถูกขาย ให้เช่า หรือใช้ในลักษณะที่สามารถตีความได้ว่าเป็น "การทำกำไรจาก" ข้อมูลไบโอเมตริกซ์
- ความปลอดภัยของข้อมูลข้อมูลไบโอเมตริกซ์จะต้องได้รับการจัดเก็บ ส่ง และป้องกันจากการเปิดเผย: (1) ใช้มาตรฐานการดูแลที่เหมาะสมกับอุตสาหกรรมของบริษัท; และ (2) ในลักษณะที่เหมือนกับหรือป้องกันมากกว่าลักษณะที่บริษัทจัดเก็บ ส่ง และปกป้องข้อมูลที่เป็นความลับและละเอียดอ่อนในรูปแบบอื่น ๆ
เกี่ยวกับผู้เขียน
David J. Oberly เป็นที่ปรึกษาในสำนักงาน Baker Donelson ในกรุงวอชิงตัน ดี.ซี. และเป็นผู้นำฝ่ายปฏิบัติการด้านชีวมิติของบริษัทโดยเฉพาะ ได้รับการยอมรับว่าเป็น "หนึ่งในผู้นำทางความคิดที่สำคัญที่สุดของประเทศในด้านความเป็นส่วนตัวแบบไบโอเมตริกซ์" โดยเล็กซิสเนซิสแนวทางปฏิบัติของ David มุ่งเน้นไปที่การให้คำปรึกษาและการให้คำปรึกษาแก่ลูกค้าเกี่ยวกับความเป็นส่วนตัวด้านไบโอเมตริกซ์ ปัญญาประดิษฐ์ และความเป็นส่วนตัวของข้อมูล/ความปลอดภัยของข้อมูล และการบริหารความเสี่ยง นอกจากนี้ เดวิดยังมีประสบการณ์เชิงลึกในการดำเนินคดีข้อพิพาทการฟ้องคดีแบบกลุ่ม BIPA ที่วางเดิมพันกับบริษัท เขายังเป็นนักเขียนของการปฏิบัติตามข้อกำหนดความเป็นส่วนตัวของข้อมูลไบโอเมตริกซ์และแนวทางปฏิบัติที่ดีที่สุด—บทความฉบับเต็มฉบับแรกและฉบับเดียวที่ให้บทสรุปที่ครอบคลุมเกี่ยวกับกฎหมายความเป็นส่วนตัวไบโอเมตริกซ์ สามารถติดต่อได้ที่ [email protected] สามารถติดตามเดวิดได้ที่ X ได้ที่@DavidJOberly-
การปฏิเสธความรับผิด: เนื้อหาข้อมูลเชิงลึกอุตสาหกรรมของการอัปเดตไบโอเมตริกซ์ถูกส่งเข้ามา มุมมองที่แสดงในโพสต์นี้เป็นความคิดเห็นของผู้เขียน และไม่จำเป็นต้องสะท้อนถึงมุมมองของการอัปเดตไบโอเมตริกซ์
หัวข้อบทความ
-------
