在使用面部识别安全和监视时，如何避免成为下一个主要的BIPA集体诉讼目标

戴维·J·奥伯利（David J. Oberly），生物识别隐私与数据隐私律师

Swift，快速的进步加剧了面部识别技术的扩散，这些技术继续扩展到新的公共生活和私人生活领域。尤其是，零售商和类似商业实体越来越依赖面部识别，以进行安全/监视目的。

然而，与此同时，根据《伊利诺伊州生物识别信息隐私法》（“ BIPA”），面部识别已成为越来越受欢迎的集体诉讼目标。为了使事情进一步复杂化，许多州和国会试图制定其他严格的法律，以规范商业企业对面部识别技术的使用。

综上所述，当今使用面部识别技术的所有实体，尤其是那些将该技术用于安全和监视目的的实体 - 必须确保它们具有适当的生物识别隐私合规性实践，以避免成为可能改变游戏规则的生物识别隐私类诉讼的下一个目标。

面部识别技术解释了

面部识别技术涉及使用“生物识别技术”（IE，单个身体特征）以数字方式绘制个人的面部“几何”。然后，这些测量值用于创建一种数学公式，称为“面部模板”或“面部签名”。然后使用此存储的模板或签名来比较个人脸的物理结构，以确认其身份或独特地识别该个人。

法律景观

目前，只有三个州针对直接调节面部识别技术使用的书籍中的生物识别隐私法。

在这些法律中，伊利诺伊州的比帕被认为是最严格的。在BIPA下，私人实体将无需先提供通知，获得书面同意并进行某些披露，就无法收集或存储面部模板数据。 Bipa为在业务中利用面部认可的公司创造了实质性的责任。这种风险主要是因为BIPA下的法定损害赔偿（每次违规）介于1,000美元至5,000美元之间，即使在没有持续实际损害或损害的情况下也可以追求。

作为Bipa构成的巨大责任的一个例子，Facebook只是最近定居BIPA的重大诉讼涉及使用面部识别技术的惊人$ 650百万- 但只有在法官拒绝Facebook最初的5.5亿美元提议之后。

除了伊利诺伊州，得克萨斯州和华盛顿之外，还制定了涵盖面部识别技术的生物识别隐私法，该法律征得了与通知，同意和强制性安全措施有关的类似要求。

此外，目前，许多州目前正在尝试制定自己的生物识别隐私立法，这将扩大类似BIPA的通知，同意和安全要求，并向该国其他地区扩大。

重要的是，许多此类法案的范围远远超出了BIPA的范围，并且会施加其他要求，例如规定的预部预科测试和定期员工培训，并允许第三方对该技术进行测试。

同时，联邦立法者还将面部认可作为全国监管的主要重点，这将在全国范围内对技术的使用提出统一的要求。

最近，在2020年8月，参议员杰夫·默克利（D-OR）和伯尼·桑德斯（D-OR）和伯尼·桑德斯（I-VT）介绍了2020年的《国家生物识别信息隐私法》（S.4400），该法对与比帕（Bipa）从海岸到海岸相似的面部识别技术（和其他形式的生物特征）对使用面部识别技术（和其他形式的生物特征）提出了要求。

其他挑战和风险

话虽如此，与面部识别技术相关的当前（和未来）挑战不仅限于重大的法律责任敞口。

面部识别最近在与该技术相关的潜在准确性和偏见问题上获得了大量的负面媒体报道。特别令人担忧的是，当今的技术在识别有色人种和女性的人方面的准确程度要少得多，从而造成了对少数群体的错误识别的增强风险。

面部识别还获得了大量的负面宣传，这是由于该技术的有争议用途。在2020年初，关于面部识别创业的实践的新闻爆发了Clearview AI，该数据库建立了全球数百万个人的面部模板的大规模数据库，然后将其数据库的访问权限卖给了执法部门和私人实体。

最近，Rite Aid是由于其在全国200多家商店中为安全/监视目的部署面部识别技术的实践而成为全国头条新闻，其中大多数是在低收入社区中发现的。

综上所述，很明显，在可预见的将来，利用面部识别软件进行安全/监视目的的公司将在严格的审查中受到重大审查。

新的重大生物识别类诉讼诉讼目标

迄今为止，BIPA集体诉讼的主要重点是雇主使用生物识别指纹读取器来进行时间和出勤目的。然而，最近，原告律师的雷达出现了一个新的BIPA目标：使用面部识别的公司出于安全和监视目的。

例如，Lowe和Home Depot是针对BIPA集体诉讼的目标，这些诉讼是由于将面部识别技术用作店内预防损失监视系统的一部分而引起的。

毫不奇怪，Clearview AI在一系列BIPA投诉中被命名，其开发和销售是其监视数据库。国家零售商梅西百货（Macy's）在BIPA集体诉讼中也被命名，该诉讼是由于使用Clearview AI的数据库，也是用于监视和安全目的。

最近，克罗格（Kroger）通过使用位于伊利诺伊州马里亚诺（Illinois Mariano）位置的监视摄像机，发现自己的顾客和员工的面部模板数据收集到了BIPA集体诉讼的接收端。

合规提示

由于与使用面部识别技术相关的责任暴露迅速增加，即将在将来使用该技术或正在考虑这样做的公司（即使此时不受任何法规的约束），也不要等到通过新法律通过；取而代之的是，他们现在应该采取平权行动，以制定适当的适应性合规计划，以确保持续遵守面部识别法规。

幸运的是，公司可以采取多个可行的步骤，以满足其法律义务的方式有效利用面部识别技术。特别是，公司应考虑以下内容：

•准确性和偏见测试：由于面部识别软件可以产生以损害特定种族和种族群体的方式产生偏见的结果，因此应完成对面部识别技术的预部部署测试，以确保其在实时情况下使用之前的有效性和准确性。

•隐私政策：制定公共可用，详细的面部识别特定隐私政策，其中包括最少的通知，即正在收集面部模板数据，以及有关使用面部模板数据的目的以及公司的时间表和准则，以保留此数据和销毁该数据的目的。

•书面通知：提供书面通知（以收集任何面部模板数据的时间）清楚地告知个人，该公司正在收集，使用和/或存储面部模板数据；该数据将如何使用和/或共享；以及公司保留数据的时间长度，直到被销毁为止。

•书面版本：在收集任何面部模板数据之前，请从所有个人中获取签名的书面发布/同意书，以允许公司收集/使用个人的生物识别数据，并将数据泄露给第三方以进行业务目的。

•选择退出：允许个人选择退出面部模板数据的收集。

•数据安全：维护数据安全指标，以保护面部模板数据，该数据满足适用于公司给定行业的合理护理标准，并以与公司保护其他形式的敏感个人信息的方式相同或更具保护的方式保护面部模板数据。

•明确禁止用于歧视目的的技术：维护明确的政策，严格禁止员工，承包商或供应商使用面部识别技术，以非法歧视个人或个人群体。

结论

面部识别技术已以多种不同的方式显着增强了所有行业的业务运营，包括在安全/身份欺诈方面；访问和身份验证；以及对帐户和服务的可访问性。

同时，这项技术已成为生物识别隐私集体诉讼的越来越频繁的目标，使企业承担了巨大的潜在法律责任。向前迈进，责任范围的范围只会随着额外的州和华盛顿特区寻求对面部生物识别技术的使用施加更大的监管。

因此，将面部识别技术纳入其安全/监视目的或打算在将来这样做的公司（即使在当前没有适用法规的司法管辖区，也应该采取主动采取的主动措施来制定和实施面部识别生物特工计划，以涵盖上述原则和实践。

关于作者

大卫·J·奥伯利（David J. Oberly）是Squire Patton Boggs LLP辛辛那提办事处的律师，并且是该公司全球数据隐私，网络安全和数字资产实践的成员。戴维（David）是利用生物识别技术在运营中使用生物识别技术的公司的首选法律顾问，以当今适用的法律和监管合规义务全方位，并帮助公司导航不断发展的生物识别法律法律环境，以确保合规性和减轻风险。大卫还拥有丰富的经验和专业知识，可以在高风险，高曝光生物识别类诉讼中为所有行业的公司辩护，并具有丰富的经验和专业知识比帕特别是集体诉讼。此外，戴维还向公司提供有关在当今高数字世界中运营时出现的其他隐私，安全和数据保护问题的广泛建议。可以通过[email protected]与他联系。

免责声明：生物识别更新的行业见解是提交的内容。这篇文章中表达的观点是作者的观点，不一定反映生物识别更新的观点。