这是Jennifer J. Daniels,Jeffrey N. Rosenthal和David J. Oberly的访客帖子空白的罗马有限责任公司。
2020年3月底,纽约停止黑客攻击的最后部分并改善了电子数据安全处理法(“ Shield Act”)生效。 《盾牌法》在与纽约有联系的各种公司中实施了新的强制性数据安全制度,同时也扩大了该州数据泄露通知法的范围。
值得注意的是,法律直接暗示了任何收集或使用纽约居民生物识别数据的实体,即使该业务没有在州内维护任何业务。此外,《盾牌法案》还举例说明了州立法机构不断增加的意愿,以在有针对性的,重点的生物识别隐私法规之外寻找其他方式,以增加监管要求和对使用生物识别数据的限制 - Further强调了确保实体生物识别的合规计划与快速结束的法律范围的加快速度相关的重要性。
扩展范围
《盾牌法》的第一个关键方面是其广泛的范围。该法案包括广泛的个人信息,包括生物识别数据。该法律还扩展到所有收集或使用纽约居民个人数据的企业,而没有这些实体是否实际在该州开展业务。
综上所述,《盾牌法》不仅会影响纽约的公司,而且还利用了纽约人的生物识别数据。
数据安全
《盾牌法》的第二个关键方面(可能是最值得注意的)是,它对收集或使用至少一位纽约居民的生物识别数据的所有公司施加了新的数据安全要求。根据法律,涵盖的实体必须“开发,实施和维护合理的保障措施,以保护私人信息的安全,机密性和完整性,包括但不限于处理数据的处置。”该法律不要求特定的保障措施,而是提供了几个被视为合理保障措施的安全措施的例子。
《盾牌法》的这一方面代表了州级立法者的趋势,旨在要求公司处理敏感生物识别数据以加强/加强其数据安全实践。纽约是采用合理安全要求的第五个州,而仅在目标生物特征识别法规的背景下进行的第二个州。
鉴于对数据泄露的普遍性的认识提高,并且对保护生物识别数据受到保护的兴趣越来越浓厚,因此数据安全要求(例如涵盖指纹,面部几何形状和其他形式的生物识别数据)的数据安全要求可能会在其他州制定。特别是,这些新的目标数据安全要求通过加利福尼亚州对生物识别数据(VIA)施加了合理的安全措施,即2018年的《加利福尼亚州消费者隐私法》(“ CCPA”) - 纽约可能会加速那些尚未实施涵盖生物术法的重点数据安全法的人,这些州尚未实施该法律,以实施类似的本质。
由于这种不断增长的趋势,因此必须开发全面的数据安全计划,将强大的安全保障措施整合到其业务的所有方面。特别是,要遵守《盾牌法》的安全要求,公司应考虑实施以下做法:
- 指定一个或多个员工来管理和监督公司的生物识别数据安全计划。
- 执行定期风险评估和渗透测试,以确定公司所拥有的个人数据的主要风险和脆弱性,并对组织的信息安全计划实施任何必要的修改,以最大程度地减少恶意黑客利用这些漏洞的这些风险。
- 为所有员工完成强制性的网络安全意识培训。
- 确保适当的尽职调查和审查所有处理公司数据的服务提供商,以及在所有服务提供商协议中包含必要的合同语言,以确保对生物识别数据得到充分保护。
- 维护严格的密码保护策略。
- 确保在静止和运输过程中对所有公司数据进行加密。
- 利用强大的防火墙和防病毒保护。
- 实施网络安全监控工具,以识别和检测未经授权的数据访问,未遂网络攻击以及其他恶意行为。
- 实施适当的数据保留和破坏政策。
数据泄露通知
最后,《盾牌法》还扩大了该州现有的违规通知法的范围。
根据《盾牌法》,企业必须向纽约的所有居民披露任何数据泄露,他们的私人信息已被合理地被收购甚至是访问没有授权的人。还必须向纽约总检察长,国务院和州警察发出通知,以及发送给受影响个人的通知模板。在违规会影响5,000多名纽约居民的情况下,违规受害者还必须向消费者报告机构提供通知。
《盾牌法》的这一方面举例说明了立法者试图增加对生物识别数据的监管的主要方式之一,通过扩大隐私法的范围,包括生物识别数据以及触发违规通知义务的情况。尽管各州一直在修改其一段时间以包含生物识别数据的违规通知法,但执行这些修正案的速度已大大提高,而加利福尼亚州,哥伦比亚特区,缅因州,缅因州和佛蒙特州都在过去的一年中都这样做。展望未来,许多其他州可能会修改其违规通知法规,以对生物识别数据施加类似的要求,从而大大提高了合规性义务。
为了防止这些新的违规通知义务增加的暴露量,使用生物识别数据的公司应进行数据映射和库存练习,以了解其收集,使用和存储的生物识别数据,这转弯可以帮助开发有效的防御机制来保护此敏感数据。公司还应审查其违规事件响应计划,并进行必要的更改,以确保满足《 Shield Act》的违规通知要求。
执法
执行《盾牌法》的权力仅在纽约总检察长。发现违反《盾牌法》的违反通知条款的企业可能对有权收到通知的个人造成的实际损害责任,如果未根据法律提供通知。
此外,发现已承诺认识或鲁ck违规行为的企业可能会受到罚款的罚款,较大的$ 5,000或每个失败通知的$ 20,只要后者不超过25万美元。被认为违反法律合理安全要求的企业可能对每次违规最高5,000美元的民事罚款承担责任。
即使在没有私人诉讼权的情况下,集体诉讼的风险仍然存在
尽管缺乏法定的私人诉讼权,但《盾牌法》仍然构成了针对不遵守规定的民用诉讼诉讼的真正风险。 2018年最近制定的《加州消费者隐私法》(“ CCPA”)在实践中提供了这一理论的一个很好的例子。
尽管CCPA仅提供适用于非常狭窄的数据泄露事件的有限私人诉讼权,但原告及其律师毫不浪费时间就没有与任何类型的安全事件无关的违反CCPA的集体诉讼提起一波集体诉讼。许多此类诉讼没有直接在CCPA下主张诉讼原因。取而代之的是,他们将CCPA用作加利福尼亚对原告友好不公平竞争法(“ UCL”)的诉讼原因的谓词。反过来,加利福尼亚UCL禁止从事“非法,不公平或欺诈性”的商业惯例,并允许原告“借用”对其他法规(例如CCPA)的“借用”,例如在UCL下宣称“非法”实践索赔。
关于《盾牌法》也存在类似的关注。就像加利福尼亚诉讼人试图使用CCPA作为加利福尼亚UCL诉讼的基础一样,纽约的诉讼人很可能会尝试将他们的帮助作为根据纽约消费者保护法采取行动的谓语。尤其有可能的是,《盾牌法》明确规定违反法律的某些部分被“视为”违反纽约的欺骗性贸易惯例法,其中包括其自己的私人行动权提供。
尽管根据《盾牌法》规定扩大责任范围的尝试最终可能会失败,但针对集体诉讼的那些企业将在捍卫这项诉讼时产生巨大的诉讼成本,进一步提高了严格遵守纽约的新数据泄露/数据保护规定的重要性。
要点
《盾牌法》只是围绕整个国家制定的许多新隐私和安全法之一,旨在增加对生物识别措施实践的监管,并增强此类生物识别数据的隐私/安全性。 《盾牌法》代表了立法者对生物识别数据的使用和收集对更强大的法规的增长趋势,这强调了公司必须在确保其生物识别习惯与生物识别隐私法的快速变化的景观中加快速度。
尽管立法者迄今为止的努力主要集中于以伊利诺伊州著名生物识别信息隐私法(“ BIPA”)为仿制的有针对性的生物识别隐私法规(“ BIPA”),但《 Shield Act》表明,立法者还将如何在未来几个月和几年内将其他方式强加于对生物量表的要求和限制。尽管纽约是最早对生物识别数据施加数据安全要求的州之一,但这肯定不是最后一个。
综上所述,无论位置如何,使用生物识别数据用于商业目的的公司应采取积极的步骤来审查和评估其当前的数据泄露通知实践和事件响应计划以及当前的数据安全计划。这还包括需要更新此类计划和政策以遵守《盾牌法》规定的框架,随着其他州在不久的将来实施相同或基本相似的要求,这将变得越来越普遍。
关于作者
詹妮弗·J·丹尼尔斯(Jennifer J. Daniels)是空白的罗马有限责任公司以及该公司网络安全和数据隐私实践小组的主席。
Jeffrey N. Rosenthal是Blank Rome LLP的合伙人。他将自己复杂的公司诉讼实践集中在消费者和隐私类诉讼防御上,并定期出版和礼物就集体诉讼趋势,律师道德和社交媒体法。
David J. Oberly是Blank Rome LLP辛辛那提办事处的律师,并且是该公司网络安全与数据隐私和隐私类诉讼辩护小组的成员。大卫的实践涵盖了咨询和建议,就各种网络安全,数据隐私和生物识别隐私事项,以及代表客户捍卫隐私和生物识别隐私类诉讼诉讼。
免责声明:生物识别更新的行业见解是提交的内容。这篇文章中表达的观点是作者的观点,不一定反映生物识别更新的观点。
