戴维·J·奥伯利(David J. Oberly)和妮可·布伦纳(Nicole D. Brenner)*
也许您的公司正在考虑将视网膜扫描用于员工建筑访问。也许它已经在使用指纹进行计时。两者都属于生物识别技术的伞 - 可衡量的人类生物学和行为特征,用于识别和验证目的。所有行业的公司继续增加对生物识别数据的依赖,这些数据带来了无数的好处 - 包括增加便利性,提高效率,增强安全性以及增强消费者的体验,仅举几例。
然而,重要的是,与其他形式的个人信息不同,一旦生物识别数据受到损害,个人就没有追索权,并且会大大增加识别盗用的风险。同样,收集,处理和存储生物识别数据而不完全遵守法律所带来的威胁也同样严重。
因此,在采用任何类型的生物识别解决方案之前,公司应了解当前的法律格局和相关风险,以有效减轻潜在的责任。此外,在牢固地了解手头的土地的情况下,该公司应加强其当前的隐私合规计划,以确保持续,持续遵守当今的法律拼凑而成的法律,该法律管理和使用生物识别数据。
法律景观概述
尽管没有联邦法规专门规范生物识别技术的使用,但伊利诺伊州,德克萨斯州和华盛顿各自制定了自己的生物识别隐私法。鉴于伊利诺伊州生物识别信息隐私法的频率不断增加(“比帕”)集体诉讼申请,大量的墨水已经溢出,恳求严格遵守BIPA的严格要求的至关重要性。但是,关于公司如何最好地减轻在得克萨斯州捕获或使用生物识别标识符法案下的适用法律风险和责任暴露的问题要少得多(“立方体”)和华盛顿的HB 1493生物识别隐私法规。
尽管Cubi和HB 1493实现了与BIPA相同的目标,即通过对其收集和使用的需求和限制提高生物识别数据的隐私和安全性水平,但在伊利诺伊州的生物识别法规中将Cubi和HB 1493与Cubi和HB 1493分开存在几种主要差异。
评估BIPA,CUBI和HB 1493之间的差异
伊利诺伊州的比帕(Bipa)是独一无二的,与得克萨斯州和华盛顿的同行不同,因为它是当今唯一的生物识别识别法,其中包括私人行动权作为其主要执法机制。此外,仅仅是对BIPA的技术违规就足够了,让个人根据法规提出集体诉讼索赔。这导致了一系列集体诉讼的海啸,这已经持续了两年多,这没有放缓前进的迹象。
尽管得克萨斯州和华盛顿的生物识别法在许多方面模型,但公司应该了解存在重要的差异。
例如,与BIPA和HB 1493不同 - 库比不允许公司仅通过获得个人同意而披露或传播生物识别数据。取而代之的是,CUBI仅允许在四个极狭窄的情况下披露。同时,尽管BIPA的公开隐私政策要求仍然是当今集体诉讼中最常见的索赔之一,但CUBI不需要关于组织生物识别数据实践的任何类型的隐私披露。
华盛顿的法规在Bipa或Cubi中也没有几种独特的皱纹。最重要的是,HB 1493专注于生物识别数据的“注册”,而不是单纯的收集或捕获或此类数据。根据华盛顿法规,“注册”是指“捕获个人的生物识别标识符,将其转换为无法重建为原始输出图像的参考模板,并将其存储在将生物识别标识符与特定个人匹配的数据库中。”因此,根据HB 1493捕获的生物识别数据(但未转换为可以用于识别或验证个人身份)之外的降临在法规范围之外。除了入学问题外,HB 1493还离开了BIPA和CUPI,因为它不包括面部几何形状在其生物识别标识符的定义中(或该问题的法规文本的任何其他部分),因此表面上排除了HB 1493条规定的面部识别。
最近的关键发展
如上所述,与Bipa不同,CUBI和HB 1493不包含私人行动权。因此,消费者没有能力提起集体诉讼索赔,以违反得克萨斯州和华盛顿法律。
话虽如此,最近的CUBI诉讼于2022年2月提起德克萨斯州诉Meta Platform,Inc。F/K/A Facebook,Inc。- 在利用伊利诺伊州以外其他州的生物识别数据的好处时,可能会对法律违规行为产生严重的影响。在这种情况下,得克萨斯州的AG声称,元平台(当时以Facebook名称运行)被非法捕获,此后使用了数百万德克萨斯人的面部几何数据,即与该公司现已失去的“ TAG建议”功能有关,而无需先提供通知或获得同意。此外,该诉讼还声称,Meta在合理的时间内未能永久销毁用户的生物识别数据违反了CUBI。
值得注意的是元 诉讼聚焦诉讼人可能会在未来的争端中引起诉讼,以试图说服法院以极为广泛的方式来解释Cubi术语“商业目的” - 如果成功,这将大大扩大根据德克萨斯州的生物识别隐私法所规定的责任范围。在元投诉,得克萨斯州的AG也认为甚至公司的立场内部的使用生物识别数据来训练其算法并改善其产品功能是CUBI下的“商业目的”;在BIPA集体诉讼诉讼中,还可以看到类似的扩展伊利诺伊州生物识别隐私法规轮廓的尝试。
为了使事情进一步复杂化,其他司法管辖区也遵循伊利诺伊州,德克萨斯州和华盛顿的领导,通过立法生物识别技术的某些方面。例如,2021年,纽约市颁布了立法,对适用于“商业机构”的收集和使用生物识别数据施加了限制。在2022年以后,预计许多州和市议员将在2023年的立法周期中提出类似于BIPA,CUBI和HB 1493的有针对性立法。
实际合规提示
这一切都导致了一个问题:公司应采取什么措施来确保遵守当前和未来的生物识别法?企业经过良好的建议,可以评估其当前对生物识别数据的使用并实施全面的生物识别隐私合规计划,以确保灵活,适应于法律的依从性。至关重要的是,即使那些在伊利诺伊州,得克萨斯州或华盛顿不运营的公司也应该仍然意识到当前的法律/责任风险。尽管这三个州已经铺平了道路,但其他立法机关将很快效仿。特别是,公司应考虑以下内容:
- 书面通知和同意:德克萨斯州和华盛顿都要求公司提供通知并获得同意,但任何法规都没有规定任何类型的书面通知或同意要求。相反,BIPA需要以书面形式通知和同意。尽管Cubi和HB 1493在满足BIPA的这些要求方面提供了更大的灵活性,但公司仍应在可行的情况下提供通知并以书面形式获得同意。
- 最小化生物特征数据的保留:这三个法律还要求公司在有限的时间内保留生物识别数据,并在某些定义的连接处删除该数据。根据经验,当不再需要为其最初收集的初始目的而需要时,公司应永久破坏生物识别数据。
- 维护特定生物识别技术的隐私政策:Cubi和HB 1493都不要求公司维持任何类型的以生物识别的隐私披露。话虽如此,为了促进透明度,公司应保持书面公开的隐私政策,以解决其生物识别数据收集,使用,保留和破坏惯例和协议,即使法律不需要。这样一来,公司应专注于向个人提供有关公司为什么以及如何使用其敏感生物识别数据的详细信息,以便他们可以做出明智的决定,是否同意组织对生物识别技术的使用和存储。
- 采取合理的安全措施来保护生物识别数据:这三个法律要求公司维护合理的安全措施,以保护生物识别数据免于未经授权的访问,披露或收购。所有公司都应考虑在可行的加密和多因素身份验证(“ MFA”)时考虑实施两个安全协议,这两者在保护所有类型的敏感个人信息方面都非常有效。同时,只有那些对生物识别数据需要业务需求的人才能访问此类数据。
- 严格禁止从生物识别数据中获利:最后,公司应确保他们保持严格的政策,除非公司及其员工和供应商,否则从事任何生物识别数据的销售或从个人的生物识别数据中获利。
最后一句话
近年来,生物识别数据的商业收集和使用飙升。同时,立法者大大增加了制定严格的法律来规范相同数据的严格法律。企业在采用生物识别技术时应了解相关的生物识别隐私责任风险。实施有效的合规计划将有助于减轻潜在的法律风险,并确保公司保持遵守法律的遵守,而不是现在,但是随着对生物识别数据的额外法律也颁布了前进。
关于作者
大卫·J·奥伯利(David J. Oberly)是辛辛那提办公室的律师Squire Patton Boggs LLP以及该公司全球数据隐私,网络安全和数字资产实践的成员。大卫的实践专注于咨询和向客户提供有关广泛的生物识别隐私,人工智能以及数据隐私/安全合规性和风险管理事务的建议。他可以接触到[email protected]。
*SPB夏季助理妮可·布伦纳(Nicole Brenner)也为本文做出了贡献。
免责声明:生物识别更新的行业见解是提交的内容。这篇文章中表达的观点是作者的观点,不一定反映生物识别更新的观点。
文章主题
生物识别数据|生物识别剂|生物识别信息隐私法(BIPA)|生物识别技术|立方体|数据收集|数据保护|数据存储|大卫·奥伯利(David Oberly)|立法|隐私
