最近BIPA生物识别技术供应商决策的主要收获

尽管与最终用户缺乏直接关系，但迄今为止，大多数法院都认为，诸如提供通知和获得同意书特别具有挑战性的合规义务，尤其是具有挑战性的义务（伊利诺伊州生物识别信息隐私法（比帕）扩展到生物识别技术供应商，要求完全遵守伊利诺伊州的生物特征识别法规。

最近，华盛顿联邦法院拒绝了面部识别身份验证供应商驳回BIPA集体诉讼的竞标Rivera诉Amazon Web Servs。，Inc。，No.22 CV 269，2023 WL 4761481（WD Wash。7月26日，2023年）。这里维拉决定说明了供应商所谓的BIPA违规行为所面临的广泛责任暴露范围。不仅如此，该意见还提供了一些关键的收获，供应商应考虑这些意见，以最大程度地减少与所谓的BIPA违规行为相关的法律风险。

这里维拉决定

亚马逊提供了面部生物识别产品Rekognition，使客户可以在其应用程序，产品和服务中添加面部识别分析。在亚马逊的众多客户中，一家公司是一家公司，可为学生和教育设施使用其在线远程测试软件。两名学生对Proctoring Company的技术进行了多次远程测试，该技术以Rekognition对亚马逊提起诉讼，指控与BIPA第15（a）和15（b）节不合规。

亚马逊因驳回集体诉讼而采取行动。但是，法院否认被告的全部驳回动议。这样一来，法院得出结论：

原告的申诉提出了亚马逊的“拥有”和“收集”的足够指控，以避免驳回其第15（a）条和第15（b）条的要求，要求其索赔；

BIPA扩展到管理生物识别技术提供商和其他第三方供应商；
亚马逊的“未遂合规性”辩护 - 在公司中辩称，这不承担任何责任，因为它已经付出了遵守Bipa的一切可能所做的一切，但他的功绩很少。和

亚马逊的第25（c）条金融机构/GLBA豁免论点未能通过诉状阶段确定是否允许原告的主张进行进行，这是否会在违反第25（c）条的情况下对学院的要求不当地应用于学院。

生物识别技术供应商的实用收获

生物识别供应商的广泛责任暴露的持续趋势

第一个值得注意的收获里维拉裁决是法院拒绝这样的论点：BIPA不应扩展到仅在后端，服务提供商容量中服务并且与最终用户/数据主体没有直接关系的供应商收集和使用生物识别数据。

关于里维拉原告的第15（b）条特别是要求“收集”生物识别数据的公司提供通知并获得同意 - 法院驳回了亚马逊对Zellmer诉Facebook，Inc。，第1880号CV 1880，2022 WL 976981（ndCal。2022，2022年3月31日） - 法院驳回了Facebook非用户提出的BIPA第15（b）条索赔。在细胞器，法院认为，将BIPA解释为“明显是不合理的”公司“要求公司“需要向这些组织提供通知并从所有实际用途的陌生人中，向这些组织提供通知并获得同意。”

在里维拉，亚马逊辩称细胞器支持以下结论：强迫它遵守BIPA的通知和同意要求是不切实际的，因为该公司没有直接与其面部生物识别计划的最终用户进行互动。但是，法院发现细胞器可以区分，因为里维拉原告不是亚马逊的“完全陌生人”。相反，他们是通过亚马逊客户连接的。因此，对于法院来说，亚马逊可以在图像上传过程中通知他们并获得他们的同意，这是不可想象的，以这些理由的解雇是不合适的。

这里维拉法院的推理与其他法院在非用户的背景下分析了BIPA合规性方面的其他法院。例如，在Wise诉Ring LLC，第20 CV 1298，2022 WL 3083068（WD华盛顿州华盛顿州8月3日，2022年8月3日），法院驳回了被告的论点，即由于党之间缺乏任何关系，与被告没有合同关系的一类旁观者无法维持对其的可识别BIPA索赔。这明智的法院认为，缺乏任何直接关系与分析无关。相反，由于被告维护能够识别个人的系统，因此法院拒绝驳回第15（a）条，第15（b）和15（d）条，声称在该诉讼中宣称。

企图但不成功，遵守比帕，而不是辩护

另一个值得注意的收获里维拉是对亚马逊的论点的拒绝是，它对据称违反Bipa的行为不承担任何责任，因为它已经完成了遵守该法规的一切可能所做的一切。特别是，亚马逊认为，根据其服务条款，所有使用其面部生物识别计划的客户都需要提供合法的隐私通知，并从最终用户那里获得所有必要的同意。

法院裁定，亚马逊纳入了这项批准的规定，要求其客户遵守法律通常不足以履行BIPA下的法律义务。例如，法院指出，亚马逊可以对其面部生物识别解决方案进行编程，以便除非并通过其客户的界面或其他方式提供了最终用户的BIPA符合BIPA符合BIPA的同意，否则它将不运行。

这个方面里维拉强调了技术供应商（以及其他类型的公司）试图仅依靠另一方来满足自己的BIPA合规义务时面临的风险。如果供应商试图将其中一些义务推向另一方，它应该寻求确保其与其他实体的基本协议清楚地阐明了供应商有权获得全额赔偿的权利，并偿还了与其他方在其他方面不满足所有合规性要求的情况下，与诉讼有关的所有法律费用两个都另一方和供应商。供应商还应考虑将语言包括在其协议中，使他们能够审查并批准另一方准备的任何与生物识别的语言，以评估其遵守法律的水平事先的到出于合规目的进行这些材料的运行时间。

根据第25（c）条的金融机构/GLBA豁免，生物识别供应商驳回BIPA集体诉讼的挑战

最后一个值得注意的收获与法院拒绝亚马逊第25（c）第25（c）条金融机构/GLBA豁免论点有关。寻求解雇里维拉亚马逊认为，由于第25（c）条，亚马逊的行动是，由于原告的大学是“金融机构”，该公司规定，BIPA不适用于金融机构或其分支机构，因此将BIPA应用于亚马逊将具有将BIPA应用于第25条（C）（C）的实际效果。法院认为这一论点缺乏优点，并指出，如果要求亚马逊提供通知并获得同意，则可能不会干扰大学的行动。最终，法院得出结论，没有其他证据和简报的好处 - 无法解决是否允许原告的主张是否会导致违反第25（c）条，促使法院也驳回了这一论点。

这种推理与其他最近分析了第25（c）条对据称符合GLBA对“金融机构”的定义的客户的适用性的其他法院相吻合，因此，根据第25（c）条的规定，避免了责任。例如，在Davis诉Jumio Corp.，第22号CV 776，2023 WL 2019048（ndIll。2月14日，2023年2月14日），法院驳回了另一位生物识别技术供应商因对第25（c）条辩护而驳回BIPA集体诉讼的竞标。法院在这样做的过程中指出，如果没有有关客户应用程序如何运作以及供应商的身份验证软件如何集成到客户应用程序中的情况，法院将无法确定要求供应商遵守BIPA的多大程度，需要更改对客户进行业务的更改，例如，BIPA可以将BIPA视为“以任何方式应用于客户”。

里维拉和戴维斯证明供应商在诉状阶段（尤其是与第25（c）条辩护有关的案件中的BIPA课程行动提早解雇）中面临的复杂性和困难，因为法院经常得出结论，法院不允许驳回动议的其他证据是对法院对特定的金融机构/Glba豁免的适用性的确定性的确定性。

现在该怎么办

在底部，尽管有可能通过主张法律的金融机构/GLBA豁免来驳回BIPA纠纷，但里维拉说明了生物识别供应商在诉状阶段的第25（c）条豁免中的利用，并在进行极为昂贵的发现之前，经常会面对生物识别供应商的重大障碍。

话虽如此，为了更充分地减轻BIPA诉讼风险，生物识别技术供应商应考虑采用保守的方法来确保满足所有适用的BIPA要求，即使确定该公司的技术属于伊利诺伊州法律的范围。具体而言，供应商应努力维持灵活，全面的生物特征隐私计划，该计划应包括以下内容：

公共可用的，生物识别特定的隐私政策；
设置数据保留和破坏指南和时间表，其中包含对事件触发器的清晰明确的描述，这些描述将促使生物识别数据立即销毁并永久破坏；
在收集时间生物识别数据之前，向所有数据主体提供了一种确保书面通知的机制；和
确保获得书面同意的单独机制，允许小贩在获得任何此类数据之前，收集，拥有，保留，存储和传播生物识别数据。

此外，如上所述，供应商应确保与客户签订的所有合同协议都包含有关使用生物识别数据的语言，这些语言适当地根据BIPA和类似的生物识别法规分配了当事方的责任，并以最大程度的范围降低了适用的法律风险和责任。

关于作者

大卫·J·奥伯利（David J. Oberly）是华盛顿特区贝克·多尼尔森（Baker Donelson）办事处的律师，是该公司生物识别隐私，人工智能以及数据保护，隐私和网络安全实践的成员。被公认为“生物识别隐私空间中最重要的思想领袖之一”Lexisnexis，戴维的实践专注于咨询和向客户提供有关广泛的生物识别隐私，人工智能以及数据隐私/安全合规性和风险管理事项的建议。此外，戴维（David）在诉讼案公司BIPA集体诉讼方面具有深厚的经验。他也是生物数据隐私合规性和最佳实践- 同类的第一篇也是唯一的全长论文，提供了生物特征识别法的全面汇编。他可以接触到[email protected]。您可以在X上关注David@davidjoberly。

免责声明：生物识别更新的行业见解是提交的内容。这篇文章中表达的观点是作者的观点，不一定反映生物识别更新的观点。