可穿戴设备在消费圈中很常见,并且在医疗保健等商业应用中增长。这种转变在很大程度上是积极的,因为这些设备可以扩大医疗访问,跟踪员工安全,并为用户提供更多控制其健康和健康的控制。但是,所有这些数据收集也带有黑暗的一面。
作为可穿戴市场增长,运行这些小工具的公司将产生比以往更多的消费数据。其中包括重要的生物识别信息,例如心率,体温,血氧水平和睡眠活动。许多设备也可以从用户手机中访问生物识别数据,包括面部识别或指纹识别。
如此庞大的信息自然会产生更高的网络安全风险。数据隐私法律同样有所增加 - 至少40个州至少仅在2023年就考虑过它们 - 但是这些措施足够了吗?
当今可穿戴数据安全法规的状态
根据行业,最终使用和位置,可穿戴设备可能属于许多法规。医疗智能设备的面临比大多数人更大,主要是因为《健康保险可移植性和问责制》(HIPAA)及其对更多生物识别标记的依赖。尽管这些物品的制造商不在HIPAA管辖范围之外,但该代码仍然适用于医院和类似实体如何使用它们生成的数据。
HIPAA要求获得用户同意共享健康数据(包括生物识别技术),并且需要“合理的安全保护”以及这些防御措施的文档。 FTC的保障规则对金融机构也有类似的要求。其中包括实现访问控件,对客户数据(例如指纹或面部识别)的加密和多因素身份验证(MFA)。
一些特定地区的法律提供了其他保护。这加利福尼亚州消费者隐私法(CCPA)允许加州用户选择退出数据收集,查看信息公司收集的内容并要求其删除。欧洲的一般数据保护法规(GDPR)也有类似的准则。该立法并不专门针对可穿戴的生物识别数据,但它确实限制了组织如何使用它。
同样,无论是否来自可穿戴,都有针对生物识别数据的州特定法规。伊利诺伊州生物识别信息隐私法(BIPA)是一个很好的例子。本法律要求用户同意收集生物识别标识符,发布强制性删除政策,并在将此类信息确保在存储和运输中确保此类信息时要求“合理的护理标准”。华盛顿和德克萨斯州也有类似的代码,并且至少其他12个州提出了生物识别账单。
FCC的IoT网络安全标签程序也值得注意。这个自愿框架需要物联网设备(包括可穿戴设备)来满足数据隐私,访问控件和安全更新以获得认证的标准。它可能不是强制性的,但是它为标准的消费者提供了对电子产品的更多信任。
法规仍然可以改善的地方
尽管多个安全法涵盖了可穿戴设备和相关的生物识别数据,但与风险相比,当今的法规仍然不足。值得注意的是,有太多例外和概括。
例如,HIPAA和BIPA未指定什么构成“合理保护”。结果,公司可以使用过时的或不完整的安全措施,危害敏感信息,同时在技术上保持合规性。监管机构可能会发现他们有罪是事后不足,但是这些后果只有在违规发生后适用。
同样,今天的监管景观也不全面。 HIPAA适用于使用可穿戴数据但不使用制造商的卫生组织。 FTC的保障规则仅影响金融机构。州和区域法提供了增加的保护,但并不涵盖所有美国公民。即使是最可穿戴的代码(FCC标签程序)也是自愿的,因此,用户也使用户脆弱。
美国需要一项全面而特定的国家隐私法,以便其法规足以确保可穿戴生物识别安全性。国会在2022年提出了这样的法案,但是它是否会成为法律以及它可能如何改变仍然不确定。 《国家生物识别信息隐私法》也是如此,该法案涵盖了与伊利诺伊州比帕(Illinois Bipa)相似的法规,该法规是在2020年引入的。在那之前,公司及其客户必须全力以赴。
希望领先曲线的企业应实施实时违规监控,加密和严格的访问控制。最大程度地减少可穿戴数据收集也是理想的选择,因为它可以降低他们必须确保的安全性。用户可以采取步骤,例如限制使用MFA并要求删除其权利的生物识别信息。
该国的立法尚未赶上当今的安全问题。组织和消费者应该认识到这些差距,以便在使用可穿戴设备时保持安全。更加关注该问题,呼吁综合法律将在需要的地方获得可穿戴的生物识别安全性。
关于作者
杰克·肖是经验丰富的行业作家,也是Modded的高级编辑。在他的著作中,他将对健康的热情与对技术发展的专业知识相结合,以提供引人入胜的内容,这些内容引起全球爱好者的共鸣。他的著作由Epsnews,高级制造,包装摘要等出版。
文章主题
生物识别数据|生物识别剂|生物识别信息隐私法(BIPA)|生物识别技术|CCPA|数据隐私|GDPR|hipaa|立法|位置数据|可穿戴设备
