作者:David J. Oberly,生物识别隐私和数据隐私律师
企业保单持有人在确保伊利诺伊州生物识别信息隐私法案的保险范围方面面临着越来越多的挑战()集体诉讼,近年来法律环境对保单持有人变得更加不利。保单持有人再次受到打击Tony's Finer Foods Enters., Inc. 诉伦敦劳合社的某些保险商, 2024 IL App (1st) 231712,伊利诺伊州第一地区上诉法院认为,在没有任何指控表明所涉 BIPA 索赔源于“数据泄露”或“安全故障”的情况下,网络责任保单不提供承保范围。 ”并且该保单的“违法”排除明确禁止承保。
托尼展示了获得 BIPA 类纠纷承保所面临的艰苦斗争,并提醒保单持有人主动审查其当前保单,以确定承保范围以及任何潜在的排除情况,前他们发现自己是 BIPA 集体诉讼的当事人。同时,托尼的还强调了严格遵守 BIPA 的必要性,这可以帮助保单持有人首先避免这些棘手的承保问题。
背景
杂货店经营者 Tony's Finer Foods (Tony's) 的一名前雇员因杂货店使用生物识别指纹考勤系统而对该杂货店提起了假定的 BIPA 集体诉讼。该前雇员声称托尼违反了伊利诺伊州的生物识别法:(1) 未公布永久删除生物识别数据的时间表; (二)收集员工生物识别资料未取得书面知情同意的; (3) 向其生物指纹扫描仪技术提供商和其他非关联第三方披露员工的生物识别数据。
托尼保留了伦敦劳合社 (Lloyds) 的某些承保人签发的网络责任保单,该保单为“因数据泄露、安全故障或勒索威胁而导致的损失提供保险,这些威胁首先发生在追溯数据之时或之后,并由在保单有效期内受保。”该保单将“数据泄露”定义为“个人或实体或以未经被保险人授权的方式获取、访问或披露个人身份信息或机密公司信息”,以及“安全故障” “被保险人或代表被保险人的其他人(包括被保险人的分包商、外包商或独立承包商)未能保护被保险人的计算机系统。”
保单中还包含一项违法排除条款,涉及“任何实际或声称的:(a) 被保险人(或代表被保险人)在不知情或未经信息相关人员许可的情况下收集信息” ; (b) 被保险人(或代表被保险人的其他人)违法使用个人身份信息。”
在劳埃德拒绝承保后,托尼提出了宣告性判决诉讼,双方提出了简易判决的交叉动议。法院对托尼公司做出了简易判决,认为劳埃德公司有义务进行辩护,因为 BIPA 诉讼中的指控可能属于该保单承保的“数据泄露、安全故障或勒索威胁”造成的损失。劳埃德提出上诉。
决定
第一地区上诉法院推翻了这一判决,认为劳合社没有辩护义务。法院认为,基本指控并不构成“数据泄露”,因为 BIPA 投诉中没有任何关于第三方未经托尼授权获取员工生物识别数据的指控。恰恰相反,潜在的投诉声称托尼公司本身收集、存储、使用和传播其员工的生物识别数据。法院进一步推断,根本指控并不构成“安全事件”,因为投诉中没有任何关于托尼未能保护其计算机系统安全的指控。相反,投诉对这个问题保持沉默。总之,法院认为网络责任政策不存在承保范围。
此外,法院还认为,网络责任政策的违法排除——适用于“信息收集”。 。 。在与此类信息相关的人不知情或未经许可的情况下”——准确地描述了潜在 BIPA 争议中的指控,因此“明确适用”独立禁止承保。
BIPA 集体诉讼保险范围的潜在不确定性
托尼的这并不是第一个发现 BIPA 声称不属于网络责任政策承保范围的决定。例如,在Remprex, LLC 诉伦敦劳合社的某些承销商, 2023 IL App (1st) 211097,伊利诺伊州上诉法院认为,保险公司没有义务根据网络责任政策为潜在的 BIPA 集体诉讼进行辩护,因为 BIPA 投诉不包含未经授权的第三方访问个人个人信息的指控,并且与公众分享。相反,投诉只是声称被保险人未经同意擅自收集这些人的个人信息,违反了伊利诺伊州法律。
此外,其他法院也发现了与上述案件类似的违法排除行为。托尼的禁止报道 BIPA 集体诉讼纠纷。参见,例如,Nat'l Fire Ins。哈特福德公司和大陆公司。 Co. 诉 Visual Pak Co., Inc., 2023 IL 应用程序(第 1 次)221160;韦斯特菲尔德Ins。 Co.诉Ucal Sys., Inc.,No. 21 CV 3227,2024 美国区。 LEXIS 138237(伊利诺伊州北卡罗来纳州,2024 年 8 月 5 日)。
尽管如此,一些考虑相同政策语言的法院已经达到了对面的结论,IE,违法排除确实不是禁止 BIPA 集体诉讼承保。例如,参见 Thermoflex Waukegan, LLC 诉 Mitsui Sumitomo Ins。美国公司,No. 21 CV 788,2023 美国区。 LEXIS 9282,*5-7(伊利诺伊州北达科他州,2023 年 1 月 19 日);公民插入。美国公司。诉高地烘焙公司,No. 20 CV 4997,2022 美国区。 LEXIS 74280,*1(伊利诺伊州北达科他州,2022 年 3 月 29 日)。
实用技巧和策略
全面的保险范围审查
由于 BIPA 集体诉讼引发的巨额损害赔偿风险,保险公司发起了一场积极的行动,阻止保单持有人在这些高风险诉讼中获得保险。这场运动的核心是保险公司试图通过主张几种不同的除外责任(包括上面讨论的违法除外责任)禁止 BIPA 索赔的承保范围来限制承保范围。更复杂的是,如上所述,法院对基本 BIPA 诉讼的承保范围的处理方式有所不同,导致涉及涉嫌不遵守伊利诺伊州生物识别法的诉讼承保范围的适用性存在重大不确定性。
由于风险如此之高,保单持有人应考虑咨询经验丰富的外部生物识别顾问,仔细审查和评估 BIPA 索赔可能引发的所有保单,包括网络责任、商业一般责任 (CGL)、雇佣实践责任、董事责任和官员的责任、错误和遗漏,以及任何其他专业承保范围——排除性语言或其他可能对确保 BIPA 集体争议相关承保范围带来潜在挑战的问题。
同时,考虑到与 BIPA 诉讼相关的重大风险和暴露,公司还可以考虑获得专门为 BIPA 索赔提供保险的补充保险。如果更标准的网络责任或 CGL 保单无法承担承保范围,这些更专业的保单可以为保单持有人提供重要的附加保护层。
严格、持续地遵守 BIPA
为了避免 BIPA 集体诉讼纠纷中与保险范围相关的潜在挑战和陷阱,公司应优先确保严格遵守伊利诺伊州生物识别法。公司应考虑审查其当前的生物识别合规计划,以确保其符合 BIPA 的核心法律义务,其中包括:
- 隐私政策。必须维护书面的、公开的隐私政策,其中至少包含公司的数据保留时间表以及在 BIPA 适用的时间限制内永久删除生物识别数据的指南。
- 数据保留和销毁。生物特征数据必须在下列情况中较早者被永久删除: (1) 当收集生物特征数据的初始目的已经满足时; (2) 个人最后一次与公司互动后三年内。
- 书面通知。必须在收集生物识别数据之前向数据主体提供书面通知,并且必须包含: (1) 正在收集生物识别数据的通知; (2) 使用生物识别数据的具体目的; (3) 生物特征数据在被永久删除之前保留的时间。
- 书面同意。在收集生物识别数据之前,必须获得数据主体的书面同意,授权公司: (1) 收集和使用生物识别数据;和(2)透露 或分享与第三方的生物识别数据。
- 披露限制。在未经同意的情况下,生物识别数据不得披露或与任何第三方共享,除非该披露满足允许此类披露的三项狭隘豁免之一。
- 交易禁止。生物识别数据不得出售、租赁或以可被解释为“从生物识别数据中获利”的方式使用。
- 数据安全。生物特征数据必须被存储、传输并防止泄露:(1) 使用适用于公司行业的合理谨慎标准; (2) 采用与公司存储、传输和保护其他形式的机密和敏感信息相同或更具保护性的方式。
关于作者
David J. Oberly 是 Baker Donelson 华盛顿特区办事处的法律顾问,领导该公司专门的生物识别业务。被评为“美国生物识别隐私领域最重要的思想领袖之一”律商联讯David 的执业重点是就广泛的生物识别隐私、人工智能以及数据隐私/安全合规性和风险管理事宜向客户提供咨询和建议。此外,David 在处理以公司为赌注的 BIPA 集体诉讼纠纷方面拥有丰富的经验。他也是生物识别数据隐私合规性和最佳实践—第一篇也是唯一一篇提供生物识别隐私法综合纲要的长篇论文。您可以通过 [email protected] 联系他。您还可以在 X 上关注 David:@DavidJOberly。
免责声明:生物识别更新的行业见解是提交的内容。本文中表达的观点是作者的观点,并不一定反映 Biometric Update 的观点。
文章主题
|||||||
