作者:David J. Oberly,生物识别隐私和数据隐私律师
十月下旬,一家全球科技集团成功挑战了伊利诺伊州生物识别信息隐私法案() 基于法律选择的集体诉讼,导致集体诉讼被裁定驳回并有偏见。在那种情况下,贝克诉 Match Group, Inc.,No. 23 CV 2761,2024 美国区。 LEXIS 196990(ND Tex,2024 年 10 月 30 日),德克萨斯州联邦地方法院认为,Match Group, Inc. (Match Group) 使用条款中包含的法律选择条款(要求适用德克萨斯州实体法)禁止其在线约会应用程序的用户提出伊利诺伊州法律 BIPA 索赔,据此可以给予救济。
这贝克该判决提供了对 BIPA 集体诉讼中作为辩护的法律选择的轮廓和细微差别的重要见解。同时,贝克还强调了 BIPA 集体诉讼中许多核心抗辩持续存在的重大不确定性,强调需要严格遵守伊利诺伊州生物识别法,以最好地管理因涉嫌 BIPA 违规而产生的责任风险。
德克萨斯州北区的决定
在贝克,五名使用 Match Group 旗下约会应用程序的伊利诺伊州居民向伊利诺伊州法院提起诉讼,指控 BIPA 下的三项诉讼理由。撤回后,伊利诺伊州联邦法院根据 Match Group 使用条款中包含的法院选择条款将案件移交给美国德克萨斯州北区地方法院。随后,Match Group 提出驳回诉讼的动议,辩称德克萨斯州法律根据其使用条款中包含的法律选择条款适用,并且由于原告仅指控违反伊利诺伊州法律,因此他们缺乏任何合理的救济依据。法院同意这一观点,认为德克萨斯州法律从法律角度禁止原告提出 BIPA 索赔。
德克萨斯州已采用法律冲突重述(第二)第 187 条框架来管理合同法律选择条款的可执行性。根据重述第 187 条方法,将强制执行法律选择条款,除非不同州具有以下情况: (1) 与各方和交易有更重要的关系; (2)对该条款的可执行性有更大的兴趣; (3) 所选择国家的法律的适用将违反的基本政策。
这贝克法院重点关注分析中的第三个“违反基本政策”分支,该分支要求双方选择的法律的适用将违背“一项根本性的国家政策,以至于该州法院将拒绝执行违反该法律的协议,尽管双方的初衷如此,即使该协议可以在与交易有关的另一个国家执行。”
适用于之前的争议,贝克法院认为,虽然 BIPA 体现了伊利诺伊州的基本政策,但德克萨斯州通过颁布自己的类似 BIPA 的法律,即《德克萨斯州捕获或使用生物识别标识符法案》(CUBI),也享有同样的基本政策利益。值得注意的是,法院发现德克萨斯州和伊利诺伊州选择的执行机制存在差异——IE、德克萨斯州总检察长 CUBI 的执行和 BIPA 的私人诉讼权——并没有改变分析。尽管 CUBI 和 BIPA 在其他方面有所不同,但法院最终得出结论,CUBI 提供了与 BIPA 类似的保护。因此,CUBI 和德克萨斯州法律并不违反伊利诺伊州保护其居民生物识别数据的基本政策。
由于德克萨斯州法律的适用并不违反伊利诺伊州政策,德克萨斯州法律根据双方可执行的合同选择法律条款管辖该争议。根据德克萨斯州法律,贝克根据法律规定,原告无法根据伊利诺伊州法律 BIPA 对 Match Group 提起诉讼,因此必须有偏见地驳回诉讼。
分析和要点
BIPA 集体诉讼中法律选择的复杂性和细微差别
迄今为止,唯一因法律选择而被驳回的 BIPA 集体诉讼是Thakkar 诉 ProctorU, Inc.,642 F. 补充。 3d 1304(阿拉巴马州ND 2022)。塔卡然而,涉及阿拉巴马州法律选择规则的适用,该规则没有考虑除该州以外的任何州的基本政策利益。相反,阿拉巴马州法律规定,合同选择的法律条款是可执行的,除非当事人选择的法律的适用与阿拉巴马州公共政策。在塔卡,有争议的法律选择条款规定阿拉巴马州法律将管辖所有争议。由于当事人选择的法律的适用不可能违反阿拉巴马州的公共政策,因此法律选择条款被认为是可执行的,导致 BIPA 集体诉讼被决定性地驳回,并带有偏见。
以外贝克,每一个根据重述第 187 条规则裁定 BIPA 诉讼中法律选择条款可执行性的法院都认为此类条款不可执行,理由是适用当事人选择的法律将导致伊利诺伊州保护其公民生物识别数据隐私利益的政策“不复存在”。例如,参见 In re Facebook Biometric Info。私人。诉讼。,185 F. 补充。 3d 1155(ND 校准。2016);德尔加多诉 Meta Platforms, Inc.,718 F.补充。 3d 1146(ND 校准。2024)。
同样,根据伊利诺伊州法律选择规则(要求平衡伊利诺伊州法律和当事人选择的法律之间的利益)对 BIPA 纠纷中的法律选择做出裁决的每个法院也一致拒绝执行此类条款。参见,例如, 帕特森诉Answer, Inc.,593 F.补充。 3d 783(伊利诺伊州北达科他州,2022 年);霍根诉亚马逊公司,No. 21 CV 3169,2022 美国区。 LEXIS 58347(伊利诺伊州北达科他州,2022 年 3 月 30 日);库克林斯基诉币安帽。管理。有限公司,No. 21 CV 1425,2023 美国区。 LEXIS 59418(伊利诺伊州 SD,2023 年 4 月 5 日);哈特曼诉 Meta Platforms, Inc.,23 号 CV 2995,2024 美国区LEXIS 167696(伊利诺伊州卫生局,2024 年 9 月 17 日)。
在应用伊利诺伊州平衡测试的几项 BIPA 决定中,双方通过合同选择了华盛顿法律,该法律保留了自己的生物识别法规,即华盛顿州修订法典第 19.375.010 条,和后续。(HB 1493)——管理他们的争端。尽管 HB 1493 对生物识别数据的收集和使用提出了许多与伊利诺伊州生物识别法规中相同的要求和限制,但这些法院拒绝适用华盛顿法律,理由是 HB 1493 缺乏私人诉讼权,将阻碍原告就其生物识别数据被滥用提出索赔的个人权利,正如 BIPA 私人诉讼权授予他们的那样。
相反,贝克法院认为德克萨斯州法律的适用确实不是尽管 CUBI(如 HB 1493 一样)不包含私人诉权,但仍与伊利诺伊州政策发生冲突。如上所述,贝克法院认为,尽管德克萨斯州和伊利诺伊州的法律存在差异,但 CUBI 最终对生物识别数据提供了与 BIPA 同等程度的保护,因此,适用德克萨斯州法律不会违反伊利诺伊州的基本政策。
正如上述分析表明,BIPA 集体诉讼纠纷中所主张的法律选择挑战的结果主要取决于诉讼地所在国的法律选择规则。然而,即便如此,由于法院在将法庭的法律选择规则适用于特定案件的具体事实时拥有广泛的自由裁量权,诉讼当事人仍然会受到不一致的判决的影响。
话虽如此,贝克迄今为止发布的其他 BIPA 法律选择决定提供了几个关键要点:
- 在采用广泛有利于执行合同法律选择的一般规则的司法管辖区,公司最有可能在法律选择挑战中获胜。
- 另一方面,公司最不可能在伊利诺伊州提起的集体诉讼中在法律选择挑战中获胜,因为该州的平衡测试严重偏向于适用伊利诺伊州实体法,无论当事人选择何种州法律来管辖其争议。
- 在采用重述第 187 条方法的司法管辖区中,公司在胜诉法律选择方面还面临着艰苦的斗争,特别是在当事方选择的法律不提供与 BIPA 类似的法定生物识别保护的情况下。
- 虽然根据重述第 187 条框架成功的可能性在当事人选择的法律有所增加做尽管提供了针对生物识别技术的、类似 BIPA 的法定保护,但由于法院在将重述第 187 条规则适用于 BIPA 争议的基本事实时保留了广泛的自由度,因此仍然存在很大的不确定性。
BIPA 争议背后的核心防御仍存在不确定性
贝克上述讨论的其他 BIPA 法律选择决定突显了 BIPA 集体诉讼纠纷背后的关键问题上的法律性质仍然悬而未决,而且常常相互冲突。更重要的是,BIPA 集体诉讼中作为辩护的法律选择范围和轮廓的不确定性给开发、供应或使用生物识别技术的公司带来了相当大的风险,因为联邦地区法院的判决在其他司法区、同一司法区甚至同一司法区不具有约束力的先例。法官在不同的情况下。最终,由于地方法院的判决不具有先例性,因此它们的分量并不比其推理要求的力量更大。
总而言之,由于法律缺乏共识和一致性,以及联邦地方法院在 BIPA 纠纷中的裁决仅具有说服力,因此公司必须持续、严格遵守 BIPA 的法定要求,因为这仍然是避免在涉及涉嫌违反伊利诺伊州生物识别法规的高风险集体诉讼中成为流氓或其他可疑法律解释受害者的唯一可靠方法。
现在该怎么办
如图所示贝克,以法律理由选择质疑 BIPA 集体诉讼是一个强大的工具,可以在诉状阶段利用它来促使代价高昂、赌上公司的集体诉讼纠纷尽早被驳回。话虽如此,法院就基本相似的事实模式下的法律选择条款的可执行性得出的相互矛盾的结论,对于特定的法律选择挑战是否最终能成功最终处理 BIPA 集体诉讼索赔产生了很大的不确定性。
为了应对这些风险,在运营中使用生物识别技术的公司以及开发和供应生物识别工具的技术供应商应确保所有合同协议都包含强有力的、可执行的法律条款选择,如果在法庭上受到质疑,这些条款能够经受住审查。由于大多数 BIPA 投诉都是在伊利诺伊州提出,公司还应确保其合同包含可执行的法院选择条款,以便能够将 BIPA 集体诉讼转移到位于草原州以外的更有利的地方法院。
重要的是,由于合同选择法律条款存在无数细微差别和潜在陷阱,公司应咨询经验丰富的外部生物识别顾问,他们可以协助起草、审查、评估和更新法律选择语言,以最大限度地提高在成为 BIPA 集体诉讼投诉的目标时在法律选择挑战中获胜的可能性。
此外,为了避免公司在进行代价高昂的发现之前试图摆脱 BIPA 集体纠纷时经常面临的重大障碍,公司还应强烈考虑采取保守的合规方法,并确保严格履行所有适用的 BIPA 法律义务。同样,公司最好与经验丰富的外部生物识别顾问密切合作,他们可以协助审查和审计组织的生物识别合规计划,并纠正所有已发现的漏洞,以实现完全遵守法律,这大大减少了必须首先对公司押注的 BIPA 类索赔进行辩护的可能性。
公司应确保维持灵活的、企业范围内的生物识别合规计划,其中至少包括以下内容:
- 公开的生物识别特定隐私声明。
- 制定数据保留和销毁指南和时间表,清楚地描述触发立即和永久删除生物识别数据的特定事件。
- 确保在最初收集生物识别数据之前向所有数据主体提供书面通知的有效机制。
- 单独、有效的机制可确保在最初收集生物识别数据之前获得书面同意,并允许公司收集和透露公司在收集时或之前确定的用于所有目的的生物识别数据。
- 在与客户、合作伙伴、供应商和类似情况的第三方签订的所有合同中,关于生物识别数据的收集和使用、各方之间遵守 BIPA 和类似生物识别法律的责任分配,以及最大程度地减轻适用的法律风险和责任风险所需的任何附加条款,均采用清晰准确的语言。
关于作者
David J. Oberly 是 Baker Donelson 华盛顿特区办事处的法律顾问,领导该公司专门的生物识别业务。被评为“美国生物识别隐私领域最重要的思想领袖之一”律商联讯David 的执业重点是就广泛的生物识别隐私、人工智能以及数据隐私/安全合规性和风险管理事宜向客户提供咨询和建议。此外,David 在处理以公司为赌注的 BIPA 集体诉讼纠纷方面拥有丰富的经验。他也是以下书的作者生物识别数据隐私合规性和最佳实践—第一篇也是唯一一篇提供生物识别隐私法综合纲要的长篇论文。您可以通过 [email protected] 联系他。您还可以在 X 上关注 David:@DavidJOberly。
文章主题
||||||
