过山车开始为生物识别学的新年:罗森巴赫六旗和新兴的生物识别法律

最近伊利诺伊州最高法院的决定加剧了收集生物信息的公司面临的风险保持那个是违反伊利诺伊州生物识别信息隐私法案的个人 - 但遭遇违反行为的危害 - 是“严格行动”的“受害方”。Rosenbach诉六旗娱乐公司,第123186号(ILL。2019年1月28日1月25日)。这一决定只会进一步驳回原告的律师将生物识别隐私诉讼带来生物识别隐私诉讼,并且收集生物信息的公司的风险可能会随着新颁布的,并提出的立法而产生的。在这篇文章中,我们讨论了发生的事情,在地平线上是什么,以及一些措施考虑。

伊利诺伊州生物识别信息隐私法案概述

这Illinois Biometric Information Privacy Act (“BIPA”) regulates private entities’ (defined broadly) collection, use, storage, and disposal of an individual’s “retina or iris scan, fingerprint, voiceprint, or scan of hand or face geometry” (defined as “biometric identifiers”) or any information “based on an individual’s biometric identifier used to identify an individual” (defined as “biometric information”). BIPA imposes several obligations on private entities in possession of biometric identifiers or biometric information, including requiring:

  • 制定书面生物识别保留和销毁政策,
  • 披露生物识别标识符或生物识别信息的内容和目的,并使用,
  • 用于收集和使用生物识别标识符和生物识别信息的书面版本,以及
  • 实施“私人实体行业内合理的护理标准”。

Private entities failing to comply with their obligations under the statute may face litigation based on BIPA’s private right of action available to persons “aggrieved” by such statutory violations and could be liable for actual damages or, if greater, “liquidated damages” of $1,000 per negligent violation and $5,000 per intentional or reckless violation of the law.

生物识别隐私诉讼中的初步挑战

如我们的最后一篇文章所注明这里,被告有两种独立的和独立的方式来攻击BIPA和其他隐私和网络安全诉讼的原告的伤害指控:

  • 挑战原告的常设通过联邦法庭第三条挑战[1]或者国家法庭等同于(我们在前一篇文章中更详细地解决了)这里浅谈伊利诺伊州北区的决定,Rivera v。谷歌,Inc。,16-02714(N.D. Ill。2018年12月29日);或者
  • 争辩说原告未能恳求或证明受到问题行动原因的伤害纠正(例如,原告不是“因违反BIPA的侵犯)。

Rosenbach诉六旗娱乐公司

伊利诺伊州最高法院Rosenbach诉六旗娱乐公司没有解决第三条伊利亚州立法院等等的等等,而是专注于原告可以满足BIPA本身所含伤害要求的情况 - 即原告“受到委屈”的要求。在罗森巴赫一位母亲代表她14岁的儿子提起诉讼,声称六旗的指纹迹象,与他们的重复进入通过注册过程有关,违反了BIPA[2]通过收集儿子的指纹,而不向他或他的指纹收集术语的特定目的和长度“,而不会获得他或他的母亲的书面发布或同意。除其他抗辩外,六国旗认为原告“没有实际或威胁或受到威胁”,因此不是一个有资格获得BIPA私人行动权的“受害者”的人。

强调妥善通知和拒绝同意权的重要性,法院解释说,“母鸡私营实体未能遵守法定程序。。。“个人的权利维持[他或]她的生物识别隐私会消失在薄的空气中。这precise harm the Illinois legislature sought to prevent is then realized.’” Therefore, the court held that no actual injury, beyond a violation of BIPA, is required for a person to qualify as an “aggrieved” person and be entitled to seek liquidated damages and injunctive relief.

外带

罗森巴赫决定为收集或使用个人身份信息的业务有几个重要的外卖,包括生物识别标识符和生物信息:

  • 令人责任风险被指控的生物信息误操作正在增加:几个额外的国家有书籍的法律,或者正在考虑立法,用于生物信息。虽然伊利诺伊州目前是唯一一个私人行动权的生物信息法规,[3]收集生物信息的实体的风险正在增加,特别是如果其他司法管辖区使用类似的“受扰”语言并采用罗森巴赫理由:
    • 这加利福尼亚州消费者隐私法案of 2018 (“CCPA”): The CCPA introduced sweeping changes to the U.S. privacy landscape by granting California residents enhanced rights in relation to their personal information (which includes biometric information), as well as a private right of action for certain breaches of personal information. See这里有关CCPA最新修正案的更多信息。
    • 拟议的马萨诸塞州参议院账单341:拟议的条例草案将增加消费者数据隐私章节向马萨诸塞州一般法律增加,该章将根据个人信息(可能包括生物信息包括生物信息,将Massachusetts消费者与CCPA提供的人相似。与CCPA不同,拟议的条例草案将为一个“遭受[任何]违反”条例草案的消费者的私人行动权,并特别说明违反法案的意图“将构成对消费者的伤害”。。。消费者不需要遭受金钱或财产的损失。。。为违规行动带来行动。“看这里对于账单的副本。
    • 拟议的华盛顿隐私法案,参议院账单5376(“WPA”):拟议的WPA将在华盛顿州创建一个新的总体隐私法。拟议的法律将与类似于CCPA下提供的个人数据(包括生物识别数据)建立枚举的消费权集。虽然拟议的法律不包括私人行动权,但受到受害者的私人权力,违反其规定可能会导致律师将军执法。看这里对于账单的副本。
    • 拟议的纽约生物识别隐私法案,参议院比尔1203(“BPA”):拟议的BPA将在与BIPA类似的纽约创造一个新的生物特定隐私法。拟议的法律将创建一个私人行动权,为“违反违规者”的“[A]纽约人民”。看这里对于账单的副本。
  • 理解收集/使用的生物识别标识符/信息:跨行业的企业越来越多地(或正在考虑)使用生物识别学更频繁地使用,包括:
    • 用户验证(例如移动设备指纹认证),
    • 劳动力管理(例如基于指纹的时间钟),和
    • 个人识别(如照片和视频中的面部识别)。

With potential liability in private actions or state attorney general enforcement proceedings for mere procedural violations, such as failure to provide adequate disclosure or obtain necessary release/consent, entities using (or considering using) biometrics should take steps to gain a deeper understanding of a business’s actual collection, use, storage, and disposal practices relating to biometrics. In that regard, many businesses would benefit from conducting a data mapping exercise and/or information audit to identify the information and practices that would be subject to privacy and cybersecurity laws, such as BIPA. Only with this kind of solid understanding can companies undertake to comply with the patchwork of laws that are emerging and ensure that they are complying with the procedures afforded to avoid the significant litigation risk. Once in place, companies can begin to revise notice, collection, use, and retention practices accordingly. Companies that do not have the resources to undertake a data mapping effort should (at a minimum) understand whether they are collecting biometrics and review privacy policies and terms of service to identify risks and take basic steps to manage them.

  • 剩下的替代防御: 尽管罗森巴赫决定有利于原告,被告仍有其他可以在BIPA诉讼中提出的其他防御。这些包括但不限于:
    • 站立:伊利诺伊州最高法院将开放,驳回对宪法立场的BIPA诉讼,原告对所谓的法定违法行为遭受伤害的宪法立场。并且,如上所述,第三条常规挑战可能在联邦法院可行。
    • 法定解释:在生物识别法规下仍然有几个术语和概念,仍然可以解释,例如“生物识别标识符”的含义,作为生物信息的“集合”,以及实践是否被认为是“疏忽的,在BIPA下“鲁莽,”或“故意”。此外,企业可以争辩说,他们根据法规下的一些义务是通过通过涉及生物识别或生物信息集合的过程中涉及的过程的内涵提供的隐式消息来满足。
    • 程序辩护:被告仍然能够在所有诉讼中宣布他们提供的程序辩护,包括未能满足课程认证要求,不正当的场地以及缺乏个人管辖权。

[1]获得这种解雇的能力不会消除生物识别诉讼的风险。如果在州法院的原告档案诉讼,他或她的站在该法庭上将被国家常设原则确定,而不是第三条。原告来自里维拉在伊利诺伊州库克县的巡回赛巡回赛中修正了他们对谷歌的索赔。Rivera v。Google LLC,No. 2019Ch00990(Ill.Cir.CT.)(2019年5月24日)。

[2]根据投诉,对公园的重复进入的指纹识别过程如下:当个人注册重复进入通行证时,六个标志的系统“扫描通过持有人的指纹;收集,记录和存储从指纹中收集的“生物识别”标识符和信息;然后存储该数据,以便在随后访问客户扫描其指纹进入主题公园后快速验证客户身份。“

[3]这biometrics laws of both Texas (Tex. Bus. & Com. Code Ann. § 503.001) and Washington State (Wash. Rev. Code § 119.375) do not create a private right of action for individuals impacted by an entity’s violation of the statutes. However, both statutes grant the attorney general the power to enforce the statutory provisions, including through the imposition of civil fines and penalties.