Закон о защите биометрической информации

Закон штата Иллинойс 2008 г.

Закон о конфиденциальности биометрической информации (BIPA) — это закон, принятый 3 октября 2008 года в американском штате Иллинойс в целях регулирования сбора, использования и обработки биометрических идентификаторов и информации частными лицами. ^[1] Примечательно, что Закон не распространяется на государственные учреждения. ^[1] Хотя Техас ^[2] и Вашингтон ^[3] являются единственными другими штатами, которые внедрили аналогичную биометрическую защиту, BIPA является наиболее строгим. ^[4] Закон предусматривает штраф в размере 1000 долларов за нарушение и 5000 долларов за нарушение, если нарушение является преднамеренным или безрассудным. ^[1] Из-за этого положения о возмещении ущерба BIPA породил несколько коллективных исков. ^[5]

Положения

BIPA требует от компаний, ведущих бизнес в Иллинойсе, соблюдения ряда требований, касающихся сбора и хранения биометрической информации. К ним относится требование, чтобы компании:

• Получите согласие от физических лиц, если компания намерена собирать или раскрывать их личные биометрические идентификаторы.
• Своевременно уничтожайте биометрические идентификаторы.
• Безопасное хранение биометрических идентификаторов. ^[6]

Ключевым направлением является то, что организация должна использовать «разумный стандарт осмотрительности» ^[7] при управлении биометрической информацией и идентификаторами.

Стоя

BIPA — единственный закон в США, который предоставляет частное право на иск любому лицу, пострадавшему от нарушения. ^[1] Однако для того, чтобы оспорить иск BIPA в федеральном суде, пострадавшее лицо должно иметь федеральный конституционный статус, также известный как статус по статье III. ^[4] Как правило, статус по статье III требует, чтобы истец понес ущерб охраняемым законом интересам, который причинно связан с поведением ответчика, и такой ущерб, скорее всего, будет рассмотрен решением суда. ^[8]

История законодательства

Законопроект Сената 2400, который в конечном итоге стал Законом о конфиденциальности биометрической информации, был представлен сенатором штата Терри Линком 14 февраля 2008 года; он был принят обеими палатами Генеральной Ассамблеи Иллинойса 10 июля 2008 года и одобрен тогдашним губернатором Родом Благоевичем 3 октября 2008 года. ^[9] Целью Закона было установление стандартов поведения для частных лиц, которые собирают или владеют биометрической информацией. ^[10] В 2016 году сенатор Линк предложил и позже отозвал поправку к Закону, которая ограничила бы применение Закона биометрическими данными, собранными в общественных местах. ^[11]

Предлагаемое федеральное регулирование

Национальный закон о конфиденциальности биометрической информации

3 августа 2020 года сенатор Джефф Меркли представил Закон о конфиденциальности национальной биометрической информации 2020 года (сенатский законопроект 4400). ^[12] Хотя Закон содержит положения, аналогичные BIPA ^[13], он более обширен, чем BIPA. ^[14] Если он будет принят, Закон станет первым в своем роде, регулирующим биометрическую информацию в национальном масштабе. ^[15]

Известные случаи

По мере развития биометрических технологий возникло множество судебных исков, связанных с методами сбора данных, а также с различными уровнями защиты данных . Использование отпечатков пальцев в качестве способа регистрации прихода и ухода с работы является примером технологии, которая борется с тем, что известно как «приятельский удар» или практика использования кого-либо другого для регистрации прихода на работу за другого работника. В Иллинойсе закон о защите биометрической информации позволяет людям подавать в суд на работодателей за неправильное обращение с биометрическими данными. Согласно Cook County Record , «В Иллинойсе как материнская компания супермаркетов Mariano's, так и Intercontinental Hotel Group столкнулись с коллективными исками, в которых утверждалось, что они ненадлежащим образом собирали и хранили отпечатки пальцев сотрудников и другие биометрические данные». ^[16]

Дела в федеральном суде

В отношении биометрической информации Facebook. Судебный процесс по вопросам конфиденциальности , 185 F. Supp. 3d 1155 (ND Cal. 2016)

• Пользователи Facebook из Иллинойса утверждали, что социальная медиа-платформа нарушила BIPA, когда сканировала изображения их лиц без согласия, чтобы запустить функцию предложений тегов; федеральный суд Калифорнии сертифицировал этот класс в 2018 году. ^[17]

Монрой против Shutterfly, Inc. , № 16 C 10984, 2017 WL 4099846 (ND Ill. 15 сентября 2017 г.)

• Пользователи Shutterfly утверждали, что компания нарушила BIPA, когда сканировала загруженные цифровые фотографии с помощью программного обеспечения для распознавания лиц . 15 сентября 2017 года судья окружного суда Северного Иллинойса Джоан Б. Готтшалл отклонила ходатайство об отклонении иска. ^[18]

Ривера против Google, Inc. , 238 F. Supp. 3d 1088 (ND Ill. 2017)

• Пользователи Google подали в суд на компанию за нарушение BIPA, утверждая, что она создала и сохранила сканы лиц пользователей в своем сервисе Google Photos без согласия пользователя. 27 февраля 2017 года судья окружного суда Северного Иллинойса Эдмонд Э. Чанг отклонил ходатайство об отклонении иска ^[19], но 29 декабря 2018 года иск был отклонен из-за отсутствия правоспособности . ^[20]

Макдональд против Symphony Bronzeville Park LLC , NE3d (Ill. App. Ct., 18 сентября 2020 г.). ^[21]

• Дом престарелых нарушил BIPA, когда собрал биометрические данные сотрудника для целей отслеживания рабочего времени, не раскрывая их и не получая согласия от сотрудника. ^[21] Верховный суд Иллинойса определит, предоставляет ли Закон о компенсациях работникам защиту работодателям от исков BIPA со стороны их сотрудников. ^[22]

Дела в государственных судах

Розенбах против Six Flags Entm't Corp. , 2019 IL 123186

• Six Flags подали в суд за сбор отпечатков пальцев посетителей парка без их осознанного согласия. Апелляционный суд Иллинойса постановил, что простого технического нарушения BIPA недостаточно для поддержания иска, поскольку оно не обязательно означает, что сторона была «пострадавшей», как того требует закон. ^[23] Это решение было отменено Верховным судом Иллинойса , который постановил, что пользователям не нужно доказывать травму (такую ​​как мошенничество с использованием личных данных или физический вред) для подачи иска; простого нарушения закона было достаточно для взыскания убытков. ^[24]

Кроме того, сотрудник NorthShore University HealthSystem подал в суд на компанию за якобы сбор отпечатков пальцев сотрудников без их согласия, что является нарушением Закона штата Иллинойс о конфиденциальности биометрической информации. В окружном суде округа Кук сотрудник утверждал, что «ответчик отсканировал и в цифровом виде собрал его отпечатки пальцев без их согласия для использования в биометрическом ударном таймере сотрудников». ^[25]

Поселения

1 декабря 2016 года первое урегулирование с участием BIPA было одобрено судьей округа Кук , штат Иллинойс. ^[26] Коллективный иск был подан против LA Tan Enterprises, Inc. и был урегулирован на сумму 1,5 миллиона долларов, включая от 125 до 150 долларов за каждого члена группы, подавшего иск. ^[27]

В феврале 2021 года судья Джеймс Донато одобрил урегулирование на сумму 650 миллионов долларов в федеральном деле In re Facebook Biometric Info. Privacy Litig. , назвав урегулирование «крупной победой потребителей в горячо оспариваемой области цифровой конфиденциальности». ^{[28] [29]} Два члена группы подали апелляцию на урегулирование в Апелляционный суд Соединенных Штатов по девятому округу . ^[30]

Вызовы

На рассмотрении законодательного органа Иллинойса находился законопроект (SB3053) о внесении поправок в BIPA. В законопроекте предлагалось освободить частные организации от требований BIPA при ряде обстоятельств, включая (1) если биометрическая информация используется «исключительно для трудоустройства, управления кадрами, предотвращения мошенничества или в целях безопасности», (2) если компания «не продает, не сдает в аренду, не торгует и не получает иной прибыли» от биометрической информации или (3) если компания защищает биометрическую информацию по крайней мере так же надежно, как и другую конфиденциальную информацию. ^[31] Законопроект так и не вышел из комитета и истек в 2019 году.

Защитники конфиденциальности рассматривали законопроект SB3053 как попытку полностью уничтожить BIPA. ^{[32] [33] [34]} Он вызвал значительное противодействие со стороны многих групп, выступающих за права на цифровую конфиденциальность, включая Electronic Frontier Foundation . ^[6]

Во время дачи показаний основателем Facebook Марком Цукербергом перед Конгрессом 10 апреля 2018 года после скандала Facebook с Cambridge Analytica сенатор Дик Дурбин задал Цукербергу вопрос о поддержке Facebook законопроекта SB3053.

Сопутствующие законопроекты и законы на уровне штата

В ряде штатов по всей стране был представлен ряд подобных законопроектов. ^[35] К ним относятся:

• Мичиган, законопроект 2017 года Текст MI HB 5019
• Нью-Гэмпшир, законопроект 2017 г. NH HB 523 (измененный и принятый в 2018 г. как NH HB 523) ^[36]
• Аляска, 2017 г. Текст законопроекта AK HB 72
• Монтана, 2017 Текст счета MT HB 518
• Нью-Йорк, законопроект Ассамблеи 27 2021 года ^[37] и законопроект Сената 1933 года ^[38]

Иностранные эквиваленты

25 мая 2018 года ЕС ввел в действие Общий регламент по защите данных ( GDPR ) ^[39] , один из самых строгих на сегодняшний день регламентов по защите данных в мире. ^[40]

Ссылки

1. "740 ILCS 14/20 Biometric Information Privacy Act". www.ilga.gov . 3 октября 2008 г. Архивировано из оригинала 3 апреля 2022 г. Получено 4 ноября 2021 г.
2. "ДЕЛОВОЙ И ТОРГОВЫЙ КОДЕКС ГЛАВА 503. БИОМЕТРИЧЕСКИЕ ИДЕНТИФИКАТОРЫ". statutes.capitol.texas.gov . Получено 4 ноября 2021 г. .
3. "RCW 19.375.020: Регистрация, раскрытие и хранение биометрических идентификаторов". app.leg.wa.gov . Получено 4 ноября 2021 г. .
4. Neace, Gabrielle (2020). «Биометрическая конфиденциальность: сочетание трудового права с ростом технологий». UIC J. Marshall L. Rev. 73 : 75 – через UIC Law Open Access Repository.
5. "Судебное разбирательство по вопросам конфиденциальности биометрических данных: следующее поле битвы коллективных исков" . Получено 14 мая 2018 г.
6. Schwartz, Adam (10 апреля 2018 г.). «Новая атака на Закон штата Иллинойс о конфиденциальности биометрических данных». Electronic Frontier Foundation . Получено 14 мая 2018 г.
7. "ILGA". Генеральная Ассамблея Иллинойса .
8. "Lujan v. Defs. of Wildlife, 504 US 555, 560 (1992)". Институт юридической информации Корнеллской школы права . Архивировано из оригинала 19 января 2022 г.
9. "LRB Digest Indices" (PDF) . www.ilga.gov . Получено 23 мая 2018 г. .
10. "Westlaw Sign In | Thomson Reuters". 1.next.westlaw.com . Получено 23 мая 2018 г. .
11. "Законодатели, поддерживаемые Facebook, продвигают идею отмены закона о конфиденциальности". The Verge . Получено 23 мая 2018 г.
12. Меркли, Джефф (3 августа 2020 г.). «Текст — S.4400 — 116-й Конгресс (2019–2020 гг.): Национальный закон о конфиденциальности биометрической информации 2020 года». www.congress.gov . Получено 14 октября 2021 г. .
13. Шифрин, Дмитрий (28 мая 2021 г.). «Прошлое, настоящее и будущее: что происходит с законами Иллинойса и другими законами о конфиденциальности биометрических данных». The National Law Review, том XI, номер 148. Архивировано из оригинала 23 марта 2022 г. Получено 21 октября 2021 г.
14. «Эволюция законов о конфиденциальности биометрических данных». Bloomberg Law . 4 августа 2021 г. Архивировано из оригинала 18 февраля 2022 г. Получено 21 октября 2021 г.
15. Ибади, Мона (7 декабря 2020 г.). «Защита наших отпечатков пальцев и сетчатки: призыв к законодательству о конфиденциальности биометрических данных». Журнал Wake Forest по бизнесу и праву интеллектуальной собственности . Архивировано из оригинала 25 октября 2021 г. Получено 21 октября 2021 г.
16. Миннис, Гленн (2 марта 2018 г.). «Работодатели сталкиваются с ростом числа коллективных исков по поводу хранения, использования отпечатков пальцев сотрудников и других биометрических данных». Cook County Record . Получено 8 октября 2018 г.
17. "Пользователи Facebook выиграли сертификат класса в споре о конфиденциальности сканирования лица" . Law360 . 16 апреля 2018 г. . Получено 29 октября 2019 г. .
18. "Monroy v. Shutterfly, Inc., № 1:2016cv10984 - Документ 39 (ND Ill. 2017)". Justia Law . Получено 11 февраля 2019 г. .
19. Билык, Джонатан. «Судья не отклонит коллективный иск, обвиняющий Google Photos в нарушении закона штата Иллинойс о конфиденциальности биометрических данных» . Получено 23 мая 2018 г.
20. "Rivera et al v. Google LLC., № 1:2016cv02714 - Документ 207 (ND Ill. 2018)". Justia Law . Получено 11 февраля 2019 г. .
21. "McDonald v. Symphony Bronzeville Park LLC, NE3d (Ill. App. Ct. Sept. 18, 2020)" (PDF) . Justia Law . Архивировано (PDF) из оригинала 21 октября 2021 г. . Получено 14 октября 2021 г. .
22. Кэллоу, Клинген; Молхо, Маклин LLC-Росс И.; Эйкрам, Иман (21 мая 2021 г.). «Возможно, некоторое облегчение в соответствии с Законом штата Иллинойс о конфиденциальности биометрической информации». Lexology . Получено 21 октября 2021 г. .
23. «Недавнее решение Апелляционного суда Иллинойса может положить конец недавнему потоку коллективных исков против работодателей в соответствии с Законом Иллинойса о конфиденциальности биометрической информации». Littler Mendelson PC . 9 января 2018 г. Получено 23 мая 2018 г.
24. Шварц, Дженнифер Линч и Адам (25 января 2019 г.). «Победа! Верховный суд Иллинойса защищает конфиденциальность биометрических данных». Electronic Frontier Foundation . Получено 11 февраля 2019 г.
25. Торрес, Луи. «NorthShore University HealthSystem якобы собирала отпечатки пальцев сотрудников без их согласия» . Получено 8 октября 2018 г.
26. "Первое урегулирование достигнуто в соответствии с биометрическим законом штата Иллинойс" . Получено 14 мая 2018 г.
27. "Winston & Strawn". Winston & Strawn . Получено 23 мая 2018 г. .
28. «В отношении биометрической информации Facebook. Судебный процесс о конфиденциальности».
29. «Судья одобрил урегулирование дела Facebook о конфиденциальности на сумму 650 млн долларов как «крупную победу для потребителей»». Law.com . 26 февраля 2021 г.
30. "Судебный процесс по вопросам конфиденциальности биометрической информации Facebook". Архивировано из оригинала 25 февраля 2022 г. Получено 25 февраля 2022 г.
31. "Illinois SB3053 | 2017-2018 | 100-я Генеральная Ассамблея". LegiScan . Архивировано из оригинала 8 марта 2020 г. . Получено 14 мая 2018 г. .
32. "Законодатели, поддерживаемые Facebook, продвигают идею отмены закона о конфиденциальности". The Verge . Получено 14 мая 2018 г.
33. Маротти, Элли. «Предлагаемые изменения в биометрическом законе Иллинойса беспокоят защитников конфиденциальности». chicagotribune.com . Получено 14 мая 2018 г.
34. "Конфиденциальность биометрической информации". Безопасность технологий . Получено 14 мая 2018 г.
35. «Защита биометрической информации: все готово для расширения требований». www.lexisnexis.com . Получено 14 мая 2018 г.
36. Создание комитета по изучению использования и регулирования биометрической информации. Законодательное собрание штата Нью-Гэмпшир. 17 мая 2018 г.
37. «Поиск законопроектов и законодательная информация | Ассамблея штата Нью-Йорк». nyassembly.gov . Получено 12 апреля 2021 г. .
38. "NY State Senate Bill S1933". NY State Senate . 16 января 2021 г. Получено 12 апреля 2021 г.
39. "Общий регламент по защите данных". EUR-Lex . 27 апреля 2016 г. Архивировано из оригинала 1 апреля 2022 г.
40. Фишер, Сандра Л.; Бондарук, Таня (2020). «Энциклопедия электронного HRM» (PDF) . Исследовательская информационная система Университета Твенте (RIS) . Архивировано (PDF) из оригинала 21 октября 2021 г.

Внешние ссылки

• Закон о конфиденциальности биометрической информации (740 ILCS 14)