美国生物识别隐私法:BIPA、CUBI、WBPL 三州对比

美国生物识别隐私法:BIPA、CUBI、WBPL 三州对比

Kaamel Lab
Kaamel Lab 2022年9月26日

2022年9月,Snap Inc.(Snapchat 母公司)就一起指控其违规收集用户面部生物特征信息的集体诉讼(Boone 等诉 Snap 案)在伊利诺伊州初步达成庭外和解,和解金额最高3500万美元,波及超35万人。这起案件把美国三部专门保护生物识别信息的州法推到台前:伊利诺伊州的 BIPA、德州的 CUBI、华盛顿州的 WBPL。三者中只有 BIPA 赋予个人直接起诉的权利,这也是伊利诺伊州成为生物识别诉讼高发地的关键原因。

TL;DR

案件回顾

Snap 的原告主张,其隐私政策未说明会收集用户面部信息,且在未获书面授权的情况下,通过滤镜与特效镜头扫描了用户人脸,违反 BIPA 两项规定:

Snap 选择和解但不接受任何一项指控,主张其镜头功能不会收集可识别特定个人的生物特征数据,且相关数据保留在用户设备、不发送至服务器,因此不在 BIPA 管辖之列。案件未形成最终判决,但对采集指纹、声纹及扫描瞳孔、手部、面部的企业是一次明确警示。类似的生物识别争议还可见 星巴克引入亚马逊掌纹技术之争

三部法律的横向对比

除 BIPA 外,华盛顿州2017年颁布《生物识别隐私法》(WBPL),德州2009年颁布《捕获或使用生物识别符法案》(CUBI)。三者都覆盖责任范围、定义、通知与同意、数据安全、销毁、执法几大模块,但要求各异。

责任范围:BIPA 广泛适用于收集或持有生物识别信息(Biometric Identifier)或生物特征信息(Biometric Information)的私人实体;CUBI 与 WBPL 仅适用于出于商业目的收集或持有的情形。CUBI 未指定受约束的个人和实体,且提供的例外更少。

定义:BIPA 的定义同时包含生物识别信息和生物特征信息,CUBI 与 WBPL 仅定义生物识别信息。生物识别信息一般包括瞳孔或虹膜扫描、指纹、声纹、手部或面部扫描/记录等可用于身份识别的生物特点。

通知与同意:三者都要求告知并取得用户同意,但只有 BIPA 要求书面告知与书面同意,且规定告知须包含所收集信息类型、收集目的等内容;CUBI 与 WBPL 不要求书面形式,也未对告知内容作硬性要求。实践上,企业应确保后台能持续跟踪告知与同意,例如在扫描人脸前弹窗告知并引导用户点击同意。

数据安全:三者都要求以合理机制保护生物识别数据,但给予企业选择具体机制的自由度,尺度可参照行业其他公司标准及企业对其他敏感数据的保护标准。

销毁:三者都要求在留存目的完成后、不迟于初始收集目的达成时销毁数据。例如因考勤收集员工指纹的,一般应在员工离职时删除;视频软件扫描的面部信息应在拍摄结束后删除。

执法:BIPA 是三者中唯一提供私人诉讼权的法律,用户可自行对违规企业发起诉讼;CUBI 与 WBPL 仅授权州检察长处罚或起诉。这解释了为何 BIPA 相关集体诉讼数量远高于另外两州。2024年伊利诺伊州还通过了修正案调整损害赔偿的计次方式,动向见 伊利诺伊州 BIPA 修正案

其他州与城市的规范

除三部专门法律外,加利福尼亚、科罗拉多、康涅狄格、弗吉尼亚、犹他等州通过综合隐私法把生物特征信息纳入个人信息定义统一管理。纽约市、俄勒冈州波特兰市、马里兰州巴尔的摩市等也通过了专门条例,例如纽约市要求某些商业机构提供生物特征数据收集使用通知,并禁止出售生物特征数据。监管的整体方向可对照 英国 ICO 的生物识别数据指南

对出海企业的启示

生物特征信息是隐私数据中“含金量”极高的一类,一旦泄露不可更换。对在美国开展业务、涉及人脸、指纹、声纹采集的企业,判断是否受管辖时应重点看三点:是否在伊利诺伊、德州或华盛顿收集、持有、使用或存储生物特征数据;是否在这些州开展商业活动;是否面向这些州提供在线或云服务。只要触及 BIPA,书面告知、书面同意、明确留存期限与销毁机制就是不能省略的动作,且需警惕其私人诉讼权带来的集体诉讼风险。(生物识别法分布图片来源:www.bclplaw.com

开启你的合规之旅!

与 Kaamel 的隐私专家取得联系

https://kaamel.com
info@kaamel.com
340 E Middlefield Rd, Mountain View, CA 94043
AICPA Drata
© 2024 Kaamel Inc. All rights reserved.