在美国,州监管机构通过颁布或提出立法,对生物识别数据的这些日益增长的担忧做出了反应。伊利诺伊州是2008年第一个颁布此类法律的州,即“生物识别信息隐私法案”(BIPA)。BIPA规范私人组织如何收集,使用和存储生物识别数据。BIPA还允许个人基于滥用生物识别数据起诉个别组织的损害赔偿。
尽管已有十年历史,但由于2019年1月伊利诺伊州最高法院的裁决,罗森巴赫诉六旗公司,BIPA最近重新获得了突显 。在这种情况下,未成年人的父母起诉伊利诺斯州Gurnell的Six Flags Great America游乐园,认为生物特征数据是在未经同意的情况下收集的,并且违反了BIPA。作为旁注,游乐园越来越多地要求个人扫描他们的票,然后在十字转门处进行生物识别扫描。此过程主要是一种反欺诈措施 - 如果您设法丢失机票/通行证,您可以在客户服务柜台提供生物识别数据以获取新的生物识别数据。这个过程可以减少欺诈者试图通过声称丢失来获得免费通行证。
伊利诺伊州最高法院撤销了下级法院的裁决,并裁定六旗已经违反了BIPA。重要的是,伊利诺伊州最高法院裁定,原告不必从生物特征数据的集合中证明损害或伤害(例如身份盗窃)。不正确的生物识别数据收集足以使个人消费者在BIPA下起诉组织。
简单的步骤可以在丢失您的在线帐户或维护现在的宝贵商品之间产生差异:您的隐私。
这一决定是消费者和隐私权的胜利,并将导致更多的法律挑战BIPA,其中许多已经通过法院系统。一个需要监控的案例是Patel v.Facebook,目前正在旧金山第九巡回上诉法院进行审查,并涉及对Facebook上传到Facebook的面部图像标记的挑战。
马萨诸塞州,纽约州和密歇根州的开发中都有与BIPA有类似要求的隐私法案,更多州可能会考虑起草管理生物识别数据收集,使用和存储的法律。
这些发展并不意味着生物识别技术的丧钟。它们仅表明正在考虑收集生物识别数据的组织必须遵守隐私设计方法并提供适当的披露,同意和选择退出要求,并注意这种日益复杂的立法环境以确保生物识别数据收集并且正在根据这些新兴法律进行保留。