文| 李娅宁

上周,纽约一项新的生物识别隐私条例正式生效。该法规规定,从7月9日起,收集生物识别信息(如面部和指纹)的企业必须在门口张贴显眼的标识,向顾客说明企业正在收集顾客的生物识别信息。此外,该法规禁止企业出售或交易生物识别信息。如果企业违反该法规,顾客可以向法院提起诉讼、要求企业赔偿。

该法规适用于大部分的商业机构,包括商店、餐厅、剧院、体育场、博物馆等场所,但对包括警方在内的政府机构不适用。

南都记者梳理发现,此前,美国已有多个城市出台法规对生物识别技术进行监管。其中,伊利诺伊州在2008年颁布的《生物识别信息隐私法案》(BIPA)已经给科技巨头带来深远影响。

纽约新规:生物识别企业要张贴标识,政府机构不受限制

记者查阅纽约市行政法典发现,法典第二十二篇第十二章是对生物识别信息的规定,其对生物识别信息的收集、使用和保留的规定分为两种情形。

第一种情形针对生物识别信息的收集。法规要求企业必须在门口张贴标识,以通俗易懂的方式告知顾客,该企业正在收集、保留、转换、存储或共享顾客的生物识别信息。

第二种情形针对信息交易。法规规定,出售、出租、交易或以其他方式从生物识别信息交易中获利均属违法。

值得注意的是,该法规不适用于包括警方在内的政府机构对生物识别信息的收集、存储、共享或使用。而金融机构,如银行、信托公司、证券公司等,只需遵守信息交易相关规定,不受第一条信息收集告知规定的限制。

企业违反规定会有什么处罚?如果顾客发现企业未按照规定张贴标识,顾客应先向该企业提供书面说明,指出企业的违规行为。这种情况下,企业如果在30天之内纠正,则顾客不得向法院提起诉讼。如果30天后企业仍未纠正,顾客可以提起诉讼,企业需赔偿顾客500美元。

而如果顾客发现企业违反了第二条信息交易相关的规定,则可以直接向法院提起诉讼,若法院判定该企业是由于疏忽而违规,需赔偿顾客500美元,若法院判定该企业是故意违规,需赔偿顾客5000美元。

这并不是纽约在生物识别领域的首次立法。去年12月,纽约曾通过一项法案,规定在 2022 年 7 月之前暂停学校使用生物识别技术。

盘点美国生物识别法规,已让巨头承受巨额赔偿

南都记者梳理发现,在美国,已有多个城市对政府使用面部识别的行为做了限制。去年9月,美国俄勒冈州波特兰市通过了一项面部识别禁令,禁止该市的政府机构使用面部识别技术,并禁止企业在公共场所使用面部识别技术,这意味着,公共场所的人脸识别技术在该市被全面禁止。这项法令也被认为是美国迄今为止针对面部识别技术最激进的市政禁令。

此前,奥克兰、旧金山和波士顿都已经禁止其政府使用面部识别技术。

美国对生物识别技术的监管可以追溯到2008年。当时,伊利诺伊州通过了《生物识别信息隐私法案》(BIPA),这是美国第一个对生物识别信息收集进行监管的法案。该法案要求企业在收集个人的生物识别信息前,应以书面的形式明确告知用户,生物识别信息如何被收集、存储、使用,并且,只有在获得用户的书面同意后,企业才可以收集用户的生物识别信息。

此后,华盛顿州和德克萨斯州也通过了类似法律对收集生物识别信息的行为进行监管。

尽管有越来越多的州和城市出台相关法规,但BIPA一直保持着极高的社会关注度。一个重要原因是,在此次纽约的法规生效之前,BIPA是美国唯一允许个人对公司违规收集生物识别信息行为提起诉讼的法律。根据BIPA,如果企业因疏忽而违规,需赔偿原告1000美元;如果故意违规,需赔偿原告5000美元。

这样的处罚金额看似不大,但近年来,BIPA已经让一些科技公司付出了巨大代价。原因是,“允许个人诉讼”意味着,企业需要对用户个人进行赔偿,而企业在使用生物识别技术时,涉及的用户数量常常是庞大的。2015年,伊利诺伊州发起了针对 Facebook 的集体诉讼,指控 Facebook 在未经用户同意的情况下使用面部识别技术在照片中标记人物,违反了BIPA。经过长达4年的拉锯战后,今年2月,加州联邦法院做出最终和解裁决,判定Facebook赔偿用户6.5亿美元——160万伊利诺伊州居民每人将至少获得345美元赔偿。

受BIPA相关诉讼的影响,Facebook在 2019 年禁用了自动面部识别标记功能,改为让用户自行选择是否使用该功能,并解决了伊利诺伊州集体诉讼中涉及的一些隐私问题。

据美国媒体报道,BIPA出台以来,已经引发了大约1000起集体诉讼,这使一些科技公司陷入了困境。Facebook、微软、谷歌、亚马逊等巨头都曾被指控违反该法案,例如,未经用户明确同意就用他们的照片来训练面部识别系统。对于这些巨头来说,上亿美元的赔偿金不会对它们造成实质性打击,但对于一些小型的科技公司,巨额赔偿的风险可能让它们撤出在这个州的业务。

南都记者比较此次纽约州出台的生物识别隐私条例与BIPA发现,二者有诸多相似之处。例如,二者都规定企业收集个人生物识别信息前必须书面告知,企业不得出售、交易生物识别信息,并且,都赋予了用户私人诉讼权。

关键的不同之处在于,在收集生物识别信息方面,纽约的法规只要求明确告知用户,而不必得到用户的书面同意;BIPA要求必须得到用户的书面同意后才可以收集。另外,在“明确告知”方面,纽约的法规给了企业30天的“缓冲期”,若企业及时纠正,就可以免于被起诉,而BIPA则规定,用户可以直接提起诉讼。

纽约此次出台的生物识别隐私法规会造成哪些潜在影响?有分析人士认为,该法令将使纽约市民和几百万游客的个人信息得到保护。但也有人批评该法令做得还不够,因为它不适用于政府机构,并且对生物识别技术的限制还不够严格。

美国的Lewis Brisbois律师事务所分析,该法令可能导致相关诉讼增加,但由于在收集信息方面给了企业30天的补救时间,因此不会像BIPA那样产生诉讼激增的问题。该律师事务所还认为,纽约新规的一些条款并不清晰,例如,顾客发现企业违反收集信息的规定后,应该以书面形式通知企业,30天后才可以诉讼。但法规并未明确这里的“通知”具体指什么,有可能顾客做了通知,但企业方并未收到,这样的话,30天补救期的设置有可能并不能对企业产生保护作用。

据了解,尽管多城出台了各自的生物识别法规,但目前,美国仍没有相关的联邦法律对生物识别做出规定。

声明:本文来自AI前哨站,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。