АНАЛИТИКА

Международные новости утечек информации, ежегодные аналитические отчеты и статистика по инцидентам за прошедшие годы.

09 июня 2022

Обзор судебных исков за сбор биометрических персональных данных

В мировой практике порядок обращения с биометрическими персональными данными имеет все еще недостаточно проработанный уровень регулирования. Таким образом, чем более распространенным становится применение систем, содержащих биометрические персональные данные, тем больше потребители обеспокоены своим правом на обеспечение безопасности данных, особенно таких, как отпечатки пальцев или скан лица. В данном обзоре рассмотрено несколько коллективных исков в штате Иллинойс (США), в котором с 2008 года действует Закон о конфиденциальности биометрических персональных данных (Biometric Information Privacy Act – BIPA). Согласно ему, сбор биометрических персональных данных без согласия пользователя является незаконным.

В конце 2021 года был подан коллективный иск от работников в отношении ресторана быстрого питания Subway (Doctor's Associates). В иске утверждается, что компанией нарушен Закон о конфиденциальности биометрических данных, который требует уведомления и согласия от субъекта данных на их сбор. Согласно иску, работодатель использовал на рабочих местах оборудование, которое включало в себя биометрический сканер отпечатков пальцев. Однако компания не уведомила работников об использования биометрической системы, а работники, в свою очередь, не давали своего согласие на сбор, хранение и обработку биометрических персональных данных. Таким образом, иск требует для каждого работника от $1000 до $5000 компенсации за каждое нарушение.

В мае 2022 года технологический гигант Amazon выступил ответчиком по коллективному иску, направленному в его адрес еще в 2020. Компания без согласия субъектов персональных данных использовала изображения людей для обучения своих ИИ-технологий по распознаванию лиц, чем нарушила законодательство штата. Используемые фотографии были частью базы данных IBM Diversity in Faces, которая включала 1 млн изображений человеческих лиц и была предназначена для распознавания лиц не только по оттенку кожи, полу и возрасту, но и исследовала симметрию лица, высоту лба и носа. Однако в федеральном суде Вашингтона Amazon отверг обвинения, заявив, что данные были загружены не в штате Иллинойс и, таким образом, компания не нарушила законодательство штата. Amazon не впервые нарушает законодательство о конфиденциальности персональных данных, а также фигурирует в судебных исках в США и за их пределами, об этом мы писали в одном из наших обзоров.

Компании Estée Lauder Companies предъявлен коллективный иск за то, что компания также, как и вышеуказанные, не проинформировала и не получила согласие на обработку биометрических персональных данных от потребителей, использующих инструмент виртуальной примерки Virtual Try-On.

Estée Lauder Virtual Try-On – виртуальный помощник, который помогает «примерить» на себя косметику перед ее заказом. Соответственно, при каждом использовании данного инструмента Estée Lauder собирала биометрические персональные данные, однако не уведомляла об этом своих клиентов. Потребителям была предоставлена только ссылка на политику конфиденциальности компании, в которой не была раскрыта информация о сборе биометрической информации. Теперь от компании требуют в письменной форме обозначить цели сбора биометрических персональных данных и срок, в течение которого они будут храниться.

Иска в мае 2022 не избежала и еще одна косметическая компания – Johnson & Johnson. Как и в предыдущем примере с Estée Lauder, компания собирала и хранила биометрические персональные данные с помощью цифровой программы по уходу за кожей Neutrogena Skin360, которая сканировала лицо потребителя и подбирала для него косметические средства.

Для этого программа просила выполнить 180-градусное сканирование лица. Это позволяло программному обеспечению проанализировать и оценить состояние кожи, на основе которых предлагались рекомендации по подбору косметических средств. Согласно иску, собранные биометрические данные привязывались к таким персональным данным, как имя потребителя, дата рождения и адрес электронной почты, а также с его географическим местоположением.

Сбор персональных данных с помощью технологии распознавания лиц сталкивается с негативной реакцией как со стороны потребителей, так и со стороны законодателей. Несколько городов США вовсе запретили использование данной технологии. Первым из них в 2019 стал Сан-Франциско, запретивший полиции использовать технологию распознавания лиц. Следом подобное решение приняли в Сомерсвилле (штат Массачусетс) и Окленде (штат Калифорния).

Подпишитесь на рассылку INFOWATCH
l.12-.057c.834-.407 1.663-.812 2.53-1.211a42.414 42.414 0 0 1 3.345-1.374c2.478-.867 5.078-1.427 7.788-1.427 2.715 0 5.318.56 7.786 1.427z" transform="translate(-128 -243)"/>