चेहरे की पहचान ट्रैकिंग से लेकर फिंगरप्रिंट डेटा उल्लंघनों तक, जानें कि अनधिकृत बायोमेट्रिक डेटा संग्रह के खिलाफ कैसे लड़ें। इलिनोइस BIPA सुरक्षा, मेटा $1.4B टेक्सास समझौता, क्लियरव्यू AI निर्णय, और GDPR Article 9 विशेष श्रेणी डेटा अधिकार।
आपका चेहरा, उंगलियों के निशान, आइरिस पैटर्न, वॉइसप्रिंट और यहां तक कि आपका DNA भी अद्वितीय जैविक पहचानकर्ता हैं—जो पासवर्ड या क्रेडिट कार्ड नंबरों की तुलना में कहीं अधिक संवेदनशील हैं, क्योंकि चोरी या दुरुपयोग होने पर इन्हें बदला नहीं जा सकता। फिर भी, कंपनियां न्यूनतम निगरानी के साथ इस बायोमेट्रिक डेटा को तेजी से एकत्र कर रही हैं, सोशल मीडिया ऐप्स में चेहरे की पहचान को एम्बेड कर रही हैं, कार्यस्थल के टाइमक्लॉक के लिए फिंगरप्रिंट स्कैन का उपयोग कर रही हैं, भवन पहुंच के लिए आइरिस स्कैनर तैनात कर रही हैं, और निगरानी डेटाबेस बनाने के लिए इंटरनेट से अरबों तस्वीरें स्क्रैप कर रही हैं—अक्सर स्पष्ट सहमति, पर्याप्त सुरक्षा, या डेटा का उपयोग या साझा कैसे किया जाएगा, इसके प्रकटीकरण के बिना।
अनधिकृत बायोमेट्रिक डेटा संग्रह के परिणाम गंभीर होते हैं। एक बार जब आपकी चेहरे की ज्यामिति या फिंगरप्रिंट टेम्पलेट डेटा उल्लंघन में चोरी हो जाता है, तो अपराधी इसका उपयोग हमेशा के लिए पहचान की चोरी के लिए कर सकते हैं—आप नया चेहरा या नए फिंगरप्रिंट प्राप्त नहीं कर सकते। बायोमेट्रिक निगरानी प्रणालियाँ आपकी जानकारी के बिना सार्वजनिक स्थानों, दुकानों और कार्यस्थलों में आपकी गतिविधियों की व्यापक ट्रैकिंग को सक्षम बनाती हैं। चेहरे की पहचान प्रणालियों में एम्बेडेड भेदभावपूर्ण एल्गोरिदम अल्पसंख्यकों को खतरनाक दरों पर गलत पहचानते हैं, जिससे गलत गिरफ्तारियां होती हैं (2024 तक अमेरिका में कम से कम छह प्रलेखित मामले)। कंपनियाँ आपके बायोमेट्रिक डेटा को विज्ञापनदाताओं, डेटा ब्रोकरों और यहां तक कि सत्तावादी सरकारों को बेचकर लाभ कमाती हैं।
इलिनोइस ने 2008 में बायोमेट्रिक सूचना गोपनीयता अधिनियम (BIPA) को अधिनियमित करके मार्ग प्रशस्त किया, जो देश का सबसे मजबूत बायोमेट्रिक गोपनीयता कानून है, जो व्यक्तियों को उन कंपनियों पर मुकदमा करने का एक निजी अधिकार प्रदान करता है जो लिखित सहमति और प्रकटीकरण के बिना बायोमेट्रिक डेटा एकत्र करती हैं। BIPA प्रति लापरवाही उल्लंघन पर $1,000 और प्रति लापरवाह/जानबूझकर उल्लंघन पर $5,000 की सांविधिक क्षतिपूर्ति प्रदान करता है—जिसका अर्थ है कि वास्तविक नुकसान के किसी प्रमाण की आवश्यकता नहीं है। टेक्सास ने कैप्चर या बायोमेट्रिक पहचानकर्ता के उपयोग (CUBI) अधिनियम (2023 के संशोधनों ने प्रवर्तन को मजबूत किया) का पालन किया। कैलिफ़ोर्निया का CCPA बायोमेट्रिक डेटा को संवेदनशील व्यक्तिगत जानकारी के रूप में वर्गीकृत करता है जिसके लिए उच्च सुरक्षा की आवश्यकता होती है। और यूरोपीय संघ का GDPR Article 9 बायोमेट्रिक डेटा को "विशेष श्रेणी" डेटा के रूप में मानता है जिसके लिए स्पष्ट सहमति और सख्त सुरक्षा की आवश्यकता होती है।
प्रमुख समझौतों ने इन सुरक्षाओं को मान्य किया है: मेटा ने टेक्सास को $1.4 बिलियन (2024) का भुगतान चेहरे की पहचान डेटा को बिना सहमति के एकत्र करने के लिए किया, जो किसी एक राज्य द्वारा सबसे बड़ा गोपनीयता समझौता है। मेटा ने पहले फेसबुक फोटो टैगिंग पर इलिनोइस BIPA क्लास एक्शन को निपटाने के लिए $650 मिलियन का भुगतान किया था। क्लियरव्यू AI ने अरबों तस्वीरें स्क्रैप करने के लिए इलिनोइस के दावों को निपटाने के लिए $50 मिलियन का भुगतान किया। Google ने Google Photos चेहरे की पहचान (इलिनोइस) के लिए $100 मिलियन का भुगतान किया। अमेज़न रिंग, सिक्स फ्लैग्स, स्नैपचैट, टिकटॉक और दर्जनों नियोक्ताओं ने BIPA समझौतों में $500,000 से $100 मिलियन तक का भुगतान किया है। व्यक्तिगत BIPA दावों से नियमित रूप से प्रति व्यक्ति $5,000-$15,000 प्राप्त होते हैं। यह मार्गदर्शिका आपको बायोमेट्रिक गोपनीयता उल्लंघनों की पहचान करने, अपने अधिकारों को समझने और मुआवजे के लिए हर रास्ते का पीछा करने का तरीका बताती है।
इलिनोइस BIPA (740 ILCS 14/) अमेरिका में सबसे मजबूत बायोमेट्रिक गोपनीयता कानून है। यह किसी भी निजी इकाई पर लागू होता है जो इलिनोइस निवासियों के बायोमेट्रिक पहचानकर्ताओं (चेहरे की ज्यामिति, उंगलियों के निशान, वॉइसप्रिंट, आइरिस स्कैन, रेटिना स्कैन, हाथ स्कैन, चाल की पहचान) को एकत्र करती है, कैप्चर करती है, संग्रहीत करती है या उपयोग करती है—भले ही कंपनी कहीं और स्थित हो। कंपनियों को: (1) एक लिखित प्रतिधारण और विनाश नीति विकसित और प्रकाशित करनी होगी; (2) यह लिखित सूचना प्रदान करनी होगी कि बायोमेट्रिक डेटा एकत्र किया जा रहा है; (3) लिखित सहमति प्राप्त करनी होगी; (4) बायोमेट्रिक डेटा को कभी बेचना, पट्टे पर देना या उससे लाभ कमाना नहीं होगा; (5) बायोमेट्रिक डेटा की सुरक्षा के लिए उचित सावधानी बरतनी होगी (वित्तीय डेटा के समान मानक)।
BIPA की मुख्य शक्ति: कार्रवाई का निजी अधिकार। आप प्रशासनिक शिकायत दर्ज किए बिना सीधे इलिनोइस राज्य न्यायालय में मुकदमा कर सकते हैं। क्षतिपूर्ति: प्रति लापरवाही उल्लंघन पर $1,000, प्रति जानबूझकर/लापरवाह उल्लंघन पर $5,000, साथ ही वकील की फीस। वास्तविक नुकसान के किसी प्रमाण की आवश्यकता नहीं है—उल्लंघन स्वयं एक दावा बनाता है। अदालतों ने फैसला सुनाया है कि प्रत्येक स्कैन एक अलग उल्लंघन हो सकता है (उदाहरण के लिए, यदि नियोक्ता ने 2 साल से अधिक समय तक टाइमक्लॉक के लिए आपके फिंगरप्रिंट को 500 बार स्कैन किया, तो संभावित क्षतिपूर्ति: $500,000-$2.5M, हालांकि अदालतें आमतौर पर कम प्रदान करती हैं)। परिसीमन का कानून: 5 साल (कभी-कभी लिखित रिलीज उल्लंघनों के लिए 1 साल—जटिल)।
Common BIPA Violations:
सामान्य BIPA उल्लंघन: नियोक्ता लिखित सहमति के बिना फिंगरप्रिंट स्कैन की मांग करता है। फेसबुक सहमति के बिना चेहरे की पहचान का उपयोग करके आपको तस्वीरों में टैग करता है। सुरक्षा प्रणाली प्रकटीकरण के बिना भवन प्रवेश के लिए आपके चेहरे को स्कैन करती है। खुदरा विक्रेता सूचना के बिना ग्राहक ट्रैकिंग के लिए चेहरे की पहचान का उपयोग करता है। ऐप सहमति के बिना आपके वॉइसप्रिंट का विश्लेषण करता है।
टेक्सास बिजनेस एंड कॉमर्स कोड Chapter 503 (2023 में मजबूत किया गया) बायोमेट्रिक पहचानकर्ताओं (चेहरे की ज्यामिति, वॉइसप्रिंट, रेटिना/आइरिस स्कैन, फिंगरप्रिंट, हाथ स्कैन, कीस्ट्रोक डायनामिक्स) की सुरक्षा करता है। कंपनियों को: (1) व्यक्तियों को सूचित करना होगा कि बायोमेट्रिक डेटा कैप्चर किया जा रहा है; (2) सहमति प्राप्त करनी होगी (सेवा की शर्तों में हो सकती है, लेकिन स्पष्ट होनी चाहिए); (3) उद्देश्य पूरा होने के बाद उचित समय के भीतर डेटा को नष्ट करना होगा; (4) उचित सावधानी के साथ डेटा की सुरक्षा करनी होगी। निषेध: सहमति के बिना बायोमेट्रिक डेटा को बेचा, पट्टे पर दिया या प्रकट नहीं किया जा सकता।
प्रवर्तन: टेक्सास अटॉर्नी जनरल निषेधाज्ञा राहत और प्रति उल्लंघन $25,000 के लिए मुकदमा कर सकते हैं। कार्रवाई का निजी अधिकार: यदि व्यक्तियों को नुकसान होता है, तो वे वास्तविक क्षतिपूर्ति के लिए मुकदमा कर सकते हैं, साथ ही वकील की फीस भी। इलिनोइस BIPA के विपरीत, टेक्सास CUBI निजी मुकदमों के लिए वास्तविक नुकसान के प्रमाण की आवश्यकता करता है (कठिन बोझ), लेकिन राज्य प्रवर्तन आक्रामक रहा है—$1.4B मेटा समझौता टेक्सास AG द्वारा CUBI + टेक्सास DTPA के तहत लाया गया था। क्लास एक्शन संभव हैं।
Note:
टेक्सास AG प्रवर्तन प्राथमिकताएं (2024): सोशल मीडिया चेहरे की पहचान, सहमति के बिना कर्मचारी बायोमेट्रिक ट्रैकिंग, बायोमेट्रिक डेटा को उजागर करने वाले डेटा उल्लंघन, तीसरे पक्ष को बायोमेट्रिक डेटा की बिक्री।
CCPA (Cal. Civ. Code § 1798.100 et seq.) "बायोमेट्रिक जानकारी" (शारीरिक, जैविक, या व्यवहारिक विशेषताएं जिनका उपयोग पहचान के लिए किया जा सकता है, जिसमें चेहरे की इमेजरी, आइरिस स्कैन, फिंगरप्रिंट, वॉइसप्रिंट, कीस्ट्रोक पैटर्न, चाल शामिल हैं) को "संवेदनशील व्यक्तिगत जानकारी" के रूप में वर्गीकृत करता है। व्यवसायों को: (1) गोपनीयता नीति में बायोमेट्रिक डेटा के संग्रह का खुलासा करना होगा; (2) ऑप्ट-आउट का अधिकार प्रदान करना होगा (उपभोक्ता आवश्यक उद्देश्यों तक उपयोग को सीमित कर सकते हैं); (3) स्पष्ट ऑप्ट-इन सहमति के बिना बायोमेट्रिक डेटा को बेचना नहीं होगा। उल्लंघन: कैलिफ़ोर्निया अटॉर्नी जनरल या गोपनीयता संरक्षण एजेंसी प्रति उल्लंघन $2,500 ($7,500 जानबूझकर के लिए) का जुर्माना लगा सकती है। डेटा उल्लंघन: यदि उचित सुरक्षा की कमी के कारण बायोमेट्रिक डेटा का उल्लंघन होता है, तो उपभोक्ता प्रति घटना $100-$750, या वास्तविक क्षतिपूर्ति (जो भी अधिक हो), साथ ही वकील की फीस के लिए मुकदमा कर सकते हैं। इलिनोइस BIPA के विपरीत, CCPA डेटा उल्लंघन के अभाव में सहमति के बिना संग्रह के लिए सांविधिक क्षतिपूर्ति प्रदान नहीं करता है।
RCW 19.375 उन व्यवसायों को अनिवार्य करता है जो उपभोक्ताओं को बायोमेट्रिक पहचानकर्ता प्रणालियों में नामांकित करते हैं कि वे: (1) नामांकन के उद्देश्य और अवधि की सूचना प्रदान करें; (2) सहमति प्राप्त करें; (3) उद्देश्य पूरा होने पर या 3 साल के भीतर डेटा को नष्ट करें। उपभोक्ता संरक्षण अधिनियम के तहत वाशिंगटन अटॉर्नी जनरल द्वारा उल्लंघन लागू किए जाते हैं: प्रति उल्लंघन $7,500 तक। कार्रवाई का निजी अधिकार: यदि उपभोक्ताओं को नुकसान होता है, तो वे वास्तविक क्षतिपूर्ति, निषेधाज्ञा राहत और वकील की फीस के लिए मुकदमा कर सकते हैं। CCPA से मजबूत, लेकिन इलिनोइस BIPA से कमजोर (व्यक्तिगत क्षतिपूर्ति के लिए नुकसान के प्रमाण की आवश्यकता होती है)।
GDPR Article 9 अद्वितीय पहचान (चेहरे की पहचान, फिंगरप्रिंट मिलान, आइरिस स्कैन, DNA) के लिए उपयोग किए जाने वाले बायोमेट्रिक डेटा को "विशेष श्रेणी" व्यक्तिगत डेटा के रूप में वर्गीकृत करता है जिसके लिए स्पष्ट सहमति (केवल ऑप्ट-इन नहीं, बल्कि सकारात्मक, सूचित, स्वेच्छा से दी गई सहमति) या किसी अन्य Article 9 अपवाद (जैसे, कानूनी आधार के साथ पर्याप्त सार्वजनिक हित) की आवश्यकता होती है। नियंत्रकों को बायोमेट्रिक प्रसंस्करण के लिए डेटा सुरक्षा प्रभाव आकलन (DPIAs) आयोजित करने होंगे। सुरक्षा आवश्यकताएं बढ़ाई गई हैं।
उल्लंघन: €20 मिलियन तक या वैश्विक वार्षिक कारोबार का 4% (जो भी अधिक हो)। व्यक्ति Article 82 के तहत भौतिक और गैर-भौतिक क्षतिपूर्ति के लिए मुकदमा कर सकते हैं (EU अदालतों ने बायोमेट्रिक GDPR उल्लंघनों के कारण भावनात्मक संकट के लिए €2,000-€10,000 का पुरस्कार दिया है, यदि डेटा उल्लंघन या भेदभाव हो तो अधिक)। मिटाने का अधिकार (Article 17): यदि सहमति अमान्य थी या डेटा अब आवश्यक नहीं है, तो आप अपने बायोमेट्रिक डेटा को हटाने की मांग कर सकते हैं। राष्ट्रीय DPAs (डेटा संरक्षण प्राधिकरण) लागू करते हैं—अपने EU देश में DPA के पास शिकायत दर्ज करें।
Major GDPR Fines:
प्रमुख GDPR बायोमेट्रिक जुर्माने: क्लियरव्यू AI (अवैध चेहरे की पहचान डेटाबेस के लिए कई EU देशों में €20M+ जुर्माने), H&M (कर्मचारी निगरानी के लिए €35M), ब्रिटिश एयरवेज (बायोमेट्रिक पासपोर्ट डेटा उल्लंघन के लिए £20M)।
अभी तक कोई व्यापक संघीय बायोमेट्रिक गोपनीयता कानून नहीं है, लेकिन: (1) FTC Act Section 5: FTC उन कंपनियों पर मुकदमा कर सकती है जो गोपनीयता नीति के वादों के विपरीत या प्रकटीकरण के बिना बायोमेट्रिक डेटा एकत्र करती हैं, अनुचित/भ्रामक प्रथाओं के लिए। स्नैपचैट, टिकटॉक, फेसबुक ने FTC शिकायतों का निपटारा किया। (2) Children's Online Privacy Protection Act (COPPA): 13 वर्ष से कम उम्र के बच्चों से सत्यापन योग्य माता-पिता की सहमति के बिना बायोमेट्रिक डेटा एकत्र करने पर रोक लगाता है। (3) प्रस्तावित संघीय कानून: राष्ट्रीय बायोमेट्रिक सूचना गोपनीयता अधिनियम (लंबित, इलिनोइस BIPA पर आधारित), Fourth Amendment is Not For Sale Act (बायोमेट्रिक डेटा की सरकारी खरीद को प्रतिबंधित करता है)। (4) संघीय एजेंसियां: HHS HIPAA स्वास्थ्य सेवा संस्थाओं द्वारा एकत्र किए गए बायोमेट्रिक डेटा को कवर करता है। हवाई अड्डों पर TSA चेहरे की पहचान गोपनीयता अधिनियम के अधीन है—सीमित उपचार।
टेक्सास अटॉर्नी जनरल ने टेक्सास CUBI और Deceptive Trade Practices Act के तहत मेटा (फेसबुक) पर लाखों टेक्सास निवासियों के चेहरे की पहचान डेटा को फोटो टैगिंग के माध्यम से बिना सहमति के एकत्र करने के लिए मुकदमा दायर किया। फेसबुक की चेहरे की पहचान सुविधा ने टैग सुझाने के लिए अपलोड की गई तस्वीरों में चेहरों को स्वचालित रूप से स्कैन किया, जिससे चेहरे की ज्यामिति एकत्र हुई। समझौता: $1.4 बिलियन (किसी एक राज्य द्वारा सबसे बड़ा गोपनीयता समझौता), 5 साल में भुगतान किया गया। मेटा ने टेक्सास में स्पष्ट सहमति के बिना चेहरे की पहचान का उपयोग बंद करने, पहले एकत्र किए गए डेटा को हटाने और निगरानी के अधीन होने पर सहमति व्यक्त की। महत्व: यह साबित हुआ कि राज्य AG संघीय कानून की अनुपस्थिति में भी राज्य बायोमेट्रिक कानूनों के तहत भारी क्षतिपूर्ति सुरक्षित कर सकते हैं।
क्लास एक्शन Patel v. Facebook ने आरोप लगाया कि फेसबुक की फोटो टैगिंग चेहरे की पहचान ने 1.6 मिलियन इलिनोइस उपयोगकर्ताओं से लिखित सहमति के बिना चेहरे की ज्यामिति एकत्र और संग्रहीत करके इलिनोइस BIPA का उल्लंघन किया। संघीय अदालत ने $650M समझौते को मंजूरी दी (प्रति व्यक्ति औसत $397, कुछ को उपयोग के वर्षों के आधार पर $300-$500 प्राप्त हुए)। आवश्यकताएँ: जून 2011-अगस्त 2021 के दौरान फेसबुक अकाउंट वाला इलिनोइस निवासी जहाँ आप या दोस्त तस्वीरों में दिखाई दिए। महत्व: उस समय का सबसे बड़ा BIPA समझौता और सबसे बड़ा गोपनीयता क्लास एक्शन। यह स्थापित किया कि तस्वीरों की स्वचालित चेहरे की पहचान, भले ही दोस्तों द्वारा अपलोड की गई हो (आपके द्वारा नहीं), BIPA सहमति आवश्यकताओं को ट्रिगर करती है।
क्लियरव्यू AI ने सोशल मीडिया, वेबसाइटों और सार्वजनिक इंटरनेट से 30 अरब तस्वीरें स्क्रैप कीं ताकि कानून प्रवर्तन और निजी कंपनियों को बेचे जाने वाले चेहरे की पहचान डेटाबेस का निर्माण किया जा सके। इलिनोइस निवासियों ने BIPA के तहत मुकदमा दायर किया। समझौता (2024): $50M (क्लास सदस्यों को क्लियरव्यू स्टॉक में भुगतान किया गया—विवादास्पद संरचना), साथ ही राष्ट्रव्यापी निषेधाज्ञा: क्लियरव्यू को अमेरिका में निजी कंपनियों को डेटाबेस तक पहुंच बेचने से प्रतिबंधित किया गया है, यदि उनका बायोमेट्रिक डेटा डेटाबेस में है तो व्यक्तियों को सूचित करना होगा और ऑप्ट-आउट की अनुमति देनी होगी। अलग-अलग समझौते: ACLU समझौते ने क्लियरव्यू के उपयोग को प्रतिबंधित किया। कई EU देशों ने GDPR के तहत क्लियरव्यू पर €20M+ का जुर्माना लगाया। कैलिफ़ोर्निया, वर्मोंट में चल रहे मामले। महत्व: यह स्थापित किया कि सार्वजनिक तस्वीरों को स्क्रैप करके चेहरे की पहचान डेटाबेस का निर्माण करना BIPA का उल्लंघन करता है, भले ही तस्वीरें सार्वजनिक रूप से पोस्ट की गई हों।
क्लास एक्शन में आरोप लगाया गया कि Google Photos की चेहरे की पहचान वाली ग्रुपिंग सुविधा (व्यक्तियों के अनुसार फ़ोटो व्यवस्थित करने के लिए "फेस क्लस्टरिंग") ने लिखित सहमति के बिना चेहरे की ज्यामिति एकत्र और संग्रहीत करके BIPA का उल्लंघन किया। समझौता: मई 2015 से अप्रैल 2023 के बीच Google Photos का उपयोग करने वाले और फ़ोटो में चित्रित इलिनोइस निवासियों के लिए $100M। औसत भुगतान: प्रति व्यक्ति $150-$400। Google ने इलिनोइस में चेहरे की पहचान से पहले स्पष्ट BIPA खुलासे प्रदान करने और सहमति प्राप्त करने पर सहमति व्यक्त की। महत्व: Google के खिलाफ पहला बड़ा BIPA समझौता, यह दर्शाता है कि क्लाउड फोटो सेवाएं BIPA के अधीन हैं।
FTC ने रिंग डोरबेल कैमरों के लिए अमेज़न पर मुकदमा दायर किया: (1) कर्मचारियों को ग्राहक वीडियो रिकॉर्डिंग तक अप्रतिबंधित पहुंच देना, जिसमें अंतरंग क्षण भी शामिल थे; (2) सहमति के बिना AI को प्रशिक्षित करने के लिए ग्राहक वीडियो पर चेहरे की पहचान का उपयोग करना; (3) सुरक्षा विफलताओं के कारण हैकर्स को कैमरों तक पहुंच मिली। समझौता: उपभोक्ता निवारण के लिए $5.8M। अमेज़न ने अनुचित तरीके से एकत्र किए गए डेटा को हटाने, गोपनीयता सुरक्षा उपायों को लागू करने और स्पष्ट सहमति के बिना AI प्रशिक्षण के लिए ग्राहक वीडियो का उपयोग बंद करने पर सहमति व्यक्त की। महत्व: यह स्थापित किया गया कि FTC धारा 5 के तहत बायोमेट्रिक गोपनीयता को लागू करेगा, भले ही कोई विशिष्ट संघीय बायोमेट्रिक कानून न हो।
Rosenbach बनाम Six Flags (इलिनोइस सुप्रीम कोर्ट 2019) ने महत्वपूर्ण BIPA मिसाल स्थापित की: सिक्स फ्लैग्स ने लिखित सहमति या प्रकटीकरण के बिना सीज़न पास के लिए एक किशोर के फिंगरप्रिंट को स्कैन किया। इलिनोइस सुप्रीम कोर्ट ने फैसला सुनाया: सहमति के बिना संग्रह के क्षण में BIPA उल्लंघन होता है—वास्तविक नुकसान के किसी सबूत की आवश्यकता नहीं है (निचली अदालत की बर्खास्तगी को रद्द करते हुए)। बाद में क्लास एक्शन में $36M का समझौता हुआ (2013-2018 के इलिनोइस सीज़न पास धारक जिनके फिंगरप्रिंट स्कैन किए गए थे)। औसत भुगतान: प्रति व्यक्ति $200-$400। महत्व: यह एक ऐतिहासिक मामला है जो मूर्त नुकसान के बिना भी BIPA की शक्ति को स्थापित करता है।
क्लास एक्शन में आरोप लगाया गया कि स्नैपचैट के ऑगमेंटेड रियलिटी लेंस/फिल्टर (पिल्ले के कान, फेस स्वैप आदि) ने BIPA सहमति के बिना चेहरे की ज्यामिति को मैप करने के लिए चेहरे की पहचान का उपयोग किया। समझौता: जनवरी 2015 से नवंबर 2022 तक लेंस का उपयोग करने वाले इलिनोइस स्नैपचैट उपयोगकर्ताओं के लिए $35M। औसत: प्रति व्यक्ति $58। स्नैपचैट ने इलिनोइस में BIPA खुलासे प्रदान करने पर सहमति व्यक्त की। महत्व: यह स्थापित किया गया कि चेहरे की ज्यामिति एकत्र करने वाले "मनोरंजक" AR फिल्टर BIPA के अधीन हैं—उन्हें "वाणिज्यिक मनोरंजन" के रूप में छूट नहीं है।
क्लास एक्शन ने 21 मुकदमों को समेकित किया जिसमें टिकटॉक पर आरोप लगाया गया: (1) सहमति के बिना चेहरे की पहचान और वॉयसप्रिंट डेटा एकत्र किया (इलिनोइस BIPA दावे); (2) चीन के साथ डेटा साझा किया; (3) बच्चों की गोपनीयता का उल्लंघन किया। समझौता: अक्टूबर 2021 तक के अमेरिकी टिकटॉक उपयोगकर्ताओं के लिए $92M (2021)। इलिनोइस BIPA दावेदारों को गतिविधि स्तर के आधार पर बढ़ी हुई भुगतान ($167-$500) प्राप्त हुए। टिकटॉक ने कुछ डेटा संग्रह प्रथाओं को रोकने और स्पष्ट गोपनीयता खुलासे प्रदान करने पर सहमति व्यक्त की। महत्व: एक प्रमुख चीनी-स्वामित्व वाले प्लेटफॉर्म के खिलाफ पहले बड़े BIPA समझौतों में से एक।
सैकड़ों इलिनोइस नियोक्ताओं पर BIPA के तहत मुकदमा दायर किया गया है, क्योंकि उन्होंने लिखित सहमति के बिना टाइमक्लॉक के लिए फिंगरप्रिंट स्कैन की आवश्यकता थी: मैकडॉनल्ड्स फ्रेंचाइजी ($50M समझौता), मोंडेलेज़/नैबिस्को ($5M), ट्रकिंग कंपनियां, गोदाम, स्वास्थ्य सुविधाएं। अधिकांश प्रभावित कर्मचारी के लिए $500-$5,000 में समझौता करते हैं। महत्व: यह स्थापित किया गया कि कार्यस्थल बायोमेट्रिक प्रणालियों को BIPA का पालन करना चाहिए—नियोक्ता-कर्मचारी संबंध छूट नहीं बनाता है। व्यावहारिक प्रभाव: अधिकांश बड़े इलिनोइस नियोक्ता अब बायोमेट्रिक टाइमक्लॉक के बजाय बैज का उपयोग करते हैं।
बायोमेट्रिक गोपनीयता मामलों में यह साबित करना आवश्यक है: (1) कंपनी ने आपका बायोमेट्रिक डेटा एकत्र/संग्रहीत किया, (2) उचित सहमति/खुलासे के बिना, (3) लागू कानून के उल्लंघन में। साक्ष्य कैसे एकत्र करें, यहाँ बताया गया है:
दस्तावेज़ करें कि कौन सा बायोमेट्रिक डेटा एकत्र किया गया था: चेहरे की पहचान (सुरक्षा कैमरे, ऐप फिल्टर, फोटो टैगिंग), फिंगरप्रिंट स्कैन (टाइमक्लॉक, बिल्डिंग एक्सेस, फोन अनलॉक), आईरिस/रेटिना स्कैन (एयरपोर्ट सुरक्षा, उच्च-सुरक्षा पहुंच), वॉयसप्रिंट (वॉयस असिस्टेंट, कॉल सेंटर), चाल पहचान (निगरानी प्रणाली)। साक्ष्य: उपकरणों/संकेतों की तस्वीरें लें, बायोमेट्रिक पहुंच दिखाने वाले ऐप अनुमतियों के स्क्रीनशॉट लें, चेहरे की पहचान या बायोमेट्रिक डेटा का उल्लेख करने वाली गोपनीयता नीतियों की समीक्षा करें।
इलिनोइस BIPA दावों के लिए, आपको यह दिखाना होगा कि कंपनी ने प्रदान नहीं किया: (1) लिखित खुलासा कि बायोमेट्रिक डेटा एकत्र किया जा रहा था, (2) भंडारण के उद्देश्य और अवधि का लिखित खुलासा, (3) लिखित सहमति (बायोमेट्रिक संग्रह के लिए सहमत होने वाला हस्ताक्षर या चेकबॉक्स)। साक्ष्य: दिखाएं कि आपने कभी बायोमेट्रिक सहमति फॉर्म पर हस्ताक्षर नहीं किए। यदि सहमति सामान्य सेवा शर्तों या गोपनीयता नीति में विशिष्ट बायोमेट्रिक अनुभाग के बिना "दबी हुई" थी, तो यह अक्सर BIPA की "लिखित प्रकटीकरण और सहमति" आवश्यकता को पूरा नहीं करता है (अदालतों ने फैसला सुनाया है कि BIPA को अलग, विशिष्ट प्रकटीकरण की आवश्यकता है—सामान्य गोपनीयता नीति भाषा नहीं)। यदि नियोक्ता ने प्रशिक्षण या सहमति फॉर्म के बिना फिंगरप्रिंट टाइमक्लॉक लागू किया, तो यह एक मजबूत सबूत है। भर्ती के कागजात जांचें—यदि कोई बायोमेट्रिक सहमति नहीं है, तो आपका दावा है।
इलिनोइस BIPA: आपको इलिनोइस का निवासी या इलिनोइस सुविधा का कर्मचारी होना चाहिए। टेक्सास CUBI: टेक्सास का निवासी। CCPA: कैलिफ़ोर्निया का निवासी। GDPR: EU का निवासी या आपका डेटा EU में नियंत्रक द्वारा संसाधित किया गया था। साक्ष्य: निवास स्थान साबित करें (यूटिलिटी बिल, ड्राइविंग लाइसेंस, इलिनोइस कार्यस्थल दिखाने वाले रोजगार रिकॉर्ड)। इलिनोइस BIPA तब भी लागू होता है जब कंपनी कहीं और स्थित हो—यदि आप इलिनोइस में रहते/काम करते हैं और उन्होंने आपका बायोमेट्रिक डेटा एकत्र किया, तो BIPA लागू होता है।
दिखाएं कि कंपनी ने वास्तव में बायोमेट्रिक डेटा एकत्र/संग्रहीत किया: आपके नाम के साथ फेसबुक फोटो टैग सुझावों का स्क्रीनशॉट। फिंगरप्रिंट टाइमक्लॉक पंच रिकॉर्ड (डेटा एक्सेस अधिकारों के तहत नियोक्ता से अनुरोध करें)। चेहरे की पहचान की अनुमति मांगने वाला ऐप। निगरानी कैमरे का फुटेज (GDPR अनुच्छेद 15 / CCPA एक्सेस अधिकार के तहत अनुरोध करें)। बायोमेट्रिक डेटा उल्लंघन अधिसूचना (यदि कंपनी ने आपको उल्लंघन की सूचना दी)। विशेषज्ञ गवाही (फोरेंसिक विश्लेषण यह दर्शाता है कि ऐप चेहरे की पहचान का उपयोग करता है, भले ही इसका खुलासा न किया गया हो)।
इलिनोइस BIPA: नुकसान के किसी सबूत की आवश्यकता नहीं—उल्लंघन स्वयं दावा बनाता है। टेक्सास CUBI निजी कार्रवाई: वास्तविक नुकसान साबित करना होगा (भावनात्मक संकट, उल्लंघन को संबोधित करने में लगा समय/खर्च, पहचान की चोरी का जोखिम)। CCPA: डेटा उल्लंघन या वास्तविक नुकसान साबित करना होगा। GDPR: वित्तीय नुकसान के बिना "गैर-भौतिक क्षति" (भावनात्मक संकट, चिंता) के लिए वसूली कर सकता है। नुकसान का दस्तावेज़ीकरण करें: उल्लंघन से संबंधित चिंता/चिकित्सा के लिए मेडिकल रिकॉर्ड। मुद्दे को संबोधित करने में लगा समय (घंटे × उचित प्रति घंटा दर)। यदि बायोमेट्रिक डेटा का उल्लंघन हुआ तो पहचान की चोरी के प्रयासों का सबूत। यदि पीछा करने का जोखिम पैदा हुआ तो परेशान करने वाले संपर्क के स्क्रीनशॉट।
उच्च BIPA हर्जाने के लिए ($5,000 जानबूझकर बनाम $1,000 लापरवाही): दिखाएं कि कंपनी BIPA के बारे में जानती थी। साक्ष्य: कंपनी के इलिनोइस में कर्मचारी/ग्राहक हैं (उन्हें BIPA के बारे में पता होना चाहिए)। कंपनी या उद्योग के खिलाफ पिछले BIPA मुकदमे। कंपनी के अनुबंधों में BIPA अनुपालन खंड। BIPA पर चर्चा करने वाले आंतरिक ईमेल (मुकदमे में खोजे जा सकते हैं)। यदि कंपनी ने सूचित किए जाने के बाद BIPA को अनदेखा किया, तो यह लापरवाही/जानबूझकर है।
जांचें: (1) क्या कंपनी ने आपकी चेहरे की पहचान, फिंगरप्रिंट, आईरिस स्कैन, वॉयसप्रिंट, या अन्य बायोमेट्रिक डेटा एकत्र किया? (2) क्या आप संरक्षित क्षेत्राधिकार में हैं (इलिनोइस, टेक्सास, कैलिफ़ोर्निया, EU, आदि)? (3) क्या आपने उचित लिखित सहमति दी (BIPA के लिए, इसका मतलब अलग प्रकटीकरण और सहमति है—केवल सामान्य शर्तें नहीं)? (4) क्या कंपनी ने आवश्यक प्रक्रियाओं (प्रतिधारण नीति, विनाश समय-सीमा, सुरक्षा उपाय) का पालन किया? यदि कंपनी ने इलिनोइस में लिखित BIPA सहमति के बिना बायोमेट्रिक डेटा एकत्र किया, तो आपका लगभग निश्चित रूप से एक दावा है—तुरंत वकील से सलाह लें (5 साल की सीमा अवधि, लेकिन देरी न करें)।
साक्ष्य एकत्र करने के लिए अपने डेटा का अनुरोध करें: इलिनोइस: BIPA धारा 15(c) का हवाला देते हुए लिखित अनुरोध भेजें जिसमें पूछा गया हो: (1) एकत्र किया गया सभी बायोमेट्रिक डेटा, (2) लिखित प्रतिधारण और विनाश नीति, (3) उन तीसरे पक्षों की सूची जिनके साथ बायोमेट्रिक डेटा साझा किया गया था, (4) संग्रह और भंडारण की तारीखें। कैलिफ़ोर्निया CCPA: बायोमेट्रिक डेटा, स्रोत, तीसरे पक्ष के प्राप्तकर्ताओं सहित "व्यक्तिगत जानकारी के विशिष्ट टुकड़े" का अनुरोध करें। EU GDPR अनुच्छेद 15: सभी बायोमेट्रिक डेटा, प्रसंस्करण उद्देश्य, प्राप्तकर्ता, प्रतिधारण अवधि, स्वचालित निर्णय लेने के अस्तित्व का अनुरोध करें। कंपनियों को 30-45 दिनों के भीतर जवाब देना होगा। डेटा प्रदान करने से इनकार करना उल्लंघन का अतिरिक्त सबूत है।
व्यक्तिगत मुकदमा दायर करने से पहले, जांच लें कि क्या आपकी स्थिति के लिए कोई क्लास एक्शन मौजूद है: Google पर "[Company Name] BIPA क्लास एक्शन" खोजें या classaction.org देखें। classaction.org, topclassactions.com, ilbipalitigation.com देखें। इलिनोइस BIPA मुकदमे: नियोक्ताओं (विनिर्माण, स्वास्थ्य सेवा, खुदरा), तकनीकी कंपनियों (चेहरे की पहचान वाले ऐप्स), मकान मालिकों (भवन पहुंच प्रणाली) के खिलाफ कई लंबित हैं। यदि क्लास एक्शन मौजूद है और आप योग्य हैं, तो इसमें शामिल होना आसान है (समझौता स्वीकृत होने पर दावा फॉर्म दाखिल करें)। यदि कोई क्लास एक्शन नहीं है लेकिन कई लोग प्रभावित हैं (सहकर्मी, अन्य ग्राहक), तो क्लास एक्शन शुरू करने के बारे में वकील से सलाह लें (समझौते के लिए अधिक लाभ)।
इसमें विशेषज्ञता वाले वकील खोजें: BIPA मुकदमा (इलिनोइस), गोपनीयता कानून, उपभोक्ता संरक्षण, रोजगार कानून (कार्यस्थल बायोमेट्रिक दावों के लिए)। अधिकांश BIPA वकील आकस्मिकता के आधार पर काम करते हैं (वसूली का 33-40%, कोई अग्रिम शुल्क नहीं) क्योंकि: BIPA विजयी वादियों को प्रतिवादी से वकील की फीस वसूलने की अनुमति देता है। वैधानिक हर्जाना ($1,000-$5,000 प्रति उल्लंघन) नुकसान के सबूत के बिना भी मामलों को आर्थिक रूप से व्यवहार्य बनाता है। प्रारंभिक परामर्श आमतौर पर मुफ्त होता है। वकील मूल्यांकन करेगा: दावे की ताकत, प्रतिवादी की संपत्ति (निर्णय-प्रूफ छोटे व्यवसाय पर मुकदमा करने का कोई मतलब नहीं), व्यक्तिगत या क्लास एक्शन दायर करना है या नहीं, संभावित समझौता मूल्य।
इलिनोइस BIPA: सीधे इलिनोइस राज्य अदालत में दायर करें (कोई प्रशासनिक फाइलिंग आवश्यक नहीं)। स्थान: वह काउंटी जहां उल्लंघन हुआ या जहां प्रतिवादी व्यवसाय करता है। टेक्सास CUBI: टेक्सास राज्य अदालत में दायर करें; हर्जाने के लिए वास्तविक नुकसान दिखाना पड़ सकता है। कैलिफ़ोर्निया/अन्य राज्य: लागू गोपनीयता कानून, सामान्य कानून (गोपनीयता का उल्लंघन, लापरवाही), या AG प्रवर्तन की प्रतीक्षा करें। कई मामले मुकदमे से पहले सुलझ जाते हैं: नियोक्ता अक्सर मुकदमेबाजी लागत और मिसाल से बचने के लिए प्रति कर्मचारी $2,000-$10,000 में BIPA दावों का निपटारा करते हैं। यदि क्लास एक्शन प्रमाणन की संभावना है तो तकनीकी कंपनियां जल्दी समझौता कर सकती हैं। मांग पत्र (वकील से) कभी-कभी उल्लंघन स्पष्ट होने पर त्वरित समझौते का परिणाम होते हैं।
खोज: आपका वकील कंपनी के रिकॉर्ड को तलब करेगा: बायोमेट्रिक डेटा प्रतिधारण नीतियां, IT सिस्टम दस्तावेज़ीकरण, सहमति फॉर्म (या उनकी कमी), आपके बायोमेट्रिक डेटा तक किसने पहुंच बनाई, विक्रेताओं के साथ संचार, पिछले मुकदमे। विशेषज्ञ गवाह: बायोमेट्रिक सिस्टम का फोरेंसिक विश्लेषण, सुरक्षा विश्लेषण (यदि डेटा उल्लंघन), हर्जाना गणना। क्लास प्रमाणन (यदि क्लास एक्शन): वकील को सामान्यता (सभी क्लास सदस्यों का एक ही दावा है), पर्याप्तता (प्रतिनिधि वादी विशिष्ट हैं), संख्यात्मकता (पर्याप्त क्लास सदस्य) साबित करनी होगी। परीक्षण या मध्यस्थता: यदि मामला सुलझता नहीं है, तो परीक्षण (जूरी या बेंच)। BIPA मामले अक्सर खोज के दौरान सुलझ जाते हैं जब कंपनी को पता चलता है कि सबूत मजबूत हैं। अपील: BIPA कानून अभी भी विकसित हो रहा है—कुछ मामले कानूनी व्याख्या के लिए इलिनोइस सुप्रीम कोर्ट में जाते हैं।
आप कंपनी पर दबाव डालने और दूसरों की रक्षा के लिए नियामक शिकायतें भी दर्ज कर सकते हैं: इलिनोइस अटॉर्नी जनरल: BIPA उल्लंघन का आरोप लगाते हुए शिकायत दर्ज करें (AG जांच कर सकता है या मुकदमे में शामिल हो सकता है)। कैलिफ़ोर्निया गोपनीयता संरक्षण एजेंसी: CCPA उल्लंघन का आरोप लगाते हुए शिकायत दर्ज करें (जुर्माना हो सकता है)। FTC: reportfraud.ftc.gov पर शिकायत दर्ज करें यदि कंपनी ने भ्रामक गोपनीयता वादे किए या COPPA (बच्चों) का उल्लंघन किया। EU: GDPR अनुच्छेद 9 उल्लंघन का आरोप लगाते हुए राष्ट्रीय डेटा संरक्षण प्राधिकरण (जैसे UK में ICO, फ्रांस में CNIL) के पास शिकायत दर्ज करें। नियामक कार्रवाइयां निजी मुकदमों के समानांतर चल सकती हैं और समझौते के दबाव को बढ़ा सकती हैं।
अपने बायोमेट्रिक डेटा की सुरक्षा और उल्लंघनों के लिए मुआवजे का पीछा करने के लिए इन चरणों का पालन करें