从面部识别追踪到指纹数据泄露,了解如何反击未经授权的生物识别数据收集。伊利诺伊州BIPA保护,Meta $1.4B德克萨斯州和解,Clearview AI判决,以及GDPR第9条特殊类别数据权利。
您的面部、指纹、虹膜模式、声纹,甚至您的DNA都是独一无二的生物识别标识符——比密码或信用卡号敏感得多,因为一旦被盗或滥用,它们无法更改。然而,公司在极少监管下越来越多地收集这些生物识别数据,将面部识别嵌入社交媒体应用,使用指纹扫描进行工作场所考勤,部署虹膜扫描仪进行楼宇门禁,并从互联网上抓取数十亿张照片以建立监控数据库——通常没有明确同意、充分安全措施或披露数据将如何使用或共享。
未经授权收集生物识别数据的后果是严重的。一旦您的面部几何特征或指纹模板在数据泄露中被盗,犯罪分子可以永久用于身份盗窃——您无法获得一张新面孔或新指纹。生物识别监控系统可以在您不知情的情况下,对您在公共场所、商店和工作场所的行动进行普遍追踪。嵌入面部识别系统中的歧视性算法以惊人的速度错误识别少数族裔,导致错误逮捕(截至2024年,美国至少有六起有记录的案件)。公司通过将您的生物识别数据出售给广告商、数据经纪人甚至威权政府来获利。
伊利诺伊州于2008年率先颁布了《生物识别信息隐私法》(BIPA),这是美国最强有力的生物识别隐私法,赋予个人私人诉讼权,可以起诉未经书面同意和披露而收集生物识别数据的公司。BIPA规定,每次过失侵权可获得$1,000的法定赔偿金,每次鲁莽/故意侵权可获得$5,000的法定赔偿金——这意味着无需证明实际损害。德克萨斯州随后出台了《生物识别标识符捕获或使用法》(CUBI)(2023年修正案加强了执法)。加利福尼亚州的CCPA将生物识别数据归类为敏感个人信息,需要加强保护。欧盟的GDPR第9条将生物识别数据视为“特殊类别”数据,要求明确同意和严格安全措施。
重大和解案件验证了这些保护措施:Meta因未经同意收集面部识别数据向德克萨斯州支付了$1.4亿美元(2024年),这是单个州达成的最大隐私和解。Meta此前曾支付$6.5亿美元,以和解一项关于Facebook照片标签的伊利诺伊州BIPA集体诉讼。Clearview AI支付了$5,000万美元,以和解伊利诺伊州关于抓取数十亿张照片的索赔。Google因Google相册面部识别(伊利诺伊州)支付了$1亿美元。Amazon Ring、Six Flags、Snapchat、TikTok以及数十家雇主已支付了从$50万到$1亿美元不等的BIPA和解金。个人BIPA索赔通常每人可获得$5,000-$15,000。本指南将向您展示如何识别生物识别隐私侵权、了解您的权利,并寻求所有可能的赔偿途径。
伊利诺伊州BIPA (740 ILCS 14/) 是美国最强有力的生物识别隐私法。它适用于任何收集、捕获、存储或使用伊利诺伊州居民生物识别标识符(面部几何特征、指纹、声纹、虹膜扫描、视网膜扫描、手部扫描、步态识别)的私人实体——即使该公司总部设在其他地方。公司必须:(1) 制定并公布书面保留和销毁政策;(2) 提供书面通知,说明正在收集生物识别数据;(3) 获得书面同意;(4) 绝不出售、出租或从生物识别数据中获利;(5) 采取合理措施保护生物识别数据(与金融数据相同的标准)。
BIPA的核心权力:私人诉讼权。您可以直接在伊利诺伊州法院提起诉讼,无需提交行政投诉。损害赔偿金:每次过失侵权$1,000,每次故意/鲁莽侵权$5,000,外加律师费。无需证明实际损害——侵权行为本身即构成索赔。法院已裁定每次扫描都可视为一次单独的侵权(例如,如果雇主在2年内为考勤机扫描您的指纹500次,潜在损害赔偿金:$50万-$250万,尽管法院通常判决的金额会更少)。诉讼时效:5年(对于书面发布侵权有时为1年——情况复杂)。
Common BIPA Violations:
常见BIPA侵权行为:雇主在未经书面同意的情况下要求指纹扫描。Facebook在未经同意的情况下使用面部识别在照片中标记您。安全系统在未披露的情况下扫描您的面部以供楼宇进入。零售商在未通知的情况下使用面部识别进行客户追踪。应用程序在未经同意的情况下分析您的声纹。
德克萨斯州商业与商务法典第503章(2023年加强)保护生物识别标识符(面部几何特征、声纹、视网膜/虹膜扫描、指纹、手部扫描、按键动态)。公司必须:(1) 告知个人正在捕获生物识别数据;(2) 获得同意(可在服务条款中,但必须明确);(3) 在目的达成后合理时间内销毁数据;(4) 采取合理措施保护数据。禁止:未经同意不得出售、出租或披露生物识别数据。
执法:德克萨斯州总检察长可提起诉讼,要求禁令救济和每次侵权$25,000的罚款。私人诉讼权:个人如果遭受损害,可以起诉要求实际损害赔偿金,外加律师费。与伊利诺伊州BIPA不同,德克萨斯州CUBI要求私人诉讼提供实际损害证明(举证责任更重),但州执法一直积极——Meta的$1.4B和解案就是德克萨斯州总检察长根据CUBI + Texas DTPA提起的。集体诉讼是可能的。
Note:
德克萨斯州总检察长执法重点(2024年):社交媒体面部识别、未经同意的员工生物识别追踪、暴露生物识别数据的数据泄露、向第三方出售生物识别数据。
CCPA (Cal. Civ. Code § 1798.100 et seq.) 将“生物识别信息”(可用于识别的生理、生物或行为特征,包括面部图像、虹膜扫描、指纹、声纹、按键模式、步态)归类为“敏感个人信息”。企业必须:(1) 在隐私政策中披露生物识别数据的收集;(2) 提供选择退出权(消费者可限制数据用于必要目的);(3) 未经明确选择加入同意不得出售生物识别数据。侵权:加利福尼亚州总检察长或隐私保护机构可对每次侵权处以$2,500罚款(故意侵权为$7,500)。数据泄露:如果生物识别数据因缺乏合理安全措施而泄露,消费者可就每次事件起诉要求$100-$750的赔偿金,或实际损害赔偿金(以较高者为准),外加律师费。与伊利诺伊州BIPA不同,CCPA在没有数据泄露的情况下,不为未经同意的收集提供法定赔偿金。
RCW 19.375要求将消费者纳入生物识别标识符系统的企业:(1) 提供注册目的和期限的通知;(2) 获得同意;(3) 在目的达成时或3年内销毁数据。侵权行为由华盛顿州总检察长根据《消费者保护法》执行:每次侵权最高可处以$7,500罚款。私人诉讼权:如果消费者遭受损害,可以起诉要求实际损害赔偿金、禁令救济和律师费。比CCPA更强,但比伊利诺伊州BIPA弱(个人损害赔偿要求证明损害)。
GDPR第9条将用于唯一识别的生物识别数据(面部识别、指纹匹配、虹膜扫描、DNA)归类为“特殊类别”个人数据,要求明确同意(不仅仅是选择加入,而是积极、知情、自由给予的同意)或符合第9条的其他例外情况(例如,具有法律依据的重大公共利益)。数据控制者必须对生物识别处理进行数据保护影响评估 (DPIA)。安全要求有所提高。
侵权:最高可处以€2,000万或全球年营业额的4%(以较高者为准)。个人可根据第82条起诉要求物质和非物质损害赔偿金(欧盟法院已对造成精神痛苦的生物识别GDPR侵权判决€2,000-€10,000,如果涉及数据泄露或歧视则更高)。删除权(第17条):如果同意无效或数据不再必要,您可以要求删除您的生物识别数据。国家数据保护机构 (DPA) 负责执行——向您所在欧盟国家的DPA提交投诉。
Major GDPR Fines:
主要GDPR生物识别罚款:Clearview AI(因非法面部识别数据库在多个欧盟国家被处以€2,000万以上罚款),H&M(因员工监控被处以€3,500万罚款),英国航空公司(因生物识别护照数据泄露被处以£2,000万罚款)。
尚未有全面的联邦生物识别隐私法,但:(1) FTC Act Section 5:如果公司违反隐私政策承诺或未披露而收集生物识别数据,FTC可以起诉其不公平/欺骗性行为。Snapchat、TikTok、Facebook已和解FTC投诉。(2) 《儿童在线隐私保护法》(COPPA):禁止在未经可验证的父母同意下收集13岁以下儿童的生物识别数据。(3) 拟议的联邦法律:《国家生物识别信息隐私法》(待定,以伊利诺伊州BIPA为蓝本),《第四修正案不可出售法案》(限制政府购买生物识别数据)。(4) 联邦机构:HHS HIPAA涵盖医疗保健实体收集的生物识别数据。机场的TSA面部识别受《隐私法》管辖——补救措施有限。
德克萨斯州总检察长根据Texas CUBI和《欺骗性贸易行为法》起诉Meta(Facebook),指控其未经同意通过照片标签收集了数百万德克萨斯州居民的面部识别数据。Facebook的面部识别功能会自动扫描上传照片中的面部以建议标签,从而收集面部几何特征。和解:$14亿美元(单一州最大隐私和解),分5年支付。Meta同意在未经明确同意的情况下停止在德克萨斯州使用面部识别,删除此前收集的数据,并接受监督。意义:证明即使在联邦法律缺失的情况下,州总检察长也可以根据州生物识别法律获得巨额损害赔偿。
集体诉讼Patel v. Facebook指控Facebook的照片标签面部识别功能违反了伊利诺伊州BIPA,未经160万伊利诺伊州用户的书面同意收集和存储面部几何特征。联邦法院批准了$6.5亿美元的和解金(每人平均$397,部分人根据使用年限获得$300-$500)。要求:在2011年6月至2021年8月期间拥有Facebook账户的伊利诺伊州居民,且您或朋友出现在照片中。意义:当时最大的BIPA和解案和最大的隐私集体诉讼。确立了即使是朋友上传的照片(而非您本人上传),自动面部识别也触发BIPA的同意要求。
Clearview AI从社交媒体、网站和公共互联网抓取了300亿张照片,建立了面部识别数据库,并出售给执法部门和私人公司。伊利诺伊州居民根据BIPA提起诉讼。和解(2024年):$5,000万美元(以Clearview股票支付给集体诉讼成员——有争议的结构),外加全国性禁令:Clearview被禁止向美国私人公司出售数据库访问权限,必须通知个人其生物识别数据是否在数据库中并允许选择退出。单独和解:ACLU和解限制了Clearview的使用。多个欧盟国家根据GDPR对Clearview处以€2,000万以上罚款。加利福尼亚州、佛蒙特州有正在进行的案件。意义:确立了即使照片是公开张贴的,抓取公共照片以建立面部识别数据库也违反BIPA。
集体诉讼指控Google相册的面部识别分组功能(“人脸聚类”以按人物整理照片)在未经书面同意的情况下收集和存储面部几何数据,违反了BIPA。和解:向在2015年5月至2023年4月期间使用Google相册并出现在照片中的伊利诺伊州居民支付1亿美元。平均每人赔付:150-400美元。Google同意在伊利诺伊州进行面部识别前提供更清晰的BIPA披露并获得同意。意义:这是针对Google的首个重大BIPA和解,表明云照片服务受BIPA管辖。
FTC起诉亚马逊的Ring门铃摄像头:(1) 允许员工无限制地访问客户视频录像,包括私密时刻;(2) 未经同意使用客户视频进行面部识别以训练AI;(3) 安全漏洞导致黑客访问摄像头。和解:580万美元用于消费者赔偿。亚马逊同意删除不当收集的数据,实施隐私保护措施,并停止在未经明确同意的情况下将客户视频用于AI训练。意义:确立了FTC将根据第5节执行生物识别隐私,即使没有具体的联邦生物识别法律。
Rosenbach诉六旗公司案(伊利诺伊州最高法院2019年)确立了关键的BIPA先例:六旗公司在未经书面同意或披露的情况下,扫描了一名青少年的指纹以办理季票。伊利诺伊州最高法院裁定:在未经同意的情况下收集生物识别数据即构成BIPA违规——无需证明实际损害(推翻了下级法院的驳回)。随后的集体诉讼以3600万美元和解(针对2013-2018年期间指纹被扫描的伊利诺伊州季票持有者)。平均每人赔付:200-400美元。意义:里程碑式的案件,确立了BIPA即使没有实际损害也具有效力。
集体诉讼指控Snapchat的增强现实镜头/滤镜(小狗耳朵、换脸等)在未经BIPA同意的情况下使用面部识别来绘制面部几何数据。和解:向2015年1月至2022年11月期间使用过这些滤镜的伊利诺伊州Snapchat用户支付3500万美元。平均每人:58美元。Snapchat同意在伊利诺伊州提供BIPA披露。意义:确立了收集面部几何数据的“有趣”AR滤镜受BIPA管辖——不属于“商业娱乐”而豁免。
集体诉讼合并了21起指控TikTok的案件:(1) 未经同意收集面部识别和声纹数据(伊利诺伊州BIPA索赔);(2) 与中国共享数据;(3) 侵犯儿童隐私。和解:向截至2021年10月的美国TikTok用户支付9200万美元(2021年)。伊利诺伊州BIPA索赔人获得了更高的赔付(167-500美元,具体取决于活动水平)。TikTok同意停止某些数据收集做法并提供更清晰的隐私披露。意义:这是针对一家主要中资平台的首批重大BIPA和解之一。
数百家伊利诺伊州雇主因在未经书面同意的情况下要求指纹扫描打卡而根据BIPA被起诉:麦当劳特许经营店(5000万美元和解)、亿滋/纳贝斯克(500万美元)、卡车运输公司、仓库、医疗机构。大多数案件以每名受影响员工500-5000美元和解。意义:确立了工作场所生物识别系统必须遵守BIPA——雇佣关系不构成豁免。实际影响:大多数大型伊利诺伊州雇主现在使用徽章而非生物识别打卡机。
生物识别隐私案件需要证明:(1) 公司收集/存储了您的生物识别数据,(2) 未经适当同意/披露,(3) 违反了适用法律。以下是收集证据的方法:
记录收集了哪些生物识别数据:面部识别(安全摄像头、应用程序滤镜、照片标记)、指纹扫描(打卡机、门禁、手机解锁)、虹膜/视网膜扫描(机场安检、高安全级别访问)、声纹(语音助手、呼叫中心)、步态识别(监控系统)。证据:拍摄设备/标志的照片,截取显示生物识别访问的应用程序权限,查阅提及面部识别或生物识别数据的隐私政策。
对于伊利诺伊州BIPA索赔,您必须证明公司未提供:(1) 书面披露正在收集生物识别数据,(2) 书面披露存储目的和期限,(3) 书面同意(签名或勾选同意生物识别数据收集)。证据:证明您从未签署过生物识别同意书。如果同意“隐藏”在一般服务条款或隐私政策中,而没有专门的生物识别部分,这通常不符合BIPA的“书面披露和同意”要求(法院裁定BIPA要求单独、具体的披露——而非一般的隐私政策语言)。如果雇主在没有培训或同意书的情况下实施指纹打卡机,这是强有力的证据。检查招聘文件——如果没有生物识别同意,您就有索赔权。
伊利诺伊州BIPA:您必须是伊利诺伊州居民或伊利诺伊州机构的员工。德克萨斯州CUBI:德克萨斯州居民。CCPA:加利福尼亚州居民。GDPR:欧盟居民或您的数据由欧盟的数据控制者处理。证据:证明居住地(水电费账单、驾驶执照、显示伊利诺伊州工作场所的就业记录)。即使公司总部设在其他地方,伊利诺伊州BIPA也适用——如果您在伊利诺伊州居住/工作,并且他们收集了您的生物识别数据,BIPA就适用。
证明公司实际收集/存储了生物识别数据:带有您姓名的Facebook照片标签建议截图。指纹打卡记录(根据数据访问权向雇主请求)。应用程序请求面部识别权限。监控摄像头录像(根据GDPR第15条/CCPA访问权请求)。生物识别数据泄露通知(如果公司通知您泄露)。专家证词(法医分析显示应用程序使用面部识别,即使未披露)。
伊利诺伊州BIPA:无需证明损害——违规本身即构成索赔。德克萨斯州CUBI私人诉讼:必须证明实际损害(精神痛苦、处理违规所需时间/费用、身份盗窃风险)。CCPA:必须证明数据泄露或实际损害。GDPR:可以就“非物质损害”(精神痛苦、焦虑)获得赔偿,无需经济损害。记录损害:与违规相关的焦虑/治疗的医疗记录。处理问题所花费的时间(小时数×合理时薪)。如果生物识别数据泄露,提供身份盗窃尝试的证据。如果造成跟踪风险,提供骚扰联系的截图。
对于更高的BIPA损害赔偿(故意5000美元 vs 过失1000美元):证明公司知晓BIPA。证据:公司有伊利诺伊州员工/客户(应知晓BIPA)。针对公司或行业的先前BIPA诉讼。公司合同中的BIPA合规条款。讨论BIPA的内部电子邮件(可在诉讼中发现)。如果公司在收到通知后仍无视BIPA,则属于鲁莽/故意行为。
检查:(1) 公司是否收集了您的面部识别、指纹、虹膜扫描、声纹或其他生物识别数据?(2) 您是否处于受保护的司法管辖区(伊利诺伊州、德克萨斯州、加利福尼亚州、欧盟等)?(3) 您是否提供了适当的书面同意(对于BIPA,这意味着单独的披露和同意——而不仅仅是通用条款)?(4) 公司是否遵循了所需程序(保留政策、销毁时间表、安全措施)?如果公司在伊利诺伊州未经BIPA书面同意收集了生物识别数据,您几乎肯定有索赔权——请立即咨询律师(诉讼时效为5年,但请勿拖延)。
请求您的数据以收集证据:伊利诺伊州:发送书面请求,援引BIPA第15(c)节,要求提供:(1) 所有收集的生物识别数据,(2) 书面保留和销毁政策,(3) 共享生物识别数据的第三方列表,(4) 收集和存储日期。加利福尼亚州CCPA:请求“特定个人信息片段”,包括生物识别数据、来源、第三方接收者。欧盟GDPR第15条:请求所有生物识别数据、处理目的、接收者、保留期限、是否存在自动化决策。公司必须在30-45天内回应。拒绝提供数据是违规的额外证据。
在提起个人诉讼之前,检查您的案件是否存在集体诉讼:搜索“[公司名称] BIPA集体诉讼”或“[公司名称]生物识别诉讼”。查看classaction.org、topclassactions.com、ilbipalitigation.com。伊利诺伊州BIPA诉讼:许多针对雇主(制造业、医疗保健、零售业)、科技公司(带面部识别的应用程序)、房东(楼宇门禁系统)的诉讼正在进行中。如果存在集体诉讼且您符合条件,加入很简单(和解获批后提交索赔表)。如果没有集体诉讼但许多人受影响,律师可能会提起集体诉讼(为和解争取更多筹码)。
寻找专门从事以下领域的律师:BIPA诉讼(伊利诺伊州)、隐私法、消费者保护、劳动法(针对工作场所生物识别索赔)。大多数BIPA律师按风险代理(33-40%的赔偿金,无前期费用),因为:BIPA允许胜诉原告向被告追讨律师费。法定损害赔偿(每次违规1000-5000美元)使得即使没有损害证明,案件在经济上也是可行的。初步咨询通常免费。律师将评估:索赔的强度、被告的资产(起诉无力偿债的小企业毫无意义)、是提起个人诉讼还是集体诉讼、潜在和解价值。
伊利诺伊州BIPA:直接在伊利诺伊州州法院提起诉讼(无需行政备案)。管辖地:违规发生地或被告经营所在地。德克萨斯州CUBI:在德克萨斯州州法院提起诉讼;可能需要证明实际损害才能获得赔偿。加利福尼亚州/其他州:根据适用的隐私法、普通法(侵犯隐私、过失)提起诉讼,或等待总检察长执法。许多案件在审判前和解:雇主通常以每名员工2000-10000美元和解BIPA索赔,以避免诉讼成本和先例。如果集体诉讼认证可能性大,科技公司可能会提前和解。如果违规行为明确,律师发出的要求函有时会导致快速和解。
证据开示:您的律师将传唤公司记录:生物识别数据保留政策、IT系统文档、同意书(或缺乏同意书)、谁访问了您的生物识别数据的记录、与供应商的通信、先前的诉讼。专家证人:生物识别系统法医分析、安全分析(如果发生数据泄露)、损害赔偿计算。集体认证(如果集体诉讼):律师必须证明共同性(所有集体成员都有相同的索赔)、充分性(代表性原告具有典型性)、人数众多(有足够的集体成员)。审判或仲裁:如果案件未和解,则进行审判(陪审团或法官)。当公司意识到证据确凿时,BIPA案件通常在证据开示阶段和解。上诉:BIPA法律仍在发展中——一些案件会上诉至伊利诺伊州最高法院进行法律解释。
您还可以提交监管投诉以向公司施压并保护他人:伊利诺伊州总检察长:提交指控BIPA违规的投诉(总检察长可能会调查或加入诉讼)。加利福尼亚州隐私保护局:提交指控CCPA违规的投诉(可能导致罚款)。FTC:如果公司做出欺骗性隐私承诺或违反COPPA(儿童),请在reportfraud.ftc.gov提交投诉。欧盟:向国家数据保护机构(例如,英国的ICO,法国的CNIL)提交指控GDPR第9条违规的投诉。监管行动可以与私人诉讼并行,并增加和解压力。
遵循这些步骤来保护您的生物识别数据并追究侵权赔偿