Иллинойс смягчает контроль за биометрией: что это значит для местного бизнеса

В штате Иллинойс, США, смягчили наказания за нарушения строгого закона о биометрической конфиденциальности (BIPA), который вступил в силу ещё в 2008 году. Этот закон запрещает компаниям, работающим в Иллинойсе, собирать, использовать, хранить и передавать биометрические данные, такие как сканирование сетчатки, лица, отпечатков пальцев и голосовых отпечатков, без надлежащего уведомления и согласия.

Ранее нарушителям грозили штрафы: $1000 за каждое небрежное нарушение и $5000 за умышленные или халатные нарушения. Свежие изменения в законе, подписанные губернатором Джей Би Притцкером в июне, предполагают, что несколько случаев передачи данных одного человека будут считаться одним нарушением, за что отныне предусмотрен также один штраф, а не за каждую продажу отдельно.

Алан Л. Фриел, заместитель председателя практики конфиденциальности данных и кибербезопасности в юридической фирме Squire Patton Boggs, раскритиковал эти изменения. В своём комментарии для National Law Review он отметил, что новая система штрафов будет невыгодна для адвокатов истцов, так как значительно уменьшит потенциальные убытки и снизит стоимость урегулирования исков.

Однако бизнес-сообщество приветствует эти изменения. Институт информационных технологий и инноваций (ITIF) считает, что такие послабления являются положительным шагом. Старший менеджер по политике ITIF Эш Джонсон отметила, что BIPA является примером чрезмерно строгого закона о конфиденциальности. По её мнению, значительные штрафы за незначительные нарушения и частные иски создавали многомиллионные урегулирования.

Джонсон добавила, что новая поправка делает закон немного лучше, но само его существование отпугивает бизнес в Иллинойсе от использования биометрических данных. По её мнению, необходим федеральный закон о защите данных, который бы заменил такие законы, как BIPA, и защищал бы все формы персональных данных без препятствий для инноваций.

Одним из самых известных дел по BIPA был иск против компании Meta за использование имён шести миллионов жителей Иллинойса на фотографиях, размещённых в Facebook. Meta урегулировала дело, выплатив $550 миллионов, что, по сравнению с доходом компании в $13,5 миллиарда за последний квартал, было незначительной суммой.

Однако не все иски по BIPA оказываются успешными. В июле 2023 года суд отклонил иск одного жителя Иллинойса против McDonald’s, утверждавшего, что их автоматизированные терминалы на автостоянках нарушали BIPA.