Biometrireguleringen bliver varmere, varsler overholdelseshovedpine

Dette år kan være en velsignelse for biometrisk privatlivslovgivning. Emnet er ved at blive varmere og ligger i skæringspunktet mellem fire tendenser: stigende kunstig intelligens (AI)-baserede trusler, voksende biometrisk brug af virksomheder, forventet ny lovgivning om privatlivets fred på statsniveau og en ny bekendtgørelse udstedt af præsident Biden denne uge, der inkluderer biometriske privatlivsbeskyttelse.

Men den øgede kontrol kan give bagslag: Disse regler kan skabe konflikter og komplekse styringsproblemer for virksomheder, der forsøger at imødekomme de nye restriktioner, især når det kommer til en tranche af nye statsbaserede love, der skal træde i kraft. Det betyder, at virksomheder skal holde sig opdateret, efterhånden som dette juridiske landskab udvikler sig.

Amy de La Lama - en advokat med Bryan Cave Leighton Paisner, som sporer statens privatlivslovgivning — siger, at virksomheder skal være mere fremadskuende og forudse og forstå risiciene for at opbygge den passende infrastruktur til at spore og bruge biometrisk indhold.

"Det betyder, at de bør arbejde tættere sammen mellem deres forretningsmæssige og juridiske funktioner for at forstå, hvordan man bruger biometri i deres produkter og tjenester og for at forstå de juridiske krav," siger hun.

Biometriforordning Forsinker statens indsats for beskyttelse af personlige oplysninger

Forskellige stater har vedtaget love om databeskyttelse i de sidste to år, herunder Delaware, Indiana, Iowa, Montana, New Jersey, Oregon, Tennessee og Texas. Dette tilføjer privatlivslovgivningen, der allerede er vedtaget i Californien, Colorado, Connecticut, Utah og Virginia.

Alligevel på trods af denne voksende ramme af privatlivsbeskyttelse, har ikke alle stater gjort meget i vejen for at regulere biometri. For eksempel definerer Colorados privatlivslovgivning ikke eksplicit biometriske data, men har regler om, hvordan de behandles.

I mellemtiden fem stater specifikt har vedtaget biometri-relaterede regler (Illinois, Maryland, New York, Texas og Washington). Selvom det lyder som en tendens, er mange af disse love begrænsede, såsom New York-loven, der udelukkende er fokuseret på forbud mod at indsamle fingeraftryk fra medarbejdere som en betingelse for ansættelse.

Af de fem eksisterende stater med biometri-relaterede vedtægter, Illinois' Biometrisk oplysning om privatlivets fred har eksisteret den længste - siden 2008 - og er den mest omfattende, der dækker, hvordan biometriske data indsamles, opbevares og bruges. Alligevel tog det indtil denne uge at afgøre skadeserstatningen retssag anlagt af en gruppe lastbilchauffører mod BNSF-jernbanen flere år siden over et krav om at scanne deres fingeraftryk, før de kommer ind på en jernbanegård i Illinois.

Ting kan ændre sig: New York overvejer mindst tre lovforslag i år, der forsøger at udvide beskyttelsen til mere omfattende biometriske kontroller, og der er lovforslag i mindst 14 andre staters udvalg også for en bredere fortolkning af biometriske forhold.

Et forvirrende patchwork af dataoverholdelseskrav

De subtile forskelle mellem alle statslige love kan forårsage overholdelseskonflikter. Der er forskelle mellem, hvordan biometrisk privatliv vil blive reguleret, såvel som overordnede ikrafttrædelsesdatoer og forskellige rapporteringskrav.

"Biometri er klart i trådkorset lige nu," siger David Stauss, en førende ekspert hos advokatfirmaet Husch Blackwell, som sporer privatlivets fred over hele landet, "og det er øverst på listen over håndtering af følsomme dataproblemer. Det er utroligt svært for virksomheder at spore alle disse krav. Disse regler er et konstant bevægende mål og ligner at bygge et skib, mens vi sejler det."

For eksempel træder Texas' og Montanas privatlivslovgivning i kraft den 1. juli, men Indianas love træder først i kraft den 1. januar 2026. Californiens love skaber nye krav til følsomme personlige oplysninger og giver forbrugerne mulighed for at begrænse visse data, der kan bruges af virksomheder. Virginias lov har en mere restriktiv definition af biometriske data og begrænser, hvordan de kan behandles.

Hver stat har også en forskellig blanding af, hvilke virksomheder der skal rapportere, baseret på hvor meget omsætning der genereres i hver stat, antallet af berørte forbrugere, og om de er for-profit eller ej.

Alt dette betyder, at det vil være kompliceret for virksomheder, der driver forretning nationalt, fordi de bliver nødt til at revidere deres databeskyttelsesprocedurer og forstå, hvordan de opnår forbrugernes samtykke eller giver forbrugerne mulighed for at begrænse brugen af ​​sådanne data og sørge for, at de matcher de forskellige finesser i reglementet. 

Bidrager til overholdelseshovedpinen: Bekendtgørelsen sætter høje mål for forskellige føderale agenturer i, hvordan man regulerer biometriske oplysninger, men der kan være forvirring med hensyn til, hvordan disse regler fortolkes af virksomheder. For eksempel, falder et hospitals brug af biometri under regler fra Food and Drug Administration, Health and Human Services, Cybersecurity and Infrastructure Security Agency eller Justitsministeriet? Sandsynligvis alle fire.

Og det er før endda i betragtning af de internationale konsekvenser, fordi Europa og andre steder føjer til denne skøre dyne af regler om privatliv.

Biometrisk brug udvides, på trods af tillidsproblemer

Dette komplekse juridiske landskab er drevet af den voksende brug af biometri til at beskytte private og forretningsdata – og de cybersikkerhedstrusler, der følger med det.

Leverandører gør et bedre stykke arbejde med at inkorporere disse teknologier i overordnede softwareudviklingspakker, såsom meddelelsen sidste efterår, at Amazon vil udvide sin Palm-scanning One-software for at muliggøre bedre virksomhedsadgangskontrol.

Men mens fingeraftryks-, ansigts- og håndfladescanningsteknologier har eksisteret i årevis (den FBI har indsamlet mange millioner håndfladescanninger i det sidste årti), gemmer Amazon sine palmeaftryk i skyen, hvilket kan gøre eventuelle lækager eller potentielle misbrug mere sandsynlige, ifølge Mark Hurst, Creative Goods administrerende direktør.

"Disse håndfladelæsere er beregnet til at normalisere handlingen med at opgive dine biometriske data hvor som helst og når som helst," siger Hurst. "Og hvad sker der, hvis palmedataene - som så mange andre ID-systemer - bliver hacket? Held og lykke med at finde en ny håndflade."

I mellemtiden er AI-inducerede deepfake videoefterligninger af kriminelle, der misbruger biometriske data som ansigtsscanninger, stigende. Tidligere i år, et dybt falsk angreb i Hong Kong blev brugt til at stjæle mere end 25 millioner dollars, og der er helt sikkert andre, der vil følge efter som AI-teknologi bliver bedre og nemmere at bruge til at producere biometriske forfalskninger.

De modstridende regler og kriminelle overgreb kan forklare, hvorfor forbrugernes tillid til biometri har taget et dyk. 

Ifølge GetApps 2024 Biometric Technologies Survey af 1,000 forbrugere er antallet af personer, der har stor tillid til teknologivirksomheder til at beskytte biometriske data, faldet fra 28 % i 2022 til kun 5 % i 2024. Virksomheden siger, at faldet skyldes det stigende antal databrud og rapporter om identitetstyveri sager.

"For at afbøde juridiske, omdømmemæssige og økonomiske risici skal du sikre, at biometriske data indfanges med samtykke og opbevares sikkert i overensstemmelse med reglerne om privatlivets fred," siger Zach Capers, senior sikkerhedsanalytiker hos GetApp. Men det kan være lettere sagt end gjort, især da fremtidige biometriske love tilbyder modstridende krav.

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
• PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
• PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
• PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
• Kilde: https://www.darkreading.com/application-security/biometrics-regulation-portending-compliance-headaches