הרגולציה הביומטרית מתחממת, מעידה על כאבי ראש של תאימות

השנה עשויה להיות ברכה לחקיקת פרטיות ביומטרית. הנושא מתחמם ונמצא בצומת של ארבע מגמות: הגברת איומים מבוססי בינה מלאכותית (AI), הגדלת השימוש ביומטרי על ידי עסקים, חקיקת פרטיות חדשה צפויה ברמת המדינה, ו צו ביצוע חדש שהוציא הנשיא ביידן השבוע הכולל הגנות פרטיות ביומטריות.

אבל הביקורת המוגברת עלולה לגרום לאחור: תקנות אלה עלולות ליצור קונפליקטים ובעיות שלטון מורכבות עבור תאגידים המנסים לעמוד בהקצרות החדשות, במיוחד כשמדובר במנה של חוקים חדשים מבוססי מדינה שאמורים להיכנס לתוקף. המשמעות היא שעסקים צריכים להישאר מעודכנים ככל שהנוף המשפטי הזה מתפתח.

איימי דה לה לאמה - עורכת דין עם בריאן קייב לייטון פייזנר, אשר עוקב אחר חוקי הפרטיות של המדינה - אומר שעסקים צריכים להיות יותר צופים קדימה ולצפות ולהבין את הסיכונים כדי לבנות את התשתית המתאימה למעקב ושימוש בתוכן ביומטרי.

"זה אומר שהם צריכים לעבוד יותר מקרוב בין הפונקציות העסקיות והמשפטיות שלהם כדי להבין כיצד להשתמש ביומטריה במוצרים ובשירותים שלהם ולהבין את הדרישות המשפטיות", היא אומרת.

תקנת ביומטריה מפגרת את מאמצי הפרטיות של המדינה

מדינות שונות חוקקו חוקי פרטיות נתונים בשנתיים האחרונות, כולל דלאוור, אינדיאנה, איווה, מונטנה, ניו ג'רזי, אורגון, טנסי וטקסס. זה מוסיף לחוקי הפרטיות שכבר נחקקו בקליפורניה, קולורדו, קונטיקט, יוטה ווירג'יניה.

אולם למרות המעטפת ההולכת וגדלה של הגנת הפרטיות, לא כל המדינות עשו הרבה בדרך של ויסות ביומטריה. לדוגמה, חוקי הפרטיות של קולורדו אינם מגדירים במפורש נתונים ביומטריים, אלא יש תקנות לגבי אופן עיבודם.

בינתיים, חמש מדינות ספציפיות העבירו תקנות הקשורות לביומטריה (אילינוי, מרילנד, ניו יורק, טקסס וושינגטון). למרות שזה נשמע כמו טרנד, רבים מהחוקים הללו מוגבלים, כמו החוק בניו יורק שמתמקד אך ורק באיסורים באיסוף טביעות אצבע מעובדים כתנאי להעסקה.

מבין חמש המדינות הקיימות עם חוקים הקשורים לביומטריה, אילינוי' חוק פרטיות מידע ביומטרי קיים הארוך ביותר - מאז 2008 - והוא המקיף ביותר, המכסה את האופן שבו נתונים ביומטריים נאספים, מאוחסנים ומשתמשים בהם. עם זאת לקח עד השבוע להסדיר את הנזקים תביעה שהגישה קבוצת נהגי משאיות נגד מסילת הברזל של BNSF לפני מספר שנים בגלל הדרישה לסרוק את טביעות האצבעות שלהם לפני הכניסה לחצר רכבות באילינוי.

דברים עשויים להשתנות: ניו יורק שוקלת השנה לפחות שלוש הצעות חוק המנסות להרחיב את ההגנות לבקרות ביומטריות מקיפות יותר, ויש הצעות חוק בלפחות 14 ועדות אחרות של מדינות לפרשנות רחבה יותר גם לעניינים ביומטריים.

מכלול טלאים מבלבל של דרישות תאימות נתונים

ההבדלים העדינים בין כל חוקי המדינה יכולים לגרום להתנגשויות ציות. ישנם הבדלים בין אופן הסדרת הפרטיות הביומטרית, כמו גם תאריכי חקיקה כלליים ודרישות דיווח שונות.

"הביומטריה נמצאת בבירור על הכוונת כרגע", אומר דיוויד סטאוס, מומחה מוביל במשרד עורכי הדין Husch Blackwell, אשר עוקב אחר חוקי הפרטיות ברחבי הארץ, "והוא נמצא בראש הרשימה של ניהול דאגות רגישות. לחברות קשה מאוד לעקוב אחר כל הדרישות הללו. התקנות הללו הן מטרה שזזה כל הזמן, ודומה לבניית ספינה בזמן שאנו משיטים בה".

לדוגמה, חוקי הפרטיות של טקסס ומונטנה נכנסים לתוקף ב-1 ביולי, אך החוקים של אינדיאנה לא ייכנסו לתוקף עד 1 בינואר 2026. חוקי קליפורניה יוצרים דרישות חדשות למידע אישי רגיש ומאפשרים לצרכנים להגביל נתונים מסוימים שיכולים להיות בשימוש עסקים. לחוק של וירג'יניה יש הגדרה מגבילה יותר של נתונים ביומטריים ומגביל את האופן שבו ניתן לעבד אותם.

כמו כן, לכל מדינה יש תערובת שונה של אילו עסקים צריכים לדווח, בהתבסס על כמות ההכנסות שנוצרות בכל מדינה, מספר הצרכנים המושפעים והאם הם למטרות רווח או לא.

כל זה אומר שזה יהיה מסובך לחברות שעושות עסקים בארץ מכיוון שהן יצטרכו לבקר את נהלי הגנת הנתונים שלהן ולהבין כיצד הן משיגות הסכמת צרכנים או לאפשר לצרכנים להגביל את השימוש בנתונים כאלה ולוודא שהם תואמים את הדקויות השונות. בתקנות. 

תורם לכאבי הראש של הציות: הצו המנהל קובע יעדים גבוהים עבור סוכנויות פדרליות שונות כיצד להסדיר מידע ביומטרי, אך עלול להיות בלבול במונחים של אופן פרשנות התקנות הללו על ידי עסקים. לדוגמה, האם השימוש של בית חולים בביומטריה נופל על פי כללים של מינהל המזון והתרופות, שירותי הבריאות ושירותי האנוש, הסוכנות לאבטחת סייבר ותשתיות או ממשרד המשפטים? כנראה כל הארבעה.

וזה עוד לפני בהתחשב בהשלכות הבינלאומיות, כי אירופה ומקומות אחרים מוסיפים לשמיכה המטורפת הזו של כללי פרטיות.

השימוש ביומטרי מתרחב, למרות בעיות אמון

הנוף המשפטי המורכב הזה מונע על ידי השימוש הגובר בביומטריה להגנה על נתונים פרטיים ועסקיים - ואיומי אבטחת הסייבר הנלווים לכך.

הספקים עושים עבודה טובה יותר בשילוב הטכנולוגיות הללו בחבילות פיתוח תוכנה כוללות, כמו ההכרזה בסתיו שעבר כי אמזון תרחיב את תוכנת One סריקת כף היד שלה כדי לאפשר בקרות גישה טובות יותר לארגונים.

אבל בעוד שטכנולוגיות סריקת טביעות אצבע, פנים וסריקת כף היד קיימות כבר שנים (ה ה-FBI אסף מיליונים רבים של סריקות כף היד בעשור האחרון), אמזון מאחסנת את הדפסי כף היד שלה בענן, מה שעלול להגדיל את הסיכויים של דליפות או שימוש לרעה פוטנציאלי, לדברי מארק הרסט, מנכ"ל Creative Good.

"קוראי כף היד האלה נועדו לנרמל את פעולת הוויתור על הנתונים הביומטריים שלך בכל מקום ובכל זמן", אומר הרסט. "ומה קורה אם נתוני כף היד - כמו כל כך הרבה מערכות זיהוי אחרות - ייפרצו? בהצלחה במציאת כף יד חדשה".

בינתיים, התחזות לווידאו מזויף עמוק שנגרם על ידי AI על ידי פושעים העושים שימוש לרעה בנתונים ביומטריים כמו סריקות פנים נמצאות במגמת עלייה. מוקדם יותר השנה, התקפה מזויפת עמוקה בהונג קונג שימש לגניבה של יותר מ-25 מיליון דולר, ובהחלט יש אחרים שיעקבו כמו טכנולוגיית AI נעשית טובה וקלה יותר לשימוש לייצור זיופים ביומטריים.

התקנות הסותרות וההתעללות הפלילית יכולים להסביר מדוע אמון הצרכנים בביומטריה צנח. 

לפי סקר טכנולוגיות ביומטריות של GetApp לשנת 2024 מתוך 1,000 צרכנים, מספר האנשים שסומכים מאוד על חברות טכנולוגיה כדי להגן על נתונים ביומטריים ירד מ-28% בשנת 2022 ל-5% בלבד בשנת 2024. החברה טוענת כי הירידה נובעת מהמספר ההולך וגדל של הפרות מידע ודיווחים על גניבת זהות מקרים.

"כדי להפחית סיכונים משפטיים, מוניטין ופיננסיים, ודא שהנתונים הביומטריים ייקלטו בהסכמה ומאוחסנים בצורה מאובטחת בהתאם לתקנות הפרטיות", אומר זאק קאפרס, אנליסט אבטחה בכיר ב-GetApp. אבל זה עשוי להיות קל יותר לומר מאשר לעשות, במיוחד מכיוון שחוקים ביומטריים עתידיים מציעים דרישות סותרות.

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• מקור: https://www.darkreading.com/application-security/biometrics-regulation-portending-compliance-headaches