Rozporządzenie dotyczące biometrii nabiera tempa, zwiastując problemy związane z przestrzeganiem przepisów

Ten rok może być dobrodziejstwem dla prawodawstwa dotyczącego prywatności biometrycznej. Temat nabiera tempa i leży na przecięciu czterech trendów: rosnących zagrożeń opartych na sztucznej inteligencji (AI), rosnącego wykorzystania biometrii przez przedsiębiorstwa, przewidywanych nowych przepisów dotyczących prywatności na szczeblu stanowym oraz nowe zarządzenie wykonawcze wydane przez prezydenta Bidena w tym tygodniu, który obejmuje biometryczną ochronę prywatności.

Jednak wzmożona kontrola może przynieść odwrotny skutek: regulacje te mogą powodować konflikty i skomplikowane problemy z zarządzaniem dla korporacji próbujących spełnić nowe wymogi, zwłaszcza jeśli chodzi o część nowych przepisów stanowych, które mają wejść w życie. Oznacza to, że firmy muszą być na bieżąco z ewolucją otoczenia prawnego.

Amy de La Lama – prawniczka w Bryan Cave Leighton Paisner, która śledzi stanowe przepisy dotyczące prywatności — stwierdza, że ​​przedsiębiorstwa muszą bardziej patrzeć w przyszłość oraz przewidywać i rozumieć ryzyko, aby zbudować odpowiednią infrastrukturę do śledzenia i wykorzystywania treści biometrycznych.

„Oznacza to, że powinni ściślej współpracować między swoimi działami biznesowymi i prawnymi, aby zrozumieć, w jaki sposób wykorzystywać dane biometryczne w swoich produktach i usługach oraz zrozumieć wymogi prawne” – mówi.

Przepisy dotyczące biometrii opóźniają wysiłki państwa w zakresie ochrony prywatności

W ciągu ostatnich dwóch lat różne stany przyjęły przepisy dotyczące prywatności danych, w tym Delaware, Indiana, Iowa, Montana, New Jersey, Oregon, Tennessee i Teksas. Stanowi to uzupełnienie przepisów dotyczących prywatności obowiązujących już w Kalifornii, Kolorado, Connecticut, Utah i Wirginii.

Jednak pomimo rosnącego zakresu ochrony prywatności nie wszystkie państwa zrobiły wiele w zakresie regulacji danych biometrycznych. Na przykład przepisy dotyczące prywatności obowiązujące w Kolorado nie definiują wyraźnie danych biometrycznych, ale zawierają regulacje dotyczące sposobu ich przetwarzania.

Tymczasem pięć stanów przyjęło przepisy dotyczące biometrii (Illinois, Maryland, Nowy Jork, Teksas i Waszyngton). Choć brzmi to jak trend, wiele z tych przepisów ma ograniczenia, jak np. prawo nowojorskie, które koncentruje się wyłącznie na zakazach pobierania odcisków palców od pracowników jako warunku zatrudnienia.

Spośród pięciu istniejących stanów posiadających statuty dotyczące biometrii, Illinois Ustawa o ochronie informacji biometrycznych jest najdłużej – od 2008 r. – i najbardziej kompleksowym, obejmującym sposób gromadzenia, przechowywania i wykorzystywania danych biometrycznych. Jednak rozstrzygnięcie kwestii szkód w. zajęło dopiero w tym tygodniu pozew wniesiony przez grupę kierowców ciężarówek przeciwko kolei BNSF kilka lat temu w związku z wymogiem skanowania odcisków palców przed wjazdem na stację kolejową w Illinois.

Sytuacja może się zmienić: Nowy Jork rozważa w tym roku przyjęcie co najmniej trzech ustaw mających na celu rozszerzenie zabezpieczeń na bardziej kompleksowe kontrole biometryczne, a istnieją projekty ustaw w co najmniej 14 komisjach innych stanów także dla szerszej interpretacji zagadnień biometrycznych.

Myląca mozaika wymagań dotyczących zgodności danych

Subtelne różnice między wszystkimi przepisami stanowymi mogą powodować konflikty dotyczące zgodności. Istnieją różnice między sposobem regulacji prywatności biometrycznej, a także ogólnymi datami wejścia w życie i różnymi wymogami dotyczącymi sprawozdawczości.

„Biometria jest obecnie wyraźnie na celowniku” – mówi David Stauss, wiodący ekspert w kancelarii prawnej Husch Blackwell, która śledzi przepisy dotyczące prywatności w całym kraju„i znajduje się na szczycie listy podmiotów zajmujących się zarządzaniem kwestiami dotyczącymi danych wrażliwych. Firmom niezwykle trudno jest śledzić wszystkie te wymagania. Przepisy te są stale zmieniającym się celem i przypominają budowę statku w trakcie jego żeglowania.

Na przykład przepisy dotyczące prywatności w Teksasie i Montanie wchodzą w życie 1 lipca, ale przepisy stanu Indiana zaczną obowiązywać dopiero 1 stycznia 2026 r. Przepisy Kalifornii tworzą nowe wymagania dotyczące wrażliwych danych osobowych i umożliwiają konsumentom ograniczenie niektórych danych, które mogą być wykorzystywane przez firmy. Prawo stanu Wirginia zawiera bardziej restrykcyjną definicję danych biometrycznych i ogranicza sposób ich przetwarzania.

Ponadto w każdym stanie przedsiębiorstwa muszą składać raporty w inny sposób, w zależności od wielkości przychodów generowanych w każdym stanie, liczby konsumentów, których to dotyczy, oraz tego, czy działają na rzecz zysku, czy nie.

Wszystko to oznacza, że ​​będzie to skomplikowane dla firm prowadzących działalność na szczeblu krajowym, ponieważ będą musiały dokonać audytu swoich procedur ochrony danych i zrozumieć, w jaki sposób uzyskują zgodę konsumentów lub pozwolić konsumentom na ograniczenie wykorzystania takich danych i upewnienie się, że odpowiadają one różnym subtelnościom w regulaminie. 

Przyczynianie się do problemów związanych ze zgodnością: rozporządzenie wykonawcze wyznacza różnym agencjom federalnym wysokie cele w zakresie regulowania informacji biometrycznych, może jednak wystąpić zamieszanie w zakresie interpretacji tych przepisów przez przedsiębiorstwa. Na przykład, czy korzystanie przez szpital z danych biometrycznych podlega przepisom Agencji ds. Żywności i Leków, Służby Zdrowia i Opieki Społecznej, Agencji ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury czy Departamentu Sprawiedliwości? Prawdopodobnie cała czwórka.

I to jeszcze zanim biorąc pod uwagę implikacje międzynarodowe, ponieważ Europa i inne miejsca dodają do tego szalonego zestawu zasad dotyczących prywatności.

Wzrasta wykorzystanie biometrii pomimo problemów z zaufaniem

Ten złożony krajobraz prawny wynika z rosnącego wykorzystania technologii biometrycznych do ochrony danych prywatnych i biznesowych oraz wynikających z tego zagrożeń cyberbezpieczeństwa.

Dostawcy radzą sobie lepiej, włączając te technologie do ogólnych pakietów programistycznych, jak na przykład w ogłoszeniu z jesieni ubiegłego roku, że Amazon rozszerzy swoje oprogramowanie do skanowania dłoni One aby umożliwić lepszą kontrolę dostępu w przedsiębiorstwie.

Chociaż technologie skanowania odcisków palców, twarzy i dłoni istnieją już od lat (tzw W ciągu ostatniej dekady FBI zebrało wiele milionów skanów dłoni), Amazon przechowuje swoje odciski dłoni w chmurze, co według Marka Hursta, dyrektora generalnego Creative Good może zwiększyć prawdopodobieństwo wycieków lub potencjalnych nadużyć.

„Te czytniki dłoni mają na celu normalizację procesu rezygnacji z danych biometrycznych w dowolnym miejscu i czasie” – mówi Hurst. „A co się stanie, jeśli dane dłoni – podobnie jak w przypadku wielu innych systemów identyfikacji – zostaną zhakowane? Powodzenia w znalezieniu nowej dłoni.

Tymczasem rośnie liczba przypadków podszywania się pod fałszywe filmy wideo wywołane sztuczną inteligencją przez przestępców, którzy wykorzystują dane biometryczne, takie jak skany twarzy. Na początku tego roku doszło do fałszywego ataku w Hongkongu został wykorzystany do kradzieży ponad 25 milionów dolarówi z pewnością są inni, którzy pójdą ich śladem Technologia sztucznej inteligencji staje się coraz lepsza i łatwiejsza w użyciu do produkcji podróbek biometrycznych.

Sprzeczne przepisy i nadużycia karne mogą wyjaśniać spadek zaufania konsumentów do technologii biometrycznych. 

Zgodnie z Badanie GetApp dotyczące technologii biometrycznych 2024 spośród 1,000 konsumentów liczba osób, które bardzo ufają firmom technologicznym w zakresie ochrony danych biometrycznych, spadła z 28% w 2022 r. do zaledwie 5% w 2024 r. Firma twierdzi, że spadek wynika z rosnącej liczby naruszeń danych i raportów o kradzieży tożsamości sprawy.

„Aby ograniczyć ryzyko prawne, reputacyjne i finansowe, należy upewnić się, że dane biometryczne są rejestrowane za zgodą i bezpiecznie przechowywane zgodnie z przepisami dotyczącymi prywatności” – mówi Zach Capers, starszy analityk ds. bezpieczeństwa w GetApp. Łatwiej to jednak powiedzieć niż zrobić, zwłaszcza że przyszłe przepisy dotyczące biometrii nakładają sprzeczne wymagania.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://www.darkreading.com/application-security/biometrics-regulation-portending-compliance-headaches