Reglementarea biometrică se încălzește, prevestind dureri de cap conformității

Anul acesta ar putea fi un avantaj pentru legislația privind confidențialitatea biometrică. Subiectul se încălzește și se află la intersecția a patru tendințe: creșterea amenințărilor bazate pe inteligența artificială (AI), creșterea utilizării biometrice de către companii, noua legislație anticipată privind confidențialitatea la nivel de stat și o noul ordin executiv emis de președintele Biden săptămâna aceasta, care include protecția biometrică a confidențialității.

Dar controlul sporit s-ar putea inversa: aceste reglementări ar putea crea conflicte și probleme complexe de guvernare pentru corporațiile care încearcă să îndeplinească noile stricturi, mai ales când vine vorba de o tranșă de noi legi de stat care urmează să intre în vigoare. Aceasta înseamnă că întreprinderile trebuie să rămână la curent pe măsură ce acest peisaj juridic evoluează.

Amy de La Lama — un avocat cu Bryan Cave Leighton Paisner, care urmărește legile de confidențialitate ale statului — spune că întreprinderile trebuie să fie mai perspicace și să anticipeze și să înțeleagă riscurile pentru a construi infrastructura adecvată pentru a urmări și utiliza conținutul biometric.

„Acest lucru înseamnă că ar trebui să lucreze mai îndeaproape între funcțiile lor de afaceri și juridice pentru a înțelege cum să folosească biometria în produsele și serviciile lor și pentru a înțelege cerințele legale”, spune ea.

Reglementarea biometrică întârzie eforturile de confidențialitate ale statului

Diferite state au adoptat legi privind confidențialitatea datelor în ultimii doi ani, inclusiv Delaware, Indiana, Iowa, Montana, New Jersey, Oregon, Tennessee și Texas. Acest lucru se adaugă la legile privind confidențialitatea deja promulgate în California, Colorado, Connecticut, Utah și Virginia.

Cu toate acestea, în ciuda acestui ansamblu în creștere de protecție a confidențialității, nu toate statele au făcut multe în ceea ce privește reglementarea biometriei. De exemplu, legile de confidențialitate din Colorado nu definesc în mod explicit datele biometrice, ci au reglementări cu privire la modul în care sunt procesate.

Între timp, cinci state au adoptat în mod specific reglementări legate de biometrie (Illinois, Maryland, New York, Texas și Washington). Deși pare o tendință, multe dintre aceste legi sunt limitate, cum ar fi legea din New York, care se concentrează exclusiv pe interdicțiile de a colecta amprentele digitale de la angajați ca o condiție pentru angajare.

Dintre cele cinci state existente cu statute legate de biometrie, Illinois' Legea privind confidențialitatea informațiilor biometrice a existat cel mai lung – din 2008 – și este cel mai cuprinzător, acoperind modul în care datele biometrice sunt colectate, stocate și utilizate. Cu toate acestea, a durat până în această săptămână pentru a soluționa daunele din proces intentat de un grup de șoferi de camion împotriva căii ferate BNSF cu câțiva ani în urmă, din cauza cerinței de a-și scana amprentele digitale înainte de a intra într-o curte feroviară din Illinois.

Lucrurile s-ar putea schimba: New York ia în considerare cel puțin trei proiecte de lege anul acesta care încearcă să extindă protecția la controale biometrice mai cuprinzătoare și există proiecte de lege în cel puțin 14 comitete ale altor state pentru o interpretare mai largă și a chestiunilor biometrice.

Un patchwork confuz de cerințe de conformitate a datelor

Diferențele subtile dintre toate legile de stat pot provoca conflicte de conformitate. Există diferențe între modul în care va fi reglementată confidențialitatea biometrică, precum și datele generale de intrare în vigoare și cerințele de raportare diferite.

„Biometria este în mod clar în punctul de vedere în acest moment”, spune David Stauss, expert de top la firma de avocatură Husch Blackwell, care urmărește legile de confidențialitate din întreaga țară, „și se află în fruntea listei de gestionare a preocupărilor privind datele sensibile. Este incredibil de dificil pentru companii să urmărească toate aceste cerințe. Aceste reglementări sunt o țintă în mișcare constantă și seamănă cu construirea unei nave pe măsură ce o navigăm.”

De exemplu, legile privind confidențialitatea din Texas și Montana intră în vigoare la 1 iulie, dar legile din Indiana nu vor intra în vigoare până la 1 ianuarie 2026. Legile din California creează noi cerințe pentru informațiile personale sensibile și permit consumatorilor să limiteze anumite date care pot fi folosit de afaceri. Legea Virginia are o definiție mai restrictivă a datelor biometrice și limitează modul în care acestea pot fi procesate.

De asemenea, fiecare stat are o combinație diferită pe care întreprinderile trebuie să raporteze, în funcție de cât de mult venituri sunt generate în fiecare stat, de numărul de consumatori afectați și dacă aceștia au sau nu profit.

Totul înseamnă că va fi complicat pentru companiile care desfășoară afaceri la nivel național, deoarece vor trebui să-și auditeze procedurile de protecție a datelor și să înțeleagă cum obțin consimțământul consumatorilor sau le permit consumatorilor să restricționeze utilizarea acestor date și să se asigure că se potrivesc cu diferitele subtilități. în regulamente. 

Contribuția la durerile de cap privind conformitatea: ordinul executiv stabilește obiective înalte pentru diferite agenții federale în ceea ce privește modul de reglementare a informațiilor biometrice, dar ar putea exista confuzie în ceea ce privește modul în care aceste reglementări sunt interpretate de companii. De exemplu, utilizarea datelor biometrice de către un spital intră sub incidența regulilor de la Food and Drug Administration, Health and Human Services, Cybersecurity and Infrastructure Security Agency sau Departmentul de Justiție? Probabil toate patru.

Și asta chiar înainte avand in vedere implicatiile internationale, pentru că Europa și alte locuri se adaugă la această plapumă nebună de reguli de confidențialitate.

Utilizarea biometriei se extinde, în ciuda problemelor de încredere

Acest peisaj juridic complex este determinat de utilizarea din ce în ce mai mare a datelor biometrice pentru a proteja datele private și de afaceri – și amenințările la securitatea cibernetică care vin odată cu acestea.

Furnizorii fac o treabă mai bună în încorporarea acestor tehnologii în pachetele generale de dezvoltare software, cum ar fi anunțul din toamna trecută că Amazon își va extinde software-ul One de scanare a palmelor pentru a permite un control mai bun al accesului întreprinderii.

Dar, în timp ce tehnologiile de scanare a amprentelor, feței și palmei există de ani de zile (the FBI a colectat multe milioane de scanări ale palmelor în ultimul deceniu), Amazon își stochează amprentele palmei în cloud, ceea ce ar putea face mai probabile scurgeri sau potențiale abuzuri, potrivit Mark Hurst, CEO al Creative Good.

„Aceste cititoare palmare au scopul de a normaliza actul de a renunța la datele dumneavoastră biometrice oriunde și oricând”, spune Hurst. „Și ce se întâmplă dacă datele din palmă – ca atâtea alte sisteme de identificare – sunt piratate? Noroc în găsirea unei noi palme.”

Între timp, uzurparea identității video deepfake induse de inteligență artificială de către infractorii care abuzează de date biometrice, cum ar fi scanările feței, sunt în creștere. La începutul acestui an, un atac deepfake în Hong Kong a fost folosit pentru a fura mai mult de 25 de milioane de dolari, și sunt cu siguranță alții care vor urma ca Tehnologia AI devine mai bună și mai ușor de utilizat pentru producerea de falsuri biometrice.

Reglementările conflictuale și abuzurile penale ar putea explica de ce încrederea consumatorilor în biometrie a scăzut. 

În conformitate cu Sondajul privind tehnologiile biometrice 2024 de la GetApp din 1,000 de consumatori, numărul persoanelor care au mare încredere în companiile tehnologice pentru a proteja datele biometrice a scăzut de la 28% în 2022 la doar 5% în 2024. Compania spune că scăderea se datorează numărului tot mai mare de încălcări ale datelor și rapoarte de furt de identitate. cazuri.

„Pentru a reduce riscurile legale, reputaționale și financiare, asigurați-vă că datele biometrice sunt capturate cu consimțământ și stocate în siguranță, în conformitate cu reglementările privind confidențialitatea”, spune Zach Capers, analist senior de securitate la GetApp. Dar asta ar putea fi mai ușor de spus decât de făcut, mai ales că viitoarele legi biometrice oferă cerințe contradictorii.

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
• PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
• PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
• PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
• Sursa: https://www.darkreading.com/application-security/biometrics-regulation-portending-compliance-headaches