Biometriregleringen blir varmare, visar efterlevnadshuvudvärk

Detta år kan vara en välsignelse för biometrisk integritetslagstiftning. Ämnet håller på att hettas upp och ligger i skärningspunkten mellan fyra trender: ökande artificiell intelligens (AI)-baserade hot, växande biometrisk användning av företag, förväntad ny integritetslagstiftning på statlig nivå, och en ny verkställande order utfärdad av president Biden denna vecka som inkluderar biometriska integritetsskydd.

Men den ökade granskningen kan slå tillbaka: Dessa regler kan skapa konflikter och komplexa förvaltningsfrågor för företag som försöker möta de nya begränsningarna, särskilt när det kommer till en del av nya statliga lagar som ska träda i kraft. Detta innebär att företag måste hålla sig uppdaterade när detta juridiska landskap utvecklas.

Amy de La Lama — en advokat med Bryan Cave Leighton Paisner, som spårar statliga integritetslagar — säger att företag måste vara mer framåtblickande och förutse och förstå riskerna för att kunna bygga en lämplig infrastruktur för att spåra och använda biometriskt innehåll.

"Detta betyder att de borde arbeta närmare mellan sin verksamhet och juridiska funktioner för att förstå hur man använder biometri i sina produkter och tjänster och för att förstå de juridiska kraven", säger hon.

Biometriska regler fördröjer statens integritetsansträngningar

Olika delstater har antagit dataskyddslagar under de senaste två åren, inklusive Delaware, Indiana, Iowa, Montana, New Jersey, Oregon, Tennessee och Texas. Detta lägger till integritetslagar som redan antagits i Kalifornien, Colorado, Connecticut, Utah och Virginia.

Men trots detta växande skydd av integritetsskydd har inte alla stater gjort mycket i vägen för att reglera biometri. Till exempel, Colorados integritetslagar definierar inte uttryckligen biometrisk data utan har bestämmelser om hur den behandlas.

Under tiden, fem stater har specifikt antagit biometrirelaterade bestämmelser (Illinois, Maryland, New York, Texas och Washington). Även om det låter som en trend, är många av dessa lagar begränsade, till exempel New York-lagen som enbart fokuserar på förbud mot att samla in fingeravtryck från anställda som ett villkor för anställning.

Av de fem befintliga staterna med biometrirelaterade stadgar, Illinois' Biometrisk information Integritetslag har funnits längst - sedan 2008 - och är den mest omfattande, som täcker hur biometrisk data samlas in, lagras och används. Ändå tog det fram till denna vecka att lösa skadeståndet stämning väckt av en grupp lastbilschaufförer mot BNSF-järnvägen flera år sedan över ett krav på att skanna sina fingeravtryck innan de går in på en järnvägsgård i Illinois.

Saker kan förändras: New York överväger minst tre lagförslag i år som försöker utöka skyddet till mer omfattande biometriska kontroller, och det finns lagförslag i minst 14 andra staters kommittéer för en bredare tolkning av biometriska frågor också.

Ett förvirrande lapptäcke av dataefterlevnadskrav

De subtila skillnaderna mellan alla statliga lagar kan orsaka efterlevnadskonflikter. Det finns skillnader mellan hur biometrisk integritet kommer att regleras, såväl som övergripande antagandedatum och olika rapporteringskrav.

"Biometri är helt klart i fokus just nu", säger David Stauss, en ledande expert på advokatfirman Husch Blackwell, som spårar integritetslagar över hela landet, "och det är överst på listan över hantering av känsliga uppgifter. Det är otroligt svårt för företag att spåra alla dessa krav. Dessa regler är ett ständigt rörligt mål och liknar att bygga ett fartyg när vi seglar det."

Till exempel träder Texas och Montanas integritetslagar i kraft den 1 juli, men Indianas lagar kommer inte att träda i kraft förrän den 1 januari 2026. Kaliforniens lagar skapar nya krav på känslig personlig information och tillåter konsumenter att begränsa vissa uppgifter som kan används av företag. Virginias lag har en mer restriktiv definition av biometriska data och begränsar hur de kan behandlas.

Dessutom har varje stat en annan blandning av vilka företag som måste rapportera, baserat på hur mycket intäkter som genereras i varje stat, antalet konsumenter som påverkas och om de är vinstdrivande eller inte.

Vad allt detta betyder är att det kommer att bli komplicerat för företag som gör affärer nationellt eftersom de kommer att behöva granska sina dataskyddsförfaranden och förstå hur de får konsumenternas samtycke eller tillåter konsumenter att begränsa användningen av sådan data och se till att de matchar de olika finesserna. i bestämmelserna. 

Bidrar till efterlevnadshuvudvärken: Den verkställande ordern sätter höga mål för olika federala myndigheter i hur man reglerar biometrisk information, men det kan finnas förvirring när det gäller hur dessa regler tolkas av företag. Till exempel, faller ett sjukhuss användning av biometri under regler från Food and Drug Administration, Health and Human Services, Cybersecurity and Infrastructure Security Agency eller justitiedepartementet? Förmodligen alla fyra.

Och det är innan ens med tanke på de internationella konsekvenserna, eftersom Europa och andra platser lägger till detta galna täcke av integritetsregler.

Biometrisk användning expanderar, trots förtroendeproblem

Det här komplexa juridiska landskapet drivs av den växande användningen av biometri för att skydda privata och affärsdata – och de cybersäkerhetshot som följer med det.

Leverantörer gör ett bättre jobb med att införliva dessa teknologier i övergripande mjukvaruutvecklingspaket, som tillkännagivandet förra hösten att Amazon kommer att utöka sin Palm-scanning One-mjukvara för att möjliggöra bättre åtkomstkontroller för företag.

Men medan fingeravtrycks-, ansikts- och palmskanningsteknik har funnits i flera år (den FBI har samlat in många miljoner palmskanningar under det senaste decenniet), lagrar Amazon sina palmavtryck i molnet, vilket kan göra eventuella läckor eller potentiella missbruk mer sannolika, enligt Mark Hurst, Creative Goods vd.

"Dessa handflatläsare är avsedda att normalisera handlingen att ge upp din biometriska data var som helst, när som helst", säger Hurst. "Och vad händer om palmdata – som så många andra ID-system – hackas? Lycka till med att hitta en ny handflata.”

Samtidigt ökar AI-inducerade deepfake-videoimitationer av brottslingar som missbrukar biometrisk data som ansiktsskanningar. Tidigare i år, en deepfake attack i Hong Kong användes för att stjäla mer än 25 miljoner dollar, och det finns säkert andra som kommer att följa som AI-teknik blir bättre och enklare att använda för att producera biometriska förfalskningar.

De motstridiga bestämmelserna och brottsliga övergreppen kan förklara varför konsumenternas förtroende för biometri har tagit en djupdykning. 

Enligt GetApps 2024 Biometric Technologies Survey av 1,000 28 konsumenter har antalet individer som i hög grad litar på teknikföretag för att skydda biometriska data minskat från 2022 % 5 till bara 2024 % XNUMX. Företaget säger att minskningen beror på det ökande antalet dataintrång och rapporter om identitetsstöld fall.

"För att mildra juridiska, anseende och finansiella risker, se till att biometrisk data samlas in med samtycke och lagras säkert i enlighet med integritetsbestämmelser", säger Zach Capers, senior säkerhetsanalytiker på GetApp. Men det kan vara lättare sagt än gjort, särskilt som framtida biometriska lagar erbjuder motstridiga krav.

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
• Källa: https://www.darkreading.com/application-security/biometrics-regulation-portending-compliance-headaches