Как не стать мишенью группового иска при использовании технологии распознавания лиц
за рубежом
Стремительный прогресс способствовал распространению технологий распознавания лиц, которые интегрируются в новые области общественной и частной жизни. Торгово-розничные и другие коммерческие организации все чаще полагаются на распознавание лиц в целях безопасности и наблюдения.

В то же время, распознавание лиц становится все более популярной мишенью для коллективных исков, проводимых в соответствии с Законом штата Иллинойс о конфиденциальности биометрической информации («BIPA»). Вдобавок, в США многие штаты и Конгресс пытаются принять ужесточающие законы, регулирующие использование технологий распознавания лиц коммерческими организациями.

Сегодня организации, использующие технологию распознавания лиц, особенно в целях безопасности и наблюдения, должны убедиться в применении актуальных методов биометрической конфиденциальности, чтобы не стать следующей целью меняющихся правил, формулируемых в коллективных исках в отношении биометрической конфиденциальности.
Технология распознавания лиц
Технология распознавания лиц предполагает использование «биометрии» (то есть индивидуальных физических характеристик) для цифрового отображения «геометрии» лица человека. Затем эти измерения используются для создания математической формулы, известной как «шаблон лица», «подпись лица» (в оригинале «facial template» or «facial signature», далее в тексте применяется «цифровой шаблон лица»). Сохраненный шаблон затем сравнивается с физической структурой лица человека, чтобы подтвердить его личность или однозначно идентифицировать этого человека.
Правовое поле
В настоящее время только три штата (США) ввели законы о биометрической конфиденциальности в сборники отчетов, которые напрямую регулируют использование технологии распознавания лиц.

Из них, закон BIPA штата Иллинойс считается самым строгим. Согласно BIPA, частное лицо не может собирать или хранить цифровой шаблон лица без предварительного уведомления, получения письменного согласия и раскрытия определенной информации. BIPA создает серьезные риски для компаний, использующих распознавание лиц в своей деятельности. В первую очередь, из-за установленных законом штрафов, предусмотренных BIPA (в размере от 1000 до 5000 долларов), которые могут быть наложены даже в том случае, если фактический ущерб не нанесен.

В качестве примера, Facebook недавно урегулировал крупный судебный процесс, связанный с использованием технологии распознавания лиц, на 650 миллионов долларов при том, что судья отклонил первоначальное предложение Facebook в 550 миллионов долларов.

Помимо Иллинойса, Техас и Вашингтон также приняли законы о биометрической конфиденциальности, касающиеся технологии распознавания лиц, которые налагают аналогичные требования в отношении уведомлений, согласий и обязательных мер безопасности.

Кроме того, многие штаты в настоящее время дополнительно пытаются ввести в действие собственное законодательство о биометрической конфиденциальности, которое расширит требования к уведомлениям, согласию и безопасности, подобным BIPA.

Важно отметить, что сфера применения многих из этих законопроектов выходит далеко за рамки BIPA и налагает дополнительные требования, такие как обязательную проверку и периодическое обучение сотрудников, а также разрешение тестирования этой технологии третьей стороной.

В то же время, федеральные законодатели также сделали распознавание лиц одним из основных направлений общенационального регулирования, устанавливающего единые требования по всей стране в отношении использования технологий.

В августе 2020 года сенаторы Джефф Меркли и Берни Сандерс представили Национальный закон о конфиденциальности биометрической информации, который вводит требования в отношении использования технологии распознавания лиц (и другие формы биометрии), аналогичные BIPA, по всей стране.
Дополнительные проблемы и риски
При этом текущие и потенциальные проблемы, связанные с технологией распознавания лиц, не ограничиваются только юридической ответственностью.

Распознавание лиц получает множество отрицательных отзывов в СМИ из-за потенциальных проблем с точностью и объективностью технологии. Особую озабоченность вызывает тот факт, что современные технологии гораздо менее точны при идентификации людей с темным цветом кожи, а также женщин, что повышает риск возможных ошибок.

Негативное отношение к распознаванию сформировало неоднозначное использование этой технологии. В начале 2020 года стало известно о практике стартапа по распознаванию лиц Clearview AI, который создал огромную базу данных, содержащих цифровые шаблоны лиц миллионов людей по всему миру, а затем продал доступ к своей базе данных как правоохранительным органам, так и частным лицам.

Совсем недавно Rite Aid попал в заголовки новостей по всей стране в результате внедрения технологии распознавания лиц в системы наблюдения более чем в 200 магазинах по всей стране, большинство из которых были обнаружены в районах с низким доходом населения.

В целом очевидно, что компании, использующие программное обеспечение для распознавания лиц, в обозримом будущем будут оставаться под пристальным вниманием.
Новая мишень коллективного иска о биометрической конфиденциальности
На сегодняшний день в центре внимания коллективных исков BIPA находятся работодатели, использующие биометрические считыватели отпечатков пальцев для учета рабочего времени и посещаемости. Однако совсем недавно в поле зрения адвокатов попалась новая мишень: компании, использующие распознавание лиц в целях безопасности и наблюдения.

Например, компании Lowe’s и Home Depot стали жертвами коллективных исков BIPA, связанных с использованием ими технологии распознавания лиц в рамках своих систем наблюдения для предотвращения краж в магазинах.

Неудивительно, что Clearview AI упоминается в череде жалоб BIPA, связанных с разработкой и продажей базы данных наблюдения. Национальная розничная сеть Macy’s также была упомянута в коллективном иске BIPA, связанном с использованием базы данных Clearview AI, также в целях наблюдения и безопасности.

Совсем недавно компания Kroger стала жертвой коллективного иска BIPA по поводу сбора данных цифровых шаблонов лиц клиентов и сотрудников с помощью камер наблюдения, расположенных в ее офисах в Иллинойсе, Мариано.
Как соответствовать букве закона
Из-за быстрорастущей ответственности, связанной с использованием технологии распознавания лиц, компаниям, использующим эту технологию или планирующим сделать это в будущем, даже если они не подпадают под действие каких-либо правил в настоящее время, не следует ждать введения новых законов. Вместо этого стоит принять меры прямо сейчас и внедрить гибкие, адаптируемые программы соответствия, способные обеспечить постоянное соблюдение правил распознавания лиц.


К счастью, есть несколько действенных шагов, которые компаниям следует предпринять для эффективного использования технологии распознавания лиц в соответствии с их юридическими обязательствами. В частности, нужно учитывать следующее:

— Проверка точности и объективности: поскольку программное обеспечение для распознавания лиц может давать неверные результаты в отношении некоторых этнических и расовых групп, перед внедрением ее в реальных условиях, необходимо провести тестирование технологии распознавания лиц, чтобы убедиться в ее эффективности и точности.

— Политика конфиденциальности: разработать общедоступную подробную политику конфиденциальности для распознавания лиц, которая включает, как минимум, четкое уведомление о сборе данных цифровых шаблонов лица, а также дополнительную информацию о целях, в которых они используются и инструкции по их хранению и уничтожению.

— Письменное уведомление: предоставить письменное уведомление — до момента сбора любых данных лиц, которое четко информирует о том, что биометрические данные собираются, используются и / или хранятся компанией; как эти данные будут использоваться и / или передаваться; и на какой период времени, в течение которого компания будет хранить данные до их уничтожения.

— Письменное разрешение: получите подписанное письменное разрешение / форму согласия от всех лиц до того, как будут собраны какие-либо биометрические данные, которые позволяют компании собирать / использовать эти данные человека и раскрывать их третьим лицам.

— Отказ: обеспечьте возможность отказаться от сбора биометрических данных.

— Безопасность данных: соблюдение мер безопасности для защиты данных, которые удовлетворяют разумным мерам предосторожности, применимым к данной сфере, и защищают не менее надежным способом, чем компания защищает другие формы конфиденциальной личной информации.

— Явные запреты на использование технологий в дискриминационных целях: соблюдайте четкую политику, строго запрещающую использование технологий распознавания лиц сотрудниками, подрядчиками или поставщиками для незаконной дискриминации отдельных лиц или групп лиц.

Автор статьи: Дэвид Оберли
Перевод текста: Эльвира Трифонова

Оригинальная статья доступна по ссылке.
13.09.2021