全天候与 Caira 聊天。上传你的雇主通知或隐私政策,让 Caira 审阅。她可以起草声明,并审查你填写好的表格。免费试用
摘要:你可以轻松更改被泄露的密码,但你无法更改指纹、视网膜或脸部结构。随着企业越来越依赖生物识别数据用于打卡、安全和定向广告,两个州已成为监管这类永久性生物数据的绝对强者。本指南对比强硬的伊利诺伊州 BIPA 与州执法的德州 CUBI,说明究竟谁可以扫描你的脸,以及未经许可这样做会发生什么。
生物识别技术的扩张,已迅速让扫描我们身体成为常态。新到仓库上班时,你可能被要求把拇指按在扫描器上打卡。把照片上传到社交媒体时,算法会立即映射你的脸部结构,自动建议标签。
但如果这些数据被错误处理,会怎样?信用卡数据泄露时,银行只会给你一张新的塑料卡片。如果黑客窃取了你的指纹或虹膜的数字化图像,这个生物识别标识符在你余生都将永久失守。
由于联邦政府基本未能通过全面的生物识别隐私立法,州法决定你的安全。到了 2026 年审视生物识别监管格局时,整个话题都围绕两个州展开:伊利诺伊州和德克萨斯州。虽然两州都严格限制生物识别信息的收集,但这些法律的处罚方式却截然不同。
伊利诺伊州 BIPA:美国最令人畏惧的隐私法
早在 2008 年,伊利诺伊州生物识别信息隐私法(BIPA)就已颁布。它被广泛视为美国最激进、也最令人畏惧的消费者隐私法。
BIPA 的核心很简单:任何私人实体都不能在未先取得你的明确、书面、知情同意前,收集、获取、购买或交易你的生物识别标识符(指纹、视网膜扫描、声纹、面部几何特征)。他们还必须公开说明会保存你的数据多久,以及何时将其永久销毁。
让企业真正感到恐惧的是 私人诉权。
如果一家公司在伊利诺伊州未经书面许可就扫描你的脸,你不必等待政府介入。你,作为个人消费者,有权使用 Caira 直接起诉该公司。法律规定,每次扫描的赔偿金从 1,000 美元的过失违规,到 5,000 美元的鲁莽或故意违规不等 每次扫描。
因为一名员工一天可能用指纹打卡机打卡四次,潜在赔偿金额高得惊人。正是这一私人诉权,导致伊利诺伊州居民获得了规模巨大、具有历史意义的集体诉讼赔付,其中包括针对 Facebook 的 6.5 亿美元和解,以及数亿美元以上的赔偿,这些都来自那些在安装生物识别打卡机前未取得签署同意书的雇主。
德克萨斯州 CUBI:十亿美元级州执法
德克萨斯州其实是最早监管这项技术的州之一。它在 2001 年通过了《采集或使用生物识别标识符法》(CUBI)。和伊利诺伊州一样,德州 CUBI 严格禁止公司在未经你事先知情同意的情况下,为商业目的采集生物识别数据。它还要求在合理时间内销毁这些数据——通常不晚于收集目的失效后一年。
但德州和伊利诺伊州之间有一个巨大差异。CUBI 没有私人诉权。
如果你在达拉斯的老板强迫你在未取得同意的情况下使用指纹扫描器,你不能用 Caira 起诉公司并拿到 5,000 美元赔偿。只有德克萨斯州总检察长才有法律权力执行 CUBI。
这虽然阻止员工提起直接集体诉讼为自己牟利,但德州总检察长办公室出手也毫不手软。AG 可就每项违规行为起诉公司,民事罚款最高可达 25,000 美元。
关键在于:德州赢得这些巨额 CUBI 诉讼后,钱会直接进入州普通收入基金,而不是进你的口袋。
2024 年,德州动用 CUBI,向 Meta(Facebook)争取到一项历史性的14 亿美元和解。原因是该公司在十年间反复映射数百万德州人的面部几何特征,却从未取得明确同意。
保护你的生物蓝图
随着面部识别技术与生成式 AI 融合,保护你的身体数据比以往任何时候都更重要。
如果你住在伊利诺伊州,而雇主引入了指纹扫描器或人脸识别摄像头,在 HR 提供完整的 BIPA 同意书、并说明保存与销毁政策之前,不要使用该系统。若对方拒绝,立即咨询 Caira——你很可能有一项有价值的法律主张。
如果你住在德克萨斯州,要警惕允许哪些应用扫描你的脸。也要明白,虽然你不能因 CUBI 违规直接起诉他们,但向总检察长办公室提交详细投诉,是触发州主导监管行动所需的具体步骤。你的脸属于你;没有任何公司有权在暗中描绘它的轮廓。
免责声明:本文仅提供一般信息,不构成法律、财务、税务或医疗建议。
